Algemene voorwaarden verwerking persoonsgegevens Belevingsonderzoek Vensters

Algemene voorwaarden verwerking persoonsgegevens Belevingsonderzoek Vensters

Mei 2021

Overwegingen

- Het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (‘BZK’) mede ten behoeve van andere (overheids)organisaties binnen de collectieve sector het instrument ‘Vensters’, heeft laten ontwikkelen om de prestaties van overheidsorganisaties binnen de collectieve sector te verbeteren;

- Het programmamanagement over Vensters door BZK is ondergebracht bij ICTU, gevestigd te Den Haag;

- Programma Vensters een diagnose en leerinstrument heeft ontwikkeld dat publieke organisaties kunnen gebruiken om zichzelf te verbeteren: Vensters voor Bedrijfsvoering;

- Het opzetten en uitvoeren van de Vensters belevingsonderzoeken tevens onderdeel is van het programma;

- Deelnemende organisaties optioneel gebruik kunnen maken van het belevingsonderzoek van Xxxxxxxx;

- Vensters heeft mede tot doel het vergaren van beleidsinformatie ten behoeve van de taak van de minister van BZK. ICTU gebruikt daartoe de Persoonsgegevens betreffende het onderzoek bij Deelnemer in gepseudonimiseerde vorm voor het uitvoeren van secundaire onderzoeken en analyses.

- Het Vensters belevingsonderzoek wordt uitgevoerd met behulp van Survalyzer; onder regie en toezicht van ICTU;

- In het kader van de uitvoering van belevingsonderzoeken worden door Survalyzer persoonsgegevens in de zin van artikel 4(1) AVG verwerkt;

- Gelet op hun rol bij de inrichting van Xxxxxxxx c.q. de uitvoering van het medewerkersonderzoek dienen ICTU en Deelnemer als gezamenlijke verwerkingsverantwoordelijke voor de verwerking van de Persoonsgegevens te worden aangemerkt als bedoeld in artikel 4(7) AVG juncto artikel 26 AVG;

- Artikel 26(1) AVG schrijft voor dat tussen gezamenlijke verwerkingsverantwoordelijken een regeling wordt overeengekomen met betrekking tot de nakoming van de verplichtingen uit hoofde van de AVG, met name met betrekking tot de rechten van de Betrokkene;

- Deze Algemene Voorwaarden Verwerking Persoonsgegevens hebben tot doel om in overeenstemming met artikel 26 AVG de onderlinge verdeling en de nakoming van de verplichtingen van ICTU en Deelnemer uit hoofde van de AVG eenduidig vast te leggen.

- ICTU heeft een Verwerkersovereenkomst afgesloten met Survalyzer dat mede de verwerking van de Persoonsgegevens ten behoeve van Deelnemer omvat.

1. Begripsbepalingen

1.1. Algemene Voorwaarden: de Algemene Voorwaarden Verwerking Persoonsgegevens Belevingsonderzoek Vensters.

1.2. AVG: de Algemene Verordening Gegevensbescherming (EU) 2016/679.

1.3. BZK: het ministerie van Binnenlandse Zaken en Koninkrijksrelaties.

1.4. Datalek: een inbreuk in verband met de persoonsgegevens als bedoeld in artikel 4(12) AVG.

1.5. FG: de functionaris voor de gegevensbescherming als bedoeld in artikel 37 AVG.

1.6. Deelnemer: het bestuursorgaan of de instantie die een medewerker-/ belevingsonderzoek via Vensters laat uitvoeren.

1.7. ICTU: Stichting ICTU te Den Haag.

1.8. Belevingsonderzoek Vensters: de aanpak en methode van Xxxxxxxx waarmee individuele publieke instellingen belevingsonderzoek naar Bedrijfsvoering kunnen doen onder het eigen

personeel, waarbij zij zich ook kunnen vergelijken (spiegelen, benchmarken) met andere organisaties.

1.9. Persoonsgegeven: elke informatie die betrekking heeft tot een geïdentificeerde of identificeerbare Betrokkene.

1.10. Betrokkene: de persoon over wie de Persoonsgegevens worden verwerkt.

1.11. Verwerker: de partij aan wie de Belevingsonderzoeken Vensters door ICTU is uitbesteed.

1.12. Verwerkersovereenkomst: de overeenkomst of rechtshandeling als bedoeld in artikel 28(3) AVG.

2. Toepasselijkheid

2.1. Deze Algemene Voorwaarden zijn van toepassing op Persoonsgegevens die worden verwerkt in het kader van Belevingsonderzoek Vensters.

3. Verantwoordelijkheden – algemeen

3.1. ICTU en Deelnemer zijn gezamenlijk Verwerkingsverantwoordelijke ten aanzien van de Persoonsgegevens die worden verwerkt in het kader van het belevingsonderzoek.

3.2. ICTU treedt, met inachtneming van het bepaalde in deze Algemene Voorwaarden, mede namens de Deelnemer op als ‘gemeenschappelijke Verwerkingsverantwoordelijke’ jegens Verwerker. ICTU is -met uitsluiting van Deelnemer- bevoegd tot het vaststellen van de generieke maatregelen en procedures, het geven van instructies en aanwijzingen rondom de inrichting en het beheer van Vensters belevingsonderzoek en het uitoefenen van toezicht op de Verwerker, waaronder in ieder geval begrepen:

i. de keuze van de Verwerker;

ii. het sluiten van een Verwerkersovereenkomst met Verwerker;

iii. het vaststellen van de door Verwerker te nemen beveiligingsmaatregelen;

iv. het geven van toestemming voor de door Verwerker ingeschakelde sub-verwerkers;

v. het (laten) uitvoeren van audits bij de Verwerker;

vi. de wijze van pseudonimisering van de Persoonsgegevens;

vii. het autoriseren van nevengebruik van de Persoonsgegevens door anderen dan de Verwerker, waaronder begrepen de eventuele verstrekking van de Persoonsgegevens aan universiteiten of onderzoeksinstellingen voor wetenschappelijke doeleinden; en

viii. het vaststellen van de bewaartermijnen van de Persoonsgegevens.

3.3. Op Deelnemer rusten als Verwerkingsverantwoordelijke geen andere verplichtingen dan die uit hoofde van deze Algemene Voorwaarden.

3.4. De Deelnemer is de enige verwerkingsverantwoordelijke voor:

i. de verstrekking van de Persoonsgegevens aan ICTU ten behoeve van het belevingsonderzoek;

ii. voor zover de rapportages persoonsgegevens bevatten, de verspreiding en het gebruik van de rapportages binnen zijn organisatie.

3.5. ICTU is de enige verwerkingsverantwoordelijke voor:

De verwerking van de gepseudonimiseerde Persoonsgegevens ten behoeve van secundaire onderzoeken en analyses.

4. Gebruik

4.1. ICTU ziet erop toe dat Verwerker de Persoonsgegevens voor geen ander doel gebruikt dan voor zijn dienstverlening aan Deelnemer en/of ICTU. Elke afwijking hiervan behoeft de voorafgaande schriftelijke toestemming van ICTU en Deelnemer.

4.2. ICTU heeft het recht om de Persoonsgegevens in gepseudonimiseerde vorm te gebruiken ten behoeve van secundaire analyses in het kader van de goede vervulling van de taak van de minister van BZK. Deelnemer stemt hierbij in met dit gebruik van de Persoonsgegevens. ICTU neemt passende maatregelen om de vertrouwelijkheid van de gegevens te waarborgen en te voorkomen dat de pseudonimisering ongedaan wordt gemaakt.

4.3. Het is ICTU voorts toegestaan de gepseudonimiseerde Persoonsgegevens aan universiteiten of onderzoeksinstellingen te verstrekken ten behoeve van wetenschappelijke doeleinden onder de voorwaarde dat de ontvanger verplicht is tot geheimhouding van de gegevens en de nodige beveiligingsmaatregelen neemt om de vertrouwelijkheid van de gegevens te waarborgen en te voorkomen dat de pseudonimisering ongedaan wordt gemaakt. Deelnemer stemt hierbij in met deze verstrekkingen.

4.4. Verwerker heeft geen zeggenschap over het doel van en de middelen voor de Verwerking van Persoonsgegevens, behoudens met betrekking tot de benchmark.

5. Documentatie

5.1. ICTU houdt een register bij als bedoeld in artikel 30(1) AVG. Het register bevat in ieder geval de informatie genoemd in artikel 30(1) sub (a), (d), (e), (f) en (g) AVG. De informatie genoemd in artikel 30(1) sub (b) en (c) AVG wordt alleen in het register opgenomen voor zover dat gelet op de aard van het belevingsonderzoek relevant is. ICTU stelt de informatie uit het register op verzoek van Xxxxxxxxx terstond beschikbaar aan Xxxxxxxxx en/of diens FG.

5.2. Deelnemer houdt een register bij van de verwerkingsactiviteiten als gevolg van de medewerkersonderzoeken die via Vensters belevingsonderzoek worden uitgevoerd. Het register bevat met betrekking tot het specifieke belevingsonderzoek dat door Xxxxxxxxx wordt uitgevoerd ten minste de informatie genoemd in artikel 30(1), sub (a), (b) en (c) AVG. Deelnemer stelt de informatie uit het register op verzoek van ICTU terstond beschikbaar aan ICTU.

6. Verwerker

6.1. Deelnemer dient met Verwerker de Verwerkingsinstructies Vensters af te sluiten. Elke bepaling tussen Deelnemer en Verwerker die in strijd is met deze Algemene Voorwaarden is nietig, tenzij ICTU met die afwijking vooraf schriftelijk heeft ingestemd.

6.2. Deelnemer erkent en accepteert dat de Verwerkersovereenkomst tussen ICTU en Verwerker mede van toepassing is op de verwerking van de Persoonsgegevens in het kader van het belevingsonderzoek van Xxxxxxxxx. Deelnemer zal met Verwerker geen aparte of nadere Verwerkersovereenkomst sluiten of aan Verwerker nadere verwerkingsvoorwaarden opleggen, behoudens de voorafgaande schriftelijke instemming van ICTU.

6.3. ICTU doet uitsluitend een beroep op een Verwerker die afdoende garanties met betrekking tot het toepassen van passende technische en organisatorische maatregelen biedt opdat de verwerking aan de vereisten van de AVG voldoet en de bescherming van de rechten van de Betrokkenen is gewaarborgd.

6.4. ICTU legt de verplichtingen waaraan Verwerker is onderworpen vast in een Verwerkersovereenkomst tussen ICTU en Verwerker. De Verwerkersovereenkomst zal voldoen aan de eisen zoals voorgeschreven in artikel 28(2) en (3) AVG, waaronder, maar niet beperkt tot, de verplichting om de Persoonsgegevens geheim te houden en passende maatregelen te nemen om de beveiliging van de Persoonsgegevens te waarborgen. ICTU, dan wel Xxxxxxxxx op verzoek van ICTU, geeft Xxxxxxxxx op verzoek van Xxxxxxxxx terstond inzage in de Verwerkersovereenkomst.

7. Beveiliging

7.1. ICTU zal Verwerker de verplichting opleggen om passende technische en organisatorische maatregelen te nemen ten einde een op het risico afgestemd beveiligingsniveau te waarborgen. De maatregelen zullen ten minste voldoen aan de Baseline Informatiebeveiliging Overheid of van een gelijkwaardig niveau zijn (bijv. ISO 27001/27002) en voldoen aan de eisen vastgelegd in artikel 28(2) en (3) AVG. ICTU ziet toe op de door Xxxxxxxxx getroffen maatregelen.

7.2. Het is Xxxxxxxxx niet toegestaan om aanvullende beveiligingseisen aan Verwerker op te leggen anders dan in overeenstemming met het bepaalde in artikel 6.2.

7.3. Deelnemer is verplicht om de Persoonsgegevens via de daartoe aangewezen beveiligde communicatiekanalen aan te leveren bij ICTU c.q. de Verwerker. Alle schade voortvloeiend uit het niet-naleven van voorgaande volzin komt uitsluitend voor rekening van Xxxxxxxxx.

8. Verstrekken persoonsgegevens

8.1. Behoudens het bepaalde in artikel 4.2 en 4.3 zal ICTU de Persoonsgegevens niet verstrekken aan enige derde, behoudens een wettelijke verplichting tot het verstrekken van de Persoonsgegevens.

8.2. ICTU legt aan Verwerker de verplichting op om de Persoonsgegevens niet aan enige derde, anders dan een door ICTU geautoriseerde subverwerker, te verstrekken, behoudens een wettelijke plicht tot het verstrekken van de Persoonsgegevens. ICTU legt Verwerker de verplichting op om Deelnemer onmiddellijk te informeren over de voorgenomen verstrekking op grond van een wettelijke verplichting tot verstrekking, teneinde de Deelnemer in staat te stellen om zijn belangen die bij de verstrekking gemoeid zijn te behartigen.

8.3. Indien ICTU of Verwerker op grond van een wettelijke verplichting Persoonsgegevens dient te verstrekken, verifieert ICTU c.q. Verwerker de grondslag van het verzoek en de identiteit van verzoeker.

9. Datalekken

9.1. Een Datalek aan de zijde van Verwerker waarbij de Persoonsgegevens van meerdere Deelnemers zijn betrokken, wordt door ICTU mede namens Deelnemer zo mogelijk binnen 72 uur gemeld bij de Autoriteit Persoonsgegevens conform de daartoe aangewezen procedure. Het is Deelnemer niet toegestaan het Datalek ook nog zelf te melden bij de Autoriteit Persoonsgegevens, behoudens in het geval ICTU verzuimt het Datalek tijdig te melden. ICTU zendt Deelnemer onverwijld een afschrift van de melding bij de Autoriteit Persoonsgegevens.

9.2. Deelnemer meldt, indien wettelijk vereist of gewenst, een Datalek als bedoeld in het eerste lid onverwijld bij de Betrokkene. Deelnemer xxxxx een afschrift van de aan Betrokkene verstrekte informatie aan ICTU. Deelnemer zal de informatie aan Betrokkene zodanig vormgeven dat de gerechtvaardigde belangen van ICTU c.q. Verwerker niet onevenredig worden geschaad.

9.3. Datalekken ontstaan in het kader van een specifiek onderzoeksproject worden met inachtneming van de wettelijke termijnen door Deelnemer gemeld bij de Autoriteit Persoonsgegevens en, indien wettelijk verplicht of gewenst, ook bij de Betrokkene.

9.4. ICTU verschaft de Deelnemer onverwijld alle relevante inlichtingen over de omstandigheden en de verwachte gevolgen van een Datalek als bedoeld in het eerste lid teneinde Deelnemer in staat te stellen zijn verplichtingen als bedoeld in artikel 9.2 na te komen.

9.5. ICTU legt de Verwerker de verplichting op een Datalek te melden bij ICTU respectievelijk Deelnemer. ICTU kan Verwerker opdragen de informatie als bedoeld in artikel 9.4 rechtstreeks aan Xxxxxxxxx mede te delen.

10. Rechten Betrokkenen

10.1. ICTU en Deelnemer verlenen elkaar volledige medewerking om binnen de wettelijke termijnen te voldoen aan een verzoek van een Betrokkene op inzage, verbetering, aanvulling, verwijdering of afscherming van de Persoonsgegevens en het uitvoeren van een gehonoreerd aangetekend verzet tot verwerking van de Persoonsgegevens. (Ten overvloede zij opgemerkt dat het recht op dataportabiliteit en het recht om niet te worden onderworpen aan een volledig geautomatiseerd besluit, inclusief profiling, niet relevant zijn voor het doen van belevingsonderzoek).

10.2. Verwerker verstrekt de Betrokkene voorafgaand aan het onderzoek via de portal algemene informatie over de verwerking van de Persoonsgegevens in het kader van het onderzoek. Voor zover een onderwerp als bedoeld in artikel 13 en 14 AVG niet geregeld is in de standaard privacyverklaring van de Verwerker, draagt Deelnemer er zorg voor dat de Betrokkene

aanvullend wordt geïnformeerd over dat onderwerp. Voor zover van de algemene informatie wordt afgeweken, draagt de Deelnemer er zorg voor dat de Betrokkene expliciet wordt geïnformeerd over deze afwijking. De informatie die onder de verantwoordelijkheid van Deelnemer, al dan niet via de Verwerker, aan de Betrokkene wordt verstrekt betreft in ieder geval:

i. de identiteit en contactgegevens van Deelnemer;

ii. de contactgegevens van de Functionaris voor de Gegevensbescherming van Xxxxxxxxx;

iii. de doeleinden van het onderzoek;

iv. de grondslag van de verwerking en de gerechtvaardigde belangen van Deelnemer alsmede de daarmee samenhangende belangenafweging;

v. het feit dat gegevens in gepseudonimiseerde vorm ter beschikking zullen worden gesteld aan ICTU en het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties in het kader van beleidsonderzoek en secundaire analyses; alsmede

vi. informatie over de rechten van de Betrokkene, waaronder het recht op inzage, correctie, beperking en verzet, en het recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens.

10.3. ICTU verstrekt, al dan niet via Verwerker, de Betrokkene algemene informatie met betrekking tot de verwerking van de Persoonsgegevens binnen Vensters belevingsonderzoek, waaronder in ieder geval:

i. informatie over het gebruik van de gepseudonimiseerde persoonsgegevens door ICTU en BZK;

ii. de mogelijke verstrekking van de gepseudonimiseerde gegevens ten behoeve van wetenschappelijk onderzoek, alsmede

iii. informatie over de rechten van de Betrokkene bij de verwerkingen genoemd onder (i) en (ii).

10.4. Deelnemer zal een contactpunt openstellen waar Xxxxxxxxxxx terecht kunnen met vragen, klachten en verzoeken met betrekking tot de uitoefening van hun rechten rondom de verwerking van hun Persoonsgegevens in het kader van het door Deelnemer uitgevoerde belevingsonderzoek en dit uitdrukkelijk communiceren met de Betrokkenen. Deelnemer kan ervoor kiezen om daarvoor gebruik te maken van de helpdesk van Verwerker. Deelnemer xxxxx de binnengekomen vragen, klachten of verzoeken voor zover relevant voor diens betrokkenheid bij de uitvoering van het onderzoek rechtstreeks door aan Xxxxxxxxx. Voor zover de vragen, klachten of verzoeken verband houden met de bescherming van de Persoonsgegevens binnen Vensters belevingsonderzoek en de bevoegdheden van ICTU als genoemd in artikel 3.2, zendt Deelnemer een afschrift van die vragen, klachten of verzoeken aan ICTU.

11. Vrijwaring en aansprakelijkheid

11.1. ICTU en Deelnemer garanderen de behoorlijke en zorgvuldige verwerking van de Persoonsgegevens in overeenstemming met de toepasselijke wet- en regelgeving.

11.2. ICTU en Deelnemer vrijwaren elkaar van alle directe schade, aanspraken van derden, en boetes als gevolg van het niet-naleven van de toepasselijke wet- en regelgeving dan wel het niet- naleven van de verplichtingen uit hoofde van deze Algemene Voorwaarden door de wederpartij.

11.3. De aansprakelijkheid van Leverancier op grond van deze Algemene Voorwaarden is beperkt conform het bepaalde in de (nadere/ project) Overeenkomst en bijbehorende documenten.

12. Slotbepalingen

12.1. Partijen verstrekken elkaar alle informatie die nodig is om de naleving van de verplichtingen van de wederpartij als Verwerkingsverantwoordelijke te controleren.

12.2. Alle informatie die Deelnemer onder deze Algemene Voorwaarden moet verstrekken aan ICTU, wordt verzonden naar:

xxxxxxxx@xxxx.xx en/of :

ICTU

T.a.v. Programma Vensters Xxxxxxxxxx xxx Xxxxxxxxxx 000 0000 XX XXX XXXX

12.3. Alle informatie die ICTU, of Verwerker namens ICTU, onder deze Algemene Voorwaarden moet verstrekken aan Deelnemer, wordt per e-mail verzonden naar het e-mailadres van de lokale coördinator van Xxxxxxxxx voor het betreffende belevingsonderzoek, tenzij xxxxxx xxxxxxxxxxx.

12.4. Alle inlichtingen die de FG van Deelnemer nodig heeft in de uitoefening van zijn/haar taak wordt door ICTU en/of Verwerker uitsluitend via het in artikel 12.3 bedoelde adres aangeleverd.