Algemene verwerkingsvoorwaarden publiq platform

Deze Algemene Verwerkingsvoorwaarden vormen de Verwerkingsovereenkomst voor de samenwerking in het kader van het publiq platform

tussen

publiq vzw, “Verwerkingsverantwoordelijke”;

en

de Gebruiker van het Platform, “Verwerker”;

bedoeld wordt zowel de Gebruiker die data afneemt als de Gebruiker die data aanlevert, inbegrepen hun medewerkers en aangestelden;

De Verwerkingsverantwoordelijke en de Verwerker worden hieronder ook wel afzonderlijk aangeduid als een “Partij” of gezamenlijk als de “Partijen”;

A. Deze Algemene Verwerkingsvoorwaarden vormen, samen met de Gebruiksvoorwaarden, een bijlage bij de Kaderovereenkomst tussen publiq vzw en Gebruiker;

B. In het kader van het publiq platform (hierna “Platform”) zal de Verwerker bepaalde Persoonsgegevens Verwerken. Meer in het bijzonder geldt voor Gebruiker die data aanlevert dat deze zorgt voor aanlevering van gegevens welke verwerkt worden via het Platform, terwijl een Gebruiker als afnemer van data gegevens van het Platform afneemt voor verdere verwerking zoals eventuele publicatie, analyses en/of gebruik in toepassingen;

Deze Algemene Verwerkingsvoorwaarden vormen de Verwerkingsovereenkomst en formaliseert de afspraken met betrekking tot de uitvoering en organisatie van deze Verwerking van Persoonsgegevens en maken integraal deel uit van de Overeenkomst welke partijen onderling hebben gesloten.

Begrippen die in deze Verwerkingsovereenkomst met hoofdletter worden gebruikt, moeten worden geïnterpreteerd zoals in dit artikel of elders in de Verwerkingsovereenkomst gedefinieerd.

• AVG: Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming);
• Algemene Verwerkingsvoorwaarden: Dit document en de hierin vervatte bepalingen, welke de afspraken tussen partijen vastlegt inzake de uitvoering en organisatie van de Verwerking van Persoonsgegevens;
• Betrokkene: De geïdentificeerde of identificeerbare natuurlijke persoon op wie een Persoonsgegeven betrekking heeft;
• Datalek: Een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens;
• Derden: Elke natuurlijke persoon, rechtspersoon, overheidsinstantie, dienst of ander orgaan andere dan de Verwerker, de Verwerkingsverantwoordelijke en hun personeelsleden of aangestelden;
• Overeenkomst: De Basisovereenkomst zoals gesloten tussen Partijen en waarvan de Gebruiksvoorwaarden en deze Algemene Verwerkingsvoorwaarden integraal deel van uitmaken.
• Samenwerking: De samenwerking zoals omschreven in de (basis)overeenkomst afgesloten tussen partijen. De door Gebruiker gemaakte keuzes en geactiveerde diensten zijn leidend voor de omvang en omschrijving van de Samenwerking.
• Verwerken / Verwerking: Elke bewerking of geheel van bewerkingen met betrekking tot Persoonsgegevens of een geheel van Persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens, zoals ook gedefinieerd in artikel 4, 2) AVG;
• Verwerkingsovereenkomst: Deze Algemene Verwerkingsvoorwaarden.

2.1.De Verwerker Verwerkt Persoonsgegevens voor de Verwerkingsverantwoordelijke uitsluitend zoals omschreven in de Overeenkomst en overeenkomstig de in deze Overeenkomst en bijhorende Gebruiksvoorwaarden vastgelegde verplichtingen. De verwerkte Persoonsgegevens worden zijn voor ieder van de producten (bv. UiTdatabank en UiTPAS) verder beschreven in het privacybeleid van het betrokken product.

2.2. Elke Verwerking anders dan omschreven in de Samenwerking is strikt verboden, met inbegrip van de doorgifte van Persoonsgegevens aan Derden, een derde land of een internationale organisatie, behoudens indien één van de hieronder opgesomde voorwaarden vervuld is:

• de Verwerkingsverantwoordelijke heeft schriftelijke instructies gegeven om bijkomende Verwerkingen uit te voeren; of

• een Unierechtelijke of lidstaatrechtelijke bepaling verplicht de Verwerker tot deze bijkomende Verwerking. De Verwerker zal de Verwerkingsverantwoordelijke desgevallend binnen een redelijke termijn voorafgaand aan de bijkomende Verwerking op de hoogte stellen van voornoemd wettelijk voorschrift, tenzij die wetgeving deze kennisgeving om gewichtige redenen van algemeen belang verbiedt. Als de Verwerker een verzoek krijgt om Persoonsgegevens ter beschikking te stellen door een daartoe bevoegde instantie overeenkomstig een Unierechtelijke of lidstaatrechtelijke bepaling, beoordeelt zij eerst of het verzoek bindend is en of zij op grond van gedrags- en beroepsregels aan het verzoek moet voldoen. Als er geen strafrechtelijke of andere juridische belemmeringen zijn, dan stelt de Verwerker de Verwerkingsverantwoordelijke op de hoogte van het verzoek. De Verwerker doet dat binnen een termijn dat het voor de Verwerkingsverantwoordelijke mogelijk is om eventuele rechtsmiddelen tegen de verstrekking van de Persoonsgegevens in te stellen.

2.3. De Verwerker stelt de Verwerkingsverantwoordelijke onmiddellijk in kennis indien naar zijn mening een instructie inbreuk oplevert op de AVG of op andere Unierechtelijke of lidstaatrechtelijke bepalingen inzake gegevensbescherming.

3.1. Loopt samen met de Samenwerking zoals beschreven in de hoofdovereenkomst welke partijen afsloten met elkaar.

3.2. Artikels 3.3, 5, 6, 7, 9 en 12 blijven van kracht na beëindiging van de Verwerkingsovereenkomst.

3.3. Na beëindiging van de Verwerkingsovereenkomst dient de Verwerker aan de Verwerkingsverantwoordelijke zonder onredelijke vertraging, en onverwijld op verzoek, een kopie te bezorgen van alle Persoonsgegevens die door haar in het kader van de Samenwerking Verwerkt worden, in gestructureerd, gangbaar en machine leesbaar formaat. Als alle Persoonsgegevens zijn bezorgd, stelt de Verwerker onmiddellijk een einde aan elke verwerking van de Persoonsgegevens en vernietigt hij elke kopie en back-up van de Persoonsgegevens die hij nog zou bezitten, tenzij opslag van de Persoonsgegevens Unierechtelijk of lidstaatrechtelijk is verplicht.

4.1. De Verwerker treft alle passende technische en organisatorische beveiligingsmaatregelen die nodig zijn om de Persoonsgegevens te beveiligen, rekening houdend met de stand van de techniek en de kost voor beveiliging, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van personen. In het bijzonder zal de Verwerker de Persoonsgegevens beveiligen tegen vernietiging, verlies, vervalsing, niet toegelaten verspreiding of toegang en elke andere vorm van onwettige Verwerking. De minimale maatregelen die moeten worden getroffen, worden in bijlage beschreven.

4.2. De Verwerker wijst een functionaris voor gegevensbescherming aan en heeft ten minste een actueel veiligheidsbeleid en -plan.

5.1. De Verwerker verbindt zich er uitdrukkelijk toe het vertrouwelijk karakter en de veiligheid van de Persoonsgegevens die hij in het kader van de Samenwerking Verwerkt, te waarborgen.

5.2. De Verwerker maakt zich sterk dat alle personeelsleden of aangestelden die toegang hebben tot de Persoonsgegevens het vertrouwelijk karakter en de veiligheid van deze Persoonsgegevens zullen respecteren. De Verwerker zal erop toezien dat personeelsleden of aangestelden enkel toegang verkrijgen tot Persoonsgegevens nadat ze behoorlijk gebonden zijn door een wettelijke of contractuele vertrouwelijkheidsverplichting.

6.1. De Verwerker stelt enkel andere verwerkers aan om Persoonsgegevens in het kader van de Samenwerking te Verwerken (hierna: de “Subverwerker”) na uitdrukkelijke, specifieke goedkeuring van de Verwerkingsverantwoordelijke. De Verwerkingsverantwoordelijke gaat akkoord met de eventorganisatoren waarmee Verwerker de Kaderovereenkomst afsluit. Voor alle overige subverwerkers blijft uitdrukkelijke en specifieke goedkeuring door Verwerkingsverantwoordelijke (publiq vzw) vereist.

6.2. Extern ingehuurde medewerkers en aangestelden worden voor deze Verwerkingsovereenkomst niet als Subverwerker beschouwd. De Verwerker zal er op toezien dat deze extern ingehuurde medewerkers dezelfde vertrouwelijkheidsclausule, zoals beschreven in artikel 5 van deze Verwerkingsovereenkomst naleven zoals dit voor de eigen werknemers van de Verwerker het geval is.

6.3. De Verwerker en de Subverwerker sluiten een overeenkomst waarin dezelfde verplichtingen inzake gegevensbescherming opgelegd worden als die welke in de voorliggende Verwerkingsovereenkomst zijn opgenomen. De Verwerker zal de Subverwerkers ook dezelfde geheimhoudingsverplichting als deze die op haar rust opleggen middels een vertrouwelijkheidsovereenkomst. De Verwerker zal op eenvoudig verzoek van de Verwerkingsverantwoordelijke het nodige bewijs voorleggen om aan te tonen dat de overeenkomsten met haar Subverwerkers voldoen aan de in dit artikel gestelde voorwaarden.

6.4. De Verwerker houdt een actueel overzicht bij van de overeenkomsten met Subverwerkers en kan deze binnen redelijke termijn op eenvoudig verzoek bezorgen aan de Verwerkingsverantwoordelijke.

6.5. Indien een Subverwerker haar gegevensbeschermingsverplichtingen niet vervult, zal de Verwerker volledig aansprakelijk blijven ten opzichte van de Verwerkingsverantwoordelijke voor de naleving van deze verplichtingen.

7.1. Algemeen

De Verwerker zal de Verwerkingsverantwoordelijke alle informatie verstrekken en alle bijstand verlenen die noodzakelijk is en/of die redelijkerwijze mag worden verwacht opdat de Verwerkingsverantwoordelijke in staat zou zijn om haar verplichtingen uit de AVG na te komen én van deze nakoming het bewijs te leveren.

7.2. Bijstand bij verzoek van een Betrokkene

De Verwerker verleent aan de Verwerkingsverantwoordelijke door middel van passende technische en organisatorische maatregelen, voor zover mogelijk, bijstand bij het vervullen van diens plicht om verzoeken tot uitoefening van de in hoofdstuk III van de AVG vastgestelde rechten van de betrokkene, te beantwoorden.

Indien een Betrokkene zich rechtstreeks wendt tot de Verwerker om zich te beroepen op één van de rechten die hem ingevolge hoofdstuk III van de AVG zijn toegekend, zal de Verwerker dit onverwijld melden aan de Verwerkingsverantwoordelijke en alleen tegemoet komen aan het verzoek van de Betrokkene na schriftelijk akkoord van de Verwerkingsverantwoordelijke.

7.3. Bijstand bij Datalekken

De Verwerker verbindt zich ertoe elk Datalek en alle ernstige pogingen tot onrechtmatige of ongeautoriseerde Verwerkingen of toegangen tot Persoonsgegevens zonder onredelijke vertraging, en uiterlijk 24 uur na kennisname, te melden aan de Verwerkingsverantwoordelijke conform artikel 33.3 van de AVG. De Verwerker zal alle maatregelen treffen die redelijkerwijs nodig zijn om (verdere) schending van de beveiligingsmaatregelen en eventuele schade te voorkomen of te beperken en zal aan de Verwerkingsverantwoordelijke alle informatie die ze nuttig of nodig acht, verschaffen.

Rekening houdend met de aard van de Verwerking en de hem ter beschikking staande informatie, verleent de Verwerker bovendien bijstand aan de Verwerkingsverantwoordelijke bij het nakomen van diens verplichtingen betreffende:

• het melden van een Datalek aan de toezichthoudende autoriteit conform artikel 33 van de AVG;

• het mededelen van een Datalek aan de betrokkene conform artikel 34 van de AVG.

Het is de Verwerker evenwel niet toegestaan om het Datalek zelf te melden aan de GBA of de mededeling aan de betrokkene zelf te verrichten. Dit is uitsluitend de bevoegdheid van de Verwerkingsverantwoordelijke.

7.4. Andere bijstandsverplichtingen

De Verwerker zal - rekening houdend met de aard van de Verwerking en de hem ter beschikking staande informatie – de Verwerkingsverantwoordelijke bijstand verlenen bij het nakomen van diens verplichtingen betreffende:

• het beveiligen van de verwerking conform artikel 32 van de AVG;

• het uitvoeren van een gegevensbeschermingseffectbeoordeling conform artikel 35 van de AVG;

• het voorafgaand aan een voorgenomen verwerking raadplegen van de toezichthoudende autoriteit, wanneer dit na een gegevensbeschermingseffectbeoordeling nodig zou blijken, conform artikel 36 van de AVG.

De Verwerker Verwerkt de Persoonsgegevens alleen binnen de Europese Economische Ruimte, tenzij hierover met de Verwerkingsverantwoordelijke andere afspraken zijn gemaakt. Deze afspraken leggen de Partijen gezamenlijk schriftelijk vast.

9.1. De Verwerkingsverantwoordelijke of zijn daartoe aangestelde heeft op elk ogenblik het recht om de naleving van deze Verwerkingsovereenkomst te controleren. Daartoe heeft zij het recht om zich ter plaatse te begeven in de lokalen of plaatsen waar de Verwerker de Verwerking uitvoert. De Verwerkingsverantwoordelijke zal de Verwerker minstens tien dagen voorafgaand aan het uitvoeren van de controle schriftelijk inlichten. De Verwerkingsverantwoordelijke zal de controles, tenzij dwingend anders vereist, enkel op werkdagen tijdens kantooruren uitvoeren.

9.2. Op eenvoudig verzoek van de Verwerkingsverantwoordelijke is de Verwerker ertoe gehouden alle inlichtingen die van toepassing zijn bij de uitvoering van deze Verwerkingsovereenkomst mee te delen en bijstand te verlenen bij het uitvoeren van de audits of bij het vervullen van de verplichting om verzoeken om uitoefening van de in de AVG vastgestelde rechten van de Betrokkene te beantwoorden.

10.1.De Verwerker is aansprakelijk ten aanzien van de Verwerkingsverantwoordelijke voor schade die voortvloeit uit een handeling of een nalatigheid wanneer bij de Verwerking niet is voldaan aan de specifiek tot Verwerkers gerichte verplichtingen van de AVG, dan wel uit een handeling of nalatigheid in strijd met de rechtmatige instructies van de Verwerkingsverantwoordelijke.

10.2.De aansprakelijkheid van de Verwerker is beperkt zoals voorzien in de Samenwerking, zonder evenwel afbreuk te doen aan art 82 van de AVG.

11.1.Indien de Verwerker zijn verplichtingen onder deze Verwerkingsovereenkomst niet naleeft, kan de Verwerkingsverantwoordelijke, onverminderd het recht om een schadevergoeding te bekomen, na schriftelijke gemotiveerde ingebrekestelling de Overeenkomst geheel of gedeeltelijk beëindigen indien de Verwerker nalaat passende maatregelen te treffen.

12.1.Deze Verwerkingsovereenkomst is onderworpen aan het Belgisch recht. Alle geschillen in verband met deze Verwerkingsovereenkomst, zullen worden voorgelegd aan de bevoegde rechter in het arrondissement waar de Verwerkingsverantwoordelijke gevestigd is.

12.2.Indien een bepaling in de Verwerkingsovereenkomst geheel of gedeeltelijk ongeldig, onwettig of nietig zou worden verklaard, tast dit op geen enkele wijze de geldigheid, wettigheid en toepasbaarheid van de andere bepalingen aan. De Partijen zullen vervolgens te goeder trouw onderhandelen om de ongeldige, onwettige of nietige bepaling te vervangen door een geldige bepaling die zoveel als mogelijk de gevolgen heeft van de ongeldige, onwettige of nietige bepaling.

12.3.Het staat publiq vzw als Verweringsverantwoordelijke vrij aanvullingen of wijzigingen aan te brengen aan deze Algemene Verwerkingsvoorwaarden, bijvoorbeeld om het gebruik van Dat Producten voor alle betrokkenen in de keten mogelijk te maken of te houden.

Dergelijke wijzigingen worden op voorhand meegedeeld aan de Gebruiker, en treden in werking dertig (30) kalenderdagen nadat de wijziging is meegedeeld.

Bepalingen art 32 AVG

Rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van personen, treffen de verwerkingsverantwoordelijke en de verwerker passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen.

De verwerker is eraan gehouden om maatregelen te treffen die onder meer het volgende kunnen omvatten:

• de pseudonimisering en versleuteling van persoonsgegevens

• het vermogen om op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen en diensten te garanderen

• het vermogen om bij een fysiek of technisch incident de beschikbaarheid van en de toegang tot de persoonsgegevens tijdig te herstellen

• een procedure voor het op gezette tijdstippen testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging van de verwerking

Technische en organisatorische maatregelen betreffende de interne werking en organisatie.

ALGEMEEN BEVEILIGINGSBELEID EN ORGANISATIE VAN INFORMATIEBEVEILIGING

• Verantwoordelijke informatiebeveiliging: Wouter Simons, wouter.simons@publiq.be

• Verantwoordelijke gegevensbescherming: privacy@publiq.be

• Verantwoordelijkheden op vlak van informatiebeveiliging en gegevensbescherming: De verantwoordelijkheden van de medewerkers van publiq zijn formeel gedocumenteerd en gepubliceerd in een privacy- en security policy. Elk van de medewerkers ondertekent tevens een verklaring op eer m.b.t. de verwerking van persoonsgegevens en welke als addendum bij de arbeidsovereenkomst wordt gevoegd.

• Risico-analyse, beheer en controle: publiq vzw voert periodiek risicoanalyses uit van de genomen beveiligingsmaatregelen en doet controles voor wat betreft de naleving van de verschillende informatiebeveiligingsprocedures.
  
  

PERSONEEL - VEILIG PERSONEELSBELEID

• Training over belang van beveiliging en omgang met persoonsgegevens: publiq vzw voorziet opleidingen om alle medewerkers te sensibiliseren voor wat betreft de beveiligingsrichtlijnen- en beveiligingsprocedures en hun rol daarbij.

• Toegangsautorisatie: publiq vzw implementeert en handhaaft een autorisatiebeheersysteem dat de toegang controleert tot systemen die persoonsgegevens bevatten.

• Segregatie: publiq vzw heeft een segregatie ingevoerd om te vermijden dat personen toegang krijgen tot gegevens waarvoor ze geen toegang nodig hebben voor de uitoefening van hun taak.

GEBOUW

• Fysieke toegang tot de ruimtes: publiq vzw beperkt de toegang tot haar ruimtes waar persoonsgegevens verwerkt worden in kader van haar opdracht, strikt tot geïdentificeerde en geautoriseerde personen. Hiertoe werden onder meer badgelezers geïnstalleerd, deuren van sloten voorzien en is er toegangscontrole aan de ingang (medewerker onthaal + registratie bezoekers).

• Beveiliging van de omgeving: Naast badgelezers is het volledige gebouw uitgerust met

camerabewaking en een alarm- en branddetectiesysteem en inbraakbeveiliging.

• Firewall: publiq vzw is uitgerust met een geavanceerde firewall en controlemechanismen die zijn interne netwerk op gepaste wijze beschermt tegen ongeoorloofde toegang tot zijn interne netwerk.

DATACENTER

• Fysieke toegang tot het datacenter: publiq vzw centraliseerde alle data die nodig is in kader van haar opdracht in een beveiligd data center conform de industrienormen. Fysieke toegang tot het datacenter wordt gecontroleerd en is niet mogelijk voor eigen medewerkers en deze van dienstverleners van publiq vzw.

• Noodherstel: publiq vzw beschikt over een noodherstelplan in geval van calamiteiten met haar servers in het datacenter waarop persoonsgegevens staan.

• Redundantie: publiq vzw hanteert een back-up beleid dat de nodige redundantie verzekert en gegevensherstel mogelijk maakt.

DATA

• Versleuteling van gegevens: alle digitale gegevens die verwerkt worden door publiq vzw in kader van haar opdracht worden centraal in het datacenter op een versleutelde manier bewaard op de harde schijven.

• Anti-virus en beveiligingsupdates: publiq vzw voorziet al zijn systemen van de laatste updates. Beveiligingsupdates worden opgevolgd en geïnstalleerd volgens het patch management proces.

• Kwaadaardige software: publiq vzw voert anti-malwarecontroles uit om te helpen voorkomen dat kwaadaardige software ongeautoriseerde toegang tot klantengegevens krijgt.

• Logging van toegangen: publiq vzw voorziet een continue logging op de server van alle toegangen tot haar systemen die persoonsgegevens bevatten met inbegrip van welke gebruiker, de tijd en activiteit.
  
  

COMMUNICATIE

• Versleuteling van verbindingen: publiq vzw maakt gebruikt van beveiligde verbindingen voor de toegang tot haar gegevens in het datacenter. Alle data die verzonden wordt over publieke netwerken gebeurt dan ook aan de hand van encryptie mechanismen zoals https en waar mogelijk / opportuun VPN.

• Two-factor authenticatie: publiq vzw maakt gebruik van een combinatie van gebruikers/wachtwoord en een dynamisch token via sms. Wachtwoorden dienen steeds aan minimale voorwaarden (lengte, samenstelling types karakters, …) te voldoen.

INFORMATIESYSTEMEN

• Controle over systeemupdates en evoluties: publiq vzw heeft een formeel wijzigingsbeheerproces geïmplementeerd om ervoor te zorgen dat wijzigingen in operationele systemen en toepassingen plaatsvinden op een gecontroleerde wijze.

• Beveiligingsvereisten: De vereisten voor de bescherming van gegevens en systemen worden geanalyseerd en gespecificeerd in samenwerking met IT-leveranciers.

• Incident response: publiq vzw houdt een register van beveiligingsinbreuken bij met een beschrijving van de inbreuk, het tijdstip, de gevolgen van de inbreuk, de naam van de melder en van degene aan wie de inbreuk werd gemeld. Er is een uitgewerkte procedure inzake incident response en bijhorende interne en externe communicatie.

Van elke verwerker en subverwerker worden minimaal gelijkwaardige maatregelen verwacht.

In het bijzonder zullen verwerkers en subverwerkers:

• waarborgen dat de personen die gemachtigd zijn tot het verwerken van de persoonsgegevens zich ertoe hebben verbonden vertrouwelijkheid in acht te nemen of door een passende wettelijke verplichting van vertrouwelijkheid zijn gebonden, onder andere door ondertekening van de "verklaring op eer"

• de passende technische en organisatorische maatregelen treffen om een op het risico afgestemd beveiligingsniveau te waarborgen, rekening houdend met in het bijzonder de verwerkingsrisico's als gevolg van de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens, en te verzekeren dat iedere natuurlijke persoon die handelt onder het gezag van de Gebruiker en toegang heeft tot persoonsgegevens, deze slechts in opdracht van publiq verwerkt, tenzij hij of zij daartoe door het Unierecht of nationaal recht is gehouden.