Verwerkersovereenkomst digitaal lespakket

Verwerkersovereenkomst digitaal lespakket

De ondergetekenden:

(organisatie), gevestigd te

(plaatsnaam), rechtsgeldig vertegenwoordigd door (naam) in de hoedanigheid van

(functie)

hierna te noemen “Verwerkingsverantwoordelijke”

en

Rutgers, gevestigd te: Xxxxxx xxx Xxxxxxxxxxxxxx 000, 0000 XX Xxxxxxx, rechtsgeldig vertegenwoordigd door xxxxxxx X. xxx xxx Xxxx in de hoedanigheid van Directeur, hierna te noemen “Verwerker”

Verwerkingsverantwoordelijke en Verwerker hierna gezamenlijk ook aan te duiden als

“Partijen” en afzonderlijk als “Partij”.

Overwegen het volgende:

A. Verwerkingsverantwoordelijke en Verwerker zijn op een relatie

aangegaan door de aanschaf van een lespakket in de webshop. Om van het lespakket gebruik te maken worden door de Verwerker, Persoonsgegevens van Verwerkingsverantwoordelijke, verwerkt.

B. Partijen wensen, mede gelet op het bepaalde in de Wet bescherming Persoonsgegevens en de Algemene Verordening Gegevensbescherming (Verordening EU 2016/679) in deze Verwerkersovereenkomst hun wederzijdse rechten en verplichtingen voor de Verwerking van Persoonsgegevens vast te leggen.

Verklaren te zijn overeengekomen als volgt:

Artikel 1. Definities

1.1 In deze Verwerkersovereenkomst wordt verstaan onder:

• Verwerker: de verwerker als gedefinieerd in de Wet.

• Verwerkersovereenkomst: deze Verwerkersovereenkomst, inclusief de Bijlagen.

• Bijlage: een bijlage bij deze Verwerkersovereenkomst, welke daarvan een onlosmakelijk deel uitmaakt.

• Overeenkomst: bestelling van het lesmateriaal via de webshop.

• Normen: de ISO/IEC-standaard voor informatiebeveiliging 27001, danwel de van toepassing zijnde sector specifieke norm onder de “ISO/IEC 27009, Information technology – Security techniques – Sector-specific application of ISO/IEC 27001 – Requirements”.

• Persoonsgegevens: persoonsgegevens zoals gedefinieerd in de Wet en verwerkt onder deze Verwerkersovereenkomst.

• Verantwoordelijke: de verantwoordelijke of verwerkingsverantwoordelijke, zoals gedefinieerd in de Wet.

• Wet: de Wet Algemene Verordening Gegevensbescherming (AVG) (Verordening EU 2016/679).

1.2 In deze Verwerkersovereenkomst hebben overige begrippen uit de Wet, niet opgenomen in artikel 1.1, de betekenis die daaraan is gegeven in de Wet.

Artikel 2. Onderwerp van deze Verwerkersovereenkomst

2.1 Verwerkingsverantwoordelijke verstrekt aan de Verwerker de opdracht tot Verwerking van Persoonsgegevens ten behoeve van de uitvoering van de overeenkomst. Een overzicht van de categorieën Persoonsgegevens, de doeleinden waarvoor de Persoonsgegevens worden verwerkt en een omschrijving van de bewerking(en) zijn opgenomen in Bijlage 1 bij deze Verwerkersovereenkomst.

Artikel 3. Uitvoering verwerking

3.1 Verwerker zal optreden als Verwerker en Verwerkingsverantwoordelijke als verantwoordelijke in de zin van de Wet. Verwerkingsverantwoordelijke heeft en houdt zelfstandige zeggenschap over het doel en de middelen van de Verwerking van de Persoonsgegevens.

3.2 Verwerker verplicht zich om de verkregen Persoonsgegevens niet voor andere doeleinden of op andere wijze te gebruiken dan voor het doel, en de wijze waarvoor, de gegevens zijn verstrekt of aan hem bekend zijn geworden. Het is Verwerker derhalve niet toegestaan andere gegevensverwerkingen uit te voeren dan door Verwerkingsverantwoordelijke (mondeling, schriftelijk dan wel elektronisch) aan Verwerker zijn opgedragen. Deze verplichting geldt zowel gedurende de looptijd van deze overeenkomst als na afloop daarvan.

3.3 Verwerker onthoudt zich van verstrekking van Persoonsgegevens aan een derde, tenzij deze uitwisseling plaatsvindt in opdracht van de Verwerkingsverantwoordelijke of wanneer dit noodzakelijk is om te voldoen aan een op de Verwerker rustende wettelijke verplichting.

3.4 Verwerker zal alle redelijke instructies van Verwerkingsverantwoordelijke in verband met de verwerking van de Persoonsgegevens opvolgen. Verwerker stelt Verwerkingsverantwoordelijke onmiddellijk op de hoogte indien naar zijn oordeel instructies in strijd (kunnen) zijn met enige op de opdracht van toepassing zijnde wet- en regelgeving of met een tussen Partijen geldende overeenkomst.

3.5 Verwerker zal de Persoonsgegevens op behoorlijke en zorgvuldige wijze en in overeenstemming met de op hem als Verwerker op grond van de Wet en andere toepasselijke wet- en regelgeving rustende verplichtingen verwerken. Verwerker zal zich tevens houden aan de bepalingen die op grond van de Wet geneeskundige behandelingsovereenkomst (Wgbo) van toepassing zijn op Verwerkingsverantwoordelijke. Partijen sluiten deze overeenkomst om te profiteren van de expertise die Verwerker heeft als het gaat om het beveiligen en het verwerken van Persoonsgegevens voor de doeleinden die uiteengezet zijn in Bijlage 1. Het is Verwerker toegestaan om naar eigen inzicht de

middelen aan te wenden die hij noodzakelijk acht om die doeleinden te bereiken.

3.6 Het is Verwerker zonder voorafgaande schriftelijke toestemming van Verwerkingsverantwoordelijke niet toegestaan Verwerkingsverantwoordelijke Persoonsgegevens te verstrekken aan landen buiten de Europese

Economische Ruimte (“EER”). Verwerker stelt de in Bijlage 3 genoemde medewerker van Verwerkingsverantwoordelijke onmiddellijk op de hoogte van alle (geplande) permanente of tijdelijke doorgiftes van Persoonsgegevens naar een land buiten de Europese Economische Ruimte en zal pas uitvoering geven aan dergelijke (geplande) doorgiftes nadat zij hiervoor schriftelijke toestemming van Verwerkingsverantwoordelijke heeft gekregen.

Verwerkingsverantwoordelijke heeft te allen tijde het recht om aanvullende voorwaarden te verbinden aan haar toestemming voor een dergelijke verwerking.

3.7 Verwerker zal zijn volledige medewerking verlenen aan Verwerkingsverantwoordelijke om (i) na goedkeuring van en in opdracht van Verwerkingsverantwoordelijke betrokkenen toegang te laten krijgen tot de hun betreffende Persoonsgegevens, (ii) Persoonsgegevens te verwijderen of te corrigeren, (iii) aan te tonen dat Persoonsgegevens verwijderd of gecorrigeerd zijn indien zij incorrect zijn (of, ingeval Verwerkingsverantwoordelijke het er niet mee eens is dat Persoonsgegevens incorrect zijn, het feit vast te leggen dat de betrokkene zijn Persoonsgegevens als incorrect beschouwt) en (iv) Verwerkingsverantwoordelijke anderszins in de gelegenheid te stellen om aan haar verplichtingen onder de wet- en regelgeving te voldoen.

3.8 Verwerkingsverantwoordelijke en Verwerker verstrekken elkaar over en weer alle benodigde informatie teneinde een goede naleving van de relevante wet- en regelgeving mogelijk te maken.

Artikel 4. Beveiliging Persoonsgegevens & controle

4.1 Verwerker zal de Persoonsgegevens opslaan en passende technische en organisatorische maatregelen treffen om deze Persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige Verwerking. Onverminderd de beveiligingsnormen die Partijen elders zijn overeengekomen, zal Verwerker passende technische en organisatorische beveiligingsmaatregelen nemen, die gezien de huidige stand der techniek en de daarmee gemoeide kosten overeenstemmen met de aard van de te verwerken Persoonsgegevens, ter bescherming van de Persoonsgegevens tegen verlies, onbevoegde kennisname of onrechtmatige verwerking, conform de daarvoor geldende Normen.

Deze maatregelen omvatten in ieder geval:

A. Maatregelen om te waarborgen dat enkel bevoegd personeel toegang heeft tot de Persoonsgegevens voor de doeleinden die zijn uiteengezet in Bijlage 1.

B. Maatregelen om de Persoonsgegevens te beschermen tegen onopzettelijke of onrechtmatige vernietiging, onopzettelijk verlies of wijziging, onbevoegde of onrechtmatige opslag verwerking, toegang of openbaarmaking.

C. Maatregelen om zwakke plekken te identificeren ten aanzien van de verwerking van Persoonsgegevens in de systemen die worden ingezet voor het verlenen van diensten aan Verwerkingsverantwoordelijke.

D. De maatregelen die Partijen in Bijlage 2 zijn overeengekomen.

4.2 Verwerker heeft te allen tijde een passend, geschreven IT/beveiligingsbeleid geïmplementeerd voor de verwerking van Persoonsgegevens, waarin in ieder geval de in lid 1 van dit artikel 4 genoemde maatregelen uiteen zijn gezet.

4.3 Verwerkingsverantwoordelijke heeft het recht toe te zien op de naleving van de hiervoor onder 4.1 en 4.2 genoemde maatregelen. Verwerker stelt Verwerkingsverantwoordelijke, indien Verwerkingsverantwoordelijke daarom verzoekt, hiertoe in elk geval eenmaal per jaar in de gelegenheid op een door Partijen in gezamenlijk overleg nader te bepalen tijdstip en verder indien Verwerkingsverantwoordelijke daar aanleiding toe ziet naar aanleiding van (vermoeden van) informatie- of privacy-incidenten. Verwerker zal eventuele door Verwerkingsverantwoordelijke naar aanleiding van een dergelijke controle in redelijkheid gegeven instructies tot aanpassing van het beveiligingsbeleid binnen een redelijke termijn opvolgen.

4.4 Verwerker zal in alle redelijkheid en voor een tarief van €125 /uur aan het onder

4.3 hiervoor bedoelde onderzoek haar medewerking verlenen.

4.5 Partijen erkennen dat beveiligingseisen voortdurend veranderen en dat een effectieve beveiliging frequente evaluatie en regelmatige verbetering van verouderde beveiligingsmaatregelen vereist. Verwerker zal daarom de maatregelen zoals geïmplementeerd op basis van dit artikel 4 voortdurend evalueren en verscherpen, aanvullen of verbeteren om te blijven voldoen aan zijn verplichtingen onder dit artikel 4.

Artikel 5. Monitoring, informatieplichten en incidentenmanagement

5.1 Verwerker zal actief monitoren op inbreuken op de beveiligingsmaatregelen en over de resultaten van de monitoring in overeenstemming met dit artikel 5 rapporteren aan Verwerkingsverantwoordelijke binnen de daarvoor gestelde wettelijke termijnen.

5.2 Zodra zich een incident met betrekking tot de verwerking van de Persoonsgegevens voordoet, heeft voorgedaan of zou kunnen voordoen met betrekking tot beveiligingsmaatregelen, is Verwerker verplicht Verwerkingsverantwoordelijke daarvan binnen 12 uur in kennis te stellen en daarbij alle relevante informatie te verstrekken omtrent de aard van het incident, het risico dat gegevens onrechtmatig verwerkt zijn of kunnen worden en de maatregelen die getroffen zijn of zullen worden om het incident op te lossen dan wel de gevolgen/schade zoveel mogelijk te beperken.

5.3 Verwerker zal Verwerkingsverantwoordelijke te allen tijde haar medewerking verlenen en zal de instructies van Verwerkingsverantwoordelijke opvolgen, met als doel Verwerkingsverantwoordelijke in staat te stellen een deugdelijk onderzoek te verrichten naar het incident, een correcte respons te formuleren en passende vervolgstappen te nemen ten aanzien van het incident.

5.4 Onder “incident” wordt in elk geval het volgende verstaan:

A. Een melding of (informatie)verzoek van een natuurlijk persoon met betrekking tot de verwerking van Persoonsgegevens door Verwerker.

B. Een onderzoek naar of beslaglegging door overheidsfunctionarissen op de Persoonsgegevens of een vermoeden dat dit gaat plaatsvinden.

C. Iedere inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens, of enige aanwijzing dat een dergelijke inbreuk zal plaatsvinden of heeft plaatsgevonden.

D. Een doorbreking van de beveiliging en/of de vertrouwelijkheid, zoals uiteengezet in artikel 3 en 4 van deze Verwerkersovereenkomst.

5.5 Verwerker zal te allen tijde geschreven procedures voorhanden hebben die hem in staat stellen om Verwerkingsverantwoordelijke van een onmiddellijke reactie over een incident te voorzien, en om effectief samen te werken met Verwerkingsverantwoordelijke om het incident af te handelen en zal Verwerkingsverantwoordelijke voorzien van een exemplaar van dergelijke procedures indien Verwerkingsverantwoordelijke daarom verzoekt.

5.6 Meldingen die worden gedaan op grond van dit artikel worden gericht aan de in Bijlage 3 opgenomen werknemer van Verwerkingsverantwoordelijke of, indien relevant, aan een andere door Verwerkingsverantwoordelijke tijdens de duur van deze Verwerkersovereenkomst schriftelijk bekendgemaakte andere werknemer van Verwerkingsverantwoordelijke.

5.7 Verwerkingsverantwoordelijke zal, indien naar haar oordeel noodzakelijk, betrokkenen, toezichthouders en andere derden informeren over incidenten. Het is Verwerker niet toegestaan informatie te verstrekken over incidenten aan betrokkenen of andere derde partijen, behoudens voor zover Verwerker daartoe wettelijk verplicht is.

Artikel 6. Geheimhouding

6.1 Verwerker zorgt ervoor dat eenieder, waaronder haar werknemers, vertegenwoordigers en/of Sub-verwerkers (gedefinieerd in artikel 7 hieronder), die betrokken zijn bij de Verwerking van de Persoonsgegevens deze gegevens als vertrouwelijk behandelt. Verwerker bewerkstelligt dat voor eenieder die betrokken is bij de Verwerking van de Persoonsgegevens een geheimhoudingsovereenkomst of –beding is gesloten.

6.2 De in dit artikel bedoelde geheimhoudingsplicht geldt niet voor zover Verwerkingsverantwoordelijke uitdrukkelijk schriftelijke toestemming heeft gegeven om de Persoonsgegevens aan een derde te verstrekken of indien er een wettelijke verplichting bestaat om de Persoonsgegevens aan een derde te verstrekken.

Artikel 7. Gebruik onderaannemers

7.1 Verwerker heeft in het kader van het doel van het project Sub-verwerkers ingeschakeld welke persoonsgegevens verwerken. Dit is een Sub-verwerker voor de software en Sub-verwerker voor administratieve doeleinden.

7.2 Verwerker verplicht iedere Sub-verwerker contractueel de geheimhoudingsverplichtingen, meldingsverplichtingen en beveiligingsmaatregelen na te leven met betrekking tot de Verwerking van Persoonsgegevens welke verplichtingen en maatregelen minimaal dienen te voldoen aan het bepaalde in deze Verwerkersovereenkomst.

7.3 Verwerker verplicht iedere Sub-verwerker contractueel om de Persoonsgegevens niet verder te verwerken anders dan in het kader van deze Verwerkersovereenkomst is overeengekomen.

Artikel 8. Aansprakelijkheid

De aansprakelijkheid van Verwerker voor schade als gevolg van een toerekenbare tekortkoming in de nakoming van de Verwerkersovereenkomst, dan wel uit onrechtmatige daad of anderszins, is uitgesloten. Voor zover voornoemde aansprakelijkheid niet kan worden uitgesloten is deze per gebeurtenis (een reeks opeenvolgende gebeurtenissen geldt als één gebeurtenis) beperkt tot de vergoeding van directe schade, tot maximaal het bedrag van de door Verwerker ontvangen vergoedingen voor de werkzaamheden onder deze Verwerkersovereenkomst over de maand voorafgaande aan de schadeveroorzakende gebeurtenis. De aansprakelijkheid van Verwerker voor directe schade zal in totaal nooit meer bedragen dan het bedrag dat contractueel jaarlijks aan verwerker betaald wordt.

Artikel 9. Duur en beëindiging

9.1 Deze Verwerkersovereenkomst vangt aan gelijktijdig met de tussen Partijen gesloten overeenkomst. De looptijd van deze Verwerkersovereenkomst is gelijk aan de factuurrelatie, inclusief eventuele verlengingen daarvan.

9.2 Deze Verwerkersovereenkomst eindigt van rechtswege bij de beëindiging van deelname aan Xxxxxxxx in je Buik. De beëindiging van deze Verwerkersovereenkomst zal Partijen niet ontslaan van hun verplichtingen die voortvloeien uit deze Verwerkersovereenkomst die naar hun aard worden geacht ook na beëindiging voort te duren.

Artikel 10. Bewaartermijnen, teruggave en vernietiging van Persoonsgegevens

10.1 Verwerker bewaart de Persoonsgegevens niet langer dan strikt noodzakelijk en in geen geval langer dan tot het einde van deze Verwerkersovereenkomst of, indien tussen Partijen een bewaartermijn is overeengekomen, niet langer dan deze termijn.

10.2 Bij beëindiging van de Verwerkersovereenkomst, of indien van toepassing aan het einde van de overeengekomen bewaartermijnen, of op schriftelijk verzoek van Verwerkingsverantwoordelijke zal Verwerker de Persoonsgegevens vernietigen of teruggeven aan Verwerkingsverantwoordelijke, naar keuze van Verwerkingsverantwoordelijke. Op verzoek van Verwerkingsverantwoordelijke verstrekt Verwerker bewijs van het feit dat de gegevens vernietigd of verwijderd zijn. Indien teruggave, vernietiging of verwijdering niet mogelijk zijn, stelt Verwerker Verwerkingsverantwoordelijke daarvan onmiddellijk op de hoogte. In dat geval garandeert Verwerker dat hij de Persoonsgegevens vertrouwelijk zal behandelen en niet langer zal verwerken.

10.3 Bij het einde van de Verwerkersovereenkomst zal Verwerker alle derden die betrokken zijn bij het verwerken van Persoonsgegevens op de hoogte stellen

van de beëindiging van de Verwerkersovereenkomst en zal waarborgen dat alle betrokken derden de Persoonsgegevens vernietigen of aan Verwerkingsverantwoordelijke overdragen, naar keuze van Verwerkingsverantwoordelijke.

Artikel 11. Slotbepalingen

11.1 In het geval van strijdigheid tussen de bepalingen uit deze Verwerkersovereenkomst en bepalingen uit Bijlage 1, dan zullen de bepalingen van de Verwerkersovereenkomst leidend zijn.

11.2 Wijzigingen in de artikelen van de Verwerkersovereenkomst kunnen uitsluitend door Partijen gezamenlijk worden overeengekomen.

11.3 In het geval enige bepaling van deze Verwerkersovereenkomst nietig, vernietigbaar of anderszins niet afdwingbaar is of wordt, blijven de overige bepalingen van deze Verwerkersovereenkomst volledig van kracht. Partijen zullen in dat geval met elkaar in overleg treden om de nietige, vernietigbare of anderszins niet afdwingbare bepaling te vervangen door een uitvoerbare alternatieve bepaling. Daarbij zullen Partijen zoveel mogelijk rekening houden met het doel en de strekking van de nietige, vernietigde of anderszins niet afdwingbare bepaling.

11.4 Op deze Verwerkersovereenkomst zijn de bepalingen van het Nederlands recht van toepassing. Geschillen over of in verband met deze Verwerkersovereenkomst worden uitsluitend voorgelegd aan de bevoegde rechtbank Midden-Nederland, locatie Utrecht.

Opgemaakt en ondertekend door rechtsgeldig vertegenwoordigers van de Partijen.

Namens Rutgers Namens

datum: datum:

Xxxxxxx xxx xxx Xxxx directeur

(organisatie)

(naam)

(functie)

Bijlage 1 Te verwerken Persoonsgegevens, doeleinden en omschrijving bewerking(en)

1. Onder deze Verwerkerssovereenkomst vallen de volgende lespakketten van Rutgers die aangeschaft kunnen worden in de webshop van Rutgers:

• Kriebels in je Buik (xxxxx://xxxxxxxxxxxxxxxx.xx)

• Kriebels in je Buik SO (xxxxx://xxxxxxxxxxxxxxxxxx.xx)

• Lang Leve de Liefde VSO (xxxxx://xxxxxxxxxxxxxxxxxxx.xx)

• Lang Leve de Liefde Cluster 4 (xxxxx://xxxxxxxxxxxxxxxxxxx0.xx)

2. Verwerker ‘Rutgers’ heeft toegang tot het beheerdersaccount van de managementtool. De volgende persoonsgegevens worden hierin verwerkt

d.m.v. het aanmaken van een profiel. Hierna is er toegang tot het managementsysteem en het lesmateriaal.

• Voor- en achternaam

• Telefoonnummer

• E-mailadres

3. Sub-verwerker ‘The Beansters’ heeft toegang tot het beheerdersaccount van de managementtool. De volgende persoonsgegevens worden hierin verwerkt

d.m.v. het aanmaken van een profiel. Hierna is er toegang tot het managementsysteem en het lesmateriaal.

• Voor- en achternaam

• Telefoonnummer

• E-mailadres

4. Sub-verwerker ‘Hexspoor’ verwerkt de volgende persoonsgegevens voor wettelijke en administratieve doeleinden (factuurverwerking):

• Voor- en achternaam

• E-mailadres

Bijlage 2 Beveiligingsmaatregelen

De (Sub)Verwerker neemt alle technische en organisatorische beveiligingsmaatregelen die op grond van de AVG en in het bijzonder op grond van artikel 32 AVG van haar worden geëist.

En specifiek binnen Rutgers:

1. Authenticatie: binnen Rutgers is er MFA ingesteld. Het verificatieproces waarbij de identiteit van de gebruiker wordt bevestigd is ingeregeld. Dit d.m.v. een unieke gebruikersnaam en sterk wachtwoordbeleid.

2. Versleuteling: Alle gegevens zijn versleuteld tijdens overdracht en opslag, zodat ze onleesbaar zijn voor onbevoegde partijen.

3. Toegangsbeheer: Toegang tot de managementtool wordt beheerd door middel van rol- en rechtenbeheer, zodat alleen de juiste personen toegang hebben tot het lesmateriaal.

4. Kwaliteitsnorm: Verwerker is ISO 9001 gecertificeerd.

5. Actieve controles vinden plaats op kwetsbaarheden.

6. Regelmatig wordt de applicatie gecontroleerd door middel van pentest.

Bijlage 3 Contactgegevens

Verwerker

In geval van een datalek en/of incidenten deze direct melden bij de privacy officer van Rutgers via xxxxxxx@xxxxxxx.xx en bij de contactpersoon van Rutgers die bekend is bij de school.

Verantwoordelijke

Contactpersoon (namens de) school: