1.1 De bepalingen zoals uiteengezet in deze Verwerkersovereenkomst worden geïnterpreteerd in overeenstemming met de krachtlijnen van de Verordening 2016/679 van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (hierna de AVG, de Algemene Verordening inzake Gegevensverwerking).
Deze Verwerkersovereenkomst heeft tot doel om de conformiteit met de AVG en enige andere toepasselijke wetgeving inzake de verwerking van persoonsgegevens te verzekeren (hierna de Gegevensbeschermingswetgeving).
Deze Verwerkersovereenkomst is van toepassing telkens wanneer de Verantwoordelijke rechtstreeks of onrechtstreeks persoonsgegevens verstrekt aan of ter beschikking stelt van de Verwerker.
Met betrekking tot deze persoonsgegevens zal Hello in principe optreden als verwerker en Peter Batenburg als verantwoordelijke.
1.2 Onderwerp, duur en doel van de verwerking en de rechten en plichten van de Verantwoordelijke
De verwerking van persoonsgegevens omvat alle verwerkingsactiviteiten die noodzakelijk zijn om de Diensten te verlenen. De verwerking gebeurt uitsluitend op instructie van de Verantwoordelijke.
De categorieën van persoonsgegevens die worden verwerkt, worden beperkt tot de persoonsgegevens die noodzakelijk zijn om de Diensten te leveren zoals beschreven in Bijlage 1 bij de Verwerkersovereenkomst.
De Verwerker zal de Verantwoordelijke onmiddellijk schriftelijk op de hoogte brengen in geval dat zij persoonsgegevens ontvangt van de Verantwoordelijke of namens de Verantwoordelijke die de Verwerker redelijkerwijs niet nodig heeft in het kader van haar dienstverlening.
De persoonsgegevens kunnen betrekking hebben op de werknemers van de Verantwoordelijke, de klanten van de Verantwoordelijke, de eindgebruikers van de klanten van de Verantwoordelijke, potentiële klanten van de Verantwoordelijke of andere categorieën zoals bepaald in de Overeenkomst.
De gegevensverwerking is in ieder geval beperkt tot de duur van de Overeenkomst. De verplichtingen van de Verwerker met betrekking tot de gegevensbescherming worden evenwel verdergezet totdat de persoonsgegevens correct werden verwijderd of, op verzoek van de Verantwoordelijke, werden teruggestuurd.
In het kader van de verwerking van persoonsgegevens zal de Verantwoordelijke de rechten en verplichtingen van een “verantwoordelijke” of “data controller” toekomen, zoals omschreven in de AVG, de Gegevensbeschermingswetgeving, de Overeenkomst en in de Verwerkersovereenkomst.
1.3 Rechten en verplichtingen van de Verwerker
De Verwerker bouwt gedurende de Overeenkomst voldoende waarborgen in om de naleving van de AVG en de Gegevensbeschermingswetgeving te verzekeren.
De Verwerker zal geen gegevens verwerken voor doeleinden anders dan deze die strikt noodzakelijk zijn voor de uitvoering van zijn verplichtingen onder de Overeenkomst in overeenstemming met de instructies die de Verantwoordelijke oplegt, behoudens in geval dat de gegevensverwerking wordt opgelegd door EU-wetgeving of wetgeving van een EU-lidstaat waaraan de Verwerker is onderworpen. De Verwerker zal de Verantwoordelijke alsdan vooraf op de hoogte brengen van de wettelijke verplichting, tenzij de wet om gewichtige redenen van algemeen belang verbiedt dat dergelijke informatie wordt verstrekt.
De Verwerker zal de persoonsgegevens steeds strikt vertrouwelijk behandelen. De Verwerker staat er tevens voor in dat de vertegenwoordigers van de Verwerker die bevoegd zijn om de persoonsgegevens te verwerken in overeenstemming met de Overeenkomst en de Verwerkersovereenkomst:
(i) geïnformeerd zijn over het vertrouwelijk karakter van de persoonsgegevens;
(ii) onderworpen zijn aan gebruikersverificatie- en aanmeldingsprocessen bij toegang tot de persoonsgegevens; en
(iii) zich verbonden hebben tot een geheimhoudingsplicht of onder een gepaste wettelijke geheimhoudingsverplichting vallen die even ruim is als omschreven in de Overeenkomst en de Verwerkersovereenkomst.
De Verwerker zal de toegang tot de persoonsgegevens in ieder geval beperken tot de vertegenwoordigers die dergelijke persoonsgegevens nodig hebben voor de levering van de Diensten aan de Verantwoordelijke ter nakoming van de verplichtingen onder de Overeenkomst.
Deze vertegenwoordigers hebben bovendien slechts toegang tot de gegevens die strikt noodzakelijk zijn voor de dienstverlening.
De Verwerker neemt voorts passende technische en organisatorische maatregelen, zoals:
(i) het verlenen van bijstand aan de Verantwoordelijke bij de nakoming van haar verplichtingen om te reageren op verzoeken van betrokkenen in de uitoefening van hun rechten zoals bepaald in hoofdstuk III van de AVG, waaronder hun recht op inzage, rectificatie, wissing, beperking van de verwerking, bezwaar tegen de verwerking of enig ander verzoek, klacht of mededeling met betrekking tot de verplichtingen van de Verantwoordelijke onder de AVG;
(ii) het onmiddellijk op de hoogte brengen van de Verantwoordelijke van een verzoek zoals hierboven gesteld, dat de Verwerker rechtstreeks van een betrokkene heeft ontvangen;
(iii) het verstrekken van alle gegevens die de Verantwoordelijke vraagt en dit binnen een door haar aangegeven redelijke termijn;
(iv) het verlenen van bijstand om de Verantwoordelijke in staat te stellen om een verzoek binnen de wettelijke termijn te beantwoorden.
De Verwerker staat de Verantwoordelijke, rekening houdend met de aard van de verwerking en de informatie waarover de Verwerker beschikt, bij in de uitvoering van de verplichtingen door de Verantwoordelijke in verband met:
(i) de beveiliging van de verwerking volgens de toepasselijke wetgeving;
(ii) de meldingsplicht in geval van gegevenslekken jegens de toezichthoudende autoriteiten en jegens de betrokkene; en
(iii) de uitvoering van gegevensbeschermingseffectbeoordelingen en voorafgaande contactname in dit verband met de toezichthoudende autoriteit(en).
Partijen komen uitdrukkelijk overeen dat alle kosten die de Verwerker maakt voor het verlenen van haar diensten in uitvoering van de hierboven vermelde bijstand aan de Verantwoordelijke worden doorgerekend tegen het op dat moment geldende uurtarief van de Verwerker.
1.4 Technische en organisatorische maatregelen
De Verwerker zal passende technische en organisatorische maatregelen nemen om persoonsgegevens te beschermen tegen onrechtmatige vernietiging, verlies, wijzigingen, ongeoorloofde verstrekking van of de ongeoorloofde toegang tot persoonsgegevens, die zijn doorgegeven, opgeslagen of op enige andere wijze verwerkt. Zulke maatregelen (zoals omschreven in Bijlage 3) dienen in overeenstemming te zijn met het risico waar de gegevens aan worden blootgesteld, en dienen te omvatten:
(i) de pseudonimisering en versleuteling van persoonsgegevens, waar mogelijk;
(ii) het vermogen om op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen en diensten te garanderen;
(iii) het vermogen om bij een fysiek of technisch incident de beschikbaarheid van en de toegang tot de persoonsgegevens tijdig te herstellen;
(iv) een procedure voor het op gezette tijdstippen testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging van de verwerking.
De Verwerker staat ervoor in dat iedere natuurlijke persoon die handelt onder het gezag van de Verwerker en toegang heeft tot persoonsgegevens deze gegevens niet verwerkt tenzij in opdracht van de Verantwoordelijke, behoudens in geval dat hij daartoe wordt verplicht onder de wetgeving van een EU-lidstaat.
1.5 Het einde van de gegevensverwerking
Van zodra de gegevensverwerking niet langer noodzakelijk is in het kader van de uitvoering van de Overeenkomst door de Verwerker en uiterlijk op het moment dat de Overeenkomst eindigt, zal de Verwerker alle persoonsgegevens en desgevallende kopies die zij onder de Overeenkomst heeft verwerkt, correct verwijderen of, indien de Verantwoordelijke dit verzoekt, overmaken aan de Verantwoordelijke, tenzij EU-wetgeving of wetgeving van een EU-lidstaat de opslag van de persoonsgegevens oplegt.
Op verzoek van de Verantwoordelijke zal de Verwerker schriftelijk bevestigen aan de Verantwoordelijke dat de gegevens correct werden verwijderd (wat concreet betekent dat de persoonsgegevens niet kunnen worden hersteld of gereconstrueerd).
Indien de Verwerker om technische redenen niet alle persoonsgegevens kan vernietigen of verwijderen, zal zij de Verantwoordelijke hiervan onmiddellijk op de hoogte brengen en zal zij alle maatregelen nemen om:
(i) een volledige en permanente verwijdering van de persoonsgegevens zo goed als mogelijk te benaderen en om de overblijvende gegevens volledig en effectief te anonimiseren; en
(ii) de overblijvende persoonsgegevens die niet werden verwijderd of effectief werden geanonimiseerd onbeschikbaar te maken voor verdere verwerking.
1.6 Inschakelen van een sub-verwerker
De Verantwoordelijke erkent en bevestigt uitdrukkelijk dat de Verwerker beroep mag doen op sub-verwerkers voor de uitvoering van de Diensten zoals beschreven in de Overeenkomst.
Indien de Verwerker beroep doet op een sub-verwerker voor het uitvoeren van specifieke verwerkingsactiviteiten namens de Verantwoordelijke, zal deze sub-verwerking louter betrekking hebben op persoonsgegevens die noodzakelijk zijn voor de uitvoering van de Diensten van de Verwerker onder de Overeenkomst.
De Verwerker is ten aanzien van de Verantwoordelijke aansprakelijk voor het niet-naleven van de verbintenissen door de sub-verwerker(s), waaronder de verbintenissen inzake gegevensbescherming onder de Verwerkersovereenkomst.
De Verwerker zal steeds, vooraleer zij de uitvoering van de Diensten toevertrouwt aan een sub-verwerker, een relevant onderzoek doen om te kunnen beoordelen of de betreffende sub-verwerker in staat is om het vereiste beschermingsniveau te bieden zoals vereist is onder deze Verwerkersovereenkomst.
De Verwerker zal een schriftelijke overeenkomst sluiten met haar sub-verwerkers, die verplichtingen bevat die in geen geval minder beschermend zijn dan de verplichtingen opgenomen in huidige Verwerkersovereenkomst, waaronder de verplichtingen opgelegd door de toepasselijke standaardbepalingen van de Europese Commissie (2021/915/EU).
Voor zover er tussen Partijen reeds een overeenkomst bestaat omtrent het gebruik van sub-verwerkers door de Verwerker, worden deze opgenomen in Bijlage 2 bij de Verwerkersovereenkomst.
Indien de Verwerker beroep wenst te doen op een sub-verwerker, dient zij de Verantwoordelijke hiervan schriftelijk op de hoogte te brengen met vermelding van (i) de identiteit van de sub-verwerker, (ii) de omschrijving van de door de sub-verwerker te leveren (verwerkings)activiteit, en (iii) de plaats waar de gegevensverwerking door haar zal plaatsvinden.
Indien de Verantwoordelijke bezwaar heeft tegen de tussenkomst van een nieuwe sub-verwerker die de persoonsgegevens van de Verantwoordelijke zou verwerken, zal de Verantwoordelijke hiervan schriftelijk kennis geven aan de Verwerker binnen een termijn van 21 (eenentwintig) dagen na ontvangst van de kennisgeving in dit verband van de Verwerker. In dergelijk geval zal de Verwerker redelijke inspanningen leveren om de betreffende Diensten te wijzigen of om een commercieel redelijke wijziging aan te bevelen in het gebruik van de Diensten door de Verantwoordelijke om de verwerking door de sub-verwerker te vermijden. Indien de Verwerker deze wijziging niet binnen 60 (zestig) dagen beschikbaar stelt of voorstelt, kan de Verantwoordelijke het deel van de contractuele relatie tussen Partijen betreffende de Diensten die niet door de Verwerker kunnen worden verstrekt zonder de sub-verwerker te betrekken, beëindigen. De Verantwoordelijke zal daartoe een schriftelijke kennisgeving van beëindiging doen die de redelijke motivatie voor niet-goedkeuring bevat.
1.7 Doorgifte van gegevens buiten de Europese Economische Ruimte
Het is de Verwerker en de sub-verwerker in principe niet toegelaten om persoonsgegevens over te zenden buiten de Europese Economische Ruimte (hierna de EER).
Een uitzondering op dit verbod betreft de landen die een passend beschermingsniveau bieden zoals opgenomen in een adequaatheidsbeslissing van de Europese Commissie, waarover de Verwerker de Verantwoordelijke zal informeren.
De Verwerker zal toestemming krijgen om persoonsgegevens buiten de EER over te zenden indien wordt voldaan aan twee cumulatieve voorwaarden:
(i) een voorgaande specifieke schriftelijke machtiging door de Verantwoordelijke; en
(ii) er zijn passende waarborgen in overeenstemming met de AVG geïmplementeerd, zoals bijvoorbeeld:
- de ondertekening van de standaardbepalingen van de Europese Commissie tot overdracht van persoonsgegevens aan verwerkers die gevestigd zijn in een derde land (2021/915/EU), of
- goedgekeurde bindende bedrijfsvoorschriften, of
- de toetreding tot een goedgekeurde gedragscode.
Een doorgifte buiten de EER houdt onmiddellijk op van zodra de Europese Commissie daartoe besluit middels een ontoereikendheidsbeslissing in geval de veiligheidsmaatregelen in het land van bestemming niet langer voldoende of geldig zijn of indien de voorwaarden niet langer zijn vervuld.
1.8 Inbreuken in verband met persoonsgegevens en gegevenslekken
In geval dat de Verwerker een gegevenslek vaststelt, zal zij de Verantwoordelijke hiervan onmiddellijk op de hoogte brengen. De Verwerker dient de Verantwoordelijke in kennis te stellen binnen een bepaalde termijn, op een wijze die de Verantwoordelijke in staat stelt om te voldoen aan de door de AVG en de Gegevensbeschermingswetgeving opgelegde meldingsverplichting.
De kennisgeving aan de Verantwoordelijke dient uiterlijk binnen de 48 uur na de vaststelling van het gegevenslek te gebeuren met een e-mail die gemarkeerd is met “zeer belangrijk/onmiddellijke opvolging vereist” gericht aan de Data Protection Officer (DPO) of privacy officer van de Verantwoordelijke met e-mailadres: privacy@hello.be
De kennisgeving zal minstens de volgende informatie bevatten: een samenvatting, de omstandigheden en de oorzaak van het gegevenslek, de inhoud en het aantal persoonsgegevens die betrokken zijn, de categorieën en het aantal betrokken individuen, de mogelijke gevolgen, de genomen of voorgestelde maatregelen om de gevolgen van het gegevenslek te beperken, de datum en het tijdstip van het lek, de kennisname van het lek en de contactgegevens van de privacy officer bij de Verwerker die meer informatie kan verstrekken.
De Verwerker zal onmiddellijk antwoorden op enige bijkomende vragen uitgaande van de Verantwoordelijke met betrekking tot het gegevenslek en zal alle redelijke maatregelen nemen die de Verantwoordelijke nodig acht om het gegevenslek aan te pakken en de mogelijke negatieve gevolgen te beperken.
De Verwerker zal in elk geval haar medewerking verlenen aan de Verantwoordelijke en alle redelijke commerciële stappen zetten zoals opgelegd door de Verantwoordelijke om deze laatste bij te staan in haar onderzoek naar, beperking en herstel van het gegevenslek.
1.9 Audit, naleving, klachten en samenwerking met de toezichthoudende autoriteit
De Verwerker zal rekening houden met en zal haar medewerking verlenen aan audits en inspecties die de Verantwoordelijke of een door de Verantwoordelijke aangestelde auditor, op kosten van de Verantwoordelijke, uitvoert in het kader van de Verwerkersovereenkomst. De Verantwoordelijke kan maximaal 1 (één) keer per jaar een audit of inspectie uitvoeren.
De Verantwoordelijke of een door de Verantwoordelijke aangestelde auditor kan, onder voorbehoud van een redelijke voorafgaande kennisgeving, de ruimten of locaties betreden waar de persoonsgegevens door de Verwerker worden verwerkt en alle relevante bestanden, processen en systemen onderzoeken om na te gaan of de gegevensverwerking in overeenstemming is met de AVG, de Gegevensbeschermingswetgeving en deze Verwerkersovereenkomst.
De Verwerker werkt samen met de Verantwoordelijke en zal op diens verzoek alle informatie ter beschikking stellen die nodig is om te bewijzen dat de gegevensverwerking voldoet aan de AVG, de Gegevensbeschermingswetgeving en deze Verwerkersovereenkomst.
De Verwerker dient tenslotte steeds haar medewerking te verlenen aan de bevoegde toezichthoudende autoriteit.
1.10 Aansprakelijkheid
De aansprakelijkheid van elke Partij voor rechtstreekse schade is per contractjaar beperkt tot een bedrag van 25.000 EUR.
Geen van de Partijen kan aansprakelijk worden gesteld voor enige onrechtstreekse of gevolgschade, waaronder doch niet beperkt tot het verlies van inkomsten, winstderving, verlies van kansen, verlies van goodwill en aanspraken van derden.
Er is geen beperking van aansprakelijkheid in geval van fraude, opzet, overlijden en lichamelijk letsel ten gevolge van het nalaten van een Partij.
1.11 Toepasselijk recht en bevoegde rechtbank
Op deze Verwerkersovereenkomst is het Belgisch recht van toepassing.
Alle geschillen voortvloeiend uit of samenhangend met deze Verwerkersovereenkomst zullen worden voorgelegd aan de bevoegde rechtbanken te Antwerpen, afdeling Turnhout.