Algemene voorwaarden

De website www.mya-agenda.be (hierna: de “Website”) is eigendom van:

MYA BVBA (hierna “MYA”, “Wij” en “Ons”)

Ossendriesstraat 20
3520 Zonhoven
België

BE0721.864.595

Telefoon: +32 89 44 14 14

Deze algemene voorwaarden zijn van toepassing op de website, software en applicaties (hierna ook: “apps”) van MYA. Door het gebruik van de website van MYA, m.i.v. de software en applicaties die door MYA worden aangeboden, gaat de gebruiker van de website, software en applicaties van MYA (hierna: de “Gebruiker” of "Klant") akkoord met deze algemene voorwaarden. Deze algemene voorwaarden gelden tevens voor alle upgrades van de website, software en applicaties die worden geleverd ter vervanging van dan wel als aanvulling op de oorspronkelijke software en applicaties.

Uitsluiting van aansprakelijkheid

Het gebruik van de website, software en apps, gebeurt geheel op eigen risico van de Gebruiker. MYA wijst alle aansprakelijkheden en verantwoordelijkheden voor schade af, in de brede zin, die de Gebruiker heeft geleden ten gevolge van het gebruik van de website, software en apps van MYA, of ten gevolge van het gebrek aan toegang tot de website, de software of de apps van MYA, m.i.v. schade die voortvloeit uit de opzettelijke of zware fout van werknemers, aangestelden of uitvoeringsagenten van MYA.

MYA heeft ten allen tijde het recht de dienst stop te zetten, zonder recht op schadevergoeding voor de Gebruiker. Onmiddellijke stopzetting van de dienstverlening kan plaats vinden in geval van, maar niet beperkt tot, situaties van overmacht, (vermoeden van) fraude vanwege de Gebruiker, faillissement, laattijdige of niet-betaling van een factuur, etc.

MYA kan de toegang tot de website, software en apps te allen tijde geheel of gedeeltelijk onderbreken (bv. voor onderhoudsdoeleinden), zonder recht op schadevergoeding voor de Gebruiker. MYA zal alle redelijke middelen in het werk stellen om de Gebruikers van een onderbreking of een stopzetting op voorhand op de hoogte brengen. MYA kan niet aansprakelijk worden gesteld voor de gevolgen van een onderbreking of een stopzetting.

MYA kan niet aansprakelijk worden gesteld voor de schade of verlies in de brede zin aan soft- of hardware (m.i.v. de erop vervatte data) ontstaan door onder andere, doch zonder limitatief te zijn:

  • Alle situaties van overmacht (met inbegrip van, maar niet beperkt tot, energiestoringen, natuurrampen, blikseminslag, staking, brand, lock-out, oorlog, overstromingen, diefstal, schade aangebracht door derden, logistieke problemen bij derden, etc.) dewelke ertoe zouden kunnen leiden dat MYA niet of niet tijdig kan voldoen aan haar verplichtingen.
  • Opzet, fout of nalatigheid van de Gebruiker of diens nalatig, foutief of oneigenlijk gebruik van de software, website en/of apps;
  • Misbruik van de website, apps, of soft- of hardware of gebruik ervan voor andere doeleinden dan de praktijk van de Gebruiker;
  • Interventies uitgevoerd door niet door MYA erkende personen;
  • Fouten in de brede zin, in de website, software en/of apps die door MYA ter beschikking worden gesteld.

MYA is niet aansprakelijk voor indirecte, incidentele of gevolgschade (waaronder, doch niet beperkt tot, verlies van data, winstderving of onderbreking) die voortvloeit uit of in verband staat met de verstrekte informatie, software of diensten.

De Gebruiker is verantwoordelijk voor het oneigenlijk gebruik van de software en/of applicaties die ter beschikking worden gesteld door MYA.

De Gebruiker is verantwoordelijk voor zijn toegangsrechten tot de website, software en/of applicaties van MYA en het behoud van het geheime karakter hiervan. De toegangsrechten zijn strikt persoonlijk voor de Gebruiker en niet overdraagbaar. MYA kan niet aansprakelijk gesteld worden voor het onrechtmatig gebruik van de toegangsrechten van de Gebruiker, noch voor de gevolgen hiervan.

Inhoud van de website, software en apps

Alle informatie op onze website en opgenomen in onze software en apps is louter informatief en kan te allen tijde en zonder enige voorafgaandelijke verwittiging aangepast worden; MYA kan niet aansprakelijk worden gesteld voor de inhoud ervan.
Informatie uit wettelijke en reglementaire teksten zijn uitsluitend ter informatie opgenomen. Er kunnen geen andere rechten of plichten aan worden ontleend dan die welke voortvloeien uit de goedgekeurde en gepubliceerde juridische teksten.
MYA is niet verantwoordelijk voor de juistheid van de informatie van andere organisaties die MYA gebruikt op haar website of in haar software of apps, noch voor de inhoud, het privacybeleid en de werking van andere sites waarnaar de website, software of apps van MYA verwijzen.

Intellectuele eigendom

De intellectuele en andere eigendomsrechten op de (inhoud van) de website, software en applicaties die door MYA ter beschikking worden gesteld, berusten bij de betreffende eigenaar. Er wordt aan de Gebruiker enkel toestemming verleend om gebruik te maken van de ter beschikking gestelde website, software en applicaties voor het gebruik waarvoor ze zijn bestemd; er worden geenszins intellectuele eigendomsrechten overgedragen. Onrechtmatig gebruik van (de inhoud van) de website, software of apps is ten strengste verboden. De wettelijke bepalingen betreffende de bescherming van auteurswerken is van toepassing op de informatie die is opgenomen in de website, software en applicaties. Voor elke inbreuk hierop zal een schadevergoeding geëist worden van 250.000 euro. De Klant verbindt zich er bovendien toe alle vertrouwelijke informatie dewelke hij ontvangt van MYA geheim te houden.

Privacy en persoonsgegevens

De Klant bevestigt uitdrukkelijk dat alle (persoons)gegevens die zij overmaakt aan MYA werden verzameld in overeenstemming met de bepalingen van de Algemene Verordening Gegevensbescherming (GDPR). Bijgevolg zal de Klant MYA vrijwaren ingeval deze enige vordering ontvangt van een natuurlijke persoon wiens (persoons)gegevens voor de uitvoering van de prestaties door MYA werden overgemaakt aan, verzameld en/of verwerkt door MYA. Voor het overige zijn de bepalingen zoals opgenomen in de Privacy Policy van MYA van toepassing.

Betaalperiodes

De betaalperiode is de periode waarvoor de Klant een bedrag vooruitbetaalt. De overeenkomst tussen de Klant en MYA  wordt telkens aangegaan voor een jaar. Na het verstrijken van die periode wordt de overeenkomst automatisch en stilzwijgend verlengd met een jaar tenzij de klant vóór aanvang van de nieuwe periode heeft opgezegd. Voor de opzegging volstaat het een email te sturen naar hallo@mya-agenda.be met vermelding van naam en praktijkgegevens. De Klant wordt dus niet expliciet op de hoogte gesteld van de verlenging van de overeenkomst.

Facturen

- Door het invullen en terugsturen van het opstartdocument, gaat de Klant automatisch akkoord met het ontvangen van facturen per e-mail in PDF. Facturen worden dus niet per post verzonden, tenzij in onderling overleg een andere manier van werken afgesproken wordt.
- Klachten over facturen dienen binnen 14 dagen na verzending te worden ingediend.
- Wanneer door omstandigheden de dienstverlening aan de klant werd opgeschort of stopgezet betekent dat niet dat de klant ontslaan wordt van zijn verplichting tot betaling van de factuur.
- Indien klant uit hoofde van een vereniging, stichting of bedrijf handelt, zal de klant te allen tijde persoonlijk verantwoordelijk worden gehouden voor openstaande facturen, als mocht blijken dat de klant ten tijde van het verstrekken van de opdracht/bestelling niet bevoegd was te handelen namens de rechtspersoon waarvoor de overeenkomst was aangegaan/de bestelling was geplaatst, of als de rechtspersoon namens welke getekend is, afziet van haar verplichting tot betalen.
- Facturen dienen betaald te worden ten laatste op de uiterste betaaldatum die op de factuur staat vermeld. Indien het volledige factuurbedrag na de uiterste betaaldatum niet door MYA ontvangen werd, is de klant in gebreke en volgt er een aangetekende en formele ingebrekestelling (per post).
- MYA zal een eerste betalingsherinnering (zonder extra kosten) sturen per email indien de klant in gebreke is gebleven bij het voldoen van een factuur.
- MYA zal een tweede betalingsherinnering sturen (per post en email), indien de klant niet tijdig gehoor geeft aan het verzoek tot betaling dat vermeld staat in de eerste betalingsherinnering. Daarbij zullen extra kosten (10 euro per schrijven) in rekening gebracht worden.
- Indien klant in gebreke is, is hij over het openstaande bedrag een rente verschuldigd die gelijk is aan de wettelijke rente. De eveneens verschuldigde incassokosten bedragen 15% van het openstaande bedrag met een minimum van 75 euro.
- Ingeval MYA kosten moet maken om de vordering te kunnen innen en die kosten gaan het bedrag te boven dat in het voorgaande lid staat vermeld, dan is de klant het meerbedrag ook verschuldigd aan MYA.
- MYA is te allen tijde gerechtigd de dienstverlening op te schorten of stop te zetten, of het onderhavige product onbruikbaar te maken, indien de klant niet tijdig gehoor geeft aan het verzoek tot betaling dat vermeld staat in de tweede betalingsherinnering. Eventuele hervatting van de dienstverlening zal pas plaatsvinden nadat het volledige openstaande bedrag is voldaan, inclusief extra kosten. MYA zal in geval van stopzetting er alles aan doen wat mogelijk is, om de klant eerst telefonisch proberen te bereiken en de zaak zo nog op te lossen.

Prijsverhoging

Indien MYA de prijs verhoogt, krijgt de Klant indien gewenst, gedurende de periode waarvoor betaald is de tijd om een andere leverancier te zoeken, met een minimum van 3 maanden. Tot die tijd betaalt hij de oude prijs.

Wijziging algemene voorwaarden

MYA houdt zich het recht voor om deze algemene voorwaarden aan te passen op ieder ogenblik dat zij dit wenselijk acht teneinde deze in overeenstemming te brengen met haar handelspolitiek of economische en/of juridische noodwendigheden die zich zouden voordoen. De meest recente versie zal steeds op een website, software en/of applicatie van MYA beschikbaar zijn en de nieuwe versies zullen steeds ter kennis van de Gebruiker worden gebracht, waarna de nieuwe voorwaarden dertig (30) dagen na ontvangst geacht worden te zijn aanvaard door de Gebruiker en in werking zullen treden, behoudens aangetekend schriftelijk protest aan MYA.

Toepasselijk recht en bevoegde rechtbank

Alle overeenkomsten met MYA zijn onderworpen aan de Belgische wetgeving. In geval van geschil, zal gezocht worden naar een minnelijke oplossing vóór elke gerechtelijke vordering. Bij gebreke aan minnelijke regeling, zullen de rechtbanken van Hasselt en de hoven van Antwerpen uitsluitend bevoegd zijn.

Verwerkersovereenkomst

Elke klant (verder "Verwerkersverantwoordelijke" genoemd) van MYA verklaart zich via het door hem ingevulde en gehandtekende opstartdocument akkoord met de onderstaande verwerkersovereenkomst tussen hemzelf en 

EN

MYA BVBA (hierna “MYA”, “Wij” en “Ons”)
Ossendriesstraat 20
3520 Zonhoven
België
BE0721.864.595

Optredend als “Verwerker”.

Hierna: gezamenlijk aangeduid ‘Partijen’, en afzonderlijk ‘Partij’;

OVERWEGENDE DAT:

  • Partijen een overeenkomst hebben gesloten inzake gebruik van software.
  • De uitvoering van voornoemde overeenkomst ook het verwerken van persoonsgegevens door de Verwerker in opdracht van de Verwerkingsverantwoordelijke inhoudt.
  • Partijen hun afspraken hieromtrent willen vastleggen door middel van deze Verwerkersovereenkomst, bedoeld om te dienen als Verwerkersovereenkomst in de zin van artikel 28 GDPR.

Bijlage 1: Instructies voor de verwerking van persoonsgegevens

Voor deze verwerking gelden volgende bepalingen:

1.1.   

Onderwerp van de verwerking

Aanleveren van software voor online medische agenda.

1.2.   

Duur van de verwerking

Gelinkt aan de duur van de overeenkomst.

1.3.   

Aard en doel van de verwerking

De verwerker treedt op als leverancier van software voor online medische agenda.

1.4.   

Specifieke instructies

Specifieke instructies, werkwijzen en afspraken tussen Verwerkingsverantwoordelijke en Verwerker zijn opgenomen in de overeenkomst

1.5.   

Verwerkingsgrond

De verwerkingsgrond van de opdrachten uitgevoerd door de Verwerker is dat deze noodzakelijk zijn voor de uitvoering van de overeenkomst. 

1.6.   

De geleverde toepassing/dienst heeft betrekking op volgende persoonsgegevens:

Identificatiegegevens van patiënten (naam, voornaam, adresgegevens, contactgegevens), gegevens m.b.t. de sociale zekerheid (INSZ), financiële gegevens en KBO-nummers.

1.7.   

Deze gegevens behoren tot volgende categorieën van betrokkenen:

Zorgverleners, Patiënt of diens gemachtigde

1.8.   

De leverancier bewaart gegevens bijvoorbeeld in het kader van troubleshooting/backup

Ja.

1.9.   

De leverancier bewaart gegevens buiten de EEA[1]

Neen.

1.10.        

De leverancier bewaart gegevens in de cloud?

Er zijn garanties dat de gegevens steeds binnen de EU blijven?

Ja.

Ja.

1.11.        

Is de leverancier gevestigd in de EU?

Indien niet, is er een afgevaardigde van de leverancier gevestigd in de EU?

Ja.

1.12.        

Naam van de Functionaris voor gegevensbescherming (Data Protection Officer):

De Functionaris voor gegevensbescherming is deze zoals terug te vinden op de website van de Verwerker (http://mya-agenda.be/nl/privacybeleid)

1.13.        

Opsomming van Subverwerkers die namens de Verwerker betrokken zijn bij de gegevensverwerking. Deze lijst wordt bij wijzigingen bijgewerkt, na goedkeuring van de Verantwoordelijke.

ICT-firma’s die zorgen voor hosting of onderhoud van infrastructuur: Level27, Microsoft, ....

Applicaties nodig voor het goed functioneren van de (IT-)helpdesk: Teamviewer.

Mailingprogramma: Flexmail.

Aan zelfstandige consultants, die bepaalde taken opdracht van de Verwerker uitvoeren, wordt gevraagd een vertrouwelijkheidsverklaring te ondertekenen.

1.14.        

Technische veiligheidsmaatregelen:

Logische toegangsbeveiliging: Systeem met rollen en rechten dat bepaalt wie toegang heeft tot applicaties en netwerken.

Paswoorden-beleid en richtlijnen voor medewerkers ter beveiliging van de eigen werkplek en PC.

Organisatie van security audits.

Back-up procedure.

1.15.        

Organisatorische veiligheidsmaatregelen:

Fysieke toegangsbeveiliging: alarm en badgesystemen.

Emailpolicy en phishing richtlijnen.

Richtlijnen voor medewerkers en persoonlijke verklaringen van medewerkers en leveranciers omtrent gegevensbeveiliging.

Procedures voor in- en uitdienst personeel. Bewustmakingssessies voor medewerkers.

[1] European Economic Area

INHOUDSTAFEL

AFDELING 1: Algemene Bepalingen

Artikel 1.         Toepasselijke wetgeving

Artikel 2.         Afkortingen en definities

AFDELING 2: Gegevensbeschermingsbeginselen

Artikel 3.         Beginselen

AFDELING 3: Verplichtingen van de Verwerker

Artikel 4.         Schriftelijke instructies verwerkingsverantwoordelijke (art. 28.3.a)

Artikel 5.         Gemachtigde personen en vertrouwelijkheid (art. 28.3.b)

Artikel 6.         Technische en organisatorische beveiligingsmaatregelen (art. 28.3.c)

Artikel 7.         Bijstand (art. 28.3.e-f-h)

Artikel 8.         Aanstellen functionaris voor de gegevensbescherming

Artikel 9.         Aanleggen van een verwerkingsregister

Artikel 10.       Gedragscode en certificering

AFDELING 4: Stelsel van Subverwerkers

Artikel 11.       Subverwerkers

AFDELING 5: Inbreuken tijdens gegevensverwerking

Artikel 12.       Melding van een inbreuk in verband met persoonsgegevens

AFDELING 6: Doorgifte van persoonsgegevens

Artikel 13.       Doorgifte persoonsgegevens buiten de Europese Economische Ruimte

AFDELING 7: Slotbepalingen

Artikel 14.       Duur, beëindiging en wijzigingen

Artikel 15.       Aansprakelijkheid

Artikel 16.       Deelbaarheid

Artikel 17.       recht en bevoegde rechtbank

 

AFDELING 1: Algemene Bepalingen

Artikel 1. Toepasselijke wetgeving

Deze overeenkomst is opgesteld in het kader van:

  • De Algemene Verordening Gegevensbescherming, met name de verordening 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EC;
  • De Verwerker erkent dat hij onderworpen is aan de specifiek tot de Verwerker gerichte rechten en verplichtingen van de AVG. De Verwerker erkent eveneens dat de Verwerkingsverantwoordelijke onderworpen is aan de specifiek tot de Verwerkingsverantwoordelijke gerichte rechten en verplichtingen van de AVG.

Artikel 2. Afkortingen en definities

In deze Verwerkersovereenkomst worden de volgende definities uit de Algemene Verordening Gegevensbescherming toegepast:

AVG

De Algemene Verordening Gegevensbescherming, met name de verordening 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens.

Persoonsgegevens

Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (“de betrokkene”); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.

Verwerking

Een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procédés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.

Verwerkings-verantwoordelijke

Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking vaststelt.

Verwerker

Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de Verwerkingsverantwoordelijke persoonsgegevens verwerkt.

Subverwerker

Een natuurlijke persoon of rechtspersoon die rechtstreeks of onrechtstreeks onder de verantwoordelijkheid werkt van de Verwerker, met uitzondering van personen die in dienstverband voor de Verwerker werken.

DPO

Data Protection Officer of Functionaris voor de gegevensbescherming.

Gezondheidsgegevens

Persoonsgegevens die verband houden met de fysieke of mentale gezondheid van een natuurlijke persoon, waaronder gegevens over verleende gezondheidsdiensten waarmee informatie over zijn gezondheidstoestand wordt gegeven.

Inbreuk in verband met het verwerken van persoonsgegevens
( = datalek)

Een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte Persoonsgegevens.

Toezichthoudende autoriteit

Een door een lidstaat ingestelde onafhankelijke overheidsinstantie (België: Gegevensbeschermingsautoriteit).

AFDELING 2: Gegevensbeschermingsbeginselen

Artikel 3. Beginselen

De Partijen zullen in elke fase van de verwerking van persoonsgegevens rekening houden met de volgende beginselen, zoals ze ook zijn beschreven in de AVG:

  • Persoonsgegevens moeten worden verwerkt op een wijze die ten aanzien van de betrokkene rechtmatig, behoorlijk en transparant is (“rechtmatigheid, behoorlijkheid en transparantie”).
  • Persoonsgegevens moeten voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en mogen vervolgens niet verder op een met die doeleinden onverenigbare wijze worden verwerkt. De Verwerker verbindt er zich toe de Persoonsgegevens te verwerken conform de bepalingen van bijlage 1.
  • Persoonsgegevens moeten toereikend zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt (“minimale gegevensverwerking”).
  • Persoonsgegevens moeten juist zijn en zo nodig worden geactualiseerd. Alle redelijke maatregelen moeten worden genomen om de persoonsgegevens die, gelet op de doeleinden waarvoor zij worden verwerkt, onjuist zijn, onverwijld te wissen of te rectificeren (“juistheid”).
  • Persoonsgegevens moeten worden bewaard in een vorm die het mogelijk maakt de betrokkenen niet langer te identificeren dan voor de doeleinden waarvoor de persoonsgegevens worden verwerkt, noodzakelijk is. De Verwerker zal de gegevens niet langer bewaren dan noodzakelijk is voor het verrichten van de opdrachten waarvoor ze ter beschikking worden gesteld. Het is de Verwerker toegelaten om in het kader van het voorwerp van deze overeenkomst een back-up te maken indien noodzakelijk bij het uitvoeren van de opdracht. Elke andere duplicatie van de gegevens is verboden (“opslagbeperking”).
  • Persoonsgegevens moeten door het nemen van passende technische of organisatorische maatregelen op een dusdanige manier worden verwerkt dat een passende beveiliging ervan gewaarborgd is, en dat zij onder meer beschermd zijn tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging (“integriteit en vertrouwelijkheid”).

AFDELING 3: Verplichtingen van de Verwerker

Artikel 4. Schriftelijke instructies Verwerkingsverantwoordelijke (art. 28.3.a)

  • De Verwerker wendt de Persoonsgegevens enkel aan voor de uitvoering van zijn verplichtingen in overeenstemming met de Verwerkersovereenkomst en volgens de schriftelijke instructies van de Verwerkingsverantwoordelijke. Elk ander gebruik van de Persoonsgegevens door de Verwerker, in welke vorm of op welke wijze dan ook, is niet toegestaan. De Verwerker mag geen verwerkingen uitvoeren of laten uitvoeren op of met de Persoonsgegevens tenzij en in de mate dat zulks noodzakelijk is voor de uitvoering van de Verwerkersovereenkomst. Deze schriftelijke instructies omvatten onder meer het onderwerp van de verwerking, de aard en het doel van de verwerking, het soort persoonsgegevens en de categorieën van betrokkenen. De concrete schriftelijke instructies worden opgenomen in bijlage 1 van de Verwerkersovereenkomst.
  • Indien de Verwerker geanonimiseerde gegevens wenst te gebruiken voor statistische doeleinden of voor analyses teneinde de interne werking te optimaliseren, dan dienen de persoonsgegevens zodanig geanonimiseerd te worden dat de natuurlijke persoon niet langer kan worden geïdentificeerd. Derhalve worden deze niet meer als persoonsgegeven beschouwd.

Artikel 5. Gemachtigde personen en vertrouwelijkheid (art. 28.3.b)

  • De Verwerker zal de persoonsgegevens als strikt vertrouwelijk behandelen.
  • De Verwerker zal de Persoonsgegevens niet aan derden meedelen, noch aan derden toegang geven tot de Persoonsgegevens, onder geen enkele vorm (ook niet onder de vorm van geanonimiseerde Persoonsgegevens), met uitzondering van data-overdacht aan de Subverwerkers van de Verwerker tot uitvoeren van de door de partijen overeengekomen opdracht. Het verbod op verwerking van Persoonsgegevens door derden geldt niet wanneer die verwerking verplicht is op grond van een Belgische of Europese rechtsregel die bindend is voor de Verwerker. In zulk geval stelt de Verwerker de Verwerkingsverantwoordelijke voorafgaandelijk en schriftelijk in kennis van het verzoek tot toegang, de betrokken bindende rechtsregel en de gevolgen die de Verwerker aan dat verzoek plant te geven, tenzij deze kennisgeving wettelijk of om dwingende redenen van algemeen belang verboden is.
  • Enkel indien de Verwerkingsverantwoordelijke een mandaat geeft aan de Verwerker, is de Verwerker gemachtigd om persoonsgegevens te delen met de hiertoe door de Verwerkingsverantwoordelijke aangestelde persoon. Die mandatering gebeurt onder de volle verantwoordelijkheid van de Verwerkingsverantwoordelijke.
  • Indien een instructie van de Verwerkingsverantwoordelijke naar de mening van de Verwerker inbreuk oplevert op de AVG of op andere Unierechtelijke of lidstaatrechtelijke bepalingen inzake gegevensbescherming, moet hij de Verwerkingsverantwoordelijke hiervan onmiddellijk in kennis stellen.
  • De Verwerker kan toegang geven tot de Persoonsgegevens aan haar werknemers, maar dient de toegang strikt te beperken tot enkel die werknemers die toegang moeten hebben tot de Persoonsgegevens om de Verwerker toe te laten zijn verplichtingen onder de Verwerkersovereenkomst uit te voeren.
  • De Verwerker zal de betrokken werknemers schriftelijk op de hoogte brengen van het vertrouwelijke karakter van Persoonsgegevens, en van het wettelijke en contractuele kader inzake Persoonsgegevens, en zal de betrokken medewerkers contractueel een vertrouwelijkheidsverplichting opleggen.

Artikel 6. Technische en organisatorische beveiligingsmaatregelen (art. 28.3.c)

  • De Verwerker beveiligt de persoonsgegevens tegen vernietiging, hetzij per ongeluk, hetzij onrechtmatig, tegen verlies, vervalsing, niet-toegelaten verspreiding of toegang en elke andere vorm van onwettige verwerking.
  • De Verwerker verbindt zich ertoe de gepaste technische en organisatorische maatregelen te nemen om de persoonsgegevens en de verwerking ervan te beveiligen passend bij het risico en categorie van persoonsgegevens. De Verwerker verbindt zich er toe deze maatregelen te op te sommen in bijlage 1 van de Verwerkersovereenkomst.

Artikel 7. Bijstand (art. 28.3.e-f-h)

  • De Verwerker verbindt zich ertoe de Verwerkingsverantwoordelijke bij te staan bij het nakomen van de wettelijke verplichtingen van de Verwerkingsverantwoordelijke onder de AVG. In dit verband zal de Verwerker binnen een redelijke termijn antwoorden op elk verzoek om bijstand van de Verwerkingsverantwoordelijke. De Verwerker heeft recht op een vergoeding voor dergelijke bijstand op basis van zijn uurtarieven of andere tarieven zoals overeengekomen tussen de Partijen. Indien een verzoek of instructie van de Verwerkingsverantwoordelijke een schending uitmaakt van de AVG, zal hij de Verwerkingsverantwoordelijke hiervan onmiddellijk in kennis stellen.
  • De Verwerker zal elk verzoek of vraag die hij van een Betrokkene ontvangt in verband met de (verwerking van) Persoonsgegevens onverwijld doorgeven aan de Verwerkingsverantwoordelijke, die beslist welke gevolgen hieraan zullen worden gegeven. De Verwerker zal de Verwerkingsverantwoordelijke bijstaan en ondersteunen in de gevolgen die de Verwerkingsverantwoordelijke geeft aan dergelijke verzoeken.  Meer bepaald zal de Verwerker, indien en in de mate dat dit valt binnen zijn technische mogelijkheden en bevoegdheden, binnen de 14 kalenderdagen gevolg geven aan elk verzoek van de Verwerkingsverantwoordelijke in verband met het beantwoorden of uitvoeren van verzoeken van Betrokkenen.
  • Op gegrond verzoek van de Verwerkingsverantwoordelijke, zal de Verwerker instemmen met en meewerken aan audits en inspecties van de verwerking van Persoonsgegevens door de Verwerker. De Verwerkingsverantwoordelijke dient de Verwerker minstens dertig (30) kalenderdagen op voorhand per aangetekend schrijven op de hoogte te stellen van zijn voornemen om een audit uit te laten voeren. De kennisgeving moet de naam van de auditor, een gegronde aanleiding, een beschrijving van het doel en de reikwijdte van de audit bevatten. De audit kan worden uitgevoerd op voorwaarde dat de externe partij geen concurrent is van de Verwerker en dat er geen belangenconflict is. De Verwerker heeft het recht de auditor vooraf goed te keuren. Alle kosten van de audit komen uitsluitend voor rekening van de Verwerkingsverantwoordelijke.
  • De Verwerker kan aan de Verwerkingsverantwoordelijke een redelijke vergoeding aanrekenen voor de vergoeding van administratieve kosten waarmee het verstrekken van info of het treffen van gevraagde maatregelen gepaard gaan. De Verwerker zal de Verwerkingsverantwoordelijke steeds op voorhand op de hoogte stellen van de hoogte van een aan te rekenen vergoeding.

Artikel 8. Aanstellen functionaris voor de gegevensbescherming

  • De Verwerker zal conform artikel 37 AVG handelen wat betreft het aanstellen van een functionaris voor de gegevensbescherming.
  • De Verwerker zal de identiteit- en contactgegevens van de functionaris voor de gegevensbescherming bezorgen aan de Verwerkingsverantwoordelijke door middel van bijlage 1 van de Verwerkersovereenkomst.

Artikel 9. Aanleggen van een verwerkingsregister

  • De Verwerker houdt een verwerkingsregister bij van de verwerkingsactiviteiten die onder zijn verantwoordelijkheid vallen.
  • Dit register moet de naam en contactgegevens van Verwerker, de Verwerkingsverantwoordelijke en de functionaris voor gegevensbescherming bevatten. Bijkomstig moet dit register bestaan uit de verschillende categorieën van verwerkingen en een algemene beschrijving van de genomen organisatorische en technische maatregelen.

Artikel 10. Gedragscode en certificering

  • Wanneer de Verwerker zich aansluit bij een gedragscode overeenkomstig artikel 40 AVG zal de Verwerker de bepalingen van deze gedragscode te allen tijde naleven. De eventuele toepasselijke gedragscode zal worden aangeduid in bijlage 1.
  • Indien de Verwerker conform artikel 42 AVG is gecertificeerd, zal dit een bewijs vormen dat de Verwerker de Persoonsgegevens in overeenstemming met de AVG verwerkt. Het eventuele toepasselijke certificeringsmechanisme voor gegevensbescherming en gegevensbeschermingszegels en –merktekens zal worden aangeduid in bijlage 1. Een eventuele certificering van de Verwerker ontslaat deze op geen enkele manier van de bepalingen in de Verwerkersovereenkomst.

AFDELING 4: Stelsel van Subverwerkers

Artikel 11. Subverwerkers

  • De Verwerkingsverantwoordelijke geeft een algemene toestemming aan de Verwerker om Subverwerkers in te schakelen. De Verwerker informeert de Verwerkingsverantwoordelijke indien een nieuwe Subverwerker wordt toegevoegd. De Verwerkingsverantwoordelijke behoudt zich het recht om deze nieuwe Subverwerker te weigeren. De Verwerkingsverantwoordelijk verbindt zich er toe de Verwerker binnen de 2 werkdagen zijn of haar akkoord op de nieuwe Subverwerker te bevestigen. Zo niet, kan de Verwerker gebruik maken van de diensten van deze Subverwerker.
  • Indien de Verwerker verwerkingsactiviteiten van Persoonsgegevens toevertrouwt aan Subverwerkers, garandeert hij dat elke derde contractueel onderworpen wordt aan minstens dezelfde verplichtingen als deze waartoe de Verwerker is gehouden ten aanzien van de Verwerkingsverantwoordelijke onder deze Verwerkersovereenkomst. De Verwerker maakt zich sterk dat elke derde die hij toegang tot de Persoonsgegevens geeft, deze verplichtingen zal naleven.
  • Wanneer de Verwerker verwerkingsactiviteiten van Persoonsgegevens toevertrouwt aan Subverwerkers zal elke Subverwerker onderworpen worden aan minstens dezelfde verplichtingen als de Verwerker..

AFDELING 5: Inbreuken tijdens gegevensverwerking

Artikel 12. Melding van een inbreuk in verband met persoonsgegevens

  • Indien een Inbreuk in verband met Persoonsgegevens plaatsvindt of heeft plaatsgevonden zal de Verwerker dit onverwijld en binnen 24 uur nadat de Verwerker zich bewust was van een inbreuk, gedetailleerd telefonisch en per e-mail melden aan de functionaris voor de gegevensbescherming van de Verwerkingsverantwoordelijke:
    E-mail adres: hallo@mya-agenda.be

Telefoonnummer: 089 44 14 14

  • De Verwerker bezorgt de Verwerkingsverantwoordelijke bij de melding van het incident, of indien dit redelijkerwijze niet mogelijk is zonder onredelijke vertraging na de melding van de Inbreuk in verband met Persoonsgegevens, de volgende informatie:
  • de aard van de Inbreuk in verband met Persoonsgegevens, alsook de oorzaak;
  • indien mogelijk de categorieën van Betrokkene(n);
  • het geschatte aantal Betrokkene(n);
  • de categorieën van Persoonsgegevens;
  • het geschatte aantal Persoonsgegevens;
  • de naam en de contactgegevens van de functionaris voor gegevensbescherming indien anders dan deze in bijlage 1 zijn vernoemd of, indien er geen functionaris voor gegevensbescherming is, een ander contactpunt waar meer informatie kan worden verkregen over de Inbreuk in verband met Persoonsgegevens;
  • de waarschijnlijke gevolgen en risico’s, inclusief de waarschijnlijke gevolgen en risico’s voor de Betrokkenen;
  • de maatregelen die genomen werden om de Inbreuk in verband met Persoonsgegevens aan te pakken, waaronder, in voorkomend geval, de maatregelen ter beperking van de eventuele nadelige gevolgen en risico’s en maatregelen om zulke Inbreuk in de toekomst te vermijden. Uit eigen beweging zal de Verwerker alle noodzakelijke bijkomstige informatie betreffende deze inbreuk melden aan de Verwerkingsverantwoordelijke.
    • De Verwerker beschikt over een adequaat plan van aanpak betreffende de omgang en afhandeling van inbreuken.
    • De Verwerker zal onder geen enkele omstandigheid zelfstandig overgaan tot het melden van een inbreuk aan de Betrokkenen of aan de Toezichthoudende autoriteit.
    • De Verwerker zal de Verwerkingsverantwoordelijke zo goed als mogelijk bijstaan bij het melden van de Inbreuk in verband met Persoonsgegevens aan de toezichthoudende autoriteit en/of aan de Betrokkene(n). De Verwerker zal alle vragen en verzoeken van de Verwerkingsverantwoordelijke betreffende de inbreuk in verband met Persoonsgegevens steeds behandelen als prioritair.
    • De Verwerker ziet toe op de toepassingen van de verplichtingen inzake het melden van een inbreuk, zoals bepaald in dit artikel, bij de Subverwerkers die onder diens toezicht deelnemen aan de verwerking.

AFDELING 6: Doorgifte van persoonsgegevens

Artikel 13. Doorgifte persoonsgegevens buiten de Europese Economische Ruimte

  • De Verwerker waarborgt dat hij geen Persoonsgegevens doorgeeft naar een land buiten de Europese Economische Ruimte (dit is de Europese Unie en Liechtenstein, IJsland en Noorwegen) zonder de schriftelijke toestemming van de Verantwoordelijke.
  • Een doorgifte naar een land buiten de Europese Economische Ruimte is toegestaan zonder schriftelijke toestemming van de Verwerkingsverantwoordelijke indien deze doorgifte noodzakelijk is op grond van een rechtsregel die bindend is onder EU of Belgisch recht. In voorkomend geval stelt de Verwerker de Verwerkingsverantwoordelijke voorafgaandelijk en schriftelijk in kennis van het wettelijk voorschrift op grond waarvan de Verwerker verplicht is over te gaan tot doorgifte van de Persoonsgegevens, tenzij de betrokken wetgeving deze kennisgeving om gewichtige redenen van algemeen belang verbiedt.
  • In voorkomend geval zal bij doorgifte buiten de Europese Economische Ruimte van persoonsgegevens, door de Verantwoordelijke worden nagegaan of het land of de onderneming een passend beschermingsniveau van de Persoonsgegevens waarborgt. De Verantwoordelijke kiest het afsprakenkader waarbinnen deze garanties worden afgedwongen.

AFDELING 7: Slotbepalingen

Artikel 14. Duur, beëindiging en wijzigingen

  • De Verwerkersovereenkomst treedt in werking op datum van ondertekening en heeft een looptijd van een periode gelijk aan de looptijd van de opdracht van de verwerking.
  • De Verwerkersovereenkomst blijft van kracht gedurende de looptijd van de hoofdovereenkomst. Indien de hoofdovereenkomst eindigt, zal de Verwerkersovereenkomst ook van rechtswege worden beëindigd.
  • Na afloop van de verwerkingsdiensten, naargelang de keuze van de Verwerkingsverantwoordelijke, zal de Verwerker alle persoonsgegevens wissen of deze terug aan de Verwerkingsverantwoordelijke bezorgen en bestaande kopieën verwijderen, tenzij opslag van de persoonsgegevens wettelijk of reglementair verplicht is.
  • De Verwerker is gerechtigd de Verwerkersovereenkomst te wijzigen of aan te vullen. Kleine wijzigingen van ondergeschikt belang kunnen altijd worden doorgevoerd. Grote inhoudelijke wijzigingen zal de Verwerker kenbaar maken aan de Verwerkingsverantwoordelijke.

Artikel 15. Aansprakelijkheid

  • De aansprakelijkheid van de Verwerker is steeds beperkt tot deze gevallen specifiek voorzien in de AVG en is in alle gevallen beperkt tot de directe schade aan de Verwerkingsverantwoordelijke.

De Verwerkingsverantwoordelijke vrijwaart de Verwerker te allen tijde voor alle aanspraken van derden.

  • De Verwerkingsverantwoordelijke kan zich niet aan zijn aansprakelijkheid onttrekken door zich te beroepen op niet-nakoming van verplichtingen door de Verwerker. Indien de Verwerkingsverantwoordelijke aansprakelijk wordt gehouden, kan deze op de Verwerker regres uitoefenen indien de Verwerker toerekenbaar is tekortgeschoten in de naleving van de in de bij of krachtens de AVG gegeven voorschriften, de onderhavige overeenkomst of andere op hem toepasselijke reglementeringen.

Artikel 16. Deelbaarheid

  • Als één of meerdere bepalingen van deze overeenkomst nietig worden verklaard, vervangen de Partijen de genoemde bepaling(en) door (een) geldige bepaling(en) die zoveel mogelijk de economische, commerciële of andere beoogde doelstellingen van de nietig verklaarde bepaling(en) realiseert (/realiseren). De overige bepalingen van deze overeenkomst blijven onverminderd van kracht.

Artikel 17. Toepasselijk recht en bevoegde rechtbank

  • De huidige overeenkomst wordt beheerst door het Belgisch recht.
  • Enig geschil tussen de Partijen wordt beslecht door de rechtbank van het arrondissement waar de maatschappelijke zetel van de Verwerkingsverantwoordelijke gelegen is.