Privacy Statement

Artikel 0: DEFINITIES

AVG: Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreff ende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreff ende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (ook wel ‘GDPR’ genoemd), als de Belgische uitvoeringswet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens;

Autoriteit: de Autoriteit Persoonsgegevens zoals bedoeld in artikel 51 AVG; de zelfstandige overheidsinstantie, genaamd Gegevensbeschermingsautoriteit (GBA), die in België bij wet van 3 december 2017 als toezichthouder is aangesteld voor het toezicht op de verwerking van persoonsgegevens;

Betrokkene: een geïdentificeerde of Identificeerbare natuurlijke persoon op wie een Persoonsgegeven betrekking heeft;
Bijzondere categorieën van persoonsgegevens: Persoonsgegevens als bedoeld in artikel 9 van de AVG; zijnde gegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijkt, alsook genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon of gegevens over gezondheid of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid;

Diensten: de diensten die door Direct aan de Klant worden geleverd, zoals verder bepaald in de Dienstverleningsovereenkomst en de beschrijving ervan, opgenomen op de website van Direct (http://www.Direct.eu/);

Dienstverleningsovereenkomst: de overeenkomst gesloten tussen Partijen in het kader van dewelke Direct aan de Klant en op diens instructie Persoonsgegevens verwerkt, zoals verder gespecifieerd in de Algemene Voorwaarden van Direct (met inbegrip van de Privacy Policy, Registerbeleid en Acceptable Use Policy);

Identificeerbaar: wanneer een natuurlijke persoon direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon;

Inbreuk (in verband met Persoonsgegevens): een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens in de zin van artikel 4.12 AVG;

Overeenkomst: deze “Overeenkomst voor verwerking van

Persoonsgegevens”, met inbegrip van haar eventuele Bijlagen;

Persoonsgegeven: alle informatie over een geïdentificeerde of Identificeerbare natuurlijke persoon (de Betrokkene), in de zin van artikel 4.1 AVG;

Sub-Verwerker: iedere niet-ondergeschikte partij die door Verwerker is betrokken bij de verwerking van Persoonsgegevens in het kader van de Opdracht overeenkomst, niet zijnde haar werknemers of medewerkers;

Verwerkingsverantwoordelijke: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt; wanneer de doelstellingen van en de middelen voor deze verwerking in het Unierecht of het lidstatelijke recht worden vastgesteld, kan daarin worden bepaald wie de verwerkingsverantwoordelijke is of volgens welke criteria deze wordt aangewezen, dit alles in de zin van artikel 4.7 AVG;

Verwerker: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de Verwerkingsverantwoordelijke persoonsgegevens verwerkt in de zin van artikel 4.8 AVG;

Verwerking: elke handeling of elk geheel van handelingen met betrekking tot Persoonsgegevens of een geheel van Persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, waaronder in ieder geval het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens, in de zin van artikel 4.2 AVG.

Artikel 1: TOEPASSINGSGEBIED VAN DE VERWERKING  

1.1. In het kader van de Overeenkomst maakt de Opdrachtgever persoonsgegevens over aan Direct.   

Voor de volledige duurtijd van de Overeenkomst zal Direct deze persoonsgegevens verwerken volgens de voorwaarden die in deze Verwerkersovereenkomst worden bepaald.  

Deze Verwerkersovereenkomst maakt onverbrekelijk deel uit van de Overeenkomst. Voor zover het bepaalde in deze Verwerkersovereenkomst strijdig zou zijn met het bepaalde in de Overeenkomst, prevaleert het bepaalde in deze Verwerkersovereenkomst.  

1.2. De verwerking vindt plaats onder de verantwoordelijkheid van de Opdrachtgever. Direct heeft geen zeggenschap over het doel en de middelen van de verwerking en neemt geen beslissingen over zaken als het gebruik van persoonsgegevens, de bewaartermijn van de voor de Opdrachtgever verwerkte Persoonsgegevens en het verstrekken van persoonsgegevens aan derden. De Opdrachtgever moet er voor zorgen dat zij het doel en de middelen van de verwerking van de persoonsgegevens duidelijk heeft vastgesteld. De zeggenschap over de persoonsgegevens berust nooit bij Direct.    

ARTIKEL 2: DE AARD EN HET DOEL VAN DE VERWERKING  

2.1.  De verwerking van de persoonsgegevens vindt plaats in het kader van de uitvoering van de Overeenkomst, waarbij de Opdrachtgever als ‘verwerkingsverantwoordelijke’ wordt aangemerkt, en Direct als ‘verwerker’ in de zin van de AVG. Direct maakt geen ander gebruik van deze persoonsgegevens of verwerkt deze persoonsgegevens niet op een wijze die niet kadert in de Overeenkomst en de beschrijving van de Diensten, behoudens uitdrukkelijk andersluidend beding tussen Partijen.   

2.2. Zoals verder bepaald in de Overeenkomst en de beschrijving van de Diensten, kunnen de verwerkingsactiviteiten het volgende inhouden:  

  • Ondersteuning/support verlenen van op afstand door middel van inloggen en meekijken op het scherm (zoals met TeamViewer), plus de doeleinden die hiermee redelijkerwijs samenhangen of die met nadere instemming worden bepaald.   

Dit ‘inzien’ verwerking eindigt wanneer de TeamViewer verbinding afgesloten wordt.  

  • Het in de ‘cloud’ opslaan van de gegevens van de Opdrachtgever met bijhorende onlinediensten  

ARTIKEL 3: SOORTEN PERSOONSGEGEVENS  

3.1. Het zal Direct veelal onbekend zijn welke persoonsgegevens bij haar in de cloud worden opgeslagen door de Opdrachtgever.  

3.2.  In het algemeen kan gesteld worden dat Direct in opdracht van de Opdrachtgever voornamelijk identificatiegegevens van betrokkenen zal verwerken, zoals naam, adres, telefoonnummer, e-mailadres, geboortedata, alsook eventueel financiële gegevens.  

3.3. De Opdrachtgever ziet er evenwel op toe dat er geen andere persoonsgegevens aan Direct worden overgemaakt dan deze die strikt noodzakelijk zijn voor het leveren van de Diensten. De Opdrachtgever, met uitsluiting van Direct, is en blijft verantwoordelijk voor de keuze en de inhoud van de persoonsgegevens die door de Opdrachtgever worden doorgegeven aan Direct in uitvoering van de Overeenkomst en door gebruik te maken van de Diensten.  

ARTIKEL 4: CATEGORIEËN VAN BETROKKENEN  

4.1. Het zal Direct veelal onbekend zijn van welke categorieën van persoonsgegevens bij haar in de cloud worden opgeslagen door de Opdrachtgever.  

4.2. In het algemeen kan gesteld worden dat Direct voornamelijk de persoonsgegevens van werknemers, klanten en/of leveranciers van de Opdrachtgever zal verwerken.  

4.3. De Klant verklaart en waarborgt dat de betrokkenen wiens persoonsgegevens aan Direct door de Klant of door een derde, op instructie van de Klant, worden rechtmatig aan Direct overgemaakt kunnen worden.  

ARTIKEL 5: RECHTEN EN VERPLICHTINGEN VAN DE OPDRACHTGEVER  

5.1. De Opdrachtgever zal Direct, met behulp van de door Direct aan de Opdrachtgever ter beschikking gestelde systemen, zonder verwijl op de hoogte brengen wanneer een derde de Opdrachtgever erom verzoekt zijn persoonsgegevens uit de systemen van Direct te verwijderen, dan wel deze niet langer aan te wenden in het kader van de Overeenkomst.  

5.2. De Opdrachtgever kan Direct verzoeken om haar redelijke medewerking te verlenen aan een audit van de werking en de systemen van Direct die nodig is om de nakoming van de verplichtingen van artikel 28 AVG aan te tonen. Dergelijke audit kan plaats vinden eenmaal per jaar en door een door de Opdrachtgever gemachtigde controleur, bij voorkeur door een door beide partijen aangeduide derde. Een audit moet minimaal tien dagen voor aanvang schriftelijk worden aangekondigd aan Direct, voorzien van een omschrijving op welke onderdelen de controle plaatsvindt en het controleproces, en mag de bedrijfsactiviteiten van Direct niet onnodig verstoren. Direct zal aan de audit meewerken en alle voor de audit redelijkerwijs relevante informatie, inclusief ondersteunende persoonsgegevens zoals systeemlogs, en medewerkers zo tijdig mogelijk ter beschikking stellen, voor zover de (in)directe gevolgen hiervan geen schending veroorzaken aan de (contractuele) rechten, plichten, of wettelijke vereisten aan de algehele dienstverlening of de belangen van Direct schaden.   

De bijstand van Direct bij een audit zal worden gefactureerd tegen de dan gangbare uurtarieven, welke op datum van inwerkingtreding van deze Verwerkersovereenkomst €110,00 excl. BTW bedragen.  

ARTIKEL 6: VERPLICHTINGEN VAN DIRECT  

6.1. Verwerking conform de instructies van de Opdrachtgever  

Direct en al wie onder haar verantwoordelijkheid of gezag handelt en toegang heeft tot de persoonsgegevens, zal deze persoonsgegevens uitsluitend verwerken volgens de schriftelijke instructies van de Opdrachtgever, en dit in functie van de in artikel 2 beschreven doeleinden.  

Direct zal alle redelijke instructies van de Opdrachtgever in verband met de verwerking van persoonsgegevens opvolgen. Direct stelt de Opdrachtgever onmiddellijk op de hoogte indien Direct van oordeel is dat de instructies in strijd zijn met de AVG.  

Bovenstaande kan Direct buiten beschouwing laten indien een wettelijke bepaling haar tot verwerking verplicht. In dat geval stelt Direct de Opdrachtgever, voorafgaand aan de verwerking, in kennis van dat wettelijk voorschrift, tenzij die wetgeving deze kennisgeving om gewichtige redenen van algemeen belang verbiedt.  

6.2. Passende technische en organisatorische maatregelen   

Rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van personen, treft Direct passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen.  

Deze maatregelen zullen in overeenstemming zijn met gangbare praktijken in de industrie en houden minstens het volgende in:   

  • fysieke maatregelen voor toegangsbeveiliging;   
  • logische  toegangscontrole,  gebruik  makend  van wachtwoorden;   
  • organisatorische maatregelen voor toegangsbeveiliging;   
  • steekproefsgewijze controle op naleving beleid;   
  • beveiliging van netwerkverbindingen via Secure Socket Layer (SSL) technologie;   
  • een beveiligd intern netwerk;    
  • doelgebonden toegangsbeperkingen; 
  • controle op toegekende bevoegdheden.  

Direct staat er niet voor in dat de beveiliging onder alle omstandigheden doeltreffend is. Direct zal zich inspannen om de beveiliging te laten voldoen aan een niveau dat, gelet op de stand van de techniek, de gevoeligheid van de persoonsgegevens en de aan het treffen van de beveiliging verbonden kosten, niet onredelijk is.  

De Opdrachtgever heeft zich goed geïnformeerd over de technische en organisatorische maatregelen die Direct heeft genomen en is van mening dat deze maatregelen een beveiligingsniveau hebben dat past bij de aard van de persoonsgegevens en de omvang, context, doeleinden en risico’s van de verwerking en dat DIRECT, meer in het algemeen, afdoende garanties op het vlak van gegevensbescherming biedt  

6.3 Inbreuken in verband met persoonsgegevens  

Direct zal de Opdrachtgever onverwijld informeren zodra zij kennis heeft genomen van een Inbreuk in verband met persoonsgegevens.  

De melding van de inbreuk aan de Gegevensbeschermingsautoriteit en (eventueel) betrokkene(n) is altijd de eigen verantwoordelijkheid van de Opdrachtgever. 

6.4. Verwerking door anderen, onder verantwoordelijkheid van Direct  

De Opdrachtgever geeft hierbij zijn algemene toestemming dat de Direct de persoonsgegevens meedeelt aan derden, met inbegrip van Sub-verwerkers. Direct zal de Opdrachtgever inlichten van het bestaan van deze Sub-verwerkers. 

Indien Direct een Sub-verwerker wenst aan te stellen of te vervangen, zal Direct de Opdrachtgever hierover inlichten. De Opdrachtgever heeft het recht bezwaar aan te tekenen tegen deze aanstelling binnen 8 dagen na de inlichting. In geval van bezwaar kan dit in sommige gevallen betekenen dat Direct de Overeenkomst moet beëindigen, hetgeen de Opdrachtgever aanvaardt. Of de Overeenkomst moet worden beëindigd, is ter uitsluitende beoordeling van Direct.  

Wanneer Direct een andere verwerker in dienst neemt om voor rekening van de Opdrachtgever specifieke verwerkingsactiviteiten te verrichten, worden aan deze andere verwerker dezelfde verplichtingen inzake gegevensbescherming opgelegd als die welke in de Verwerkersovereenkomst tussen de Opdrachtgever en Direct zijn opgenomen. Het betreft met name de verplichting afdoende garanties met betrekking tot het toepassen van passende technische en organisatorische maatregelen te bieden opdat de verwerking aan het bepaalde in de Verwerkersovereenkomst en de AVG voldoet.  

Wanneer de andere verwerker zijn verplichtingen inzake gegevensbescherming niet nakomt, blijft DIRECT ten aanzien van de Opdrachtgever volledig aansprakelijk voor het nakomen van de verplichtingen van die andere verwerker.  

Direct verklaart en waarborgt dat de personen die gemachtigd zijn om persoonsgegevens te verwerken er zich toe verbonden hebben of er zich toe verbinden de vertrouwelijkheid van de persoonsgegevens in acht te nemen.  

6.5. Bijstand  

Direct zal de Opdrachtgever bijstaan bij de naleving van de verplichtingen van de Opdrachtgever onder de AVG inzake beveiliging van de verwerking, melding van een Inbreuk in verband met persoonsgegevens aan de toezichthoudende overheid en aan de betrokkene, het opstellen van een gegevensbeschermingseffectbeoordeling (indien van toepassing), en voorafgaande raadpleging.  

Direct kan voor zulke bijstand kosten in rekening brengen.  

6.6. Verzoeken vanwege betrokkenen  

In het geval dat een betrokkene een verzoek tot uitoefening van één van zijn rechten onder de AVG richt aan Direct, zal Direct het verzoek doorsturen aan Opdrachtgever, en zal Opdrachtgever het verzoek verder afhandelen. Opdrachtgever stemt ermee in dat Direct  de betrokkene op de hoogte mag stellen dat Direct niet de verwerkingsverantwoordelijke is en dat Direct het verzoek heeft doorgestuurd aan de Opdrachtgever dewelke verder contact zal opnemen met de betrokkene.  

6.7. Einde van de Verwerkersovereenkomst  

Deze Verwerkersovereenkomst eindigt wanneer de Overeenkomst wordt beëindigd.  

Op dat moment zal Direct de door de Opdrachtgever aan Direct verstrekte persoonsgegevens aan de Opdrachtgever terug overdragen of – als de Opdrachtgever Direct daarom verzoekt – vernietigen. Direct zal uitsluitend een kopie van de persoonsgegevens bewaren als zij hiertoe op grond van de wet- of beroepsregelgeving verplicht is.  

De kosten van het verzamelen en overdragen van persoonsgegevens bij het eindigen van de Overeenkomst zijn voor rekening van de Opdrachtgever. Dit is eveneens het geval voor de kosten van de vernietiging van de persoonsgegevens.  

ARTIKEL 7: AANSPRAKELIJKHEID EN WAARBORGEN  

7.1. De Opdrachtgever staat er voor in dat de verwerking van persoonsgegevens op basis van de Verwerkersovereenkomst niet onrechtmatig is en geen inbreuk maakt op de rechten van de betrokkene(n).  

Direct zal op geen enkele wijze aansprakelijk zijn voor schade die voortvloeit uit instructies van de Opdrachtgever.  

7.2.  De Opdrachtgever staat er voor in dat de inhoud, het gebruik en de opdracht tot de verwerking van de persoonsgegevens, niet onrechtmatig is en geen inbreuk maakt op enig recht van derden, en dat er is voldaan aan alle extra waarborgen die gelden voor de verwerking van de Bijzondere categorieën van persoonsgegevens. De Opdrachtgever vrijwaart Direct tegen alle aanspraken en claims die hiermee verband houden.  

7.3.  Iedere aansprakelijkheid van Direct voor enige andere vorm van schade is uitgesloten, daaronder begrepen aanvullende schadevergoeding in welke vorm dan ook, alsmede vergoeding van indirecte schade of gevolgschade of schade wegens gederfde omzet of winst, boetes die aan de verwerkingsverantwoordelijke worden opgelegd bijvoorbeeld – maar niet uitsluitend – door de Gegevensbeschermingsautoriteit, vertragingsschade, schade wegens verlies van gegevens, schade wegens overschrijding van termijnen als gevolg van gewijzigde omstandigheden, diefstal, verlies of beschadiging van data en zaken en schade wegens door Direct gegeven inlichtingen of adviezen waarvan de inhoud niet uitdrukkelijk onderdeel van de verplichtingen van Direct vormt.  

De hoogte van enige vergoeding, die Direct verschuldigd is in het geval van aansprakelijkheid, is gemaximeerd op het bedrag dat door de aansprakelijkheidsverzekeraar van Direct in het betreffende geval wordt uitgekeerd, dan wel tot een maximaal bedrag van 2.500 euro.  

7.4.  Direct verwerkt de persoonsgegevensin principe slechts binnen de Europese Economische Ruimte (EER).   

Desalniettemin geeft de Opdrachtgever hierbij zijn algemene toestemming dat Direct persoonsgegevens kan meedelen aan derden die zich buiten de EER bevinden, op voorwaarde dat aan de regels voor zulke doorgifte (artikelen 44-50 AVG) is voldaan. Direct kan persoonsgegevens tevens doorgeven naar een land dat zich buiten de EER bevindt indien die doorgifte noodzakelijk is om een bindende Europese of Belgische rechtsregel na te leven. In zulk geval zal Direct de Opdrachtgever voorafgaandelijk en op schriftelijke wijze kennisgeven van de rechtsregel die Direct verplicht persoonsgegevens door te geven, tenzij de betrokken rechtsregel zulke kennisgeving verbiedt.