Verwerkersovereenkomst
Verwerkersovereenkomst
Algemene beschrijving
De verwerker zal voor verwerkingsverantwoordelijke diensten verlenen welke zijn overeengekomen t.b.v. de werkdrukmeter zoals hieronder omschreven, waarbij verwerker voor en ten behoeve van verwerkingsverantwoordelijke alle persoonsgegevens als bedoeld in de Algemene Verordening Gegevensbescherming hierna te noemen “AVG” en beschreven hieronder verwerkt welke persoonsgegevens verwerkingsverantwoordelijke toekomen (hierna te noemen “de persoonsgegevens”). Het is de verwerker niet toegestaan de persoonsgegevens voor eigen doeleinden te verwerken en/of aan derden te verstrekken.
Over de werkdruktemeter
De werkdruktemeter is ontwikkeld in opdracht van het Verbond van verzekeraars voor medewerkers, leidinggevenden en (arbo-)coördinatoren van verzekeringsmaatschappijen. Doel van de werkdruktemeter is om het onderwerp werkdruk op constructieve wijze op de agenda te krijgen waardoor werknemers en werkgevers samen actief en op een positieve manier rondom werkdruk en werkplezier in gesprek kunnen gaan en waar nodig in beweging komen.
Alle verzekeringsmaatschappijen in Nederland kunnen gebruikmaken van deze tool. Een contactpersoon vraagt vanuit de organisatie online een licentiecode aan. Deze contactpersoon wordt de coördinator van het bedrijf. Met deze licentiecode krijgt de coördinator toegang tot het dashboard. Met het accepteren van de licentiecode gaat de coördinator automatisch akkoord met deze verwerkersovereenkomst van de werkdruktemeter.
Een bedrijf dat besluit de werkdruktemeter te gebruiken is zelf verantwoordelijk voor het invoeren van de data die nodig zijn om de werkdruktemeter in de organisatie te kunnen gebruiken. De deelnemende verzekeraar is dus verwerkingsverantwoordelijke voor de in de werkdruktemeter verwerkte persoonsgegevens. De verwerker is Markant IT te Vreeland.
Welke gegevens worden verwerkt?
Van deelnemers aan de werkdruktemeter wordt het volgende verwerkt:
• Voor- en achternaam
• E-mailadres
Uiteraard wordt zorgvuldig omgegaan met persoonsgegevens. De data van deze werkdruktemeter worden samengevoegd en anoniem verwerkt. De persoonlijke gegevens van de medewerker worden niet gekoppeld aan de uitslag. Er is dus géén link tussen de medewerker en zijn of haar antwoorden: hierdoor wordt anonimiteit gewaarborgd.
Bewaartermijn van de gegevens
Persoonsgegevens worden niet langer bewaard dan strikt nodig is om de doelen te realiseren waarvoor gegevens worden verzameld. Verwerker verplicht zich tot naleving van onderstaande bewaartermijnen:
Omschrijving | Bewaartermijn |
Voor- en achternaam coördinator | 1 jaar* |
E-mailadres coördinator | 1 jaar* |
Voornaam leidinggevende (na uitnodiging door coördinator) | 4 weken |
Voornaam leidinggevende (na registratie door leidinggevende) | 6 maanden* |
E-mailadres leidinggevende (na uitnodiging door coördinator) | 4 weken |
E-mailadres leidinggevende (na registratie door leidinggevende) | 6 maanden* |
Voornaam medewerker | 4 weken |
E-mailadres medewerker | 4 weken |
* De coördinator en de leidinggevende krijgen 4 weken voor afloop van de termijn een mail, met daarin de optie om deze met eenzelfde termijn te verlengen.
Geheimhoudingsplicht
Personen in dienst van of werkzaam voor de verwerker hebben een geheimhoudingsplicht.
Beveiliging
De verwerker zal technische en organisatorische maatregelen nemen met betrekking tot de te verrichten verwerkingen van persoonsgegevens om verlies of onrechtmatige verwerking (zoals onbevoegde kennisname, aantasting, wijziging of verstrekking van de gegevens) te voorkomen.
Dit omvat ten minste de volgende maatregelen:
• Pseudonomisering en versleuteling van persoonsgegevens;
• Beveiliging en Privacy Enhancing Technologies.
De verwerker zorgt ervoor dat het personeel dat bevoegd is om de persoons- gegevens te verwerken zich tot vertrouwelijkheid verbindt gedurende en na hun dienstverband (bijvoorbeeld door middel van een geheimhoudingsovereenkomst), voor zover het niet reeds tot een wettelijke verplichting tot geheimhouding is gehouden.
De verwerker erkent dat deze bedoelde technische en organisatorische maatregelen in de loop van de tijd kunnen veranderen en dat effectieve beveiligingsmaatregelen regelmatige evaluatie en verbetering van de maatregelen vereisen. De verwerker zal deze maatregelen derhalve regelmatig evalueren, aanscherpen en/of verbeteren om te (blijven) voldoen aan de eisen en verplichtingen zoals hier genoemd.
Andere verplichtingen
Als een betrokkene een beroep doet op zijn rechten als bedoeld in de AVG zal de verwerkingsverantwoordelijke dit verzoek behandelen. De verwerker zal daaraan medewerking verlenen. De verwerker helpt verwerkingsverantwoordelijke ook om andere verplichtingen na te komen. Zoals bij het melden van datalekken, het uitvoeren van een data protection impact assessment (DPIA) en bij een voorafgaande raadpleging.
Het melden van datalekken
Verwerker zal de verwerkingsverantwoordelijke binnen 24 uur informeren over een datalek en daarbij o.a. informatie verstrekken over de aard en omvang van het datalek en de daarbij getroffen maatregelen.
Subverwerkers
Voor de hosting van de werkdruktemeter wordt gebruik gemaakt van TransIP B.V., gevestigd aan Vondellaan 47, 2332 AA te Leiden, ingeschreven bij de Kamer van Koophandel onder nummer 24345899. De persoonsgegevens worden opgeslagen op een server in Nederland.
De verwerker schakelt geen andere subverwerker(s) in zonder voorafgaande schriftelijke toestemming van verwerkingsverantwoordelijke. De verwerker legt aan een subverwerker in een subverwerkersovereenkomst dezelfde verplichtingen op als de verwerker richting verwerkingsverantwoordelijke heeft.
Verantwoordingsplicht
1. Verwerker voorziet verwerkingsverantwoordelijke van de noodzakelijke informatie waardoor de verwerkingsverantwoordelijke een oordeel kan vormen over de naleving door verwerker van deze overeenkomst.
2. Verwerker licht op eerste verzoek van verwerkingsverantwoordelijke de opzet en werking toe van het stelsel van maatregelen en procedures, gericht op de naleving van deze overeenkomst.
3. De verwerkingsverantwoordelijke heeft met betrekking tot de persoonsgegevens verwerkingen het recht om de technische en organisatorische beveiligingsmaatregelen die de verwerker heeft getroffen te onderzoeken gedurende de duur van deze overeenkomst. In dit kader heeft de verwerkingsverantwoordelijke heeft het recht om alle relevante rapporten inzake IT beveiliging of privacy audits op te vragen bij de verwerker. Daarnaast heeft de verwerkings-verantwoordelijke het recht om audits uit te voeren inzake de persoonsgegevens verwerkingen door de verwerker. De verwerker zal de verwerkingsverantwoordelijke alle nodige informatie verschaffen voor het uitvoeren van deze audits.
Op verzoek kan verwerkingsverantwoordelijke een security audit (laten) uitvoeren op de relevante generieke infrastructuur, klantspecifieke infrastructuur en het informatiebeveiligingsbeleid van de verwerker door daartoe gekwalificeerde medewerkers en/of derden.
Een audit die zal plaatsvinden op de infrastructuur en systemen die voor meerdere klanten worden ingezet is toegestaan, mits de belangen van deze klanten niet geschaad worden. Dit zal vooraf door Verwerker worden bepaald.
De verwerker en haar subverwerker zullen de auditors die optreden namens verwerkingsverantwoordelijke met betrekking tot een audit voorzien van alle redelijke medewerking en toegang tot de faciliteiten waar persoonsgegevens verwerkt worden.
Gebruik van cookies
De werkdruktemeter gebruikt alleen functionele cookies die noodzakelijk zijn voor de werking van het instrument.
Aansprakelijkheid
1. Indien verwerker schade veroorzaakt als een direct gevolg van het niet naleven van deze overeenkomst dan wel de wettelijke regels en/of voorschriften op het gebied van bescherming van persoonsgegevens, is verwerker voor deze schade aansprakelijk.
2. De verwerker kan nimmer aansprakelijk worden gesteld voor schade voor zover deze veroorzaakt is door het niet naleven door verwerkingsverantwoordelijke van de overeenkomst, dan wel de wettelijke regels en/of voorschriften op het gebied van bescherming van persoonsgegevens.