Uitbesteding van persoongegevens
Artikel 1: Voorwerp
In het kader van de tussen de partijen gesloten overeenkomst wenst de klant bepaalde verwerkingen van persoonsgegevens in de zin van de AVG uit te besteden aan de vennootschap. Deze bijlage omschrijft de voorwaarden waaronder deze uitbesteding zal plaatsvinden.
De vennootschap zal persoonsgegevens alleen verwerken op basis van gedocumenteerde aanwijzingen van de klant, die als verwerkingsverantwoordelijke optreedt. In overeenstemming met deze aanwijzingen zal de vennootschap persoonsgegevens enkel in opdracht van de klant verwerken voor de volgende doeleinden:
onderhoud en beheer van de informaticainfrastructuur in de breedste zin van het woord. Het gaat voornamelijk om de volgende zaken: firewalls, switches, servers, PC’s, laptops, telefonische centrales, camera’s, parlofoons, wifi-antennes, anti-spam, opslag, e-mail, back-up, cloud.
De verwerking van deze gegevens wordt stopgezet als de samenwerking tussen de vennootschap en de klant stopt of op eenvoudig schriftelijk verzoek van de klant. Op dat moment worden de gegevens, naar keuze van de klant, volledig vernietigd of teruggegeven aan de klant, zonder afbreuk te doen aan alle wettelijke of reglementaire verplichtingen van het tegendeel.
De soorten persoonsgegevens zijn: identiteit van de klant, van de partner, van de leverancier of onderaannemer, telefoonnummers, identiteit van netwerkbeheerders, geschiedenis van de bezochte webpagina’s, aankoopgeschiedenis, geschiedenis van onbetaalde facturen, betalingsinformatie, lokalisatiegegevens, beelden van videobewaking, beheer van de wachtwoorden die door de klant toevertrouwd zijn, back-up van gegevens die door de klant gewenst zijn.
Artikel 2: Gebruik van persoonsgegevens (art. 28, lid 3,4)
Alleen persoonsgegevens die strikt noodzakelijk zijn voor de in artikel 1 beschreven doeleinden mogen door de dienstverlener worden verwerkt. De verwerking van deze gegevens en de terbeschikkingstelling ervan moeten altijd op een beveiligde manier worden georganiseerd.
Het is verboden voor de vennootschap om een kopie van de ter beschikking gestelde gegevens te maken, behalve dan voor back-up doeleinden. Indien de gegevens achteraf niet meer nodig zijn, zal de vennootschap ze vernietigen of terugsturen naar haar klant.
De vennootschap is ertoe gehouden om de vertrouwelijkheid van de persoonsgegevens die zij van de klant ontvangt te garanderen, tenzij een wettelijk voorschrift of gerechtelijk bevel haar verplicht om over deze gegevens te communiceren of ze over te dragen.
Artikel 3: Gebruik van volgende onderaannemers
Voor de praktische uitvoering geeft de klant zijn algemene instemming met het gebruik door de vennootschap van volgende onderaannemers. De vennootschap zal aan de klant kennisgeven van de tussenkomst van iedere nieuwe onderaannemer en dit 7 kalenderdagen voor de aanvang van de opdracht van die onderaannemer. Indien de klant geen bezwaar aantekent binnen twee werkdagen na deze kennisgeving, wordt hij geacht de tussenkomst van de volgende onderaannemer te hebben aanvaard.
De vennootschap zal aan de volgende onderaannemer de naleving van alle in deze bijlage opgenomen verplichtingen opleggen.
Artikel 4: Beveiliging
Zowel de vennootschap als de klant treffen beiden technische en organisatorische maatregelen om een passend veiligheidsniveau te waarborgen.
In het bijzonder zal de vennootschap de persoonsgegevens beveiligen tegen vernietiging, verlies, wijziging of niet-toegelaten bekendmaking van de overgedragen gegevens.
De door de vennootschap getroffen maatregelen zijn:
Implementatie en gebruik van beveiligingstechnologieën en -technieken die in overeenstemming zijn met de beste praktijken in de sector (firewall, netwerk, server- en eindpuntbescherming, wachtwoordbeleid).
Versleuteling van persoonsgegevens (ten minste voor de wachtwoorden) bij de gegevensoverdracht.
Gebruik van beveiligde verbindingen en certificaten voor websites en dataverkeer (HTTPS, SSL, VPN).
Beveiligde toegang tot het materiaal dat deze gegevens bevat (toegang tot de beveiligde ruimte, digicode, camera).
Indien de klant van mening is dat aanvullende maatregelen vereist zijn wegens de aard van de gegevens, zal hij hiervoor een uitdrukkelijk verzoek bij de vennootschap indienen en zullen de partijen samen de toepassingsregels en de kostprijs voor de uitvoering van deze maatregelen bepalen.
Artikel 5: Toegangsbeperking
De vennootschap zal de noodzakelijke technische en organisatorische maatregelen treffen om ervoor te zorgen dat de plaatsen waar persoonsgegevens worden verwerkt niet toegankelijk zijn voor onbevoegden. De vennootschap zal de toegang tot persoonsgegevens beperken tot de personeelsleden die gegevens nodig hebben om de taken die hun zijn toevertrouwd, uit te voeren.
Artikel 6: Sensibilisering en opleiding van het personeel
De dienstverlener verbindt zich ertoe om personen die toegang hebben tot de gegevens, in overeenstemming met dit contract, te informeren over de bepalingen van de Algemene Verordening Gegevensbescherming. Hij garandeert dat de personen die gemachtigd zijn om de gegevens te verwerken, zich ertoe hebben verbonden de vertrouwelijkheid ervan te respecteren.
Artikel 7: Begeleiding van de verwerkingsverantwoordelijke
Het is de verantwoordelijkheid van de klant om de informatie te verstrekken aan de personen die betrokken zijn bij de verwerking van de gegevens op het moment van het verzamelen van de gegevens.
De vennootschap zal de klant door middel van passende technische en organisatorische maatregelen bijstaan bij de vervulling van zijn verplichting om te reageren op verzoeken van de betrokken personen om hun rechten uit te oefenen. In de praktijk zal de vennootschap elk verzoek dat zij in dit verband ontvangt, zo spoedig mogelijk aan de klant doorsturen. Alle andere begeleiding die hiervoor nodig is, kan aan de klant in rekening worden gebracht.
De vennootschap geeft de klant zo snel als mogelijk kennis van iedere schending van persoonsgegevens na hiervan kennis genomen te hebben.
Op verzoek van de klant:
- begeleidt de vennootschap hem om impactanalyses uit te voeren betreffende gegevensbescherming en bij de voorafgaandelijke raadpleging van de controleautoriteit;
- helpt de vennootschap hem om de naleving te vrijwaren van zijn verplichtingen inzake veiligheid en beheer van schendingen van persoonsgegevens;
- stelt de vennootschap aan de klant alle noodzakelijke informatie ter beschikking om de naleving van zijn verplichtingen op het gebied van bescherming van persoonsgegevens aan te tonen en maakt ze de
- uitvoering van audits mogelijk.
Al deze diensten worden aan de klant gefactureerd volgens de tussen partijen overeengekomen voorwaarden.