Verwerkersovereenkomst (eenzijdig)

Verwerkersovereenkomst (eenzijdig)

Van toepassing op de opdrachten aan XxxXxxxxxxx.xx., de naam waaronder Your Benefit Development gevestigd te Hoogland handelt, hierna te noemen Verwerker.

A Algemeen

• AVG: Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de Verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (Algemene Verordening Gegevensbescherming).

• Betrokkene: De natuurlijke persoon op wie de Persoonsgegevens betrekking hebben.

• Inbreuk in verband met Persoonsgegevens: Een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging, of de ongeoorloofde verstrekking van of toegang tot verzonden, opgeslagen of anderszins verwerkte persoonsgegevens.

• Hoofdovereenkomst: De tussen Verwerkingsverantwoordelijke (XxxXxxxxxxx.xx) en Verwerker gesloten hoofdovereenkomst(en) waarop deze Verwerkersovereenkomst betrekking heeft.

• Medewerkers: Personen die werkzaam zijn bij XxxXxxxxxxx.xx, ofwel in dienstbetrekking dan wel tijdelijk ingehuurd, die toegang hebben tot Persoonsgegevens.

• Ontvanger: Een natuurlijke of rechtspersoon, overheidsinstantie, dienst of een ander orgaan, aan wie of waaraan de Persoonsgegevens worden verstrekt.

• Partijen: Verwerkingsverantwoordelijke en Verwerker.

• Persoonsgegevens: Alle informatie die een natuurlijke persoon identificeert of identificeerbaar maakt.

• Subverwerker: Een andere verwerker die door XxxXxxxxxxx.xx wordt ingeschakeld om ten behoeve van een verwerkingsverantwoordelijke persoonsgegevens te verwerken.

• Verwerker: XxxXxxxxxxx.xx, die ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt.

• Verwerken/Verwerking: Een bewerking of een geheel van bewerkingen met betrekking tot Persoonsgegevens.

• Verwerkingsverantwoordelijke: De natuurlijke of rechtspersoon die het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt.

• Verwerkersovereenkomst: Deze Verwerkersovereenkomst voor het vastleggen van de afspraken zoals bedoeld in artikel 28 lid 3 AVG.

B Toepasselijkheid

• Deze Verwerkersovereenkomst heeft betrekking op de Verwerking van Persoonsgegevens door Verwerker in opdracht van de Verwerkingsverantwoordelijke in het kader van de uitvoering van de Hoofdovereenkomst.

• De aard en het doel van de Verwerking, het soort Persoonsgegevens en de categorieën van Persoonsgegevens zijn gespecificeerd in bijlage 1.

• Verwerker garandeert te voldoen aan de vereisten van de toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens.

C Duur en beëindiging

• Deze Verwerkersovereenkomst is geldig zolang Verwerker de opdracht heeft van de Verwerkingsverantwoordelijke om Persoonsgegevens te verwerken op grond van de uitvoering van de Hoofdovereenkomst.

• De Verwerkersovereenkomst eindigt op het moment dat de Hoofdovereenkomst eindigt.

• Geen van Partijen kan deze Verwerkersovereenkomst los van de Hoofdovereenkomst tussentijds opzeggen.

• Verplichtingen welke naar hun aard bestemd zijn om ook na beëindiging van deze Verwerkersovereenkomst voort te duren, blijven na beëindiging van deze Verwerkersovereenkomst gelden. Tot deze bepalingen behoren bijvoorbeeld die welke voortvloeien uit de bepalingen betreffende geheimhouding, aansprakelijkheid, geschillenbeslechting en toepasselijk recht.

D Verwerking

• Verwerker verwerkt de Persoonsgegevens uitsluitend in opdracht en op basis van schriftelijke instructies van Verwerkingsverantwoordelijke behoudens afwijkende wettelijke voorschriften die op Verwerker van toepassing zijn. Verwerker Verwerkt de Persoonsgegevens niet langer of uitgebreider dan noodzakelijk voor de uitvoering van de Hoofdovereenkomst.

• Daarnaast slaat XxxXxxxxxxx.xx documenten en audio-opnamen op die klanten uploaden voor samenvatting en transcriptie. Deze worden verwijderd zodra de klant het betreffende dossier sluit, of uiterlijk 48 uur nadien.

• Indien een instructie als bedoeld in het eerste lid van dit artikel naar het oordeel van Verwerker in strijd is met een wettelijk voorschrift inzake gegevensbescherming, stelt hij Verwerkingsverantwoordelijke daarvan voorafgaand aan de Verwerking in kennis, tenzij een wettelijk voorschrift deze kennisgeving verbiedt.

• Indien Verwerker op grond van een wettelijk voorschrift Persoonsgegevens dient te verstrekken, informeert hij Verwerkingsverantwoordelijke onmiddellijk, en zo mogelijk voorafgaand aan de verstrekking.

• Verwerker zorgt ervoor dat alleen zijn Medewerkers toegang hebben tot de Persoonsgegevens. De uitzondering hierop is het inschakelen van Subverwerkers conform het bepaalde in artikel K van deze Verwerkersovereenkomst. Verwerker beperkt de toegang tot Medewerkers voor wie de toegang noodzakelijk is voor hun werkzaamheden, waarbij de toegang beperkt is tot Persoonsgegevens die deze Medewerkers nodig hebben voor hun werkzaamheden. Verwerker zorgt er bovendien voor dat de Medewerkers die toegang

hebben tot de Persoonsgegevens een juiste en volledige instructie hebben gekregen over de omgang met Persoonsgegevens en dat zij bekend zijn met de verantwoordelijkheden en wettelijke verplichtingen.

• Verwerkingsverantwoordelijke is wettelijk verplicht de vigerende wet- en regelgeving op het gebied van privacy na te leven. In het bijzonder dient Verwerkingsverantwoordelijke vast te stellen of er sprake is van een rechtmatige grondslag voor het Verwerken van de Persoonsgegevens. Verwerker zorgt ervoor dat hij voldoet aan de op hem als Verwerker van toepassing zijnde regelgeving op het gebied van de Verwerking van Persoonsgegevens en de afspraken die zijn gemaakt in deze Verwerkersovereenkomst.

• De Verwerking vindt plaats onder verantwoordelijkheid van Verwerkingsverantwoordelijke. Verwerker heeft geen zeggenschap over het doel en de middelen van de Verwerking en neemt geen beslissingen over zaken als het gebruik van Persoonsgegevens, de bewaartermijn van de voor Verwerkingsverantwoordelijke verwerkte Persoonsgegevens en het verstrekken van Persoonsgegevens aan derden. Verwerkingsverantwoordelijke moet ervoor zorgen dat hij het doel en de middelen van de Verwerking van de Persoonsgegevens duidelijk heeft vastgesteld.

E Beveiliging

1. Verwerker heeft de beveiligingsmaatregelen genomen die zijn genoemd in de bijlage 2 die bij deze Verwerkersovereenkomst hoort. Bij het nemen van de beveiligingsmaatregelen is rekening gehouden met de te mitigeren risico’s, de stand van de techniek en de kosten van de beveiligingsmaatregelen. Deze beveiligingsmaatregelen omvatten in ieder geval:

a. de encryptie/pseudonimisering (versleuteling) van Persoonsgegevens;

b. het vermogen om op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen en diensten te garanderen;

c. het vermogen om bij een fysiek of technisch incident de beschikbaarheid van en de toegang tot de Persoonsgegevens tijdig te herstellen;

d. een procedure voor het op gezette tijdstippen testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging van Verwerking.

2. Verwerkingsverantwoordelijke heeft zich goed geïnformeerd over de beveiligingsmaatregelen die Verwerker heeft genomen en is van mening dat deze maatregelen een beveiligingsniveau hebben dat past bij de aard van de Persoonsgegevens en de omvang, context, doeleinden en risico’s van de Verwerking.

3. Partijen erkennen dat het waarborgen van een passend beveiligingsniveau voortdurend kan dwingen tot het treffen van aanvullende beveiligingsmaatregelen. Verwerker waarborgt een op het actuele risico afgestemd beveiligingsniveau. Verwerker zal Verwerkingsverantwoordelijke informeren als een van de beveiligingsmaatregelen substantieel wijzigt.

4. Verwerker biedt passende waarborgen voor de toepassing van de technische en organisatorische beveiligingsmaatregelen met betrekking tot de te verrichten Verwerkingen. Indien Verwerkingsverantwoordelijke de wijze waarop Verwerker de beveiligingsmaatregelen naleeft wil laten inspecteren, dan kan Verwerkingsverantwoordelijke hiertoe een verzoek aan Verwerker doen. Verwerker en Verwerkingsverantwoordelijke zullen hierover gezamenlijk afspraken maken. De kosten van een inspectie zijn voor rekening van Verwerkingsverantwoordelijke. Verwerkingsverantwoordelijke stelt aan Verwerker een kopie van het inspectierapport ter beschikking.

5. Verwerker zal, tenzij hij hiervoor uitdrukkelijke voorafgaande schriftelijke toestemming heeft verkregen van Verwerkingsverantwoordelijke, geen Persoonsgegevens Verwerken of laten Verwerken door hemzelf of door derden in landen buiten de Europese Unie (“EU”).

6. XxxXxxxxxxx.xx garandeert dat de opslag en vernietiging van documenten en audio- opnamen onderworpen zijn aan strenge beveiligingsprotocollen om de integriteit en vertrouwelijkheid van klantgegevens te waarborgen.

F Geheimhouding

1. Op alle Persoonsgegevens die Verwerker van Verwerkingsverantwoordelijke ontvangt en/of zelf verzamelt of dient te verzamelen met het doel deze te Verwerken overeenkomstig het in de Hoofdovereenkomst daartoe bepaalde, rust een geheimhoudingsplicht jegens derden.

2. Verwerker zal de Persoonsgegevens niet voor een ander doel gebruiken dan waarvoor hij deze heeft verkregen, zelfs niet wanneer deze in een zodanige vorm is gebracht zodat deze niet tot Verwerkingsverantwoordelijke of natuurlijke personen, zoals de Betrokkene, herleidbaar is.

3. Verwerker waarborgt dat de tot het Verwerken van de Persoonsgegevens gemachtigde personen zich ertoe hebben verbonden vertrouwelijkheid in acht te nemen, of door een passende wettelijke verplichting van vertrouwelijkheid zijn gebonden.

4. De geheimhoudingsplicht is niet van toepassing voor zover Verwerkingsverantwoordelijke of de Betrokkene zelf uitdrukkelijk toestemming heeft gegeven om de Persoonsgegevens aan een derde te verstrekken of indien en voor zover er een wettelijke verplichting bestaat om informatie aan een derde te verstrekken.

5. Indien Verwerker van de diensten van Subverwerkers gebruik maakt, zorgt hij er onvoorwaardelijk voor dat de Subverwerkers dezelfde geheimhoudingsplicht als tussen Partijen is overeengekomen schriftelijk zal aanvaarden en deze geheimhoudingsplicht ook strikt zal naleven.

G Overdraagbaarheid

1. Het is voor partijen tenzij zij dat gezamenlijk overeenkomen en schriftelijk afspreken, niet toegestaan om deze Verwerkersovereenkomst en de rechten en de plichten die samenhangen met deze Verwerkersovereenkomst over te dragen aan een ander.

H Aansprakelijkheid

1. Verwerkingsverantwoordelijke staat er voor in dat de Verwerking van Persoonsgegevens op basis van deze Verwerkersovereenkomst niet onrechtmatig is en geen inbreuk maakt op de rechten van Betrokkene(n).

2. Verwerker is niet aansprakelijk voor schade die het gevolg is van het door Verwerkingsverantwoordelijke niet naleven van de AVG of andere wet- of regelgeving.

3. De in de Hoofdovereenkomst en daarbij behorende algemene voorwaarden overeengekomen beperking van de aansprakelijkheid van Verwerker is van kracht op de verplichtingen zoals opgenomen in deze Verwerkersovereenkomst.

I Meewerkingsverplichtingen

1. De AVG en overige (privacy)wetgeving kent aan de Betrokkene bepaalde rechten toe. Verwerker zal zijn volledige en tijdige medewerking verlenen aan Verwerkingsverantwoordelijke bij de nakoming van de op Verwerkingsverantwoordelijke rustende verplichtingen jegens de Betrokkene.

2. Een door Verwerker ontvangen klacht of een verzoek van een Betrokkene met betrekking tot Verwerking van Persoonsgegevens wordt door Verwerker zonder uitstel doorgestuurd naar Verwerkingsverantwoordelijke.

3. Op het eerste daartoe strekkende verzoek van Verwerkingsverantwoordelijke zal Verwerker aan Verwerkingsverantwoordelijke alle relevante informatie verstrekken betreffende de aspecten van de door hem verrichte Verwerking van Persoonsgegevens zodat Verwerkingsverantwoordelijke, mede aan de hand van die informatie, aan kan tonen dat hij de toepasselijke (privacy) wetgeving naleeft.

4. Verwerker zal voorts op eerste verzoek van Verwerkingsverantwoordelijke alle noodzakelijke bijstand verlenen bij de nakoming van de op grond van de toepasselijke privacywetgeving op Verwerkingsverantwoordelijke rustende wettelijke verplichtingen (zoals bijvoorbeeld het uitvoeren van een privacy impact assessment). Verwerker kan aan Verwerkingsverantwoordelijke kosten in rekening brengen voor de bijstand die in het kader van dergelijke verzoeken is verleend.

J Inbreuk in verband met Persoonsgegevens

1. Verwerker informeert Verwerkingsverantwoordelijke zonder onredelijke vertraging, zodra hij kennis heeft genomen van een Inbreuk in verband met Persoonsgegevens, overeenkomstig de afspraken zoals vastgelegd in bijlage 3. Verwerker streeft ernaar de Verwerkingsverantwoordelijke binnen 48 uur op de hoogte te stellen nadat de Verwerker de Inbreuk in verband met Persoonsgegevens heeft ontdekt of zo snel mogelijk nadat Xxxxxxxxx daarover is geïnformeerd door een Subverwerker.

2. Verwerker informeert Verwerkingsverantwoordelijke ook over de ontwikkelingen betreffende de door Verwerker gemelde Inbreuk in verband met Persoonsgegevens.

3. De melding van een Inbreuk in verband met Persoonsgegevens aan de Autoriteit Persoonsgegevens en (eventueel) Betrokkene(n) is altijd de eigen verantwoordelijkheid van een Verwerkingsverantwoordelijke.

4. Het (bij)houden van een register van Inbreuken in verband met Persoonsgegeven is altijd een eigen verantwoordelijkheid van een Verwerkingsverantwoordelijke.

K Inschakeling van Subverwerkers

1. De Verwerkersverantwoordelijke geeft de Verwerker hierbij de algemene schriftelijke toestemming om Subverwerkers in te schakelen voor de Verwerking van Persoonsgegevens alsmede om deze Subverwerkers te vervangen.

2. Gaat de Verwerker over tot het inschakelen van Subverwerkers of de vervanging van (één van deze Subverwerkers), dan zal de Verwerker:

a. De Verwerkingsverantwoordelijke minimaal een maand voorafgaande aan het inschakelen van een nieuwe Subverwerker of het vervangen van een Subverwerker, op de hoogte stellen van zijn voornemen tot het inschakelen van een nieuwe of andere Subverwerker, waarbij de Verwerker de Verwerkingsverantwoordelijke op de hoogte stelt van de statutaire naam van de beoogde Subverwerker, de specifieke Verwerkingsactiviteiten die de Subverwerker zal verrichten en de reden waarom deze Subverwerker ingeschakeld zou moeten worden;

b. De Verwerkingsverantwoordelijke in staat stellen om met de beoogde Subverwerker contact op te nemen om de voorgenomen Verwerking te bespreken, door de Subverwerker.

3. Verwerker zal aan deze Subverwerker dezelfde of strengere verplichtingen opleggen als voor hemzelf uit deze Verwerkersovereenkomst en de wet voortvloeien. Verwerker zal deze afspraken schriftelijk vastleggen en zal toezien op de naleving daarvan door de Subverwerker. Verwerker zal Verwerkingsverantwoordelijke op verzoek afschrift verstrekken van de met de Subverwerker gesloten overeenkomst(en).

4. Ondanks de toestemming van Verwerkingsverantwoordelijke voor het inschakelen van een Subverwerker die in opdracht van de Verwerker (gedeeltelijk) gegevens verwerkt, blijft Verwerker volledig aansprakelijk jegens Verwerkingsverantwoordelijke voor de gevolgen van het uitbesteden van werkzaamheden aan een Subverwerker. De toestemming van Verwerkingsverantwoordelijke voor het uitbesteden van werkzaamheden aan een Subverwerker laat onverlet dat voor de inzet van Subverwerker in een land buiten de EU toestemming vereist is in overeenstemming met artikel E van deze Verwerkersovereenkomst.

5. Het is de Subverwerker niet toegestaan om zonder toestemming een Subverwerker in te schakelen.

L Informatieverplichting en audits

1. Verwerker stelt alle informatie ter beschikking die nodig is om aan te tonen dat de verplichtingen uit deze Verwerkersovereenkomst zijn en worden nagekomen.

2. Verwerker stelt de Verwerkingsverantwoordelijke alle informatie ter beschikking die nodig is om:

a. de nakoming van de in deze Verwerkersovereenkomst neergelegde verplichtingen waaronder de verplichtingen als opgesomd in artikel E.1 t/m E.3 van deze Verwerkersovereenkomst aan te tonen;

b. audits mogelijk te maken, waaronder inspecties, door de Verwerkingsverantwoordelijke of een door de Verwerkingsverantwoordelijke gemachtigde controleur.

3. De kosten voor een audit worden gedragen door de Verwerkingsverantwoordelijke.

M Terugbezorgen of wissen

1. Na afloop van de Verwerkersovereenkomst draagt Xxxxxxxxx, naar gelang de keuze van Verwerkingsverantwoordelijke, zorg voor het terugbezorgen aan Verwerkingsverantwoordelijke of het wissen van alle Persoonsgegevens. Verwerker verwijdert kopieën, behoudens afwijkende wettelijke voorschriften.

N Toepasselijk recht en bevoegde rechter

1. 1 Op de Verwerkersovereenkomst is Nederlands recht van toepassing.

2. 2 Geschillen over de inhoud en uitvoering van de Verwerkersovereenkomst zullen worden beslecht door de rechter binnen het arrondissement waar de Verwerkingsverantwoordelijke is gevestigd.

Bijlage 1. Verwerking van Persoonsgegevens

De Verwerkingsverantwoordelijke laat de Verwerker onder andere de volgende Gegevens door Verwerkingsverantwoordelijke verwerken in het kader van de uitvoering van alle werkzaamheden waartoe opdracht is gegeven, of die door de Verwerker uit anderen hoofde worden verricht. Het voorgaande geldt in de ruimste zin van het woord en omvat in ieder geval de werkzaamheden zoals vermeld in de opdrachtbevestiging(en):

• Naam (voorletters, tussenvoegsels, achternaam)

• Adres, Postcode, Woonplaats, Land

• Telefoonnummer(s)

• E-mailadres

• Geboortedatum, geboorteplaats en geslacht

• Burgerlijke staat

• Gegevens ID-bewijs (in verband met de Wwft)

• Bankrekeningnummer(s)

• Kentekengegevens voertuigen

• Salarisgegevens

• BSN-nummers

• NAW-gegevens en BSN van personeelsleden van Verwerkingsverantwoordelijke

De werkzaamheden waarvoor bovengenoemde Gegevens mogen worden verwerkt, uitsluitend indien noodzakelijk, zijn in ieder geval:

• De werkzaamheden, te beschouwen als de primaire dienstverlening, in het kader waarvan Verwerkingsverantwoordelijke een opdracht heeft verstrekt aan Verwerker.

• Het onderhoud, waaronder updates en releases van het door Verwerker dan wel Subverwerker aan Verwerkingsverantwoordelijke ter beschikking gestelde systeem.

• Alle documenten die worden aangeleverd in het dossier pro Justitia voor een rapportage, zoals het proces-verbaal, voorgeleidingsconsult, reclasseringsrapportage, uittreksel van justitiele documentatie, eerdere pro Justitia en reclasseringsrapportages, aanvraag pro Justitia rapportages, TBS rapportages en alle andere documenten.

•Audio-opnames die met toestemming van een betrokkene worden gemaakt van gesprekken.

Bijlage 2: Passende technische en organisatorische maatregelen

Verwerker verklaart onder andere de volgende technische en/of organisatorische maatregelen te hebben getroffen om te kunnen voldoen aan hetgeen is bepaald in artikel E van deze Overeenkomst.

Technische beveiligingsmaatregelen:

• Unieke wachtwoorden voor verschillende systemen (die we regelmatig aanpassen).

• Waar mogelijk dubbele autorisaties (2FA) bij toegang tot systeem en applicaties.

• Beveiligde klantportals.

• Geen gebruik van onbeveiligde externe harde schijven.

• Geen gebruik van USB-Sticks.

• Database

o Gevoelige velden worden versleuteld opgeslagen

o Toegang alleen mogelijk voor bekende IP-adressen

o Automatische backups ter voorkoming van dataverlies

o Regelmatige updates van de database software

• Projustitia app

o Regelmatige updates van alle software

o Gebruik alleen toegestaan vanaf HTTPS voor versleutelde communicatie tussen gebruiker en de app

o Gebruik van veilige cookies

o Voorkoming van SQL Injection

• Besturingssystemen

o Regelmatige updates van de besturingssystemen

o Up-to-date firewall.

o Up-to-date anti-virus software.

o Afgeschermde SSH toegang

• Data

o Documenten die worden geüpload worden in een beveiligde omgeving van Microsoft Azure bewaard

o Elke gebruiker heeft een eigen omgeving hiervan en deze is afgeschermd voor andere gebruikers

o Alle data van gebruikers worden binnen de EU opgeslagen en binnen de EU verwerkt of door partijen die meedoen aan Data Privacy Framework (xxxxx://xxx.xxxxxxxxxxxxxxxxxxxxxxxxxx.xx/xxxxxx/xxxxxxxxxxxxxx/xxxxxxxxx- binnen-en-buiten-de-eer/doorgifte-persoonsgegevens-naar-de-vs)

Organisatorische beveiligingsmaatregelen:

• Alle medewerkers tekenen een geheimhoudingsovereenkomst.

• Medewerkers hebben alleen toegang tot applicatie die noodzakelijk is voor uitvoering werkzaamheden.

• Locken van desktop en laptop bij inactiviteit.

• Laptop niet onbemand achterlaten.

• Laptop nooit achterlaten in de auto.

• We testen en evalueren onze beveiligingsmaatregelen regelmatig.

• Oude documenten, data en hardware op veilige manier vernietigen.

Bijlage 3: Afspraken betreffende Inbreuk in verband met Persoonsgegevens In geval van een door Verwerker geconstateerde inbreuk op de beveiliging van Persoonsgegevens of van een verlies of aantasting van Persoonsgegevens zal Verwerker Verwerkingsverantwoordelijke hiervan binnen 48 (achtenveertig) uur na de ontdekking op de

hoogte stellen door middel van het verzenden van een e-mail naar het bekende e-mailadres van de Verwerkingsverantwoordelijke.

In deze e-mail dient Verwerker in ieder geval aan te geven dat sprake is geweest van een Inbreuk in verband met Persoonsgegeven, wat de (vermeende) oorzaak is daarvan het de Inbreuk in verband met Persoonsgegevens, wat het (vooralsnog bekende en/of te verwachten) gevolg is, wat de (voorgestelde) oplossing is en wie reeds geïnformeerd is.

Deze procedure geldt ook voor bestanden die worden opgeslagen en verwerkt.