Verwerkersovereenkomst
Verwerkersovereenkomst
BCO Onderwijsadvies en -ondersteuning
(in de positie van Xxxxxxxxx)
Tussen:
De besloten vennootschap met beperkte aansprakelijkheid BCO Onderwijsadvies en -ondersteuning, statutair gevestigd en kantoorhoudende aan de Wylrehofweg 11, 5912 PM te Venlo, te dezen rechtsgeldig vertegen- woordigd door Xxxxx xx Xxxx, hierna genoemd de “Verwerker”,
en:
statutair gevestigd en kantoorhoudende
te dezen rechtsgeldig vertegenwoordigd door
hierna genoemd de “Verwerkingsverantwoordelijke”,
Verwerkingsverantwoordelijke en Verwerker worden gezamenlijk aangeduid als “Partijen”, ieder individueel zijnde een “Partij”:
Overwegende dat:
A. Verwerker een onderwijsadviesbureau is dat onderzoek kan verrichten bij leerlingen van scholen en advies geeft aan leerkrachten van scholen;
B. Partijen op de Verwerkersovereenkomst ("Overeenkomst") zijn aangegaan inzake
aangevraagde opdracht.
C. Verwerkingsverantwoordelijke verantwoordelijk is voor de Verwerking van de Persoonsgegevens zoals omschreven in Annex 1 (“Gegevens”);
D. Verwerkingsverantwoordelijke en Verwerker op grond van artikel 23 lid 2 Algemene Verordening Gege- vensbescherming (hierna: “AVG”) deze verwerkersovereenkomst (hierna: Verwerkersovereenkomst) sluiten waarin de rechten en verplichtingen ten aanzien van de verwerking van de Persoonsgegevens is geregeld, in het bijzonder ten aanzien van de beveiliging;
E. Deze Verwerkersovereenkomst als bijlage zal worden opgenomen bij de Overeenkomst.
Komen overeen:
1. Reikwijdte van de overeenkomst
1.1. Verwerkingsverantwoordelijke geeft hierbij opdracht aan Verwerker om de Gegevens te verwerken namens de Verwerkingsverantwoordelijke op de wijze zoals omschreven in Annex 1 in overeen- stemming met de bepalingen van deze Verwerkersovereenkomst.
1.2. Verwerker verwerkt de Gegevens uitsluitend volgens de schriftelijke instructies van de Verwerkings- verantwoordelijke in overeenstemming met de aanwijzingen in deze Verwerkersovereenkomst, met name die in Annex 1. Verwerker bevestigt de Xxxxxxxx niet voor andere of eigen doeleinden te verwerken.
1.3. Verwerker heeft geen zeggenschap over het doel en de middelen voor de verwerking van de Ge- gevens. De zeggenschap over de Gegevens komt nooit bij Verwerker te berusten.
1.4. De Verwerkingsverantwoordelijke kan additionele, schriftelijke instructies aan Verwerker geven van- wege aanpassingen of wijzigingen in de van toepassing zijnde regelgeving op het gebied van be- scherming van Persoonsgegevens.
1.5. Verwerker verwerkt de Gegevens enkel in de Europese Economische Ruimte.
2. Geheimhouding
2.1. Verwerker verplicht de personen die in zijn dienst zijn, dan wel werkzaamheden voor hem verrichten, tot geheimhouding met betrekking tot al hetgeen waarvan zij met betrekking tot de uitvoering van deze Verwerkersovereenkomst kennis kunnen nemen. Indien dit voor voornoemde personen niet reeds contractueel is vastgelegd, zal Verwerker deze personen een geheimhoudingsverplichting opleggen voor de Gegevens waarvan zij kennis zullen nemen. Deze verplichting zal schriftelijk worden vast- gelegd en een kopie daarvan zal aan de Verwerkingsverantwoordelijke ter inzage worden aangeboden op diens eerste verzoek.
3. Geen verdere verstrekking
3.1. Verwerker zal onder geen omstandigheden de Gegevens delen met of verstrekken aan derden, tenzij Verwerker daartoe voorafgaande, schriftelijke toestemming of opdracht heeft verkregen of op grond van dwingendrechtelijke regelgeving daartoe verplicht is. Indien Verwerker op grond van dwingend- rechtelijke regelgeving verplicht is om de Gegevens te delen met of te verstrekken aan derden, dan zal Verwerker de Verwerkingsverantwoordelijke hierover voorafgaand schriftelijk en onverwijld informeren, tenzij dit niet is toegestaan onder de genoemde regelgeving.
3.2. Indien Verwerker verzoeken van Betrokkenen ontvangt om informatie, wijziging of aanvulling van Per- soonsgegevens, dan verwijst Verwerker de Betrokkene door naar de Verwerkingsverantwoordelijke die
het verzoek van de Betrokkene afhandelt. Verwerker zal medewerking verlenen aan verzoeken die Verwerkingsverantwoordelijke aan Verwerker doet in het kader van een Betrokkene die zijn rechten uit de AVG handhaaft.
4. Beveiligingsmaatregelen
4.1. Verwerker zal – rekening houdend met de van toepassing zijnde regelgeving op het gebied van be- scherming van Persoonsgegevens, de stand van de techniek en de kosten van tenuitvoerlegging – technische en organisatorische beveiligingsmaatregelen treffen om te zorgen voor beschikbaarheid, integriteit en vertrouwelijkheid van de Gegevens en om de Gegevens te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking. De beveiligingsmaatregelen van Verwerker zijn omschre- ven in Annex 2 van deze Verwerkersovereenkomst.
4.2. Verwerker zal Verwerkingsverantwoordelijke redelijkerwijs bijstaan bij het uitvoeren van een gegevens- beschermingeffectbeoordeling door of ten behoeve van Verwerkingsverantwoordelijke.
5. Register
5.1. Verwerkingsverantwoordelijke houdt een register bij zoals bedoeld in artikel 30 lid 1 AVG en is ervoor verantwoordelijk dat dit register volledig en juist is.
5.2. De Verwerker houdt een register bij zoals bedoeld in artikel 30 lid 2 AVG van alle categorieën van ver- werkingsactiviteiten die zij ten behoeve van de Verwerkingsverantwoordelijke heeft verricht.
5.3. Dit register bevat ten minste de volgende gegevens:
a. de naam en contactgegevens van de Verwerker en Verwerkingsverantwoordelijke(n), diens verte- genwoordigers en indien van toepassing diens functionarissen voor gegevensbescherming;
b. de categorieën van verwerkingen die voor rekening van iedere Verwerkingsverantwoordelijke zijn uitgevoerd;
c. een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen die zijn uitgevoerd.
6. Functionaris voor gegevensbescherming
6.1. Verwerker benoemt indien noodzakelijk een functionaris voor gegevensbescherming overeenkomstig artikel 4 van hoofdstuk 4 van de AVG wetgeving.
7. Toezicht op naleving
7.1. Verwerker stelt Verwerkingsverantwoordelijke in staat om op eigen kosten van Verwerkingsverant- woordelijke ten minste eenmaal per kalenderjaar, onder aanzegging van een redelijke termijn, de
naleving van Verwerker te controleren van de Verwerkersovereenkomst, de AVG en met name de beveiligingsmaatregelen genoemd in artikel 4.1 en Annex 2.
7.2. Verwerker is verplicht in het kader van de controle genoemd in lid 1 een overzicht te verstrekken van de Gegevens die worden verwerkt.
7.3. Verwerker verstrekt op eerste verzoek van Verwerkingsverantwoordelijke een rapportage aan Verwer- kingsverantwoordelijke waarin Verwerker informeert over de stand van de beveiligingsmaatregelen zoals omschreven in artikel 4.1 en Annex 2.
7.4. Verwerkingsverantwoordelijke en Verwerker kunnen naar aanleiding van de onder artikel 7.3 benoem- de rapportage, nadere beveiligingsmaatregelen overeenkomen. Een overzicht van deze aanvullende beveiligingsmaatregelen zal als een Annex aan deze Verwerkersovereenkomst worden gehecht.
7.5. Verwerker verstrekt alle informatie aan Verwerkingsverantwoordelijke die Verwerkingsverantwoorde- lijke redelijkerwijs nodig heeft om te bepalen of Verwerker de Verwerkersovereenkomst en de AVG naleeft.
7.6. Instructies van Verwerkingsverantwoordelijke die strijdig zijn met een wettelijke bepaling zullen door Verwerker niet uitgevoerd worden. Verwerker zal dit melden bij Verwerkingsverantwoordelijke.
8. Datalek
8.1. Zo spoedig mogelijk doch uiterlijk binnen 24 uren nadat Verwerker kennisneemt van een Datalek (van welke aard dan ook) dat (mede) betrekking heeft of kan hebben op de Gegevens, stelt Verwerker Ver- werkingsverantwoordelijke hiervan op de hoogte via de bij Verwerker bekende contactgegevens van Verwerkingsverantwoordelijke en zal Verwerker in ieder geval informatie verstrekken over het volgen- de: de aard van het Datalek, de (mogelijk) getroffen Gegevens, de vastgestelde en verwachte gevol- gen van Xxxxxxx op de Gegevens en de maatregelen die Verwerker getroffen heeft en zal treffen.
8.2. Verwerker zal in overleg met de Verwerkingsverantwoordelijke alle benodigde maatregelen treffen die nodig zijn om de (mogelijke) schade te beperken en zal Verwerkingsverantwoordelijke ondersteunen bij meldingen aan Betrokkenen en/of autoriteiten.
9. Sub-verwerkers
9.1. Indien Verwerker op grond van de Overeenkomst zijn verplichtingen mag uitbesteden aan derden, dan informeert Verwerker Verwerkingsverantwoordelijke over haar voornemen om haar verplichtingen uit te besteden aan derden. Verwerkingsverantwoordelijke krijgt een redelijke termijn om daartegen bezwaar te maken. Indien Verwerker een derde inschakelt, dan legt Verwerker aan de desbetreffende derden alle verantwoordelijkheden en verplichtingen die Verwerker op grond van deze Verwerkersovereen- komst heeft, schriftelijk op in een Sub-verwerkersovereenkomst. Indien Verwerkingsverantwoordelijke een redelijk vermoeden heeft dat Verwerker zijn verplichtingen uit deze Verwerkersovereenkomst niet
nakomt, dan mag Verwerkingsverantwoordelijke de contactgegevens van de Sub-verwerker opvragen indien Verwerkingsverantwoordelijke daarvoor een gegronde reden heeft die verband houdt met het (vermoeden van) niet naleven van deze Verwerkersovereenkomst door Xxxxxxxxx.
9.2. Verwerker zal voorafgaand aan de inwerkingtreding van deze Verwerkersovereenkomst aan Verwer- kingsverantwoordelijke een overzicht van de Sub-verwerker(s) overleggen die door Verwerker zijn ingeschakeld. Op verzoek van de Verwerkingsverantwoordelijke kan de Verwerker een kopie van de Sub-verwerkersovereenkomst overleggen.
10. Aansprakelijkheid
10.1. Verwerker is uitsluitend aansprakelijk, een en ander overeenkomstig hetgeen in artikel 82 AVG is be- paald, voor schade of nadeel, voortvloeiende uit de aan Verwerker toerekenbare schending van de wet- en regelgeving betreffende de verwerking van Xxxxxxxx in het kader van zijn werkzaamheden onder deze Verwerkersovereenkomst en/of niet-nakoming van verplichtingen van Verwerker door Verwerker onder deze Verwerkersovereenkomst.
11. Duur en beëindiging
11.1. Deze Overeenkomst is geldig zolang Verwerker de opdracht heeft van Verwerkingsverantwoordelijke om Gegevens te verwerken op grond van de Overeenkomst tussen Verwerkingsverantwoordelijke en Verwerker. Deze Verwerkersovereenkomst eindigt automatisch zodra de Overeenkomst eindigt.
11.2. Bij beëindiging van deze Verwerkersovereenkomst heeft Verwerkingsverantwoordelijke vier weken de tijd om Verwerker te verzoeken om alle documenten, computer disks en andere gegevensdragers, evenals kopieën daarvan, waarop of waarin zich Gegevens bevinden, te retourneren aan Verwerkings- verantwoordelijke, ongeacht of de inhoud is vervaardigd of gecreëerd door Verwerker, Verwerkingsverantwoordelijke of een derde. Na het verstrijken van deze termijn zal Verwerker tot veilige en definitieve vernietiging van de Gegevens overgaan.
11.3. Indien Verwerker op grond van een wettelijke bewaarplicht bepaalde Gegevens en/of documenten, computer disks of andere gegevensdragers waarop of waarin zich Gegevens bevinden gedurende een wettelijke termijn moet bewaren, dan zal Verwerker zorgdragen voor de veilige en definitieve vernietiging van deze Gegevens en/of documenten, computer disks of andere gegevensdragers binnen vier (4) weken na beëindi-ging van de wettelijke bewaarplicht.
11.4. In geval van retournering zal Verwerker de Gegevens verstrekken in de vorm zoals bij Verwerker aan- wezig. Voor zover de Gegevens zich in een computersysteem bevinden of in een andere vorm waar- door de Gegevens redelijkerwijs niet kunnen worden verstrekt aan Verwerkingsverantwoordelijke, zal Verwerker aan Verwerkingsverantwoordelijke op een veilige manier een toegankelijke, leesbare kopie van de Gegevens verstrekken.
11.5. Na beëindiging van de Verwerkersovereenkomst zal Verwerker geen Gegevens houden noch gebrui- ken.
11.6. Zolang Verwerker Xxxxxxxx onder zich heeft, blijven alle in deze Verwerkersovereenkomst genoemde restricties van kracht.
12. Nietigheid
12.1. Indien enige bepaling van deze Verwerkersovereenkomst nietig of anderszins niet afdwingbaar is, dan blijven de overige bepalingen onverminderd van kracht. Partijen zullen alsdan een bepaling overeen- komen, die de strekking van de nietige bepaling zoveel mogelijk benadert.
13. Toepasselijk recht en jurisdictie
13.1. Op de Verwerkersovereenkomst is Nederlands recht van toepassing.
13.2. Alle geschillen in verband met de Overeenkomst of de uitvoering ervan worden voorgelegd aan de bevoegde rechter bij de rechtbank Roermond
Namens
Namens
BCO Onderwijsadvies en -ondersteuning
(Handtekening)
Naam: Functie: Datum:
(Handtekening)
Naam: Xxxxx xx Xxxx Functie: Directeur Datum:
Annexes:
1. Gegevens, doeleinden en toegang
2. Beveiligingsmaatregelen
3. Meldplicht datalekken
Annex 1 Gegevens, doeleinden en toegang
Gegevens en doeleinden
a.
b.
c.
d.
Leerlingen;
Xxxxxxx, directeuren, bestuursleden en/of andere werknemers van scholen; Ouders, verzorgers en/of voogden of wettelijk vertegenwoordigers van leerlingen; Onderwijsprofessionals (al dan niet extern ingeschakeld).
De Verwerkingsverantwoordelijke kan de Verwerker de gegevens voor de volgende categorieën van Betrokkenen verstrekken:
De aard van Persoonsgegevens die aan de Verwerker ter beschikking kunnen worden gesteld, zijn gegevens over leerlingen [en/of andere Betrokkenen], naast de gegevens zoals die bijvoorbeeld vermeld staan op het aanmeldingsformulier. Deze gegevens zijn, afhankelijk van de aard en omvang van het probleem van de leerling (Geldt eveneens voor ruw onderzoeksmateriaal (met de hand geschreven aantekeningen). [en/of de vraag van de school]:
X. een verslag van zijn/haar gedrag op school, verkregen van de leraar en/of de directeur van de school;
B. een verslag van zijn/haar medische toestand, verkregen van school- en/ of huisarts en ouders/ verzorgers;
C. informatie over de manier waarop hij/ zij wordt opgevoed, ingewonnen bij de ouders/ verzorgers/ voogden;
D. informatie over de situatie thuis, ingewonnen bij ouders/verzorgers/voogden;
E. een verslag van het intakegesprek tussen alle Betrokkenen, dat wil zeggen de (medewerker van) Verwerker, bijvoorbeeld de adviseur, ouders/verzorgers/voogden en leraar en/of directeur van de school, waarbij een behandelwijze wordt afgesproken;
F. verslagen van gesprekken tussen de Verwerker en de leerkracht en/of ouders/verzorgers/voogden en/of schoolarts;
G. resultaten uit psychologische tests, te weten intelligentie-, persoonlijkheids-, functie-, motivatie- en didactische tests, neergelegd in een verslag;
X. verslagen van basisgezondheidsdiensten en/ of (andere) betrokken instanties/ personen, mits hiervoor toestemming is verkregen van ouders/ verzorgers/ voogden;
I. een verslag van het op school door de medewerker van het OAB geobserveerde gedrag van de leerling en/of de leraar;
J. een verslag van het rapportagegesprek tussen alle in sub E genoemde personen;
K. een verslag van de evaluatie van het begeleidingsproces;
L. verslagen van schoolmaatschappelijk werkers;
M. plan van aanpak omtrent werkzaamheden op school;
N. verslagen van onderwijsadvies-bezoeken aan scholen.
De werkzaamheden waarvoor bovengenoemde Gegevens mogen worden verwerkt zijn:
1.
2.
3.
het verwerken van Persoonsgegevens waaronder de leerresultaten van individuele leerlingen (Xxxxxxxxxxx) voor de leerlingen zelf;
het maken van overzichten van alle behaalde resultaten per opgave door kinderen in een bepaald leerjaar (groep);
gesprekken met verantwoordelijke leerkrachten en interne begeleiders
De verkregen Gegevens worden bewerkt door en zijn toegankelijk voor de verantwoordelijke adviseur van BCO Onderwijsadvies en -ondersteuning en een eventuele sub-verwerker.
Annex 2 Beveiligingsmaatregelen
BCO Onderwijsadvies en -ondersteuning heeft als ICT provider Hands on ICT, Innovatoren 5a, Xxxx Xxxxxxx 00, 0000 XX Xxxxx. Telefoon: 088 - 181 116 05. E-mail: xxxxxxx@xxxxxxxxxx.xx
Met deze verwerker is een sub-verwerkersovereenkomst afgesloten. De beveiligingsmaatregelen getroffen door de Verwerker:
- Papieren dossiers worden in afgesloten kasten en ruimten bewaard.
- De wettelijke bewaartermijnen voor privacygevoelige gegevens worden aangehouden.
- Data worden opgeslagen in de EER (Europese Economische Ruimte) via Uniserver Amsterdam in Ierland en Duitsland. Het betreft Microsoft datacenters EDGE, standaard binnen Office 365.
- Er zijn maatregelen getroffen ter bescherming tegen malware en virussen.
- Medewerkers van BCO Onderwijsadvies en -ondersteuning werken binnen een beveiligde digitale omgeving. Toegang tot deze omgeving kan alleen met tweefactor verificatie. Dit geldt ook voor alle mobiele devices die gebruikt worden. Bij ontvreemding en verlies van devices kunnen deze op afstand onbruikbaar gemaakt worden.
- Er worden regelmatig checks gedaan op de veiligheid van gegevens in samenwerking met de IT-provider.
- Privacygevoelige gegevens worden alleen encrypt verzonden.
- Binnen Office 365 is e-mail versleuteld van server tot server. Wanneer deze toepassing niet gebruikt kan worden, wordt het document via een PDF versleuteld document met wachtwoord verstuurd.
- Er worden geen privacygevoelige data op lokale gegevensdragers bewaard.
- Er wordt geen gebruik gemaakt van schaduw-IT oplossingen als Dropbox, Google drive, We transfer ed.
Annex 3 Meldplicht datalekken
Tussen Partijen zijn met betrekking tot de verplichting om Datalekken te melden de volgende afspraken gemaakt:
1. Verwerker registreert alle Beveiligingsincidenten.
2. In geval van een Beveiligingsincident informeert Verwerker Verwerkingsverantwoordelijke binnen 24 uur.
3. Met betrekking tot beveiligingsincidenten zijn de contactpersonen:
a. Contactpersoon bij Verwerkingsverantwoordelijke:
Naam:
Telefoon:
E-mail:
en
b. Contactpersoon bij Verwerker:
Naam: Xxx. X. xx Xxxx Xxxxxxxx: 077-3519284
E-mail: XxxxxxxXxxx@xxx-xxxxxxxxxxxxxxx.xx
4. Verwerker verstrekt, conform artikel 8 van deze overeenkomst, aan de Verwerkingsverantwoordelijke alle informatie die Verwerkingsverantwoordelijke nodig heeft om te kunnen beoordelen of een melding aan de Autoriteit Persoonsgegevens vereist is.