VERWERKERSOVEREENKOMST
VERWERKERSOVEREENKOMST
De ondergetekenden:
{{text_0}}
1. Organisatie.: Sneeker Mixed Hockey Club
,gevestigd te
Sneek
{{text_0}}
{{text_0}}
bij de Kamer van Koophandel geregistreerd onder nummer 40000402
verder te noemen "Verantwoordelijke", enerzijds,
en
2. XXXX Xxxxx Informatiesystemen B.V., gevestigd te Almere, bij de Kamer van Koophandel geregistreerd onder nummer 39095441, verder te noemen "Verwerker", enerzijds,
Hierna gezamenlijk te noemen ‘Partijen’
OVERWEGINGEN:
• Partijen zijn in de Hoofdovereenkomst overeengekomen dat Verwerker bepaalde diensten zal leveren aan Verantwoordelijke.
• Verwerker zal, in het kader van de Hoofdovereenkomst, ten behoeve van Verantwoordelijke persoonsgegevens (hierna: “Persoonsgegevens”) verwerken in de zin van de Algemene Verordening Gegevensbescherming (Verordening 2016/679/EU; hierna: de AVG);
• Partijen – mede ter uitvoering van het bepaalde artikel 28 van de AVG – in de onderhavige Verwerkersovereenkomst een aantal voorwaarden wensen vast te leggen die van toepassing zijn op hun relatie in verband met de vermelde verwerkingsdiensten van Verwerker.
PARTIJEN VERKLAREN TE ZIJN OVEREENGEKOMEN ALS VOLGT:
1. DEFINITIES
1.1 Betrokkene:
De natuurlijke persoon op wie een Persoonsgegeven betrekking heeft.
1.2 Verwerker:
Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/ dat ten behoeve van de Verantwoordelijke persoonsgegevens verwerkt.
1.3 Verwerkersovereenkomst:
Deze overeenkomst tussen Verantwoordelijke en Verwerker met als onderwerp het verwerken van Persoonsgegevens, inclusief alle documenten waarnaar verwezen wordt en die de nadere rechten en verplichtingen van Partijen uiteenzetten.
1.4 Datalek:
Een inbreuk op beveiligingsmaatregelen die erop zijn gericht Persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige Verwerking van Persoonsgegevens.
1.5 Hoofdovereenkomst:
De overeenkomst die Verantwoordelijke en Verwerker zijn aangegaan ter levering van diensten door Verwerker en waaruit verwerking van Persoonsgegevens voortvloeit.
1.6 Persoonsgegeven:
Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon.
1.7 Sub-Verwerker:
De natuurlijke persoon of rechtspersoon die een Verwerker bijstaat in het Verwerken van Persoonsgegevens ten behoeve van de Verantwoordelijke.
1.8 Verantwoordelijke:
De natuurlijke persoon, rechtspersoon of ieder ander die, of het bestuursorgaan dat, alleen of tezamen met anderen, het doel van en de middelen voor de verwerking van Persoonsgegevens vaststelt. Ook wel bekend als verwerkingsverantwoordelijke.
1.9 Verwerking van Persoonsgegevens:
Elke handeling of elk geheel van handelingen met betrekking tot Persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens.
1.10 Alle van de hierboven gebruikte woorden en termen in het enkelvoud hebben dezelfde betekenis als in het meervoud en vice versa.
1.11 De aanduidingen boven de artikelen van deze Verwerkersovereenkomst hebben uitsluitend tot doel de leesbaarheid van de Verwerkersovereenkomst te vergroten. De inhoud en strekking van het onder een bepaalde aanduiding opgenomen artikel beperken zich derhalve niet tot die aanduiding.
2. VERWERKING VAN PERSOONSGEGEVENS
2.1 Verantwoordelijke laat Persoonsgegevens verwerken door Xxxxxxxxx in overeenstemming met Appendix 1. Verwerker verwerkt deze Persoonsgegevens uitsluitend ter uitvoering van de Hoofdovereenkomst, deze Verwerkersovereenkomst en andere met Verantwoordelijke schriftelijk overeengekomen instructies. Verwerker gebruikt Google Analytics voor opbouwen van functioneel/ analytische gegevens ten behoeve van productverbeteringen.
2.2 Verwerker is niet gerechtigd een Sub-Verwerker in te schakelen zonder voorafgaande schriftelijke toestemming van Verantwoordelijke. Verwerker licht Verantwoordelijke in over beoogde veranderingen inzake de toevoeging of vervanging van Sub-Verwerkers. Daarbij wordt Verantwoordelijke de mogelijkheid geboden bezwaar te maken tegen deze veranderingen. In het geval Verantwoordelijke bezwaar maakt, is Verwerker gerechtigd de Hoofdovereenkomst met onmiddellijke ingang op te zeggen of de uitvoering daarvan op te schorten, zonder tot enige (schade)vergoeding, compensatie of andere verplichting gehouden te zijn als gevolg van die opzegging. Daarnaast zal Verwerker, alvorens zij overgaat tot inschakeling van de Sub-Verwerker, in een schriftelijke overeenkomst, dezelfde of gelijkwaardige verplichtingen aan die Sub-Verwerker opleggen als die op Verwerker zelf rusten uit hoofde van deze Verwerkersovereenkomst, met name de verplichting afdoende passende technische en organisatorische beveiligingsmaatregelen te bieden.
2.3 Hierbij geeft Verantwoordelijke aan Verwerker toestemming voor het inschakelen van de Sub- Verwerkers vermeld in Appendix 1.
2.4 Verwerker zal Verantwoordelijke, rekening houdend met de aard van de verwerking en de Verwerker ter beschikking staande informatie, indien nodig en voor zover mogelijk, bijstand verlenen bij het nakomen van de verplichtingen uit hoofde van de artikelen 32 tot en met 36 van de AVG.
2.5 Verwerker zal, rekening houdend met de aard van de verwerking en Verwerker direct ter beschikking staande (technische) mogelijkheden, voor zover mogelijk, medewerking verlenen bij het vervullen van de plicht van Verantwoordelijke om verzoeken van Betrokkenen omtrent de rechten uiteengezet in hoofdstuk III van de AVG, te beantwoorden.
2.6 Verwerker zal de Persoonsgegevens uitsluitend opslaan en verwerken binnen de Europese Economische Ruimte (EER), tenzij anders overeengekomen of wanneer uit een instructie van Verantwoordelijke anders voortvloeit.
2.7 Verwerker zal Verantwoordelijke alle informatie ter beschikking stellen die nodig is om de nakoming van deze Verwerkersovereenkomst aan te tonen. Daartoe zal Verwerker met name medewerking verlenen aan audits, waaronder inspecties, door Verantwoordelijke of een door Verantwoordelijke gemachtigde controleur. De kosten van dergelijke audits worden gedragen door Verantwoordelijke.
2.8 Verantwoordelijke staat ervoor in dat de verwerking van Persoonsgegevens zoals opgedragen aan Verwerker en/of uitgevoerd door Verantwoordelijke met behulp van de diensten van Verwerker, niet in strijd is met regelgeving betreffende bescherming van Persoonsgegevens en niet onrechtmatig is. Verantwoordelijke vrijwaart Verwerker voor alle aanspraken, schade en boetes, indien de opdracht van de Verantwoordelijke in strijd is met de wet- en/of regelgeving.
2.9 Indien voor het (kunnen) nakomen van enige verplichting van Verwerker uit hoofde van deze Verwerkersovereenkomst bepaalde (al dan niet technische) maatregelen, onderzoeksactiviteiten, aanpassingen of werkzaamheden (hierna gezamenlijk: werkzaamheden) vereist zijn, is Verwerker slechts verplicht tot het verrichten van deze werkzaamheden, indien deze uitdrukkelijk en schriftelijk met Verwerker zijn overeengekomen. Verwerker is gerechtigd aan Verantwoordelijke voor de in dit verband vereiste werkzaamheden (naar keuze van Xxxxxxxxx: tevens als voorschot) in rekening te brengen. Hieronder wordt mede, maar niet uitsluitend, verstaan de tijd die medewerkers van Verwerker besteden aan het voldoen aan deze verplichtingen.
3. BEVEILIGING
3.1 Verwerker treft passende technische en organisatorische maatregelen om de Persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking.
3.2 De bij het aangaan van de Verwerkersovereenkomst genomen maatregelen als bedoeld in artikel 3.1 worden weergegeven in Appendix 2. Verantwoordelijke erkent dat Verwerker met de in Appendix 2 vermelde maatregelen voldoet aan de verplichting bedoeld in artikel 3.1.
3.3 Indien, al dan niet op grond van vernieuwde wet- en/of regelgeving, nadere maatregelen nodig blijken te zijn om een passend beveiligingsniveau zoals bedoeld in artikel 3.1 te blijven garanderen, is Verwerker gerechtigd (additionele) prijzen in rekening te brengen aan Verantwoordelijke, in verband met de bij Verwerker opgekomen kosten in verband met die nadere maatregelen.
4. DATALEKKEN
1.1 Verantwoordelijke is verantwoordelijk voor het beoordelen van het bestaan van een verplichting tot, en het daadwerkelijk uitvoeren van, melding van een Datalek aan een toezichthoudende autoriteit en/of Betrokkenen.
1.2 Verwerker zal enig Datalek na kennisname hiervan door Xxxxxxxxx, zo snel mogelijk, maar in ieder geval binnen 24 uur, rapporteren aan Verantwoordelijke. Verwerker vermeldt daarbij, voor zover mogelijk, in ieder geval de volgende gegevens:
a) De (vermoedelijke) oorzaak en aard van het Datalek;
b) De categorieën van Betrokkenen en Persoonsgegevens in kwestie en bij benadering het aantal Betrokkenen in kwestie;
c) de (vooralsnog bekende en/of te verwachten) gevolgen van het Datalek.
4.1 Verantwoordelijke en Verwerker betrachten strikte geheimhouding jegens ieder ander dan elkaar omtrent het Datalek, eventuele vrees voor een Datalek en verdere gerelateerde zaken, behoudens andersluidende verplichtingen ingevolge het Unierecht of Nederlands recht.
5. GEHEIMHOUDING
5.1 Verwerker is gehouden tot geheimhouding van de Persoonsgegevens. Verwerker mag de Persoonsgegevens slechts gebruiken ter uitvoering van de Hoofdovereenkomst en deze Verwerkersovereenkomst.
5.2 Verwerker zal de Persoonsgegevens niet aan anderen ter beschikking stellen dan zijn eigen medewerkers en/of derden die een legitieme reden hebben tot inzage daarvan. Verwerker zal waarborgen dat zijn werknemers en/of derden die toegang hebben tot de Persoonsgegevens zich ertoe hebben gebonden verbonden vertrouwelijkheid in acht te nemen.
6. DUUR
6.1 De Verwerkersovereenkomst treedt in werking op het moment van ondertekening en is aangegaan voor de duur van de Hoofdovereenkomst.
6.2 Na afloop van de Verwerkingsactiviteiten zal Verwerker, op verzoek van Xxxxxxxxxxxxxxxxx, alle persoonsgegevens wissen of aan Verantwoordelijke terugbezorgen, en bestaande kopieën verwijderen, tenzij opslag van de persoonsgegevens Unierechtelijk of volgens Nederlands recht verplicht is.
7. APPENDICES EN RANGORDE
7.1 De Appendices van de Verwerkersovereenkomst maken een integraal onderdeel uit van de Verwerkersovereenkomst. Bij strijd tussen de Appendices en de Verwerkersovereenkomst, prevaleert de Verwerkersovereenkomst.
7.2 Bij strijdigheid van de Verwerkersovereenkomst met andere overeenkomsten tussen Verantwoordelijke en Verwerker, prevaleert de Verwerkersovereenkomst.
8. TOEPASSELIJK RECHT
8.1 Op deze Verwerkersovereenkomst is het Nederlandse recht van toepassing.
8.2 Geschillen tussen partijen, die niet in overleg kunnen worden opgelost, zullen worden voorgelegd aan de daartoe bevoegde Nederlandse rechter van de rechtbank Midden- Nederland, locatie Almere.
Aldus overeengekomen en in tweevoud getekend,
Namens:
{{signature_0}}
(VERANTWOORDELIJKE 1) XXXX Xxxxx Informatiesystemen B.V.
{{text_0}}
{{text_0}}
{{text_0}}
(handtekening)
NAAM Xxx Xxxxxxxx FUNCTIE penningmeester DATUM 28 Mei 2018
{{text_0}}
PLAATS Sneek
NAAM
Xxxx Xxxxxxxx
FUNCTIE
Directeur
DATUM
25-05-2018
PLAATS
Almere
APPENDIX 1 – VERWERKING VAN PERSOONSGEGEVENS
(Behorende bij de Verwerkersovereenkomst gesloten tussen Verantwoordelijke en Verwerker betreffende verwerking van Persoonsgegevens)
De volgende categorieën Persoonsgegevens kunnen aan Verwerker verstrekt worden:
- Naam/ - Geboortedatum/ - Geslacht/ - Pasfoto('s)/ - Lidnummer/ -Bondsnummer
- Adres/ -Postcode/ -Plaats
- Telefoonnummer (mobiel/vast)/ - Emailadres
- Wachtwoord
- IBAN/ - Factuurinformatie/historie
- VOG-data
- Contracten (trainers/betaalde krachten)
- Sponsorgegevens + contracten
- Teamplaatsingen (/historie)/ - Spelervolginformatie (/historie)/ - Ondersteuning(historie) (coach/trainer/manager/rollen)/ - Wedstrijd- / training- / fluit- / dienstenhistorie
- Extra informatie van een persoon bevraagd door vereniging
Doel en aard van verwerking:
Verwerking van persoonsgegevens in een ledenadministratiesysteem en de daarbij behorende functionaliteiten zoals overeengekomen.
KNHB en Drillster
De doorgifte van ledengegevens vanuit het ledenadministratiesysteem aan de KNHB indien en voor zover deze doorgifte voortvloeit uit de verplichtingen die Verantwoordelijke tegenover de KNHB heeft en met de Verwerker is overeengekomen en/of anderszins verenigbaar is met de doelstellingen van de verwerking.
De terbeschikkingstelling van een koppeling naar de leermodule op xxxx.xxxxxxxxx.xxx, waar de Verantwoordelijke vanuit de LISA-omgeving de naam en e-mail van een persoon door kan geven naar dit platform, waarna dit platform deze persoon via e-mail inloggegevens verstrekt.
Tevens biedt Xxxxxxxxx de mogelijkheid om binnen de LISA-omgeving het voortgangspercentage van de afgenomen cursus weer te geven aan personen met toegang tot deze omgeving, die via dezelfde koppeling terug wordt gezonden naar de LISA-omgeving.
Reeds omdat Verwerker niet degene is die de KNHB of Drillster heeft ingeschakeld, is KNHB of Drillster niet aan te merken als Sub-Verwerker in de zin van deze Verwerkersovereenkomst.
Overige Derden
Verwerker zal persoonsgegevens doorgeven aan overige derden; te denken valt aan Twinfield, Mailchimp, HockeyPraktijk etc., voor zover Verantwoordelijke met Verwerker is overeengekomen.
Duur van de verwerking
In beginsel voor de duur van de Hoofdovereenkomst.
De categorieën van betrokkenen
Alle personen die door Verantwoordelijke in de systemen van Verwerker worden geplaatst, waaronder leden en andere bij de (activiteiten van) Verantwoordelijke betrokken personen.
Sub-Verwerkers
De Sub-Verwerkers als bedoeld in 2.3 waarvoor Verantwoordelijke toestemming geeft, zijn:
- Microsoft (Microsoft Azure): hosting platform als basis voor de mobiele LISA app
- Amazone S3 (Simple storage service): Cloud service voor opslag pasfoto’s
- KPN Internedservices B.V.: Hosting platform, backup service, mailhosting
- Spryng B.V.: ten behoeve van versturen van bulk SMS berichten
- Cloudflare: ten behoeve van routering internetverkeer (DNS)
APPENDIX 2 – TECHNISCHE EN ORGANISATORISCHE BEVEILIGINGSMAATREGELEN
(Behorende bij de Verwerkersovereenkomst gesloten tussen Verantwoordelijke en Verwerker betreffende verwerking van Persoonsgegevens)
Beveiligingsmaatregelen per datum totstandkoming Verwerkersovereenkomst:
Verwerker heeft in ieder geval de volgende maatregelen genomen:
- Toegangsbeveiliging in vorm van:
o Wachtwoord voor toegang tot persoonsgegevens
o Gescheiden netwerken / bepaalde servers niet direct bereikbaar vanaf internet
o XSS / SQL-injecties
- Controle / logging
o Logging van verzoeken
o Firewall
- PET (Privacy Enhancing Technology)
o Hashing (data in beveiligd formaat opslaan wat niet te herleiden is)
o Encryptie (versleutelen van gegevens)
- SSL / HTTPS (techniek die de communicatie tussen computers beveiligd)