Verwerkersovereenkomst

Bijzondere voorwaarden bescherming persoonsgegevens KMO Solutions

 

1. Algemeen

1.1 Deze bijzondere voorwaarden bescherming persoonsgegevens (hierna: “Bijzondere Voorwaarden”) maken onlosmakelijk deel uit van de Algemene Voorwaarden KMO Solutions en daarmee van de tussen Partijen gesloten Overeenkomst. De Algemene bepalingen van de Algemene Voorwaarden zijn onverkort van toepassing op deze Bijzondere Voorwaarden, waarbij in geval van tegenstrijdigheid tussen een bepaling in deze Bijzondere Voorwaarden en een bepaling in de Algemene Bepalingen, de bepaling in deze Bijzondere Voorwaarden prevaleert ten aanzien van de verwerking van Persoonsgegevens zoals bedoeld in deze Bijzondere Voorwaarden.

1.2 Indien en voor zover de opdracht onder de Overeenkomst het verwerken van Persoonsgegevens door Verwerker ten behoeve van Verwerkingsverantwoordelijke omvat, zonder aan diens rechtstreekse gezag te zijn onderworpen en Verwerkingsverantwoordelijke het doel en de (essentiële) middelen van de verwerking vaststelt, met dien verstande dat details van de middelen door Verwerker kunnen worden bepaald gezien diens deskundigheid ter zake, is het bepaalde in deze Bijzondere Voorwaarden daarop van toepassing.

1.3 In deze Bijzondere Voorwaarden worden naast de begrippen (in kleine letter geschreven) zoals gehanteerd in de geldende toepasselijke wetgeving ter bescherming van persoonsgegevens (betrokkene, verwerken, etc.), de volgende begrippen (met hoofdletter geschreven) gehanteerd, met de volgende betekenis ongeacht of deze in meervoud of enkelvoud worden gebruikt:

1.3.1 Inbreuk(en): inbreuk(en) op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte Persoonsgegevens;

1.3.2 Persoonsgegevens: de persoonsgegevens zoals bedoeld in de zin van de Toepasselijke Privacy Wetgeving die door Verwerker ten behoeve van de doeleinden van de Verwerkingsverantwoordelijke onder de Overeenkomst worden verwerkt;

1.3.3 Toepasselijke Privacy Wetgeving: de toepasselijke geldende wet- en regelgeving ter bescherming van persoonsgegevens, waaronder de Algemene Verordening Gegevensbescherming (de “AVG”) en bijbehorende Uitvoeringswet (de “UAVG”).

2. Uitvoering verwerking

2.1 Verwerker verwerkt de Persoonsgegevens onder de verantwoordelijkheid van Verwerkingsverantwoordelijke op basis van diens schriftelijke instructies, waaronder begrepen de opdracht zoals verwoord in de Overeenkomst, de instructies in deze Bijzondere Voorwaarden en eventuele nadere schriftelijk overeengekomen instructies. Verwerkingsverantwoordelijke draagt ervoor zorg dat diens instructies in overeenstemming zijn met de Toepasselijke Privacy Wetgeving.

2.2 Verwerker verwerkt de Persoonsgegevens op behoorlijke en zorgvuldige wijze. De verwerking heeft betrekking op de door Verwerkingsverantwoordelijke gestelde en gespecificeerde verwerkingsdoel(en), de categorieën Persoonsgegevens en betrokkenen en de door Verwerker gespecificeerde verwerkingshandelingen, zoals opgenomen in Bijlage A Bij De Overeenkomst. Verwerkingsverantwoordelijke is verantwoordelijk voor het juist en volledig aanleveren van Persoonsgegevens. Verwerkingsverantwoordelijke is tevens gehouden verwerkte Persoonsgegevens op juistheid en volledigheid te controleren.

2.3 Verwerkingsverantwoordelijke staat er jegens Verwerker voor in dat de opgedragen verwerking niet onrechtmatig is en geen inbreuk maakt op rechten van betrokkenen en dat de Persoonsgegevens zijn verkregen op een wijze die overeenstemt met de geldende wettelijke voorschriften, in het bijzonder die voortvloeien uit de Toepasselijke Privacy Wetgeving.

2.4 Verwerker zal geen Persoonsgegevens opslaan in of doorgeven aan landen zonder passende bescherming van persoonsgegevens zonder voorafgaande schriftelijke toestemming van Verwerkingsverantwoordelijke. Verwerker zal Verwerkingsverantwoordelijke op diens eerste verzoek informeren over de plaats(en) van opslag.

2.5 Verwerker zal, indien dit redelijkerwijs binnen zijn invloedsfeer ligt en rekening houdende met de aard van de verwerking, door middel van passende technische en organisatorische maatregelen, voor zover mogelijk, haar bijstand verlenen aan de Verwerkingsverantwoordelijke bij het vervullen van diens wettelijke plichten op grond van de Toepasselijke Privacy Wetgeving, zoals het uitvoeren van een DPIA (artikel 35 AVG), een voorafgaande raadpleging (artikel 36 AVG) en voldoen aan diens plichten ter zake de rechten van betrokkenen onder de Toepasselijke Privacy Wetgeving.

3. Beveiliging Persoonsgegevens & toezicht

3.1 Verwerker zal passende technische en organisatorische beveiligingsmaatregelen nemen, die gezien de huidige stand der techniek en de daarmee gemoeide kosten overeenstemmen met de kenbare aard van de Persoonsgegevens en de opdracht waarin de gegevens worden verwerkt, ter bescherming van de Persoonsgegevens tegen verlies of onrechtmatige verwerking, zoals bedoeld in artikel 32 AVG.

3.2 Verwerkingsverantwoordelijke zal Verwerker onverwijld op de hoogte stellen van een aanwijzing of andere mededeling gegeven door een daartoe bevoegde autoriteit (zoals de Autoriteit Persoonsgegevens) betreffende de Persoonsgegevens.

4. Audit

4.1 Verwerkingsverantwoordelijke heeft het recht door middel van een onafhankelijke gecertificeerde deskundige toe te zien op de naleving door Verwerker van diens verplichtingen onder deze Bijzondere Voorwaarden. Verwerker stelt Verwerkingsverantwoordelijke, indien Verwerkingsverantwoordelijke daarom verzoekt, hiertoe eenmaal per jaar in de gelegenheid op een door Partijen in gezamenlijk overleg nader te bepalen datum en tijdstip en binnen een nader af te stemmen scope van het onderzoek. De auditor dient voorafgaande aan het onderzoek een geheimhoudingsverklaring te tekenen.

4.2 Verwerker zal in alle redelijkheid en tegen vergoeding van haar kosten aan het onderzoek zoals bedoeld in vorig lid haar haar medewerking verlenen. De kosten dit onderzoek komen voor rekening van Verwerkingsverantwoordelijke, tenzij en voor zover uit hieruit blijkt dat Verwerker toerekenbaar tekort is geschoten in materiële verplichtingen onder deze Bijzondere voorwaarden.

4.3 Verwerkingsverantwoordelijke zal zorgdragen dat het onderzoek op een zodanige wijze wordt uitgevoerd dat Verwerker zo min mogelijk hinder hiervan ondervindt. Verwerkingsverantwoordelijke zal zorgdragen dat de controle is beperkt tot wat noodzakelijk is om op basis van objectieve criteria vast te stellen of Verwerker voldoet aan diens verplichtingen onder de Bijzondere Voorwaarden.

4.4 Verwerkingsverantwoordelijke zal Verwerker zo spoedig mogelijk een kopie van de onderzoeksresultaten ter beschikking stellen voor zover de onderzoeksresultaten betrekking hebben op Verwerker.

4.5 In het geval van een wetswijziging in de toepasselijke wetgeving ter bescherming van persoonsgegevens, zullen Partijen zo spoedig mogelijk in overleg treden om zo nodig aanpassingen door te voeren in de organisatorische en technische beveiligingsmaatregelen en/of deze Bijzondere voorwaarden als gevolg van de wijziging en wie welke kosten daarvan zal dragen.

5. Geheimhouding

5.1 Verwerker is verplicht tot geheimhouding van de Persoonsgegevens die door Verwerkingsverantwoordelijke aan haar worden verstrekt, behoudens voor zover dit noodzakelijk voortvloeit uit de opdracht zoals neergelegd in de Overeenkomst voortvloeit uit een aanvullende schriftelijke instructie van Verwerkingsverantwoordelijke of uit een wettelijke verplichting, een bevoegd gegeven rechterlijk bevel, een door het bevoegd gezag gegeven last, een bevoegd gegeven aanwijzing of verzoek van de relevante toezichthouder (zoals de Autoriteit Persoonsgegevens) of hiervoor voorafgaande schriftelijke toestemming van Verwerkingsverantwoordelijke is verkregen.

5.2 Verwerker draagt ervoor zorg dat eenieder die onder diens gezag handelt, verplicht is tot geheimhouding van de Persoonsgegevens waarvan hij/zij kennisneemt, overeenkomstig het gestelde in het vorige lid.

6. Beveiligingsincidenten (Meldplicht Datalekken)

6.1 Indien Verwerker een Inbreuk ontdekt, zal Verwerker i) zonder onredelijke vertraging na ontdekking daarvan Verwerkingsverantwoordelijke overeenkomstig de Toepasselijke Privacy Wetgeving daarover informeren; en ii) redelijke maatregelen conform het bepaalde in artikel 1. treffen om de Inbreuk te beperken en verdere en toekomstige Inbreuk te voorkomen.

6.2 Verwerker zal Verantwoordelijk, rekening houdend met de aard van de verwerking en de informatie die hem ter beschikking staat, in alle redelijk en billijkheid ondersteunen en op de hoogte houden van (nieuwe ontwikkelingen ten aanzien van) de “Inbreuk”.

6.3 De kennisgeving aan de Verwerkings-verantwoordelijke omvat in ieder geval:

a) de (vooralsnog bekende en/of te verwachten) gevolgen van de Inbreuk;
b) welke categorieën Persoonsgegevens zijn getroffen door de Inbreuk;
c) of en hoe de betreffende Persoonsgegevens crypto grafisch waren beveiligd;
d) de (voorgestelde) maatregelen om de gevolgen van de Inbreuk te beperken of verdere Inbreuken te voorkomen;
e) de (vooralsnog) bekende, categorieën betrokkenen;
f) het (vooralsnog) bekende, bij benadering, aantal betrokkenen; en
g) eventueel afwijkende contactgegevens voor de opvolging van de melding.

6.4 Verwerker zal waar nodig Verwerkingsverantwoordelijke assisteren bij het adequaat informeren van de toezichthouder(s) en betrokkenen over de Inbreuk(en) conform het daarover bepaalde in de Toepasselijke Privacy Wetgeving.

6.5 Onverlet het bepaalde in artikel 5.1, zullen Partijen over en weer strikte geheimhouding in acht nemen ten aanzien van eventuele Inbreuken en zullen Inbreuken enkel aan de bevoegde toezichthouder(s) en eventuele betrokkene(n) worden gerapporteerd overeenkomstig het bepaalde in de Toepasselijke Privacy Wetgeving.

7. Gebruik subverwerkers

7.1 Verwerker is gerechtigd om in het kader van deze Bijzondere Voorwaarden gebruik te maken van diensten van subverwerkers binnen de Europese Economische Ruimte. Verwerker zal Verwerkingsverantwoordelijke hiervan schriftelijk in kennis stellen. Indien Verwerkingsverantwoordelijke zich op redelijke gronden niet kan verenigen met de voorgenomen wijziging of toevoeging van een bepaalde subverwerker, kan de Verwerkingsverantwoordelijke hiertegen binnen 30 dagen bezwaar maken.

7.2 Verwerker zal aan een door hem ingeschakelde subverwerker dezelfde verplichtingen opleggen als voor hemzelf uit deze Bijzondere voorwaarden voortvloeien.

7.3 De subverwerkers die KMO heeft ingeschakeld staan beschreven in Bijlage A.

8 Aansprakelijkheid

8.1 Verwerker is aansprakelijk, uit welke hoofde en op welke rechtsgrond dan ook, voor zover en tot zover partijen dit zijn overeengekomen in de Overeenkomst (waarvan deze Bijzondere Voorwaarden integraal onderdeel uitmaakt)

8.2 Een door de toezichthouder aan Verwerkingsverantwoordelijke opgelegde boete kan niet op Verwerker worden verhaald indien die toezichthouder de mate van verwijtbaarheid van beide partijen bij het opleggen van de bestuurlijke boete heeft meegenomen en overeenkomstig (de) boete(s) aan (een der) Partijen heeft opgelegd.

9. Gevolgen beëindiging Overeenkomst (bewaartermijn)

9.1 Verwerkingsverantwoordelijke is verantwoordelijk voor het bepalen van de bewaartermijnen met betrekking tot de Persoonsgegevens. Voor zover Persoonsgegevens door Verwerkingsverantwoordelijke met behulp van de hem in de applicatie geboden functionaliteit gewist kunnen worden, wist Verwerkingsverantwoordelijke deze tijdig.

9.2 Verwerker bewaart de Persoonsgegevens niet langer dan de door Verwerkingsverantwoordelijke tijdig schriftelijk aangegeven bewaartermijn, uiterlijk tot het einde van de Overeenkomst met inachtneming van het hierna bepaalde.

9.3 Na afloop van de duur van de Bijzondere Voorwaarden zal Verwerker zonder onredelijke vertraging, naar keuze van Verwerkingsverantwoordelijke en behoudens een afwijkende wettelijke verplichting:

a) op verzoek en kosten van Verwerkingsverantwoordelijke binnen redelijke termijn na het einde van de Overeenkomst de Persoonsgegevens zoals zich op de infrastructuur (onder beheer) van Verwerker bevinden, terugbezorgen aan Verwerkingsverantwoordelijke;
b) op verzoek en kosten van Verwerkingsverantwoordelijke de Persoonsgegevens die op het systeem (onder beheer) van Verwerker staan zo spoedig mogelijk wissen;
c) alle bestaande kopieën van de Persoonsgegevens (zoals back-ups) zo spoedig mogelijk verwijderen.

9.4 Verwerkingsverantwoordelijke dient diens keuze tijdig aan Verwerker schriftelijk bekend te maken voor het einde van de Overeenkomst.

9.5 Indien Verwerkingsverantwoordelijke Verwerker niet binnen twee (2) kalenderweken na het einde van de Overeenkomst schriftelijk aangeeft dat hij de Persoonsgegevens zoals zich op het systeem (onder beheer) van Verwerker bevinden terugbezorgd wil hebben, instrueert Verwerkingsverantwoordelijke Verwerker hierbij bij voorbaat om na verloop van de voornoemde twee (2) weken, de Persoonsgegevens die zich nog op de infrastructuur (onder beheer) van Verwerker bevinden te wissen.

10 Beschrijving Maatregelen

A. Algemeen

1. 1. Verwerker zal passende technische en organisatorische maatregelen nemen, in stand houden en indien nodig aanpassen om de persoonsgegevens te beveiligen tegen verlies en onrechtmatige verwerkingen.
   2. Deze maatregelen garanderen een passend beveiligingsniveau, waarbij rekening wordt gehouden met de stand van de techniek en waarbij wordt gelet op de risico’s die de verwerking en de aard van te beschermen gegevens met zich meebrengen. De maatregelen zijn er ook op gericht om onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen.
   3. Alle verkeer van en naar de applicatie van Verwerker gaat middels beveiligde SSL-verbindingen (HTTPS). Onbeveiligde verbindingen zijn niet toegestaan.
   4. De persoonsgegevens die ten behoeve van Verwerkingsverantwoordelijke verwerkt worden, worden binnen de applicatie van Verwerker opgeslagen in een afzonderlijke database. Verwerker maakt voor iedere klant een unieke database aan, om de gegevens zo optimaal te scheiden.

B. Toegangscontrole

1. 1. Fysieke toegangscontrole tot infrastructuur
      Adequate fysieke bescherming van de betreffende ruimtes waarin en de apparatuur waarop de Persoonsgegevens opgeslagen staan (zoals toegangsbeveiliging, temperatuurregeling, maatregelen ter voorkoming en bestrijding van brand).
   2. (Logische toegang) controle (tot) systemen
      1. Het installeren en ‘up to date’ houden van een systeem waarmee de toegang tot de Persoonsgegevens wordt beveiligd door middel van een passend authenticatiemiddel, zoals een inlognaam en wachtwoord;
      2. Het beveiligen van het systeem waarmee de Verwerker Persoonsgegevens verwerkt door middel van ‘up to date’ virus- en trojans detectie software;
      3. Monitoren en loggen van toegang tot het systeem (waaronder begrepen het controleren op tekenen van onrechtmatige toegang tot de Persoonsgegevens, zoals foutieve inlogpogingen en overschrijding van autorisatiebevoegdheden);
      4. Het aanwijzen van medewerker(s) - welke onder het rechtstreekse gezag (leiding en toezicht) van Verwerker vallen - die met de uitvoering van de verwerking zijn belast en geautoriseerd zijn om zichzelf toegang te verlenen op een ‘need to know’ basis;
      5. Verwerker houdt een logboek bij van de Inbreuken, evenals de maatregelen die in vervolg op dergelijke inbreuken zijn genomen en geeft daar op verzoek van Verwerkingsverantwoordelijke inzage in;
      6. Gebruikers van de applicatie dienen een wachtwoord te hebben.
      7. Intern worden de gegevens beveiligd middels een gebruikersnaam en wachtwoord.

 C. Awareness personeel

Verwerker zorgt ervoor dat haar personeel training ontvangt over hun verantwoordelijkheden.

 

Bijlage A: Beschrijving instructies voor de Verwerker

Overzicht van de categorieën Persoonsgegevens, de aard en het doel van de verwerking, verwerkingshandelingen, de categorieën betrokkenen en bewaartermijn(en):

1.	Categorieën Persoonsgegevens	Type: ‘Reguliere’ Persoonsgegevens Categorieën: Gegevens bedrijf/instelling Naam contactpersoon Gegevens gebruiker Geslacht Naam (= verplicht) Functie (= verplicht) (Bezoek)adres Postcode Plaats Telefoon E-mailadres (= verplicht) Taal
2.	Aard en doel van de verwerking	Door het invullen van de hierboven beschreven gegevens kan de software door de desbetreffende persoon gebruikt worden. Onder andere voor de beantwoording van vragenlijsten. Vragenlijsten worden uitgezet om arbeidsrisico’s in de organisatie kaart te brengen. Het gaat hierbij niet om herleidbare persoonsgegevens die betrekking hebben op gezondheid, functioneren, etc. Personen binnen de organisatie worden per email benaderd om de vragenlijsten in te vullen. Om die reden dienen de emailadressen vastgelegd te worden.
3.	Verwerkingshandelingen	Indien Partijen implementatiediensten zijn overeengekomen onder overeenkomst: bijv. dataconversie Indien Partijen (technisch) beheer van de applicatie, database inclusief helpdesk zijn overeengekomen onder de overeenkomst: inzien/ raadplegen (als medewerker met de Verwerkingsverantwoordelijke meekijkt naar storing/gebrek); opslaan (als onderdeel van een screenshot). Indien Partijen hostingdiensten zijn overeengekomen onder de overeenkomst: opslaan (hosting) en maken van back-up en waar nodig restoren; Indien in de Overeenkomst en/of Offerte de verwerkingshandelingen genoegzaam zijn beschreven, kan hier o.a. ook naar dat document worden verwezen.
4.	Categorieën betrokkenen (de geïdentificeerde of identificeerbare natuurlijke persoon)	Medewerkers en contactpersonen van de organisatie die gevraagd worden om de vragenlijsten als gevolg van de Risico Inventarisatie & Evaluatie te beantwoorden.
5.	Bewaartermijn	De Verwerkingsverantwoordelijke is en blijft tijdens de Verwerkersovereenkomst verantwoordelijk voor het naleven van de bewaartermijnen. De persoonsgegevens worden verwijderd bij het einde van de Verwerkersovereenkomst. In de Verwerkersovereenkomst wordt beschreven wanneer deze eindigt. Indien back-ups worden gemaakt door verwerker als onderdeel van de diensten onder de overeenkomst: Back-up
6.	Ingeschakelde subverwerkers	PinkRoccade Hosting Services, Nederland