Lijst van bijlagen:

A.  BIJLAGE A - KENNISGEVING AAN DE BEHEERDER

B.  BIJLAGE B - ONDERAANNEMINGSOVEREENKOMST

BIJLAGE A - KENNISGEVING AAN DE BEHEERDER

MintT - Mededeling over de bescherming van persoonsgegevens voor de beheerder van het MyISA-platform

1. Inleiding. Het doel van deze mededeling inzake gegevensbescherming (de "Mededeling") is u te informeren over de wijze waarop MintT NV (een vennootschap naar Belgisch recht, met maatschappelijke zetel te Louizalaan 251, 1000 Brussel, ingeschreven bij de Kruispuntbank voor Ondernemingen onder nummer 0544.636.885, "MintT") bepaalde persoonsgegevens over u verwerkt in haar hoedanigheid van exploitant van het MyISA-platform.

2. Verwerkingsverantwoordelijke. MintT is verantwoordelijk voor de verwerking van uw persoonsgegevens zoals beschreven in deze Mededeling.

3.  Categorieën van verwerkte persoonsgegevens. De verzamelde en verwerkte persoonsgegevens omvatten de volgende gegevens: naam, achternaam, naam van de werkgever; gebruikersnaam (e-mailadres) en wachtwoord; toegangs- en wijzigingslogboeken; en toegangs- en wijzigingsrechten.

4.  Doeleinden van de verwerking . De persoonsgegevens worden verwerkt voor het beheer en de administratie van de toegang tot het MyISA-platform (in de mate u de door uw werkgever aangewezen beheerder bent).

5.  Rechtmatigheid van de verwerking. MintT beroept zich op haar gerechtvaardigde belangen om de verwerking uit te voeren (d.w.z. om haar contractuele verplichtingen aan uw werkgever na te komen en om de beheerder te identificeren en te beheren die is aangesteld om het MyISA-platform te beheren).

6.  Doorgiften van uw persoonsgegevens aan derden. In het algemeen zal MintT uw persoonsgegevens niet doorgeven aan derden, behalve voor die overdrachten die (i) zijn toegestaan door de toepasselijke wetgeving of (ii) waarnaar in deze paragraaf of elders in deze Mededeling wordt verwezen. Persoonsgegevens worden overgedragen aan externe dienstverleners en onderaannemers (in verband met data hosting) met betrekking tot wie MintT passende maatregelen heeft genomen voor de bescherming van uw persoonsgegevens, in overeenstemming met de toepasselijke wetgeving, en uitsluitend voor de in deze Mededeling beschreven verwerkingsdoeleinden. Voor zover het gaat om doorgifte van uw persoonsgegevens naar landen buiten de Europese Economische Ruimte die volgens de Europese Commissie geen passend niveau van bescherming van persoonsgegevens bieden, zal MintT ervoor zorgen dat er maatregelen worden getroffen in overeenstemming met de toepasselijke wetgeving, zoals het ondertekenen van standaardcontractbepalingen van de Europese Commissie.

7.  Veiligheid. MintT heeft passende technische en organisatorische maatregelen genomen om uw persoonsgegevens te beschermen tegen onwettige of ongeoorloofde vernietiging, verlies, wijziging, aantasting, gebruik, toegang, openbaarmaking of enige andere onwettige of ongeoorloofde verwerking. Om deze veiligheid te garanderen gebruikt MintT onder andere encryptie van de communicatie tussen servers.

8.  Duur van bewaring van de persoonsgegevens. MintT zal uw persoonsgegevens verwijderen na maximaal zes maanden na (i) het einde van uw aanstelling als beheerder door uw werkgever of (ii) de deactivering van de MyISA platformdiensten bij uw werkgever.

9. Uw rechten. U heeft het recht op toegang tot uw persoonsgegevens zoals verzameld en verwerkt door MintT en op rectificatie van onjuistheden of verwijdering in bepaalde beperkte gevallen of in het geval dat het niet nodig is. In het algemeen hebt u ook het recht om uw toestemming te allen tijde in te trekken wanneer de verwerking is gebaseerd op uw toestemming. Een dergelijke intrekking van uw toestemming heeft geen gevolgen voor de rechtmatigheid van de verwerking op basis van toestemming die vóór die intrekking heeft plaatsgevonden. In sommige gevallen hebt u ook recht van gegevensoverdraagbaarheid. U hebt het recht een klacht in te dienen bij een toezichthoudende autoriteit, met name in de lidstaat van de Europese Unie waar u gewoonlijk verblijft, werkt of waar de inbreuk zou hebben plaatsgevonden, indien u van mening bent dat de verwerking van uw persoonsgegevens een inbreuk vormt op het toepasselijke recht. Om uw rechten uit te oefenen, kunt u (i) contact opnemen met uw werkgever die uw verzoek zal doorsturen naar MintT, (ii) contact opnemen met MintT door een schriftelijk en ondertekend verzoek te sturen naar MintT op het e-mailadres privacy@mintt.care of naar het postadres MintT NV - Louizalaan 251, 1000 Brussel, België, samen met een kopie van uw identiteitskaart of een ander document waaruit blijkt dat u de persoon bent op wie de persoonsgegevens betrekking hebben.  

10. Contacten. MintT SA - Louizalaan 251, 1000 Brussel, België - E-mail: privacy@mintt.care.  

Functionaris voor gegevensbescherming (DPO): The Privacy Office, Hochstrasse 81, 4700 Eupen, België - Email:​ mailto: DPO@mintt.care 

BIJLAGE B - ONDERAANNEMINGSOVEREENKOMST

Standaardcontractbepalingen tussen verwerkingsverantwoordelijken en verwerkers uit hoofde van artikel 28, lid 7, van de AVG

AFDELING I

Bepaling 1 - Doel en toepassingsgebied

a)  Het doel van deze standaardcontractbepalingen (hierna “de bepalingen” genoemd) is te zorgen voor de naleving van artikel 28, leden 3 en 4, van Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming).

b)  De in bijlage I vermelde verwerkingsverantwoordelijken en verwerkers hebben met deze bepalingen ingestemd teneinde te zorgen voor de naleving van artikel 28, leden 3 en 4, van Verordening (EU) 2016/679 en/of artikel 29, leden 3 en 4, van Verordening (EU) 2018/1725.

c)  Deze bepalingen zijn van toepassing op de verwerking van persoonsgegevens als gespecificeerd in bijlage II.

d)  De bijlagen I tot en met IV maken integrerend deel uit van de bepalingen.

e)  Deze bepalingen laten de verplichtingen die op de verwerkingsverantwoordelijke rusten krachtens Verordening (EU) 2016/679 en/of Verordening (EU) 2018/1725 onverlet.

​

Bepaling 2 - Onveranderlijkheid van de bepalingen

a)  De partijen verbinden zich ertoe de bepalingen niet te wijzigen, tenzij om informatie aan de bijlagen toe te voegen of de daarin vervatte informatie bij te werken.

b)  Dit belet de partijen niet om de in deze bepalingen neergelegde standaardcontractbepalingen op te nemen in een bredere overeenkomst, of om andere bepalingen of aanvullende waarborgen toe te voegen, mits deze niet direct of indirect in strijd zijn met de bepalingen of afbreuk doen aan de grondrechten of fundamentele vrijheden van betrokkenen.

Bepaling 3 - Interpretatie

a)  Wanneer in deze bepalingen de termen worden gebruikt die zijn gedefinieerd in Verordening (EU) 2016/679 respectievelijk Verordening (EU) 2018/1725, hebben die termen dezelfde betekenis als in die verordening.

b)  Deze bepalingen moeten worden gelezen en geïnterpreteerd in het licht van de bepalingen van Verordening (EU) 2016/679 respectievelijk Verordening (EU) 2018/1725.

c)  Deze bepalingen mogen niet worden geïnterpreteerd op een wijze die indruist tegen de rechten en verplichtingen waarin Verordening (EU) 2016/679/Verordening (EU) 2018/1725 voorziet of op een wijze die afbreuk doet aan de grondrechten of fundamentele vrijheden van de betrokkenen.

Bepaling 4 - Hiërarchie

 In geval van tegenstrijdigheid tussen deze standaardcontractbepalingen en de bepalingen van gerelateerde overeenkomsten tussen de partijen die reeds bestaan op het tijdstip waarop met deze standaardcontractbepalingen wordt ingestemd of die na dat tijdstip worden gesloten, prevaleren deze standaardcontractbepalingen.

[Bepaling 5 - Facultatief (niet gehandhaafd)

AFDELING II - VERPLICHTINGEN VAN PARTIJEN

Bepaling 6 - Beschrijving van de verwerking(en)

De bijzonderheden van de verwerkingen, en met name de categorieën persoonsgegevens en de doeleinden van de verwerking waarvoor de persoonsgegevens namens de verwerkingsverantwoordelijke worden verwerkt, zijn gespecificeerd in bijlage II.

Bepaling 7 - Verplichtingen van de partijen

7.1. Instructies

a) De verwerker verwerkt persoonsgegevens uitsluitend op basis van schriftelijke instructies van de verwerkingsverant­ woordelijke, tenzij een op de verwerker van toepassing zijnde Unierechtelijke of lidstaatrechtelijke bepaling hem tot verwerking verplicht. In dat geval stelt de verwerker de verwerkingsverantwoordelijke, voorafgaand aan de verwerking, in kennis van dat wettelijk voorschrift, tenzij de wetgeving dit om gewichtige redenen van algemeen belang verbiedt. De verwerkingsverantwoordelijke kan ook tijdens de verwerking van persoonsgegevens steeds verdere instructies geven. Deze instructies worden altijd schriftelijk vastgelegd.

b) De verwerker stelt de verwerkingsverantwoordelijke onmiddellijk in kennis als de instructies van de verwerkingsverantwoordelijke naar het oordeel van de verwerker inbreuk maken op Verordening (EU) 2016/679/Verordening (EU) 2018/1725 of de toepasselijke gegevensbeschermingsbepalingen van de Unie of de lidstaten.

7.2. Doelbinding

De verwerker verwerkt de persoonsgegevens uitsluitend voor het specifieke doel of de specifieke doeleinden van de verwerking, zoals beschreven in bijlage II, tenzij hij verdere instructies van de verwerkingsverantwoordelijke krijgt.

7.3.  Duur van de verwerking van persoonsgegevens

Verwerking door de verwerker vindt slechts plaats gedurende de in bijlage II vastgestelde tijdspanne.

7.4.  Beveiliging van de verwerking

a) De verwerker treft ten minste de in bijlage III gespecificeerde technische en organisatorische maatregelen om de beveiliging van de persoonsgegevens te waarborgen. Dit houdt onder meer in dat de gegevens worden beschermd tegen een inbreuk op de beveiliging die leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of ongeoorloofde toegang tot de gegevens, hetzij per ongeluk hetzij onrechtmatig (inbreuk in verband met persoonsgegevens). Bij de beoordeling van het passende beveiligingsniveau houden de partijen naar behoren rekening met de stand van de techniek, de uitvoeringskosten, de aard, de reikwijdte, de context en de doeleinden van de verwerking en de risico’s voor de betrokkenen.

b)  De verwerker verleent zijn personeel slechts toegang tot de persoonsgegevens die worden verwerkt voor zover dat strikt noodzakelijk is voor de uitvoering, het beheer en de monitoring van de overeenkomst. De verwerker waarborgt dat de tot het verwerken van de ontvangen persoonsgegevens gemachtigde personen zich ertoe hebben verbonden vertrouwelijkheid in acht te nemen of door een passende wettelijke verplichting van vertrouwelijkheid zijn gebonden.

7.5.  Gevoelige gegevens

 Indien de verwerking betrekking heeft op persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken, of betrekking heeft op genetische gegevens of biometrische gegevens met het oog op de unieke identificatie van een persoon, of gegevens over gezondheid, gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid of gegevens betreffende strafrechtelijke veroordelingen en strafbare feiten (hierna “gevoelige gegevens” genoemd), voorziet de verwerker in specifieke beperkingen en/of aanvullende waarborgen.

7.6.  Documentatie en naleving

a) De partijen kunnen aantonen dat aan deze bepalingen is voldaan.

b)  De verwerker behandelt verzoeken van de verwerkingsverantwoordelijke inzake de verwerking van gegevens overeenkomstig deze bepalingen onverwijld en adequaat.

c)  De verwerker stelt de verwerkingsverantwoordelijke alle informatie ter beschikking die nodig is om aan te tonen dat is voldaan aan de in deze bepalingen vastgestelde verplichtingen die rechtstreeks voortvloeien uit Verordening (EU) 2016/679 en/of Verordening (EU) 2018/1725. Op verzoek van de verwerkingsverantwoordelijke staat de verwerker ook regelmatig, of indien er aanwijzingen van niet-naleving zijn, audits toe van de onder deze bepalingen vallende verwerkingsactiviteiten en draagt de verwerker aan die audits bij. Bij het nemen van een beslissing over een toetsing of audit kan de verwerkingsverantwoordelijke rekening houden met relevante certificeringen van de verwerker.

d)  De verwerkingsverantwoordelijke kan ervoor kiezen de audit zelf uit te voeren of een onafhankelijke auditor daartoe opdracht te geven. De audits kunnen ook inspecties in de bedrijfsruimten of fysieke faciliteiten van de verwerker omvatten en worden, in voorkomend geval, tijdig aangekondigd.

e)  De partijen stellen de in deze bepaling bedoelde informatie, met inbegrip van de resultaten van eventuele audits, op verzoek ter beschikking van de bevoegde toezichthoudende autoriteit/autoriteiten.

7.7.  Gebruik van subverwerkers

a)  De verwerker heeft de algemene toestemming van de verwerkingsverantwoordelijke om subverwerkers in dienst te nemen die op een overeengekomen lijst staan in Bijlage IV. De verwerker stelt de verwerkingsverantwoordelijke ten minste een maand van tevoren specifiek schriftelijk in kennis van voorgenomen wijzigingen van die lijst door toevoeging of vervanging van subverwerkers, zodat de verwerkingsverantwoordelijke voldoende tijd heeft om vóór de indienstneming van de betrokken subverwerker(s) bezwaar te kunnen maken tegen dergelijke wijzigingen. De verwerker verstrekt de verwerkingsverantwoordelijke de informatie die nodig is om deze laatste in staat te stellen zijn recht van bezwaar uit te oefenen.

b)  Wanneer de verwerker een subverwerker in dienst neemt voor de uitvoering van specifieke verwerkingen (namens de verwerkingsverantwoordelijke), doet hij dit door middel van een overeenkomst die de subverwerker in wezen dezelfde verplichtingen inzake gegevensbescherming oplegt als die welke op grond van deze bepalingen aan de verwerker worden opgelegd. De verwerker zorgt ervoor dat de subverwerker voldoet aan de verplichtingen die krachtens deze bepalingen en Verordening (EU) 2016/679 en/of Verordening (EU) 2018/1725 op de verwerker rusten.

c)  Op verzoek van de verwerkingsverantwoordelijke verstrekt de verwerker de verwerkingsverantwoordelijke een kopie van een dergelijke subverwerkingsovereenkomst en van alle latere wijzigingen daarvan. Voor zover nodig ter bescherming van bedrijfsgeheimen of andere vertrouwelijke informatie, met inbegrip van persoonsgegevens, kan de verwerker de tekst van de overeenkomst bewerken alvorens de kopie te delen.

d)  De verwerker blijft ten opzichte van de verwerkingsverantwoordelijke volledig verantwoordelijk voor de uitvoering van de verplichtingen van de subverwerker overeenkomstig zijn overeenkomst met de verwerker. De verwerker stelt de verwerkingsverantwoordelijke in kennis van elk verzuim van de subverwerker om zijn contractuele verplichtingen na te komen.

e)  De verwerker komt met de subverwerker een derdenbeding overeen waarbij — ingeval de verwerker feitelijk is verdwenen, rechtens is opgehouden te bestaan of insolvent is geworden — de verwerkingsverantwoordelijke het recht heeft de overeenkomst met de subverwerker te beëindigen en de subverwerker te gelasten de persoonsgegevens te wissen of terug te geven.

7.8.  Internationale doorgiften

a)  Doorgifte van gegevens aan een derde land of een internationale organisatie door de verwerker geschiedt uitsluitend op basis van schriftelijke instructies van de verwerkingsverantwoordelijke of om te voldoen aan een specifieke eis uit hoofde van het Unierecht of het lidstatelijke recht waaraan de verwerker is onderworpen, en vindt plaats in overeenstemming met hoofdstuk V van Verordening (EU) 2016/679 of Verordening (EU) 2018/1725.

b)  De verwerkingsverantwoordelijke stemt ermee in dat wanneer de verwerker overeenkomstig bepaling 7.7 een subverwerker in dienst neemt voor het uitvoeren van specifieke verwerkingen (namens de verwerkingsverantwoordelijke) en die verwerkingen een doorgifte van persoonsgegevens in de zin van hoofdstuk V van Verordening (EU) 2016/679 inhouden, de verwerker en de subverwerker de naleving van hoofdstuk V van Verordening (EU) 2016/679 kunnen waarborgen door gebruik te maken van standaardcontractbepalingen die door de Commissie zijn vastgesteld overeenkomstig artikel 46, lid 2, van Verordening (EU) 2016/679, mits aan de voorwaarden voor het gebruik van die standaardcontractbepalingen is voldaan.

Bepaling 8 - Bijstand aan de verwerkingsverantwoordelijke

a)  De verwerker stelt de verwerkingsverantwoordelijke onverwijld in kennis van elk verzoek dat hij van de betrokkene heeft ontvangen. De verwerker antwoordt niet zelf op het verzoek, tenzij de verwerkingsverantwoordelijke daartoe toestemming heeft gegeven.

b)  De verwerker staat de verwerkingsverantwoordelijke bij bij het vervullen van zijn verplichtingen om te reageren op verzoeken van betrokkenen tot uitoefening van hun rechten, en houdt daarbij rekening met de aard van de verwerking. Bij het nakomen van zijn verplichtingen uit hoofde van de punten a) en b) volgt de verwerker de instructies van de verwerkingsverantwoordelijke.

c)  De verwerker heeft niet alleen de verplichting de verwerkingsverantwoordelijke bij te staan overeenkomstig bepaling 8, punt b), maar staat de verwerkingsverantwoordelijke ook bij bij het waarborgen van de naleving van de volgende verplichtingen, waarbij rekening wordt gehouden met de aard van de gegevensverwerking en de informatie waarover de verwerker beschikt:

​​1)  de verplichting om een beoordeling uit te voeren van het effect van de beoogde verwerkingen op de bescherming van persoonsgegevens (een “gegevensbeschermingseffectbeoordeling”) wanneer een bepaalde soort verwerking waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen;

​​2) de verplichting om de bevoegde toezichthoudende autoriteit/autoriteiten voorafgaand aan de verwerking te raadplegen wanneer uit een gegevensbeschermingseffectbeoordeling blijkt dat de verwerking een hoog risico zou opleveren indien de verwerkingsverantwoordelijke geen maatregelen neemt om dat risico te beperken;   ​

​​3) de verplichting om ervoor te zorgen dat persoonsgegevens accuraat en actueel zijn, door de verwerkingsverantwoordelijke onverwijld in te lichten wanneer de verwerker ervan kennis heeft gekregen dat de gegevens die hij verwerkt onjuist of achterhaald zijn;

​​4) de verplichtingen in artikel 32 van Verordening (EU) 2016/679.

d)  De partijen stellen in bijlage III de passende technische en organisatorische maatregelen vast op grond waarvan de verwerker de verwerkingsverantwoordelijke bij de toepassing van deze bepaling moet bijstaan, alsmede de omvang en de omvang van de vereiste bijstand.

Bepaling 9 - Kennisgeving van een inbreuk in verband met persoonsgegevens

 In het geval van een inbreuk in verband met persoonsgegevens werkt de verwerker samen met de verwerkingsverant­ woordelijke en staat hij hem bij opdat de verwerkingsverantwoordelijke kan voldoen aan zijn verplichtingen uit hoofde van de artikelen 33 en 34 van Verordening (EU) 2016/679 of de artikelen 34 en 35 van Verordening (EU) 2018/1725, indien van toepassing, waarbij rekening wordt gehouden met de aard van de verwerking en de informatie waarover de verwerker beschikt.

9.1. Inbreuk in verband met gegevens die door de verwerkingsverantwoordelijke worden verwerkt

In geval van een inbreuk in verband met persoonsgegevens die door de verwerkingsverantwoordelijke worden verwerkt, staat de verwerker de verwerkingsverantwoordelijke bij:

a)  bij het zonder onnodige vertraging melden van de inbreuk in verband met persoonsgegevens aan de bevoegde toezichthoudende autoriteit/autoriteiten nadat de verwerkingsverantwoordelijke er kennis van heeft gekregen, indien relevant (tenzij het onwaarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van natuurlijke personen);

b)  bij het verkrijgen van onderstaande informatie die overeenkomstig artikel 33, lid 3, van Verordening (EU) 2016/679 in de kennisgeving van de verwerkingsverantwoordelijke moet worden vermeld en ten minste omvat:

​​1)  de aard van de inbreuk in verband met persoonsgegevens, waar mogelijk onder vermelding van de categorieën van betrokkenen en persoonsgegevensregisters in kwestie en, bij benadering, het aantal betrokkenen en persoonsgegevensregisters in kwestie;

​​2)  de waarschijnlijke gevolgen van de inbreuk in verband met persoonsgegevens;

​​3)  de maatregelen die de verwerkingsverantwoordelijke heeft voorgesteld of genomen om de inbreuk in verband met persoonsgegevens aan te pakken, waaronder, in voorkomend geval, de maatregelen ter beperking van de eventuele nadelige gevolgen daarvan.

 Indien en voor zover al deze informatie niet op hetzelfde moment kan worden verstrekt, bevat de oorspronkelijke kennisgeving de dan beschikbare informatie en wordt verdere informatie vervolgens onverwijld verstrekt zodra deze beschikbaar is;

c)  bij het naleven, overeenkomstig artikel 34 van Verordening (EU) 2016/679, van de verplichting om de betrokkene de inbreuk in verband met persoonsgegevens onverwijld mee te delen, wanneer de inbreuk in verband met persoonsgegevens waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen.

9.2.  Inbreuk in verband met gegevens die door de verwerker worden verwerkt

 In geval van een inbreuk in verband met persoonsgegevens die door de verwerker worden verwerkt, stelt de verwerker, nadat hij kennis heeft gekregen van de inbreuk, de verwerkingsverantwoordelijke daarvan onverwijld in kennis. Deze kennisgeving bevat ten minste:

a) een beschrijving van de aard van de inbreuk (waar mogelijk onder vermelding van de categorieën betrokkenen en gegevensregisters in kwestie en, bij benadering, het aantal betrokkenen en gegevensregisters in kwestie);

b) de gegevens van een contactpunt waar meer informatie over de inbreuk in verband met persoonsgegevens kan worden verkregen;

c) de waarschijnlijke gevolgen van de inbreuk en de maatregelen die zijn genomen of worden voorgesteld om deze aan te pakken, onder meer om de mogelijke negatieve gevolgen ervan te beperken.

 Indien en voor zover al deze informatie niet op hetzelfde moment kan worden verstrekt, bevat de oorspronkelijke kennisgeving de dan beschikbare informatie en wordt verdere informatie vervolgens onverwijld verstrekt zodra deze beschikbaar is;

 De partijen vermelden in bijlage III alle andere elementen die door de verwerker moeten worden verstrekt wanneer hij de verwerkingsverantwoordelijke bijstaat bij de naleving van de verplichtingen van de verwerkingsverantwoordelijke uit hoofde van de de artikelen 33 en 34 van Verordening (EU) 2016/679.

AFDELING III - SLOTBEPALINGEN

Bepaling 10 - Niet-naleving van de bepalingen en beëindiging

a) Onverminderd eventuele bepalingen van Verordening (EU) 2016/679 en/of Verordening (EU) 2018/1725 kan de verwerkingsverantwoordelijke, ingeval de verwerker zijn verplichtingen uit hoofde van deze bepalingen niet nakomt, de verwerker opdracht geven de verwerking van persoonsgegevens op te schorten totdat deze aan deze bepalingen voldoet of de overeenkomst wordt beëindigd. Wanneer de verwerker om welke reden dan ook niet aan deze bepalingen kan voldoen, stelt hij de verwerkingsverantwoordelijke daarvan onverwijld in kennis.

b) De verwerkingsverantwoordelijke heeft het recht de overeenkomst te beëindigen voor zover deze de verwerking van persoonsgegevens overeenkomstig deze bepalingen betreft, indien:

​1) de verwerkingsverantwoordelijke de verwerking van persoonsgegevens door de verwerker overeenkomstig punt a) heeft opgeschort en de naleving van deze bepalingen niet binnen een redelijke termijn en in elk geval binnen één maand na de opschorting wordt hervat;

​2) de verwerker deze bepalingen of zijn verplichtingen uit hoofde van Verordening (EU) 2016/679 en/of Verordening (EU) 2018/1725 wezenlijk of voortdurend schendt;

​3) de verwerker niet voldoet aan een bindend besluit van een bevoegde rechter of de bevoegde toezichthoudende autoriteit/autoriteiten met betrekking tot zijn verplichtingen uit hoofde van deze bepalingen of Verordening (EU) 2016/679 en/of Verordening (EU) 2018/1725.

c) De verwerker heeft het recht de overeenkomst op te zeggen voor zover het daarbij gaat om de verwerking van persoonsgegevens krachtens deze bepalingen, indien de verwerkingsverantwoordelijke, nadat de verwerker hem er overeenkomstig bepaling 7.1, punt b), van in kennis heeft gesteld dat zijn instructies inbreuk maken op de toepasselijke wettelijke vereisten, aandringt op naleving van de instructies.

d)  Na de beëindiging van de overeenkomst wist de verwerker, naar keuze van de verwerkingsverantwoordelijke, alle persoonsgegevens die namens de verwerkingsverantwoordelijke zijn verwerkt en bevestigt hij tegenover de verwerkingsverantwoordelijke dat hij dit heeft gedaan, of zendt hij alle persoonsgegevens terug aan de verwerkingsverantwoordelijke en verwijdert hij bestaande kopieën, tenzij het Unierecht of het lidstatelijke recht de opslag van de persoonsgegevens voorschrijft. Totdat de gegevens zijn gewist of teruggeven, blijft de verwerker ervoor zorgen dat deze bepalingen worden nageleefd.

BIJLAGE I - Lijst van partijen

Verwerkingsverantwoordelijk:

​Identiteit en contactgegevens van de verwerkingsverantwoordelijk en, in voorkomend geval, van de functionaris voor gegevensbescherming, opgenomen in het Pre-installatieformulier van ​de ondertekende Offerte 

Verwerker:

​MintT NV, een vennootschap naar Belgisch recht met maatschappelijke zetel te Louizalaan 251, 1000 Brussel, België en ingeschreven bij de Kruispuntbank voor Ondernemingen onder ​ ​nummer 0544.636.885   

​Functionaris voor gegevensbescherming: The Privacy Office, Hochstrasse 81, 4700 Eupen, België - Email: DPO@mintt.care  

​Naam, functie en contactgegevens van de contactpersoon: Sabine Mersch - TPO < sme@tpo.solutions>

BIJLAGE II - Beschrijving van de verwerking 

Categorieën betrokkenen van wie persoonsgegevens worden verwerkt:

​Personeelsleden van de Klant die de interface gebruiken, bewoners en/of patiënten, bezoekers   

Categorieën verwerkte persoonsgegevens :

• Met betrekking tot de personeelsleden van de Klant die de interface gebruiken: naam, voornaam, professioneel e-mailadres, logboeken over het gebruik van de interface,  
• Met betrekking tot de bewoner en/of de patiënt: 3D-gegevens
• Met betrekking tot bezoekers: 3D-gegevens

Verwerkte gevoelige gegevens (indien van toepassing) en toegepaste beperkingen of waarborgen die ten volle rekening houden met de aard van de gegevens en de betrokken risico’s, zoals strikte doelbinding, toegangsbeperkingen (met inbegrip van toegang voor enkel personeel dat een gespecialiseerde opleiding heeft gevolgd), het bijhouden van een register inzake de toegang tot de gegevens, beperkingen voor verdere doorgifte of aanvullende beveiligingsmaatregelen: Niet van toepassing.

Aard van de verwerking:

​Vastlegging van ruwe sensorgegevens, omzetting in 3D-gegevens, opslag van 3D-gegevens, raadpleging ten behoeve van moderatie en annotatie, verstrekking aan de Klant, anonimisering

Doeleinde(n) waarvoor de persoonsgegevens namens de verwerkingsverantwoordelijke worden verwerkt:

​Beheer en administratie van gebruikerstoegang, platformondersteuning en sensoronderhoud, genereren van 3D-gegevens, detectie van gebeurtenissen, melding van gebeurtenissen, ​ ​moderatie van gebeurtenissen, verificatie van de moderatie van gebeurtenissen, melding van waarschuwingen, beheer van waarschuwingen, bevestiging van waarschuwingen, bevestiging ​van interventies, weergave van beelden in real time 

Duur van de verwerking:

​Een maand.

Voor verwerking door (sub)verwerkers, ook het voorwerp, de aard en de duur van de verwerking vermelden:

​Digital Ocean: opslag van 3D-gegevens en logs. De gegevens worden verwerkt gedurende een periode van één maand vanaf het moment van vastlegging.

​Ecritel: opslag volgens de HDS-norm van 3D-gegevens en logs. De gegevens worden verwerkt gedurende een periode van één maand vanaf het moment van vastlegging.

BIJLAGE III - Technische en organisatorische maatregelen, met inbegrip van technische en organisatorische maatregelen om de beveiliging van de gegevens te waarborgen

1.  Controle van de organisatie

De verwerker (MintT NV) heeft passende technische en organisatorische maatregelen genomen en handhaaft deze om ongeoorloofde of onrechtmatige verwerking van persoonsgegevens en onopzettelijk verlies, vernietiging of beschadiging van persoonsgegevens te voorkomen.

1.1.   Beleid en procedures

De verwerker (MintT NV) heeft een beleid en normen voor informatiebeveiliging vastgesteld en toegepast.
Individuele maatregelen :  

​

• Samenstellen, bijwerken en uitvoeren van richtlijnen voor de verwerking van persoonsgegevens.
• De organisatie heeft een veiligheidshandvest ​

1.2.   Bewustmaking en opleiding

Alle personeelsleden (werknemers en contractanten) krijgen een verplichte jaarlijkse opleiding over informatiebeveiliging en vertrouwelijkheid van gegevens.
Individuele maatregelen :

​

• Er worden informatiesessies over gegevensbescherming georganiseerd
• Er wordt regelmatig informatie gestuurd over nieuwe gegevensbeschermingsprocessen die voor de respectieve gebruikers van belang zijn, afhankelijk van hun rol.
• Er worden informatiesessies over gegevensbeveiliging georganiseerd
• De veiligheid wordt regelmatig onder de aandacht van het personeel gebracht door middel van e-mail herinneringen.

1.3.   Personeelsveiligheid

Alle personeelsleden tekenen een geheimhoudingsverklaring.

Individuele maatregelen :

•   Het personeel ondertekende zijn arbeidsovereenkomst met een specifieke vertrouwelijkheidsclausule.

1.4.   Veilige archivering

Alle documenten worden na de bewaartermijn gearchiveerd of vernietigd volgens het schema voor gegevensbeheer en -bewaring.
Individuele maatregelen :  

​

• Er is een archiefbeheerproces gedefinieerd.
• Er zijn specifieke toegangsregelingen voor gearchiveerde gegevens getroffen, aangezien het gebruik van een archief specifiek en uitzonderlijk is.
• Verouderde archieven worden veilig vernietigd.
• De levensduur van digitale informatie is voldoende gewaarborgd.  
• De gearchiveerde gegevens zijn alleen toegankelijk voor een specifieke afdeling die er toegang toe heeft.

1.5.   Verwijdering/vernietiging van gegevens

Documenten en dossiers worden niet langer dan nodig bewaard. Documenten en dossiers worden na de bewaartermijn vernietigd om de wettelijke voorschriften niet te overtreden.

Individuele maatregelen :

• Een veilige procedure voor de vernietiging van gegevens, met inbegrip van bewaartermijnen, is voorzien.
• De gegevens worden veilig uit de apparaten verwijderd voordat ze worden weggegooid of naar een derde partij worden gestuurd voor reparatie of aan het einde van het huurcontract.
• Wij gebruiken alleen gecontroleerde of gecertificeerde software voor het wissen van gegevens.

2.   Logische toegangscontrole

 De verwerker (MintT NV) beschikt over procedures om ongeoorloofde toegang tot persoonsgegevens te voorkomen. De toegang tot informatiesystemen is gebaseerd op de beginselen van "least privilege" en "need to know".

2.1.   Beleid en procedures

De verwerker (MintT NV) heeft een toegangscontrolebeleid en daarmee verband houdende processen, doelstellingen en procedures vastgesteld die relevant zijn voor het risicobeheer en de verbetering van de informatiebeveiliging om resultaten te leveren die in overeenstemming zijn met ons algemeen beleid en onze algemene doelstellingen.

Individuele maatregelen :

• Er is een toegangscontrolebeleid opgesteld, met inbegrip van doel, doelgroep en doelstellingen.
• Dit toegangscontrolebeleid omvat procedures, verwachte gevolgen voor personen en beveiligingsmaatregelen.
• Het toegangscontrolebeleid wordt regelmatig herzien, ten minste eenmaal per jaar.

2.2.   Scheiding van gegevens

De verwerker (MintT NV) identificeert, classificeert, labelt en verwerkt de gegevens en past gegevensbeschermingsmechanismen toe die passen bij het niveau van vertrouwelijkheid en gevoeligheid.

Individuele stappen :

• Er zijn verschillende soorten informatie gedefinieerd.
• Documenten en e-mails met vertrouwelijke gegevens worden specifiek gemarkeerd.
• Verplichting om op elke pagina van papieren of elektronische documenten die gevoelige gegevens bevatten een zichtbare en uitdrukkelijke mededeling te plaatsen, overeenkomstig artikel 9 AVG
• De servers waarop de databanken staan, worden niet gebruikt voor andere functies, zoals surfen op websites, toegang tot e-mail, enz.
• Databases worden niet opgeslagen op publiek toegankelijke locaties zoals webmappen, een tijdelijke partitie, enz.
• Databases worden niet opgeslagen op publiek toegankelijke locaties zoals webmappen, een tijdelijke partitie, enz.

2.3.   Beheer van gebruikerstoegang

De verwerker (MintT NV) kent toegangsrechten tot de informatiesystemen toe op basis van de beginselen "need to know" en "least privilege".

Individuele stappen :

• Gebruikers moeten zich authenticeren voordat zij toegang krijgen tot persoonsgegevens.
• Aan gebruikers worden individuele gebruikers-ID's gekoppeld en gedeelde toegangs-ID's worden beperkt. Indien dit onvermijdelijk is, moeten gedeelde toegangsgegevens door het management worden goedgekeurd en in voorkomend geval worden geregistreerd.
• In de systemen zijn de taken en verantwoordelijkheidsgebieden gescheiden om de toegang van de gebruikers te beperken tot alleen die gegevens die strikt noodzakelijk zijn voor de uitvoering van hun werk.
• Een gebruiker wordt onmiddellijk verwijderd als hij/zij geen toegang meer heeft tot een ruimte of een IT-middel, en/of als hij/zij de organisatie verlaat.
• Jaarlijks worden de toegangsrechten herzien om ongebruikte accounts te identificeren en te verwijderen en de rechten en rollen van elke gebruiker opnieuw in te stellen.
• Alleen gekwalificeerde personen hebben toegang tot de beheertools en -interfaces.
• Aan gebruikers wordt toegang verleend op basis van het concept van de laagste rechten.
• Serverbeheeroperaties moeten worden uitgevoerd via een speciale dienst of een eindpuntdienst waarvoor sterke authenticatie vereist is.
• De fysieke en logische toegang tot de diagnose- en configuratiepoorten moet worden gecontroleerd.
• Er zijn passende maatregelen genomen om het veilige beheer van IT-systemen en met name van Active Directory-servers te waarborgen.
• Het gebruik van beheerdersaccounts is beperkt tot IT-personeel.

2.4.   Beheer van wachtwoorden

The processor (MintT SA) has put in place the following procedures to prevent unauthorised access to personal data. De verwerker (MintT NV) heeft de volgende procedures ingesteld om ongeoorloofde toegang tot persoonsgegevens te voorkomen.

Individuele maatregelen :

• Mintt houdt zich aan de aanbevelingen van de CNIL met betrekking tot wachtwoorden, met name bij de eerste toegang tot de site of na een reset van het wachtwoord.
• Wijzig bij het activeren van de toepassing de standaardwachtwoorden en schakel de standaardaccounts uit.
• Gebruik van beleid dat bepaalde criteria vereist voor het aanmaken van wachtwoorden, zoals tekenlengte, tekens, enz.
• Specifiek wachtwoordbeleid voor beheerders.
• Wijzig wachtwoorden wAlle systemen waarin gevoelige gegevens als gedefinieerd in artikel 9 AVG worden verwerkt, worden in een speciale (geïsoleerde) omgeving geïmplementeerd.
• anneer een beheerder de organisatie verlaat of bij vermoeden van compromittering.
  Elke toepassing heeft een aparte rekening.  ​

2.5.   Beheer van de kwetsbaarheden

Kwetsbaarheden worden naar behoren geïdentificeerd, gedetecteerd, geclassificeerd en geprioriteerd, en worden onderworpen aan herstel, validatie en voortdurende controle.

Individuele maatregelen :

• De functie "updates automatisch installeren" voor alle kritieke besturingssystemen is altijd ingeschakeld.
• Bescherming tegen aanvallen op databases via SQL-code-injectie, scripts.
• Er worden ook systemen gebruikt om aanvallen op kritieke systemen of servers op te sporen en te voorkomen.

2.6.   Vertrouwelijkheidscontroles

De organisatie verzamelt, gebruikt, bewaart, deelt en beschermt persoonlijke informatie in verband met de diensten die zij verleent.

Individuele benaderingen :

• Voor het gebruik van andere dan de strikt noodzakelijke cookies wordt de toestemming van personen gevraagd.
• Persoonlijke gegevens worden niet verzonden via een URL, zoals ID's of wachtwoorden.

2.7.  Beheer van activa

De activa van de organisatie worden geïnventariseerd, geclassificeerd volgens hun gevoeligheid en er wordt een informatie-eigenaar aangewezen.

Individuele maatregelen :

• Beperking van het aantal geïmplementeerde componenten. De onderdelen worden gecontroleerd en bijgewerkt.

3.  Toegangsregistratie

De toegang tot de middelen van de organisatie wordt bewaakt om schendingen van het IT-beveiligingsbeleid op te sporen en gebeurtenissen of andere beveiligingsincidenten te registreren.

3.1.  Logging en controle

De organisatie registreert en beoordeelt alle significante activiteiten op al haar informatiesystemen.

Individuele maatregelen :

• Er is een logsysteem ingevoerd op basis van de "Veiligheidsaanbevelingen voor de invoering van een logboeksysteem" van het ANSSI.
• Prioritaire informatie en raadpleging van de vertegenwoordigers van het personeel, met name van degenen wier activiteiten worden geregistreerd.
• Procedures die beschrijven hoe de toegang tot gegevens moet worden gelogd en regelmatige controle van de logs om eventuele anomalieën op te sporen.
• Verbod op het gebruik van logboekinformatie voor andere doeleinden dan het waarborgen van het correcte gebruik van de verwerkte informatie.

4.   Systeem voor het beheer van beveiligingsincidenten

 De verwerker (MintT NV) volgt het beheersysteem voor beveiligingsincidenten om de schade als gevolg van informatiebeveiligingsincidenten tot een minimum te beperken en om toezicht te houden op en te leren van informatiebeveiligingsincidenten.

4.1.   Beleid en procedures

De verwerker (MintT NV) beschikt over processen om incidenten in de toekomst te ontdekken, te beheren en te voorkomen.

Individuele maatregelen :

• Gebruik van vastgestelde procedures om de gegevensbeschermingsautoriteit in kennis te stellen van elke inbreuk op de gegevensbeveiliging.

4.2.   Reactie op incidenten

De verwerker (MintT NV) heeft een effectief incidentenbestrijdingsplan ontwikkeld, opgesteld en regelmatig herzien dat duidelijk de rollen, verantwoordelijkheden en activiteiten specificeert die moeten worden gevolgd bij het reageren op een informatiebeveiligingsincident.  

Individuele stappen :

• De verwerkingsverantwoordelijke zo spoedig mogelijk in kennis stellen van elke anomalie of elk veiligheidsincident.
• Zodra een beveiligingsincident is gemeld en geregistreerd, wordt het geëvalueerd om te bepalen wat de beste aanpak is.
• Beleid voor het beheer van incidenten en inbreuken op persoonsgegevens en bewustmaking van wat gebruikers moeten doen in geval van een beveiligingsincident. 
• Bij een beveiligingsincident worden de door CERT-FR gespecificeerde maatregelen toegepast. Toewijzing van eigenaars, duidelijke apparaatacties, tijdschema's voor een gebeurtenis of incident op het gebied van informatiebeveiliging.

5.   Controle op openbaarmaking

De verwerker (MintT NV) beschikt over controles om ervoor te zorgen dat de uitgewisselde informatie wordt beschermd tegen onderschepping, kopiëren, wijziging, misleiding en vernietiging.

5.1.   Beleid en procedures

De organisatie heeft beleid opgesteld, gedocumenteerd, regelmatig herzien en bijgewerkt om de bescherming van informatie in de netwerken en de informatieverwerkingsfaciliteiten die deze ondersteunen te waarborgen.
Individuele maatregelen :   

​

• Er is een beleid vastgesteld en uitgevoerd dat regelmatige software-updates en patchbeheer verplicht stelt.

5.2.   Controle op openbaarmaking

De organisatie zorgt voor de correcte en veilige werking van de informatieverwerkingsfaciliteiten, de bescherming van de integriteit van de software en de waarborging van de vertrouwelijkheid en integriteit van de elektronische communicatie.

Individuele maatregelen :

• Werkstations loggen automatisch uit na een bepaalde periode van inactiviteit om ongeoorloofde toegang te voorkomen.
• De toegestane communicatiepoorten zijn beperkt tot die welke noodzakelijk zijn voor het correcte gebruik van de op het werkstation geïnstalleerde toepassingen.
• Regelmatig bijwerken van antivirussoftware
• Beheerdersrechten worden niet gegeven aan gebruikers die geen expertise op het gebied van IT-beveiliging hebben.
• Vertrouwelijke gegevens worden veilig behandeld en verwijderd.
• Toepassing van maatregelen ter bescherming tegen diefstal, waaronder het zichtbaar markeren van apparatuur en het beperken van de gevolgen daarvan, met inbegrip van automatische vergrendeling en versleuteling.
• De communicatiepoorten zijn beperkt tot die welke strikt noodzakelijk zijn voor de goede werking van de geïnstalleerde toepassingen. Alleen de noodzakelijke IP-protocollen (Internet Protocol) zijn toegestaan.

5.3.  Mobiele apparaten

De organisatie heeft bepaalde voorzorgsmaatregelen genomen om het risico van compromittering tot een minimum te beperken en de beveiliging van informatie en infrastructuur te waarborgen.

Individuele maatregelen :

• Beheerskader voor mobiele apparatuur voor veilig telewerken en gebruik van mobiele apparatuur.
• Het uitschakelen van de auto-run functie om ongeoorloofde verspreiding, wijziging, verwijdering of vernietiging van informatie in de media te voorkomen.
• Jaarlijkse bewustmaking van de gebruikers van de specifieke risico's van het gebruik van mobiele instrumenten
• Gecontroleerde back-up en synchronisatie van mobiele apparaten ter bescherming tegen verlies van opgeslagen gegevens.
• Gericht gebruik van encryptie van de harde schijf in laptops.
• Automatisch uitloggen van smartphones uit een sessie na een bepaalde periode van inactiviteit om onbevoegde toegang te voorkomen en authenticatie om ze te ontgrendelen.
• Bij gebruik op openbare plaatsen, gebruik van een privacyfilter op de schermen van mobiele apparaten.

5.4.   Besturingssysteem

De organisatie zorgt ervoor dat het besturingssysteem (OS) de vertrouwelijkheid, integriteit en beschikbaarheid in stand houdt. OS-beveiliging beschermt systemen en gegevens tegen bedreigingen, virussen, wormen, enz.

Individuele maatregelen :

• Gebruik van actuele besturingssystemen.
• Installatie van kritieke besturingssysteemupdates zonder vertraging, met automatische wekelijkse controles.

5.5.   Bescherming van het netwerk

De organisatie waarborgt de vertrouwelijkheid, integriteit en beschikbaarheid van de netwerkinfrastructuur en biedt gecontroleerde toegang tot netwerkbronnen en -diensten op basis van bedrijfs- en beveiligingsvereisten.   

Individuele maatregelen :

• Maximale beperking van de internettoegang door het blokkeren van niet-essentiële diensten zoals peer-to-peer, enz.
• Het WIFI-netwerk is beveiligd
• Gebruik van OTP-verificatie van gebruikers
• Gebruik van externe toegangsservers met veilige VPN-toegang
• Inkomende/uitgaande gegevensstromen worden gefilterd en beperkt tot de noodzakelijke stromen (firewall- en proxyconfiguratie en servers)
• Gebruik van SSH of directe fysieke toegang tot apparaten.
• Gebruikers hebben geen ongefilterde toegang tot het Internet
• Draadloze netwerken of wifi zijn gecodeerd met behulp van een beveiligingsalgoritme (WPA2)
• Gebruik van de door de ANSSI gepubliceerde aanbevelingen voor de beveiliging van websites, TLS en Wi-Fi.
• Scannen van netwerkapparaten om netwerkapparaten en hun details te vinden, zoals apparaatstatus, responstijd en IP-adres.
• Informatie van gebruikers wanneer hun inhoud wordt geanalyseerd.
• Gebruik van een DMZ-netwerk voor vanaf het Internet toegankelijke servers en firewalls om de netwerken te scheiden.

5.6.  Encryptie

De organisatie ontwerpt en implementeert processen voor het beheer, het genereren, verspreiden, opslaan, archiveren, vernietigen, intrekken en wijzigen van sleutels die in cryptografische systemen worden gebruikt.

Individuele stappen :

• Gebruik van het TLS-protocol (ter vervanging van SSL) om encryptie en authenticatie te garanderen voor alle online gegevensuitwisseling.
• Geen gebruik van onbeveiligde servers.
• Gebruik van het TLS-protocol op alle websites, waarbij alleen de meest recente versie wordt gebruikt en de correcte uitvoering ervan wordt gecontroleerd.
• Alle webpagina's en servers gebruiken TLS in hun communicatie.
• Verwijderbare media en mobiele apparaten worden gecodeerd voordat ze worden gedeeld.
• Gebruik van een versleutelde online e-maildienst bij het delen van gevoelige documenten per e-mail op basis van de aanbevelingen van CNIL-fiche 17.
• Gebruik van het HTTPS-protocol om de vertrouwelijkheid en de authenticatie van de ontvangende server voor bestandsoverdrachten te garanderen.
• Bij het verzenden van gegevens over het netwerk wordt de vertrouwelijkheid van geheimen (encryptiesleutels, wachtwoorden, enz.) verbeterd door ze over een apart kanaal te verzenden.
• Het gebruik van openbare-sleutelalgoritmen om de vertrouwelijkheid en integriteit van de communicatie, alsmede de authenticatie van de afzender te waarborgen.
• Bescherming van geheime sleutels met beperkende toegangsrechten en een veilig wachtwoord.
• Gebruik van een procedure voor sleutelbeheer en certificering.
• Het begrip en de toepassing van de voornaamste door de CNIL omschreven beginselen inzake cryptologie en versleuteling moeten in acht worden genomen.
• Het gebruik en de geldigheid van het elektronische certificaat controleren en ervoor zorgen dat het geldig is
• De gebruikte versleutelingsoplossing: de GNU Privacy Guard software, die gebruik maakt van asymmetrische cryptografie.

6.   IT bedrijfscontinuïteitsbeheer

De organisatie zorgt ervoor dat de IT-diensten die kritieke bedrijfsprocessen en de verwerking van persoonsgegevens ondersteunen, ook bij een grote storing worden voortgezet.

6.1.   Beleid en procedures

De organisatie zorgt ervoor dat gedocumenteerde plannen en reactie- en herstelprocedures worden ontwikkeld en goedgekeurd.

Individuele stappen :

• Een IT-bedrijfscontinuïteitsplan wordt toegepast en bevat een lijst van de betrokken personen.
• De verantwoordelijke personen die in geval van cyberbeveiligingsincidenten in kennis worden gesteld, worden geïdentificeerd
• Het bedrijfscontinuïteitsplan houdt rekening met de richtsnoeren van het SGDSN.

6.2.  Back-up

De organisatie zorgt voor back-up en herstel van kritieke bedrijfs- en persoonsgegevens om de beschikbaarheid en integriteit van gegevens bij een bedrijfsonderbreking te handhaven.

Individuele maatregelen :

• Gegevens worden niet opgeslagen op het werkstation.  
• Het gebruik van clouddiensten die standaard op een apparaat zijn geïnstalleerd als instrument voor back-up of synchronisatie is verboden.
• Dagelijkse incrementele back-ups en volledige back-ups op regelmatige tijdstippen worden uitgevoerd en geverifieerd.
• Back-upgegevens worden beschermd met dezelfde strenge controles die worden gebruikt om de database zelf te beschermen.
• Wanneer back-ups via het netwerk worden verzonden, worden zij samen met het transmissiekanaal gecodeerd.
• Back-ups van gegevens worden op verschillende locaties opgeslagen.
• De back-upplannen en het herstel van de back-upgegevens worden regelmatig getest.
• Gebruik van redundante opslag en gegevensopslag virtualisatie (RAID) technologie voor betere prestaties en beschikbaarheid.

6.3.   Controles van het IT-bedrijfscontinuïteitsbeheer

De organisatie voert controles uit om het IT-bedrijfscontinuïteitsbeheer te vergemakkelijken, teneinde de veerkracht van activa en diensten te waarborgen.

Individuele maatregelen :

• Back-up stroomvoorziening aanwezig voor volledige bescherming van kritieke IT-apparatuur.

7.  Risicobeheer van de toeleveringsketen

Alle contractuele en/of commerciële relaties met derden die toegang hebben tot de informatie of informatieverwerkingsfaciliteiten van de organisatie moeten overeengekomen informatiebeveiligingsbepalingen omvatten om de naleving van de informatiebeveiligingseisen van de organisatie te waarborgen.  

7.1.   Beleid en procedures

De organisatie heeft beleid en procedures ontwikkeld en vastgesteld voor het beheer van risico's in de toeleveringsketen.

Individuele maatregelen :

• Registratie van alle onderhoudswerkzaamheden in een register.  
• Veiligheidsclausule in onderhoudscontracten met dienstverleners.
• Ondertekening van een contract (DPA) met de verwerkers, waarin het onderwerp, de duur en het doel van de verwerking en de verplichtingen van elke partij worden vastgelegd.
• Het contract bevat vertrouwelijkheidsclausules voor gegevens die met derden en onderaannemers worden gedeeld.
• De contracten bevatten clausules over minimumnormen voor de authenticatie van gebruikers.
• Het contract bevat ook bepalingen over de teruggave van gegevens en/of de vernietiging ervan aan het einde van het contract.
• Het contract bevat regels voor het beheer en de rapportage van incidenten.
• De overeenkomst bevat de verplichtingen van de verwerker uit hoofde van artikel 28 van de AVG.
• Verificatie van de aanwezigheid van garanties over de feitelijke geografische locatie van de gegevens of zonder dat de legitimiteit van de doorgifte van gegevens buiten de Europese Economische Ruimte is gewaarborgd.
• ISO 27001-certificeringsprocedure wordt uitgevoerd en specifieke nationale voorschriften worden gevolgd.

7.2.   Veiligheidscontroles

De organisatie zorgt ervoor dat leveranciers over aanvaardbare niveaus van gegevensbescherming en informatiebeveiliging beschikken om de vertrouwelijkheid, integriteit en beschikbaarheid van informatie te beschermen en in stand te houden.

Individuele maatregelen :

• Aangewezen beheerder die derden aanstuurt en toezicht houdt op hun werk.
• Het IT-beveiligingsbeleid van dienstverleners controleren alvorens een contract met hen te ondertekenen.
• Verificatie dat gegevens overeenkomstig hun gevoeligheid worden versleuteld of dat er ten minste procedures of technologieën voorhanden zijn.
• Controle van de versleuteling van de gegevensoverdracht (bv. HTTPS-verbinding, VPN, enz.).
• Audit van netwerkbeveiligingscontroles, toegangslogs en -audits, verstrekken en verwijderen van toegang, authenticatie, beheer van toegangsrechten, enz.
• Controle op de naleving van artikel 28 van de AVG - Verplichtingen van de verwerker.

8.   Fysieke toegangscontrole

The organisation uses industry best practices to protect itself against physical and logical attacks as well as natural disasters, such as fire, earthquakes, floods, etc. De organisatie gebruikt de beste praktijken uit de sector om zich te beschermen tegen fysieke en logische aanvallen en natuurrampen, zoals brand, aardbevingen, overstromingen, enz.

8.1.   Fysieke veiligheidscontroles

De organisatie beschikt over adequate controles om activa, informatiesystemen en werknemers te beschermen tegen fysieke en milieubedreigingen.

Individuele maatregelen :

• Installatie en regelmatig testen van inbraakalarmen.
• Installatie van rookmelders en brandblusapparatuur, jaarlijkse controle.
• Het veiligstellen van sleutels en codes voor toegang tot de gebouwen.
• Er is een risicoanalyse van de gebouwen uitgevoerd.
• Het bijhouden en regelmatig bijwerken van een lijst van personen die toegang hebben tot de gebouwen.
• Toepassing van de regels en methoden voor het controleren van de toegang van bezoekers, bezoekers worden uit de openbare ontvangstruimte begeleid door een persoon van uw organisatie.
• Bescherming van IT-apparatuur met brandpreventiesysteem, ononderbroken stroomvoorziening, airconditioning, vochtigheidscontrole.
• Jaarlijks onderhoud van de airconditioning en de omvormers.
• Alleen bevoegd personeel heeft toegang tot afgeschermde gebieden.
• Regelmatig de toegangsrechten voor afgeschermde gebieden opnieuw beoordelen en bijwerken, en deze zo nodig verwijderen.

9.   Aanschaf, ontwikkeling en onderhoud van hardware en software

 De organisatie zorgt ervoor dat de beveiligingsvereisten worden vastgesteld en overeengekomen vóór - en dat passende controles op de informatiebeveiliging worden ingesteld tijdens - de aankoop, de ontwikkeling en het onderhoud van hardware en software.

9.1.  Beveiliging van applicaties

Er wordt systeemplanning uitgevoerd en de vereisten zijn gedefinieerd voordat een IT-systeem wordt geselecteerd, ontwikkeld, ingezet en geïmplementeerd.

Individuele maatregelen :

• Automatische beveiligingsupdates zijn ingeschakeld en worden automatisch uitgevoerd.
• Verbod op het downloaden/installeren van applicaties van het Internet of van onbeveiligde bronnen.  
• Beveiligingscontrole van de software en hardware die in het IT-systeem van de organisatie worden gebruikt.
• Applicaties worden bijgewerkt wanneer kritieke beveiligingsfouten zijn vastgesteld en verholpen.

9.2.   Ontwikkeling van veilige software

De organisatie heeft een Secure Software Development Life Cycle (SSDLC) opgesteld voor planning, analyse van eisen, ontwerp, ontwikkeling en testen.

Individuele stappen :

• Privacy en veiligheid worden vanaf de ontwerpfase geïntegreerd tijdens de ontwikkeling van applicaties, hetgeen van invloed is op de keuze van de architectuur (gedecentraliseerd of gecentraliseerd), de functionaliteiten (snelle anonimisering, gegevensminimalisering), de technologieën (encryptie), enz.  
• Minimalisering van vrije tekstinvoer of commentaarvelden bij de ontwikkeling van applicaties en diensten.
• Het ontwikkelen en testen van software gebeurt in een IT-omgeving die gescheiden is van de productieomgeving. Gebruik van dummy- of anonieme gegevens.
• Gebruik van fictieve persoonsgegevens tijdens de ontwikkelings- en testfase.
• Security by Design of Secure Software Development Life Cycle (SSDLC) tijdens de ontwikkeling van applicaties.
• Bij de ontwikkeling van software wordt prioriteit gegeven aan gegevensverwerving en registratietechnieken die het verzamelen van gegevens tot een minimum beperken.
• De gegevensformaten worden aangepast aan de gekozen bewaartermijn.
• Gebruikersprofielen worden aangemaakt tijdens de ontwikkeling van applicaties.
• Het CNIL-artikel over vrije tekstvermeldingen en commentaarzones wordt geraadpleegd tijdens de ontwikkeling van de applicaties.
• Afhankelijk van de applicatie, gebruik van handtekeningen in de uitvoerbare code om ervoor te zorgen dat er geen wijzigingen in de code zijn aangebracht.

​

BIJLAGE IV - Lijst van subverwerkers

1. Digital Ocean LLC, een vennootschap naar het recht van de staat New York, met hoofdkantoor te 101 Avenue of the Americas, 10th Floor, New York, NY 10013.

Contact: https://www.digitalocean.com/support/

Beschrijving van de verwerking: Data hosting.

2. Ecritel, een vennootschap naar Frans recht, met maatschappelijke zetel te 84 rue Villeneuve, 92110 Clichy, Frankrijk, en ingeschreven bij de RCS Nanterre onder ondernemingsnummer 332 484 021, Siret 332 484 021 000 99.

Contact: https://www.ecritel.fr/fr/solutions/ecritel-medical-hosting-hds/

Beschrijving van de verwerking: Data hosting.