Verwerkersvoorwaarden
Hoe gaan we om met jouw data.
Dit zijn de Verwerkersvoorwaarden van Fraai Agency bv, met maatschappelijke zetel te Pieter Coeckestraat 63, 9300 Aalst en ingeschreven in de K.B.O onder nummer 0781.617.783.
Artikel 1 - Voorwerp
Deze Verwerkersvoorwaarden vloeien voort uit de verplichting opgenomen in artikel 28 van de AVG die bepaalt dat tussen Verwerker en Verwerkingsverantwoordelijke een geschreven verwerkersovereenkomst dient opgemaakt te worden.
De Klant bevestigt en aanvaardt dat deze Verwerkersvoorwaarden integraal deel uitmaken van de Hoofdovereenkomst tussen ons en de Klant. In geval van tegenstrijdigheden tussen de Hoofdovereenkomst en deze Verwerkersovereenkomst hebben de bepalingen van deze Verwerkersvoorwaarden voorrang.
Deze Verwerkersvoorwaarden zijn van toepassing op elke verwerking van persoonsgegevens door ons als Verwerker in opdracht van de Klant als Verwerkingsverantwoordelijke tijdens de duur van de Hoofdovereenkomst.
Artikel 2 - Definities
- Algemene Verordening Gegevensbescherming of AVG: de Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG.
- Betrokkene(n) of Betrokken Personen: de identificeerbare natuurlijke persoon wiens Persoonsgegevens verwerkt worden.
- Hoofdovereenkomst: de overeenkomst tot uitvoering van de Diensten zoals vervat in de offerte en/of projectbeschrijving en Algemene Voorwaarden.
- Verwerkingsverantwoordelijke: iedere natuurlijke of rechtspersoon die het doel van en de middelen voor de Verwerking van persoonsgegevens vaststelt.
- Verwerker: iedere natuurlijke of rechtspersoon die ten behoeve van de Verwerkingsverantwoordelijke persoonsgegevens verwerkt.
- Subverwerker: iedere derde partij die door Verwerker wordt ingeschakeld om ten behoeve van de Verwerker persoonsgegevens te verwerken, zonder aan het rechtstreeks gezag van Verwerker te zijn onderworpen.
- Diensten: de diensten die de Verwerker levert zoals beschreven in de Hoofdovereenkomst.
- Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon; als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.
- Bijzondere Persoonsgegevens: persoonsgegevens die verband houden met etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond, genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, of gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid van personen.
- Privacywetgeving: de volledige Belgische en Europese wetgeving van toepassing op gegevensbescherming.
- Verwerking: iedere bewerking of geheel van bewerkingen met betrekking tot Persoonsgegevens of een geheel van Persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.
- Datalek: een inbreuk op de beveiliging van Persoonsgegevens die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens waaronder het doorgeven van persoonlijke aanmeld-en inloggegevens.
- Toezichthoudende Autoriteit: in België is dit de Gegevensbeschermingsautoriteit.
- Medewerker(s): de personen die door de Partijen worden gemachtigd voor de uitvoering van deze Verwerkersovereenkomst en die onder hun verantwoordelijkheid werken.
Artikel 3 - Verwerking van Persoonsgegevens
De Verwerker handelt uitsluitend in opdracht van de Verwerkingsverantwoordelijke bij de verwerking van Persoonsgegevens.
De Verwerker zal overeenkomstig de schriftelijke instructies van de Verwerkingsverantwoordelijke enkel Persoonsgegevens verwerken zoals opgenomen in Bijlage 1 en volgens de bepalingen van deze Verwerkersvoorwaarden en de Hoofdovereenkomst. De Verwerkingsverantwoordelijke ziet erop toe dat geen andere Persoonsgegevens aan de Verwerker worden overgemaakt dan deze die strikt noodzakelijk zijn voor het leveren van de Diensten.
De Verwerkingsverantwoordelijke kan alle bijkomende Persoonsgegevens die zij nodig, nuttig en/of passend acht opvragen aan de Betrokkenen die vervolgens door de Verwerker dienen verwerkt te worden. De Verwerkingsverantwoordelijke erkent en aanvaardt exclusief verantwoordelijk en aansprakelijk te zijn voor de keuze, inhoud, gebruik, kwalificatie en het doel en de middelen voor de verwerking van deze Persoonsgegevens in overeenstemming met de AVG.
In geval deze door de Verwerkingsverantwoordelijke beoogde verwerkingen, Bijzondere Persoonsgegevens betreffen, verbindt de Verwerkingsverantwoordelijke zich ertoe om de Verwerker hiervan voorafgaand in kennis te stellen, teneinde de Verwerker in staat te stellen om passende maatregelen te nemen met betrekking tot dergelijke Persoonsgegevens en de wijze waarop ze worden verwerkt. De Verwerkingsverantwoordelijke blijft evenwel te allen tijde verantwoordelijk voor de effectieve verwerking door Verwerker van de Persoonsgegevens, in het bijzonder rekening houdend met de aard en draagwijdte van de Diensten.
De Verwerkingsverantwoordelijke geeft aan de Verwerker de toestemming om de Persoonsgegevens mee te delen aan alle personen, instellingen en instanties die rechtstreeks deelnemen aan de uitvoering van de opdracht en wanneer dit strikt noodzakelijk is voor de uitvoering van de Hoofdovereenkomst, door of krachtens de wet wordt opgelegd of verplicht is op basis van een rechterlijk bevel.
De Verwerker zal de Persoonsgegevens enkel opslaan, overdragen of op andere wijze verwerken op een locatie binnen de EER, in een land dat een passend beschermingsniveau waarborgt of met een andere Subverwerker op basis van de Standard Contractual Clauses aangevuld met bijkomende veiligheidsmaatregelen.
De Verwerker verwerkt de Persoonsgegevens voor zolang dit nodig is voor de uitvoering van de Hoofdovereenkomst. Van zodra de opdracht is uitgevoerd, maakt de Verwerker binnen een redelijke termijn, tenzij uitdrukkelijk anders overeengekomen, een einde aan elk ander gebruik van de Persoonsgegevens dan het gebruik dat noodzakelijk is om de Verwerkingsverantwoordelijke in staat te stellen de gegevens te recupereren die aan de Verwerker werden toevertrouwd.
Indien noodzakelijk voor de uitvoering van de opdracht, kan de Verwerker een kopie maken en overgaan tot het nemen van een back-up.
Artikel 4 - Rechten en plichten van Verwerkingsverantwoordelijke
De Verwerkingsverantwoordelijke stelt de Persoonsgegevens ter beschikking van de Verwerker in het kader van de uitvoering van de Hoofdovereenkomst. De Verwerkingsverantwoordelijke bepaalt het doel van en de middelen voor de Verwerking. Hij garandeert dat de Verwerking van de Persoonsgegevens, waaronder de doorgifte, gebeurt op een wettelijke manier en overeenkomstig de relevante Privacywetgeving.
De Verwerking door de Verwerker gebeurt enkel op basis van schriftelijke instructies van de Verwerkingsverantwoordelijke. De Verwerkingsverantwoordelijke garandeert dat de opdracht tot Verwerking van de Persoonsgegevens conform de Privacywetgeving gebeurt. Indien de opdracht tot Verwerking wijzigt, brengt de Verwerkingsverantwoordelijke de Verwerker hiervan onmiddellijk op de hoogte.
Alle informatie en materiaal ter beschikking gesteld door de Verwerkingsverantwoordelijke aan de Verwerker en die Persoonsgegevens bevatten blijven ten alle tijde eigendom van de Verwerkingsverantwoordelijke.
Artikel 5 - Audit
De Verwerkingsverantwoordelijke kan de Verwerker verzoeken om haar redelijke medewerking te verlenen aan een audit op de werking en de systemen van de Verwerker. Indien de Verwerkingsverantwoordelijke hierom verzoekt zal een dergelijke audit kunnen uitgevoerd worden door een onafhankelijke derde mits akkoord van beide partijen.
Minimaal 10 werkdagen voor aanvang van de audit maakt de Verwerkingsverantwoordelijke een omschrijving over van het controleproces aan de Verwerker, waarbij rekening wordt gehouden met het zo minimaal mogelijk verstoren van de bedrijfsactiviteiten van de Verwerker. De Verwerker verbindt zich ertoe haar redelijke medewerking te verlenen en de gevraagde informatie en inlichtingen te verschaffen indien en voor zover deze geen afbreuk doen aan eventuele contractuele of andere verplichtingen van de Verwerker dan wel haar belangen op onredelijke wijze schaden. De bijstand die door de Verwerker wordt geleverd zal dienen vergoed te worden door de Verwerkingsverantwoordelijk op basis van de gebruikelijke tarieven.
Artikel 6 - Rechten van de Betrokkene
De Verwerkingsverantwoordelijke erkent en aanvaardt zélf in te staan voor het behandelen van aanvragen van betrokkenen in verband met hun rechten overeenkomstig artikel 12 e.v. AVG.
In geval de Verwerkingsverantwoordelijke een aanvraag ontvangt van de Betrokkene van wie Persoonsgegevens worden verwerkt om zijn recht op gegevenswissing uit te oefenen overeenkomstig artikel 17 AVG, geeft de Verwerkingsverantwoordelijke deze aanvraag onverwijld door aan de Verwerker in geval hij deze gegevens niet zelf kan wijzigen of wissen
De Verwerker verbindt zich ertoe om onverwijld en uiterlijk binnen 7 werkdagen na ontvangst van de aanvraag, een passend gevolg te geven aan deze opdracht van de Verwerkingsverantwoordelijke en de gevraagde Gegevens te verwijderen en vernietigen dan wel aan de Verwerkingsverantwoordelijke te laten weten om welke reden het niet mogelijk is om binnen 7 werkdagen gevolg te geven aan de opdracht.
De Verwerkingsverantwoordelijke erkent en aanvaardt dat in geval de Betrokkene om wissing van de Persoonsgegevens verzoekt, de Verwerker de Persoonsgegevens niet noodzakelijk uit al haar back-ups dient te verwijderen indien dit onredelijk veel tijd zou kosten, teneinde een passend gevolg te geven aan de opdracht van de Verwerkingsverantwoordelijke.
De Verwerkingsverantwoordelijke zal de Verwerker vergoeden op basis van de gebruikelijke uurtarieven voor de ondersteuning in kader van de wettelijke opdracht van de Verwerkingsverantwoordelijke.
Artikel 7 - Subverwerkers
Voor een correcte uitvoering van de taken als Verwerker wordt beroep gedaan op Subverwerkers. Deze derde partijen worden steeds zorgvuldig geselecteerd door de Verwerker en de nodige waarborgen worden geverifieerd en/of een bijkomende verwerkersovereenkomst wordt afgesloten conform de toepasselijke wetgeving. Zo maakt de Verwerker onder meer gebruik van dienstverleners voor (niet-limitatieve opsomming): domeinnaamregistraties, hosting, cloud services voor back-ups, cloud services voor het versturen van e-mailings, SSL-certificaten,…
De lijst van Subverwerkers waarmee wordt samengewerkt is beschikbaar op aanvraag. De Verwerker ziet erop toe dat zij, indien zij beroep doet op één of meerdere andere verwerkers bij de verwerking van Persoonsgegevens, passende maatregelen zal nemen ten opzichte van dergelijke verwerkers, in overeenstemming met de bepalingen van de AVG.
Artikel 8 - Veiligheid
De Verwerker verbindt zich ertoe om de gepaste technische en organisatorische maatregelen (hierna: “Veiligheidsmaatregelen”) te nemen om de Persoonsgegevens en de verwerking ervan te beveiligen overeenkomstig Bijlage 2.
De Veiligheidsmaatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een adequaat beveiligingsniveau gelet op de risico’s die de verwerking en de aard van de te beschermen Persoonsgegevens met zich meebrengen. De Veiligheidsmaatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van Persoonsgegevens te voorkomen.
Indien de Verwerker een beroep doet op Subverwerkers voor de uitvoering van de Hoofdovereenkomst, garandeert de Verwerker dat hij met deze Subverwerkers een overeenkomst heeft afgesloten die minimaal de bepalingen van de Hoofdovereenkomst en deze Verwerkersvoorwaarden bevat.
De Verwerkingsverantwoordelijke verbindt zich ertoe om de aanmeld-en logingegevens op toepassingen waarop deze Verwerkersvoorwaarden van toepassing zijn nooit door te geven aan derden en steeds het persoonlijk en vertrouwelijk karakter van zijn aanmeld-en logingegevens evenals de individuele aanmeld-en logingegevens van zijn Medewerkers te waarborgen. Bij het niet naleven van deze bepaling, zal de Verwerkingsverantwoordelijke zelf volledig aansprakelijk zijn voor alle directe of indirecte schade of kosten, dan wel het verschuldigd zijn van énige kost, (administratieve) boete of énige andere vergoeding die ten laste van de Verwerker zou gelegd worden.
Artikel 9 - Melding van een Datalek
Indien de Verwerker een Datalek vaststelt, meldt hij dit onverwijld en ten laatste binnen 48 uur na de vaststelling aan de Verwerkingsverantwoordelijke. In deze melding wordt ten minste het volgende omschreven of meegedeeld:
- De mogelijke oorzaak en de aard van de inbreuk in verband met Persoonsgegevens, waar mogelijk mits vermelding van de categorieën van Betrokkenen en Persoonsgegevens in kwestie en, bij benadering, het aantal Betrokkenen en Persoonsgegevens in kwestie;
- de waarschijnlijke gevolgen van het Datalek in verband met Persoonsgegevens;
- de maatregelen die de Verwerker heeft voorgesteld of genomen om het Datalek aan te pakken, waaronder, in voorkomend geval, de maatregelen om de eventuele nadelige gevolgen daarvan te beperken.
Het is aan de Verwerkingsverantwoordelijke om te beoordelen of zij de Toezichthoudende Autoriteit en/of de Betrokkenen daarover zal informeren of niet.
Indien de Verwerkingsverantwoordelijke een Datalek vaststelt in zijn systemen, die potentieel een impact zou kunnen hebben op de verwerkingsactiviteiten die de Verwerker uitvoert in het kader van deze Verwerkersvoorwaarden, verbindt de Verwerkingsverantwoordelijke zich ertoe om de Verwerker hierover zo snel mogelijk in te lichten en de informatie te bezorgen zoals opgenomen in dit artikel.
Artikel 10 - Duur en einde
Deze Verwerkersvoorwaarden zijn van toepassing voor zolang de Hoofdovereenkomst van kracht is en wordt beëindigd op hetzelfde ogenblik als de Hoofdovereenkomst. De Verwerkersvoorwaarden kunnen niet afzonderlijke van de Hoofdovereenkomst worden opgezegd, tenzij de Partijen overeenkomen dat beëindiging noodzakelijk is om zich te schikken naar de Privacywetgeving of beslissingen van de Toezichthoudende Autoriteit.
Bij het einde van de samenwerking bezorgt de Verwerker op aanvraag aan de Verwerkingsverantwoordelijke alle Persoonsgegevens terug die verwerkt werden. Nadat alle Persoonsgegevens zijn doorgegeven aan de Verwerkingsverantwoordelijke, maakt Verwerker onmiddellijk een einde aan de Verwerking en vernietigt hij zo snel als redelijk mogelijk elke kopie of back-up die hij nog bezit. Eventuele kosten verbonden met het terugsturen van de Persoonsgegevens en de vernietiging ervan de zijn ten laste van de Verwerkingsverantwoordelijke.
Artikel 11 - Aansprakelijkheid en garanties
De Verwerker verbindt zich ertoe om de bepalingen van de Verwerkersvoorwaarden strikt na te leven bij het verwerken van de Persoonsgegevens.
De aansprakelijkheid van de Verwerker is in alle gevallen steeds beperkt tot de gevallen van directe schade aan de Verwerkingsverantwoordelijke en tot maximaal 50% van het bedrag van de door Verwerker ontvangen vergoedingen voor de werkzaamheden onder de Hoofdovereenkomst tijdens het jaar voorafgaand aan de schadeveroorzakende gebeurtenis.
De aansprakelijkheid van de Verwerker voor gevolgschade, gederfde winst, gemiste besparingen, verminderde goodwill, bedrijfsstagnatie, of verlies, verminking of vernietiging van Gegevens of databestanden is evenwel uitdrukkelijk uitgesloten, en de Verwerkingsverantwoordelijk verklaart zich uitdrukkelijk akkoord met deze uitsluiting. De Verwerkingsverantwoordelijke vrijwaart de Verwerker te allen tijde voor alle aanspraken van derden, binnen de grenzen van hetgeen wettelijk toegelaten is.
Artikel 12 - Overige bepalingen
Deze Verwerkersvoorwaarden omvatten het volledige akkoord tussen Partijen omtrent het voorwerp ervan en vervangen alle voorgaande, geschreven en mondelinge akkoorden.
Indien één of meer bepalingen van deze Verwerkersvoorwaarden nietig zouden worden verklaard of onuitvoerbaar zouden worden, zal hierdoor de wettelijkheid, geldigheid en het uitvoerbare en afdwingbare karakter van de overige bepalingen, voor zover deze nog enige uitwerking of bestaansgrond hebben, niet worden aangetast.
Partijen verbinden er zich toe om in de mate van wat wettelijk mogelijk is, de ongeldige bepalingen te vervangen door een nieuwe bepaling die overeenstemt met de doelstellingen en keuzen van deze Verwerkersvoorwaarden.
In geval van twijfel over de interpretatie van een bepaling van deze Verwerkersvoorwaarden, zal deze steeds worden uitgelegd in overeenstemming met de bepalingen van de Verordening, minstens in het licht van de Verordening.
Artikel 14 - Toepasselijk recht en geschillen
Het Belgische recht is van toepassing op alle geschillen die verband houden met of die voortvloeien uit onze aanbiedingen en/of overeenkomsten.
Partijen komen overeen om te goeder trouw en onverwijld te proberen geschillen of claims die voortvloeien uit of verband houden met deze Verwerkersvoorwaarden zo snel mogelijk op te lossen door middel van onderhandelingen tussen hen. Als er binnen dertig (30) dagen na de kennisgeving van het geschil door de klager aan de andere partij geen oplossing wordt gevonden, kan elke partij de zaak aanhangig maken bij de rechtbanken van het gerechtelijk arrondissement van onze maatschappelijke zetel, die exclusief bevoegd is.
Bijlage 1 : Overzicht persoonsgegevens, aard van de verwerking en verwerkingsdoelen
Overzicht Persoonsgegevens
De Persoonsgegevens die wij kunnen verwerken als Verwerker in opdracht van de Verwerkingsverantwoordelijke zijn de volgende:
- Identificatiegegevens bv. naam, voornaam, klant-of patiëntnummer, IP-adres,…
- Contactgegevens, bv. e-mailadres, telefoonnummer,…
- Facturatiegegevens bv. Facturatieadres, BTW-nummer,…
- Vrijetijdsbestedingen en interesses bv. hobby’s, lidmaatschap verenigingen,…
- Opleiding en vorming
- Aankoophistoriek
- Foto en/of videomateriaal
Indien en voor zover de Verwerkingsverantwoordelijke Bijzondere Persoonsgegevens in de zin van artikel 9 AVG wil verwerken, verbindt de Verwerkingsverantwoordelijke zich ertoe om de Verwerker hiervan voorafgaand in kennis te stellen overeenkomstig deze Verwerkersvoorwaarden.
Aard en doel van de verwerking
De verwerking van de Persoonsgegevens gebeurt in het kader van de uitvoering van de Hoofdovereenkomst en kan volgende activiteiten betreffen:
- Creatie van websites en webapplicaties die de Verwerkingsverantwoordelijke in staat stellen om de eigen gegevens te beheren;
- Activatie van e-mail services gekoppeld aan de geregistreerde domeinen voor e-mail communicatie;
- Online hosten en onderhouden van websites via cloud storage diensten die de Verwerkingsverantwoordelijke in staat stellen om de eigen website gegevens te beheren (via een content management systeem);
- Online hosten en onderhouden van webapplicaties via cloud storage diensten die de Verwerkingsverantwoordelijke in staat stellen om de eigen klantenaccounts met gerelateerde Gegevens te beheren;
- Online back-up van websites en webapplicaties om continuïteit in de dienstverlening te kunnen bieden;
- Het integreren van website statistieken voor analysedoeleinden;
- Het integreren van social media share buttons in de website zodat bezoekers bepaalde inhoud eenvoudig kunnen delen via social media;
- Het aanbieden van een Cloud softwaretool voor het verzenden van emailings/nieuwsbrieven naar contactlijsten van de Verwerkingsverantwoordelijke.
- Elke andere activiteit indien en voor zover de Verwerkingsverantwoodelijke hierom verzoekt.
Bijlage 2: Overzicht beveiligingsmaatregelen
De Verwerker neemt volgende Veiligheidsmaatregelen in acht bij de verwerking van Persoonsgegevens in het kader van de uitvoering van de Hoofdovereenkomst:
Technische beveiligingsmaatregelen:
- Up-to-date virusscan
- Unieke login code en wachtwoord die regelmatig wordt aangepast
- Versleutelde e-mail
- Geen onbeveiligde harde schijven
- Tijdig patchen en updaten van IT-infrastructuur
- Geen onbeveiligde back-ups maken
Organisatorische maatregelen:
- Clean desk policy
- Laptop niet onbemand achterlaten
- Privacy screens
- Zorgvuldig gebruik USB-sticks
- Oude documenten zorgvuldig vernietigen