Verwerkersovereenkomst

Inleiding

Deze Verwerkersovereenkomst ("VOK") wordt gesloten tussen de Overheidsgebruiker als verwerkingsverantwoordelijke ("Verwerkingsverantwoordelijke") en A-Spine BV als verwerker ("Verwerker"), en vormt een integraal onderdeel van de overeenkomst voor het gebruik van OxiCloud Government.

Deze VOK geeft uitvoering aan artikel 28 van de Algemene Verordening Gegevensbescherming (AVG, Verordening (EU) 2016/679) en legt de rechten en plichten van beide partijen vast met betrekking tot de verwerking van persoonsgegevens die zijn opgenomen in geuploadde stikstofrapportages.

Partijen

Voorwerp, aard en doeleinde van de verwerking

De Verwerker verwerkt de gegevens uitsluitend op basis van gedocumenteerde instructies van de Verwerkingsverantwoordelijke. Gebruik voor enig ander doeleinde - waaronder commerciele doeleinden, profilering, model-training of doorgifte aan derden - is uitdrukkelijk verboden.

Categorieen van persoonsgegevens en betrokkenen

3.1 Categorieen van persoonsgegevens

De verwerking kan de volgende categorieen van persoonsgegevens betreffen, voor zover opgenomen in de geuploadde stikstofrapportage:

• Identificatiegegevens van de vergunningsaanvrager of bouwheer (naam, adres, contactgegevens)
• Locatiegegevens van het bouwproject (adres, perceelcoordinaten)
• Technische projectgegevens voor zover herleidbaar tot een natuurlijke persoon

Er worden geen bijzondere categorieen van persoonsgegevens (art. 9 AVG) verwerkt. Indien de Verwerkingsverantwoordelijke toch bijzondere categorieen aanlevert, doet hij dit op eigen verantwoordelijkheid en meldt hij dit onmiddellijk aan de Verwerker.

3.2 Categorieen van betrokkenen

• Vergunningsaanvragers
• Bouwheren en projecteigenaren
• Medewerkers van architecten- of ingenieursbureaus voor zover vermeld in de rapportage

Verplichtingen van de Verwerker

4.1 Instructiegebondenheid

De Verwerker verwerkt persoonsgegevens uitsluitend op basis van gedocumenteerde instructies van de Verwerkingsverantwoordelijke, tenzij een wettelijke verplichting anders vereist. In dat geval stelt de Verwerker de Verwerkingsverantwoordelijke hiervan in kennis voor de verwerking, tenzij de wet dit verbiedt.

4.2 Vertrouwelijkheid

De Verwerker waarborgt dat personen die gemachtigd zijn de persoonsgegevens te verwerken, zich hebben verbonden tot vertrouwelijkheid of onderworpen zijn aan een passende wettelijke geheimhoudingsplicht.

4.3 Technische en organisatorische maatregelen

De Verwerker treft passende technische en organisatorische maatregelen conform artikel 32 AVG:

• Versleuteling van gegevens in transit (TLS 1.2+) en in rust (AES-256)
• Pseudonimisering van gegevens waar technisch mogelijk
• Geen persistente opslag van geuploadde rapportages na sessie-afloop
• Rolgebaseerde toegangscontrole (RBAC) - uitsluitend geautoriseerde gebruikers van de Verwerkingsverantwoordelijke hebben toegang tot hun gegevens
• SOC 2 Type II gecertificeerde infrastructuur
• Procedure voor regelmatige testing en evaluatie van beveiligingsmaatregelen

4.4 Subverwerkers

De Verwerker maakt gebruik van de volgende subverwerker:

De Verwerker stelt de Verwerkingsverantwoordelijke minimaal 30 dagen vooraf schriftelijk in kennis van wijzigingen in het gebruik van subverwerkers. De Verwerkingsverantwoordelijke heeft het recht bezwaar te maken tegen een nieuwe subverwerker. De Verwerker legt dezelfde verplichtingen op aan de subverwerker als die gelden tussen de Verwerkingsverantwoordelijke en de Verwerker.

4.5 Ondersteuning rechten betrokkenen

De Verwerker ondersteunt de Verwerkingsverantwoordelijke bij de afhandeling van verzoeken van betrokkenen (inzage, rectificatie, wissing, beperking, bezwaar, overdraagbaarheid), voor zover dit redelijkerwijs van een verwerker gevraagd kan worden. Verzoeken van betrokkenen die rechtstreeks bij de Verwerker binnenkomen, worden onmiddellijk doorgestuurd naar de Verwerkingsverantwoordelijke.

4.6 Ondersteuning beveiligingsverplichtingen

De Verwerker ondersteunt de Verwerkingsverantwoordelijke bij de nakoming van zijn verplichtingen uit artikelen 32 tot 36 AVG (beveiliging, datalekken, gegevensbeschermingseffectbeoordeling).

4.7 Melding van datalekken

De Verwerker meldt een inbreuk in verband met persoonsgegevens die betrekking heeft op door de Verwerkingsverantwoordelijke aangeleverde gegevens, onverwijld en uiterlijk binnen 24 uur na ontdekking aan de Verwerkingsverantwoordelijke. De melding bevat ten minste: de aard van de inbreuk, de betrokken categorieen gegevens, het geschatte aantal betrokkenen, de waarschijnlijke gevolgen en de getroffen maatregelen.

4.8 Verwijdering na beeindiging

Na beeindiging van de dienstverlening verwijdert de Verwerker alle persoonsgegevens die voor rekening van de Verwerkingsverantwoordelijke zijn verwerkt, of geeft hij deze terug, al naar gelang de voorkeur van de Verwerkingsverantwoordelijke, en verwijdert hij bestaande kopieeen tenzij de Belgische of Europese wetgeving bewaring vereist.

4.9 Auditrecht

De Verwerker stelt de Verwerkingsverantwoordelijke in staat audits uit te voeren, inclusief inspecties. De Verwerker verleent zijn medewerking aan audits die worden uitgevoerd door de Verwerkingsverantwoordelijke of een door hem gemachtigde controleur, met inachtneming van een vooraankondigingstermijn van 30 kalenderdagen.

Verplichtingen van de Verwerkingsverantwoordelijke

• De Verwerkingsverantwoordelijke is verantwoordelijk voor de rechtmatigheid van de verwerking aan zijn zijde en voor het identificeren van een geldige rechtsgrond voor de verwerking van persoonsgegevens van vergunningsaanvragers en bouwheren.
• De Verwerkingsverantwoordelijke uploadt uitsluitend persoonsgegevens die noodzakelijk zijn voor de gevraagde validatiefunctie en vermijdt het uploaden van onnodige of bijzondere categorieen van persoonsgegevens.
• De Verwerkingsverantwoordelijke stelt de Verwerker onmiddellijk in kennis indien de gegeven instructies naar zijn mening in strijd zijn met de AVG of andere toepasselijke regelgeving inzake gegevensbescherming.
• De Verwerkingsverantwoordelijke is verantwoordelijk voor het informeren van betrokkenen over de verwerking van hun gegevens in het kader van de vergunningsprocedure.

Internationale doorgifte

Persoonsgegevens worden uitsluitend doorgegeven aan Supabase Inc. (VS) als enige subverwerker, op basis van Standaard Contractuele Clausules (SCC) conform Besluit 2021/914/EU van de Europese Commissie. Er vindt geen andere doorgifte van persoonsgegevens naar landen buiten de EER plaats.

Duur

Deze VOK treedt in werking op de datum van afsluiting van de abonnementsovereenkomst voor OxiCloud Government en blijft van kracht zolang de Verwerker persoonsgegevens verwerkt voor rekening van de Verwerkingsverantwoordelijke.

Toepasselijk recht en bevoegde rechter

Deze VOK wordt beheerst door het Belgisch recht en de rechtstreeks toepasselijke bepalingen van de AVG. De rechtbanken van het gerechtelijk arrondissement Leuven zijn exclusief bevoegd voor geschillen die voortvloeien uit of verband houden met deze VOK.

Ondertekening

Door aanvaarding van de abonnementsovereenkomst voor OxiCloud Government aanvaardt de Overheidsgebruiker tevens de inhoud van deze Verwerkersovereenkomst. De digitale aanvaarding heeft dezelfde rechtskracht als een handgeschreven handtekening conform Verordening (EU) nr. 910/2014 (eIDAS) en de Belgische wet van 21 juli 2016 inzake elektronische handtekeningen.

Datum van aanvaarding, naam van de ondertekenaar en gebruikers-ID worden vastgelegd in het onveranderlijk audit log van het platform.

Contact

A-Spine BV

t.a.v. Gegevensbescherming / Verwerkersovereenkomsten

Leuvensesteenweg 276, 3200 Aarschot

hello@a-spine.be