Verwerkersovereenkomst
BE 0599.927.776 (hierna de “Verwerker”),
(hierna de “Verwerkingsverantwoordelijke”).
1. Onderwerp en duur
1.1. Deze Overeenkomst regelt de verwerking van persoonsgegevens door de Verwerker ten behoeve van de
Verwerkingsverantwoordelijke, conform artikel 28 van de Algemene Verordening Gegevensbescherming
(“AVG” of “GDPR”).
1.2. De duur van deze Overeenkomst volgt de duur van de hoofdovereenkomst (waaronder de Softwarelicentie en de
Algemene Voorwaarden). De verwerkingen starten bij activering van de diensten en eindigen bij verwijdering of
terugzending van alle persoonsgegevens zoals voorzien in artikel 12.
2. Beschrijving van de verwerking
2.1. Categorieën van betrokkenen
- huurders en medehuurders;
- eigenaren en verhuurders;
- inspecteurs en medewerkers van de Verwerkingsverantwoordelijke;
- leveranciers en externe contactpersonen in het kader van inspecties;
- contactpersonen bij VME’s, sociale huisvestingsmaatschappijen of overheden.
2.2. Categorieën persoonsgegevens
De gegevens worden bepaald door de Verwerkingsverantwoordelijke en kunnen onder meer omvatten:
- identificatiegegevens (naam, voornaam, adres, contactgegevens);
- gegevens over te inspecteren panden en locaties;
- foto’s, video’s en inspectierapporten;
- digitale handtekeningen;
- interne opmerkingen en referenties;
- gebruikersaccounts en loggegevens.
2.3. Soorten verwerkingen
- verzamelen, registreren en opslaan;
- raadplegen, gebruiken en verwerken voor inspectiedoeleinden;
- ordenen, structureren en rapporteren;
- overdragen aan de Verwerkingsverantwoordelijke of diens systemen;
- back-up, archivering en beveiligde verwijdering.
2.4. Doeleinden
- uitvoeren, documenteren en opvolgen van digitale inspecties en inspectierapporten;
- beheer en opvolging van vastgoed;
- naleving van wettelijke verplichtingen m.b.t. inspecties en documentatie;
- bewijsvoering in het kader van huur en beheer van vastgoed.
3. Verplichtingen van de Verwerker
De Verwerker verbindt zich ertoe om:
- 3.1. persoonsgegevens uitsluitend te verwerken op schriftelijke instructie van de Verwerkingsverantwoordelijke,
tenzij een wettelijke verplichting anders vereist; - 3.2. persoonsgegevens niet voor eigen doeleinden te gebruiken;
- 3.3. alle personen die onder zijn gezag toegang hebben tot persoonsgegevens, contractueel tot vertrouwelijkheid te
verplichten; - 3.4. passende technische en organisatorische beveiligingsmaatregelen te hanteren overeenkomstig artikel 32 AVG,
met inbegrip van onder meer:- encryptie van gegevens tijdens overdracht en, waar mogelijk, in rust;
- toegangscontrole en logging;
- gebruik van beveiligde datacenters;
- bescherming tegen malware en ongeoorloofde toegang;
- monitoring van systemen en beveiligingsincidenten.
- 3.5. de Verwerkingsverantwoordelijke te ondersteunen bij het beantwoorden van verzoeken van betrokkenen (inzage,
rectificatie, wissing, beperking, overdraagbaarheid, bezwaar); - 3.6. waar nodig mee te werken aan gegevensbeschermingseffectbeoordelingen (DPIA’s) en overleg met
toezichthoudende autoriteiten; - 3.7. geen verwerkingen uit te voeren buiten de EU/EER zonder dat voldaan is aan de voorwaarden van hoofdstuk V
AVG; - 3.8. een actueel register van verwerkingsactiviteiten bij te houden voor de verwerkingen die hij als Verwerker uitvoert.
4. Datalekken
4.1. De Verwerker stelt de Verwerkingsverantwoordelijke onverwijld, en uiterlijk binnen 24 uur, schriftelijk
op de hoogte van elk vastgesteld of redelijkerwijs vermoed datalek dat betrekking heeft op persoonsgegevens die in
het kader van deze Overeenkomst worden verwerkt.
4.2. De melding bevat in de mate van het mogelijke minstens:
- de aard van het datalek en, indien mogelijk, de categorieën en aantallen betrokkenen en persoonsgegevens;
- de waarschijnlijke gevolgen van het datalek;
- de reeds genomen en/of voorgestelde maatregelen om het datalek aan te pakken en de gevolgen ervan te beperken.
4.3. De Verwerker verleent volledige medewerking aan de Verwerkingsverantwoordelijke bij het beoordelen van het
datalek, het doen van meldingen aan toezichthouders en – indien vereist – aan betrokkenen, alsook bij
eventuele verdere onderzoeken en corrigerende acties.
5. Subverwerkers
5.1. De Verwerker mag subverwerkers inschakelen voor de uitvoering van deze Overeenkomst, op voorwaarde dat deze
subverwerkers contractueel worden gebonden aan dezelfde privacy- en beveiligingsverplichtingen als opgenomen in deze
Overeenkomst, conform artikel 28, lid 4 AVG.
5.2. De Verwerker houdt een actuele lijst van subverwerkers bij (zie Bijlage I – Lijst van Subverwerkers).
Deze lijst bevat minstens:
- de juridische entiteit;
- het doeleinde van de verwerking;
- de hosting- of verwerkingslocatie;
- het adres van de subverwerker.
5.3. De Verwerker informeert de Verwerkingsverantwoordelijke minstens 30 dagen vóór het toevoegen of vervangen van
een subverwerker. De kennisgeving gebeurt via e-mail of via een kennisgeving in de applicatie.
5.4. De Verwerkingsverantwoordelijke heeft het recht om binnen deze termijn gemotiveerd bezwaar te maken indien:
- de subverwerker onvoldoende waarborgen biedt op het vlak van privacy of informatiebeveiliging; of
- de subverwerker persoonsgegevens verwerkt in een land zonder passend beschermingsniveau en zonder geldig
overdrachtsmechanisme.
5.5. Indien een bezwaar ontvankelijk is, treden partijen in overleg om een passende oplossing te zoeken. Indien geen
oplossing wordt gevonden binnen 15 dagen, mag de Verwerkingsverantwoordelijke:
- de betrokken dienst(en) beëindigen; of
- de verwerking beperken zodat de betreffende subverwerker niet wordt gebruikt.
5.6. De Verwerker blijft volledig aansprakelijk voor de handelingen en nalatigheden van alle subverwerkers. Een
inbreuk door een subverwerker wordt beschouwd als een inbreuk door de Verwerker zelf.
5.7. Indien een subverwerker persoonsgegevens verwerkt buiten de EU/EER, waarborgt de Verwerker dat:
- een geldig mechanisme voor internationale doorgifte wordt gebruikt (zoals EU-modelcontractbepalingen of een
adequaatheidsbesluit); en - aanvullende maatregelen worden getroffen indien nodig (bijvoorbeeld encryptie, pseudonimisering en contractuele
beveiligingswaarborgen).
5.8. De Verwerkingsverantwoordelijke kan op verzoek een kopie ontvangen van de relevante gegevensverwerkingsovereenkomsten
tussen de Verwerker en zijn subverwerkers, waarbij commercieel vertrouwelijke informatie mag worden geanonimiseerd.
5.9. De Verwerker schakelt geen subverwerkers in voor andere doeleinden dan noodzakelijk voor de uitvoering van de
Chapps-diensten.
6. Internationale doorgifte
6.1. Indien persoonsgegevens in het kader van deze Overeenkomst buiten de EU/EER worden verwerkt, zorgen partijen
ervoor dat de doorgifte voldoet aan hoofdstuk V AVG (zoals adequaatheidsbesluiten, EU-modelcontractbepalingen of
andere door de Europese Commissie goedgekeurde mechanismen).
6.2. De Verwerker communiceert op verzoek transparant over de landen waar persoonsgegevens worden opgeslagen of verwerkt.
7. Rechten van betrokkenen
7.1. De Verwerkingsverantwoordelijke is primair verantwoordelijk voor het behandelen van verzoeken van betrokkenen
met betrekking tot hun rechten onder de AVG.
7.2. De Verwerker zal de Verwerkingsverantwoordelijke kosteloos en binnen een redelijke termijn (maximaal 5
werkdagen) bijstaan bij:
- inzage- en rectificatieverzoeken;
- verzoeken tot wissing of beperking van verwerking;
- verzoeken tot gegevensoverdracht (dataportabiliteit);
- bezwaar tegen bepaalde verwerkingen.
8. Beveiliging
8.1. De Verwerker implementeert beveiligingsmaatregelen die zijn afgestemd op het risico, waaronder:
- toegangsbeheer op basis van “need-to-know” en “least privilege”;
- sterk wachtwoord- en authenticatiebeleid;
- versleutelde communicatie (bijv. TLS) en, waar mogelijk, versleutelde opslag;
- firewalls, netwerksegmentatie en monitoring;
- periodieke evaluatie en bijstelling van de beveiligingsmaatregelen.
8.2. De Verwerker stelt op verzoek een beschrijving van de belangrijkste technische en organisatorische
beveiligingsmaatregelen ter beschikking van de Verwerkingsverantwoordelijke.
9. Audit en inspectie
9.1. De Verwerkingsverantwoordelijke heeft het recht om, maximaal éénmaal per jaar of bij gegronde vermoeden van
inbreuk, een audit of inspectie te laten uitvoeren met betrekking tot de naleving van deze Overeenkomst.
9.2. Audits gebeuren met redelijke voorafgaande kennisgeving en zonder onredelijke verstoring van de activiteiten van
de Verwerker.
9.3. De Verwerker kan alternatieve bewijzen ter beschikking stellen, zoals recente externe auditrapporten of
certificeringen, mits deze de relevante beveiligingsaspecten voldoende dekken.
10. Geheimhouding
10.1. De Verwerker behandelt alle persoonsgegevens die hij verwerkt in opdracht van de Verwerkingsverantwoordelijke
als strikt vertrouwelijk.
10.2. De Verwerker waarborgt dat alle werknemers, consultants of andere personen die onder zijn verantwoordelijkheid
handelen en toegang hebben tot persoonsgegevens, aan een passende vertrouwelijkheidsverplichting zijn onderworpen.
11. Aansprakelijkheid
11.1. Iedere partij is aansprakelijk voor de schade die voortvloeit uit haar eigen schending van de AVG of deze
Overeenkomst, in de mate dat deze schade aan haar toerekenbaar is.
11.2. Behoudens opzet of zware fout is de totale aansprakelijkheid van de Verwerker uit hoofde van of in verband met
deze Overeenkomst beperkt tot de bedragen die de Verwerkingsverantwoordelijke voor de relevante diensten gedurende de
laatste twaalf (12) maanden voorafgaand aan het schadeverwekkende feit effectief aan de Verwerker heeft betaald.
11.3. Geen van beide partijen is aansprakelijk voor indirecte schade, gevolgschade, winstderving of verlies van
kansen, behoudens indien dwingend recht anders bepaalt.
12. Einde van de verwerking
12.1. Bij beëindiging van de hoofdovereenkomst of op uitdrukkelijk schriftelijk verzoek van de
Verwerkingsverantwoordelijke zal de Verwerker, naar keuze van de Verwerkingsverantwoordelijke:
- alle persoonsgegevens wissen; of
- alle persoonsgegevens aan de Verwerkingsverantwoordelijke retourneren; of
- de gegevens eerst retourneren en vervolgens wissen.
12.2. De Verwerker verwijdert definitief alle persoonsgegevens uiterlijk 30 dagen na het einde van het abonnement of
de diensten, tenzij een wettelijke bewaarplicht een langere bewaartermijn vereist.
12.3. De Verwerker kan op verzoek een schriftelijke bevestiging van de verwijdering verstrekken.
13. Toepasselijk recht en bevoegde rechtbank
13.1. Op deze Overeenkomst is uitsluitend Belgisch recht van toepassing.
13.2. Alle geschillen die voortvloeien uit of verband houden met deze Overeenkomst vallen onder de exclusieve
bevoegdheid van de rechtbanken van het gerechtelijk arrondissement Halle-Vilvoorde.
14. Rangorde en relatie tot andere documenten
14.1. Bij tegenstrijdigheid tussen deze Verwerkersovereenkomst en de hoofdovereenkomst gelden de volgende
prioriteitsregels:
- deze Verwerkersovereenkomst;
- de Softwarelicentie;
- de Algemene Voorwaarden;
- de door de klant aanvaarde offerte of het servicevoorstel.
14.2. Deze Overeenkomst vervangt alle eerdere verwerkersovereenkomsten tussen partijen met betrekking tot dezelfde
diensten.
15. Wijzigingen
15.1. De Verwerker kan deze Overeenkomst wijzigen indien wet- en regelgeving, beveiligingsvereisten of operationele
omstandigheden dit vereisen.
15.2. Wijzigingen worden, waar redelijkerwijs mogelijk, minstens 30 dagen vooraf meegedeeld via de website van
Chapps of via andere gebruikelijke communicatiekanalen.
15.3. Indien een wijziging een substantiële impact heeft op de rechten of verplichtingen van de
Verwerkingsverantwoordelijke, kan de Verwerkingsverantwoordelijke de overeenkomst met betrekking tot de betrokken
diensten beëindigen vóór de ingangsdatum van de wijziging.
16. Taal en interpretatie
Deze Verwerkersovereenkomst kan in meerdere talen beschikbaar worden gesteld. In geval van tegenstrijdigheden,
interpretatieverschillen of inconsistenties tussen een vertaalde versie en de Nederlandstalige versie,
prevaleert uitsluitend de Nederlandstalige versie.
Bijlage I – Lijst van Subverwerkers
Hieronder volgt de lijst met door Chapps NV vertrouwde subverwerkers. Deze subverwerkers zijn zorgvuldig geselecteerd om te voldoen aan de hoge normen van Chapps inzake beveiliging en gegevensbescherming.
| Juridische entiteit | Doeleinde | Hosting-locatie | Adres |
|---|---|---|---|
| Accenture NV | Cloud-infrastructuur: hosting en dataopslag | België, EU | Picardstraat 11 bus 100,1000 Brussel, België |
| Teamleader NV | Klantenbeheer, facturen en betalingen | Ierland, EU | Dok Noord 3A / 101, 9000 Gent, België |
| Freshworks Inc. | Support-tickets, Support Center-website | EU | 2950 S. Delaware Street, Suite 201, San Mateo, CA 94403, United States |
| Hubspot Ireland Limited | Verwerking leads, CRM, marketingactiviteiten, communicatie, online afspraken, opvolging verkoop | Ierland, EU | One Sir John Rogerson’s Quay, Dublin 2, Ireland |
| Aareon Deutschland GmbH | API-integratie met uitwisseling data tussen de Chapps-software en de Aareon ERP-softwaresystemen | Duitsland, EU | Isaac-Fulda-Allee 6, 55124 Mainz, Deutschland |
| UTS innovative Softwaresysteme GmbH | API-integratie met uitwisseling data tussen de Chapps-software en de KARTHAGO ERP-software | Duitsland, EU | Schanzenstraße 6-20, 51063 Köln, Deutschland |
| Thurnherr SA | API-integratie met uitwisseling data tussen de Chapps-software en de immob10-software | Zwitserland | Morgenstraße 121, Postfach 753, 3018 Bern, Zwitserland |
| Informant Software B.V. | API-integratie met uitwisseling data tussen de Chapps-software en de Informant-software | Nederland, EU | Kwaklaan 9, 2291 AT Wateringen, Nederland |
| Pararius B.V. | API-integratie met uitwisseling data tussen de Chapps-software en de Pararius-software | Nederland, EU | Blaak 555, 3011 GB Rotterdam, Nederland |
| Vlaams Energiebedrijf NV | Uitwisseling van meterstanden energie via een REST-API met de backoffice van het VEB | België, EU | Havenlaan 88, 1000 Brussel, België |
| Enloc AG | Uitwisseling van meterstanden energie via een REST-API met de backoffice van Enloc | Duitsland, EU | Am Schießhaus 1-3, 01067 Dresden, Deutschland |