Algemene Verordening Gegevensbescherming (AVG)

Afdrukken

  1. Doel

    Het doel van deze clausules is het vastleggen van de voorwaarden waaronder de onderaannemer zich ertoe verbindt om voor rekening van de verantwoordelijke voor de verwerking de hieronder gedefinieerde verwerkingen van persoonsgegevens uit te voeren. In het kader van hun contractuele betrekkingen verbinden de partijen zich ertoe de geldende regelgeving na te leven die van toepassing is op de verwerking van persoonsgegevens en in het bijzonder Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016. van toepassing vanaf 25 mei 2018 (hierna "de Europese verordening gegevensbescherming").

  2. Beschrijving van de verwerking die het voorwerp uitmaakt van de onderaanneming

    De onderaannemer is gemachtigd om namens de verantwoordelijke voor de verwerking de persoonsgegevens te verwerken die nodig zijn om de hieronder beschreven diensten te verlenen:

    Dienst Verificatie van identiteitsdocumenten (ID, paspoort, verblijfsvergunning) en andere persoonlijke documenten (RIB, bewijs van adres, salarisstrook, belastingaangifte, rijbewijs, enz.)
    Aard van de activiteiten Vastleggen van het documentbeeld, ontvangst, extractie van documentgegevens, controle op basis van gedefinieerde regels, terugsturen van controleresultaten.
    Doel van de verwerking Verificatie van documenten die door eindklanten zijn doorgegeven.
    Categorieën van betrokkenen Eindklanten
    Informatie die door de verantwoordelijke voor de verwerking aan de onderaannemer ter beschikking wordt gesteld voor de uitvoering van de dienst waarop dit contract betrekking heeft Afbeelding van het identiteitsdocument of document, mogelijk rechtstreeks verkregen van de eindklant.
    Dienst Gezichtsherkenning om de houder van het identiteitsdocument te identificeren
    Aard van de activiteiten Maak een selfie-foto, ontvang de selfie en vergelijk deze automatisch met het gezicht op het ID-document.
    Doel van de verwerking Verificatie van documenten die door eindklanten zijn doorgegeven.
    Categorieën van betrokkenen Eindklanten
    Informatie die door de verantwoordelijke voor de verwerking aan de onderaannemer ter beschikking wordt gesteld voor de uitvoering van de dienst waarop dit contract betrekking heeft Afbeelding van de identiteitskaart en selfie van de eindklant mogelijk rechtstreeks verkregen van de eindklant.

  3. Looptijd contract

    Dit contract is geldig tijdens de Serviceperiode zoals gedefinieerd in het Contract.

  4. Verplichtingen van de onderaannemer ten opzichte van de controller

    De onderaannemer verbindt zich ertoe om:

    • De gegevens alleen verwerken voor het (de) enige doel(en) dat (die) het voorwerp is (zijn) van de uitbesteding

    • De gegevens verwerken in overeenstemming met de beschrijving van de dienst die aan de verantwoordelijke voor de verwerking is meegedeeld in de bijlage bij dit contract. Als de verwerker verplicht is gegevens door te geven aan een derde land of aan een internationale organisatie, op grond van de EU-wetgeving of de wetgeving van de lidstaat waaronder hij valt, moet hij de verwerkingsverantwoordelijke vóór de verwerking informeren over zijn wettelijke verplichtingen, tenzij de betreffende wetgeving dergelijke informatie verbiedt om zwaarwegende redenen van algemeen belang.

    • De vertrouwelijkheid van persoonlijke gegevens die onder dit contract worden verwerkt garanderen

    • Ervoor zorgen dat de personen die krachtens dit contract gemachtigd zijn om persoonsgegevens te verwerken:

      • zich verplichten tot geheimhouding of onderworpen zijn aan een wettelijke geheimhoudingsplicht
      • de nodige training krijgen in de bescherming van persoonsgegevens

    • Onderaanneming: De verwerker kan een beroep doen op een andere verwerker (hierna "de verdere verwerker" genoemd) om specifieke verwerkingsactiviteiten uit te voeren. In dat geval stelt hij de verwerkingsverantwoordelijke vooraf schriftelijk in kennis van elke geplande wijziging betreffende de toevoeging of vervanging van andere onderaannemers. Deze informatie moet duidelijk de uitbestede verwerkingsactiviteiten, de identiteit en contactgegevens van de onderaannemer en de data van de onderaanneming vermelden. De verantwoordelijke voor de verwerking heeft minimaal 15 dagen vanaf de datum van ontvangst van deze informatie om bezwaar te maken. Deze uitbesteding kan alleen worden uitgevoerd als de verantwoordelijke voor de verwerking niet binnen de overeengekomen termijn bezwaar heeft gemaakt.

    • Recht op informatie van betrokkenen: Afhankelijk van het feit of de informatie wordt verzameld door de voor de verwerking verantwoordelijke of de verwerker, is het respectievelijk de verantwoordelijkheid van de voor de verwerking verantwoordelijke of de verwerker om de informatie te verstrekken aan de personen op wie de verwerkingsactiviteiten betrekking hebben op het moment dat de gegevens worden verzameld.

    • Uitoefening van persoonlijke rechten: Voor zover mogelijk moet de onderaannemer de voor de verwerking verantwoordelijke helpen om te voldoen aan zijn verplichting om te reageren op verzoeken tot uitoefening van de rechten van betrokkenen: recht op toegang, rectificatie, wissing en 'verzet', recht op beperking van de verwerking, recht op gegevensoverdraagbaarheid, recht om niet te worden onderworpen aan een individueel geautomatiseerd besluit (met inbegrip van profilering).
      Wanneer betrokkenen verzoeken indienen bij de onderaannemer om hun rechten uit te oefenen, moet de onderaannemer deze verzoeken zodra ze zijn ontvangen per e-mail sturen naar een contactpersoon binnen de voor de verwerking verantwoordelijke wiens contactgegevens in de bijlage bij het contract staan.

    • Melding van inbreuken op persoonsgegevens: De verwerker stelt de verantwoordelijke voor de verwerking in kennis van elke inbreuk in verband met persoonsgegevens binnen maximaal 24 uur nadat hij er kennis van heeft genomen en per e-mail naar een contactpersoon binnen de verantwoordelijke voor de verwerking waarvan de contactgegevens in de bijlage bij het contract staan. . Deze melding gaat vergezeld van alle nuttige documentatie om de verantwoordelijke voor de verwerking in staat te stellen, indien nodig, deze inbreuk aan de bevoegde toezichthoudende autoriteit te melden.
      Na toestemming van de verantwoordelijke voor de verwerking stelt de onderaannemer de bevoegde toezichthoudende autoriteit (de CNIL), in naam en voor rekening van de verantwoordelijke voor de verwerking, zo snel mogelijk en indien mogelijk uiterlijk 72 uur na er kennis van te hebben genomen, in kennis van de inbreuken op persoonsgegevens, tenzij de inbreuk in kwestie waarschijnlijk geen risico voor de rechten en vrijheden van personen oplevert.
      De melding bevat ten minste:

      • beschrijving van de aard van de inbreuk in verband met persoonsgegevens, waar mogelijk met inbegrip van de categorieën en bij benadering het aantal personen die door de inbreuk zijn getroffen en de categorieën en bij benadering het aantal persoonsgegevensrecords die zijn getroffen;
      • de naam en contactgegevens van de functionaris voor gegevensbescherming of een ander contactpunt waar meer informatie kan worden verkregen;
      • beschrijving van de waarschijnlijke gevolgen van de inbreuk in verband met persoonsgegevens;
      • een beschrijving van de maatregelen die zijn genomen of die de voor de verwerking verantwoordelijke voornemens is te nemen om de inbreuk in verband met persoonsgegevens ongedaan te maken, waaronder, indien van toepassing, maatregelen om eventuele negatieve gevolgen te beperken.
        Indien en voor zover het niet mogelijk is al deze informatie tegelijkertijd te verstrekken, kan de informatie zonder onnodige vertraging in fasen worden meegedeeld.

    • Hulp van de onderaannemer in het kader van de naleving van de verplichtingen door de voor de verwerking verantwoordelijke: De verwerker helpt de voor de verwerking verantwoordelijke bij de uitvoering:

      • effectbeoordelingen met betrekking tot gegevensbescherming
      • voorafgaande raadpleging van de toezichthoudende autoriteit.

    • Beveiligingsmaatregelen: De onderaannemer verbindt zich ertoe de volgende veiligheidsmaatregelen toe te passen:

      • Persoonlijke gegevens die in de database zijn opgeslagen, worden gecodeerd met AES256.
      • Gegevens die als afbeelding op het bestandssysteem zijn opgeslagen, worden versleuteld met AES256.
      • Zodra de gegevens niet langer nodig zijn, worden ze onmiddellijk verwijderd.
      • Technische sporen bevatten geen persoonlijke informatie.
      • De gegevens worden beschermd door TLS-verbindingen.
      • Externe toegang tot de service wordt beschermd door beveiligingsapparatuur, waarvan de configuraties periodiek worden gecontroleerd.
      • De gegevens die in de database worden bewaard (voor de duur van hun verwerking of tijdens hun gebruiksperiode voor de gegevensbeheerder) worden bewaard in een gerepliceerde database waardoor de service opnieuw kan worden samengesteld in het geval van een storing op een van de knooppunten. In het geval van een storing op alle knooppunten wordt een Business Continuity Plan geactiveerd en wordt de laatste dagelijkse versleutelde gegevensback-up gebruikt.
      • De knooppunten voor gegevensverwerking zijn redundant, zodat de service zelfs kan worden geleverd als een van de knooppunten uitvalt.
      • De service als geheel wordt in realtime bewaakt en er is een automatisch waarschuwingssysteem dat de systeembeheerders op de hoogte stelt van elke afwijking in de weergave van de service.
      • Toegang tot servers is beperkt tot geïdentificeerd personeel. Al hun acties op deze servers worden vastgelegd in onveranderlijke logboeken.
      • Een jaarlijkse audit van de dienst controleert of de procedures en waakzaamheidsmaatregelen worden nageleefd.
      • Opmerking: de gegevens zijn niet geanonimiseerd / gepseudonimiseerd omdat het doel van de service is om de identiteit van de eindgebruiker te valideren.

    • Gegevensbestand: Aan het einde van de dienstverlening met betrekking tot de verwerking van deze gegevens, verbindt de onderaannemer zich ertoe om alle persoonsgegevens terug te geven en vervolgens te vernietigen aan de verantwoordelijke voor de verwerking.
      De teruggave moet gepaard gaan met de vernietiging van alle bestaande kopieën in de informatiesystemen van de onderaannemer.
      Aangezien de onderaannemer leer- en automatische verwerkingsalgoritmen gebruikt die hij zelf ontwikkelt, is hij door de verantwoordelijke voor de verwerking gemachtigd om gegevens te bewaren met het oog op de verbetering van deze algoritmen. De opgeslagen gegevens worden gebruikt door een speciaal team van de onderaannemer, waarvan alle leden een specifieke geheimhoudingsplicht hebben ondertekend. De opgeslagen gegevens zijn niet toegankelijk buiten het interne informatiesysteem van de onderaannemer.

    • Functionaris voor gegevensbescherming: De verwerker deelt de verwerkingsverantwoordelijke de naam en contactgegevens mee van zijn functionaris voor gegevensbescherming, indien hij er een heeft aangesteld in overeenstemming met artikel 37 van de Europese verordening gegevensbescherming.

    • Register van categorieën van verwerkingsactiviteiten: De verwerker verklaart schriftelijk een register bij te houden van alle categorieën van verwerkingsactiviteiten die namens de verwerkingsverantwoordelijke worden uitgevoerd, waaronder:

      • de naam en contactgegevens van de verantwoordelijke voor de verwerking namens wie zij handelen, eventuele onderaannemers en, indien van toepassing, de functionaris voor gegevensbescherming;
      • de categorieën van verwerkingen die namens de verwerkingsverantwoordelijke worden uitgevoerd;
      • in voorkomend geval, de doorgifte van persoonsgegevens naar een derde land of een internationale organisatie, met inbegrip van de identificatie van dat derde land of die internationale organisatie en, in het geval van doorgiften als bedoeld in artikel 49, lid 1, tweede alinea, van de Europese verordening gegevensbescherming, de documenten die het bestaan van passende garanties aantonen
      • voor zover mogelijk, een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen, inclusief maar niet beperkt tot, zoals vereist:
        • pseudonimisering en versleuteling van persoonsgegevens; of middelen om de blijvende vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van verwerkingssystemen en -diensten te waarborgen;
        • middelen om de beschikbaarheid van persoonsgegevens en de toegang ertoe binnen passende termijnen te herstellen in geval van een fysiek of technisch incident; of een procedure om de doeltreffendheid van technische en organisatorische maatregelen om de beveiliging van de verwerking te waarborgen, te testen, te analyseren en regelmatig te evalueren.

    • Winkelzoeker-documentatie: De verwerker voorziet de verwerkingsverantwoordelijke van de nodige documentatie om aan te tonen dat hij al zijn verplichtingen nakomt en audits toe te staan, waaronder inspecties, die worden uitgevoerd door de verwerkingsverantwoordelijke of een andere auditor die hij heeft gemachtigd, en bij te dragen aan deze audits.

  5. Verplichtingen van de voor de verwerking verantwoordelijke jegens de verwerker

    De verantwoordelijke voor de verwerking verbindt zich ertoe om:

    • De onderaannemer voorzien van de gegevens waarnaar wordt verwezen in II van deze clausules

    • Alle instructies met betrekking tot de verwerking van gegevens door de verwerker schriftelijk vastleggen

    • Ervoor zorgen dat de verwerker vooraf en tijdens de gehele duur van de verwerking voldoet aan de verplichtingen die zijn vastgelegd in de Europese verordening gegevensbescherming

    • Toezicht houden op de verwerking, inclusief het uitvoeren van audits en inspecties bij de verwerker