verwerkersovereenkomst

Verklaring van vertrouwelijkheid

Dit document bevat vertrouwelijke informatie, eigendom van Flying Bytes Mobile B.V. (hierna te noemen Flying Bytes). Dit document (inbegrepen delen ervan) mag niet worden getoond of overgedragen buiten uw organisatie zonder voorafgaande schriftelijke toestemming van een hiertoe bevoegde vertegenwoordiger van Flying Bytes en mag niet in enigerlei vorm worden gereproduceerd of vermenigvuldigd voor andere doeleinden dan voor intern gebruik binnen uw organisatie ten behoeve van eerdergenoemde evaluatie.

Disclaimer

Hoewel dit document met de grootst mogelijke zorg is samengesteld kunnen aan de tekst van dit document geen rechten worden ontleend. Flying Bytes aanvaardt geen aansprakelijkheid voor mogelijke fouten en tekortkomingen.

Inhoudsopgave

DE ONDERGETEKENDEN

12

DE ONDERGETEKENDEN

1. De………………………………………………………………….., statutair gevestigd te en

kantoorhoudende te , hierna ook te noemen:

"Verwerkingsverantwoordelijke", hierbij rechtsgeldig vertegenwoordigd door ,

algemeen directeur;

2. De besloten vennootschap Flying Bytes Mobile B.V., statutair gevestigd te ‘s-Gravenhage en kantoorhoudende te ‘s-Gravenhage, aan het adres Xxxxxxxxxxxxxx 00 xxxx 0 0000XX, tevens handelend onder de naam “Flying Bytes” en productnaam “CleanJack” hierna ook te noemen: “Verwerker”, hierbij rechtsgeldig vertegenwoordigd door de heer N. xxx xxx Xxxx, Directeur;

OVERWEGENDE DAT:

A. Deze overeenkomst (“Verwerkersovereenkomst”) uitsluitend van toepassing is indien komt vast te staan dat Flying Bytes is aan te merken als Verwerker in de zin van artikel 4 sub 8 van de Algemene Verordening

Gegevensbescherming (“AVG”);

B. Verwerker IT diensten levert aan Verwerkingsverantwoordelijke, waaronder maar niet beperkt tot advies, configuratie, connectiviteit en beheer. Verwerker verwerkt bij deze diensten mogelijk persoonsgegevens

(“Persoonsgegevens”) van diverse betrokkenen (“Betrokkenen”), waarvoor Verwerkingsverantwoordelijke, in de zin van artikel 4 sub 7 AVG, verantwoordelijk voor is;

C. Partijen in het kader van artikel 28 AVG wettelijk verplicht zijn afspraken te maken en vast te leggen met betrekking tot de verwerking van Persoonsgegevens door Verwerker;

D. De bepalingen van deze Verwerkersovereenkomst vóór gaan op alle andere afspraken die tussen Partijen gelden en betrekking hebben op de verwerking van Persoonsgegevens door Verwerker voor Verwerkingsverantwoordelijke.

ZIJN HET VOLGENDE OVEREENGEKOMEN:

1 Definities en bijlagen

1.1 Tot deze Verwerkersovereenkomst behoren:

a) Bijlage 1: een beschrijving van Betrokkenen, het soort Persoonsgegevens en de aard en het doel waarvoor de Persoonsgegevens worden verwerkt.

b) Bijlage 2: een beschrijving van de door Verwerker in opdracht van Verwerkingsverantwoordelijke getroffen beveiligingsmaatregelen. Verwerker kan de beschrijving van beveiligingsmaatregelen van tijd tot tijd eenzijdig wijzigen en/of aanpassen aan bijvoorbeeld de stand van de techniek. Verwerker zal Verwerkingsverantwoordelijke over een wijziging en/of aanpassing van beveiligingsmaatregelen informeren.

c) Bijlage 3: de door Partijen gebruikte Procedure Meldplicht Datalekken. Deze bijlage zal in ieder geval worden aangepast indien de regelgeving omtrent de Meldplicht Datalekken of de uitleg daarvan wijzigt.

d) Bijlage 4: de vragenlijst bij de procedure meldplicht datalekken.

1.2 Op deze Verwerkersovereenkomst zijn de reeds geldende Algemene Voorwaarden van Verwerker van overeenkomstige toepassing. Indien er sprake is van innerlijke tegenstrijdigheid tussen de Algemene Voorwaarden van Verwerker en deze Verwerkersovereenkomst, prevaleert deze Verwerkersovereenkomst. Eventuele innerlijke tegenstrijdigheid laat de toepassing van de overige bepalingen van de Algemene Voorwaarden van Verwerker onverlet.

1.3 In deze Verwerkersovereenkomst betekenen de volgende begrippen hetgeen daarbij hieronder is vermeld wanneer zij met een hoofdletter worden geschreven:

a) Betrokkene: degene op wie een persoonsgegeven betrekking heeft als bedoeld in artikel 4 sub 1 AVG.

b) Verwerker: degene die ten behoeve en in opdracht van Verwerkingsverantwoordelijke persoonsgegevens verwerkt, zonder zeggenschap te hebben over het doel van en de middelen voor de verwerking van

persoonsgegevens (ook “Verwerker”/”Processor” genoemd in artikel 4 sub 8 AVG).

c) Datalek: een door Verwerker geconstateerde inbreuk op de beveiligingsmaatregelen (een beveiligingsincident), waarbij persoonsgegevens verloren zijn gegaan, of onrechtmatige verwerking redelijkerwijs niet valt uit te sluiten (artikel 4 sub 12 AVG).

d) Beveiligingsincident: Een gebeurtenis waarbij de mogelijkheid bestaat dat de beschikbaarheid, integriteit of vertrouwelijkheid van informatie of informatie verwerkende systemen in gevaar is of kan komen.

e) Persoonsgegevens: gegevens betreffende een geïdentificeerde of identificeerbare natuurlijke persoon, welke Verwerker bij of in verband met het uitvoeren van de diensten van Verwerkingsverantwoordelijke verwerkt (artikel 4 sub 1 AVG).

f) Verwerkingsverantwoordelijke: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt;

g) Verwerking: verzamelen, vastleggen en ordenen, bewaren, bijwerken en wijzigen, opvragen, raadplegen en gebruiken, verstrekken, verspreiden, koppelen en of afschermen, wissen of vernietigen van persoonsgegevens (artikel 4 sub 2 AVG).

2 Doeleinden van de verwerking

2.1 Verwerker verbindt zich onder de voorwaarden van deze Verwerkersovereenkomst in opdracht van Verwerkingsverantwoordelijke Persoonsgegevens te verwerken. Verwerking zal uitsluitend plaatsvinden in het kader van in overweging sub B genoemde diensten, plus die doeleinden die daarmee redelijkerwijs samenhangen. De categorieën van Betrokkenen, het soort Persoonsgegevens, de aard en het doel waarvoor de Persoonsgegevens worden verwerkt zijn opgenomen in Bijlage 1.

2.2 Verwerker zal de Persoonsgegevens niet voor andere doeleinden gebruiken dan voor het doel a) als bedoeld in het voorgaande lid, b) conform schriftelijke instructies van Verwerkingsverantwoordelijke of c) in verband met een wettelijke verplichting.

2.3 Verwerker zal de Persoonsgegevens niet aan een derde verstrekken, tenzij deze uitwisseling plaatsvindt in opdracht van Verwerkingsverantwoordelijke in het kader van de uitvoering van de Verwerkersovereenkomst of wanneer dit noodzakelijk is om te voldoen aan een wettelijke verplichting.

2.4 Verwerkingsverantwoordelijke heeft en houdt zelfstandige en volledige zeggenschap over het doel en de middelen van de Verwerking van de Persoonsgegevens. Verwerkingsverantwoordelijke staat in voor de rechtmatige verkrijging van de Persoonsgegevens, waaronder de eventueel noodzakelijke uitdrukkelijke toestemming van de Betrokkene(n).

2.5 Verwerker bewerkstelligt dat met elk bevoegd personeelslid, die betrokken is bij de Verwerking van de Persoonsgegevens een geheimhoudingsovereenkomst is gesloten.

3 Beveiliging

3.1 Verwerkingsverantwoordelijke zal in overeenstemming met de geldende wettelijke regels de beveiliging van de Persoonsgegevens waarborgen en daartoe passende technische en organisatorische maatregelen treffen.

3.2 Verwerker zal waar zij in opdracht van Verwerkingsverantwoordelijke Persoonsgegevens verwerkt gedurende de looptijd van deze Verwerkersovereenkomst passende technische en organisatorische maatregelen treffen om Persoonsgegevens te beveiligen tegen verlies of onrechtmatige verwerking. Deze maatregelen zullen, rekening houdend met de stand van de techniek en de kosten betrekking hebbende op de implementatie en tenuitvoerlegging van de

maatregelen, een passend beveiligingsniveau bieden gelet op de risico’s die de Verwerking van de Persoonsgegevens, en de aard daarvan, met zich meebrengen. Voor een actuele beschrijving van de technische en organisatorische maatregelen die Verwerker in opdracht van Verwerkingsverantwoordelijke neemt wordt verwezen naar Bijlage 2 bij deze Verwerkersovereenkomst.

4 Datalekken en meldplicht

4.1 Indien Verwerker een Datalek of Beveiligingsincident vaststelt, zal Verwerker Verwerkingsverantwoordelijke onverwijld (binnen één (1) werkdag) informeren. Beide partijen zullen zich binnen het kader van deze Verwerkersovereenkomst inspannen om verder verlies of onrechtmatige verwerking van Persoonsgegevens te verhinderen en herhaling te voorkomen.

4.2 In geval van een Datalek of Beveiligingsincident zal Verwerker alle redelijke maatregelen treffen om de gevolgen van het Datalek of Beveiligingsincident te beperken en/of een nieuw incident te voorkomen, tegen vergoeding van de redelijke kosten door Verwerkingsverantwoordelijke. Verwerker zal daarbij medewerking verlenen aan Verwerkingsverantwoordelijke om het Datalek te beoordelen en te kunnen voldoen aan haar eventuele wettelijke meldplicht en haar eventuele plicht tot het informeren van Xxxxxxxxxxx.

4.3 In geval van een Datalek bij Verwerker dat leidt tot een meldplicht of een informatieplicht voor Verwerkingsverantwoordelijke, zal de melding of in de informatieverstrekking in overleg met Verwerker door Verwerkingsverantwoordelijke worden verricht. Partijen zullen in goed overleg afspraken maken over de verdeling van de kosten die daarmee zijn gemoeid.

4.4 Partijen leggen hun afspraken over de informatie-uitwisseling in verband met incidenten vast in een “Procedure Meldplicht Datalekken” in Bijlage 3.

5 Verzoeken van Betrokkenen

5.1 Indien Verwerker een verzoek of bezwaar van een Betrokkene ontvangt, zoals een verzoek om informatie, inzage, rectificatie, gegevenswissing, verwerkingsbeperking, overdracht van de Persoons-gegevens, zoals bedoeld in hoofdstuk III AVG, stuurt Verwerker dat verzoek onmiddellijk door naar Verwerkingsverantwoordelijke.

5.2 Verwerker verleent Verwerkingsverantwoordelijke alle redelijke medewerking om ervoor te zorgen dat Verwerkingsverantwoordelijke binnen de wettelijke termijnen kan voldoen aan de verplichtingen op grond van de geldende wet- en regelgeving. De redelijke kosten voor deze medewerking zullen door Verwerkingsverantwoordelijke aan Verwerker worden vergoed.

6 Vertrouwelijkheid, toegang en controle

6.1 Verwerker is gehouden alle gegevens die hem bij de uitvoering van zijn werkzaamheden bekend raken, waarvan de vertrouwelijkheid hem is medegedeeld of waarvan hij de vertrouwelijkheid diende te beseffen, geheim te houden.

6.2 De zeggenschap over de Persoonsgegevens blijft volledig berusten bij Verwerkingsverantwoordelijke. Op verzoek van Verwerkingsverantwoordelijke en tegen vergoeding van de kosten zal Verwerker alle of een gedeelte van de Persoonsgegevens in gangbaar formaat ter beschikking stellen aan Verwerkingsverantwoordelijke.

6.3 Verwerkingsverantwoordelijke heeft het recht om informatie van Verwerker te verlangen inzake de verwerking van Persoonsgegevens door Verwerker ter controle op de naleving van deze Verwerkersovereenkomst.

6.4 Op verzoek van Verwerkingsverantwoordelijke en vergoeding van de kosten van Verwerker kan Verwerker medewerking verlenen bij de uitvoering van Privacy Impact Assessments (artikel 35 AVG) en voorafgaande controle door de toezichthoudende autoriteit (artikel 36 AVG).

6.5 Verwerker zal in overleg met Verwerkingsverantwoordelijke aanbevelingen ter verbetering van de Verwerking van Persoonsgegevens en de beveiliging daarvan als gevolg van gewijzigde inzichten of wetgeving aan Verwerkingsverantwoordelijke voorleggen, waarbij Verwerkingsverantwoordelijke de redelijke kosten voor deze aanpassingen zal vergoeden.

7 Aansprakelijkheid

7.1 De aansprakelijkheid van Verwerker voor schade als gevolg van een toerekenbare tekortkoming in de nakoming van de Verwerkersovereenkomst, dan wel uit onrechtmatige daad of anderszins, wordt geregeld in de toepasselijke Algemene Voorwaarden van Verwerker.

7.2 Verwerkingsverantwoordelijke vrijwaart Verwerker voor boetes en/of dwangsommen van of namens de Autoriteit Persoonsgegevens en/of andere bevoegde autoriteiten die aan Verwerker worden opgelegd en waarbij vast is komen te staan dat deze zijn toe te schrijven aan overtredingen van de geldende privacywetgeving door Verwerkingsverantwoordelijke.

8 Sub-Verwerker en locatie

8.1 Verwerkingsverantwoordelijke staat Verwerker toe de Persoonsgegevens door anderen dan eigen personeel (sub- Verwerkers) te laten verwerken in het kader van de diensten van Verwerker. De door Verwerker aangewezen sub- Verwerker(s), dienen minimaal te voldoen aan de bepalingen uit deze Verwerkersovereenkomst en alle voortvloeiende verplichtingen uit de AVG.

8.2 In geval van veranderingen inzake de toevoeging of vervanging van een sub-Verwerker zal Verwerker Verwerkingsverantwoordelijke informeren.

8.3 Verwerker ziet er op toe en garandeert dat de Verwerking van de door Verwerkingsverantwoordelijke verstrekte Persoonsgegevens uitsluitend binnen de Europese Unie plaats zal vinden.

8.4 Verwerkingsverantwoordelijke zal Verwerker informeren over de bewaartermijnen van de Persoonsgegevens, welke in elk geval niet langer zijn dan noodzakelijk is voor de uitvoering van de diensten van Verwerker vermeld onder overweging sub B.

9 Geldigheid en duur

9.1 Deze Verwerkersovereenkomst is geldig vanaf datum ondertekening door beide partijen, voor de duur van de diensten die geleverd worden door Verwerker aan Verwerkingsverantwoordelijke als vermeld onder overweging sub B.

9.2 Wijzigingen van deze Verwerkersovereenkomst zijn slechts geldig indien deze door wederzijdse instemming van Verwerkingsverantwoordelijke en Verwerker schriftelijk zijn overeengekomen.

9.3 Beëindiging van de diensten door Verwerker aan Verantwoordelijke als vermeld onder overweging sub B leidt tot het binnen een redelijke termijn, naar keuze van Verwerkingsverantwoordelijke, retourneren, verwijderen of vernietigen van de Persoonsgegevens die door Verantwoordelijke zijn verstrekt aan Verwerker.

9.4 Verwerker kan afwijken van het in het voorgaande lid bepaalde, voor zover ten aanzien van Persoonsgegevens een wettelijke bewaartermijn zou gelden of voor zover dat noodzakelijk is om tegenover Verwerkingsverantwoordelijke nakoming van zijn verplichtingen te bewijzen.

10 Toepasselijk recht en geschillenbeslechting

10.1 Deze Verwerkersovereenkomst en de uitvoering daarvan wordt beheerst door Nederlands recht.

10.2 Geschillen, welke tussen partijen ontstaan in verband met deze Verwerkersovereenkomst, zullen worden voorgelegd aan de bevoegde rechter van de Rechtbank Den Haag.

AKKOORDVERKLARING:

Aldus opgesteld en in tweevoud getekend te Den Haag.

Locatie, datum: ‘s-Gravenhage, ..…..-…....-…………

Naam organisatie: Flying Bytes Mobile B.V.

Naam vertegenwoordiger: De heer N. xxx xxx Xxxx

Functie vertegenwoordiger: Directeur

Handtekening: ………………………………

Locatie, datum: ……………………………….

Naam organisatie: ……………………………….

Naam vertegenwoordiger: ……………………………….

Functie vertegenwoordiger: ……………………………….

Handtekening: ……………………………….

BIJLAGE 1 – CATEGORIEËN, SOORT, AARD, DOEL EN CONTACTGEGEVENS

A. Categorieën Betrokkenen

De personen waarop de Persoonsgegevens betrekking hebben zijn in ieder geval:

- Klanten of Medewerkers van Verwerkingsverantwoordelijke

B. Soort Persoonsgegevens

De Persoonsgegevens die door VERWERKER worden verwerkt zijn in ieder geval:

- Naam, Werklocatie, Werktijden, Telefoonnummers en Emailadressen.

C. Aard en doel van de verwerking

De aard van de verwerking is het registreren van werktijden.

De Persoonsgegevens worden in ieder geval voor de volgende doelen verwerkt:

- Veiligheid. Verwerkersverantwoordelijke weet altijd welke Medewerker(s) van Verwerkingsverantwoordelijke aanwezig is (zijn) op werklocatie(s). Bijvoorbeeld bij Klanten van Verwerkingsverantwoordelijke.

- Controle op- en beheer van gewerkte uren door Medewerkers van Verwerkingsverantwoordelijke.

D. Contactgegevens

Voor vragen of opmerkingen over de Verwerkersovereenkomst en Bijlagen is de contactpersoon van VERANTWOORDELIJKE: ………………………….

………………………….

VERWERKER: Flying Bytes Mobile B.V.

000 0000000

Versie

1.0

BIJLAGE 2 - BESCHRIJVING INFORMATIEBEVEILIGING FLYING BYTES

Hier een korte opsomming van technische en organisatorische maatregelen zoals:

- ISO 27001 certificering

- Logische toegangscontrole, gebruikmakend van:

o Inlognamen en wachtwoorden

- Automatische logging van alle handelingen rond de persoonsgegevens

- Fysieke maatregelen voor toegangsbeveiliging (datacenter)

- Organisatorische maatregelen voor toegangsbeveiliging (datacenter)

- Beveiliging van netwerkverbindingen via Secure Socket Layer (SSL) technologie

- Anti-DDos beveiliging

- Redundante firewall

- Doelgebonden toegangsbeperkingen

- Controle op toegekende bevoegdheden

- Beveiligde ruimte voor opslag van gegevensbestanden (datacenter)

BIJLAGE 3 – AFSPRAKEN MELDPLICHT DATALEKKEN

Tussen Partijen zijn met betrekking tot de meldplicht datalekken de volgende afspraken gemaakt:

1) Verwerker registreert Datalekken en Beveiligingsincidenten voor zover deze worden geconstateerd door haar diensten;

2) In geval van een Datalek of Beveiligingsincident informeert Verwerker Verwerkingsverantwoordelijke binnen één werkdag en zal de relevante informatie over het Datalek of Beveiligingsincident melden aan de hand van de hieronder opgenomen vragenlijst;

3) Verwerkingsverantwoordelijke zal beoordelen of een melding verricht dient te worden bij de AP. Verwerkingsverantwoordelijke zal daarbij in overleg treden met Verwerker;

4) Voordat Verwerkingsverantwoordelijke de melding bij de AP verricht zal Verwerkingsverantwoordelijke de inhoud van de melding met Verwerker bespreken;

5) Indien Verwerkingsverantwoordelijke oordeelt dat tevens betrokkenen geïnformeerd dienen te worden, zal Verwerkingsverantwoordelijke de inhoud van die informatie met Verwerker bespreken.

Versie

1.0

BIJLAGE 4 – VRAGENLIJST BIJ DE PROCEDURE MELDPLICHT DATALEKKEN

De contactpersonen bij Verwerkingsverantwoordelijke voor de meldplicht datalekken zijn: [A + gegevens]

[B + gegevens]

Verwerker zal bij een Datalek de volgende vragen beantwoorden:

Geef een omschrijving van het Datalek:

……………………………………………………………………………………………………………………...

De persoonsgegevens van hoeveel personen zijn getroffen door het Xxxxxxx?

……………………………………………………………………………………………………………………...

Omschrijf de groep personen waarop de Persoonsgegevens betrekking hebben.

……………………………………………………………………………………………………………………...

Is er sprake van één van deze specifieke groepen personen (omcirkel het antwoord):

Ouderen: JA / NEE Kinderen: JA / NEE

Zieken of mensen met een verstandelijke beperking: JA / NEE

Datum en tijdstip van het Datalek:

………………………………………………………………………………………………………………………

Wanneer is het Datalek ontdekt?

……………………………………………………………………………………………………………………...

Wat is de aard van de inbreuk? Omcirkel de antwoorden en vul in waar nodig.

Kan een onbevoegde de gegevens lezen: JA / NEE

Kunnen/zijn de gegevens (worden) gekopieerd door een onbevoegde: JA / NEE Kunnen/zijn de (bron)gegevens (worden) gewijzigd (bijv. hack in het systeem): JA / NEE

Kunnen/zijn de (bron)gegevens (worden) verwijderd of vernietigd (bijv. ransom ware of brand datacenter): JA / NEE Zijn de gegevens gestolen: JA / XXX

Overig: ……………………………………………………………………………………………………………

(invullen, of als de aard niet bekend is: “onbekend” invullen)

Om welk type gegevens gaat het? Omcirkel de antwoorden en vul in waar nodig:

Naam-, adres- en woonplaatsgegevens: JA / NEE Telefoonnummer: JA / NEE

E-mailadres of andere adres voor elektronische communicatie: JA / NEE

Inloggegevens (gebruikersnaam/wachtwoord, klantnummer of ander identificatienummer): JA / NEE, zo ja; welke gegevens zijn het: (invullen)

Geslacht: JA / NEE

Geboortedatum en/of leeftijd: JA / NEE (Pas)foto: JA / NEE

Biometrische gegevens (bijv. vingerafdruk, DNA): JA / NEE,

zo ja; welke gegevens zijn het: (invullen)

Geregistreerde werktijden: JA / NEE

zo ja; welke gegevens zijn het: (invullen)

Overige gegevens (invullen)

Welke gevolgen kan de inbreuk hebben voor de getroffen personen? Omcirkel de antwoorden en vul in waar nodig:

Stigmatisering of uitsluiting: JA / NEE Schade aan de gezondheid: JA / NEE Xxxx op identiteitsfraude: JA / NEE

Kans op financiële schade (bijv. fraude met creditcardgegevens): JA / NEE Blootstelling aan spam of phishing: JA / NEE

Andere gevolgen, namelijk: (invullen)

Omschrijf welke technische en organisatorische maatregelen zijn getroffen om de inbreuk aan te pakken en om verdere inbreuken te voorkomen?

……………………………………………………………………………………………………………………...

Zijn de gelekte persoonsgegevens beveiligd? Omcirkel de antwoorden en vul in waar nodig:

Zijn de gegevens versleuteld: JA /NEE,

zo ja; welke versleuteling (invullen)

geldt deze versleuteling voor alle persoonsgegevens of voor een deel? Indien voor een deel, voor welk deel:

………………………………………………………………………………………….…… (invullen) Zijn de gegevens gehasht: JA /XXX,

zo ja; op welke wijze (invullen)

Kunnen de gegevens vanaf afstand worden gewist: JA /NEE,

zo ja; is dat gebeurd en wanneer is dat gebeurd (invullen)

Zijn de gegevens op een andere manier onbegrijpelijk of ontoegankelijk gemaakt: JA /NEE, zo ja; op welke manier: (invullen)

Zijn er Persoonsgegevens van personen in andere EU-landen getroffen door het Datalek? Zo ja, welke uit welke landen:

……………………………………………………………………………………………………………………....

Document Metadata

Table of Contents

verwerkersovereenkomst

Document Metadata

verwerkersovereenkomst

3

3

4

8

9

10

11

12

Document Metadata