Verwerkersovereenkomst

De AVG stelt regels voor de bescherming van Persoonsgegevens in de hele EU en heeft gevolgen voor elke dienstverlener die op welke manier dan ook Persoonsgegevens gebruikt.

1. Omdat Xxxxx in het kader van ontwikkelen, testen en beheren, Persoonsgegevens verwerkt, is Xibis volgens de AVG-richtlijnen, verplicht een Verwerkersovereenkomst af te sluiten met haar klanten, hierna te noemen “Opdrachtgever”.

2. Deze Verwerkersovereenkomst treedt in werking vanaf het moment van ondertekening, start van het project en/of een in de opdrachtbevestiging aangegeven startdatum en is onderdeel van alle rechtsgeldige Overeenkomsten en/of (mondelinge) afspraken tussen Xibis en Opdrachtgever.

3. De Verwerkersovereenkomst eindigt automatisch op het moment dat de verwerking van persoonsgegevens eindigt. De Verwerkersovereenkomst kan niet apart worden opgezegd.

4. Na beëindiging van deze Verwerkersovereenkomst zullen de lopende verplichtingen voor Xibis, zoals het melden van Datalekken, waarbij de Persoonsgegevens van Opdrachtgever betrokken zijn, en de plicht tot geheimhouding blijven voortduren.

2. Verwerking Persoonsgegevens

1. Xibis zal alleen Persoonsgegevens verwerken in overeenstemming met de AVG-vereisten die rechtstreeks van toepassing zijn op de producten en diensten van Xibis.

2. Xibis verwerkt enkel de persoonsgegevens binnen de op grond van de Overeenkomst te leveren diensten en conform de schriftelijke instructies van Opdrachtgever.

3. Xxxxx houdt zich aan de wet en verwerkt de gegevens op een behoorlijke, zorgvuldige en transparante wijze.

4. Opdrachtgever is de Gegevensbeheerder en heeft en behoudt de volledige controle over de Persoonsgegevens van Opdrachtgever.

5. Xibis zal de Persoonsgegevens van Opdrachtgever niet op een andere manier verwerken, tenzij Opdrachtgever daar van te voren toestemming of opdracht voor geeft.

6. De maximale Persoonsgegevens die partijen verwachten te verwerken betreffen de door Opdrachtgever rechtmatig verstrekte NAW gegevens en alle andere gegevens die Opdrachtgever wenst in te voeren in de software. Daarnaast maakt Xibis, in het kader van testen, ontwikkelen van software en analyseren van problemen, gebruik van back-ups en datadumps.

7. Opdrachtgever verklaart te handelen in overeenstemming met de AVG en voldoet aan de nakoming van haar verplichtingen krachtens de toepasselijke wetgeving.

8. Opdrachtgever garandeert de rechtmatigheid van het gebruik, de verwerking, de archivering, het doel van het gebruik en de uitwisseling van Persoonsgegevens van Opdrachtgever en/of ieder ander gebruik, zoals die voortvloeien uit de tenuitvoerlegging van deze Verwerkersovereenkomst.

9. Xibis zal volledige medewerking verlenen opdat Opdrachtgever kan voldoen aan haar wettelijke verplichtingen als een Betrokkene zijn of haar rechten uitoefent op grond van toepasselijke regelgeving betreffende de verwerking van persoonsgegevens. Onder de plichten van de AVG vallen onder andere het kunnen voldoen aan de volgende rechten van de Betrokkene: het recht van inzage, recht op rectificatie, recht op verwijdering van gegevens, recht op beperking van de verwerking en recht op kennisgeving van acties uitgevoerd als gevolg van voorgenoemde rechten.

10. Xibis mag zonder voorafgaande schriftelijke toestemming van Opdrachtgever, Persoonsgegevens niet verwerken, overdragen, wijzigen, veranderen, aanvullen of openbaar maken aan andere personen of organisaties.

11. Xxxxx Xxxxx een daartoe strekkend verzoek, als in lid 9 bedoeld, van een Betrokkene ontvangt, zal Xibis Opdrachtgever onmiddellijk hierover informeren. Opdrachtgever zal Xibis laten weten of Xibis, namens Opdrachtgever, kan reageren op het verzoek en zo ja, op welke wijze.

12. Onverminderd haar verplichtingen uit de Overeenkomst, zal Xibis in een voorkomend geval onmiddellijk de persoonsgegevens corrigeren of anderszins aanpassen, in overeenstemming met de instructies van Opdrachtgever.

13. Wanneer Xxxxx met toestemming van Opdrachtgever andere organisaties inschakelt, moeten zij minimaal voldoen aan de eisen die zijn opgenomen in deze Verwerkersovereenkomst.

3. Beveiligen van Persoonsgegevens

1. Xibis zorgt ervoor dat de Persoonsgegevens voldoende beveiligd worden. Om verlies en onrechtmatige verwerkingen te voorkomen neemt Xxxxx passende technische en organisatorische maatregelen.

2. Deze maatregelen zijn afgestemd op het risico van de verwerking, geclassificeerd als zijnde normaal. Een overzicht van deze maatregelen en het beleid daarover is opgenomen in Bijlage 1.

3. Xibis zal ervoor zorgen dat voor personeelsleden van Xibis of Sub-verwerkers die toegang hebben tot de Persoonsgegevens van Opdrachtgever, de toegang strikt beperkt blijft tot alleen die relevante Persoonsgegevens die nodig zijn om de werkzaamheden uit te voeren.

4. Alle bovengenoemde personen zullen door Xibis op de hoogte gesteld worden van:

a. Het vertrouwelijke karakter van de Persoonsgegevens en bewust worden gemaakt van de verplichtingen van Xibis krachtens deze Verwerkersovereenkomst met betrekking tot de Persoonsgegevens

b. Hun verantwoordelijkheden

c. De vertrouwelijkheidsverplichtingen of professionele of wettelijke verplichtingen van vertrouwelijkheid

5. Wanneer Xxxxx of Opdrachtgever vindt dat een wijziging in de te nemen beveiligingsmaatregelen noodzakelijk is, zal overleg gevoerd worden over de wijziging daarvan.

4. Gebruik van Sub-verwerkers

1. Opdrachtgever erkent en aanvaardt dat Xibis met betrekking tot haar producten en diensten Sub-verwerkers kan aanstellen voor de Verwerking van Persoonsgegevens.

2. Indien een Sub-verwerker ingezet wordt voor de uitvoering van de werkzaamheden gespecificeerd in de Overeenkomsten en/of (mondelinge) afspraken met Opdrachtgever zal dit vooraf met Opdrachtgever worden afgestemd.

3. Xibis zal, door middel van een contract of ander wettelijk document ervoor zorgen dat elke Sub- verwerker onderworpen is aan verplichtingen met betrekking tot de Verwerking van Persoonsgegevens die niet minder beschermend zullen zijn dan de verplichtingen waaraan Xibis is onderworpen onder deze Verwerkersovereenkomst.

4. Wanneer de Sub-verwerker zijn verplichtingen inzake gegevensbescherming niet nakomt, blijft Xibis ten aanzien van Opdrachtgever volledig aansprakelijk voor het nakomen van de verplichtingen van Sub-verwerker.

5. Datalekken

1. Conform AVG vereisten, is Opdrachtgever als Gegevensbeheerder verantwoordelijk voor het melden van eventuele Datalekken bij de Autoriteit Persoonsgegevens (AP). Xxxxx zal daarom zelf geen meldingen doen bij de AP.

2. Indien zich een incident voordoet zal Xibis Opdrachtgever zonder vertraging informeren met een streeftermijn van 12 uur doch uiterlijk 72 uur na het ontdekken van de Datalek met de in artikel 33, lid 3 van de AVG aangegeven informatie, zodat Opdrachtgever als verantwoordelijke aan zijn verplichtingen kan voldoen.

3. De beoordeling of er sprake is van een Datalek ligt bij Opdrachtgever. Opdrachtgever neemt hierin de lead en beoordeelt of een Datalek moet worden gemeld. Xxxxx zal hierin alle gevraagde medewerking verlenen.

4. Indien Opdrachtgever een (voorlopige) melding verricht bij de AP en/of de Betrokkene(n) over een Datalek bij Xibis, zonder dat Opdrachtgever dit vooraf heeft besproken met Xibis, is Opdrachtgever aansprakelijk voor eventuele door Xibis geleden schade en kosten.

5. Voor het bepalen van een Datalek, gebruikt Xibis de AVG en de Beleidsregels Meldplicht Datalekken als leidraad.

6. Aansprakelijkheid

1. Xibis is jegens Opdrachtgever aansprakelijk voor de schade die door verwerking van de persoonsgegevens is veroorzaakt wanneer bij de verwerking niet is voldaan aan de specifiek tot Xibis gerichte verplichtingen opgenomen in deze Verwerkersovereenkomst en/of Xibis handelt in strijd met de AVG verordening. Onder Xxxxx wordt in het verband van dit artikel verstaan Xibis, haar werknemers en/of door haar ingeschakelde derden, waaronder sub-verwerkers.

2. In verband met dit artikel, vrijwaart Xibis Opdrachtgever voor alle schade, boetes, claims van derden (waaronder Betrokkenen) en onkosten van Opdrachtgever. Dit geldt ook indien er in strijd met de rechtmatige instructies van Opdrachtgever is gehandeld.

7. Teruggave Persoonsgegevens en bewaartermijn

1. Deze Verwerkersovereenkomst maakt onderdeel uit van Overeenkomsten en/of (mondelinge) afspraken tussen Partijen en treedt voor onbepaalde tijd in werking op het moment van totstandkoming van de Overeenkomsten en/of (mondelinge) afspraken.

2. In het kader van de doorlopende aard van de relatie tussen Partijen, zullen Persoonsgegevens, met toestemming van Opdrachtgever bewaard blijven na beëindiging van de Overeenkomsten en/of (mondelinge) afspraken tot zolang dit binnen de relatie tussen Partijen nodig is.

3. Mocht Opdrachtgever de gegevens verwijderd willen hebben, kan daarvoor een schriftelijk verzoek ingediend worden bij Xibis. Xibis verplicht zich daar direct en in ieder geval binnen negentig kalenderdagen na verzoek, gehoor aan te geven.

4. Contactgegevens Xibis: xxxx@xxxxx.xx of 0000-000 000.

Overzicht met beveiligingsmaatregelen

Hieronder is een overzicht van de beveiligingsnormen die opgenomen zijn in deze Verwerkersovereenkomst. Om vast te stellen wat passende beveiligingsmaatregelen zijn is een afweging gemaakt op basis van de risico’s van de verwerking aan de hand van onder meer de volgende punten:

• Het soort Persoonsgegevens dat verwerkt wordt (normaal, bijzonder of gevoelig) en eventueel de daarbij behorende (risico)classificatie die Xibis zelf aan de gegevens heeft gegeven

• De hoeveelheid Betrokkenen van wie gegevens worden verwerkt

• Het doel waarvoor gegevens worden verwerkt

• De duur en de wijze waarop gegevens bewaard moeten worden

Er wordt onderscheid gemaakt tussen organisatorische beveiligingseisen, zoals het voorkomen van diefstal van een laptop met daarop Persoonsgegevens uit de auto, en technische beveiligingseisen, zoals een uitgebreide IT omgeving die beveiligd wordt tegen virussen en waar encryptie van de gegevens wordt toegepast.

Technische beveiligingsmaatregelen

✓ Up-to-date virusscan

✓ Unieke inlogcode en wachtwoord (regelmatig aanpassen)

✓ Geen onbeveiligde externe harde schijven

✓ Geen onbeveiligde back-ups maken

Organisatorische beveiligingsmaatregelen

✓ Clean desk policy

✓ Laptop niet onbemand achterlaten

✓ Laptop nooit achterlaten in de auto

✓ Oude documenten op juiste manier vernietigen

✓ Zorgvuldig gebruik van USB-sticks

Definities

De hiervoor gebruikte begrippen volgen uit de Algemene Verordening Gegevensbescherming (AVG) en hebben de volgende betekenis:

• AVG: Algemene Verordening Gegevensbescherming. Verordening (EU)2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van Persoonsgegevens en betreffende het vrije verkeer van die gegevens, en tot intrekking van richtlijn 95/46/EG

• Betrokkene: Geïdentificeerde of identificeerbaar natuurlijk persoon op wie de verwerkte persoonsgegeven betrekking hebben

• Datalek: Een lek op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens

• Gegevensbeheerder: Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt

• Opdrachtgever: Partij in wiens opdracht Xibis Persoonsgegevens verwerkt. De Opdrachtgever

kan zowel verwerkingsverantwoordelijke (‘controller’) als een andere verwerker zijn

• Overeenkomst: De hoofdovereenkomst waar deze Verwerkersovereenkomst uit voortvloeit

• Partijen: Gezamenlijke aanduiding van Xibis en Opdrachtgever

• Persoonsgegevens: Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon die Xibis in het kader van de uitvoering van haar verplichtingen voortvloeiende uit de Overeenkomst verwerkt

• Sub-verwerker: Elke derde partij benoemd door Xxxxx voor de verwerking van gegevens

• Verwerkersovereenkomst: Deze Overeenkomst inclusief de bijlagen

• Verwerking: Elke handeling of elk geheel van handelingen met betrekking tot Persoonsgegevens, waaronder het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens

Document Metadata

Table of Contents

Verwerkersovereenkomst

Document Metadata