Verwerking persoonsgegevens

Verwerking van Persoonsgegevens

  1. Algemeen

    De hierna vermelde bepalingen zijn van toepassing op de opdrachtnemer die in het kader van de uitvoering van de opdracht namens de aanbestedende overheid, de in de Technische Bepalingen vermelde persoonsgegevens zal verwerken, en met betrekking tot deze verwerking, dus de verwerker zal zijn zoals bedoeld in artikel 4, 8° van de Algemene Verordening Gegevensbescherming (hierna “AVG”).

    Definities

  • Persoonsgegevens zijn, zoals vermeld in artikel 4.1 van de Algemene Verordening Gegevens­bescherming[1]: “alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon („de betrokkene”); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon”;

     

  • De Verwerkingsverantwoordelijke is, zoals vermeld in artikel 4.7 van de AVG, “een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt; wanneer de doelstellingen van en de middelen voor deze verwerking in het Unierecht of het lidstatelijke recht worden vastgesteld, kan daarin worden bepaald wie de verwerkingsverantwoordelijke is of volgens welke criteria deze wordt aangewezen”. Voor onderhavige overheidsopdracht is de aanbestedende overheid de verwerkingsverantwoordelijke.

     

  • De Verwerker is, zoals vermeld in artikel 4.8 van de AVG, “een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die / dat ten behoeve van de verwerkings­verantwoordelijke persoonsgegevens verwerkt”. Voor deze overheidsopdracht is de opdrachtnemer de verwerker.

     

  • De in deze opdrachtdocumenten bedoelde Verwerkingen zijn verwerkingen in de zin van artikel 4.2 van de AVG: “een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens”.

     

    De opdrachtnemer zal de persoonsgegevens die in het kader van deze opdracht moeten worden verwerkt, verwerken in overeenstemming met de Algemene Verordening Gegevensbescherming (AVG) en zal voldoen aan alle verplichtingen opgelegd door de AVG aan een “verwerker”.

    Ook Persoonsgegevens die geëncrypteerd zijn, vallen onder de toepassing van de AVG. Enkel gegevens die zodanig anoniem zijn gemaakt dat de persoon waarop ze betrekking hebben, niet meer identificeerbaar is, zijn geen persoonsgegevens

  • De opdrachtnemer zal bij de verwerking van de persoonsgegevens de volgende verplichtingen nakomen (art. 28 AVG)

  • De persoonsgegevens worden door de opdrachtnemer, zijn medewerkers, of onderaannemer uitsluitend verwerkt op basis van schriftelijke instructies van de aanbestedende overheid die de “verwerkingsverantwoordelijke” is en dus verantwoordelijk voor alle noodzakelijke wijzigingen, bijwerkingen, eventuele verwijderingen, en eventuele doorgiften van de persoonsgegevens aan een derde land of aan een internationale organisaties. Deze verplichting geldt niet, overeenkomstig artikel 28 punt 3 AVG, indien de opdrachtnemer op grond van een Unierechtelijke of lidstaatrechtelijke bepaling verplicht is tot de verwerking: in dat geval stelt de opdrachtnemer de aanbestedende overheid daarvan, voorafgaand aan de verwerking, in kennis;

  • De opdrachtnemer ziet erop toe dat de persoonsgegevens uitsluitend in het kader van het door de aanbestedende overheid vooropgestelde doeleinde worden verwerkt én dat alleen persoonsgegevens worden verwerkt die strikt noodzakelijk zijn voor de uitvoering van de opdracht. Dit geschiedt in toepassing van art. 37, punt 1 a onder de verantwoordelijkheid van de eigen functionaris voor gegevensbescherming van de opdrachtnemer - verwerker.

  • De opdrachtnemer stelt de verwerkingsverantwoordelijke onmiddellijk in kennis indien naar zijn mening een instructie een inbreuk oplevert op de AVG of een wettelijke bepaling inzake gegevensbescherming. Ook indien de opdrachtnemer van oordeel is dat de aanbestedende overheid bepaalde gegevens ten onrechte niet als persoonsgegeven zoals bedoeld in de AVG heeft gekwalificeerd, zal hij de aanbestedende overheid daarvan onmiddellijk op de hoogte brengen (art. 28 punt 3 laatste alinea AVG);

  • De opdrachtnemer waarborgt dat de tot het verwerken van de persoonsgegevens gemachtigde personen zich ertoe verbonden hebben de vertrouwelijkheid in acht te nemen of door een passende wettelijke verplichting van vertrouwelijkheid gebonden zijn (art. 28 punt 3 b AVG);

  • De opdrachtnemer neemt alle passende technische en organisatorische maatregelen opdat de verwerking aan de vereisten van de AVG voldoet en de bescherming van de rechten van de “betrokkene” (= de persoon op wie de persoonsgegevens betrekking hebben) is gewaarborgd (art. 28, punt 3 c AVG) : zie ook punt b;

  • De opdrachtnemer zal de verwerking niet uitbesteden aan een onderaannemer, tenzij met voorafgaande specifieke toestemming van de verwerkingsverantwoordelijke en verder voldaan is aan de verplichtingen vermeld in punt b (art. 28 punt 3 d AVG);

  • De opdrachtnemer zal, rekening houdend met de aard van de verwerking, door middel van passende en organisatorische maatregelen, voor zover mogelijk, de verwerkingsverantwoordelijke bijstand verlenen bij het vervullen van diens plicht om verzoeken te beantwoorden van betrokkenen die zich beroepen op de door de AVG aan hen toegekende rechten (art. 28 punt 3 e AVG): zie ook punt d;

  • De opdrachtnemer zal, rekening houdend met de aard van de verwerking, en de hem ter beschikking staande informatie, de verwerkingsverantwoordelijke bijstand verlenen bij het doen nakomen door de verwerkingsverantwoordelijke van bepaalde verplichtingen opgelegd aan de verwerkingsverantwoordelijke door de AVG (art. 28 punt 3 f AVG): zie ook punten d en h;

  • De opdrachtnemer zal alle informatie bijhouden en ter beschikking stellen om aan te tonen dat de opdrachtnemer alle verplichtingen nakomt die worden opgelegd met betrekking tot de verwerking van persoonsgegevens, en om audits (zie ook punt j) mogelijk te maken, en zal ook bijstand verlenen aan eventuele audits (art. 28 punt 3 h AVG);

  • De opdrachtnemer zal na afloop van de verwerkingsdiensten, naargelang de keuze van de verwerkingsverantwoordelijke, alle persoonsgegevens wissen of deze aan de verwerkingsverantwoordelijke terug bezorgen, tenzij de opslag wettelijk verplicht is (zie ook punt k);

     

  1. Technische en organisatorische maatregelen

    De opdrachtnemer zal rekening houdend enerzijds met de stand van de techniek ter zake en de uitvoeringskosten en anderzijds met de aard, de omvang, de context van de verwerking, de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en de vrijheden van personen, de passende technische en organisatorische maatregelen nemen en aan de aanbestedende overheid voorstellen om een op het risico afgestemd beveiligingsniveau te waarborgen en die nodig zijn onder meer:

  • voor de bescherming van de persoonsgegevens tegen vernietiging, verlies of om welke reden dan ook het niet raadpleegbaar zijn en in het geval van een fysiek of technisch incident, de beschikbaarheid van en de toegang tot de persoonsgegevens tijdig te herstellen (beschikbaarheid);

  • voor de bescherming van de persoonsgegevens tegen ongeoorloofde wijziging (integriteit);

  • voor de bescherming van de persoonsgegevens tegen ongeoorloofde toegang of inzage door derden (vertrouwelijkheid);

  • opdat “de betrokkene” steeds kan navragen welke gegevens over hem worden verwerkt, door wie en voor welke doeleinde (transparantie);

  • opdat de persoonsgegevens die door de opdrachtnemer moeten worden verwerkt ten behoeve van de aanbestedende overheid en derden onderling niet kunnen worden gelinkt en dus opdat de persoonsgegevens enkel worden verwerkt voor het oorspronkelijk door de aanbestedende overheid vooropgestelde doeleinde (isolatie);

  • opdat de (verwerking van) persoonsgegevens steeds kan worden overgedragen naar een andere dienstverlener (overdraagbaarheid en interoperabiliteit);

  • opdat steeds kan worden nagegaan wie toegang had tot de persoonsgegevens en wat de aard is van de verwerkingen die werden verricht (transparantie);

  • opdat de persoonsgegevens op een “veilige” manier en permanent kunnen worden verwijderd waar de persoonsgegevens zich ook bevinden, indien de aanbestedende overheid daarom verzoekt.

     

    De opdrachtnemer toont ten overstaan van de aanbestedende overheid aan dat alle passende maatregelen werden genomen zodat de aanbestedende overheid zijn verantwoordingsplicht kan nakomen bedoeld in art. 5 AVG. Op eenvoudig verzoek van de aanbestedende overheid, bezorgt de opdrachtnemer een overzicht van de technische en organisatorische maatregelen aan de betrokken functionaris voor gegevensbescherming.

    Technische maatregelen omvatten onder meer:

  • “Fysieke” maatregelen: onder meer, doch niet uitsluitend de toegang afschermen van de (onder zijn beheer staande) lokalen waarin de computers, bestanden, print-outs, elektronische dragers enzovoort, worden bewaard;

  • “Logische” maatregelen: onder meer doch niet uitsluitend de bescherming van de softwaretoepassingen tegen hacking of informaticapiraterij (bijv. coderen van gegevens of gebruik van paswoorden), de pseudonimisering en versleuteling van persoonsgegevens, het monitoren van alle activiteiten die met betrekking tot de persoonsgegevens werden verricht.

     

    Organisatorische maatregelen omvatten onder meer:

  • Het beperken van toegang: ervoor zorgen dat, voor de personen die onder zijn gezag handelen, de toegang tot de gegevens en de verwerkingsmogelijkheden beperkt blijven tot hetgeen die personen nodig hebben voor de uitoefening van hun taken of tot hetgeen noodzakelijk is voor de behoeften van de dienst;

  • Personeel voorlichten: alle personen die onder zijn gezag handelen, kennis geven van de bepalingen van de AVG, alsmede van alle relevante voorschriften inzake de bescherming van de persoonlijke levenssfeer die bij het verwerken van persoonsgegevens gelden;

  • Het waarborgen dat alle personen die in het kader van de verwerking toegang hebben tot de persoonsgegevens zich verbonden hebben de vertrouwelijkheid in acht te nemen (bijvoorbeeld door het laten ondertekenen van een vertrouwelijkheidsverklaring) of gebonden zijn aan een passende wettelijke vertrouwelijkheidsplicht;

  • Het bijhouden van een nominatieve lijst van personen die in het kader van de verwerking toegang hebben tot de persoonsgegevens (zowel van de eigen personeelsleden / aangestelden als die van de onderaannemers);

  • De verwerking van de persoonsgegevens laten gebeuren conform vooraf vastgestelde processen zodat de uitvoering steeds gebeurt met in achtneming van de wettelijke verplichtingen ter zake ongeacht wie belast wordt met de uitvoering.

     

    De opdrachtnemer zal een procedure opzetten om op gezette tijdstippen (minstens jaarlijks ) de doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging van de verwerking te testen, te beoordelen en te evalueren. Een rapport daarover zal worden opgesteld en bezorgd aan de aanbestedende overheid. Indien nodig zullen de technische en organisatorische maatregelen worden geactualiseerd.

  1. Verwerking door onderaannemers

    Voor de verwerking van de persoonsgegevens kan de opdrachtnemer geen beroep doen op onderaannemer(s) tenzij met de voorafgaande schriftelijke toestemming van de aanbestedende overheid.

    De opdrachtnemer zal bij schriftelijke overeenkomst aan de onderaannemers dezelfde verplichtingen inzake gegevensbescherming opleggen als deze die worden opgelegd aan de opdrachtnemer in dit bestek, opdat de verwerking zou voldoen aan de vereisten van de AVG.

    De opdrachtnemer blijft ten opzichte van de aanbestedende overheid de verantwoordelijkheid dragen voor het naleven van de verplichtingen uit de AVG opgelegd aan de “verwerker” van persoonsgegevens ook indien de verwerking wordt uitbesteed aan een onderaannemers.

    De opdrachtnemer verschaft de verwerkingsverantwoordelijke een duidelijk overzicht van wie welke activiteiten uitvoert in het kader van de verwerking van de persoonsgegevens.

    De opdrachtnemer aanvaardt dat de contactgegevens van deze onderaannemers op ieder ogenblik aan de “betrokkenen” kunnen worden overgemaakt;

     

  2. Bijstand bij de nakoming van de verplichtingen uit de AVG door de verwerkingsverantwoordelijke

    d.1. Algemeen

    De opdrachtnemer zal de verwerkingsverantwoordelijke alle informatie verstrekken en alle bijstand verlenen die noodzakelijk en/of die redelijkerwijze mag worden verwacht opdat de verwerkingsverantwoordelijke in staat zou zijn, zijn verplichtingen uit de AVG na te komen én van deze nakoming het bewijs te leveren.

    d.2. Bijstand bij verzoeken van de betrokkenen

    De opdrachtnemer zal alle mogelijke maatregelen nemen opdat de verwerkingsverantwoordelijke (de aanbestedende overheid) kan tegemoet komen aan de verzoeken van een betrokkene die zich beroept op de hierna vermelde rechten en de opdrachtnemer zal, in voorkomend geval, de verwerkingsverantwoordelijke daarbij alle medewerking verlenen:

  • Het recht van inzage zoals bedoeld in artikel 15 AVG , en onder meer om een kopie van de persoonsgegevens die worden verwerkt te bekomen;

  • Het recht op rectificatie van de persoonsgegevens zoals bedoeld in art. 16 AVG;

  • Het recht op gegevenswissing (“recht op vergetelheid”) zoals bedoeld in artikel 17 AVG;

  • Het recht op beperking van de verwerking zoals bedoeld in artikel 18 AVG;

  • Het recht op overdraagbaarheid van de persoonsgegevens zoals bedoeld in artikel 20 AVG ;

  • Het recht van bezwaar bedoeld in artikel 21 AVG;

  • Het recht om niet te worden onderworpen aan geautomatiseerde individuele besluitvorming waaronder profilering zoals bedoeld in artikel 22 AVG.

     

    Indien een betrokkene zich rechtstreeks wendt tot de opdrachtnemer om zich te beroepen op één van de voormelde rechten, zal de opdrachtnemer dit melden aan de aanbestedende overheid en alleen tegemoet komen aan het verzoek van de betrokkene na akkoord van de aanbestedende overheid.

    d.3. Bijstand bij de nakoming van de verplichting tot gegevensbeschermingseffectbeoordeling (GEB)

    De opdrachtnemer zal rekening houdend met de aard van de verwerking en de hem ter beschikking staande informatie, alle bijstand verlenen aan de aanbestedende overheid bij de verplichting tot gegevensbeschermingseffectbeoordeling (GEB) zoals bedoeld in artikel 35 AVG, en inzonderheid om te komen tot een volwaardige en correcte risicobeoordeling en –beheersing.

    Wanneer een reeds bestaande verwerking van persoonsgegevens, volgens een nieuw technologisch proces zal worden uitgevoerd, zal de opdrachtnemer nagaan of, krachtens artikel 35 AVG, een GEB moet worden uitgevoerd en de aanbestedende overheid daarvan op de hoogte brengen.

    Indien nodig en op verzoek van de aanbestedende overheid, zal de opdrachtnemer de aanbestedende overheid bijstaan om ervoor te zorgen dat de verplichtingen ingevolge de uitvoering van een GEB worden nagekomen. Inzonderheid, indien uit een GEB blijkt dat de verwerking een hoog risico voor de gegevensbescherming zou opleveren, zal de opdrachtnemer op verzoek van de verwerkingsverantwoordelijke of de toezichthoudende autoriteit alle informatie verstrekken noodzakelijk in het kader van de voorafgaande raadpleging bedoeld in art. 36 AVG.

     

  1. Register van de verwerkingsactiviteiten

    De opdrachtnemer houdt, in overeenstemming met artikel 30, lid 2 AVG, een register bij van alle categorieën van verwerkingsactiviteiten die hij ten behoeve van de aanbestedende overheid heeft verricht.

    Dit register – dat in schriftelijke (waaronder elektronische) vorm is opgesteld - vermeldt per verwerkingsverantwoordelijke:

  • De naam en de contactgegevens van de verwerker, en de verwerkingsverantwoordelijke (in voorkomend geval van de vertegenwoordiger van de verwerkingsverantwoordelijke of de verwerker),  en van de functionaris voor gegevensbescherming;

  • De categorieën van verwerkingen die voor rekening van elke verwerkingsverantwoordelijke zijn uitgevoerd;

  • Indien van toepassing, doorgiften van persoonsgegevens aan een derde land of een internationale organisatie, onder vermelding van dat derde land of die internationale organisatie, en in voorkomend geval (zie art. 49, lid 1, tweede alinea AVG) de documenten inzake de passende waarborgen;

  • Indien mogelijk, een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen bedoeld in artikel 32, lid 1 AGV.

     

  1. Plaats van de verwerking

    Het verwerken van persoonsgegeven kan enkel gebeuren op het grondgebied van één van de lidstaten van de Europese Unie, ongeacht of de verwerking wordt uitgevoerd door de opdrachtnemer of een onderaannemer.

    De opdrachtnemer geeft de aanbestedende overheid een overzicht van de locaties waar de persoonsgegevens worden verwerkt. De opdrachtnemer aanvaardt dat deze locaties op ieder ogenblik aan de “betrokkenen” kunnen worden overgemaakt.

     

  2. Doorgiften

    Het verwerken van persoonsgegevens in het buitenland (of een ander land dan voorheen) of de doorgifte voor verwerking van persoonsgegevens aan het buitenland (of een ander land dan voorheen) of aan een internationale organisatie, gebeurt steeds na voorafgaande schriftelijke toestemming van de verwerkingsverantwoordelijke en in overeenstemming met zowel de AVG, en in voorkomend geval, de buitenlandse wetgeving indien die ook van toepassing zou zijn. 

    Op een verzoek tot doorgifte of het verstrekken van persoonsgegevens aan een derde land, gebaseerd op een rechterlijke uitspraak of een besluit van een administratieve autoriteit, kan enkel worden ingegaan indien die rechterlijke uitspraak of dat besluit is gebaseerd op een internationale overeenkomst, zoals een verdrag inzake wederzijdse rechtsbijstand tussen het verzoekende derde land en de Unie of een lidstaat (onverminderd de andere gronden voor doorgiften aan een derde land vastgesteld in de AVG). In voorkomend geval zal de opdrachtnemer de aanbestedende overheid onmiddellijk en voorafgaand aan de doorgifte op de hoogte brengen van het verzoek.

  3. Melding van een inbreuk in verband met de persoonsgegevens

    De opdrachtnemer informeert de verwerkingsverantwoordelijke onmiddellijk zodra-  en uiterlijk binnen de 24 uur nadat - hij kennis heeft genomen van een inbreuk op de beveiliging van de persoonsgegevens die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens.

     

    De opdrachtnemer zal, met het oog op de melding van de inbreuk door de verwerkingsverantwoordelijke aan de toezichthoudende entiteit (zie art. 33 AVG) en aan de betrokkene (zie art.34 AVG), de volgende gegevens meedelen aan de aanbestedende overheid:

  • De aard van de inbreuk, waar mogelijk onder vermelding van de categorieën van betrokkenen en persoonsgegevensregisters in kwestie en bij benadering, het aantal betrokkenen en persoonsgegevensregisters in kwestie;

  • De waarschijnlijke gevolgen van de inbreuk in verband met de persoonsgegevens;

  • De maatregelen die werden genomen of kunnen worden genomen om de inbreuk in verband met de persoonsgegevens aan te pakken, waaronder, in voorkomend geval, de maatregelen ter beperking van de eventuele nadelige gevolgen daarvan;

     

  1. Aansprakelijkheid

    De opdrachtnemer vrijwaart de aanbestedende overheid voor alle gevolgen die voortvloeien uit het niet respecteren door de opdrachtnemer of zijn onderaannemers van de verplichtingen ingevolge de AVG, de eventueel in het buitenland geldende reglementering en dit Bestek, en is verantwoordelijk voor alle door de aanbestedende overheid geleden schade bij het niet-respecteren ervan.

  2. Audits

    De aanbestedende overheid kan zelf of door een gemachtigde controleur (laten) nagaan of auditen of de opdrachtnemer voldoet aan alle verplichtingen met betrekking tot de gegevensbescherming onder de AVG en dit bestek, en onder meer welke technische en organisatorische maatregelen door de opdrachtnemer werden genomen en of deze worden nageleefd. De opdrachtnemer zal alle informatie ter beschikking stellen die nodig is om audits mogelijk te maken en zal volledige medewerking verlenen aan de aanbestedende overheid of de gemachtigd controleur om een audit te kunnen uitvoeren.

  3. Wissen van gegevens bij beëindiging van de opdracht

    De opdrachtnemer zal, na voltooiing van de verwerking, alle persoonsgegevens wissen op alle dragers of, op eenvoudig verzoek van de aanbestedende overheid, deze dragers overdragen aan de aanbestedende overheid.

  4. Voortleving

    Ook na beëindiging van de dienstverlening die het voorwerp uitmaakt van de overheidsopdracht en zolang de opdrachtnemer toegang heeft tot de persoonsgegevens die hem in het kader van deze dienstverlening voor verwerking werden toevertrouwd, blijft de opdrachtnemer onderworpen aan de voorgaande bepalingen inzake de verwerking van persoonsgegevens.

     




[1] VERORDENING (EU) 2016/679 VAN HET EUROPEES PARLEMENT EN DE RAAD van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming) (http://eur-lex.europa.eu/legal-content/NL/TXT/PDF/?uri=CELEX:32016R0679&from=NL).

[2] voor een overzicht van mogelijke categorieën, zie de bijlage bij de Aanbeveling 06/2017 van 14 juni 2017 van de Privacy commissie -  https://www.privacycommission.be/sites/privacycommission/files/documents/aanbeveling_06_2017_0.pdf