VERWERKERSOVEREENKOMST 4.1 12-04-2023
VERWERKERSOVEREENKOMST 4.1 12-04-2023
1. Foto de Leng, gevestigd te Hardinxveld-Giessendam en kantoorhoudende te (3371AS) Hardinxveld- Giessendam aan de Xxxxxxxxxxxx 000, ingeschreven in het handelsregister onder nummer 24356944, te Gorinchem deze rechtsgeldig vertegenwoordigd door de xxxx X.xx Xxxx in de functie van
Directeur, hierna te noemen: “Foto de Leng”;
en
2. De klant Naam bedrijf/stichting/organisatie: Adres:
Rechtsgeldig vertegenwoordigd door: ingeschreven in het handelsregister onder nummer:
(zoals gedefinieerd in de Overeenkomst van Opdracht en omschreven in de aanbieding, offerte, opdrachtbevestiging, gebruiks- c.q. gebruikersovereenkomst, licentieovereenkomst of vergelijkbaar) zijnde (rechts)persoon of organisatie die digitaal dan wel schriftelijk opdracht heeft verstrekt aan Verwerker voor het maken en leveren van Portretfoto’s, Groepsfoto’s, Productfoto’s, Fotorapportages, diensten in de fotografie of overige zaken, hierna te noemen: “Verantwoordelijke” (in de zin van AVG);
Gezamenlijk aan te duiden als “Partij(en)”.
OVERWEGENDE DAT
1. Foto de Xxxx persoonsgegevens ontvangt van de klant en Portretfoto’s, Groepsfoto’s en, Fotorapportages maakt van leerlingen, personeelsleden en bezoekers van de klant, zodat deze online aangeboden kunnen worden aan de ouders/verzorgers van de klant en geleverd worden aan de klant zelf en hiertoe een dienst bij Foto de Leng afneemt (hierna: de “Dienst”).
2. Foto de Leng bij het uitvoeren van de Dienst gegevens zal verwerken waarvoor de klant verantwoordelijk is en blijft. Tot die gegevens behoren persoonsgegevens in de zin van de AVG.
3. De klant aangemerkt kan worden als verwerkingsverantwoordelijke in de zin van artikel 4(7) AVG.
4. Foto de Xxxx aangemerkt kan worden als verwerker in de zin van artikel 4(8) AVG.
5. De klant op grond van artikel 28 en 32 AVG verplicht is een overeenkomst met Foto de Leng aan te gaan en te zorgen dat Foto de Leng voldoende waarborgen biedt ten aanzien van de beveiliging van persoonsgegevens.
6. Partijen wensen hun afspraken vast te leggen in deze Verwerkersovereenkomst.
Definities
AVG: Algemene Verordening Gegevensbescherming. Betrokkene: geïdentificeerde of identificeerbare natuurlijke persoon op wie een persoonsgegeven betrekking heeft.
Datalek: Een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens.
Derde: Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan, niet zijnde Betrokkene, noch de klant, noch Foto de Leng, noch de personen die onder rechtstreeks gezag van de klant of Foto de Leng gemachtigd zijn om persoonsgegevens te verwerken.
EER:
De Europese Economische Ruimte.
DPIA:
Een gegevens beschermingseffect beoordeling, die wordt uitgevoerd voorafgaand aan het uitvoeren van een verwerking, van het effect van de beoogde verwerkingsactiviteiten op de bescherming van persoonsgegevens.
Dienst:
De hoofdovereenkomst tussen partijen, waaronder Foto de Leng haar diensten levert aan de klant en bepaalde verwerkingen en werkzaamheden uitvoert ten behoeve van de klant en waaruit deze Verwerkersovereenkomst voortvloeit.
Persoonsgegeven:
Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon, zoals bedoeld in artikel 4(1) AVG.
Subverwerker:
Een niet-ondergeschikte derde partij die door Foto de Xxxx is betrokken bij de verwerking van persoonsgegevens in het kader van de Dienst, niet zijnde personeelsleden van Foto de Leng
Toezichthouder:
De Autoriteit Persoonsgegevens, het zelfstandig bestuursorgaan dat in Nederland bij wet is aangesteld als toezichthouder voor het toezicht op verwerkingen van persoonsgegevens
Verwerker:
Foto de Xxxx, de partij die ten behoeve van de klant persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen.
Verwerkersovereenkomst:
Deze overeenkomst inclusief de bijgevoegde bijlagen. Verwerking: Een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op een andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.
Verwerkingsverantwoordelijke:
De klant, de partij die, alleen of tezamen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt.
KOMEN ALS VOLGT OVEREEN
Artikel 1 – Totstandkoming, duur en beëindiging
1. Deze Verwerkersovereenkomst vangt aan op het moment van ondertekening.
2. Deze Verwerkersovereenkomst is onderdeel van de Dienst en zal gelden gedurende de tijd dat de klant gebruik maakt van de Dienst. Wanneer het gebruik van de Dienst door de klant wordt beëindigd, eindigt ook deze Verwerkersovereenkomst automatisch. Partijen kunnen de Verwerkersovereenkomst niet apart van de Dienst beëindigen.
3. Bij beëindiging van de Dienst, verplichten Partijen zich te blijven houden aan het bepaalde in de Verwerkersovereenkomst met betrekking tot geheimhouding, aansprakelijkheid, vrijwaring en alle overige bepalingen die naar hun aard bestemd zijn om ook na het einde van de Dienst voort te duren.
Artikel 2 - Uitvoering van de verwerking
1. De bepalingen uit de Verwerkersovereenkomst gelden voor alle verwerkingen die plaatsvinden bij de uitvoering van de Dienst. Wanneer Foto de Xxxx reden heeft om aan te nemen dat hij niet langer aan de Verwerkersovereenkomst kan voldoen, brengt Foto de Leng de klant onmiddellijk daarvan op de hoogte.
2. De door Foto de Leng te verwerken persoonsgegevens en de daarop van toepassing zijnde verwerkingsdoeleinden, waar deze Verwerkersovereenkomst betrekking op heeft, worden nader omschreven in bijlage 1.
3. Foto de Xxxx gaat bij de uitvoering van de Dienst op zorgvuldige, behoorlijke en transparante wijze met persoonsgegevens om en verwerkt persoonsgegevens alleen in opdracht van de klant in het kader van de uitvoering van de Dienst.
4. Foto de Xxxx verwerkt de persoonsgegevens alleen conform de schriftelijke instructies van de klant en conform deze Verwerkersovereenkomst. Foto de Xxxx heeft daarbij zelf geen zeggenschap over de persoonsgegevens.
5. Foto de Xxxx verwerkt de persoonsgegevens niet zonder nadrukkelijk toestemming van de betrokkenen (ouders/verzorgers van schoolkinderen) die vooraf geheel verkregen is door, en onder verantwoordelijkheid van, de opdrachtgever.
6. Foto de Leng verwerkt de persoonsgegevens niet voor eigen doeleinden, de doeleinden van Derden en/of voor andere doeleinden die niet door de klant zijn bepaald, tenzij Foto de Leng daartoe verplicht is onder toepasselijke wetgeving. In dat geval stelt Foto de Leng de klant vooraf schriftelijk van die verplichting op de hoogte, voor zover toegestaan onder de toepasselijke wetgeving.
7. Partijen zullen persoonsgegevens verwerken in overeenstemming met de toepasselijke wet- en regelgeving op het gebied van bescherming van persoonsgegevens, waaronder de voorschriften van de AVG. Foto de Leng licht de klant in als, naar mening van Foto de Leng, een instructie van de klant inbreuk oplevert op de AVG en/of de andere toepasselijke wet- en regelgeving.
8. Foto de Xxxx verleent aan de klant de nodige bijstand en medewerking bij het doen nakomen van de op partijen rustende verplichtingen op grond van de AVG en andere toepasselijke wet- en regelgeving.
Artikel 3 – Verzoeken van Betrokkenen
1. Foto de Xxxx neemt redelijke maatregelen om ervoor te zorgen dat betrokkene zijn rechten kan uitoefenen, zoals een verzoek om inzage, verbetering, aanvulling of verwijdering van persoonsgegevens, het maken van bezwaar tegen of het beperken van de verwerking en een verzoek tot het overdraagbaar maken van de persoonsgegevens.
2. Wanneer de klant een verzoek krijgt van een betrokkene die zijn of haar rechten wenst uit te oefenen, spant Foto de Xxxx zich in om daaraan binnen een termijn van 14 dagen zijn medewerking te verlenen. Foto de Xxxx stelt de klant in staat om binnen de wettelijke termijnen te voldoen aan bovengenoemde verzoeken.
3. Wanneer een betrokkene aan Foto de Xxxx een verzoek, als vermeld in bovengenoemd lid doet, verwijst Foto de Xxxx dit verzoek door aan de klant en zal de klant dit behandelen. Foto de Xxxx zal betrokkene van de verwijzing op de hoogte stellen.
Artikel 4 – Toegang tot persoonsgegevens
1. Foto de Leng geeft Subverwerkers, Derden en eventuele andere ontvangers van persoonsgegevens geen ruimere toegang dan noodzakelijk.
2. De verplichtingen van Foto de Leng die uit deze Verwerkersovereenkomst voortvloeien, gelden ook voor degenen die persoonsgegevens verwerken onder het gezag van Foto de Leng. Foto de Leng staat er verder voor in dat personen en gecontracteerde partijen die handelen onder zijn gezag de persoonsgegevens alleen op rechtmatige wijze en in overeenstemming met deze Verwerkersovereenkomst en de AVG zullen verwerken.
3. Foto de Leng geeft Subverwerkers geen toegang tot persoonsgegevens zonder vooraf daarvoor toestemming te hebben gekregen van de klant, zoals uitgewerkt in bijlage 1.
4. Foto de Leng licht de klant uiterlijk twee weken voorafgaand aan een beoogde toevoeging, vervanging of wijziging van Subverwerker(s) schriftelijk in. Foto de Xxxx biedt vervolgens de klant de mogelijkheid om tegen deze veranderingen bezwaar te maken. In geval van bezwaar treden Partijen in onderhandeling over een oplossing.
5. Foto de Xxxx verstrekt aan de klant op diens verzoek een overzicht van de door Foto de Leng ingeschakelde Subverwerkers.
6. Foto de Xxxx blijft, in de gevallen dat werkzaamheden deels of geheel worden uitbesteed aan Subverwerkers, zelf aansprakelijk en verantwoordelijk voor de naleving van de bepalingen uit de Verwerkersovereenkomst.
Foto de Leng zorgt dat de Subverwerkers schriftelijk minimaal dezelfde verplichtingen op zich nemen als overeengekomen tussen Foto de Leng en de klant. Ook geeft Foto de Leng de klant, op verzoek, inzage in de overeenkomsten met Subverwerkers waarin deze verplichtingen zijn opgenomen.
7. Foto de Leng licht de klant onmiddellijk in wanneer Foto de Leng en/of door Foto de Leng ingeschakelde andere partijen, waaronder maar niet beperkt tot personeelsleden en/of Subverwerkers, in strijd handelen met de Verwerkersovereenkomst.
Artikel 5 - Geheimhouding en vertrouwelijkheid
1. Alle persoonsgegevens die Foto de Leng ten behoeve van de Dienst en op basis van deze Verwerkersovereenkomst ontvangt dienen als vertrouwelijk behandeld te worden.
2. Foto de Xxxx zal de persoonsgegevens niet zonder toestemming van de klant aan Derden verstrekken, kopiëren, of anderszins verveelvoudigen of openbaar maken.
3. Personen in dienst van of werkzaam onder het gezag van Foto de Xxxx hebben een geheimhoudingsplicht ten opzichte van de persoonsgegevens, waarvoor een geheimhoudingsverklaring getekend wordt.
4. Als Foto de Leng van een Derde een inzageverzoek voor de persoonsgegevens ontvangt op grond van een vermeende (wettelijke) verplichting, dan informeert Foto de Leng de klant daarover eerst schriftelijk voordat hij die Derde inzage in de persoonsgegevens geeft. Het is vervolgens aan de klant om te beoordelen of dit verzoek gegrond is.
Artikel 6 - Beveiliging
1. Foto de Xxxx neemt passende technische en organisatorische maatregelen, houdt deze in stand en past deze indien nodig aan om de persoonsgegevens te beveiligen tegen vernietiging, verlies, vervalsing, niet toegelaten verspreiding of toegang, dan wel enige andere vorm van onrechtmatige verwerking. Deze maatregelen garanderen een passend beveiligingsniveau, waarbij rekening wordt gehouden met de stand van de techniek, de kosten van de tenuitvoerlegging en waarbij wordt gelet op de risico’s die de verwerking en de aard van te beschermen gegevens met zich meebrengen.
De maatregelen zijn er ook op gericht om onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen. Een overzicht van deze maatregelen is opgenomen in bijlage 2.
2. Foto de Xxxx informeert de klant, op verzoek, over de genomen (beveiligings)maatregelen om aan de verplichtingen op grond van de AVG, deze Verwerkersovereenkomst en de overige instructies van de klant te voldoen.
Artikel 7 – Controle en audit
1. Foto de Leng stuurt op verzoek van de klant een rapportage, waarin de genomen maatregelen, een overzicht van de werking daarvan en eventuele verbeter- en/of aandachtspunten worden opgenomen. Foto de Leng kan hiervoor kosten in rekening brengen bij de klant.
2. de klant is, na voorafgaande schriftelijke melding, gerechtigd die maatregelen te treffen die noodzakelijk zijn om te onderzoeken of Foto de Leng adequate technische en organisatorische maatregelen heeft getroffen. Foto de Xxxx verleent daarbij redelijkerwijs toegang aan de de klant of de onder geheimhouding controlerende partij, die in opdracht van de klant controleert. Foto de Leng is ook verplicht medewerking te verlenen aan de daadwerkelijke uitvoering van de controle, waaronder het ter beschikking stellen van relevante informatie.
3. De kosten van de controle worden gedragen door de klant, tenzij uit de controle blijkt dat Foto de Leng deze Verwerkersovereenkomst, de AVG en/of andere toepasselijke wet- en regelgeving niet heeft nageleefd. In dat geval komen de kosten van de controle voor rekening van Foto de Leng.
4. Als tijdens een controle wordt vastgesteld dat Foto de Leng niet voldoet aan het bepaalde van deze Verwerkersovereenkomst, de AVG en/of andere toepasselijke wet- en regelgeving met betrekking tot de verwerking van persoonsgegevens, neemt Foto de Leng binnen 4 weken alle redelijkerwijs noodzakelijke maatregelen om ervoor te zorgen dat Foto de Leng hieraan alsnog voldoet. De kosten daarvoor komen voor rekening van Foto de Leng.
Artikel 8 – Datalek
1. Foto de Xxxx informeert de klant in geval van ontdekking van een mogelijk datalek zo snel mogelijk, in ieder geval uiterlijk binnen 48 uur na ontdekking, over alle (vermoedelijke) inbreuken op de beveiliging en alle andere incidenten die op grond van wetgeving moeten worden gemeld aan Toezichthouder of Betrokkene(n). Foto de Xxxx heeft vervolgens de verplichting om de gevolgen van de inbreuken en/of incidenten zo snel mogelijk ongedaan te maken, dan wel te beperken.
2. Op verzoek verschaft Foto de Leng aan de klant alle inlichtingen die de klant noodzakelijk acht om het incident te kunnen beoordelen. Daarbij zal Foto de Leng in ieder geval de informatie verschaffen zoals omschreven in bijlage
3. Foto de Leng zorgt daarbij dat de verstrekte informatie volledig, correct en accuraat is.
4. Als het voor Foto de Xxxx niet mogelijk is om alle informatie vermeld in bijlage 3 gelijktijdig te verstrekken, dan verstrekt Foto de Leng de informatie in stappen, zo spoedig mogelijk en uiterlijk binnen 72 uur na ontdekking van het datalek.
5. Na de melding van een datalek aan de klant, houdt Foto de Leng de klant op de hoogte van nieuwe ontwikkelingen met betrekking tot het datalek en de maatregelen getroffen door Foto de Leng om
het datalek te beperken en te beëindigen en om een soortgelijk incident in de toekomst te voorkomen.
6. De klant besluit conform artikel 33 en 34 AVG of zij het datalek onmiddellijk aan de Toezichthouder meldt en/of de Betrokkene(n) onmiddellijk informeert. Foto de Xxxx laat het doen van meldingen aan de Toezichthouder en het informeren van Xxxxxxxxxx(n) over aan de klant.
7. Waar nodig, verleent Foto de Leng zo snel mogelijk zijn medewerking aan de klant voor het tijdig en adequaat informeren van de Betrokkene(n) en/of de Toezichthouder over een datalek.
8. Foto de Xxxx heeft passende maatregelen genomen om datalekken in een zo vroeg mogelijk stadium te ontdekken, de klant tijdig te informeren, om adequaat op het datalek te reageren, het datalek te beperken en herhaling te voorkomen. Ook Foto de Leng een schriftelijk register bij van alle datalekken. Op verzoek van de klant geeft Foto de Leng informatie over en inzage in zijn beleid en procedures omtrent datalekken.
Artikel 9 – Doorgifte persoonsgegevens buiten de EER 1.
Doorgifte naar derde landen of internationale organisaties buiten de EER door Foto de Leng is alleen toegestaan na voorafgaande schriftelijke toestemming van de klant en conform de toepasselijke wet- en regelgeving, tenzij voor Foto de Leng een wettelijke verplichting tot de doorgifte bestaat. In dat laatste geval stelt Foto de Leng de klant vooraf schriftelijk op de hoogte, tenzij die wetgeving deze kennisgeving verbiedt.
2. De klant heeft schriftelijke toestemming gegeven voor de doorgiften vermeld in bijlage 1.
3. De klant kan alleen toestemming aan Foto de Leng verlenen voor een doorgifte van Persoonsgegevens aan derde landen of internationale organisaties buiten de EER indien aan een van de volgende voorwaarden is voldaan: Er is ten aanzien van het derde land of de internationale organisatie een adequaatheidsbesluit genomen, conform artikel 45(3) AVG; Er zijn passende waarborgen getroffen, conform artikel 46 AVG; Er is voldaan aan een van de voorwaarden uit artikel 49(1) AVG.
Artikel 10 - Aansprakelijkheid en schade
1. Foto de Xxxx is alleen aansprakelijk voor de schade die voortvloeit uit het niet nakomen van de AVG of andere toepasselijke wet- en regelgeving en de bepalingen uit deze Verwerkersovereenkomst voor zover deze schade is ontstaan door de uitvoering van werkzaamheden door Foto de Leng, maar nimmer voor een bedrag hoger dan de door de klant verschuldigde tarieven voor de Dienst in de voorgaande 6 maanden. Deze beperking van de aansprakelijkheid komt te vervallen indien en voor zover de schade het gevolg is van opzet of grove schuld van Foto de Leng.
2. De klant staat ervoor in dat de verwerking van persoonsgegevens op basis van deze Verwerkersovereenkomst niet onrechtmatig is en geen inbreuk maakt op de rechten van Betrokkene(n).
3. Foto de Xxxx is niet aansprakelijk voor schade die het gevolg is van het door de klant niet naleven van de AVG of andere wet- of regelgeving. De klant vrijwaart Foto de Leng voor aanspraken op grond van zulke schade. De vrijwaring geldt niet alleen voor de schade die Betrokkene(n) of andere Derden hebben geleden, maar ook voor de kosten die Foto de Leng in verband daarmee heeft moeten maken, bijvoorbeeld in een eventuele juridische procedure, en de kosten van eventuele boetes die aan Foto de Leng worden opgelegd ten gevolge van het handelen of nalaten van de klant.
4. Foto de Xxxx is niet aansprakelijk voor indirecte schade, waaronder mede begrepen stagnatie in de geregelde gang van zaken in de onderneming, gederfde winst, gemiste besparingen en gevolgschade, geleden door de klant verband houdend met, dan wel veroorzaakt door de uitvoering van de werkzaamheden ten behoeve van deze Verwerkersovereenkomst door Foto de Leng.
Artikel 11 – Wijzigingen
1. Foto de Xxxx informeert de klant tijdig over voorgenomen wijzigingen met betrekking tot de verwerking van persoonsgegevens, waaronder over wijzigingen die invloed (kunnen) hebben op de (categorieën) persoonsgegevens die worden verwerkt, verandering van Subverwerker(s) en wijzigingen in de doorgifte van persoonsgegevens aan landen buiten de EER en/of internationale organisaties.
2. Wanneer een dergelijke wijziging daartoe aanleiding geeft, zullen partijen in overleg treden over het aanpassen van de Verwerkersovereenkomst en/of de daarbij gevoegde bijlagen.
3. Foto de Xxxx zal geen wijzigingen doorvoeren die tot gevolg hebben dat hetgeen vermeld in bijlage 1 aangepast dient te worden, tenzij de klant daarvoor schriftelijk toestemming heeft gegeven.
Artikel 12 – Teruggave persoonsgegevens en bewaartermijnen
1. De persoonsgegevens die Foto de Leng verwerkt conform de Verwerkersovereenkomst, zullen vernietigd worden op verzoek van de klant, na verstrijken van de overeengekomen bewaartermijnen, dan wel na het verstrijken van een wettelijke bewaartermijn.
2. Bij beëindiging van de Dienst, zal Foto de Leng binnen 4 weken alle persoonsgegevens die op basis van deze Verwerkersovereenkomst bij Foto de Xxxx aanwezig zijn vernietigen. Foto de Leng zorgt dat alle bestaande (overige) kopieën van persoonsgegevens, die bij Foto de Leng en/of bij partijen ingeschakeld door Foto de Leng bevinden, vervolgens permanent verwijderd worden, tenzij opslag van de persoonsgegevens wettelijk verplicht is. De kosten voor vernietiging van de persoonsgegevens komen voor rekening van de klant.
3. Foto de Xxxx bevestigt op verzoek van de klant schriftelijk dat aan de verplichtingen uit dit artikel is voldaan.
Artikel 13 – Overige bepalingen
1. Op deze Verwerkersovereenkomst is Nederlands recht exclusief van toepassing. Geschillen zullen worden voorgelegd aan de bevoegde rechter.
2. Afwijking van deze Verwerkersovereenkomst is slechts geldig wanneer Partijen dit schriftelijk overeenkomen.
3. Wanneer een deel van de Verwerkersovereenkomst nietig of vernietigbaar is, blijven de overige bepalingen uit de Verwerkersovereenkomst in stand. Partijen zullen dan in redelijk overleg tot een vervangende bepaling komen die zoveel mogelijk de inhoud van de nietige of vernietigbare bepaling volgt.
Aldus overeengekomen en in tweevoud opgemaakt en ondertekend te (plaats) op (datum)
Handtekening Foto de Leng: Handtekening verantwoordelijke (School):
Xxx. X. xx Xxxx Naam: ---------------------------------------------------------
Bijlage 1 – Overzicht verwerkingen van persoonsgegevens en verwerkingsdoeleinden
Onderwerp van de verwerking: Online verkoop fotoproducten Omschrijving van werkzaamheden uitgevoerd door Foto de Xxxx:
Persoonsgegevens verwerkt van de klant en Portretfoto’s, Groepsfoto’s en, Fotorapportages maakt van leerlingen, personeelsleden en bezoekers van de klant, zodat deze 3/4 jaar lang online aangeboden kunnen worden aan de ouders/verzorgers van de klant en geleverd worden de klant zelf
De persoonsgegevens worden door Foto de Leng verwerkt voor de volgende doeleinden:
De verkoop van foto’s en fotoproducten en het leveren van foto’s aan de klant voor eigen gebruik.
Categorieën van betrokkenen:
Personeelsleden en bezoekers van de klant en de ouders en verzorgers van de leerlingen van de klant.
Categorieën van persoonsgegevens:
Portretfoto’s & groepsfoto’s. Naam school. Naam leerlingen. Leerling-groep. Leerling code, Naam personeelsleden, personeelscode personeelsleden. Bewaartermijnen van de persoonsgegevens: De aangeleverde gegevens (bestanden met o.a. foto’s) worden uiterlijk 12 maanden na het einde van de Dienst gewist.
Subverwerkers:
Verwerkingsverantwoordelijke geeft Verwerker algemene toestemming voor het inschakelen van Subverwerkers binnen de volgende categorieën:
Fotoprotools, Nederland: Fotoprotools verzorgt onze bestelsite, genereerd de inlogkaartjes met persoonlijk codes en behandeld alle bestellingen die hier geplaatst worden.
Hier worden de lage resolutie portretfoto’s en groepsfoto’s opgeslagen. Hiervoor worden alleen de naam van de school, groepsnamen en de portretfoto’s en groepsfoto’s aan de hand van het fotonummer opgeslagen.
Zodra er een bestelling en betaling wordt gedaan komen er gegevens van de klant (ouders / verzorgens) in de bestelling te staan waarna deze klaar wordt gezet door Fotoprotools op onze Nas. (Deze die bij ons zelf in huis staat.)
Deze gegevens hebben wij om gericht de bestelling te kunnen leveren.
Buckaroo, Nederland:
Betalingen op onze bestelsite (i-deal betalingen) worden door Buckaroo aangenomen en aan Foto de Leng uitgekeerd.
Wij kunnen zelf in loggen op de beveiligde omgeving van Buckaroo waar gecontroleerd kan worden of een klant aan de betaling heeft voldaan.
Bijlage 2 - Overzicht beveiligingsmaatregelen
Omschrijving van de door Foto de Xxxx getroffen beveiligingsmaatregelen:
1. Up-to-date virusprogramma Norton en Malwarebytes versie 3.7.1
2. Geen gegevens opslaan op privé laptops.
3. Versleuteling van e-mail.
4. Beveiliging van webshop xxxxxx.xxxxxxxxxx.xx met SSL certificaat
5. Beveiligde externe harde schijven of andere back-ups.
6. Beveiligde NAS (netwerk)
Bijlage 3 – Proces omtrent het melden van een datalek en de te verstrekken informatie
Indien Foto de Xxxx een beveiligingsincident ontdekt, neemt Foto de Xxxx direct contact op met de aan hem verstrekte contactgegevens van de klant (telefoonnummer en/of emailadres).
Foto de Xxxx verstrekt hierbij de volgende informatie, die gelijk is aan de informatie die aan de Toezichthouder moet worden verstrekt.
Een samenvatting van het datalek:
1. Foto de Xxxx vermeldt hierbij tevens de naam van het betrokken systeem.
2. Welke soorten persoonsgegevens zijn betrokken bij het beveiligingsincident?
3. Bijvoorbeeld, naam, adres, e-mailadres, IP-nummer, portretfoto en alle andere tot een natuurlijk persoon te herleiden gegevens.
4. Van hoeveel personen zijn de persoonsgegevens betrokken bij het beveiligingsincident?
5. Foto de Leng zal proberen een minimum- en maximumaantal personen te vermelden.
6. Omschrijving van de groep personen om wiens gegevens het gaat. Bijvoorbeeld gegevens van personeelsleden of van klanten.
Bijzondere aandacht moet gegeven worden aan gegevens van een kwetsbare groepen personen, zoals kinderen.
7. Wanneer mogelijk de contactgegevens van de betrokken personen. Het kan immers zijn dat betrokkenen geïnformeerd moeten worden over het datalek.
8. Waar mogelijk de oorzaak van het datalek. Bijvoorbeeld kopiëren, diefstal, verlies, et cetera.
9. De datum of periode waarin het beveiligingsincident heeft plaatsgevonden, zo specifiek mogelijk.
Wanneer er nog vragen zijn kunt u ons altijd benaderen! Met vriendelijke groet,
Xxxxxx xx Xxxx Foto de Leng Xxxxxxxxxxxx 000
3371AS Hardinxveld-Giessendam 0184-614041 of 0626046057