Collectieve verwerkersovereenkomst Coconut Communicatie

Collectieve verwerkersovereenkomst Coconut Communicatie

Deze verwerkersovereenkomst is van toepassing op alle vormen van verwerking van persoonsgegevens die verwerker uitvoert in opdracht van verantwoordelijke, tenzij er expliciet door ondertekening tussen partijen een andere verwerkersovereenkomst is overeengekomen.

Partijen

A: Verantwoordelijke

Bedrijfsnaam: «bedrijfsnaam» Contactpersoon «voornaam_»«achternaam»

Contactgegevens: «straat», «postcode», «plaats», e-mail «email»

Voor de term verantwoordelijke kan ook gelezen worden: verwerkingsverantwoordelijke.

Als zodanig bij het aangaan van de opdracht akkoord gegaan met de algemene voorwaarden van Coconut Communicatie, hierna te noemen verantwoordelijke;

B: Verwerker

Naam: Coconut Communicatie Contactpersoon: Xxxxx Xxxxxx Xxxxx

Contactgegevens: Xxxxxxxxxxxxxx 00, 0000 XX Xxxxxx, e-mail xxxx@xxxxxxx-xxxxxxxxxxxx.xx Hierna te noemen verwerker;

1. Algemene omschrijving:

Onder ‘verwerking van persoonsgegevens’ wordt verstaan: het ontvangen, inzien en opslaan van persoonsgegevens en elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens die verwerker met persoonsgegevens zal uitvoeren.

Deze persoonsgegevens vallen onder de verantwoordelijkheid van verwerkingsverantwoordelijke. Ze worden in opdracht van verwerkingsverantwoordelijke verder door Coconut Communicatie verwerkt.

Partij A, hier na te noemen verantwoordelijke beschikt als over persoonsgegevens van derden en deelt deze met partij B, hierna genoemd verwerker.

• De verwerking vindt plaats in het kader van advies en uitvoering marketingcommunicatie.

Coconut Communicatie | Xxxxxxxxxxxxxx 00 0000 XX Xxxxxx KvK 00000000 | Bank XX00 XXXX 00 00 00 00 00

Bel 06 46 01 29 87 | xxxx@xxxxxxx-xxxxxxxxxxxx.xx | xxx.xxxxxxx-xxxxxxxxxxxx.xx

• Het doel van de verwerking is verlenen van diensten op het gebied van marketingcommunicatie, zoals communicatieadvies, uitvoering zoals e-mail marketing, webredactie en contentbeheer, social media beheer, copywriting.

2. De categorie betrokkenen

1. Verantwoordelijke en/of

2. Abonnees op de nieuwsbrief van verantwoordelijke en/of.

3. Volgers van verantwoordelijke op social media en/of

4. Klanten of cursisten van verantwoordelijke.

3. Soort gegevens die mogelijk worden gedeeld

Afhankelijk van de diensten die verantwoordelijke afneemt bij verwerker, kunnen de volgende gegevens worden gedeeld:

1. Gegevens van verantwoordelijke:

- NAW gegevens, e-mailadres, telefoonnummer, website, KvK nummer. telefoonnummer

- Inloggegevens van social media accounts,

- Website inlog van de website(s) van verantwoordelijke waarbij verwerker een eigen inlog toegewezen krijgt die beperkt is tot het niveau van redacteur.

- Inloggegevens van e-mail serviceproviders.

- Eventueel Google analytics en Google search en andere analyse of metings-tools.

2|

2. Mailingbestanden met relatiegegevens van verantwoordelijke t.b.v. e-mail marketing of het versturen van nieuwsbrieven.

3. Klanten en/of cursistgegevens van verantwoordelijke t.b.v. het verrichten van een dienst namens verantwoordelijke, zoals het maken en toesturen van certificaten van deelname of andere relevante informatie.

4. Volgers van verantwoordelijke op social media: opengestelde social media namen.

4.. De duur van de verwerking

De verwerking is begonnen bij 1e opdracht van verantwoordelijke en eindigt bij beëindiging van de opdracht.

Na afloop van de verwerkingsdiensten verwijdert de verwerker de gegevens (of retourneert aan verantwoordelijke), tenzij men wettelijk verplicht is deze te bewaren. Dit gebeurt zo snel mogelijk maar in ieder geval binnen 3 maanden na afloop van de verwerkingsdiensten.

5.. Overeengekomen punten:

Beide partijen zijn op de hoogte van de Algemene Verordening Gegevensbescherming en zullen zich gezamenlijk inspannen om aan alle wettelijke eisen te voldoen. De verwerker zal zich in ieder geval houden aan de volgende punten:

• De verwerking vindt uitsluitend plaats op basis van de instructies van verantwoordelijke.

• De verwerker mag de persoonsgegevens als vermeld in 2.2, 2.3 en 2.4 niet voor eigen doeleinden gebruiken.

• Personen in dienst van of werkzaam voor de verwerker die in aanraking komen met de betreffende gegevens hebben een geheimhoudingsplicht.

• Xxxxxxxxx neemt passende technische en organisatorische maatregelen zodat de verwerking aan de vereisten van de AVG voldoet en de bescherming van de rechten van de betrokkenen binnen de redelijke mogelijkheden van verwerker zijn gewaarborgd.

• De verwerker schakelt geen subverwerker(s) in zonder voorafgaande mondeling of schriftelijke toestemming van/of overeenkomst met verantwoordelijke, voor zover subverwerker hiervoor toegang heeft tot systemen welke toegang geven tot relatiegegevens van verantwoordelijke.

• De verwerker legt aan een subverwerker in een subverwerkersovereenkomst dezelfde verplichtingen vast als in deze overeenkomst.

Dit geldt niet wanneer subverwerker al op andere wijze van verantwoordelijke toegang tot in paragraaf 3 genoemde systemen heeft gekregen.

• Xxxxxxxxx is niet verantwoordelijk voor subverwerkers bij inkoop van diensten op verzoek van of namens verantwoordelijke. Denk hierbij aan het laten drukken van drukwerk, uitvoeren van campagnes op billboards, in kranten enz. Verantwoordelijke dient met deze partijen zelf een verwerkersovereenkomst te sluiten.

• Verwerker is niet verantwoordelijk voor (sub)verwerkers die toegang hebben tot de website van verantwoordelijke. verantwoordelijke dient zelf met de hostingpartij en/of webbeheerder een verwerkersovereenkomst af te sluiten.

• De verwerker helpt verantwoordelijke om te voldoen aan de plichten als betrokkenen hun privacyrechten uitoefenen (zoals het recht op inzage, correctie, vergetelheid en dataportabiliteit). De verwerker brengt hier het gebruikelijke uurtarief voor in rekening.

• De verwerker helpt mee om te voldoen aan de verplichtingen rond de meldplicht datalekken. Dit betekent dat verwerker mogelijke datalekken direct meldt aan verantwoordelijke en

3| meewerkt aan onderzoek/analyse. De verwerker hoeft niet te melden aan de AP, dit doet de verantwoordelijke. De verwerker brengt voor afhandeling mogelijke datalekken ontstaan bij

verwerker geen kosten in rekening. Dit geldt niet door datalekken ontstaan via de e-mailservice provider of andere derden, zoals de webhost, social mediaproviders enz.

• De verwerker helpt mee om te voldoen aan de verplichtingen rond Data Protection Impact Assessment. De verwerker brengt hier het op dat moment geldende uurtarief voor in rekening.

• De verwerker werkt mee aan audits door verantwoordelijke of een door verantwoordelijke ingeschakelde derde partij. verwerker stelt alle relevante informatie beschikbaar om te kunnen controleren of de verwerker zich houdt aan de in deze overeenkomst genoemde verplichtingen.

• De verwerker mag de gegevens niet verwerken buiten organisaties/landen die minimaal evenveel waarborgen bieden als de Europese Unie, tenzij schriftelijk anders overeengekomen.

• Indien verantwoordelijke gebruik maakt van gegevensverwerking buiten de EU door middel van tools of programma’s, zoals bijvoorbeeld e-mailservice programma’s, dan valt dit onder de verantwoordelijkheid van verantwoordelijke; verwerker is in dit geval niet verantwoordelijk voor enige claims of aanspraken bij het niet voldoen aan de AVG door verantwoordelijke.

• Indien verantwoordelijke persoonsgegevens van betrokkenen als vermeld in paragraaf 2.2 t/m

2.4 bewaart in ‘de cloud’ (zoals Google Drive) of via andere SaaS-diensten, dan valt de beveiliging hiervan geheel onder de verantwoordelijkheid van verantwoordelijke.

• Indien verantwoordelijke van mening is dat verwerker niet aan deze verwerkingsovereenkomst voldoet, dient verantwoordelijke verwerker terstond te informeren, waarop verwerker in de gelegenheid gesteld wordt alsnog, binnen een redelijke periode, te voldoen aan de voorwaarden.

6. Overzicht beveiligingsmaatregelen

De verwerker zal minimaal de volgende maatregelen toepassen:

1. Verwerker slaat inloggegevens op in een wachtwoordkluis, welke beveiligd is met een hoge kwaliteit unieke wachtwoordzin.

2. Verwerker gebruikt wachtwoorden van minimaal 8 tekens waarvan minstens 1 hoofletter, kleine letters, een teken en cijfers.

3. Laptop en smartphone zijn voorzien van beveiligingssoftware.

4. Smartphone is voorzien van dubbele verificatie.

5. Verwerker voert tijdig software updates uit van de door haar gebruikte software.

6. Verwerker beschermt haar software met een hoog beoordeeld antivirusprogramma.

Deze overeenkomst is opgesteld m.b.v. SoftwareZaken volgens de richtlijnen van de Autoriteit Persoonsgegevens, om te voldoen aan de AVG/ GDPR.

De Autoriteit Persoonsgegeven is de leidende toezichthouder voor GDPR in Nederland. Deze heeft het volgende gepubliceerd over de verwerkersovereenkomst. Deze verwerkersovereenkomst is gebaseerd op de verantwoordingsplicht van de AVG, te bekijken via deze link.

4|