SERENI VERWERKERSOVEREENKOMST
Partijen:
- Sereni nv, Jan Van Gentstraat 7 b402 – 2000 Antwerpen, hierna te noemen ‘verantwoordelijke’, EN
- De Verwerker
Overwegen als volgt:
- partijen zijn op grond van artikel 28 lid 3 AVG gehouden afspraken te maken omtrent het waarborgen van de privacy van persoonsgegevens en vast te leggen in een verwerkersovereenkomst, hier te noemen ‘de overeenkomst’
- partijen zullen elkaar over en weer tijdig alle benodigde informatie verstrekken om een goede naleving van de geldende privacywet- en regelgeving mogelijk te maken
- de bepalingen van deze overeenkomst gaan vòòr alle andere afspraken die tussen partijen gelden ten aanzien van de verwerking van persoonsgegevens, indien en voor zover zij afwijken van hetgeen in deze overeenkomst is vastgelegd
Zijn overeengekomen:
Artikel 1 – Duur van de overeenkomst
- Deze is voor onbepaalde duur.
Artikel 2 – Voorwerp van de overeenkomst
De verantwoordelijke ontvangt onderstaande persoonsgegevens van onze opdrachtgever :
- Voornaam/Roepnaam
- Familienaam
- telefoonnummer
- adresgegevens
- verwachtschap tov de overledene
Artikel 3 – Het verwerken en gebruik van de persoonsgegevens
- Het doel van de verwerking blijkt uit de aard van de dienstverlening.
- De verwerker gebruikt de verkregen persoonsgegevens alleen voor de doeleinden waarvoor ze zijn verstrekt.
- De verwerker heeft een eigen verantwoordelijkheid om de gegevens niet in strijd met de geldende wet- en regelgeving te verwerken.
- De verwerker zal de persoonsgegevens niet aan derden verstrekken, tenzij dit noodzakelijk is om te voldoen aan de wettelijke verplichting.
- De verwerker zorgt ervoor dat de persoonsgegevens niet buiten de Europese Economische Ruimte worden verwerkt.
Artikel 4 – Geheimhouding
- De verwerker treft alle noodzakelijke maatregelen om geheimhouding van de persoonsgegevens van de verantwoordelijke te waarborgen.
- De verwerker zal dezelfde geheimhoudingsplicht opleggen aan diens personeel c.q. hiervoor ingeschakelde personen of sub-verwerkers.
Artikel 5 – Beveiliging
- De verantwoordelijke en de verwerker zullen beiden passende technische en organisatorische maatregelen treffen, zoals bedoeld in artikel 32 AVG, zodat zij een op het risico afgestemd beveiligingsniveau kunnen waarborgen.
- Indien de verantwoordelijke een beoordeling wenst uit te voeren van een beoogde verwerkingsactiviteit, verleent de verwerker alle redelijke medewerking om deze beoordeling in overeenstemming met de geldende wet- en regelgeving uit te voeren.
- De verwerker verleent eveneens alle redelijke medewerking aan een voorafgaande raadpleging van de Autoriteit Persoonsgegevens.
Artikel 6 – Audit
- Indien de Autoriteit Persoonsgegevens of een andere bevoegde autoriteit een onderzoek wenst uit te voeren, verleent de verwerker daartoe alle redelijke medewerking en stelt hij de verantwoordelijke hieromtrent zo snel mogelijk van op de hoogte.
Artikel 7 – Datalek
- Indien zich een datalek voordoet informeert de verwerker de verantwoordelijke hieromtrent.
- In geval van een datalek treft de verwerker alle redelijke noodzakelijke maatregelen om de gevolgen hiervan te beperken en een nieuw lek te voorkomen.
- De verwerker verleent de verantwoordelijke alle medewerking die noodzakelijk is om de omvang en gevolgen van het datalek te kunnen beoordelen en te kunnen voldoen aan de eventuele meldplicht datalekken richting de Autoriteit Persoonsgegevens alsook aan de informatieplicht richting betrokkenen.
Artikel 8 – Procedure meldplicht datalekken
Indien zich een datalek voordoet geldt de volgende procedure:
- de verwerker registreert alle beveiligingsincidenten op een manier die inzichtelijk is voor de verantwoordelijke
- deze registratie omvat ten minste de volgende gegevens : een omschrijving van het incident; het aantal personen dat (bij benadering) getroffen is door het incident; de groep(en) personen getroffen door het incident; de datum en het tijdstip van het incident; de aard van de inbreuk; het type gegevens dat is getroffen; de mogelijke gevolgen voor de betrokkenen; de technische en organisatorische maatregelen die zijn getroffen naar aanleiding van het incident; op welke wijze de gelekte gegevens beveiligd zijn; of de gegevens gehasht zijn, ontoegankelijke zijn gemaakt of op afstand kunnen worden gewist c.q. zijn gewist; en of er en zo ja welke gegevens van personen in andere EU-landen zijn getroffen door het datalek
- de verwerker informeert de verantwoordelijke binnen 5 uur nadat hij kennis heeft gekregen van het incident onder gelijktijdige overhandiging van de registratie ervan, zoals hierboven beschreven
- de verwerker houdt zich de eerste 24 uur nadat hij de verantwoordelijke geïnformeerd heeft omtrent een datalek, continu beschikbaar voor overleg met de verantwoordelijke c.q. eventuele door de verantwoordelijke aangewezen experts
- de verantwoordelijke informeert de verwerker voorafgaand, wanneer hij/zij besluit het lek te melden bij de Autoriteit Persoonsgegevens
- de verwerker verleent de verantwoordelijke alle noodzakelijke medewerking zodat deze laatste met inachtneming van de wettelijke vereisten een melding datalek kan doen bij de Autoriteit Persoonsgegevens
- de verwerker verleent alle medewerking aan de verantwoordelijke om de getroffen personen conform artikel 34 AVG te kunnen informeren omtrent het datalek
Artikel 9 – Verzoeken van betrokkenen
- Ieder verzoek tot inzage, rectificatie, gegevens wissing, beperking van de verwerking, overdraagbaarheid van gegevens of bezwaar zoals bedoeld in artikelen 15 tot en met 21 AVG dat de verwerker bereikt, stuurt hij onverwijld door aan de verantwoordelijke.
- De verwerker verleent de verantwoordelijke alle redelijke medewerking zodat laatstgenoemde binnen de wettelijke termijnen kan voldoen aan een verzoek zoals bedoeld in lid 1.
Artikel 10 – Aansprakelijkheid en vrijwaring
- De verwerker is niet verantwoordelijk voor schade als gevolg van schendingen van enige wet- of regelgeving door de verantwoordelijke.
- De verantwoordelijke is niet verantwoordelijke voor schade als gevolg van schendingen van enige wet- of regelgeving door de verwerker.
Artikel 11 – Gevolgen van nietigheid of vernietigbaarheid
Indien een deel van de overeenkomst nietig of vernietigbaar is, dan tast dit de overige bepalingen in de overeenkomst niet aan. Een bepaling die nietig of vernietigbaar is, wordt in dat geval vervangen door een bepaling die het dichts in de buurt komt van wat partijen bij het sluiten van de overeenkomst op dat punt voor ogen hadden.
Artikel 12 – Toepasselijk recht en bevoegde rechter
- Op deze overeenkomst is Belgisch recht van toepassing.
- Alle eventuele geschillen die ontstaan naar aanleiding van deze overeenkomst en die niet in der minne kunnen worden opgelost worden voorgelegd aan de bevoegde rechter van het Gerechtelijk Arrondissement Antwerpen.
Deze standaard verwerkingsovereenkomst geldt als aanvaard indien er geen weigering van aanvaarding wordt overgemaakt aan de verantwoordelijke binnen 1 werkdag.