Verwerkersovereenkomst

Scroll here

Omdat we de persoonsgegevens kunnen inzien van klanten, leden of partners van onze opdrachtgevers is een verwerkersovereenkomst tussen ons en onze opdrachtgever noodzakelijk, waarin wij verklaren niets anders met de persoonsgegevens te doen buiten hetgeen onze opdrachtgever ons verzoekt te doen.

Deze verwerkersovereenkomst is opgesteld tussen de persoonsgegevens verantwoordelijke, hierna te noemen: ‘Opdrachtgever’, en de verwerker, te weten Geregeld door Sjors, vertegenwoordigd door Georges Hilaul hierna te noemen: ‘Sjors’, gezamenlijk aan te duiden als: ‘Wij’; Overwegende dat:

Wij hebben een overeenkomst gesloten met betrekking tot het inzien, verwerken en eventueel aanpassen van de persoonsgegevens van websitebezoekers, klanten, leden of leveranciers van de Opdrachtgever, waar Sjors als Personal Manager te allen tijde toegang toe heeft. Ter uitvoering van onze Overeenkomst worden Persoonsgegevens verwerkt.

Zowel de Opdrachtgever als Sjors hecht grote waarde aan het beschermen van deze Persoonsgegevens. De Opdrachtgever is verantwoordelijk voor de gegevens die Sjors gaat verwerken en daarom leggen Wij in deze Verwerkersovereenkomst en de daarbij behorende bijlagen de volgende zaken vast, zodat duidelijk is wat Sjors wel en niet mag doen met de Persoonsgegevens:

  1. Overzicht met verwerkingen van persoonsgegevens en verwerkingsdoelen
  2. Overzicht met beveiligingsmaatregelen
  3. Proces rondom het melden van Datalekken en de te verstrekken informatie

 

1. Definities

De hierna en hiervoor gebruikte begrippen volgen uit de Algemene Verordening Gegevensbescherming en hebben de volgende betekenis:

1.1  Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (‘de betrokkene’); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.

1.2  Verwerking: een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens;

1.3 Verwerkingsverantwoordelijke: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt; wanneer de doelstellingen van en de middelen voor deze verwerking in het Unierecht of het lidstatelijke recht worden vastgesteld, kan daarin worden bepaald wie de verwerkingsverantwoordelijke is of volgens welke criteria deze wordt aangewezen (“Verantwoordelijke”);

1.4 Verwerker: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt (“Verwerker ”);

1.5  Betrokkene: geïdentificeerde of identificeerbaar natuurlijk persoon op wie de verwerkte persoonsgegeven betrekking hebben;

1.6  Verwerkersovereenkomst: deze overeenkomst inclusief de bijlagen (“Verwerkersovereenkomst”);

1.7  Overeenkomst: de hoofdovereenkomst waar deze Verwerkersovereenkomst uit voortvloeit;

1.8  Inbreuk in verband met persoonsgegevens: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens (“Datalek”);

1.9  Gegevensbeschermingseffectbeoordeling: het uitvoeren van een beoordeling, voorafgaand aan het uitvoeren van de verwerking, van het effect van de beoogde verwerkingsactiviteiten op de bescherming van de persoonsgegevens.

1.10 Toezichthoudende autoriteit: een onafhankelijke overheidsinstantie verantwoordelijk voor het toezicht op de naleving van de wet in verband met de verwerking van Persoonsgegevens. In Nederland is dit de Autoriteit Persoonsgegevens;

2. Totstandkoming, duur en beëindiging van deze Verwerkersovereenkomst

2.1  Deze Verwerkersovereenkomst treedt in werking op de datum waarop Wij deze ondertekenen.

2.2  Deze Verwerkersovereenkomst is onderdeel van de Overeenkomst en zal gelden voor zolang de Overeenkomst duurt.

2.3  Indien de Overeenkomst eindigt, eindigt deze Verwerkersovereenkomst automatisch; de Verwerkersovereenkomst kan niet apart worden opgezegd.

2.4  Na beëindiging van deze Verwerkersovereenkomst zullen de lopende verplichtingen voor Sjors, zoals het melden van Datalekken, waarbij de Persoonsgegevens van de Opdrachtgever betrokken zijn, en de plicht tot geheimhouding blijven voortduren.

3. Verwerken Persoonsgegevens

3.1 Sjors zal alleen Persoonsgegevens verwerken in opdracht van de Opdrachtgever en heeft zelf geen zeggenschap over de Persoonsgegevens. Sjors volgt de instructies van de Opdrachtgever hierover op en mag de Persoonsgegevens niet op een andere manier verwerken, tenzij de Opdrachtgever daar vooraf toestemming of opdracht voor geeft.

3.2 In een nader samen te stellen document wordt opgenomen welke Persoonsgegevens Sjors precies zal verwerken en voor welke verwerkingsdoeleinden.

3.3 Sjors houdt zich aan de wet en verwerkt de gegevens op een behoorlijke, zorgvuldige en transparante wijze.

3.4 Sjors mag zonder voorafgaande schriftelijke toestemming van de Opdrachtgever geen andere personen of organisaties inschakelen bij het verwerken van de Persoonsgegevens.

3.5 Wanneer Sjors met toestemming van de Opdrachtgever andere organisaties inschakelt, moeten zij minimaal voldoen aan de eisen die zijn opgenomen in deze Verwerkersovereenkomst.

3.6 Wanneer de Opdrachtgever een verzoek krijg van een Betrokkene die zijn of haar privacy rechten wil uitoefenen, werkt Sjors daar binnen een termijn van 14 dagen aan mee. Deze rechten bestaan uit een verzoek om inzage, verbetering, aanvulling, verwijdering of afscherming, bezwaar maken tegen de verwerking van de persoonsgegevens en een verzoek tot overdraagbaarheid van de eigen Persoonsgegevens.

3.7 Wanneer de Opdrachtgever aan Sjors verzoekt om bepaalde informatie te geven, dan zal Sjors de informatie verstrekken die de Opdrachtgever nodig heeft voor het uitvoeren van een Gegevensbeschermingseffect-beoordeling. De Opdrachtgever heeft dit nodig om in te kunnen schatten wat het risico van de Verwerking is die Sjors namens de Opdrachtgever uitvoert.

4. Beveiligen van Persoonsgegevens

4.1 Sjors zorgt ervoor dat de Persoonsgegevens die aangeleverd worden door de Opdrachtgever voldoende worden beveiligd. Om verlies en onrechtmatige verwerkingen te voorkomen neemt Sjors passende technische en organisatorische maatregelen.

4.2 Deze maatregelen zijn afgestemd op het risico van de verwerking. Een overzicht van deze maatregelen en het beleid daarover is op aanvraag verkrijgbaar.

4.3  Ter controle zal Sjors aan de Opdrachtgever op verzoek een rapportage sturen waarin de genomen beveiligingsmaatregelen staan en de eventuele aandachts- en/of verbeterpunten. Hiervoor zal Sjors aan de Opdrachtgever geen kosten in rekening brengen.

4.4  De Opdrachtgever mag een inspectie of audit bij Sjors laten uitvoeren om te bepalen of het verwerken van de Persoonsgegevens aan de wet en de afspraken uit deze Verwerkersovereenkomst voldoet. Hierbij zal Sjors te allen tijde medewerking verlenen, waaronder het toegang verlenen tot gebouwen en databases en het ter beschikking stellen van alle relevante informatie.

4.5  De kosten voor de uitvoering van deze audit zullen voor de rekening van Sjors komen wanneer blijkt dat Sjors zich niet aan de verplichtingen in deze Verwerkersovereenkomst houdt.

4.6  De controle op de algehele verwerking van Persoonsgegevens door Sjors kan, naast de audit mogelijkheid, ook gebeuren via zelfevaluatie. Sjors zal op verzoek aan de Opdrachtgever een rapport verstrekken waarin wordt aantoont dat Sjors voldoet aan de wet en de afspraken uit deze Verwerkersovereenkomst.

4.7  Wanneer een van ons vindt dat een wijziging in de te nemen beveiligingsmaatregelen noodzakelijk is, treden Wij in overleg over de wijziging daarvan. De kosten voor het wijzigen van de beveiligingsmaatregelen komen voor de rekening van degene die de kosten maakt.

5. Exporteren Persoonsgegevens

5.1 Sjors zal geen Persoonsgegevens laten verwerken door andere personen of organisaties buiten de Europese Economische Ruimte (EER), zonder daarvoor voorafgaande schriftelijke toestemming te hebben verkregen van de Opdrachtgever.

6. Geheimhouding

6.1  Sjors zal de verstrekte Persoonsgegevens geheim houden, tenzij dit op basis van een wettelijke verplichting niet mogelijk is.

6.2  Sjors zal ervoor zorgen dat ook betrokken personeel en ingeschakelde hulppersonen zich aan deze geheimhouding houden, door een geheimhoudingsplicht in de (arbeids-) contracten op te nemen.

7. Datalekken

7.1 In geval van een ontdekking van een mogelijk Datalek zal Sjors de Opdrachtgever hierover informeren binnen 24 uur via rechtstreekse contactgegevens zoals deze zijn opgenomen in de Overeenkomst, en daarbij de noodzakelijke informatie verstrekken zodat de Opdrachtgever, indien nodig, een melding bij de Toezichthouder kan doen.

7.2 Na de melding van een Datalek aan de Opdrachtgever, zal Sjors de Opdrachtgever op de hoogte houden van nieuwe ontwikkelingen rondom het Datalek en de maatregelen die zijn getroffen om de omvang van het Datalek te beperken en te beëindigen en een soortgelijk incident in de toekomst te kunnen voorkomen.

7.3 Het niet toegestaan dat Sjors een melding van een Datalek doet aan de Toezichthouder en zal Sjors ook de Betrokkenen niet informeren over het Datalek. Dit is verantwoordelijkheid van de Opdrachtgever.

7.4 Eventuele kosten die gemaakt worden om het Datalek op te lossen en in de toekomst te kunnen voorkomen, komen voor rekening van degene die de kosten maakt.

8. Aansprakelijkheid

8.1 Degene die de verplichtingen uit deze Verwerkersovereenkomst niet nakomt, zal daarvoor aansprakelijk worden gesteld.

8.2 Degene die de wet en de bepalingen uit deze Verwerkersovereenkomst niet nakomt is aansprakelijk voor alle geleden schade. Sjors is enkel aansprakelijk voor de geleden schade voor zover deze is ontstaan door de werkzaamheden die voor en/of door Sjors zijn uitgevoerd.

8.3 Sjors is enkel aansprakelijk voor de aan de Opdrachtgever opgelegde bestuurlijke boete door de Toezichthouder als de geleden schade het gevolg is van onrechtmatig of nalatig handelen van Sjors.

8.5 De Opdrachtgever is niet aansprakelijk voor aanspraken van Betrokkenen of andere personen en organisaties waar Sjors de samenwerking mee is aangegaan of waarvan Sjors Persoonsgegevens verwerkt, wanneer dit het gevolg is van onrechtmatig of nalatig handelen.

9. Teruggave Persoonsgegevens en bewaartermijn

9.1  Na het beëindigen van deze Verwerkersovereenkomst geeft Sjors de Persoonsgegevens terug aan de Opdrachtgever. Eventuele achter gebleven Persoonsgegevens zal Sjors op een zorgvuldige en veilige manier vernietigen.

9.2  De Persoonsgegevens die Sjors verwerkt volgens deze Verwerkersovereenkomst zullen vernietigd worden na verstrijken van de wettelijke bewaartermijn en/of op verzoek van de Opdrachtgever. Een wettelijke bewaartermijn is er bijvoorbeeld wanneer Sjors de Persoonsgegevens moet bewaren om belastingtechnische redenen.

9.3  Sjors zal na de teruggave en/of vernietiging van de Persoonsgegevens schriftelijk aan de Opdrachtgever verklaren dat de Persoonsgegevens niet langer in bezit zijn.

10. Slotbepalingen

10.1 Deze Verwerkersovereenkomst is onderdeel van de Overeenkomst. Alle rechten en verplichtingen uit de Overeenkomst zijn daarom ook van toepassing op de Verwerkersovereenkomst.

10.2 Bij eventuele tegenstrijdigheden tussen de bepalingen in de Verwerkersovereenkomst en de Overeenkomst, gelden de bepalingen uit deze Verwerkersovereenkomst.

10.3 Afwijkingen van deze Verwerkersovereenkomst zijn slechts geldig wanneer Wij dit samen schriftelijk afspreken.

10.4 Op deze Verwerkersovereenkomst en alle uit te voeren werkzaamheden is het Nederlandse recht van toepassing.

10.5 Over eventuele geschillen tussen ons bepaald de rechter in de rechtbank binnen het gebied waar het bedrijf van de Opdrachtgever gevestigd is.

Bijlage 1: Overzicht met verwerkingen van persoonsgegevens en verwerkingsdoelen

Beschrijving verwerkingsactiviteiten door Verwerker:

Sjors voert voor de Opdrachtgever werkzaamheden uit als Personal Manager waarbij Sjors toegang krijgt tot het inzien, verwerken en eventueel aanpassen van de persoonsgegevens van websitebezoekers, klanten, leden of leveranciers van de Opdrachtgever.

Verwerkingsdoelen:

Sjors heeft toegang tot het inzien, verwerken en eventueel aanpassen van de persoonsgegevens van websitebezoekers, klanten, leden of leveranciers van de Opdrachtgever om de werkzaamheden, zoals deze zijn overeengekomen in de Overeenkomst, uit te kunnen voeren.

Verwerkingsverantwoordelijke:

De Opdrachtgever

Verwerker:

Georges Hilaul; oprichter en uitvoerder bij Geregeld door Sjors, statutair gevestigd te Rotterdam.

Sub verwerkers:

Sjors heeft de mogelijkheid externe partijen in te schakelen voor het uitvoeren van de werkzaamheden die worden uitgevoerd voor de Opdrachtgever als zijnde Personal Manager. Hier dient de Opdrachtgever echter te allen tijde van op de hoogte te zijn en heeft de Opdrachtgever het recht hier bezwaar tegen te maken dan wel te verbieden.

Verwerkte Persoonsgegevens:

Het betreft persoonsgegevens van websitebezoekers, klanten, leden of leveranciers van de Opdrachtgever. Dit kunnen NAW gegevens zijn, directe contactgegevens en overige relevante informatie waarbij de Opdrachtgever het nodig acht Sjors hier toegang toe te verlenen.

Locatie verwerkingen:

Het verwerken van deze gegevens gebeurd vanaf een beveiligde server van de Opdrachtgever of partijen waar de Opdrachtgever mee samenwerkt. Sjors kan vanaf iedere locatie inloggen en deze gegevens inzien dan wel raadplegen, waarbij Sjors zorgdraagt beveiligde VPN verbinding. Indien bepaalde documenten in persoonlijke computers of externe opslag hardware worden opgeslagen dienen deze beveiligd te zijn.

Bewaartermijn:

Zie overeenkomst Bepaling 9.

Bijlage 2: Overzicht met beveiligingsmaatregelen

Dit is een overzicht van de beveiligingsnormen die Sjors verklaart aan de Opdrachtgever. Om vast te stellen wat passende beveiligingsmaatregelen zijn is er een afweging gemaakt op basis van de risico’s van de verwerking aan de hand van onder meer de volgende punten:

  1. Het soort persoonsgegevens dat verwerkt wordt (normaal, bijzonder of gevoelig) en eventueel de daarbij behorende (risico)classificatie die de organisatie zelf aan de gegevens heeft gegeven.
  2. De hoeveelheid betrokkenen van wie gegevens worden verwerkt.
  3. Het doel waarvoor gegevens worden verwerkt.
  4. De duur en de wijze waarop gegevens bewaard moeten worden. Hierbij is onderscheid gemaakt tussen organisatorische beveiligingseisen, zoals het voorkomen van diefstal van een laptop met daarop persoonsgegevens uit de auto, en technische beveiligingseisen, zoals een uitgebreide IT omgeving die beveiligd wordt tegen virussen en waar encryptie van de gegevens wordt toegepast.

De Opdrachtgever mag van Sjors verwachten dat de volgende technische beveiligingsmaatregelen in acht worden genomen:

  • Up to date virusscan
  • Beveiligde USB-sticks
  • Accurate beveiliging medewerkerstelefoon
  • Bitlocker toegangsmechanisme
  • Unieke inlogcode en wachtwoord (regelmatig aanpassen)
  • Versleutelde email
  • Geen onbeveiligde externe harde schijven
  • Geen onbeveiligde back-ups maken
  • Geen documenten op privé laptop op slaan

De Opdrachtgever mag van Sjors verwachten dat de volgende organisatorische beveiligingsmaatregelen in acht worden genomen:

  • Clean desk policy
  • Laptop niet onbemand achterlaten
  • Laptop nooit achterlaten in de auto
  • Privacy screens van eventuele medewerkers
  • Oude documenten op juiste manier vernietigen
  • Zorgvuldig gebruikt van USB-sticks
Bijlage 3: Proces rondom het melden van Datalekken en de te verstrekken informatie

Wat is een beveiligingsincident en wanneer moet dit gemeld worden?

Een datalek is een beveiligingsincident waarbij Persoonsgegevens, die de Verwerker namens de Verwerkingsverantwoordelijke beheert, mogelijk verloren zijn gegaan of onbedoeld toegankelijk waren voor derden. Het gaat om gegevens die te koppelen zijn aan deze personen, zoals, maar niet beperkt tot, namen, adressen, telefoonnummers, e-mailadressen, log in gegevens, cookies, IP adressen of identificerende gegevens van computers of telefoons.

Hieronder worden een aantal voorbeelden gegeven van beveiligingsincidenten die moeten worden gemeld bij de Autoriteit Persoonsgegevens.

  • De website met logingegevens is gehackt of is toegankelijk voor derden.
  • Verlies van een laptop of USB-stick met persoonsgegevens.
  • Brieven of e-mails worden naar een verkeerd adres gestuurd.
  • Een aanval van een hacker op het ICT systeem.
  • Een verloren of gestolen telefoon waar persoonsgegevens op aanwezig zijn.

Wat te doen bij twijfel?

Als je op basis van bovenstaande niet zeker weet of er sprake is van een beveiligingsincident, stel je jezelf in ieder geval alvast de volgende vragen als hulpmiddel:

  • Is er een technisch of fysiek beveiligingsprobleem?
  • Gaat het probleem over de beveiliging van Persoonsgegevens? Ook IP-adressen, telefoonnummers of identificerende gegevens, bijvoorbeeld van hardware, kunnen hieronder vallen.
  • Gaat het om gevoelige gegevens zoals ras, gezondheidsgegevens, informatie over iemands financiële situatie, zoals salaris of gegevens waar (identiteits)fraude mee kan worden gepleegd, zoals een Burgerservicenummer.
  • Zijn er grote hoeveelheden persoonsgegevens onbedoeld toegankelijk geworden voor derden?
  • Gaat het om gegevens van kwetsbare groepen zoals kinderen?
  • Worden de persoonsgegevens beheerd door een leverancier?

Bij twijfel zal Sjors direct contact opnemen met de Opdrachtgever middels de rechtstreekse contactgegevens zoals deze zijn opgenomen in de Overeenkomst

Wanneer een beveiligingsincident is ontdekt, neemt Sjors contact op de Opdrachtgever én zal er een e-mail worden verzonden waarin de hierna genoemde vragen door Sjors worden beantwoord. Deze vragen zijn gelijk aan de informatie die aan de Autoriteit Persoonsgegevens moet worden verstrekt.

  1. Geef een samenvatting van het beveiligingslek / beveiligingsincident / datalek: wat is er gebeurd? Vermeld hier ook de naam van het betrokken systeem. 
 
  2. Welke typen persoonsgegevens zijn betrokken bij het beveiligingsincident? Zoals, maar niet beperkt tot, naam, adres, e-mailadres, IP-nummer, Burgerservicenummer, pasfoto en ieder ander tot een persoon te herleiden gegeven.
  3. Van hoeveel personen zijn de persoonsgegevens betrokken bij het beveiligingsincident? Geef a.u.b. een minimum en maximum aantal personen.
  4. Omschrijving groep personen om wiens gegevens het gaat. Geef aan of het gaat om medewerkersgegevens, gegevens van internetgebruikers. Bijzondere aandacht verdienen gegevens van een kwetsbare groepen personen, zoals kinderen.
  5. Zijn de contactgegevens van de betrokken personen bekend? Het kan zijn dat betrokkenen geïnformeerd moeten worden over het datalek, kunnen we deze personen in dat geval bereiken?
  6. Wat is de oorzaak (root cause) van het beveiligingsincident? Heb je een idee hoe het beveiligingsincident heeft kunnen ontstaan?
  7. Op welke datum of in welke periode heeft het beveiligingsincident plaats kunnen vinden? Geef dit a.u.b. zo specifiek mogelijk aan.
Ondertekening Verwerkersovereenkomst

Benieuwd waar ik bovenstaande gegevens voor nodig heb en wat ik ermee ga doen? Klik dan hier voor mijn Privacyverklaring!

WhatsApp chat