ONDERGETEKENDEN:
XxxxxxXxxx | |
Xxxxxxxxxxx 000 | |
0000 XX Xxxxxxx | |
ONDERGETEKENDEN:
1. Gebruiker, gevestigd te (postcode) woonplaats, Adres vertegenwoordigd door de Naam vertegenwoordiger gebruiker, hierna te noemen ‘Verantwoordelijke’.
en
2. de besloten vennootschap met beperkte aansprakelijkheid BeweegBaas, statutair gevestigd te Tilburg en kantoorhoudende te (5032 EH) Tilburg aan de Middelgraaf 102, ingeschreven bij de Kamer van Koophandel onder nummer 77820118 hierna te noemen ‘Verwerker’,
Hierna gezamenlijk te noemen de ‘Partijen’ en / of ieder afzonderlijk ook als de ‘Partij’.
NEMEN IN AANMERKING DAT:
a. Op [DATUM] partijen een overeenkomst hebben gesloten (‘Hoofdovereenkomst’) met kenmerk en/of referentienummer ………… met (klantnaam), op grond waarvan Verwerker persoonsgegevens voor Verantwoordelijke verwerkt.
b. Verantwoordelijke op grond van de Hoofdovereenkomst een gebruiksrecht – welk gebruiksrecht, evenals de voorwaarden waaronder dit is verstrekt in de Hoofdovereenkomst is omschreven – heeft ontvangen ter zake programmatuur, in het specifiek een applicatie genaamd BeweegBaas. Verantwoordelijke in deze applicatie persoonsgegevens van betrokkenen (laat) invul(t)(en) en/of betrokkenen daartoe zelf de mogelijkheid biedt – alles onder de voorwaarden zoals omschreven in de Hoofdovereenkomst –;
c. Verantwoordelijke alle op basis van de privacywetgeving noodzakelijke toestemming van de betrokkenen voor de verwerking van hun persoonsgegevens – voor zover zij minderjarig zijn van hun wettelijk vertegenwoordiger – heeft ontvangen;
d. Privacywetgeving, inclusief nationale wetten ter uitvoering van de privacyrichtlijn en de AVG, vereist dat dergelijke verwerkingen worden geregeld door een overeenkomst of rechtshandeling die de Verwerker bindt aan de Verantwoordelijke en waarin het onderwerp en de duur van de verwerking, de aard en het doel van de verwerking, de verplichtingen van de Verwerker in verband met beveiligingsincidenten en datalekken, het soort persoonsgegevens en de categorieën van betrokkenen, en de rechten en verplichtingen van de Verantwoordelijke worden omschreven; en
e. Partijen de sub d bedoelde vereisten in de onderhavige Verwerkersovereenkomst wensen te regelen, welke overeenkomst een integraal onderdeel is van de Hoofdovereenkomst.
VERKLAREN ALS VOLGT OVEREEN TE KOMEN:
Artikel 1: Definities en Interpretatie
1. ‘Betrokkene(n)’, ‘Persoonsgegevens’, ‘Verwerker’ en ‘Verwerk(ing)(en)(t)’ hebben de betekenis zoals bedoeld in de AVG. Daarnaast hebben de volgende woorden en zinsdelen de volgende betekenis:
‘Datalek’ een inbreuk in verband met Persoonsgegevens zoals bedoeld in artikel 4 sub 12 AVG;
‘Privacywetgeving’ de Privacy Richtlijn (95/46/EG) en de Richtlijn privacy en elektronische
communicatie (2002/58/EG), de nationale wetten ter uitvoering van deze richtlijnen en/of, in voorkomend geval, de verordening (EU) 2016/679 (ook bekend als ‘Algemene Verordening Gegevensbescherming’, aangeduid als ‘AVG’) en elke wetgeving of verordening die het voorgaande van tijd tot tijd wijzigt of aanvult;
‘Sub-verwerker(s)’ Iedere niet-ondergeschikte derde partij die door Verwerker is betrokken bij
de verwerking van persoonsgegevens in het kader van deze Verwerkersovereenkomst, niet zijnde werknemers van Xxxxxxxxx.
‘Verantwoordelijke’ de verwerkersverantwoordelijke, die de betekenis heeft zoals bedoeld in de
AVG.
‘Verwerkersovereenkomst’ de onderhavige overeenkomst inclusief de overwegingen en bijlage 1.
2. Deze Verwerkersovereenkomst vormt een integraal onderdeel van de Hoofdovereenkomst. Een verwijzing naar de Verwerkersovereenkomst is dus inclusief een verwijzing naar de bijlagen.
3. In geval van inconsistentie tussen de bepalingen van deze Verwerkersovereenkomst en de Hoofdovereenkomst, gelden de bepalingen van deze Verwerkersovereenkomst.
4. In geval van nietigheid c.q. vernietigbaarheid van een of meer bepalingen uit deze Verwerkersovereenkomst blijven de overige bepalingen onverkort van kracht. Partijen treden in overleg om de nietige c.q. vernietigde bepaling(en) te vervangen door een bepaling die zoveel mogelijk aansluit bij de inhoud, het doel en de strekking van de eerdere bepaling uit deze Verwerkersovereenkomst.
Artikel 2: Werkzaamheden Verwerker
1. In het kader van deze Verwerkersovereenkomst is Verantwoordelijke de verwerkersverantwoordelijke in de zin van de AVG, ongeacht of verantwoordelijke – in een andere relatie – verwerker van persoonsgegevens is namens een andere verwerkersverantwoordelijke en uit die relatie verkregen persoonsgegevens in het kader van deze Verwerkersovereenkomst worden verwerkt. In het kader van deze Verwerkersovereenkomst is Verwerker verwerker in de zin van de AVG. Verwerker verwerkt persoonsgegevens in het kader van de uitvoering van de Hoofdovereenkomst.
2. De voorwaarden van deze Verwerkersovereenkomst zijn van toepassing op de persoonsgegevens die Verwerker, of de toegestane Sub-verwerkers, verwerken tijdens het verlenen van diensten in het kader van de Hoofdovereenkomst, zoals weergegeven in bijlage 1.
3. Verwerker verwerkt de persoonsgegevens zoals nader gespecificeerd in bijlage 1, voor de doelen gespecificeerd in de Hoofdovereenkomst en/of in bijlage 1 van deze Verwerkersovereenkomst dan wel voor andere doelen die voorafgaand schriftelijk door Verantwoordelijke zijn goedgekeurd, met uitzondering van artikel 2.4 van deze Verwerkersovereenkomst. Verwerker zal in dit kader alle redelijke instructies van de Verantwoordelijke in verband met de verwerking opvolgen.
4. Verwerker verwerkt geen persoonsgegevens voor haar eigen doeleinden of die van anderen, tenzij: i) een op Verwerker van toepassing zijnde Unierechtelijke of lidstaatrechtelijke bepaling haar tot verwerking verplicht. In dat geval stelt Verwerker Verantwoordelijke, voorafgaand aan de verwerking, in kennis van dat wettelijk voorschrift, tenzij die wetgeving deze kennisgeving om gewichtige redenen van algemeen belang verbiedt en/of tenzij voorafgaande in kennisstelling volgens Verwerker redelijkerwijze niet mogelijk is, in welk geval Verwerker Verantwoordelijke zo spoedig mogelijk na de verwerking daarvan schriftelijk in kennis stelt; of
ii) Verantwoordelijke daartoe nadere schriftelijke instructies heeft gegeven.
5. Verwerker verwerkt de persoonsgegevens in overeenstemming met de AVG die van toepassing is op de verwerking van persoonsgegevens onder deze Verwerkersovereenkomst. Verantwoordelijke is verantwoordelijk voor diens instructies aan Verwerker. Indien een instructie van Verantwoordelijke met betrekking tot de verwerking van persoonsgegevens in strijd is met de Privacywetgeving, zijn de gevolgen daarvan volledig voor rekening en risico van Verantwoordelijke, ook als Verwerker deze instructie uitvoert en daardoor schade ontstaat. In dat geval schiet Verantwoordelijke wel en Verwerker niet tekort in de nakoming van deze Verwerkersovereenkomst. Indien een instructie van Verantwoordelijke volgens Xxxxxxxxx in strijd is met de privacywetgeving, stelt Verwerker Verantwoordelijke daarvan zo spoedig mogelijk in kennis, bij gebreke waarvan Verwerker niet tekort schiet in de nakoming van deze overeenkomst.
6. Verwerker zal geen persoonsgegevens verwerken in- of doorgeven aan een land, gebied of organisatie buiten de Europese Economische Ruimte (‘EER’), tenzij: Verwerker daartoe verplicht is op grond van een wettelijk voorschrift; het een land/bepaalde sector binnen een land betreft dat een passend beschermingsniveau waarborgt en waarvan de Europese Commissie heeft besloten dat het geval is, een en ander zoals omschreven in artikel 45 AVG; of Verantwoordelijke daarmee voorafgaande schriftelijk heeft ingestemd of een van de andere uitzonderingen van artikel 49 AVG van toepassing is.
Artikel 3: Subverwerkers
1. Voor het uitvoeren van deze Verwerkersovereenkomst mag Verwerker (een) Sub-verwerker(s) inschakelen. Verantwoordelijke stemt ermee in dat Verwerker Kwaaijongens B.V. als Sub-verwerker inschakelt voor de uitvoering van deze Verwerkersovereenkomst.
2. Indien Verwerker overgaat tot het inschakelen van (een of) meer/andere Sub-verwerker(s) en/of van Sub- verwerker(s) verandert, stelt Verwerker Verantwoordelijke daarvan schriftelijk (per e-mail) in kennis. Indien Verantwoordelijke daartegen bezwaar heeft, dient Verantwoordelijke daartegen binnen acht (8) dagen – berekend vanaf de dag dat Verwerker Verantwoordelijke daarvan in kennis heeft gesteld – schriftelijk (per e-mail) bezwaar aan te tekenen bij Verwerker.
3. Indien Verantwoordelijke niet, niet tijdig en/of niet op schriftelijke wijze bezwaar bij Verwerker aantekent tegen de inschakeling en/of wijziging zoals bedoeld in artikel 3 lid 2 van deze Verwerkersovereenkomst, geldt dat Verantwoordelijke met het inschakelen en/of wijzigingen van de Sub-verwerker(s) heeft ingestemd.
4. In het geval dat een bezwaar zoals bedoeld in artikel 3 lid 2 van deze Verwerkersovereenkomst Verwerker tijdig bereikt, treden partijen daarover in overleg. Indien geen overeenstemming wordt bereikt over het inschakelen/wijzigingen van de Sub-verwerkers op basis van artikel 3 lid 2, zal de overeenkomst tussen partijen worden opgeheven.
5. Verwerker zal met (een) Sub-verwerker(s) een overeenkomst sluiten, waarmee Verwerker minimaal dezelfde verplichtingen aan de Sub-verwerker oplegt als de verplichtingen die op basis van deze Verwerkersovereenkomst op Verwerker rusten dan wel uit de privacywetgeving of andere toepasselijke wetgeving voortvloeit.
Artikel 4: Beveiliging
1. Verwerker zal – overeenkomstig artikel 32 AVG – passende technische en organisatorische maatregelen treffen om een op het risico afgestemd beveiligingsniveau voor de persoonsgegevens te realiseren tegen onder andere verlies en/of enige vorm van onrechtmatige verwerking. Daarbij heeft onder meer een rol gespeeld: de aard, omvang en context van de Verwerking, de doeleinden daarvan en het soort persoonsgegevens.
2. Door het tekenen van deze Verwerkersovereenkomst verklaart Verantwoordelijke op het moment van aangaan van deze Verwerkersovereenkomst: bekend te zijn met de door Verwerker getroffen beveiligingsmaatregelen; en verder dat deze beveiligingsmaatregelen passend zijn in de zin van de AVG.
3. Verwerker zorgt ervoor dat haar personeel dat bevoegd is om de persoonsgegevens te Verwerken zich tot vertrouwelijkheid verbindt gedurende en na hun dienstverband (bijvoorbeeld door middel van een geheimhoudingsovereenkomst), voor zover het niet reeds tot een wettelijke verplichting tot geheimhouding is gehouden.
4. Partijen zijn zich ervan bewust dat de technische en organisatorische maatregelen kunnen veranderen en dat effectieve beveiligingsmaatregelen evaluatie en verbetering van de maatregelen vereisen. Verwerker zal de door haar getroffen maatregelen zo vaak als Verwerker dat nodig acht evalueren, aanscherpen en/of verbeteren om te (blijven) voldoen aan de eisen en verplichtingen zoals genoemd in artikel 4 lid 1.
5. Verwerker staat er niet voor in dat de beveiliging onder alle omstandigheden doeltreffend is. Indien een uitdrukkelijk omschreven beveiliging in de Bewerkersovereenkomst ontbreekt, zal Verwerker zich inspannen de beveiliging te laten voldoen aan een niveau dat, gelet op de stand van de techniek, de gevoeligheid van de persoonsgegevens en de aan het treffen van de beveiliging verbonden kosten, niet onredelijk is.
Artikel 5: Datalek
1. Nadat Xxxxxxxxx met het bestaan van een datalek bekend is geworden, zal Verwerker Verantwoordelijke daarvan onverwijld uur schriftelijk (per e-mail op het adres de functionaris gegevensbescherming) in kennis stellen. Verwerker zal daarbij in ieder geval de volgende informatie aan Verantwoordelijke verstrekken:
a. het tijdstip van aanvang van het datalek;
b. de aard en de omvang en gevolgen van het datalek;
c. de (mogelijk) getroffen persoonsgegevens en, voor zover mogelijk, bij benadering, het aantal getroffen persoonsgegevens in kwestie;
d. de verwachte hersteltijd;
e. welke maatregelen zijn getroffen en nog zullen worden getroffen om het datalek te beëindigen.
2. Nadat Xxxxxxxxx bekend is geworden met een datalek, zal Verwerker de maatregelen treffen die redelijkerwijs van haar kunnen worden verwacht om de nadelige gevolgen van het datalek in voorkomend geval te herstellen, zoveel mogelijk te beperken en/of zoveel mogelijk in de toekomst te voorkomen.
3. Indien er sprake is van een datalek dat in de zin van de privacywetgeving dient te worden gemeld bij de toezichthoudende autoriteit en/of betrokkenen, is Verantwoordelijke verantwoordelijk om voor tijdige melding daarvan zorg te dragen. Verantwoordelijke vrijwaart Verwerker voor alle schade die deze lijdt doordat geen tijdige melding door Verantwoordelijke plaatsvindt, ongeacht de reden daarvoor.
4. Voor zover redelijkerwijs mogelijk en na ontvangst van een schriftelijk verzoek daartoe van Verantwoordelijke, zal Verwerker medewerking verlenen aan Verantwoordelijke bij het doen van een melding van een datalek, in de zin van artikel 33 en artikel 34 AVG, aan betrokkenen en/of de autoriteit persoonsgegevens. De redelijke (interne) door Verwerker in dat kader te maken kosten, zijn voor rekening
van Verantwoordelijke. Verantwoordelijke zal deze kosten onmiddellijk, na daartoe een verzoek van Xxxxxxxxx te hebben ontvangen, aan Verwerker vergoeden.
Artikel 6: Samenwerking en Betrokkenen
1. Indien (een) betrokkene(n) diens rechten uit de AVG uitoefent, door bijvoorbeeld i) een klacht in verband met de verwerking van persoonsgegevens onder de Verwerkersovereenkomst, ii) een verzoek, vraag of bevel tot de productie, verwerking of toegang tot persoonsgegevens, of iii) verzoeken, waaronder verzoeken tot toegang, rectificatie, blokkering van verwerking van persoonsgegevens, data-overdraagbaarheid en soortgelijke verzoeken, in te dienen bij Verantwoordelijke en/of Verwerker, is Verantwoordelijke eindverantwoordelijk voor het tijdig, juist, op passende wijze en in overeenstemming met de privacywetgeving afhandelen daarvan.
2. In het geval dat een betrokkene zich met betrekking tot het uitoefenen van diens rechten, zoals omschreven in artikel 6 lid 1, tot Verwerker wendt, dient Verwerker Verantwoordelijke daarvan uitsluitend zo spoedig mogelijk schriftelijk in kennis te stellen. Meer hoeft Verwerker niet te doen. Verwerker schiet niet tekort in de nakoming van deze Verwerkersovereenkomst als de in kennisstelling van artikel 6 lid 2 niet zo spoedig mogelijk plaatsvindt.
3. Naast de in deze verwerkersovereenkomst reeds genoemde verplichtingen, zal Verwerker:
a. Verantwoordelijke, na daartoe een schriftelijk verzoek te hebben ontvangen, bijstand verlenen bij het nakomen van diens verplichtingen uit hoofde van artikel 35 en artikel 36 AVG.
b. rekening houdend met de aard van de Verwerking, Verantwoordelijke door middel van passende technische en organisatorische maatregelen, voor zover mogelijk en na daartoe een schriftelijk verzoek te hebben ontvangen, bijstand verlenen bij het vervullen van de verplichting van Verantwoordelijke om verzoeken om uitoefening van de rechten van de betrokkene uit de AVG uit te voeren.
c. Na daartoe een schriftelijk verzoek van Verantwoordelijke te hebben ontvangen, samenwerken met de toezichthoudende autoriteit bij het vervullen van haar taken.
4. Verantwoordelijke blijft eindverantwoordelijk voor de tijdige en/of juiste uitvoering van een beroep van betrokkene op diens rechten uit de AVG en/of (overige) privacywetgeving, waaronder, doch niet uitsluitend, de rechten zoals genoemd in artikel 6 lid 1 van deze Verwerkersovereenkomst en/of de communicatie met/naar betrokkenen. Verantwoordelijke vrijwaart Verwerker voor alle schade die deze lijdt doordat geen tijdige en/of juiste uitvoering van een beroep van een betrokkene zoals hiervoor omschreven plaatsvindt, ongeacht de oorzaak daarvan.
5. Alle (interne) kosten die Verwerker maakt in het kader van artikel 6 lid 3 zijn voor rekening van Verantwoordelijke. Verantwoordelijke zal deze kosten onmiddellijk, na daartoe een verzoek van Xxxxxxxxx te hebben ontvangen, aan Verwerker vergoeden.
Artikel 7: Vrijwaring en aansprakelijkheid
1. Verantwoordelijke vrijwaart en stelt schadeloos Verwerker, haar groepsmaatschappijen en door Verwerker ingeschakelde Sub-verwerkers met betrekking tot de Verwerking van persoonsgegevens onder deze Verwerkersovereenkomst ter zake van alle schade in verband met een tekortkoming in de nakoming van één of meer verplichtingen van Verantwoordelijke uit deze Verwerkersovereenkomst, de Hoofdovereenkomst en/of uit hoofde van de privacywetgeving, ongeacht de reden voor de tekortkoming. Voor de toepassing van dit artikel wordt onder schade verstaan: i) boetes, dwangsommen en andere sancties die door een toezichthoudende autoriteit of andere overheidsinstantie worden opgelegd, ii) eventuele schadevergoeding die wordt geëist door betrokkenen en/of Sub-verwerkers; en iii) redelijke kosten die verband houden met de tenuitvoerlegging van dit artikel.
2. Verantwoordelijke vrijwaart en stelt Verwerker, haar groepsmaatschappijen en/of door Verwerker ingeschakelde Sub-verwerkers, schadeloos voor wat betreft alle aanspraken van Xxxxxxxxxx(n) voor zover Verantwoordelijke niet over de (juiste) toestemming van hen beschikt voor de verwerking van hun persoonsgegevens op basis van deze Verwerkersovereenkomst en de daarbij behorende doelen.
3. De aansprakelijkheid van Verwerker voor directe schade is uitgesloten, tenzij er sprake is van opzet of grove schuld door Verwerker.
4. De aansprakelijkheid van Verwerker voor directe schade is beperkt tot de hoogte van het bedrag dat Verantwoordelijke in het betreffende jaar dat de schade zich voordoet voor het gebruiksrecht van de applicatie BeweegBaas heeft betaald.
5. De aansprakelijkheid van Verwerker voor indirecte schade en/of gevolgschade is uitgesloten, tenzij Verwerker aanwijsbare opzet of grove nalatigheid kan worden verweten.
6. Verantwoordelijke draagt zorg voor afdoende dekking van diens aansprakelijkheid op basis van deze Verwerkersovereenkomst, de Hoofdovereenkomst en/of de geldende privacywetgeving, evenals voor het in artikel 7 lid 1 en artikel 7 lid 2 bepaalde, door het afsluiten van een adequate verzekering. Verantwoordelijke is verplicht voor dekking van die verzekering zorg te dragen door tijdige betaling van de premies. Indien Verwerker verzoekt om bewijs te ontvangen dat Verantwoordelijke de verplichtingen uit artikel 7 lid 6 nakomt, is Verantwoordelijke verplicht daaraan onmiddellijk gehoor te geven door toezending aan Verwerker van de polis met voorwaarden en bewijs van betaling van de premies.
Artikel 8: Audit
1. Verwerkingsverantwoordelijke heeft het recht om audits uit te laten voeren door een onafhankelijke derde die aan geheimhouding is gebonden ter controle van naleving van de beveiligingseisen, en alles dat daar direct verband mee houdt.
2. Deze audit mag eens per jaar plaatsvinden alsook bij een concreet vermoeden van misbruik van persoonsgegevens.
3. Verwerker zal aan de audit meewerken en alle voor de audit redelijkerwijs relevante informatie, inclusief ondersteunende gegevens zoals systeemlogs, en medewerkers zo tijdig mogelijk ter beschikking stellen.
4. De bevindingen naar aanleiding van de uitgevoerde audit zullen door Partijen in onderling overleg worden beoordeeld en, naar aanleiding daarvan, al dan niet worden doorgevoerd door één van de Partijen of door beide Partijen gezamenlijk.
5. De kosten van de audit worden door Verwerkingsverantwoordelijke gedragen.
Artikel 9: Duur en Beëindiging
1. Deze Verwerkersovereenkomst is van kracht vanaf het moment dat beide partijen daarmee hebben ingestemd door ondertekening van deze overeenkomst, bij gebreke waarvan de Verwerkersovereenkomst van kracht is
vanaf het moment dat partijen daaraan feitelijk uitvoering geven. Partijen geven feitelijk uitvoering aan deze Verwerkersovereenkomst op het moment dat persoonsgegevens worden ingevuld/verwerkt in de sub b van de overwegingen applicatie BeweegBaas.
2. De duur van deze Verwerkersovereenkomst is gelijk aan de duur van de Hoofdovereenkomst. Deze Verwerkersovereenkomst eindigt van rechtswege op het moment dat de Hoofdovereenkomst eindigt.
3. Tussentijdse opzegging van de Verwerkersovereenkomst is niet mogelijk.
4. Alle bepalingen van deze Verwerkersovereenkomst die uitdrukkelijk of impliciet zijn bedoeld om van kracht te blijven na beëindiging of afloop van deze Verwerkersovereenkomst, met inbegrip van de artikelen 4 lid 3 (geheimhouding) en 7 (vrijwaring en aansprakelijkheid), blijven ook na beëindiging daarvan ongewijzigd van kracht.
5. In geval van beëindiging van deze Verwerkersovereenkomst zal Verwerker, binnen 30 dagen na ontvangst van een schriftelijk verzoek daartoe, alle aan haar ter beschikking gestelde persoonsgegevens aan Verantwoordelijke retourneren en alle digitale kopieën van persoonsgegevens vernietigen en aan Verantwoordelijke verklaren dat zij dit heeft uitgevoerd, behoudens andersluidende schriftelijke opdracht van Verantwoordelijke. Van het retourneren en vernietigen zijn uitgezonderd de (persoons)gegevens/informatie die Verwerker volledig heeft geanonimiseerd, zodat deze niet meer te herleiden zijn naar een natuurlijk persoon en/of een Betrokkene niet (meer) identificeerbaar is. Verwerker is gerechtigd de volledig geanonimiseerde gegevens te bewaren en gebruiken.
6. Indien een zelfstandige wettelijke verplichting van Verwerker het geheel of gedeeltelijk retourneren en/of vernietigen van de persoonsgegevens, zoals in artikel 9 lid 5 beschreven, door Verwerker verbiedt of beperkt zal zij Verantwoordelijke zo spoedig mogelijk schriftelijk in kennis stellen van de wettelijke verplichting. Verwerker zal alsdan de persoonsgegevens vertrouwelijk behandelen en bewaren en niet verwerken, behalve voor zover dat nodig is in het kader van de wettelijke verplichting.
Artikel 10: Overig
1. Wijzigingen van deze Verwerkersovereenkomst zijn slechts van kracht indien zij schriftelijk zijn vastgelegd en ondertekend door partijen (of hun gemachtigde vertegenwoordigers).
2. Mededelingen/verzoeken van Verantwoordelijke aan Verwerker, dienen schriftelijk bij Verwerker te worden ingediend op het e-mailadres: xxxx@XxxxxxXxxx.xx. of per post Xxxxxxxxxxx 000, 0000 XX Xxxxxxx, tenzij in deze Verwerkersovereenkomst expliciet anders wordt bepaald.
Artikel 11: Rechts- en forumkeuze
1. Deze Verwerkersovereenkomst wordt beheerst door en geïnterpreteerd in overeenstemming met Nederlands recht.
2. Elk geschil dat voortkomt uit deze Verwerkersovereenkomst of daarmee verband houdt (van contractuele of niet-contractuele aard) wordt uitsluitend voorgelegd aan de daartoe in de Hoofdovereenkomst aangewezen rechtbank, bij gebreke waarvan geschillen in eerste aanleg uitsluitend worden voorgelegd aan de rechtbank Zeeland-West-Brabant, locatie Tilburg.
Aldus opgemaakt in tweevoud en door beide partijen ondertekend:
Datum: | Datum: | |
Plaats: | Plaats: | |
Verantwoordelijke | Verwerker BeweegBaas | Xxxx Xxxxxx en Xxxxxx xxx Xxxxx |
BIJLAGE 1
In het kader van deze Verwerkersovereenkomst en de Hoofdovereenkomst kunnen afhankelijk van de diensten waarvan gebruik wordt gemaakt, de volgende (bijzondere) persoonsgegevens worden verwerkt:
Gegevens | * |
Algemeen | |
- Voornaam | X |
- Achternaam | X |
- Geboortedatum | X |
- Groep(-en) | X |
- Groepsnaam | X |
- Leerjaar | X |
- School(-locatie) | X |
Meetgegevens | |
- Motorische ontwikkeling - Leerlijnen | X |
- Sociale ontwikkeling | X |
- Notities m.b.t. uitvoeren van testen (bijv.: afwezigheid, opmerkingen) | X |
- Medische gegevens (bijv.: allergieën, medicatie etc.) | X |
- Sportdeelname | X |
- Zwemdiploma(’s) | X |
Gebruik applicatie | |
- IP-adres | X |
- Internetbrowser en apparaat device type | X |
- Gebruikersacties | X |
* kruis aan indien van toepassing
De verwerking van deze gegevens kan geschieden voor de volgende doeleinden:
● Om contact op te nemen om bijvoorbeeld een afspraak in te plannen/wijzigen, voor het stellen van vragen en/of deze te beantwoorden, voor hulp en ondersteuning bijvoorbeeld bij het gebruik van de programmatuur, waaronder de applicatie BeweegBaas.
● Voor het aanmaken van een (online) account.
● Ter identificatie van een gebruiker voor een veilige toegang en gebruik van de programmatuur, waaronder de applicatie BeweegBaas.
● Ter identificatie van technische knelpunten die zich voordoen bij bijvoorbeeld het gebruik van de programmatuur, waaronder de applicatie BeweegBaas.
● Teneinde testen door een gebruiker van de programmatuur, waaronder de applicatie BeweegBaas, te kunnen (laten) uitvoeren.
● Voor het genereren van testresultaten door de programmatuur, waaronder de applicatie BeweegBaas.
● Teneinde de prestatie van de programmatuur, waaronder de applicatie BeweegBaas te optimaliseren.
● Voor opname in het klantenbestand.
● Om het gebruik van de applicatie te analyseren, om zo de applicatie te optimaliseren.
BIJLAGE 2: BEVEILIGINGSBIJLAGE
Omschrijving van de maatregelen zoals bedoeld in artikel 4.1.
# | Onderwerp | Maatregel |
1 | Informatiebeveiliging- en privacybeleid | - Verwerker heeft een coördinator voor informatiebeveiliging om risico’s omtrent de verwerking van persoonsgegevens te inventariseren, beveiligingsbewustzijn te stimuleren, voorzieningen te controleren en maatregelen te treffen die zien op naleving van het informatiebeveiligingsbeleid. - Informatiebeveiligingsincidenten worden gedocumenteerd en worden benut voor optimalisatie van het informatiebeveiligingsbeleid. - Verwerker heeft een proces ingericht voor communicatie over informatiebeveiligingsincidenten. |
2 | Medewerkers | - Met medewerkers worden geheimhoudingsverklaringen overeengekomen en afspraken rondom informatiebeveiliging gemaakt. - De geheimhouding van privacygevoelige persoonsgegevens en informatiebeveiliging wordt opgenomen in het huishoudelijke regelement. - Toegang tot (persoons-)gegevens wordt verleend op basis van ‘least privilege’ en ‘need-to-know’ principes. |
4 | Applicatieontwikkeling beveiligingsprincipes | - Persoonsgegevens worden uitsluitend verwerkt in een gesloten, fysiek beveiligde omgeving met bescherming tegen bedreigingen van buitenaf. - Persoonsgegevens worden uitsluitend verwerkt op apparatuur waarbij maatregelen zijn genomen om de apparatuur fysiek te beveiligen en de continuïteit van de dienstverlening te verzekeren. - Wijzigingen in applicaties worden getest, middels unit- en progressie- en acceptatietesten, op kwetsbaarheden voordat deze in productie worden genomen. - Op persoonsgegevens worden zoveel mogelijk cryptografische maatregelen toegepast om deze gegevens veilig op te slaan. - Inlogprocessen maken gebruik van versleutelde SSL verbindingen. |
5 | Systemen | - De serveromgeving waarbinnen (persoons-)gegevens worden verwerkt, is ISO 27001 gecertificeerd. - Op werksystemen worden periodiek de laatste (beveiligings)patches geïnstalleerd. - Persoonsgegevens worden niet op werksystemen bewaard. |
6 | Security incident & response | - Er is een gedocumenteerd security incident response plan dat geschikt is om Datalekken te detecteren, op te lossen en te melden, in overeenstemming met de verplichtingen in deze |
verwerkersovereenkomst. | ||
7 | Locatie | - (Persoons-)gegevens worden verwerkt binnen de grenzen van de Europese Unie. |
8 | Logging | - Logging vindt plaats om (ongewenste) pogingen tot het verkrijgen van toegang tot de applicatie inzichtelijk te maken. - Logging vindt plaats om gebruikersacties inzichtelijk te maken op het moment dat gegevens onbedoeld zijn gewijzigd of verwijderd. |
9 | Continuïteit | - Periodiek worden backups gemaakt ten behoeve van de continuïteit van de dienstverlening. Deze backups worden vertrouwelijk behandeld en bewaard in een gesloten omgeving. |