De verwerkersovereenkomst persoonsgegevens behor nde bij de “Overeenkomst Collectief Vraagafhankelijk Vervoer Regiotaxi Holland Rijnland” afgesloten d.d. 27 oktober 2016.
De verwerkersovereenkomst persoonsgegevens behor nde bij de “Overeenkomst Collectief Vraagafhankelijk Vervoer Regiotaxi Holland Rijnland” afgesloten d.d. 27 oktober 2016.
Verwerkersovereenkomst van het Samenwerkingsorgaan Holland Rijnland met De Vier Gewesten BV
Het Dagelijks Bestuur van het Samenwerkingsorgaan Holland Rijnland, verder te noemen de verwerkingsverantwoordelijke, ten deze op grond van artikel 21 lid 3 van de gemeenschappelijke regeling Holland Rijnland vertegenwoordigd door de heer H.J.J. Lenferink
en
De Vier Gewesten BV, gevestigd te Rijen, verder te noemen de verwerker, ten deze rechtsgeldig vertegenwoordigd door de xxxx xxx. X. Xxxxxxxx, adjunct directeur ,
verklaren te zijn overeengekomen een verwerkersovereenkomst als bedoeld in artikel 28, derde lid, van de Verordening van het Eur pees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerkin van persoonsgegevens betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (Algemene Verordening Gegevensbescherming) (hierna: AVG) tussen de verwerkingsverantwoordelijke en de verwerker.
Definities
Artikel 1.
Naast de definities uit de AVG hebben de volgende termen de volgende beteken is:
1.1 Normen en standaarden: de door de verwerkingsverantwoordelijke vastgestelde normen en standaarden ter zake van methoden, technieken, procedures, projecten, productiekenmerken en documentatievoorschriften welke bij de uitvoering van de werkzaamheden door de verwerker zullen worden gevolgd als vastgelegd in artikel 7 van deze overeenkomst;
1.2 Toezichthouder: de Autoriteit Persoonsgegevens (AP) is het zelfstandig bestuursorgaan dat in Nederland bij wet als toezichthouder is aangesteld voor het toezicht op het verwerken van persoonsgegevens;
1.3 Datalek/beveiligingsinci ent: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens.
1.4 Betrokkene: degene op wie een persoonsgegeven betrekkin heeft.
1.5. (Verwerkings)verantwoordelijke: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt.
1.6. Verwerker: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt. Degene die ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt, in opdracht van de verwerker, is een sub‐verwerker.
Onderwerp van deze verwerkersovereenkomst
Artikel 2.
2.1 De verwerker verwerkt de door of via verwerkingsverantwoordelijke ter beschikking gestelde persoonsgegevens uitsluitend in opdracht van de verwerkingsverantwoordelijke in het kader van de uitvoering van de overeenkomst Collectief Vraagafhankelijk Vervoer Regiotaxi Holland Rijnland d.d. 27 oktober 2016 dit is de onderl ggende hoofdovereenkomst. De door de verwerker uit te voeren werkzaamheden waar deze verwerkersovereenkomst betrekking op heeft, worden nader, uitputtend, omschreven in bijlage 1. Verwerker zal de persoonsgegevens niet voor enig ander doel
of met behulp van enig ander m ddel verwerken, behoudens afwijkende wettelijke verplichtingen.
2.2 De verwerker verbindt z ch om in het kader van die werkzaamheden de door of via de verwerkingsverantwoordelijke ter beschikking gestelde persoonsgegevens zorgvuldig te verwerken.
Ingangsdatum en duur
Artikel 3.
3.1 Deze verwerkersovereenkomst gaat in op het moment van ondertekening en duurt voort zolang de verwerker als verwerker optreedt in het kader van de doo de verwerkingsverantwoordelijke ter beschikking gestelde persoonsgegevens voor de uitvoering van de in artikel 2.1 genoemde hoofdovereenkomst. Pas nadat verwerker naar het oordeel van de verantwoordelijke genoegzaam heeft aangetoond dat hij heeft voldaan aan de verplichtingen als omschreven in artikel 9.2 van deze verwerkersovereenkomst (wissing of terugbe zorging van persoonsgegevens aan verwerkingsverantwoordelijke), eindigt deze verwerkersovereenkomst.
Verplichtingen verwerker
Artikel 4.
4.1 De verwerker verwerkt gegevens ten behoeve v n de verwe kingsverantwoordelijke, in overeenstemming met diens schriftelijke instructies.
4.2 De verwerker heeft geen zeggenschap over de ter beschikking gestelde persoonsgegevens. Zo neemt hij geen beslissingen over ontvangst en gebruik van de gegevens, de verstrekking aan
derden en de duur van de opsla van gegevens. De zeggenschap over de persoonsgegevens verstrekt onder deze verwerkersovereenkomst komt nimmer bij de verwerker te berusten.
4.3 De verwerker zal bij de verwerking van persoonsgegevens in het kader van de in artikel 2 genoemde werkzaamheden, handelen in overeenstemming met de toepasselijke wet‐ en regelgeving betreffende de verwerking van persoonsgegevens. De verwerker zal alle redelijke instructies van de contactpersoon, als bedoeld in artikel 12.2, opvolgen, behoudens afwijkende wettelijke verplichtingen. Indien deze afwijkende wettelijke verplichtingen er z jn wordt de verantwoordelijke hiervan, voorafgaand aan de verwerking, schriftelijk op de hoogte gebracht door de verwerker.
4.4 De verwerker zal te allen tijde op eerste verzoek van de contactpersoon, als bedoeld in artikel 12.2, door verwerkingsverantwoordelijke ter beschikking gestelde persoo nsgegevens met betrekking tot deze verwerkersovereenkomst ter hand stellen, terugbezorgen of wissen.
4.5 De verwerker stelt de verwerkingsverantwoordelijke te allen tijde in staat om binnen de wettelijke termijnen te voldoen aan de verplichtingen op grond van de AVG, meer in het bijzonder de rechten van betrokkenen, zoals, maar niet beperkt tot een verzoek om inzage, verbetering, aanvulling, verwijdering of afscherming van persoonsgegevens en het uitvoeren van een gehonoreerd aangetekend verzet.
4.6 De verwerker werkt op verzoek van verwerkingsverantwoordelijke te allen tijde mee aan een gegevensbeschermingseffectbeoordeling(PIA).
4.7 Indien de verwerker in strijd met de AVG de doeleinden en middelen van de verwerking bepaalt, wordt deze mede als verwerkingsverantwoordelijke beschouwd, conform artikel 28, lid 10 van de AVG.
4.8 Verplichtingen die naar hun aard bestemd zijn om ook na de beëindiging van deze verwerkersovereenkomst voort te duren, blijven gelden na de beëindiging hiervan. Tot deze verplichtingen behoren onder meer de bepalingen betreffende geheimhouding, aansprakelijkheid en toepasselijk recht.
Geheimhoudingsplicht
Artikel 5.
5.1 Personen in dienst van, dan wel werkzaam ten behoeve van de verwerker, evenals de verwerker zelf, zijn verplicht tot geheimhouding met betrekking tot e persoonsgegevens waarvan zij kennis kunnen nemen, behoudens voor zover een bij, of krachtens de wet gegeven voorschr ft tot verstrekking verplicht.
5.2 Indien de verwerker op grond van een wettelijke verplichtin gegevens dient te vers rekken, zal de verwerker de grondslag van het verzoek en de identiteit van de verzoeker verifiëren en zal de verwerker de verwerkingsverantwoordelijke onmiddellijk, voorafgaand aan de verstrekking, ter zake informeren. Tenzij wettelijke bepalingen dit verbieden.
Meldplicht datalekken en beveiligingsincidenten
Artikel 6.
6.1 De verwerker zal de verwerkingsverantwoordelijke zo spoedig mogelijk – doch uiterlijk binnen 24 uur na de eerste constatering – informeren over alle (ver oedelijke) inbreuken op de beveiliging alsmede andere incidenten die op grond van wetgeving moeten worden gemeld aan de toezichthouder of betrokkene, onverminderd de verplichting de gevolgen van dergelijke inbreuken en incidenten zo snel mogelijk ongedaan te maken dan wel te beperken, al dan niet onder verbeurte van een boete in geval van niet‐nakoming, conform artikel 10.4 van deze verwerkersovereenkomst. Verwerker zal bij de constatering van een (vermoedelijke) datalek op een werkdag tussen 08:00 uur‐ 17:00 uur deze datalek op de dag van constatering voor 17:00 uur aan de verwerkingsverantwoordelijke melden. Indien op een werkdag de constatering van een (vermoedelijke) datalek na 17:0 uur plaatsvindt dient de melding de volgende dag voor 10:00 uur te gebeuren. In het weekend geconstateerde (vermoedelijke) datalekk n dienen voor maandag 10:00 uur te worden gemeld.
Verwerker zal voorts, op het eerste verzoek van de verwerkingsverantwoordelijke, alle inlichtingen verschaffen die de verwerkingsverantwoordelijke noodzakelijk acht om het incident te kunnen beoordelen. Daarbij verschaft verwerker in ieder geval de informatie aan de verwerkingsverantwoordelijke zoals omschreven in bijlage 2.
6.2 De verwerker beschikt over een gedegen plan van aanpak betreffende de omgang met en afhandeling van inbreuken en zal de verwerkingsverantwoordelijke, op diens verzoek, inzage verschaffen in het plan. Verwerker stelt de verwerkingsverantwoordelijke op de hoogte van materiële wijzigingen in het plan van aanpak.
6.3 De verwerker zal het doen van meldingen aan de toezichthouder overlaten aan de verwerkingsverantwoordelijke.
6.4 De verwerker zal alle noodzakelijke medewerking verlenen aan het zo nodig, op de kortst mogelijke termijn, verschaffen van aanvullende informatie aan de toezichthouder en/of betrokkene(n). Daarbij verschaft verwerker in ieder geval de informatie, zoals beschreven in bijlage 2, aan de verwerkingsverantwoordelijke.
6.5 De verwerker houdt een gedetailleerd logboek bij van alle (vermoedens van) inbreuken op de beveiliging, evenals de maatregelen die in vervolg op dergelijke inbr uken zijn genomen waarin minimaal de informatie zoals bedoeld in bijlage 2 is opgenomen, en geeft daar op eerste verzoek van de verwerkingsverantwoordelijke inzage in.
6.6 Zolang het datalek voortduurt, informeert verwerker de verwerkingsverantwoordelijke iedere 12 uur in ieder geval over de status en de aard van het datalek, de geconstateerde en de vermoedelijke gevolgen van het datalek, de instanties waar meer informatie over het datalek kan worden verkregen en de aanbevolen maatregelen om de negatieve evolgen van het datalek te beperken. Daarbij verschaft verwerker in ieder geval de informatie aan de verwerkingsverantwoordelijke zoals omschreven in bijlage 2.
Beveiligingsmaatregelen en controle
Artikel 7.
7.1 De verwerker neemt alle passende technische en organisatorische maatregelen om de persoonsgegevens welke worden verwerkt ten dienste van de verwerkingsverantwoordelijke te beveiligen en beveiligd te houden tegen verlies of tegen enige vorm van onrechtmatige verwerking. De informatiebeveiliging vindt p aats volgens conform de standaarden gesteld in de algemeen erkende overheidsnormen ‘de BIG’. Dit wordt bij de verwerker in protocollen vastgelegd. De informatieverwerking door de subverwerker die de geautomatiseerde administratie van de regiotaxi Holland Rijnland beheert (Atax de Vries) vindt volgend de algemeen erkende nor m NEN7510, ISO27001 plaats.
7.2 De verwerkingsverantwoordelijke is te allen tijde gerechtigd de verwerking van persoonsgegevens te (doen) controleren. De verwerker is verplicht de verwerkingsverantwoordelijke of, de onder geheimhouding, controlerende instantie in opdracht van verwerkingsverantwoordelijke toe te laten en verplicht medewerking te verlenen zodat de controle daadwerkellijk uitgevoerd kan worden.
7.3 De verwerkingsverantwoordelijke zal de controle slechts (laten) uitvoeren na een voorafgaande schriftelijke melding aan de verwerker.
7.4 De verwerker verbindt z ch om binnen een door de verwerkingsverantwoordelijke te bepalen redelijke termijn de verwerkingsverantwoordelijke, of de door de verwerkingsverantwoordelijke ingeschakelde derde, te voorzien van de verlangde informatie. Hierdoor kan de verwerkingsverantwoordelijke, of de door de verwerkingsverantwoordelijke ingeschakelde derde, zich een oordeel vormen over d naleving door de verwerker van deze verwerkersovereenkomst. De verwerkingsverantwoordelijke, of de door de verwerkingsverantwoordelijke ingeschakelde derde, is gehouden alle informatie betreffende deze controles vertrouwelijk te behandele n.
7.5 Verwerker staat er voor in, de door de verwerkingsverantwoordelijke of ingeschakelde derde, aangegeven aanbevelingen ter verbetering binnen de daarto door de verwerkingsverantwoordelijke te bepalen redelijke termijn uit te voeren.
7.6 Toereikendheid van de informatiebeveiliging blijkt uit: certificering, en indien verwerkingsverantwoordelijke dat noodzakelijk acht periodieke externe controles zoals audits, Third Party Memorandum’s (TPM’s) opgesteld door een onafhankelijke externe deskundige, assurance rapporten met conclusies over de bevindingen van de auditor of eigen controles van de verantwoordelijk. De verwerker rapporteert in ieder geval jaarlijks over de opzet en werking van het stelsel van maatregelen en procedures, gericht op naleving van deze verwerkersovereenkomst.
7.7 De redelijke kosten van de controle worden gedragen door de partij die de kosten maakt, tenzij uit de controle blijkt dat de verwerker enig punt uit deze verwerkersovereenkomst niet heeft nageleefd. In dat geval worden de kosten van de controle gedragen door de verwerker.
7.8 Wanneer de verwerker van mening is dat het uitvoeren van de inspectie een inbreuk op de AVG of ander geldend recht inzake gegevensbescherming oplevert, doet deze hiervan onmiddellijk melding bij de in artikel 12.2 bedoelde contactpersoon van de verwerkingsverantwoordelijke.
Inschakeling derden
Artikel 8.
8.1 De verwerker is slechts gerechtigd de uitvoering van de werkzaamheden geheel of ten dele uit te besteden aan derden na voorafgaande specifieke schriftelijke toestemming van de verwerkingsverantwoordelijke.
8.2 De verwerkingsverantwoordelijke kan aan de schriftelijke toestemming voorwaarde verbinden, op het gebied van geheimhouding en ter naleving van de verplichtingen uit deze verwerkersovereenkomst.
8.3 De verwerker blijft in deze gevallen te allen tijde aanspreekpunt en verantwoordelijk voor de naleving van de bepalingen uit deze verwerkersovereenkomst. De verwerker gar andeert dat deze derden schriftelijk minimaal dezelfde plichten op zich nemen als tussen de verwerkingsverantwoordelijke en de verwerker zijn overeengekomen en zal de verwerkingsverantwoordelijke, op diens verzoek, inzage verschaffen in de overeenkomsten met deze derden waarin deze plichten zijn opgenomen.
8.4 De verwerker mag de persoonsgegevens uitsluitend verwerken in de Europese Economische Ruimte. Doorgifte naar andere l nden is uitsluitend toegestaan na v orafgaande schriftelijke toestemming van de verwerkingsverantwoordelijke en met inachtneming van de toepasselijke wet‐ en regelgeving.
8.5 De verwerker houdt een actueel register bij van de door hem ingeschakelde derden en onderaannemers waarin de identiteit, vestigingsplaats en een beschrijving van de werkzaamheden van de derden of onderaannem rs zijn opgenomen, alsmede eventuele door de verwerkingsverantwoordelijke gestelde aanvullende voorwaarden. Dit register zal als bijlage 4 aan deze verwerkersovereenkomst orden toegevoegd en zal door de verwerker actueel worden gehouden. Wijzigingen worden door de verwerker per omgaande aan Holland Rijnland gemeld.
Wijziging en beëindigen verwerkersovereenkomst
Artikel 9.
9.1 Wijziging van deze verwerkersovereenkomst kan slechts sch iftelijk plaatsvinden middels een door beide partijen geaccordeerd voorstel.
9.2 Zodra de samenwerking is beëindigd, zal de verwerker naar euze van de verwerkingsverantwoordelijke (i) alle of een door verwerkingsverantwoordelijke bepaald gedeelte
van haar in het kader van deze verwerkersovereenkomst ter beschikking gestelde persoonsgegevens aan de verwerkingsverantwoordelijke terugbezorgen en bestaande kopieën verwijderen, (ii) de persoonsgegevens die hij van de verwerkingsverantwoordelijke heeft ontvangen op alle locaties wissen, in welke vorm dan ook en toont dit aan, behoudens afwijkende wettelijke verplichtingen. De verantwoordelijk kan zo nodig nadere eisen stellen aan e wijze van terugbezorging, waaronder eisen aan het bestandsformaat, dan wel vernietiging. Deze werkzaa heden moeten, binnen een termijn van binnen maximaal 24 maanden na beëindiging van de sa enwerking, uitgevoerd worden en hiervan wordt een verslag gemaakt waaruit blijkt dat de gegeven op rechtmatige wijze zijn terugbezorgd en/of vernietigd.
9.3 De verwerker zal te allen tijde de in het vorig lid beschreven dataportabiliteit / overdracht van data conform artikel 20 AVG waarborgen zodanig dat er geen sprake is van verlies van functionaliteit of (delen van) de gegevens.
9.4 Verwerkingsverantwoordelijke en verwerker treden met elk ar in overleg over wijzigingen in deze verwerkersovereenkomst als een wijziging in regelgeving of ee wijziging in de uitleg van regelgeving daartoe aanleiding geven.
9.5 Indien een partij tekortschiet in de nakoming van een overeengekomen verplichting, kan de andere partij haar in gebreke stellen waarbij de nalatige partij alsnog een redelijke termijn voor de nakoming wordt gegund. Blijft nakoming ook dan uit dan is de nalatige partij in verzuim. Ingebrekestelling is niet nodig wanneer voor de nakoming een fatale termijn geldt, nakoming blijvend onmogelijk is of indien it een mededeling dan wel de houding van de andere partij moet worden afgeleid dat deze in de nakoming van haar verplichting zal tekortschieten.
9.6 De verwerkingsverantwoordelijke is gerechtigd, onverminderd hetgeen daartoe bepaald is in de verwerkersovereenkomst en de daarmee samenhangende hoofdovereenkomst, en onverminderd hetgeen overigens in de wet is bepaald, de uitvoering van deze verwerkersovereenkomst door middel van een aangetekend schrijven op te schorten, dan wel zonder rechterlijke tussenkomst met onmiddellijke ingang geheel of gedeeltelijk te ontbinden, nadat verwerkingsverantwoordelijke constateert dat:
a) verwerker (voorlopige) surseance van betaling aanvraagt; of
b) verwerker zijn faillissement aanvraagt of in staat van faillissement wordt verklaard; of
c) de onderneming van verwerker wordt ontbonden; of
d) verwerker zijn onderneming staakt; of
e) sprake is van een ingrijpende wijziging in de zeggenschap over de a ctiviteiten van de onderneming van erwerker die maakt dat het in alle redelijkheid niet van de verwerkingsverantwoordelijke kan worden verwacht dat zij de verwerkersovereenkomst in stand houdt; of
f) op een aanmerkelijk deel van het vermogen van verwerker beslag wordt gelegd (anders dan door verantwoordelijke); of
g) de andere partij aantoonbaar tekortschiet in de nakoming van de verplichtingen die voortvloeien uit deze verwerkersovereenkomst en die ernstige toerekenbare tekortkoming niet binnen 30 dagen is hersteld na een daartoe strekkende schriftelijke ingebrekestelling dan wel een van de overige situaties bedoeld in artikel 9.5 zich voordoet.
9.7 Verwerker informeert o enblikkelijk de verwerkingsverantwoordelijke in dien een faillissement dreigt dan wel surséance van betaling, zodat de verwerkingsverantwoordelijke tijdig kan beslissen de persoonsgegevens terug te vorderen alvorens faillissement wor dt uitgesproken.
9.8 Verwerkingsverantwoordelijke is gerechtigd deze verwerkersovereenkomst en de hoofdovereenkomst per direct te ontbinden indien verwerker te kennen geeft niet (langer) te kunnen voldoen aan de betrouwbaarheidseisen die op grond van ontwikkelingen in de wet en/of de rechtspraak aan de verwerking van de persoonsgegevens worden gesteld.
9.9 Verwerkingsverantwoordelijke is gerechtigd deze verwerkersovereenkomst en de hoofdovereenkomst na een ingebrekestelling te ontbinden indien verwerker de in deze verwerkersovereenkomst gestelde verplichtingen dan wel de verplichtingen die op grond van ontwikkelingen in de wet en/of de rechtspraak aan de verwerking van persoonsgegevens tot stand komen, niet kan nakomen.
Aansprakelijkheid
Artikel 10.
10.1 Indien de verwerker tekortschiet in de nakoming van de verplichting uit deze verwerkersovereenkomst kan verwerkingsverantwoordelijke hem in gebreke ste llen. Verwerker is echter onmiddellijk in gebreke als de nakoming van desbetreffende verplichting anders dan door overmacht binnen de overeengekomen termijn, reeds blijvend onm gelijk is. Ingebrekestelling geschiedt schriftelijk, waarbij aan de verwerker een redelijke termijn wordt gegund om alsnog haar verplichtingen na te komen. Deze termijn is een fatale termijn. Indien nakoming binnen deze termijn uitblijft, is verwerker in verzuim.
10.2 Verwerker is aansprakelijk op grond van het bepaalde in artikel 82 van de AVG, schade of nadeel voortvloeiende uit het niet nakomen van deze verwerkersovereenkomst daaronder begrepen.
10.3 Verwerker vrijwaart verwerkingsverantwoordelijke voor schade of nadeel voor zover ontstaan door werkzaamheid van de verwerker.
10.4 Indien verwerker de in artikel 6 lid 1 van deze verwerkersovereenkomst neergelegde verplichting niet of niet‐tijdig nakomt en de toezichthouder de verwerkingsverantwoordelijke dientengevolge een bestuurlijke boete oplegt, is verwerker aansprakelijk en zal verwerkingsverantwoordelijke een contractuele boete ter hoogte van hetzelfde bedrag opleggen aan verwerker. Deze boete is niet vatbaar voor verrekening n opschorting en laat de rechten van verwerkingsverantwoordelijken op nakoming en schadevergoeding onverlet.
Toepasselijk recht
Artikel 11.
11.1 Op deze verwerkersovereenkomst en op alle geschillen die daaruit mogen voortvloe en of daarmee mogen samenhangen, is het Nederlands recht van toepassing.
Overige bepalingen
Artikel 12.
12.1 Deze verwerkersovereenkomst kan worden aangehaald als ‘Verwerkersovereenkomst uitvoering Regiotaxi Holland Rijnland.
12.2 Het bedrijfsbureau, de xxxx X. xxx Xxxxxxxx, van het samenwerkingsorgaan Holland Rijnland, Xxxxxxx 000, 0000 XX Xxxxxx treedt namens de verwerkingsverantwoordelijke op als contactpersoon.
12.3 In het geval de verwerker moet informeren op grond van artikel 6.1 van deze overeenkomst wordt naast het informeren van de contactpersoon een bericht verzonden aan de functionaris gegevensbescherming Holland Rijnland, Xxxxxxx 000, 0000 XX Xxxxxx.
Aldus in tweevoud opgesteld en getekend de dato
Namens de verwerkingsverantwoordelijke, de heer H.J.J. Xxxxxxxxx, voorzitter van het samenwerkingsorgaan Holland Rijnland,
de
Namens De Vier Gewesten BV, de xxxx xxx. X. Xxxxxxxx, adjunct directeur
Bijlage 1: Omschrijving werkzaamheden ter uitwerking van artikel lid 1
De gemeenten melden reizigers voor de Regiotaxi Holland Rijnland aan via een systeem gen emd Yoonidata (firma Multicard).
De gegevens die ingevoerd worden zijn:
NAW‐gegevens, geslacht, geboortedatum, BSN, telefoonnummer(s), evt. gegevens over (medische) begeleiding en evt. beperkt medische gegevens die noodzakelijk zijn voor goed en veilig taxivervoer van betrokkene. Indien van toepassing wordt een correspondentiea res van bijvoorbeeld een zaakwaarnemer vermeld.
Deze gegevens worden door Multicard via de firma Korton (ICT bedr jf van vervoerder) digitaal ingevoerd in het systeem van A‐Tax de Vries die de administratie voert voor de contracthouder De Vier Gewesten BV.
Jaarlijks krijgen klanten een nieuw saldo waarvoor in het betreffend jaar ritten uitgevoerd kunnen worden. Diezelfde gegevens worden digitaal versleuteld verzonden tussen Multicard, Holland Rijnland en Korton.
De Vier Gewesten B.V. kan de gegevens (grotendeels) inzien maar niet gebruiken anders dan voor facturatie, controle en managementinformatie aan gemeenten en Holland Rijnla nd. Alle administratieve handelingen zijn ondergebracht bij A‐Tax de Xxxxx. Maandelijks ontvangt Holland Rijnland managementinformatie. In enkele bestanden zijn (alle beschikbare) persoonsgegev ns verwerkt. Dit is noodzakelijk om het beheer, de controle van het vervoer, de controle van het vervoer en de controle van de facturatie uit te kunnen voeren. De managementr apportage die Holland Rijnland maakt voor de gemeenten, ouderen en gehandicaptenbonden, WMO‐raden etc. worden zonder persoonsgegevens opgesteld. In een enkel geval werkt Holland Rijnland mee aan een onderzoek (bijvoorbeeld in het kader van de concessie Zuid‐Holland Noord waar de regio’s samenwerken met de provincie Zuid‐Holland). Daarvoor worden eveneens managementgegevens gebruikt. Voor het overgrote deel geanonimiseerd. Om de vervoerstromen goed in kaart te kunnen brengen worden adresgegevens op postcode 4 (zonder letters) niveau gebruikt.
De werkzaamheden van de verwerker (de verleende diensten en de bijbehorende verwerking):
• Hosting en alle voorkomende ICT werkzaamheden wordt in opdracht van A‐Tax de Xxxxx uitgevoerd door Korton
• Inhoudelijke werkzaamheden die namens het samenwerkingsorgaan worden uitgev erd zoals:
o Aannemen, plannen en uitvoeren van ritten
o Voeren administratie verreden ritten
o Leveren gegevens t.b.v. facturatie aan De Vier Gewesten BV
o Leveren managementgegevens
o Klachtenafhandeling (incl. klantgegevens)
Categorieën personen en soorten persoonsgegevens:
Algemene omschrijving van de categorieën personen waar de gegevens die verwerkt worde betrekking op hebben zoals:
• Burgers, degenen die de Regiotaxi als frequent Openbaar Vervoer gebruiken en daarvoor een vervoerpas hebben ontvangen;
• ingeschrevenen, degenen aan wie een vervoervoorzieni g WMO is toegewezen en hiervoor een vervoerpas hebben ontvangen
Er is sprake van de verwerking van persoonsgegevens van personen die vallen binnen kwetsbare groepen zoals:
• minderjarigen (de leeftijd van 16 jaren nog niet bereikt);
• mensen met een beperking (kan zowel fysiek als mentaal zij );
• kwetsbare reizigers x.x. xxxxxxx.
Algemene omschrijving van de categorieën persoonsgegevens die verwerkt worden zoals:
• Naam, adres, woonplaats;
• Naam, adres, woonplaats en telefoonnummer van een eventuele zaakwaarnemer;
• Telefoonnummer(s) mailadres, pasnummer Regiotaxi;
• Geslacht en BSN
• Beperkte medische gegevens noodzakelijk om de rit goed en veilig (voor de klant) uit te voeren;
Is er bij de verwerkte gegevens sprake van gegevens van gevoelige aard als bedo elt in de beleidsregels datalekken van de AP:
• Bijzondere persoonsgegevens zoals bedoeld in artikel 9 AVG. Het gaat hierbij om persoonsgegevens over iemands gezondheid en persoonsgegevens over onrechtmatig of hinderlijk gedrag in verband met een opgelegd verbod in herhaald sprake is van hinderlijk gedrag in de Regiotaxi. Ook het Burgerservicenummer word genoteerd.
• De enige financiële gegevens die worden genoteerd betreffen informatie die noodzakelijk is om de door de klant aangevraagd automatische incasso voor de Regiotaxi te kunnen uitvoeren.
• Reizigers van de Regiotaxi kunnen via de website ritten bestellen, wijzigen en afzeggen met een toegewezen (niet zelf gekozen) wachtwoord;
• Gegevens die kunnen worden misbruikt voor (identiteits)fraude. Het BSN wordt vermeld.
Bijlage 2: Inlichtingen om incidenten te beoordelen ter uitwerking van art. 6 lid 1 en 5
De verwerker zal alle inlichtingen verschaffen die de verwerkingsverantwoordelijke noodzakelijk acht om het incident te kunnen beoordelen. Daarbij verschaft verwerker n ieder geval de volgende informatie aan de verwerkingsverantwoordelijke:
• de datum en het tijdstip waarop de inbreuk bekend is geworden bij verwerker of bij een door hem ingeschakelde derde of onderaannemer;
• de datum waarop de inbreuk heeft plaatsgevonden (indien geen exacte datum bekend is: de periode waarbinnen de inbreuk heeft plaatsgevonden);
• aantal personen waarvan gegevens betrokken zijn bij de inbreuk (indien geen exact aantal bekend is: het minimale en maximale aantal personen waarvan gegevens betrokken zijn bij de inbreuk);
• het soort of de soorten persoonsgegevens die betrokken zijn bij de inbre uk;
• een omschrijving van de groep personen van wi gegevens betrokken zijn bij de inbreuk;
• of de gegevens versleuteld, gepseudonimiseerd, gehasht of op een andere manier onbegrijpelijk of ontoegankelijk zijn gemaakt voor onbevoegden;
• wat de (vermeende) oorzaak is van de inbreuk;
• wat het (vooralsnog bekende en/of te verwachten) gevolg is;
• wat de (voorgestelde) oplossing is;
• wat de reeds ondernomen maatregelen zijn om de inbreuk te beëindigen en om de evolgen van de inbreuk te beperken.
• contactgegevens voor de opvolging van de melding;
Bijlage 3: Beschrijving maatregelen op basis van de BIG en overige beveiliging
Deze tabel komt te vervallen. Het automatiseringsbedrijf van A‐Tax de Xxxxx voldoet aan de in het kader van BIG gestelde voorwaarden. In overleg met Servicepunt71, de Holland Rijnland ondersteunende organisatie voor dit onderwerp, komt bijlage 3 hiermee te vervallen.
Bijlage 4: Omschrijving werkzaamheden ter uitwerking van artikel 8 lid 5
Verwerker maakt bij de uitvoering van de verwerkersovereenkomst gebruik van de derden/onderaannemers die in deze bijlage zijn vermeld. De verwerker zal deze bijlage conform artikel 8 van deze verwerkersovereenkomst bijwerken indien er wijzigingen plaatsvinden in de ingeschakelde derden/onderaannemers en deze lijst onverwijld ter beschikking stellen aan de verwerkingsverantwoordelijke.
Voor de beschrijving van de erkzaamheden kan bijl ge 1 van deze overeenkomst als basis worden gebruikt. Een verwerker kan immers nooit meer werkzaamheden bij onderaannemers beleggen dan de werkzaaamheden welke deze zelf of basis van bijlage 1 mag uitvoeren. De voorwaarden van de verwerkingsverantwoordelijke gesteld aan de toestemming zijn, voor die werkzaamheid, in ieder geval gelijk aan de technische en organisatorische maatregelen gesteld in bijlage 3 van deze overeenkomst.
[PARTIJ 1] A‐Tax de Vries Personenvervoer B.V. | |
Vestigingsplaats: | Hillegom |
Inschrijvingsnummer handelsregister: | |
Beschrijving van de werkzaamheden: | Rijdt ritten t.b.v. de Reg otaxi Holland Rijnland; verzorgt ritaanname, beheert de administratiie in brede zin voor de Regiotaxi heeft hiervoor een contract met Multicard (Yoonidata) en Korton afgesloten. A‐Tax verdeelt de ritten over alle aan de Regiotaxi Holland Rijnland deelnemende taxibedrijven. A‐Tax zorgt voor de klantenservice, informeert de klanten over de Regiotaxi en zorgt voor klachtenafhandeling. A‐ Tax levert de gegevens aan De Vier Gewesten BV op basis waarvan facturatie plaa svindt en aan Holland Rijnland managementinformatie wordt gelev erd. De Vier Gewesten BV levert tev ns bijlagen bij de facturen op basis van deze informatie. |
Voorwaarden van de verwerkingsverantwoordelijke gesteld aan toestemming: | Met deze partij dient De Vier Gewes ten BV een soortgelijke overeenkomst af te sluiten. |
[PARTIJ 2] Taxi Brouwer | |
Vestigingsplaats: | Noordwijk |
Inschrijvingsnummer handelsregister: | |
Beschrijving van de werkzaamheden: | Voert ritten uit voor de Regiotaxi Holland Rijnla d. |
Voorwaarden van de verwerkingsverantwoordelijke gesteld aan toestemming: | Met deze partij dient DVG BV een soortgelijke overeenkomst af te sluiten. |
[PARTIJ 3] Taxi Hogenboom | |
Vestigingsplaats: | Roelofarendsveen gemeente Kaag en Braassem |
Inschrijvingsnummer handelsregister: | |
Beschrijving van de werkzaamheden: | Voert ritten uit voor de Regiotaxi Holland Rijnla d |
Voorwaarden van de verwerkingsverantwoordelijke gesteld aan toestemming: | Met deze partij dient De Vier Gewes ten BV een soortgelijke overeenkomst af te sluiten. |
[PARTIJ 4] Taxibedrijf van de Pol | |
Vestigingsplaats: | Woerden |
Inschrijvingsnummer handelsregister: | Voert ritten uit voor de Regiotaxi Holland Rijnla d |
Beschrijving van de werkzaamheden: | |
Voorwaarden van de verwerkingsverantwoordelijke gesteld aan toestemming: | Met deze partij dient De Vier Gewes ten BV een soortgelijke overeenkomst af te sluiten. |
[PARTIJ 5] Taxi X. xxx xx Xxxxxx | |
Vestigingsplaats: | Benthuizen gemeente Alphen aan den Rijn |
Inschrijvingsnummer handelsregister: | Voert ritten uit voor de Regiotaxi Holland Rijnla d |
Beschrijving van de werkzaamheden: | |
Voorwaarden van de | Met deze partij dient De Vier Gewesten BV een |
verwerkingsverantwoordelijke | soortgelijke overeenkomst af te sluiten. |
gesteld aan toestemming: |
[PARTIJ 6] Van der Laan B.V. | |
Vestigingsplaats: | Nieuwkoop |
Inschrijvingsnummer handelsregister: | Voert ritten uit voor de Regiotaxi Holland Rijnla d |
Beschrijving van de werkzaamheden: | |
Voorwaarden van de verwerkingsverantwoordelijke gesteld aan toestemming: | Met deze partij dient DVG BV een soortgelijke overeenkomst af te sluiten. |