De Gegevensverwerkingsovereenkomst beschrijft de voorwaarden waaronder MTH persoonsgegevens namens de Klant verwerkt. Het waarborgt naleving van de AVG, definieert rollen (Verwerkingsverantwoordelijke en Verwerker) en regelt de verwerking van persoonsgegevens.
Artikel 1. DEFINITIES
- “Algemene Verordening Gegevensbescherming” of “AVG”: verwijst naar Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 inzake de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens.
- “Betrokkene(n)”: verwijst naar de identificeerbare natuurlijke persoon/personen wiens persoonsgegevens worden verwerkt.
- “Datalek”: verwijst naar een inbreuk op de beveiliging van persoonsgegevens die per ongeluk of onrechtmatig leidt tot vernietiging, verlies, wijziging, of ongeoorloofde openbaarmaking van of toegang tot gegevens die zijn verzonden, opgeslagen of anderszins verwerkt.
- “Werknemer(s)”: verwijst naar de personen die door de Partijen zijn gemachtigd om de Gegevensverwerkingsovereenkomst uit te voeren en die onder hun verantwoordelijkheid werken.
- “Persoonsgegevens”: verwijst naar alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon; een identificeerbare natuurlijke persoon is degene die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, identificatienummer, locatiegegevens, online identificator of factoren die specifiek zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die persoon.
- “Privacywetgeving”: verwijst naar de volledige Belgische en Europese wetgeving die van toepassing is op gegevensbescherming, inclusief de AVG.
- “Subverwerker”: verwijst naar een derde partij die door de Verwerker wordt ingeschakeld om persoonsgegevens namens de Verwerker te verwerken, zonder dat deze onder de directe autoriteit van de Verwerker valt.
- “Toezichthoudende Autoriteit”: verwijst in België naar de Gegevensbeschermingsautoriteit.
- “Verwerker”: verwijst naar een natuurlijke of rechtspersoon die persoonsgegevens namens de Verwerkingsverantwoordelijke verwerkt.
- “Verwerking”: verwijst naar elke bewerking of reeks bewerkingen met betrekking tot persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde processen, zoals verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van overdracht, verspreiding of anderszins beschikbaar stellen, aligneren of combineren, blokkeren, wissen of vernietigen van gegevens.
- “Verwerkingsverantwoordelijke”: verwijst naar een natuurlijke of rechtspersoon die het doel en de middelen voor de verwerking van persoonsgegevens bepaalt.
- “Gegevensverwerkingsovereenkomst”: verwijst naar deze bijlage bij de Overeenkomst.
Artikel 2. DOEL
- Deze Gegevensverwerkingsovereenkomst heeft als doel de voorwaarden vast te stellen waaronder de Verwerker persoonsgegevens mag verwerken namens de Verwerkingsverantwoordelijke.
- De Partijen komen overeen dat deze Gegevensverwerkingsovereenkomst een integraal onderdeel vormt van de Overeenkomst tussen MTH, optredend als Verwerker, en de Klant, optredend als Verwerkingsverantwoordelijke.
Artikel 3. TOEGESTANE VERWERKING
- De Verwerker verbindt zich ertoe persoonsgegevens alleen te verwerken op basis van schriftelijke instructies van de Verwerkingsverantwoordelijke die voortvloeien uit de Overeenkomst. De Overeenkomst en de Gegevensverwerkingsovereenkomst bepalen gezamenlijk het onderwerp en de duur van de verwerking.
- De Verwerker en haar Werknemers verwerken de persoonsgegevens namens de Verwerkingsverantwoordelijke in het kader van de diensten en doeleinden die hieronder worden beschreven: elke verwerking die nodig is om de in het Bestelformulier vermelde diensten uit te voeren of elke andere verwerking waarvoor de Verwerkingsverantwoordelijke de Verwerker opdracht heeft gegeven. Dit omvat ten minste de volgende activiteiten: onboarding, groeidiensten, gebruikersbeheer, hosting, ondersteuning, communicatie, het verzenden van e-mails binnen de organisatie van de Verwerkingsverantwoordelijke en het verzenden van uitnodigingen aan nieuwe gebruikers voor het registreren van een gebruikersaccount. In het kader van Evenementen omvat dit tevens het beheer van registraties, het registreren van deelnemers bij de organisator, of eventuele wijzigingen.
- Gedurende de volledige looptijd van de Gegevensverwerkingsovereenkomst mag de Verwerker persoonsgegevens onderwerpen aan de volgende verwerkingshandelingen: verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van overdracht, verspreiding of anderszins beschikbaar stellen, aligneren of combineren, blokkeren, wissen of vernietigen van gegevens.
- De Verwerker verwerkt de volgende soorten persoonsgegevens: basisidentificatiegegevens (bijv. voornaam, achternaam), persoonlijke kenmerken (bijv. geboortedatum), contactgegevens (e-mailadres), professionele gegevens of arbeidsgegevens (bijv. status als werkgever of werknemer, afdeling, titel of functie).
- Deze persoonsgegevens hebben betrekking op de volgende categorieën betrokkenen: werknemers van de Verwerkingsverantwoordelijke.
Artikel 4. RECHTEN EN VERPLICHTINGEN VAN DE VERWERKINGSVERANTWOORDELIJKE
- De Verwerkingsverantwoordelijke heeft de plicht de informatie zoals beschreven in Artikelen 13 en 14 van de AVG te verstrekken aan de Betrokkenen die het onderwerp zijn van de verwerkingsactiviteiten onder deze Gegevensverwerkingsovereenkomst.
- De Verwerkingsverantwoordelijke bepaalt het doel en de middelen van de verwerking en garandeert dat de verwerking van de persoonsgegevens, inclusief de overdracht daarvan, op een rechtmatige wijze en in overeenstemming met de relevante privacywetgeving plaatsvindt.
- De verwerking door de Verwerker mag alleen plaatsvinden op basis van schriftelijke instructies van de Verwerkingsverantwoordelijke. Indien de opdracht voor verwerking wijzigt, dient de Verwerkingsverantwoordelijke de Verwerker hiervan onmiddellijk op de hoogte te stellen.
- De Verwerkingsverantwoordelijke houdt een register bij van de verwerkingsactiviteiten die onder zijn verantwoordelijkheid worden uitgevoerd, in overeenstemming met Artikel 30(1) van de AVG.
- Alle informatie en materialen die door de Verwerkingsverantwoordelijke aan de Verwerker beschikbaar worden gesteld en persoonsgegevens bevatten, blijven altijd eigendom van de Verwerkingsverantwoordelijke.
Artikel 5. RECHTEN EN VERPLICHTINGEN VAN DE VERWERKER
- De Verwerker mag alleen persoonsgegevens verwerken die strikt noodzakelijk zijn voor de uitvoering van de Overeenkomst en verbindt zich ertoe de persoonsgegevens alleen te verwerken voor de doeleinden die in deze Gegevensverwerkingsovereenkomst zijn beschreven. De Verwerker zal de persoonsgegevens niet verwerken voor enig ander doel dan dat wat door de Verwerkingsverantwoordelijke is gespecificeerd.
- De Verwerker verbindt zich ertoe de persoonsgegevens uitsluitend te verwerken op basis van de schriftelijke instructies van de Verwerkingsverantwoordelijke en in overeenstemming met de bepalingen van deze Gegevensverwerkingsovereenkomst. Als de Verwerker persoonsgegevens moet overdragen aan een derde land of aan een internationale organisatie krachtens de wet van de Europese Unie of de toepasselijke wet van een lidstaat, dient de Verwerker de Verwerkingsverantwoordelijke hiervan voorafgaand aan de verwerking op de hoogte te stellen, tenzij de relevante wetgeving een dergelijke kennisgeving verbiedt op belangrijke gronden van algemeen belang.
- De Verwerker garandeert de vertrouwelijkheid van de persoonsgegevens die hem onder deze Gegevensverwerkingsovereenkomst worden toevertrouwd. De Verwerker waarborgt verder dat al zijn Werknemers zich hebben verplicht tot geheimhouding of zijn gebonden aan een passende wettelijke verplichting tot geheimhouding.
- De Verwerker mag de persoonsgegevens niet opslaan, overdragen of anderszins verwerken op een locatie buiten de Europese Economische Ruimte of deze overdragen naar landen buiten de Europese Economische Ruimte zonder voorafgaande schriftelijke toestemming van de Verwerkingsverantwoordelijke. Bovendien moet de Verwerker ervoor zorgen dat het derde land of de internationale organisatie een adequaat niveau van gegevensbescherming biedt. Indien dit niet het geval is, moeten passende waarborgen worden geboden door middel van contractuele middelen of moet de uitdrukkelijke toestemming van de Betrokkenen worden verkregen.
- De Verwerker verwerkt de persoonsgegevens die door de Verwerkingsverantwoordelijke worden verstrekt zolang als nodig is voor de uitvoering van de Overeenkomst. Zodra de opdracht is uitgevoerd, zal de Verwerker binnen een redelijke termijn, tenzij uitdrukkelijk anders is overeengekomen, elk gebruik van de persoonsgegevens staken, behalve voor zover nodig om de Verwerkingsverantwoordelijke in staat te stellen de aan de Verwerker toevertrouwde gegevens te herstellen.
- De Verwerker zal, voor zover mogelijk, de Verwerkingsverantwoordelijke bijstaan in zijn plicht om te voldoen aan verzoeken van Betrokkenen met betrekking tot het recht op inzage, rectificatie, gegevenswissing, beperking van verwerking, overdraagbaarheid van gegevens of bezwaar tegen geautomatiseerde individuele besluitvorming (inclusief profilering). Indien een betrokkene een dergelijk verzoek indient bij de Verwerker, zal de Verwerker het verzoek doorsturen naar de Verwerkingsverantwoordelijke, die het verzoek verder zal afhandelen, tenzij uitdrukkelijk anders is overeengekomen.
- De Verwerker zal de Verwerkingsverantwoordelijke bijstaan met elke gegevensbeschermingseffectbeoordeling en voorafgaande raadpleging van de Toezichthoudende Autoriteit. Daarnaast zal de Verwerker de Verwerkingsverantwoordelijke bijstaan bij het beantwoorden van verzoeken van de Toezichthoudende Autoriteit. Voor de uitvoering van dergelijke verzoeken kunnen de Partijen overeenkomen een compensatieregeling vast te stellen.
- Indien noodzakelijk voor de uitvoering van de opdracht, mag de Verwerker een kopie en/of back-up maken. De persoonsgegevens op deze kopieën en back-ups zullen dezelfde bescherming genieten als de oorspronkelijke persoonsgegevens.
- De Verwerker houdt een schriftelijk register bij van alle verwerkingsactiviteiten die namens de Verwerkingsverantwoordelijke worden uitgevoerd. Dit register bevat alle gegevens die vereist zijn volgens Artikel 30(2) van de AVG.
- De Verwerker garandeert dat zijn Werknemers alleen toegang hebben tot de persoonsgegevens voor zover nodig om hun taken uit te voeren in het kader van de opdracht tot verwerking. De Werknemers van de Verwerker zijn eveneens gebonden aan geheimhoudingsverplichtingen. De Verwerker zal zijn Werknemers informeren over de verplichtingen uit hoofde van de Privacywetgeving en deze Gegevensverwerkingsovereenkomst.
Artikel 6. SUBVERWERKERS
- De Verwerkingsverantwoordelijke verleent hierbij de Verwerker een algemene machtiging om andere verwerkers in te schakelen (hierna “Subverwerkers”). De Verwerkingsverantwoordelijke kan op redelijke gronden bezwaar maken tegen de benoeming of vervanging van andere verwerkers, mits dit schriftelijk aan de Verwerker wordt meegedeeld.
- Indien de Verwerkingsverantwoordelijke redelijkerwijs bezwaar maakt tegen de benoeming of vervanging van andere verwerkers, zal de Verwerker te goeder trouw samenwerken met de Verwerkingsverantwoordelijke om een commercieel redelijke wijziging in de dienst te bewerkstelligen die het gebruik van de voorgestelde Subverwerker vermijdt. Indien een dergelijke wijziging niet binnen één (1) maand na ontvangst door de Verwerker van de kennisgeving van de Verwerkingsverantwoordelijke kan worden gerealiseerd, kan elke Partij de Overeenkomst zonder gerechtelijke tussenkomst en zonder compensatie beëindigen met ingang van de datum waarop de benoeming of vervanging van kracht wordt.
- De Verwerker moet ervoor zorgen dat de Subverwerker dezelfde garanties biedt met betrekking tot het nemen van passende technische en organisatorische maatregelen in overeenstemming met Artikel 32 van de AVG.
- Alle verplichtingen in Artikel 5 van deze Gegevensverwerkingsovereenkomst zijn volledig van toepassing op de Subverwerker. Deze verplichtingen moeten schriftelijk worden vastgelegd in een overeenkomst tussen de Verwerker en de Subverwerker. De Verwerker blijft volledig verantwoordelijk tegenover de Verwerkingsverantwoordelijke voor de naleving door de Subverwerker van zijn verplichtingen.
- De volgende Subverwerkers worden gebruikt voor een correcte uitvoering van de taken als Verwerker: Microsoft, Company Channel, Topware Systems.
Artikel 7. VERTROUWELIJKHEID
- De Verwerker is gebonden aan een geheimhoudingsplicht met betrekking tot de persoonsgegevens die hij ontvangt van de Verwerkingsverantwoordelijke voor de verwerking en met betrekking tot alle informatie die hij ontvangt in het kader van deze Gegevensverwerkingsovereenkomst. Deze geheimhoudingsplicht geldt volledig voor de Werknemers van de Verwerker en voor eventuele Subverwerkers en hun Werknemers.
- Deze geheimhoudingsplicht ontstaat tijdens de onderhandelingen over de Gegevensverwerkingsovereenkomst, blijft van kracht gedurende de volledige looptijd van de Gegevensverwerkingsovereenkomst en ook na de beëindiging ervan.
- De geheimhoudingsplicht is niet van toepassing wanneer de Verwerker verplicht is door de Toezichthoudende Autoriteit, een wettelijke bepaling of een gerechtelijk bevel om de persoonsgegevens openbaar te maken, wanneer de informatie algemeen bekend is, of wanneer de gegevens openbaar worden gemaakt namens de Verwerkingsverantwoordelijke.
Artikel 8. BEVEILIGINGSMAATREGELEN
- De Verwerkingsverantwoordelijke en de Verwerker nemen de vereiste en passende technische en organisatorische maatregelen (hierna "Beveiligingsmaatregelen") om de persoonsgegevens te beschermen tegen vernietiging, per ongeluk of onrechtmatig, tegen verlies, vervalsing, ongeoorloofde openbaarmaking of toegang, met name wanneer de verwerking de overdracht van gegevens via een netwerk omvat, of tegen elke andere vorm van onrechtmatige verwerking of gebruik.
- Bij het bepalen van de Beveiligingsmaatregelen houden beide Partijen rekening met de stand van de techniek en de kosten van implementatie. De Beveiligingsmaatregelen bieden een passend beveiligingsniveau gezien de risico's die de verwerking met zich meebrengt en de aard van de te beschermen gegevens. De Beveiligingsmaatregelen zijn tevens gericht op het voorkomen van onnodige verzameling en verdere verwerking van persoonsgegevens.
- De Verwerker zal de Verwerkingsverantwoordelijke informeren over alle Beveiligingsmaatregelen die worden genomen om te voldoen aan de verplichting tot bescherming. Indien wijzigingen in technologie veranderingen in de gebruikte technologie vereisen, draagt de Verwerker de noodzakelijke kosten daarvan.
- De Verwerkingsverantwoordelijke en de Verwerker zullen alle redelijke inspanningen leveren om ervoor te zorgen dat de gebruikte verwerkingssystemen voldoen aan de vereisten van vertrouwelijkheid, integriteit en beschikbaarheid, waarbij altijd rekening wordt gehouden met de stand van de techniek en redelijke kosten van implementatie. Evenzo verifiëren beide Partijen dat hun systemen voldoende veerkrachtig zijn.
Artikel 9. MELDING VAN EEN DATALEK
Indien de Verwerker een Datalek ontdekt, zal deze de Verwerkingsverantwoordelijke onmiddellijk na de ontdekking hiervan op de hoogte stellen. Deze melding bevat ten minste de volgende informatie:
- De aard van het datalek, indien mogelijk met specificatie van de categorieën betrokkenen en persoonsgegevens, en, bij benadering, het aantal betrokkenen en persoonsgegevens;
- De naam en contactgegevens van de functionaris voor gegevensbescherming of een ander aanspreekpunt waar meer informatie kan worden verkregen;
- De waarschijnlijke gevolgen van het datalek met betrekking tot de persoonsgegevens;
- De voorgestelde of genomen maatregelen door de Verwerker om het datalek aan te pakken, inclusief, indien van toepassing, maatregelen om eventuele nadelige gevolgen ervan te beperken.
Het is aan de Verwerkingsverantwoordelijke om te beoordelen of het Datalek moet worden gemeld aan de Toezichthoudende Autoriteit of dat de Betrokkenen hierover geïnformeerd moeten worden.
Artikel 10. DUUR EN BEËINDIGING VAN DE GEGEVENSVERWERKINGOVEREENKOMST
- Deze Gegevensverwerkingsovereenkomst is geldig zolang de Overeenkomst van kracht is en wordt beëindigd op hetzelfde moment als de Overeenkomst. De Gegevensverwerkingsovereenkomst kan niet afzonderlijk van de Overeenkomst worden beëindigd, tenzij de Partijen overeenkomen dat beëindiging noodzakelijk is om te voldoen aan de Privacywetgeving of beslissingen van de Toezichthoudende Autoriteit.
- Na voltooiing van de verwerkingsdiensten zal de Verwerker, naar keuze van de Verwerkingsverantwoordelijke, alle persoonsgegevens die onder de Overeenkomst zijn verwerkt, verwijderen of teruggeven en bestaande kopieën en back-ups verwijderen, tenzij toepasselijke wetgeving opslag van de persoonsgegevens vereist. Eventuele kosten in verband met het retourneren van de persoonsgegevens en de vernietiging ervan komen voor rekening van de Verwerkingsverantwoordelijke.