Inhoud
Bijlage 1: Overzicht met verwerkingen van persoonsgegevens en verwerkingsdoelen
Bijlage 2: Overzicht met beveiligingsmaatregelen
Bijlage 3: Proces bij het melden van datalekken en de te verstrekken informatie.
Verwerkersovereenkomst
Deze verwerkersovereenkomst is van toepassing op alle vormen van verwerking van persoonsgegevens die Bpal, ingeschreven bij de Kamer van Koophandel onder nummer 71319581, hierna te noemen ‘gegevensverwerker’, uitvoert ten behoeve van een wederpartij aan wie zij diensten levert, hierna te noemen ‘gegevensverantwoordelijke’, en maakt, evenals de algemene voorwaarden, integraal onderdeel uit van iedere overeenkomst tussen Bpal en haar wederpartij. Gegevensverwerker en gegevensverantwoordelijke worden hierna gezamenlijk aangeduid als ‘partijen’.
Overwegende dat:
Partijen een overeenkomst met betrekking tot het leveren van digitale diensten gesloten hebben. Ter uitvoering van deze overeenkomst worden persoonsgegevens verwerkt.
Gegevensverantwoordelijke hecht grote waarde aan het beschermen van persoonsgegevens, reden waarom in deze verwerkersbijeenkomst een aantal afspraken daaromtrent is vastgelegd.
De hierna en hiervoor gebruikte begrippen volgen uit de Algemene Verordening Gegevensbescherming en hebben de volgende betekenis:
1.1. Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (‘de betrokkene’).
Als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.
1.2. Verwerking: een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde processen, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.
1.3. Verwerkingsverantwoordelijke: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt. Wanneer de doelstellingen van en de middelen voor deze verwerking in het Europese unierecht of lidstatelijke recht worden vastgesteld, kan daarin worden bepaald wie de verwerkingsverantwoordelijke is of volgens welke criteria deze wordt aangewezen (‘verantwoordelijke’).
1.4. Verwerker: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt (‘verwerker’).
1.5. Betrokkene: geïdentificeerde of identificeerbaar natuurlijk persoon op wie de verwerkte persoonsgegeven betrekking hebben.
1.6. Verwerkersovereenkomst: deze overeenkomst inclusief de bijlagen (‘verwerkersovereenkomst’).
1.7. Overeenkomst: de hoofdovereenkomst waaruit deze verwerkersovereenkomst voortvloeit.
1.8. Inbreuk in verband met persoonsgegevens: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens (‘datalek’).
1.9. Gegevensbescherming effectbeoordeling: het uitvoeren van een beoordeling, voorafgaand aan het uitvoeren van de verwerking, van het effect van de beoogde verwerkingsactiviteiten op de bescherming van de persoonsgegevens.
1.10. Toezichthoudende autoriteit: een onafhankelijke overheidsinstantie verantwoordelijk voor het toezicht op de naleving van de wet in verband met de verwerking van Persoonsgegevens, i.c. de Autoriteit Persoonsgegevens.
2.1. Deze verwerkersovereenkomst treedt in werking op de datum waarop deze ondertekend is.
2.2. Deze verwerkersovereenkomst is integraal onderdeel van de (licentie)overeenkomst met de klant en zal gelden voor zolang de overeenkomst duurt.
2.3. Indien de overeenkomst eindigt, eindigt deze verwerkersovereenkomst automatisch. De verwerkersovereenkomst kan niet apart worden opgezegd.
2.4. Na beëindiging van deze verwerkersovereenkomst zullen de lopende verplichtingen voor gegevensverwerker, zoals het melden van datalekken waarbij de persoonsgegevens van gegevensverantwoordelijke betrokken zijn, en de plicht tot geheimhouding, blijven voortduren.
3.1. Gegevensverwerker zal alleen persoonsgegevens verwerken in opdracht van gegevensverantwoordelijke en heeft geen zeggenschap over de persoonsgegevens. Gegevensverwerker volgt de instructies van gegevensverantwoordelijke hierover op en zal de persoonsgegevens niet op een andere manier verwerken, tenzij gegevensverantwoordelijke daar vooraf toestemming of opdracht voor geeft.
3.2. In Bijlage 1 is opgenomen welke persoonsgegevens gegevensverwerker zal verwerken en voor welke verwerkingsdoeleinden.
3.3. Gegevensverwerker houdt zich aan de wet en verwerkt de gegevens op een behoorlijke, zorgvuldige en transparante wijze.
3.4. Gegevensverwerker zal zonder voorafgaande schriftelijke toestemming geen andere personen of organisaties inschakelen bij het verwerken van de persoonsgegevens van gegevensverantwoordelijke, tenzij dit voor de opdracht noodzakelijk is, zoals bijvoorbeeld ten behoeve van hosting, beheer, onderhoud en monitoring.
3.5. Wanneer gegevensverwerker met toestemming andere organisaties inschakelt, moeten deze voldoen aan de eisen die zijn opgenomen in deze verwerkersovereenkomst.
3.6. Wanneer gegevensverantwoordelijke een verzoek krijgt van een betrokkene die zijn of haar privacy-rechten wil uitoefenen, werkt gegevensverwerker daaraan mee. Deze rechten bestaan uit een verzoek om inzage, verbetering, aanvulling, verwijdering of afscherming, bezwaar maken tegen de verwerking van de persoonsgegevens en een verzoek tot overdraagbaarheid van de eigen persoonsgegevens.
3.7. Wanneer gegevensverantwoordelijke verzoekt om informatie, dan zal gegevensverwerker de informatie verstrekken die nodig is voor het uitvoeren van een gegevensbescherming effectbeoordeling. Dit kan nodig zijn om in te schatten wat het risico van de verwerking is die gegevensverwerker namens gegevensverantwoordelijke uitvoert.
4 Beveiligen van persoonsgegevens
4.1. Gegevensverwerker zorgt ervoor dat de persoonsgegevens voldoende beveiligd zijn. Om verlies en onrechtmatige verwerkingen te voorkomen neemt gegevensverwerker passende technische en organisatorische maatregelen.
4.2. Deze maatregelen zijn afgestemd op het risico van de verwerking. Een overzicht van deze maatregelen en het beleid daarover staat in Bijlage genummerd 2.
4.3. Gegevensverantwoordelijke kan verzoeken om een rapportage waarin de genomen beveiligingsmaatregelen staan en de eventueel mogelijke aandachts- en/of verbeterpunten. De kosten hiervan komen voor rekening van gegevensverantwoordelijke.
4.4. Gegevensverantwoordelijke mag een inspectie of audit in de organisatie van gegevensverwerker laten uitvoeren om te bepalen of het verwerken van de persoonsgegevens aan de wet en de afspraken uit deze verwerkersovereenkomst voldoet. Hieraan zal gegevensverwerker medewerking verlenen, waaronder het toegang verlenen tot gebouwen en databases en het ter beschikking stellen van alle relevante informatie, voor zover dit naar redelijkheid en billijkheid passend is en niet de rechten van anderen schaadt.
4.5. Wanneer een van partijen vindt dat een wijziging in de te nemen beveiligingsmaatregelen noodzakelijk is, treden partijen in overleg over de wijziging daarvan.
5.1. Gegevensverwerker zal geen persoonsgegevens laten verwerken door andere personen of organisaties buiten de Europese Economische Ruimte (EER), zonder daarvoor voorafgaande schriftelijke toestemming te hebben verkregen van gegevensverantwoordelijke, tenzij dit voor de werkzaamheden noodzakelijk is.
6.1. Gegevensverwerker zal de aan hem verstrekte persoonsgegevens geheim houden, tenzij dit op basis van een wettelijke verplichting niet mogelijk is.
6.2. Gegevensverwerker zal ervoor zorgen dat ook zijn personeel en ingeschakelde hulppersonen zich aan deze geheimhouding houden, door een geheimhoudingsplicht in de (arbeids)contracten op te nemen.
7.1. In geval van een ontdekking van een mogelijk datalek zal gegevensverwerker hierover gegevensverantwoordelijke informeren binnen 24 uur en de informatie verstrekken die is aangegeven in Bijlage 3, zodat gegevensverantwoordelijke indien nodig een melding bij de toezichthouder kan doen.
7.2. Na de melding van een datalek zullen partijen elkaar op de hoogte houden van nieuwe ontwikkelingen rond het datalek en de maatregelen die worden getroffen om de omvang ervan te beperken en te beëindigen en een soortgelijk incident in de toekomst te trachten voorkomen.
7.3. Gegevensverwerker doet zelf geen melding van een datalek aan de toezichthouder en/of de betrokkenen, wat een verantwoordelijkheid is van gegevensverantwoordelijke.
7.4. Eventuele kosten die gemaakt worden om een datalek op te lossen en in de toekomst te kunnen voorkomen, komen voor rekening van gegevensverantwoordelijke.
8.1. Als een der partijen zich niet houdt aan bepalingen in deze verwerkersovereenkomst, dan kan de andere partij deze partij daarvoor aansprakelijk stellen.
8.2. Gevolgschades of boetes zijn niet verhaalbaar op gegevensverwerker.
8.3. Partijen zijn niet aansprakelijk voor aanspraken van betrokkenen of andere personen en organisaties wanneer er sprake is van overmacht.
9.1. Na het beëindigen van deze verwerkersovereenkomst geeft gegevensverwerker de persoonsgegevens terug, waarbij achterblijvende persoonsgegevens op een zorgvuldige en veilige manier vernietigd zullen worden.
9.2. De persoonsgegevens die worden verwerkt volgens deze verwerkersovereenkomst, zullen vernietigd worden na het verstrijken van de wettelijke bewaartermijn en/of op verzoek van gegevensverantwoordelijke. Een wettelijke bewaartermijn is er bijvoorbeeld wanneer gegevensverwerker de persoonsgegevens moet bewaren om belastingtechnische redenen.
10.1 Deze verwerkersovereenkomst is onderdeel van de aangegane (licentie)overeenkomst. Alle rechten en verplichtingen uit de overeenkomst zijn daarom ook van toepassing op de verwerkersovereenkomst.
10.2. Bij eventuele tegenstrijdigheden tussen de bepalingen in de verwerkersovereenkomst en de overeenkomst gelden de bepalingen uit deze verwerkersovereenkomst.
10.3. Afwijkingen van deze verwerkersovereenkomst zijn slechts geldig wanneer partijen dit samen schriftelijk afspreken.
10.4. Op deze verwerkersovereenkomst en de werkzaamheden is het Nederlandse recht van toepassing.
Nunspeet, maart 2018
Bijlage 1: Overzicht verwerkingen persoonsgegevens en verwerkingsdoelen
Beschrijving verwerkingsactiviteiten door verwerker
Verwerkingsdoelen
Verwerkingsverantwoordelijke
Verwerkte Persoonsgegevens
Locatie verwerkingen
Bewaartermijn
Bijlage 2: Overzicht met beveiligingsmaatregelen
Technische beveiligingsmaatregelen
Organisatorische beveiligingsmaatregelen
Bijlage 3: Proces van melden van datalekken en de te verstrekken informatie
Een datalek is een beveiligingsincident waarbij persoonsgegevens mogelijk verloren zijn gegaan of onbedoeld toegankelijk waren voor derden. Het gaat om gegevens die te koppelen zijn aan deze personen, zoals, maar niet beperkt tot, namen, adressen, telefoonnummers, e-mailadressen, login gegevens, cookies, IP-adressen of identificerende gegevens van computers of telefoons.
Waar wordt een beveiligingsincident gemeld?
Als Bpal een beveiligingsincident ontdekt, wordt direct contact opgenomen met de betrokken functionaris van de opdrachtgever.
Zoveel als mogelijk is, zal de navolgende informatie worden gemeld, ook ten behoeve van de Autoriteit Persoonsgegevens: