Verwerkersovereenkomst

Verwerkersovereenkomst

1. Algemeen

1.1 De bepalingen uit de Overeenkomst zijn onverkort van toepassing op de Verwerkersovereenkomst. Deze verwerkersovereenkomst vormt een integraal onderdeel van de Overeenkomst. Voor zover er in de Overeenkomst bepalingen omtrent de verwerking van persoonsgegevens zijn opgenomen, prevaleren de bepalingen uit deze Verwerkersovereenkomst.

1.2 De klant is ten aanzien van de verwerking van persoonsgegevens in het kader van de Overeenkomst verwerkingsverantwoordelijke in de zin van artikel 4(7) van de Algemene verordening gegevensbescherming (“AVG”) aan te merken en Mysolution als verwerker in de zin van artikel 4(8) AVG.

1.3 Begrippen uit de AVG zoals “verwerken”, “persoonsgegevens”, “verwerkingsverantwoordelijke” en “verwerker” hebben de betekenis die daaraan is gegeven in de AVG.

2. VERWERKING PERSOONSGEGEVENS

2.1 De categorieën van Betrokkenen en soorten Persoonsgegevens die door Verwerker worden verwerkt en het doel van die verwerking zijn opgenomen in Bijlage 1.

2.2 Verwerker zal de Persoonsgegevens die aan haar bekend worden uitsluitend verwerken op basis van schriftelijke instructies van Verwerkingsverantwoordelijke en enkel in het kader van de uitvoering van de Overeenkomst, tenzij een op Verwerker van toepassing zijnde Unierechtelijke of lidstaatrechtelijke bepaling hem tot verwerking verplicht. In dat geval stelt Verwerker Verwerkingsverantwoordelijke, voorafgaand aan de verwerking, in kennis van dat wettelijk voorschrift, tenzij die wetgeving deze kennisgeving om gewichtige redenen van algemeen belang verbiedt.

2.3 Verwerker heeft geen zeggenschap over het doel en middelen van de verwerking van Persoonsgegevens. Niets in deze Verwerkersovereenkomst is bedoeld om op enigerlei wijze zeggenschap ten aanzien van de Persoonsgegevens aan Verwerker over te dragen.

2.4 Het is Verwerker niet toegestaan de Persoonsgegevens:

2.4.1 voor eigen doeleinden te verwerken;

2.4.2 voor andere of verdergaande doeleinden te verwerken dan redelijkerwijs nodig in het kader van de uitvoering van de Overeenkomst;

2.4.3 aan derden te verstrekken voor zover dat niet is toegestaan op basis van de Overeenkomst en/of de Verwerkersovereenkomst en/of op grond van een dwingendrechtelijke bepaling op grond waarvan Verwerker verplicht is Persoonsgegevens aan (toezichthoudende of opsporings-) autoriteiten te verstrekken.

3. NALEVING WET- EN REGELGEVING

3.1 Partijen zullen zich gedragen overeenkomstig de op enig moment geldende bepalingen van de AVG en toekomstige (Europese) wet- en regelgeving op het gebied van verwerking van persoonsgegevens. Indien toekomstige wet- en regelgeving noopt tot aanpassing van de Verwerkersovereenkomst, zullen Partijen in overleg treden teneinde nieuwe afspraken te maken waardoor de strekking van deze Verwerkersovereenkomst zo veel mogelijk wordt gehandhaafd.

3.2 Verwerker verleent Verwerkingsverantwoordelijke medewerking bij de uitvoering van een Data Protection Impact Assessment, althans voor zover dat

mogelijk is in verband met de hem ter beschikking staande informatie en de aard van de verwerking. De redelijke kosten die deze medewerkingsplicht met zich meebrengt voor Verwerker worden door Verwerkingsverantwoordelijke gedragen.

3.3 Indien en voor zover Verwerkingsverantwoordelijke op grond van wet- en regelgeving gehouden is om aan een toezichthoudende autoriteit informatie te verstrekken over het verwerken van Persoonsgegevens, dan zal Verwerker op eerste verzoek van Verwerkingsverantwoordelijke alle redelijkerwijs verzochte medewerking verlenen aan Verwerkingsverantwoordelijke, zodat deze informatie beschikbaar komt en de toezichthoudende autoriteit naar behoren kan worden geïnformeerd.

4. GEHEIMHOUDING

4.1 Verwerker is verplicht de Persoonsgegevens geheim te houden en zal waarborgen dat de tot het verwerken van de Persoonsgegevens gemachtigde personen zich ertoe hebben verbonden vertrouwelijkheid in acht te nemen.

4.2 Ook na de beëindiging van deze Verwerkersovereenkomst blijft deze geheimhoudingsplicht bestaan, behalve voor zover het informatie betreft die reeds publiekelijk bekend is geworden, anders dan ten gevolge van een schending van de voormelde geheimhoudingsplicht.

5. BEVEILIGINGSMAATREGELEN VERWERKER

5.1 Verwerker treft passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen, die onder meer de in Bijlage 2 genoemde maatregelen omvatten.

5.2 Er wordt bij het bepalen van de maatregelen door Verwerker rekening gehouden met de stand van de techniek, de uitvoeringskosten,

alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van personen.

5.3 Bij de beoordeling van het passende beveiligingsniveau wordt door Verwerker met name rekening gehouden met de verwerkingsrisico's, vooral als gevolg van de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens, hetzij per ongeluk hetzij onrechtmatig.

5.4 Verwerker treft maatregelen om ervoor te zorgen dat iedere natuurlijke persoon die handelt onder het gezag van de Verwerker en toegang heeft tot de Persoonsgegevens, deze slechts in opdracht van de Verwerkingsverantwoordelijke verwerkt, tenzij een Unierechtelijke of lidstaatrechtelijke bepaling Verwerker tot verwerking verplicht.

6. TOEZICHT DOOR VERWERKINGSVERANTWOORDELIJKE

6.1 Verwerker voorziet Verwerkingsverantwoordelijke op diens verzoek van de noodzakelijke informatie waardoor Verwerkingsverantwoordelijke een oordeel kan vormen over de naleving door Verwerker van het bepaalde in artikelen 2, 4, 5, 7 en 10 van deze Verwerkersovereenkomst.

6.2 Verwerkingsverantwoordelijke heeft het recht om de naleving van de verplichtingen van Verwerker in artikelen 2, 4, 5, 7 en 10 van deze Verwerkersovereenkomst door een onafhankelijke deskundige te laten vaststellen die aan geheimhouding is gebonden. Verwerker zal aan de audit meewerken en alle voor de audit redelijkerwijs relevante informatie zo tijdig mogelijk ter beschikking stellen. De kosten

van audits die in opdracht van Verwerkingsverantwoordelijke zijn uitgevoerd, worden door Verwerkingsverantwoordelijke gedragen, tenzij blijkt dat Verwerker haar verplichtingen niet voldoende is nagekomen in welk geval Verwerker de kosten zal dragen.

6.3 Indien uit het auditrapport van de onafhankelijke deskundige blijkt dat de door Verwerker getroffen maatregelen en voorzieningen niet in voldoende mate voldoen aan deze Verwerkersovereenkomst zal Verwerker onverwijld de nodige maatregelen treffen om hier alsnog aan te voldoen.

7. MELDPLICHT DATALEKKEN

7.1 Verwerker informeert Verwerkingsverantwoordelijke onverwijld, zodra zij constateert dat een inbreuk in verband met de Persoonsgegevens heeft plaatsgevonden. Deze informatieverstrekking is zodanig dat Verwerkingsverantwoordelijke in staat is om aan haar verplichtingen op grond van artikel 33 en artikel 34 AVG te voldoen.

7.2 Verwerker zal Verwerkingsverantwoordelijke steeds volledig op de hoogte houden over de voortgang van het herstel en alle relevante ontwikkelingen aangaande de inbreuk als bedoeld in artikel 7.1 en de gevolgen daarvan. Verwerker zal alle maatregelen nemen die redelijkerwijze van haar kunnen worden verwacht om de nadelige gevolgen van de inbreuk als bedoeld in artikel 7.1 in voorkomend geval te herstellen dan wel zoveel mogelijk te beperken.

7.3 Het is Verwerker niet toegestaan om in het kader van een inbreuk als bedoeld in artikel

7.1 te communiceren met Xxxxxxxxxx(n) en/of toezichthoudende autoriteit(en) anders dan op instructie van Verwerkingsverantwoordelijke, dan wel met

haar uitdrukkelijke en expliciete toestemming.

8. SUB-VERWERKERS

8.1 Verwerker verkrijgt hierbij toestemming om gedurende de looptijd van de Overeenkomst delen van de verwerking van de Persoonsgegevens uit te besteden aan andere verwerkers, zoals omschreven in Bijlage 1.

8.2 Verwerker licht de Verwerkingsverantwoordelijke in over beoogde veranderingen inzake de toevoeging of vervanging van sub- verwerkers, waarbij de Verwerkingsverantwoordelijke de mogelijkheid wordt geboden tegen deze veranderingen bezwaar te maken.

8.3 Verwerker waarborgt dat alle door hem ingeschakelde sub-verwerkers die een rol spelen bij de uitvoering van de Overeenkomst de verplichtingen zoals vervat in deze Verwerkersovereenkomst na zullen leven, met name de verplichting afdoende garanties met betrekking tot het toepassen van passende technische en organisatorische maatregelen te bieden om zo een equivalent beschermingsniveau van de Persoonsgegevens te waarborgen.

9. VERZOEKEN VAN BETROKKENEN

9.1 Verwerkingsverantwoordelijke heeft op grond van de AVG verplichtingen tegenover de Betrokkenen, zoals ten aanzien van het verstrekken van informatie, het geven van inzage in, het rectificeren en verwijderen van Persoonsgegevens. Verwerker zal – indien mogelijk – medewerking verlenen aan de door Verwerkingsverantwoordelijke na te komen verplichtingen. Verwerker behoudt zich het recht voor om zijn reguliere uurtarief in rekening te brengen bij Verwerkingsverantwoordelijke voor diens medewerking.

9.2 Indien een Betrokkene met betrekking tot de uitvoering van zijn rechten onder de AVG direct contact opneemt met Verwerker, dan gaat Verwerker hier niet (inhoudelijk) op in, maar bericht dit onverwijld aan Verwerkingsverantwoordelijke.

10. INTERNATIONAAL VERKEER

10.1 Verwerker draagt er zorg voor dat iedere verwerking van Persoonsgegevens welke door of namens Xxxxxxxxx met inbegrip van de door haar ingeschakelde derden wordt verricht in verband met het uitvoeren van de Overeenkomst binnen de Europese Economische Ruimte (EER) plaats zal vinden of naar of vanuit landen die een gewaarborgd beschermingsniveau bieden in overeenstemming met de AVG.

10.2 Zonder de voorafgaande schriftelijke toestemming van Verwerkingsverantwoordelijke mag Verwerker derhalve geen Persoonsgegevens doorgeven naar of opslaan in een land of organisatie buiten de EER of Persoonsgegevens toegankelijk maken vanuit een niet-EER land, tenzij dat land of organisatie een gewaarborgd beschermingsniveau biedt of een op de Verwerker van toepassing zijnde Unierechtelijke of lidstaatrechtelijke bepaling hem tot verwerking verplicht. In dat geval stelt de Verwerker de Verwerkingsverantwoordelijke, voorafgaand aan de verwerking, in kennis van dat wettelijk voorschrift, tenzij die wetgeving deze kennisgeving om gewichtige redenen van algemeen belang verbiedt.

11. GARANTIE EN VRIJWARING

11.1 Verwerkingsverantwoordelijke garandeert dat de gegevensverwerking in overeenstemming met toepasselijke wet- en regelgeving plaatsvindt. Dit betekent in ieder geval dat Verwerkingsverantwoordelijke garandeert dat hij het recht heeft om de gegevens te (laten)

verzamelen en hij gerechtigd is tot het (laten) verwerken van deze gegevens.

11.2 Verwerkingsverantwoordelijke vrijwaart Verwerker voor schade en kosten ten gevolge van eventuele aanspraken van derden, waaronder uitdrukkelijk begrepen Betrokkene(n) en toezichthoudende autoriteiten (zoals de Autoriteit Persoonsgegevens), verbandhoudende met of voortvloeiende uit een onrechtmatige verwerking en/of andere schending van de AVG en/of de Verwerkersovereenkomst die aan de Verwerkingsverantwoordelijke kan worden toegerekend.

12. AANSPRAKELIJKHEID

12.1 Verwerker staat in voor een correcte naleving van de verplichtingen uit de Verwerkersovereenkomst. Deze Verwerkersovereenkomst maakt integraal onderdeel uit van de Overeenkomst tussen Verwerkingsverantwoordelijke en Verwerker en de (totale) aansprakelijkheid van Verwerker is (daarmee) beperkt conform het bepaalde in de Overeenkomt en/of algemene voorwaarden.

13. LOOPTIJD VERWERKERSOVEREENKOMST

13.1 Deze Verwerkersovereenkomst treedt in werking op het moment van inwerkingtreding van de Overeenkomst en wordt aangegaan voor de looptijd van de Overeenkomst.

13.2 Zodra de Overeenkomst wordt beëindigd of eindigt, om welke reden dan ook, blijft onderhavige Verwerkersovereenkomst van kracht zolang er door Verwerker Persoonsgegevens worden verwerkt, waarna deze Verwerkersovereenkomst van rechtswege eindigt.

13.3 Na afloop van deze Verwerkersovereenkomst zal Verwerker, op eerste verzoek en naar keuze van de Verwerkingsverantwoordelijke, alle Persoonsgegevens wissen of deze aan hem

terugbezorgen. Verwerkingsverantwoordelijke dient zijn keuze uiterlijk twee (2) weken voor beëindiging van de Verwerkersovereenkomst aan Verwerker kenbaar te maken. Indien Verwerker deze keuze niet tijdig ontvangt, is Verwerker gerechtigd om de Persoonsgegevens te wissen.

13.4 Verwerker behoudt uitsluitend een kopie van de Persoonsgegevens indien deze daartoe

op grond van een dwingende wetsbepaling is verplicht.

14. SLOTBEPALING

14.1 Wijzigingen van en aanvullingen op onderhavige Verwerkersovereenkomst zijn slechts geldig indien zij schriftelijk tussen Partijen zijn overeengekomen.

14.2 Op deze Verwerkersovereenkomst is uitsluitend Nederlands recht van toepassing.

BIJLAGE 1 OVERZICHT PERSOONSGEGEVENS EN SUBVERWERKERS

I. Soort persoonsgegevens

• Identificatiegegevens voor een natuurlijk persoon, BSN-nummer, NAW-gegevens

• Geslacht, geboortedatum, telefoonnummer, emailadres, nationaliteit, (pas)foto

• Beroep en betrekking, gegevens betreffende werkervaring/ arbeidsverleden, CV

• Gegevens betreffende gevolgde en te volgen opleidingen, cursussen en stages

• Financiële gegevens (bankrekeningnummer)

• Website gedrag (IP nummer)

II. Categorieën betrokkenen

• Kandidaten/ Sollicitanten/ Assessees

• Klanten

• Marketingcontacten

• Werknemers

• Leveranciers

III. Doelen waarvoor de verwerking van persoonsgegevens plaatsvindt

• Recruitmentdoeleinden

• Marketingdoeleinden

• Betalingsdoeleinden

• Administratieve doeleinden

• Statistische doeleinden

• Beveiliging, verbetering en ontwikkeling van de Dienst en Applicatie

• Beoordelen en accepteren van (toekomstige) klanten

• Uitvoering overeenkomst of contract

IV. Subverwerkers

Naam: Xxxxxxxxxx.xxx

Adres: Xxxxx Xxxxxxxxxxxxx 000 0000XX Xxxxxxxxx

Omschrijving van de dienst: Cloud diensten (Werving en selectie, relatiebeheer, klant- en contractadministratie

Naam: Microsoft BV

Adres: Xxxxx xxx xx Xxxxxxxxxx 000 0000 XX Xxxxxxxxx

Omschrijving van de dienst: Cloud diensten (Personeelsadministratie, urenverwerking, financiële- en salarisadministratie)

Naam: Spotler Nederland BV

Adres: Xxxxx Xxxxxxxxxxxxx 00 0000 XX Xxxxxxxxxx

Omschrijving van de dienst: Verwerking e-mail, werving en selectie, relatiebeheer, klant- en contractadministratie

Naam: Textkernel BV

Adres: Xxxxxxxxxxxxxxxxx 00X-0 0000 XX Xxxxxxxxx

Omschrijving van de dienst: Verwerking CV gegevens, werving en selectie

Naam: Snowflake Computing Netherlands B.V.

Adres: Xxxxxx Xxxxxxxxxx 000 0000 XX Xxxxxxxxx

Omschrijving van de dienst: Data lake, data warehouse, verwerking van metadata en telemetrie

Name: NIXZ

Adres: Xxxxxxxxxxxxxx 00 - X0.00, 0000 XX Xxx Xxxx, xxx Xxxxxxxxxxx

Omschrijving van de dienst: Plugin om een koppeling tussen LinkedIn en kandidaten te maken en beheren.

V. Duur van de verwerking

Gedurende de looptijd van de verwerkersovereenkomst

BIJLAGE 2 SPECIFICATIE VAN BEVEILIGING

Technische en organisatorische beveiligingsmaatregelen

A. Algemene informatie over getroffen beveiligingsmaatregelen:

• Er is een informatiebeveiligingsbeleid opgesteld, waarin de best practices rondom informatiebeveiliging zijn opgenomen.

• Werknemers van de Verwerker hebben een arbeidsovereenkomst met geheimhoudingsovereenkomst getekend.

• Persoonsgegevens worden uitsluitend verwerkt door goedgekeurde subverwerkers waarmee een verwerkersoverenkomst is afgesloten, die minimaal hetzelfde niveau van bescherming persoonsgegevens bieden als Mysolution.

• Mocht de Verwerker persoonsgegevens ontvangen in de vorm van een back-up ten behoeve van het oplossen van een software-incident of voor het converteren van gegevens, worden deze in een afgeschermd netwerk segment opgeslagen waar alleen de direct betrokkenen toegang toe hebben. De gegevens worden direct vernietigd indien het niet langer noodzakelijk is om de gegevens te bewaren.

• Microsoft BV heeft richtlijnen met betrekking tot GDPR compliance: xxxxx://xxx.xxxxxxxxx.xxx/xx-xx/XxxxxXxxxxx/XxxxxXxxxxxxx/Xxxxx/XXXX

• Xxxxxxxxxx.xxx heeft richtlijnen met betrekking tot GDPR compliance: xxxxx://xxxx.xxxxxxxxxx.xxx/xxxxxxxXxxx?xxxxxxx_xxxxxxxxxx_xxx_xxxxxxx.xxx

• Snowflake Computing Netherlands B.V. heeft richtlijnen met betrekking tot GDPR compliance: xxxxx://xxx.xxxxxxxxx.xxx/xxxxx/

B. Maatregelen om te zorgen dat uitsluitend bevoegd personeel toegang heeft tot de Persoonsgegevens:

• De Verwerker heeft een autorisatie- en rechten structuur op basis van een gebruikersrol. Alleen medewerkers met de juiste gebruikersrol hebben toegang tot persoonsgegevens.

• Toegang in het datacenter wordt uitsluitend verleend aan bevoegd personeel.

C. Maatregelen om de Persoonsgegevens te beschermen tegen verlies of wijziging en tegen onbevoegde of onrechtmatige verwerking, toegang of openbaarmaking:

• Dataopslag vindt plaats in een Europees datacenter, welke ISO 27001 is gecertificeerd. Het datacenter beschikt over 24/7 bewaking, zowel elektronisch als fysiek.

• Medewerkers van de Verwerker en haar Subverwerkers hebben alleen remote toegang tot de servers met behulp van een 2-factor authenticatie.

• Al het verkeer van en naar de servers vinden plaats met behulp van een beveiligde SSL-verbinding.

D. Maatregelen voor opsporen van zwakke plekken en incidentenbeheer:

• Periodiek worden door externe partijen veiligheidsonderzoeken en penetratietesten uitgevoerd op de hosted webapplicaties. Eventuele bevindingen worden doorgevoerd in de applicatie.