Partijen
Aansluitovereenkomst Stichting Schuldenknooppunt versie 3.1 van 29 mei 2024
Partijen
1. Stichting Schuldenknooppunt, gevestigd te Utrecht aan de Xxxxxx Xxxxxxxxxxxxxx 0, 0000 XX xx Xxxxxxx, rechtsgeldig vertegenwoordigd door de xxxx X. Xxxxx en de heer D. xxx Xxxxxx, hierna te noemen: Xxxxxxxxx, en
2.
Naam organisatie
Onderdeel/afdeling
gevestigd te
hierbij rechtsgeldig vertegenwoordigd door:
hierna te noemen: Deelnemer,
overwegende dat
A. Xxxxxxxxx eigenaar is van het Schuldenknooppunt, dat berichtenuitwisseling verzorgt ten behoeve van schuldhulpverlening;
B. Deelnemer een organisatie of bewindvoerder is die gelet op de op haar rustende taken toegang wenst te ontvangen tot het Schuldenknooppunt;
C. Partijen de gemaakte afspraken in deze Overeenkomst schriftelijk wensen vast te leggen. zijn het volgende overeengekomen:
Artikel 1 Algemene bepalingen
1.1 Onderhavige Aansluitovereenkomst heeft als doel het ter beschikking stellen aan Deelnemer van het Schuldenknooppunt, een platform dat berichtenuitwisseling verzorgt ten behoeve van schuldhulpverlening dat in beheer is bij en in eigendom is van Beheerder.
1.2 Bovengenoemde diensten worden verleend overeenkomstig de randvoorwaarden als vastgelegd in de onderhavige Aansluitovereenkomst, de Aansluitvoorwaarden en de andere documenten die deel uitmaken van de Aansluitovereenkomst.
1.3 Onderstaande documenten maken deel uit van deze Aansluitovereenkomst. Voor zover deze documenten met elkaar in tegenspraak zijn, geldt de navolgende rangorde. De bepalingen van het hoger geplaatste document prevaleren boven de betreffende bepalingen van het lager geplaatste document, een en ander tenzij het tegendeel blijkt uit het betreffende document.
a. De Aansluitovereenkomst;
b. De bijlagen bij deze Aansluitovereenkomst;
c. De Aansluitvoorwaarden;
d. De Verwerkersovereenkomst;
e. De bijlagen bij deze Verwerkersovereenkomst;
f. Het Handboek Schuldenknooppunt.
Aansluitovereenkomst Stichting Schuldenknooppunt versie 3.1 van 29 mei 2024
1.4 Deelnemer bevestigt door ondertekening van deze Aansluitovereenkomst dat zij bovenstaande documenten heeft ontvangen en gelezen.
Artikel 2 Deelnemer, rol en gewenste modules
2.1 Deelnemer is:
□ een schuldhulpverlenende organisatie;
□ een schuldeisende organisatie;
□ een bewindvoerder.
2.2 Deelnemer wenst gebruik te maken van de volgende module(s) van het Schuldenknooppunt:
□ Module Schuldregeling
□ Module Waarborgfonds saneringskredieten
□ Module Betalingsregeling *
□ Module Schuldinventarisatie *
□ Module Meldingen Bewindvoering *
* Van deze modules kan ook gebruik worden gemaakt door niet-Wgs-schuldhulpverleners.
Wanneer zij berichtenverkeer initiëren binnen deze modules, zijn ze verplicht om een toestemmingsverklaring (of equivalent document) mee te sturen waaruit blijkt dat zij gerechtigd zijn om het betreffende dossier te behandelen.
2.3 De gegevens van Xxxxxxxxx, de hoedanigheid van Deelnemer en de gewenste modules zijn nader uitgewerkt in Bijlage 1.
Artikel 3 Duur
3.1 Deze Aansluitovereenkomst vangt aan op de datum van ondertekening en heeft een onbepaalde looptijd.
Aansluitovereenkomst Stichting Schuldenknooppunt versie 3.1 van 29 mei 2024
Voor akkoord ondertekend
Deelnemer
Naam organisatie: Onderdeel/afdeling
Datum
1e Ondertekenaar
Naam
Functie
2e Ondertekenaar
Naam
Functie
Beheerder
Naam organisatie: Stichting Schuldenknooppunt Datum
1e Ondertekenaar
Naam H. Spigt
Functie Voorzitter Bestuur
2e Ondertekenaar
Naam D. xxx Xxxxxx
Functie Bestuurslid
Aansluitovereenkomst Stichting Schuldenknooppunt versie 3.1 van 29 mei 2024
Bijlage 1 Gegevens Deelnemer
Contactgegevens
Naam | |
Afdeling | |
KvK- nummer | |
KVK-vestigingsnummers |
Adressen
Vestigingsadres |
Hoofdcontactpersoon
Naam | |
Emailadres | |
Telefoonnummer |
Aansluitgegevens
Sluit aan als | ☐ ☐ | Schuldhulpverlener | ||
Schuldeiser | ||||
☐ | Bewindvoerder | |||
Modules | ☐ | Schuldregeling | ||
☐ | Betalingsregeling | |||
☐ | Schuldinventarisatie | |||
☐ | Meldingen Bewindvoering | |||
Aansluitwijze | ☐ ☐ | Via een directe systeemkoppeling | ||
Via het webportaal | ||||
Kosten* | ☐ ☐ ☐ ☐ ☐ ☐ ☐ | Categorie | Aansluitkosten | Jaartarief |
A | € 150 | € - | ||
B | € 150 | € 750 | ||
C | € 150 | € 1.500 | ||
D | € 300 | € 3.000 | ||
E | € 750 | € 7.500 | ||
F | € 1.500 | € 15.000 | ||
G | ||||
* Voor de grondslag wordt verwezen naar xxx.xxxxxxxxxxxxxxxxx.xx
Aansluitovereenkomst Stichting Schuldenknooppunt versie 3.1 van 29 mei 2024
Privacy Officer
Naam | |
Emailadres | |
Telefoonnummer |
Security Officer
Naam | |
Emailadres | |
Telefoonnummer |
Applicatiebeheerder
Naam | |
Emailadres | |
Telefoonnummer |
Overige informatie
Wij zijn lid van de NVVK | |
Wijze van aansluiten | |
Systeemkoppeling SHV | |
Systeemkoppeling SE |
Testomgeving
Gebruik testomgeving als SHV | |
Gebruik testomgeving als SE | |
Certificaat testomgeving | |
Gebruik testomgeving als SE |
Facturatie
Factuurkenmerk | |
Emailadres tbv Facturatie | |
Postadres tbv Facturatie |
Aansluitovereenkomst Stichting Schuldenknooppunt versie 3.1 van 29 mei 2024
Bijlage 2 Hoofdcontactpersoon
Een Deelnemer benoemt binnen zijn organisatie een Hoofdcontactpersoon. De Hoofdcontactpersoon is gemachtigd om:
- voor Stichting Schuldenknooppunt het eerste aanspreekpunt bij verstrekking van informatie, incidenten, Inbreuken en (informatie)beveiliging te zijn;
- indien van toepassing aanvragen in te dienen om Beveiligingsmiddelen voor (medewerkers van) Deelnemer aan te vragen, te wijzigen, te (de)blokkeren of in te trekken en de betreffende medewerkers te identificeren;
- indien van toepassing autorisaties voor (medewerkers van) Deelnemer aan te vragen en in te trekken. Contactperso(o)n(en)
De Hoofdcontactpersoon wijst namens Deelnemer binnen de organisatie een beperkt aantal Contactpersonen aan en geeft dit door aan Stichting Schuldenknooppunt. Een Contactpersoon is gemachtigd om:
- Via de door Stichting Schuldenknooppunt beschikbaar gestelde Diensten aanvragen in te dienen om Beveiligingsmiddelen voor (medewerkers van) Deelnemer aan te vragen, te wijzigen, te (de)blokkeren of in te trekken en de Gebruikers te identificeren;
- Autorisaties voor (medewerkers van) Deelnemer aan te vragen en in te trekken.
De (Hoofd)Contactpersoon draagt de verantwoordelijkheid om de hierboven genoemde onderdelen juist en actueel te houden.
Verwerkersovereenkomst Stichting Schuldenknooppunt versie 3.1 van 29 mei 2024
Verwerkersovereenkomst
Uitvoering Aansluitovereenkomst Schuldenknooppunt
Naam organisatie:
Onderdeel/afdeling
gevestigd te
KvK-nummer
verder te noemen Verwerkingsverantwoordelijke, hierbij rechtsgeldig vertegenwoordigd door:
en
Stichting Schuldenknooppunt, gevestigd te Utrecht, KVK-nummer 77260155 verder te noemen Verwerker, hierbij rechtsgeldig vertegenwoordigd door de xxxx X. Xxxxx en de heer D. van Maanen, bestuursleden,
OVERWEGEN HET VOLGENDE:
a) Partijen hebben op
de Aansluitovereenkomst Schuldenknooppunt, hierna Hoofdovereenkomst, afgesloten, op grond waarvan Verwerker de volgende dienst(en) levert aan de Verwerkingsverantwoordelijke: de mogelijkheid om gebruik te maken van het Schuldenknooppunt via een Koppeling of via een Webportaal waarmee partijen voor de uitoefening van schuldhulpverlening uniform en digitaal gegevens kunnen uitwisselen in een beveiligde omgeving;
b) Verwerker verwerkt voor de uitvoering van de Hoofdovereenkomst Persoonsgegevens voor Verwerkingsverantwoordelijke;
c) Op de verwerking van Persoonsgegevens door Verwerker zijn de Algemene Verordening Gegevensbescherming (AVG) en de Uitvoeringswet AVG (UAVG) van toepassing;
d) Partijen willen in aanvulling op de AVG en de UAVG de volgende afspraken over de verwerking van Persoonsgegevens vastleggen in deze verwerkersovereenkomst (hierna: de Verwerkersovereenkomst);
EN KOMEN HET VOLGENDE OVEREEN:
Artikel 1 Definities
1.1 Begrippen uit de AVG en de UAVG die in deze Verwerkersovereenkomst worden gebruikt, hebben dezelfde betekenis.
1.2 Bijlagen: aanhangsels bij deze Verwerkersovereenkomst, die onlosmakelijk deel uitmaken van deze Verwerkersovereenkomst.
1.3 Subverwerker: een door Verwerker of door een Subverwerker ingeschakelde verwerker
Verwerkersovereenkomst Stichting Schuldenknooppunt versie 3.1 van 29 mei 2024
Artikel 2 Ingangsdatum en duur
2.1 Deze Verwerkersovereenkomst gaat in op het moment dat de Hoofdovereenkomst tot stand is gekomen, tenzij Partijen anders overeenkomen.
2.2 Deze Verwerkersovereenkomst eindigt op het moment dat Verwerker de verwerking van Persoonsgegevens op grond van de Hoofdovereenkomst heeft beëindigd en de afspraken over het teruggeven en/of wissen van Persoonsgegevens zijn nagekomen. Verwerker zal Verwerkingsverantwoordelijke op de hoogte stellen van het moment dat de Persoonsgegevens volledig gewist zijn.
Artikel 3 Onderwerp van deze Verwerkersovereenkomst
3.1 Verwerker verwerkt de door of via Verwerkingsverantwoordelijke ter beschikking gestelde Persoonsgegevens uitsluitend in opdracht van Verwerkingsverantwoordelijke voor de uitvoering van de Hoofdovereenkomst en uitsluitend overeenkomstig schriftelijke instructies van Verwerkingsverantwoordelijke, tenzij een op Verwerker van toepassing zijnde Unierechtelijke of lidstaatrechtelijke wettelijke bepaling hem tot verwerking verplicht. In dat geval zal Verwerker Verwerkingsverantwoordelijke, voorafgaand aan de verwerking, daarvan zonder onredelijke vertraging in kennis stellen, tenzij die wetgeving deze kennisgeving om gewichtige redenen van algemeen belang verbiedt.
3.2 Verwerkingsverantwoordelijke wordt geacht de instructies aan Verwerker te hebben gegeven voor elke verwerking die strikt noodzakelijk is in het kader van het verlenen van haar diensten. Onder deze instructies zijn mede begrepen de verwerkingen die voortvloeien uit wijzigingen aan de diensten.
3.3 De door Verwerker uit te voeren verwerkingen staan beschreven in tabel 1 van Bijlage 1.
Artikel 4 Inhoudelijke afspraken
4.1 Beveiligingsmaatregelen
Verwerker zorgt voor passende technische en organisatorische maatregelen om de Persoonsgegevens goed te beveiligen, zoals bedoeld in artikel 32 AVG. De wijze waarop Verwerker de passende technische en organisatorische maatregelen uitvoert en aantoont, staat in Bijlage 2.
4.2 Audits
Verwerker verleent alle benodigde medewerking aan audits op verzoek van Verwerkingsverantwoordelijke uitgevoerd door een door Verwerkingsverantwoordelijke aangewezen gecertificeerde auditor over de nakoming van de afspraken binnen deze Verwerkersovereenkomst en Bijlagen. De kosten van deze audit worden gedragen door Verwerkingsverantwoordelijke, tenzij het onderzoek aantoont dat de Verwerker wezenlijk tekortkomt in de nakoming van de verplichtingen uit deze Verwerkersovereenkomst.
4.3 Verwerking binnen de EER
Verwerker verwerkt Persoonsgegevens uitsluitend binnen de Europese Economische Ruimte (EER). Het is Verwerker slechts toegestaan Persoonsgegevens buiten de EER te verwerken met voorafgaande schriftelijke toestemming van Verwerkingsverantwoordelijke.
4.4 Geheimhouding
Personen die werken voor (sub)Verwerker en (sub)Verwerker zelf, moeten Persoonsgegevens waarmee zij werken geheimhouden. De personen die werken voor Verwerker en Subverwerkers
Verwerkersovereenkomst Stichting Schuldenknooppunt versie 3.1 van 29 mei 2024
hebben daarom een geheimhoudingsverklaring getekend, of zich op een andere manier schriftelijk gebonden aan de geheimhouding.
4.5 Subverwerkers
De ten tijde van het afsluiten van deze Verwerkersovereenkomst bekende Subverwerkers vermeldt Verwerker in tabel 3 van Bijlage 1. Verwerkingsverantwoordelijke verleent hierbij algemene toestemming voor de inschakeling van die Subverwerkers. Verwerker houdt na de start van de werkzaamheden Verwerkingsverantwoordelijke schriftelijk op de hoogte van de beoogde inschakeling van nieuwe Subverwerkers. Bij de inschakeling van Subverwerkers blijven de artikelen
28.2 en 28.4 AVG onverkort van kracht. Dit betekent dat de Verwerker de nieuwe Subverwerker geen Persoonsgegevens mag laten verwerken zonder voorafgaande schriftelijke toestemming van de Verwerkingsverantwoordelijke. De toestemming wordt geacht te zijn verleend indien de Verwerkingsverantwoordelijke geen bezwaar heeft gemaakt binnen 15 werkdagen nadat de kennisgeving om een Subverwerker in te schakelen per e-mail is verzonden. Verwerker stelt aan Verwerkingsverantwoordelijke, op haar verzoek, alle informatie ter beschikking die nodig is om de nakoming van de in dit lid genoemde verplichtingen aan te tonen. Verwerker zal Verwerkingsverantwoordelijke in het bijzonder inzage verlenen in de relevante delen van de met Subverwerkers gesloten overeenkomsten. Voor zover Verwerkingsverantwoordelijke dat noodzakelijk acht, kan hij wijzigingen voorstellen. Verwerker zal de voorgestelde wijzigingen doorvoeren als dit redelijkerwijs, met inachtneming van de governance-afspraken, van Verwerker kan worden gevraagd. Wanneer Xxxxxxxxx ondanks bezwaar van Verwerkingsverantwoordelijke een Subverwerker inschakelt, geeft dit Verwerkingsverantwoordelijke het recht om de Hoofdovereenkomst op te zeggen tegen de datum waarop de Subverwerker zijn werkzaamheden begint. Verwerker staat ervoor in dat alle verplichtingen die op grond van deze Verwerkersovereenkomst op haar rusten, mede komen te rusten op de Subverwerker(s).
4.6 Rechten van betrokkenen
Als een betrokkene een beroep doet op zijn rechten zoals genoemd in artikel 12 t/m 22 AVG, dan informeert Verwerker Verwerkingsverantwoordelijke daarover onverwijld schriftelijk via de in Bijlage 1 beschreven contactgegevens en helpt hij Verwerkingsverantwoordelijke om daarop binnen de wettelijke termijnen een beslissing te nemen.
4.7 Gegevensbeschermingseffectbeoordeling en voorafgaande raadpleging
Op verzoek van Verwerkingsverantwoordelijke werkt Verwerker altijd mee aan een gegevensbeschermingseffectbeoordeling (DPIA) en een voorafgaande raadpleging als bedoeld in artikel 35 en 36 AVG.
Artikel 5 Inbreuk in verband met Persoonsgegevens
5.1 Verwerker zal Verwerkingsverantwoordelijke zonder onredelijke vertraging, maar uiterlijk binnen 24 uur, schriftelijk xxx xx xx Xxxxxxx 0 beschreven contactgegevens informeren na vaststelling van een (vermoedelijke) Inbreuk in verband met Persoonsgegevens. Verwerker vermeldt hierbij voor zover bekend de vermeende oorzaak van de (vermoedelijke) Inbreuk, de categorie persoonsgegevens, de categorie betrokkenen, het aantal betrokkenen en de maatregelen die getroffen zijn of zullen worden om de Inbreuk in verband met Persoonsgegevens op te lossen en de gevolgen en de schade zoveel mogelijk te beperken.
5.2 In geval van een Inbreuk neemt Verwerker zonder onredelijke vertraging alle maatregelen om de Inbreuk te herstellen, de gevolgen daarvan te beperken en verdere Inbreuken te voorkomen.
Verwerkersovereenkomst Stichting Schuldenknooppunt versie 3.1 van 29 mei 2024
5.3 Verwerker heeft een gedetailleerd logboek van de Inbreuken en de maatregelen die op Inbreuken zijn genomen. Verwerkingsverantwoordelijke mag dat inzien, wanneer deze daarom vraagt.
5.4 Verwerkingsverantwoordelijke beslist of de Inbreuk moet worden gemeld bij de toezichthoudende autoriteit en/of Betrokkene. Verwerker ondersteunt de Verwerkingsverantwoordelijke waar nodig bij de melding aan de toezichthoudende autoriteit en/of Betrokkene.
5.5 Mits de Inbreuk de Verwerkingsverantwoordelijke raakt en de aard en de omvang van de Inbreuk dat redelijkerwijs niet onmogelijk maken, zal Verwerker daarover slechts informatie verstrekken aan de pers of andere derde partijen na afstemming met de Verwerkingsverantwoordelijke.
Artikel 6 Aansprakelijkheid en vrijwaring
6.1 Verwerker vrijwaart Verwerkingsverantwoordelijke voor alle aanspraken van derden (waaronder een toezichthouder of betrokkenen) die voortvloeien uit het niet conform de Aansluitvoorwaarden en/of de hiermee samenhangende bijlagen en/of wetgeving verwerken van de Persoonsgegevens door Verwerker en/of ingeschakelde derden/subverwerkers. Enige beperking van de aansprakelijkheid in de Hoofdovereenkomst is mutatis mutandis ook van toepassing op deze Verwerkersovereenkomst.
Artikel 7 Beëindigen verwerkersovereenkomst
7.1 Partijen moeten in de Hoofdovereenkomst afspraken maken over de beëindiging van de Hoofdovereenkomst en de daaruit voortvloeiende teruggave en wissing van Persoonsgegevens. Deze Verwerkersovereenkomst eindigt van rechtswege op het moment van beëindiging of ontbinding van de Hoofdovereenkomst.
7.2 De geheimhouding geldt ook nog na beëindiging van deze Verwerkersovereenkomst.
Artikel 8 Overige bepalingen
8.1 Op deze overeenkomst is Nederlands recht van toepassing. Alle geschillen, ook als alleen één Partij vindt dat er een geschil is, zullen worden voorgelegd aan dezelfde bevoegde rechter als genoemd in de Hoofdovereenkomst.
8.2 Verwerker behandelt vragen en verzoeken van Verwerkingsverantwoordelijke over de verwerking van Persoonsgegevens onder deze Verwerkersovereenkomst tijdig en adequaat.
8.3 Verwerker informeert Verwerkingsverantwoordelijke direct over door hem ontvangen klachten of vragen van Xxxxxxxxxxx waarvan het Verwerker bekend is dat zij klant zijn van Verwerkingsverantwoordelijke. Verwerker wendt zich niet rechtstreeks tot een Betrokkene waarvan het Verwerker bekend is dat deze klant is van Verwerkingsverantwoordelijke.
8.4 Verwerker brengt Verwerkingsverantwoordelijke onverwijld op de hoogte als zij in verband met de Verwerkingen van een bevoegde toezichthoudende autoriteit een vraag heeft ontvangen, of een verzoek tot het uitvoeren van een inspectie of onderzoek heeft ontvangen. In geval van een inspectie of onderzoek verlenen beide partijen de nodige assistentie aan elkaar. Als een toezichthoudende autoriteit oordeelt dat Verwerkingen onder deze Verwerkersovereenkomst onrechtmatig zijn, treffen beide partijen onmiddellijk maatregelen om naleving van de Privacywetgeving te bewerkstelligen.
8.5 Verwerker brengt de Verantwoordelijke onverwijld op de hoogte als Verwerker zich bewust wordt van omstandigheden of veranderingen in wet- of regelgeving die het nakomen van haar verplichtingen onder deze Verwerkersovereenkomst substantieel bemoeilijken.
Verwerkersovereenkomst Stichting Schuldenknooppunt versie 3.1 van 29 mei 2024
8.6 Als Verwerker niet kan voldoen aan haar verplichtingen onder deze Verwerkersovereenkomst is Verwerkingsverantwoordelijke bevoegd om relevante Verwerkingen tijdelijk geheel of gedeeltelijk te schorsen tot de niet-nakoming is hersteld.
8.7 Op het eerste daartoe strekkende verzoek zal Verwerker aan Verwerkingsverantwoordelijke alle relevante informatie verstrekken betreffende de aspecten van de door hem verrichte verwerking van persoonsgegevens zodat Verwerkingsverantwoordelijke, mede aan de hand van die informatie, aan kan tonen dat zij de AVG naleeft.
8.8 De kosten voor de verwerking van gegevens die inherent zijn aan de normale uitvoering van de diensten die worden geleverd door Verwerker, worden geacht besloten te liggen in de Hoofdovereenkomst.
Verwerkersovereenkomst Stichting Schuldenknooppunt versie 3.1 van 29 mei 2024
Ondertekening
Aldus overeengekomen en in tweevoud ondertekend, Ingangsdatum: Verwerkingsverantwoordelijke
Naam organisatie: Onderdeel/afdeling
1e Ondertekenaar
Naam
Functie
2e Ondertekenaar
Naam
Functie
Beheerder
Naam organisatie: Stichting Schuldenknooppunt Datum
1e Ondertekenaar
Naam H. Spigt
Functie Voorzitter Bestuur
2e Ondertekenaar
Naam D. xxx Xxxxxx
Functie Bestuurslid
Verwerkersovereenkomst Stichting Schuldenknooppunt versie 3.1 van 29 mei 2024
Bijlage 1: Overzicht van te verwerken persoonsgegevens
1. Naam verwerking, doeleinden categorieën van betrokkenen, soort persoonsgegevens en eventuele doorgifte naar derde landen.
Naam verwerking | Verwerkings- doeleinden | Categorieën van Betrokkenen | Categorie Persoonsgegevens (waaronder bijzondere persoonsgegevens) | Doorgifte naar derde landen |
Betrouwbare gegevensuitwiss eling tussen schuldhulp- verleners | Ondersteunin g bij het tot stand brengen van een minnelijke schulden- regeling, het verkorten van de doorloop tijden unifor- mering schuldhulp- verlenings- proces | Klanten (de schuldenaren) en diens partners, schuldeisers en schuldhulp- verleners | - NAW-gegevens - Klantnummer SHV - Geboortedatum - Geslacht - Gegevens over actuele schulden (als Verwerkingsverantwoordelijke een schuldeiser is) - Voor de schuldhulpverlening relevante financiële gegevens (als Verwerkingsverantwoordelijke een schuldhulpverlener is) - Voorstel schuldregeling - Meterstanden (als Verwerkingsverantwoordelijke een nutsbedrijf is) - BSN (als verwerkingsverantwoordelijke een overheidsorganisatie is en het BSN gebruikt mag worden in de communicatie tussen beide partijen) - Type schuldregeling | Nee |
Toegang tot Koppeling of Webportaal | Registratie en identificatie van gebruiker | Schuldhulpver lener en schuldeisers | - Naam - Telefoonnummer - E-mailadres | Nee |
Verwerkingsverantwoordelijke is uitsluitend verwerkingsverantwoordelijke voor de door hem verzonden en ontvangen berichten. Deze berichten zijn logisch gescheiden van de gegevens van andere deelnemers.
2. Ingeschakelde SubVerwerkers
Naam en contact- gegevens SubVerwerker | KvK-nummer | Uitbestede verwerkingen | Toepassing | Locatie Verwerking |
Innovadis | 06092170 | Onderhoud | Technisch beheer en onderhoud | Nederland |
Microsoft Azure | 34061536 | Faciliteren van de ontwikkeling, het beheer en de implementatie van technische toepassingen ten behoeve van het Schuldenknooppunt | Cloudservices | Hoofdzakelijk Nederland, bij technische noodzaak soms ook elders in de EU |
Aansluitovereenkomst Stichting Schuldenknooppunt versie 3.1 van 29 mei 2024
Verwerkersovereenkomst Stichting Schuldenknooppunt versie 3.1 van 29 mei 2024
3. Contactgegevens
Hoofdcontactpersoon Verwerkingsverantwoordelijke
(NB: Ook buiten kantooruren)
Naam
Adres
Telefoonnummer
Emailadres
Contactpersoon Verwerker
(NB: Ook buiten kantooruren)
Naam | X. xxx xx Xxx |
Adres | Xxxxxxxx Xxxxxxxxxxxxxx 0 0000 XX Xxxxxxx |
Telefoonnummer | 06 - 1839 0599 |
Emailadres |
NB: Eventuele wijzigingen in bovenstaande tabellen geven partijen op korte termijn aan elkaar door.
Verwerkersovereenkomst Stichting Schuldenknooppunt versie 3.1 van 29 mei 2024
Bijlage 2: Aantonen passend niveau van beveiliging
Dit is een praktische uitwerking van artikel 32 AVG. De Verwerker heeft de volgende passende technische en organisatorische maatregelen genomen gericht op een risicogebaseerd beveiligingsniveau:
Normenstelsel/gedragscode
□ De informatiebeveiliging van de Microsoft Azure platform waarop het Schuldenknooppunt is geïmplementeerd, vindt plaats volgens algemeen erkende normen, namelijk NEN7510, ISO 27001
□ De informatiebeveiliging van de Microsoft Azure platform waarop het Schuldenknooppunt is geïmplementeerd, vindt plaats volgens een algemeen erkende overheidsnorm, namelijk BIR 2012
Toereikendheid
De toereikendheid van de informatiebeveiliging blijkt uit:
□ Periodieke externe controles: DPIA en Security Assessment, waaronder pentests.
NB: Uit de periodieke externe controles blijkt of kan afgeleid worden dat de beveiliging passend is bij de verwerking(en) genoemd in bijlage 1.
PKI-overheid certifcaten
Voor de directe systeemkoppeling is de authenticatie geregeld middels de uitwisseling van een PKI- overheidscertificaat. Het PKI-certificaat is de digitale ondertekening bij het versturen van gegevens en berichten. PKI staat voor Public Key Infrastructure. Dit is de internationale standaard voor het beveiligen van gegevens en berichten.
eHerkenning
Voor authenticatie voor het webportaal wordt gebruik gemaakt van eHerkenning, een gestandaardiseerd inlogsysteem. In essentie regelt eHerkenning de digitale herkenning (authenticatie) en controleert het de digitale bevoegdheid (autorisatie) van iemand die online een dienst wil afnemen. eHerkenning is persoonsgebonden en mag niet worden overgedragen of gedeeld.
Het Schuldenknooppunt maakt gebruikt van het betrouwbaarheidsniveau EH3 (substantieel). Voor toegang tot het webportaal wordt eherkenning EH3.
Encryptie
Encryptie is geïmplementeerd door een combinatie van symmetrische en asymmetrische algoritmes. De werking hiervan is als volgt:
• Asymmetrische encryptie-sleutels worden opgeslagen in Azure Key Vault. Dit is een gespecialiseerde dienst voor het opslaan van encryptiesleutels.
• Berichten worden geëncrypt middels AES-256 encryptie. Er wordt voor ieder bericht een nieuwe sleutel gegenereerd. Verschillende berichten kunnen dus nooit één en dezelfde sleutel hebben.
• De AES Sleutel wordt ingepakt (geëncrypt) m.b.v. een encryptiesleutel in Azure Key Vault. Er is hierbij geen directe toegang tot de sleutel. Het inpakken van de sleutel is alleen mogelijk door gebruik te maken van de Key Vault API.
• Het geëncrypte bericht, samen met de geëncrypte sleutel, kunnen vervolgens waar dan ook worden opgeslagen (in dit geval tijdelijk in de database en service-bus).
Verwerkersovereenkomst Stichting Schuldenknooppunt versie 3.1 van 29 mei 2024
Functionaris Gegevensbescherming
Binnen de organisatie van het Schuldenknooppunt is een Functionaris Gegevensbescherming aangewezen, die als zodanig is aangemeld bij de Autoriteit Persoonsgegevens.