Overeenkomst tussen gezamenlijke verwerkingsverantwoordelijken (Uit hoofde van artikel 26 van verordening 2016/679 (AVG) – FPD, RSVZ en Sigedis)

Deze overeenkomst inzake gezamenlijke controle wordt gesloten op 07/07/2023, hierna de "ingangsdatum" genoemd:

De Federale Pensioendienst, hierna te noemen de FPD, opgericht door artikel 40 van Koninklijk besluit nr. 50 betreffende het rust- en overlevingspensioen voor werknemers en verantwoordelijk voor het informeren over en het toekennen van werknemers- en ambtenarenpensioenen en verantwoordelijk voor de betaling en informatieverstrekking hieromtrent van de werknemers-, ambtenaren en zelfstandigenpensioenen.

En

Het Rijksinstituut voor de Sociale Verzekering der Zelfstandigen, hierna te noemen het RSVZ, opgericht overeenkomstig het koninklijk besluit nr. 38 van 27 juli 1967 en verantwoordelijk voor het informeren over en het toekennen van de zelfstandigenpensioenen

En

De vereniging zonder winstoogmerk Sigedis, opgericht overeenkomstig artikel 12 van het koninklijk besluit van 12 juni 2006 tot uitvoering van titel III, hoofdstuk II, van de wet van 23 december 2005 betreffende het generatiepact en verantwoordelijk voor het beheer van de gegevensbank betreffende de aanvullende pensioenen, kortweg DB2P.

Hierna gezamenlijk te noemen “Partijen” en afzonderlijk “Partij”,

Toelichting
De Federale Pensioendienst, het Rijksinstituut voor de Sociale Verzekering der Zelfstandigen en Sigedis besluiten deze overeenkomst tussen gezamenlijke verwerkingsverantwoordelijken op te stellen die moet toelaten hun opdrachten efficiënt uit te kunnen voeren en een geïntegreerde pensioendienstverlening te garanderen.

Deze gezamenlijke verwerking baseert zich hiervoor op de volgende uitgangspunten:

• De (toenemende) verwevenheid tussen pensioenstelsels en pensioenpijlers;
• De unieke pensioendienstverlening zoals beoogd in de visietekst 2030 van 6 november 2020;
• Het feit dat de FPD, het RSVZ en Sigedis interoperabele modules ontwikkelen ter ondersteuning van wat dient beschouwd te worden als één pensioenproces.
• Door de verwevenheid tussen het sociaal statuut van de zelfstandige en de pensioenstelsels, moeten de pensioen- en contactgegevens ook gebruikt worden in het kader van de wettelijke opdrachten van het RSVZ en de sociale verzekeringsfondsen.
• In haar hoedanigheid van beheersinstelling van het secundair netwerk aanvullende pensioenen moet Sigedis de pensioen- en contactgegevens ook gebruiken voor mededeling aan en verdere verwerking door de leden van dat secundair netwerk.

Bij deze verwerking worden het doel en de middelen gemeenschappelijk bepaald zoals voorzien in artikel 26 van de AVG wat ons toelaat om een gemeenschappelijke verwerkingsovereenkomst af te sluiten.

FPD, RSVZ en Sigedis realiseren de onderlinge uitwisseling van persoonsgegevens tussen de drie instellingen via onderling interoperabele modules ter ondersteuning van één pensioenproces, conform aan de bepalingen opgenomen in het punt 18 en volgende van de beraadslaging nr. 12/079 van september 2012.

In aanmerking nemende dat:

• Partijen wensen samen te werken;
• Gedurende die samenwerking Persoonsgegevens tussen Partijen verwerkt en gedeeld zullen worden;
• Partijen gezamenlijk het doel en de middelen van de Verwerking(en) vaststellen en derhalve gezamenlijk verwerkingsverantwoordelijken zijn in de zin van artikel 26 AVG;
• Partijen, in het kader van een zorgvuldige Verwerking van Persoonsgegevens, afspraken wensen te maken over de Verwerking van Persoonsgegevens en de wederzijdse verantwoordelijkheden en minimaal de overige in artikel 26 AVG opgenomen onderwerpen;

Zijn als volgt overeenkomen:

In deze Overeenkomst hebben de met hoofdletter geschreven begrippen de in de AVG opgenomen betekenis (o.a. in de artikelen 4, 9, 26 en 35 AVG), dan wel, indien de definitie in de AVG ontbreekt, de in dit artikel opgenomen betekenis.

AVG: de Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de Verwerking van Persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming).

Medewerker(s): de door Partijen ingeschakelde werknemers en andere personen waarvan de werkzaamheden onder de verantwoordelijkheid van de betreffende Partij vallen en die worden ingeschakeld door die Partij ter uitvoering van de Overeenkomst.

Overeenkomst: de onderhavige overeenkomst inclusief Bijlagen, zoals bedoeld in artikel 26 AVG.

Persoonsgegevens: alle informatie betreffende een geïdentificeerde of identificeerbare natuurlijke
persoon (hierna "betrokkene" genoemd);

Schriftelijk: op schrift gesteld of langs de elektronische weg, zoals bedoeld in het Burgerlijk Wetboek.

Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens: de Toepasselijke wet- en regelgeving en/of (nadere) verdragen, verordeningen, richtlijnen, besluiten, beleidsregels, instructies en/of aanbevelingen van een bevoegde overheidsinstantie betreffende de Verwerking van Persoonsgegevens, tevens omvattende toekomstige wijziging hiervan en/of aanvulling hierop, inclusief lidstaatrechtelijke uitvoeringswetten van de AVG en de Telecommunicatiewet.

Verwerkersovereenkomst: een overeenkomst in de zin van artikel 28 AVG, die wordt gesloten tussen een Verwerker en (Gezamenlijke) Verwerkingsverantwoordelijke, waarin afspraken worden gemaakt ten aanzien van de Verwerking.

Verwerking: een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.

2.1. Partijen zijn gezamenlijke Verwerkingsverantwoordelijken voor de in Bijlage A genoemde Verwerking(en).

2.2. De bepalingen uit de Overeenkomst gelden voor alle Verwerking(en) die plaatsvinden ter uitvoering van de in Bijlage A genoemde [onderzoek/samenwerking/gebruik van de applicatie]. Partijen brengen elkaar onverwijld op de hoogte indien één der Partijen reden heeft om aan te nemen dat hij niet langer aan de Overeenkomst kan voldoen.

2.3. Partijen verklaren over en weer de Persoonsgegevens op behoorlijke, zorgvuldige en transparante wijze te zullen verwerken, in overeenstemming met deze Overeenkomst en de bijlagen en de Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens.

2.4. Met het oog op de correcte uitvoering van deze overeenkomst zullen de gezamenlijk voor de verwerking verantwoordelijken:

• Samenwerken bij de uitvoering van de verplichtingen van de Gezamenlijke verantwoordelijken voor de verwerking van persoonsgegevens;
• De Persoonsgegevens te verwerken die hun met betrekking tot de Samenwerking zijn toevertrouwd overeenkomstig deze Overeenkomst, de AVG, en andere algemeen toepasselijke wetgeving en
• Zich te onthouden van juridische of feitelijke handelingen die op enigerlei wijze de beveiliging van Persoonsgegevens zouden kunnen ondermijnen of de andere Gezamenlijke Verwerkingsverantwoordelijke zouden kunnen bedreigen met civiele, administratieve of strafrechtelijke aansprakelijkheid.

3.1. Partijen zullen de Persoonsgegevens uitsluitend verwerken voor het doeleinde waarvoor de Persoonsgegevens zijn verzameld.

3.2. In afwijking van artikel 3§1 is verdere Verwerking toegestaan als het doel daarvan verenigbaar is met het doeleinde waarvoor de Persoonsgegevens zijn verzameld. Of daarvan sprake is, is afhankelijk van onder meer: een eventuele koppeling tussen beide doeleinden, het kader waarin de gegevens zijn verzameld, de verwachtingen die Betrokkene redelijkerwijs heeft, de aard van de gegevens, de gevolgen van de voorgenomen Verwerking voor de Betrokkene en de mate waarin wordt voorzien van passende technische en organisatorische beschermingsmaatregelen. De partij die de gegevens verder Verwerkt, wordt zelfstandig Verwerkingsverantwoordelijke voor die verdere Verwerking. De andere partijen zijn voor die verdere Verwerking niet verantwoordelijk.

3.3. Om het beginsel van gegevensminimalisering in acht te nemen, zullen de Partijen niet meer Persoonsgegevens verzamelen dan strikt noodzakelijk is voor het betreffende doeleinde.

3.4. Indien een Verwerking, gelet op de aard, de omvang, de context en de doeleinden daarvan waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van personen, zullen Partijen voor de Verwerking een “Data Protection Impact Assesment” (DPIA) uitvoeren en opnemen in een Bijlage bij deze Overeenkomst.

3.5. Partijen zijn ieder zelf verantwoordelijk voor het bijhouden van de Verwerking(en) in een register van verwerkingsactiviteiten.

3.6. De verplichtingen die voortvloeien uit deze Overeenkomst, gelden ook voor degenen die onder het gezag van Partijen Persoonsgegevens verwerken, zoals haar Medewerkers en ingeschakelde Verwerkers.

3.7. Iedere Partij is zelf verantwoordelijk voor het treffen van passende technische en organisatorische maatregelen ten aanzien van de Persoonsgegevens die deze Partij verwerkt in het kader van [de/het onderzoek/samenwerking/het gebruik van de applicatie]. In Bijlage B wordt een specificatie opgenomen van de door Partijen getroffen technische en organisatorische beveiligingsmaatregelen.

4.1. Partijen beperken de toegang tot Persoonsgegevens voor Medewerkers, Verwerkers, Derden en andere Ontvangers van Persoonsgegevens die nodig heeft voor het uitvoeren van de opdrachten van de Partijen. In Bijlage A is opgenomen wie van deze groepen toegang heeft.

4.2. Partijen mogen zonder voorafgaande schriftelijke toestemming van de andere Partijen geen andere personen of organisaties inschakelen bij het verwerken van de Persoonsgegevens, tenzij anders bepaald in Bijlage A.

4.3. Partijen verbinden zich ertoe alleen informatie uit te wisselen waarvan zij de authentieke bron zijn. Verzoeken om uitwisseling of uitwisseling die geen betrekking hebben op gegevens waarvan de partij de authentieke bron is, worden aan de betrokken partij meegedeeld.

4.4. Indien een Partij (delen van) de (verdere) Verwerking van de betreffende Persoonsgegevens uitbesteedt aan een Verwerker, draagt hij er zorg voor dat de Verwerker de Persoonsgegevens op behoorlijke en zorgvuldige wijze en in overeenstemming met de Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens verwerkt en een passende Verwerkersovereenkomst wordt overeengekomen.

4.5. Alle Partijen hebben te allen tijde het recht de Verwerkersovereenkomst(en) zoals bedoeld artikel 4.3 in te zien, tenzij Partijen schriftelijk overeenkomen dat dat voor een betreffende Verwerkersovereenkomst niet het geval is.

4.6. Partijen mogen Persoonsgegevens laten verwerken door andere personen of organisaties buiten de Europese Economische Ruimte in overeenstemming met voorgaande, mits de Toepasselijke weten regelgeving betreffende de Verwerking van Persoonsgegevens in acht wordt genomen.

5.1. Op alle Persoonsgegevens rust een geheimhoudingsplicht jegens Derden.

5.2. Partijen leggen deze geheimhoudingsplicht tevens op aan alle door Partijen in te schakelen (rechts)personen, waaronder, maar niet beperkt tot, Medewerkers, Verwerkers, Derden en andere Ontvangers van Persoonsgegevens.

5.3. Deze geheimhoudingsplicht is niet van toepassing voor zover alle Partijen toestemming hebben gegeven om de informatie aan derden te verschaffen of indien het verstrekken van de informatie aan Derden logischerwijs noodzakelijk is gezien de uitvoering van deze Overeenkomst of indien er een wettelijke verplichting of gerechtelijke uitspraak bestaat op grond waarvan de informatie aan een Derde dient te worden verstrekt.

6.1. De aansprakelijkheid van de Partijen wordt beheerst door de wettelijke voorschriften, in het bijzonder artikel 82 van de AVG met betrekking tot de verwerkingsactiviteiten waarmee zij zijn belast, zoals gedefinieerd met betrekking tot de rol van de verantwoordelijke voor de verwerking in de samenwerking en zoals vermeld in Bijlage A.

6.2. Een Partij die één van de verplichtingen uit de Overeenkomst en/of uit de Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens toerekenbaar niet nakomt en waardoor de andere Partijen door een derde worden aangesproken voor schade, kosten of rente (waaronder verstaan boeten en/of maatregelen), vrijwaart de andere Partijen voor de aanspraak van die derde.

6.3. Een Partij die in overeenstemming met artikel 3 AVG de Persoonsgegevens verder verwerkt, vrijwaart de andere Partijen voor alle aanspraken van derden die het gevolg zijn van de verdere Verwerking.
 

7.1. De Partijen zullen elkaar alle informatie verstrekken en alle bijstand verlenen die noodzakelijk en/of die redelijkerwijze mag worden verwacht opdat de Partijen in staat zouden zijn, hun verplichtingen uit de AVG na te komen én van deze nakoming het bewijs te leveren.

7.2. De Partijen zullen alle mogelijke maatregelen nemen opdat de Partijen tegemoet kunnen komen aan de verzoeken van een betrokkene die zich beroept op de hierna vermelde rechten:

• Het recht van inzage zoals bedoeld in artikel 15 AVG, en onder meer om een kopie van de persoonsgegevens die worden verwerkt te bekomen;
• Het recht op rectificatie van de persoonsgegevens zoals bedoeld in art. 16 AVG;
• Het recht op gegevenswissing (“recht op vergetelheid”) zoals bedoeld in artikel 17 AVG;
• Het recht op beperking van de verwerking zoals bedoeld in artikel 18 AVG;
• Het recht op overdraagbaarheid van de persoonsgegevens zoals bedoeld in artikel 20 AVG;
• Het recht van bezwaar bedoeld in artikel 21 AVG;
• Het recht om niet te worden onderworpen aan geautomatiseerde individuele besluitvorming waaronder profilering zoals bedoeld in artikel 22 AVG.

7.3. De Partijen verlenen elkaar de nodige bijstand bij de uitvoering van een van de verplichting uit de AVG.

7.4. Partijen brengen de andere Partijen in kennis te stellen van vragen, verzoeken of verzoeken van betrokkenen en andere personen, nationale of Europese overheidsinstanties, met inbegrip van relevante toezichthoudende autoriteiten en rechtbanken, alsmede van controles of inspecties door dergelijke autoriteiten in verband met het gezamenlijke beheer van persoonsgegevens; de informatie wordt onverwijld en op zodanige wijze verstrekt dat de andere gemeenschappelijk verantwoordelijken voor de verwerking aan de verplichtingen kunnen voldoen, zonder onnodige vertraging.

7.5. Indien betrokkene zich to één van de partijen wendt, zal de informatie ook naar de andere partijen worden doorgestuurd. De betrokken Partij zal antwoorden.

7.6. De Partijen zullen rekening houdend met de aard van de verwerking en de hen ter beschikking staande informatie, een gegevensbeschermingseffectbeoordeling (GEB) zoals bedoeld in artikel 35 AVG en volgende uitvoeren voor de verwerkingen waarbij de Partijen betrokken zijn, en om te komen tot een volwaardige en correcte risicobeoordeling en -beheersing.

8.1. In het geval van (een vermoeden van) een gegevenslek is de Partij bij wie de (vermoedelijke) inbreuk heeft plaatsgevonden, verantwoordelijk voor de melding daarvan aan de andere Partijen. Partijen zullen elkaar onverwijld op de hoogte stellen in overeenstemming met de procedure zoals die is gespecificeerd op de website van de GBA.

8.2. Naar aanleiding van voorbedoelde melding zullen Partijen in goed overleg bespreken wat de (mogelijke) gevolgen van de Inbreuk zijn voor alle Partijen.

8.3. Partijen zullen elkaar op de hoogte houden van nieuwe ontwikkelingen rondom de Inbreuk.

8.4. Partijen zijn en blijven ieder zelfstandig verantwoordelijk voor het melden van een Inbreuk aan de Toezichthoudende autoriteit en/of Betrokkenen, indien de inbreuk onder haar verantwoordelijkheid heeft plaatsgevonden. Eventuele kosten die gemaakt worden om de inbreuk op te lossen en in de toekomst te kunnen voorkomen, komen voor rekening van de Partij bij wie de inbreuk heeft plaatsgevonden, tenzij in onderling overleg hierover schriftelijk andere afspraken worden gemaakt.

8.5. Partijen zijn ieder zelf verantwoordelijk voor het bijhouden van een datalekregister.

9.1. Deze Overeenkomst komt tot stand door ondertekening van Partijen en zal worden aangegaan voor de duur van het delen van de Persoonsgegevens in het kader van de samenwerking. Deze Overeenkomst kan alleen tussentijds worden opgezegd met Schriftelijke toestemming van alle Partijen.

9.2. Partijen mogen deze Overeenkomst alleen wijzigen na overleg met en met toestemming van alle Partijen en zullen zich inspannen om, wanneer wijzigingen in Toepasselijke wet- en regelgeving daartoe aanleiding geven, een passende wijziging van deze Overeenkomst te bewerkstelligen.

9.3. Iedere Partij is na afloop van deze Overeenkomst en/of het verstrijken van de (wettelijke) bewaartermijnen zelf verantwoordelijk voor het vernietigen en/of retourneren van de Persoonsgegevens die zij onder zich heeft en/of die zich bevinden bij een door die Partij ingeschakelde derde, in het kader van deze Overeenkomst.

9.4. De beëindiging, dan wel gehele of gedeeltelijke ontbinding van deze Overeenkomst, ontslaat Partijen niet van daaruit nog lopende verplichtingen met betrekking tot geheimhouding, aansprakelijkheid, vernietiging van Persoonsgegevens, Toepasselijk recht en bevoegde rechter.

Deze gemeenschappelijke verwerkingsovereenkomst zal gepubliceerd worden op de websites van betrokken instellingen.