Registreer
Registreer
Auxilios bv, met maatschappelijke zetel te 8820 Torhout, Breidelstraat 8, verder “verwerker” genoemd, vertegenwoordigd door Dirk Vandemaele, bestuurder,
en
het deelnemend bedrijf, verder “de verwerker” genoemd,
gaan een verwerkersovereenkomst aan. Partijen komen het volgende overeen:
Deze verwerkersovereenkomst is van toepassing op iedere verwerking door de verwerker op basis van de overeenkomst met de verwerkingsverantwoordelijke.
In deze verwerkersovereenkomst gebruiken we volgende begrippen:
AVG: Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming)
Persoonsgegevens: gegevens in de zin van artikel 4 AVG, persoonsgegevens zijn alle gegevens die direct of indirect herleidbaar zijn tot een natuurlijke persoon
Verwerken / verwerking: verwerking in de zin van artikel 4 AVG, dit is elke bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens
Betrokkene: degene op wie een persoonsgegeven betrekking heeft
Bevoegde instantie: een instantie die op basis van een concrete wettelijke bepaling, machtiging of andere grondslag op voldoende wijze aantoont dat ze bevoegd is om bepaalde gegevens te ontvangen
Derden: anderen dan de verwerkingsverantwoordelijke, de (sub)verwerker en hun medewerkers
Derden: organisatie die in opdracht van de verwerker bepaalde taken/verwerkingen op zich neemt
Medewerkers: personen die werkzaam zijn bij of voor de verwerkingsverantwoordelijke of verwerker, in dienst of tijdelijk ingehuurd
Opdracht: de opdracht zoals beschreven in een overeenkomst tussen de verwerkingsverantwoordelijke en de verwerker
Verwerkersovereenkomst: deze overeenkomst
Overeenkomst: overeenkomst waarin de samenwerking tussen de verwerkingsverantwoordelijke en de verwerker beschreven staat
Datalek: een inbreuk op de beveiliging die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen of effectief ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens
De verwerker verwerkt persoonsgegevens voor de uitvoering van de opdracht zoals beschreven in de overeenkomst voor de verwerkingsverantwoordelijke.
Deze verwerkersovereenkomst gaat in op het moment van de ondertekening en duurt zolang de verwerker persoonsgegevens verwerkt in het kader van een overeenkomst met de verwerkingsverantwoordelijke.
De geheimhoudingsverplichting uit punt 7 blijft echter gelden ook nadat de verwerkersovereenkomst is beëindigd.
3.1. Verwerking: algemeen
De verwerker verwerkt de persoonsgegevens uitsluitend op de manier die de verwerkingsverantwoordelijke met hem heeft afgesproken in de tussen hen gesloten overeenkomst(en). De verwerking gebeurt volgens de instructies van de verwerkingsverantwoordelijke, tenzij de verwerker op grond van de wet- of regelgeving verplicht is om anders te handelen.
De verwerkingsverantwoordelijke stelt het doel en de middelen van de verwerking van de persoonsgegevens duidelijk vast. De verwerker beperkt de verwerking tot wat noodzakelijk is voor de uitvoering van de opdracht. Hij heeft geen zeggenschap over het doel en de middelen van de verwerking. De verwerker neemt geen beslissingen over het gebruik van persoonsgegevens, de bewaartermijn van de verwerkte persoonsgegevens en het verstrekken van persoonsgegevens aan derden.
De verwerkingsverantwoordelijke is wettelijk verplicht de AVG en andere wet- en regelgeving op het gebied van privacy na te leven. De verwerker zorgt ervoor dat hij voldoet aan de regelgeving die op hem van toepassing is en aan de afspraken in deze verwerkersovereenkomst.
De verwerker zorgt ervoor dat alleen zijn medewerkers toegang hebben tot de persoonsgegevens. Hij beperkt toegang tot medewerkers voor wie de toegang noodzakelijk is voor hun werkzaamheden, waarbij de toegang beperkt is tot persoonsgegevens die deze medewerkers nodig hebben voor hun werkzaamheden. Deze medewerkers moeten een juiste en volledige instructie hebben gekregen over de omgang met persoonsgegevens en geïnformeerd zijn over de verantwoordelijkheden en verplichtingen van de AVG.
Voor de technische verwerking van het project doet de verwerker beroep op een IT-partner als subverwerker. Deze partner, Classid bv, verbindt zich ertoe de verplichtingen uit deze verwerkersovereenkomst na te leven.
De verwerker kan geen andere derden (subverwerkers) dan diegene genoemd in deze verwerkersovereenkomst voor de uitvoering ervan inschakelen zonder voorafgaande (schriftelijke) toestemming van de verwerkingsverantwoordelijke als deze derden persoonsgegevens moeten verwerken. Als de verwerkingsverantwoordelijke toestemming geeft, zorgt de verwerker ervoor dat de derden aan alle verplichtingen uit deze verwerkersovereenkomst voldoen.
De verwerkingsverantwoordelijke kan de verwerker verzoeken om persoonsgegevens te zoeken, te wijzigen of te verbeteren. Als de verwerker (rechtstreeks) verzoeken ontvangt van betrokkene(n) voor de uitoefening van hun rechten, dan zendt de verwerker deze verzoeken door naar de verwerkingsverantwoordelijke.
Als de verwerker een verzoek krijgt om persoonsgegevens ter beschikking te stellen dan doet hij dit alleen als het verzoek is gedaan door een daartoe bevoegde instantie. De verwerker informeert de verwerkingsverantwoordelijke over dit verzoek, tenzij er strafrechtelijke of andere juridische belemmeringen zijn. De verwerker doet dit op een termijn dat het voor de verwerkingsverantwoordelijke mogelijk is om eventuele rechtsmiddelen tegen de verstrekking van de persoonsgegevens in te stellen.
3.2. Doeleinden van de verwerking
De doeleinden van de verwerking liggen vervat in de overeenkomst gesloten ter uitvoering van het project JOBexpo.
3.3. Aard van de verwerking
Mogelijke verwerkingen die de verwerker ten behoeve van de verwerkingsverantwoordelijke kan doen, zijn o.a. verzamelen, vastleggen, structureren, opslaan, verstrekken d.m.v. doorzending (intern), raadplegen of gebruiken van persoonsgegevens.
De verwerker registreert alleen informatie over de betrokkenen die relevant en strikt noodzakelijk is om zijn opdracht uit te voeren. Hij is verantwoordelijk voor de juistheid van de gegevens.
De verwerker mag de persoonsgegevens van de betrokkenen enkel gebruiken binnen de doeleinden van de verwerking. Enkel indien een betrokkene vooraf zijn toestemming geeft, mag de verwerker de persoonsgegevens na de uitvoering van het project JOBexpo verwerken. De verwerker mag zelf geen toestemming van de betrokkene vragen. De latere verwerking mag enkel gebeuren in het kader van een jobaanbieding of aanbod van een stageplaats en niet voor andere doeleinden (bv. commerciële doeleinden). In elk geval mogen de persoonsgegevens waarvoor de verwerker de toestemming van de betrokkene heeft gedurende maximaal zes jaar vanaf het moment van deze toestemming bewaard worden.
De toestemming voor de verwerking geldt enkel voor het bedrijf en niet voor eventuele subverwerkers (bv. interimpartners) die in naam van het bedrijf optreden.
De systemen om persoonsgegevens te verwerken moeten voldoende veilig zijn.
De verwerker communiceert transparant met de betrokkene over hoe, waarom en welke persoonsgegevens hij verwerkt.
De verwerker geeft enkel informatie aan derden die daar recht op hebben.
3.4. Soort persoonsgegevens
In het kader van het project JOBexpo worden o.a. volgende persoonsgegevens verwerkt: naam, voornaam, leeftijd/geboortedatum, gender, burgerlijke staat, nationaliteit, e-mailadres, telefoon- en/of gsm-nummer, adres, studierichtingen, scholen (klassen), diploma’s en opleidingen, (gewenste) functie, loopbaan, talenkennis, contactvoorkeur, aanvullende informatie die we van de betrokkene krijgen (zoals sterke en minder sterke eigenschappen van zichzelf)…
3.5. Categorieën van betrokkenen
De betrokkenen zijn de leerlingen en de contactpersonen/recruiters van de bedrijven en scholen die aan het project JOBexpo deelnemen.
De verwerker verbindt zich ertoe om passende technische en organisatorische maatregelen te nemen om de persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking of toegang. Hiertoe worden ook de nodige afspraken gemaakt met de subverwerker. Deze maatregelen moeten, rekening houdend met de stand van de techniek (en de kosten hiervan), een passend beveiligingsniveau garanderen, gelet op de risico’s van de verwerking van persoonsgegevens.
Voorbeelden van dergelijke maatregelen zijn een beleidsdocument voor de verwerking van persoonsgegevens, een ICT-veiligheidsbeleid, richtlijnen over veilig gebruik van de ICT-infrastructuur, richtlijnen over verwerken/delen van persoonsgegevens, bewustmakingsinitiatieven over de verwerking van persoonsgegevens, procedures voor datalekken, een beveiligde internetverbinding, …
Als er sprake is van een datalek stelt de verwerker de verwerkingsverantwoordelijke zo snel als mogelijk op de hoogte. Hij doet dit binnen de 48 uur nadat hij het lek ontdekt heeft. De verwerker bezorgt de verwerkingsverantwoordelijke alle informatie die redelijkerwijs nodig is om een juiste en volledige melding te doen aan de toezichthoudende autoriteit en eventueel de betrokkene(n). Hij informeert de verwerkingsverantwoordelijke ook over de maatregelen die hij na het datalek genomen heeft.
De melding van de datalekken aan de toezichthoudende autoriteit en de eventuele betrokkene(n) is steeds de verantwoordelijkheid van de verwerkingsverantwoordelijke.
Eventuele kosten die gemaakt worden om het datalek op te lossen en in de toekomst te voorkomen, komen voor rekening van diegene die de kosten maakt.
De verwerker zal de verwerkingsverantwoordelijke alle informatie verstrekken en alle bijstand verlenen die noodzakelijk is en/of die redelijkerwijze mag worden verwacht zodat de verwerkingsverantwoordelijke in staat is zijn verplichtingen uit de AVG na te leven én van de nakoming het bewijs te leveren.
De verwerker houdt de verkregen persoonsgegevens geheim en verplicht zijn medewerkers en subverwerkers ook tot geheimhouding.
Als de verwerker zijn verplichtingen uit deze overeenkomst niet nakomt, kan de verwerkingsverantwoordelijke hem hiervoor aansprakelijk stellen. De verwerker is aansprakelijk voor alle schade veroorzaakt door de niet-nakoming van deze verwerkersovereenkomst of de bepalingen van de AVG of andere wetgeving.
De verwerker is ook aansprakelijk voor de aan de verwerkingsverantwoordelijke opgelegde administratieve geldboete als deze het gevolg is door een onrechtmatig of nalatig handelen door de verwerker. De verwerkingsverantwoordelijke is ook niet aansprakelijk voor aanspraken van betrokkenen of andere personen en organisaties waar de verwerker mee samenwerkt of waarvan de verwerker persoonsgegevens verwerkt als dit het gevolg is van een nalatig of onrechtmatig handelen door de verwerker.
De partijen komen overeen dat de verwerker na het einde van deze verwerkersovereenkomst alle doorgegeven persoonsgegevens en kopieën daarvan vernietigt. Enkel de persoonsgegevens waarvoor de verwerker de toestemming van de betrokkene kreeg, mogen na de uitvoering van het project verder verwerkt worden. De verwerker garandeert de vertrouwelijkheid van deze gegevens.
Ook als de verwerker door de toepasselijke wetgeving de persoonsgegevens niet mag terugbezorgen of vernietigen, garandeert de verwerker de vertrouwelijkheid van deze persoonsgegevens en bevestigt hij dat hij deze gegevens niet actief zal verwerken.
Op deze verwerkersovereenkomst is Belgisch recht van toepassing. Alle geschillen rond deze verwerkersovereenkomst zullen worden voorgelegd aan de bevoegde rechter in het arrondissement waar de verwerkingsverantwoordelijke gevestigd is.
Voor akkoord,
Dirk Vandemaele
Zaakvoerder Auxilios bvba