Decreet lokaal bestuur.
Verordening (EU) nr. 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (Algemene Verordening Gegevensbescherming).
In het kader van de samenwerking tussen ons OCWW en Sociale Kruidenier Vlaams-Brabant voor de organisatie van de sociale kruidenier, dient deze verwerkersovereenkomst afgesloten te worden.
Artikel 1: De OCMW-raad keurt de verwerkersovereenkomst met Sociale Kruidenier Vlaams-Brabant - Solikoop goed:
Regeling tussen gezamenlijke verwerkingsverantwoordelijken in het kader van het aanbieden van een sociale kruidenier voor rechthebbenden
Datum
Deze regeling wordt gesloten conform artikel 26, eerste lid, van de verordening (EU) nr. 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (Algemene Verordening Gegevensbescherming).
TUSSEN
OCMW Oud-Heverlee met maatschappelijke zetel gelegen te Oud-Heverlee hierbij rechtsgeldig vertegenwoordigd door Bart Clerckx, burgemeester en Marijke Pertz, algemeen directeur;
EN
Sociale kruidenier Vlaams-Brabant CV-SO met maatschappelijke zetel gelegen te Eénmeilaan 2, 3010 Leuven en met ondernemingsnummer 0627.651.564, hierbij rechtsgeldig vertegenwoordigd door Dirk Masquillier, voorzitter;
Hierna gezamenlijk te noemen: “Partijen” of afzonderlijk “Partij”.
1.1. Deze Overeenkomst bepaalt het kader waarbinnen persoonsgegevens kunnen worden uitgewisseld tussen de hoger vermelde Partijen.
1.2. Deze Overeenkomst brengt geen samenwerkingsverband, vereniging of vennootschap tot stand.
1.3. Elke partij heeft het recht om de Overeenkomst op te zeggen door een schriftelijke opzeg, betekend bij gerechtsdeurwaardersexploot, bij ter post aangetekende brief, of bij overhandiging tegen ontvangstbewijs. De opzegtermijn bedraagt 3 maanden, te rekenen vanaf de eerste werkdag volgend op de maand waarin de opzeg werd betekend.
1.4. De partijen verbinden zich ertoe hun verplichtingen na te leven zoals ze in deze Overeenkomst worden bepaald.
Bij de uitvoering van deze overeenkomst zullen volgende definities gelden:
2.1. AVG: Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming);
2.2. Betrokkene: de geïdentificeerde of identificeerbare natuurlijke persoon op wie een Persoonsgegeven betrekking heeft;
2.3. Datalek: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens;
2.4. Derden: elke natuurlijke persoon, rechtspersoon, overheidsinstantie, dienst of ander orgaan andere dan de Betrokkene, de Verwerker, Subverwerker, de Verwerkingsverantwoordelijke en hun personeelsleden of aangestelden;
2.5. Opdracht: de opdracht zoals omschreven in bijlage 1;
2.6. Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon, zoals ook gedefinieerd in artikel 4, lid 1 van de AVG, die de Verwerker in het kader van de Opdracht Verwerkt;
2.7. Unierechtelijke of lidstaatrechtelijke bepaling: een bepaling opgelegd door Unierechtelijke of (EU) lidstaatrechtelijke wetgeving;
2.8. Verwerken / Verwerking: elke bewerking of geheel van bewerkingen met betrekking tot Persoonsgegevens of een geheel van Persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens, zoals ook gedefinieerd in artikel 4, lid 2 van de AVG;
3.1. Aard van de Verwerking
3.1.1. De Partijen erkennen dat hun respectieve rollen in het kader van de Regelgeving op Gegevensverwerking worden bepaald door de feitelijke omstandigheden van hun samenwerking.
Niettegenstaande het voorgaande aanvaardt elke Partij dat de aard van de Gegevensverwerking in de uitvoering van deze Overeenkomst als volgt wordt bepaald:
a) elke Partij zal Persoonsgegevens verwerken;
b) elke Partij zal optreden als Verwerkingsverantwoordelijke bij het Verwerken van Persoonsgegevens voor eigen rekening en op de eigen systemen; meer in het bijzonder, zal elke Partij wanneer zij individueel optreedt of gezamenlijk optreedt, Verwerkingsverantwoordelijke zijn voor de Persoonsgegevens op de volgende wijze:
c) Onverminderd alinea 3.1.1 b) geldt dat: wanneer een Partij wordt beschouwd als gezamenlijke Verwerkingsverantwoordelijke met een andere Partij in verband met de Verwerking van Persoonsgegevens, de Partijen overeenkomen dat zij gezamenlijk verantwoordelijk zullen zijn voor het naleven van hun verplichtingen opgelegd door de Regelgeving op Gegevensbescherming, en dat zij zullen samenwerken om al het nodige te doen opdat deze verplichtingen kunnen worden nageleefd, met uitzondering van de bepaling dat elke Partij onbeperkt aansprakelijk zal blijven voor het naleven van haar verplichtingen over het treffen van de Veiligheidsmaatregelen bepaald in alinea 3.2.2 e), telkens wanneer Persoonsgegevens door die Partij worden verstuurd, of zolang de Persoonsgegevens in het bezit of onder de controle van die Partij zijn.
d) De Partijen erkennen en aanvaarden dat Bijlage 1 (Kenmerken van de Gegevensverwerking) van deze Overeenkomst een accurate beschrijving vormt van de Kenmerken van de Gegevensverwerking.
3.1.2. De Partijen erkennen dat:
a) als Functionaris voor Gegevensbescherming van lokaal bestuur DPO Oud-Heverlee werd aangesteld: dpo@oud-heverlee.be
b) als Functionaris voor Gegevensbescherming van Solikoop werd aangesteld: Dirk Masquillier, dirk.masquillier@saamo.be
3.2. Verplichtingen van de Verwerkingsverantwoordelijke
3.2.1. De bepalingen van deze overeenkomst zijn van toepassing op de verplichtingen tussen de verwerkingsverantwoordelijken, bij voorrang op, en niet tegenstaande andersluidende bepalingen in voordien gesloten overeenkomsten.
3.2.2. De Partijen zullen, in het kader van de Verwerking van Persoonsgegevens hun respectievelijke verplichtingen opgelegd door de Regelgeving op Gegevensverwerking naleven.
3.2.3. Zonder afbreuk te doen aan de algemene verbintenis bepaald in de voorgaande alinea, zal elke Partij in het bijzonder:
a) de gepaste meldingen doen aan de VTC, telkens wanneer ze daartoe verplicht is;
b) ervoor zorgen dat ze niet onderworpen is aan enig verbod of enige beperking, als gevolg waarvan:
i) zij verhinderd of beperkt wordt in haar mogelijkheid om de Persoonsgegevens bekend te maken of te versturen aan de andere Partij, zoals noodzakelijk is voor de uitvoering van deze Overeenkomst;
ii) zij verhinderd of beperkt wordt in haar mogelijkheid om de andere Partij toegang te geven tot de Persoonsgegevens, zoals noodzakelijk is voor de uitvoering van deze Overeenkomst;
iii) een Partij verhinderd of beperkt wordt om Persoonsgegevens te Verwerken, zoals noodzakelijk is voor de uitvoering van deze Overeenkomst;
c) ervoor zorgen dat alle billijke informatie over de Verwerking wordt verstrekt (en/of toestemmingen worden verkregen telkens wanneer dit noodzakelijk is), en dat deze informatie voldoende omvangrijk is om aan de Partijen toe te laten de nodige Verwerking van Persoonsgegevens te doen, om hun respectievelijke rechten uit te oefenen, en hun verplichtingen na te leven volgens deze Overeenkomst, in overeenstemming met de Regelgeving op Gegevensverwerking.
d) ervoor zorgen dat alle Persoonsgegevens die worden bekendgemaakt of verstuurd aan de andere Partij, of waartoe de andere Partij toegang neemt, accuraat, bijgewerkt, adequaat en niet overmatig zijn, om aan de andere Partij toe te laten Persoonsgegevens te Verwerken, zoals bepaald in deze Overeenkomst;
e) ervoor zorgen dat passende technische en organisatorische veiligheidsmaatregelen (zie bijlage 2) van kracht zijn;
f) de andere Partij onverwijld, en in ieder geval binnen achtenveertig (48) uur, in te lichten over de ontvangst van een Verzoek van de Betrokkene, of van een Bericht van de Toezichthouder, dat rechtstreeks of onrechtstreeks verband houdt met de Verwerking van Persoonsgegevens volgens, of in verband met, deze Overeenkomst. De Partij zal bij deze inlichting een kopie voegen van het Verzoek van de Betrokkene of het Bericht van de Toezichthouder, samen met alle redelijke details over de omstandigheden die aanleiding gaven tot het Verzoek van de Betrokkene, of het Bericht van de Toezichthouder. Naast het geven van deze inlichting, zal elke Partij aan de andere Partij alle redelijke medewerking en bijstand verlenen, die de andere Partij nodig heeft in verband met het Verzoek van de Betrokkene of het Bericht van de Toezichthouder;
g) alle redelijke inspanningen leveren om de andere Partij er over in te lichten, telkens wanneer zij wettelijk of reglementair verplicht wordt om Persoonsgegevens bekend te maken. Deze inlichting zal voorafgaand aan de bekendmaking gebeuren of onmiddellijk volgend op de bekendmaking tenzij dit bij wet is verboden;
h) de andere Partij schriftelijk inlichten wanneer zij kennis krijgt van een feitelijke of vermoedelijke Inbreuk op de Bescherming van de Persoonsgegevens, en dit onverwijld en in ieder geval binnen vierentwintig (24) uur na het kennis krijgen, voor zover die Inbreuk betrekking heeft op Persoonsgegevens die zij ontving van de andere Partij.
Bovendien zal zij binnen het tijdkader dat wordt overeengekomen door de Partijen:
i) alle noodzakelijke maatregelen treffen om de beveiliging van de getroffen Persoonsgegevens te herstellen; en
ii) de andere Partij ondersteunen bij het verrichten van elke verplichte melding aan de VTC en/of andere gelijkwaardige toezichthouder, en aan de getroffen Betrokkenen;
i) redelijke maatregelen treffen om de betrouwbaarheid te verzekeren van alle medewerkers die toegang hebben tot de Persoonsgegevens;
j) zich onthouden van elke handeling die Schade kan berokkenen aan de andere Partij, afbreuk doen aan de reputatie van de andere Partij, of afbreuk doen aan de relatie tussen de andere Partij en de Betrokkenen;
k) geen door haar Verwerkte Persoonsgegevens versturen naar een Ongeoorloofde Bestemming;
l) de informatie vervat in de Persoonsgegevens vertrouwelijk bewaren, en ten minste onder omstandigheden van vertrouwelijkheid gelijkwaardig aan de omstandigheden waaronder zij persoonlijke gegevens (andere dan de Persoonsgegevens) bewaart die zij Verwerkt;
m) Goede Praktijken in voeren en handhaven bij het Verwerken van Persoonsgegevens.
VOOR OCMW Oud-Heverlee
Naam: …
Functie: …
Handtekening: …. Datum: ……
VOOR SOCIALE KRUIDENIER VLAAMS-BRABANT
Naam: Dirk Masquillier
Functie: voorzitter
Handtekening: …. Datum: ……
BIJLAGE 1: KENMERKEN VAN DE GEGEVENSVERWERKING
| Onderwerp, doel en duur van de Verwerking |
Onderwerp en doel van de Verwerking:
Gemeenschappelijk doel: voorzien in aanbod sociale kruidenier voor rechthebbenden Duur van de Verwerking: tot einde overeenkomst Solikoop Geplande bewaartermijn: tot 1 jaar nadat de sociale klant niet langer ‘actief’ is |
| Aard van de Verwerking |
|
| Soort Verwerkte Persoonsgegevens |
Deze soorten of types Persoonsgegevens worden Verwerkt:
|
| Categorieën van Betrokkenen |
De persoonsgegevens betreffen mensen die geïdentificeerd werden als rechthebbende |
BIJLAGE 2: TECHNISCHE EN ORGANISATORISCHE MAATREGELEN
Organisatorisch
| OCMW |
Sociale Kruidenier Vlaams-Brabant CV/SO |
| Verantwoordelijke voor informatiebeveiliging: OCMW heeft informatieveiligheidsconsulent aangesteld die verantwoordelijk is voor de data beveiliging Contactgegevens: |
Verantwoordelijke voor informatiebeveiliging: CV-SO Sociale Kruidenier Vlaams-Brabant heeft informatieveiligheidsconsulent aangesteld die verantwoordelijk is voor de data beveiliging Contactgegevens: Samuel Stynen - +32 478 88 18 75 |
| Verantwoordelijke voor gegevensbescherming: OCMW heeft een Data Protection Security Officer aangewezen die verantwoordelijk is voor het coördineren, opvolgen en controleren van de beveiligingsregels en -procedures. Contactgegevens: |
Verantwoordelijke voor gegevensbescherming: CV-SO heeft een Data Protection Security Officer aangewezen die verantwoordelijk is voor het coördineren, opvolgen en controleren van de beveiligingsregels en -procedures. Contactgegevens: Dirk Masquillier - +32 497 444 429 |
| Verantwoordelijkheden op vlak van informatiebeveiliging en gegevensbescherming: De verantwoordelijkheden van de medewerkers van OCMW zijn formeel gedocumenteerd en gepubliceerd in een privacy- en security policy |
Verantwoordelijkheden op vlak van informatiebeveiliging en gegevensbescherming: De verantwoordelijkheden van de medewerkers van CV-SO Sociale Kruidenier Vlaams-Brabant zijn formeel gedocumenteerd en gepubliceerd in een privacy- en security policy |
| Incident response: OCMW houdt een register van beveiligingsinbreuken bij met een beschrijving van de inbreuk, het tijdstip, de gevolgen van de inbreuk, de naam van de melder en van degene aan wie de inbreuk werd gemeld. |
Incident response: CV-SO Sociale Kruidenier Vlaams-Brabant houdt een register van beveiligingsinbreuken bij met een beschrijving van de inbreuk, het tijdstip, de gevolgen van de inbreuk, de naam van de melder en van degene aan wie de inbreuk werd gemeld. |
| Notificatie van incidenten: In geval van een gegevensbeveiligingsincident dat impact heeft op de vertrouwelijkheid of integriteit van persoonsgegevens van klanten, zal OCMW zonder onredelijke vertraging, de verwerkingsverantwoordelijke hiervan informeren. |
Notificatie van incidenten: In geval van een gegevensbeveiligingsincident dat impact heeft op de vertrouwelijkheid of integriteit van persoonsgegevens van klanten, zal CV-SO Sociale Kruidenier Vlaams-Brabant zonder onredelijke vertraging, de verwerkingsverantwoordelijke hiervan informeren. |
| Risicoanalyse, beheer en controle: OCMW voert periodiek risicoanalyses uit van de genomen beveiligingsmaatregelen en doet controles voor wat betreft de naleving van de verschillende informatiebeveiligingsprocedures |
Risicoanalyse, beheer en controle: CV-SO Sociale Kruidenier Vlaams-Brabant voert periodiek risicoanalyses uit van de genomen beveiligingsmaatregelen en doet controles voor wat betreft de naleving van de verschillende informatiebeveiligingsprocedures |
Personeel
| OCMW |
Sociale Kruidenier Vlaams-Brabant CV/SO |
| Training over belang van beveiliging en omgang met persoonsgegevens: OCMWvoorziet opleidingen om alle medewerkers te sensibiliseren voor wat betreft de beveiligingsrichtlijnen- en beveiligingsprocedures en hun rol daarbij. |
Training over belang van beveiliging en omgang met persoonsgegevens: CV-SO Sociale Kruidenier Vlaams-Brabant voorziet opleidingen om alle medewerkers te sensibiliseren voor wat betreft de beveiligingsrichtlijnen- en beveiligingsprocedures en hun rol daarbij. |
Fysiek
| OCMW |
Sociale Kruidenier Vlaams-Brabant CV/SO |
| Fysieke toegang tot productie- en bureauruimtes: OCMW beperkt de toegang tot haar ruimtes waar persoonsgegevens verwerkt worden in kader van haar opdracht, strikt tot geïdentificeerde en geautoriseerde personen. locaties. |
Fysieke toegang tot productie- en bureauruimtes: CV-SO Sociale Kruidenier Vlaams-Brabant beperkt de toegang tot haar ruimtes waar persoonsgegevens verwerkt worden in kader van haar opdracht, strikt tot geïdentificeerde en geautoriseerde personen. |
Technologisch
| OCMW |
Sociale Kruidenier Vlaams-Brabant CV/SO |
| Antivirus en beveiligingsupdates: OCMW voorziet al zijn systemen van de laatste updates. Beveiligingsupdates worden opgevolgd en geïnstalleerd volgens haar patchmanagementproces |
Antivirus en beveiligingsupdates: CV-SO Sociale Kruidenier Vlaams-Brabant voorziet al zijn systemen van de laatste updates. Beveiligingsupdates worden opgevolgd en geïnstalleerd volgens haar patchmanagementproces |
| Kwaadaardige Software: OCMW voert anti-malwarecontroles uit om te helpen voorkomen dat kwaadaardige software ongeautoriseerde toegang tot klantengegevens krijgt.
|
Kwaadaardige Software: CV-SO Sociale Kruidenier Vlaams-Brabant voert anti-malwarecontroles uit om te helpen voorkomen dat kwaadaardige software ongeautoriseerde toegang tot klantengegevens krijgt.
|
| Logging van toegangen. OCMW voorziet een continue logging op de server van alle toegangen tot haar systemen die persoonsgegevens bevatten met inbegrip van welke gebruiker, de tijd en activiteit. Alle logbestanden worden gedurende 90 dagen bijgehouden.
|
Logging van toegangen. CV-SO Sociale Kruidenier Vlaams-Brabant voorziet een continue logging op de server van alle toegangen tot haar systemen die persoonsgegevens bevatten met inbegrip van welke gebruiker, de tijd en activiteit. Alle logbestanden worden gedurende 90 dagen bijgehouden.
|
| Versleuteling van verbindingen: OCMW maakt gebruikt van beveiligde verbindingen voor de toegang tot haar gegevens in het datacenter. Alle data die verzonden wordt over publieke netwerken gebeurt dan ook aan de hand van encryptie mechanismen. ð https ð VPN
|
Versleuteling van verbindingen: CV-SO Sociale Kruidenier Vlaams-Brabant maakt gebruikt van beveiligde verbindingen voor de toegang tot haar gegevens in het datacenter. Alle data die verzonden wordt over publieke netwerken gebeurt dan ook aan de hand van encryptie mechanismen. ð https ð VPN
|
| Wachtwoordbeleid: OCMW maakt gebruik van een combinatie van gebruikers/wachtwoord. Wachtwoorden dienen steeds te bestaan uit minimaal acht tekens en zowel uit minimaal één hoofdletter, letter, cijfer.
|
Wachtwoordbeleid: CV-SO Sociale Kruidenier Vlaams-Brabant maakt gebruik van een combinatie van gebruikers/wachtwoord. Wachtwoorden dienen steeds te bestaan uit minimaal acht tekens en zowel uit minimaal één hoofdletter, letter, cijfer.
|
| Controle over systeem updates en evoluties: OCMW heeft een formeel wijzigingsbeheerproces geïmplementeerd om ervoor te zorgen dat wijzigingen in operationele systemen en toepassingen plaatsvinden op een gecontroleerde wijze.
|
Controle over systeem updates en evoluties: CV-SO Sociale Kruidenier Vlaams-Brabant heeft een formeel wijzigingsbeheerproces geïmplementeerd om ervoor te zorgen dat wijzigingen in operationele systemen en toepassingen plaatsvinden op een gecontroleerde wijze. |
| Beveiligingsvereisten: De vereisten voor de bescherming van gegevens en systemen worden geanalyseerd en gespecificeerd in samenwerking met onze IT-leverancier(s). |
Beveiligingsvereisten: De vereisten voor de bescherming van gegevens en systemen worden geanalyseerd en gespecificeerd in samenwerking met onze IT-leverancier(s). |
| OCMW is uitgerust met een geavanceerde firewall en controlemechanismen die zijn interne netwerk op gepaste wijze beschermt tegen ongeoorloofde toegang tot zijn interne netwerk. |
CV-SO Sociale Kruidenier Vlaams-Brabant is uitgerust met een geavanceerde firewall en controlemechanismen die zijn interne netwerk op gepaste wijze beschermt tegen ongeoorloofde toegang tot zijn interne netwerk. |
| Toegangsautorisatie: OCMW implementeert en handhaaft een autorisatiebeheersysteem dat de toegang controleert tot systemen die persoonsgegevens bevatten. |
Toegangsautorisatie: CV-SO Sociale Kruidenier Vlaams-Brabant implementeert en handhaaft een autorisatiebeheersysteem dat de toegang controleert tot systemen die persoonsgegevens bevatten. |
| Segregatie: OCMW heeft een segregatie ingevoerd om te vermijden dat personen toegang krijgen tot gegevens waarvoor ze geen toegang nodig hebben voor de uitoefening van hun taak. |
Segregatie: CV-SO Sociale Kruidenier Vlaams-Brabant heeft een segregatie ingevoerd om te vermijden dat personen toegang krijgen tot gegevens waarvoor ze geen toegang nodig hebben voor de uitoefening van hun taak. |
BIJLAGE 3: SUBVERWERKERS
SAAMO Vlaams-Brabant vzw
Eenmeilaan 2
3010 Kessel-Lo
+32 497 444 429
0431.154.904
BIJLAGE 4: TOESTEMMINGSFORMULIER
De door u verstrekte gegevens zullen door OCMW Oud-Heverlee worden verwerkt. Zij zullen uitsluitend worden gebruikt voor de aanvraag van een klantenkaart bij Solikoop en dit op grond van toestemming.
De u betreffende gegevens zullen worden doorgegeven aan Solikoop met het oog op het aanmaken van een klantenkaart.
Ondergetekende…………………………………, geeft toestemming aan OCMW Oud-Heverlee opdat de hem betreffende persoonsgegevens worden verwerkt in het kader van bovenvermeld doeleinde, namelijk de aanvraag van een klantenkaart bij Solikoop.
Ondergetekende is tevens akkoord dat de hem betreffende persoonsgegevens worden doorgegeven aan Solikoop met het oog op het aanmaken van een klantenkaart.
Ondergetekende kan deze toestemmingen ten alle tijden intrekken.
………………………….. (datum en ondertekening)
Privacyverklaring
Overeenkomstig de Algemene Verordening Gegevensverwerking (AVG) of de General Data Protection Regulation (GDPR) van 25 mei 2018 heeft u de volgende rechten:
Voor vragen of opmerkingen in verband met de aanvraag van de klantenkaart kan u de functionaris gegevensbescherming contacteren op info@solikoop.be. Voor meer informatie kan u terecht op de algemene privacyverklaring van lokaal bestuur op: https://www.oud-heverlee.be/privacy
Voor vragen of opmerkingen in verband met de aanmaak van de klantenkaart kan u de functionaris gegevensbescherming van Solikoop contacteren op info@solikoop.be. Voor meer informatie kan u terecht op de algemene privacyverklaring van Solikoop op: zie privacyverklaring Solikoop.