Verwerkersovereenkomst
Verwerkersovereenkomst
(de “Overeenkomst”)
Pagina 1
TUSSEN:
RICOH BELGIUM NV, met zetel te 0000 Xxxxxxxxx, Xxxxxxxxx 00X, Ondernemingsnummer BE 0418.856.193 (“Ricoh”)
EN: Naam Klant:
Maatschappelijke zetel: Ondernemingsnummer:
1. DEFINITIES
De gedefinieerde termen die in deze Overeenkomst worden gebruikt, zijn als volgt:
Wetgeving Gegevensbescherming betekent alle wetten van toepassing op persoonsgegevens die worden verwerkt in het kader van of in verband met deze Overeenkomst, zoals:
(a) de Xxxxxxxxx 2002/58/EG betreffende privacy en elektronische communicatie
(b) de AVG
(c) de Wet bescherming persoonsgegevens van 30 juli 2018 en alle andere nationale wetten ter uitvoerlegging of aanvulling van de voorgaande, en
(d) alle betrokken gedragscodes en andere bindende richtlijnen uitgevaardigd door een toezichthoudende autoriteit;
allemaal zoals van tijd tot tijd gewijzigd, heringevoerd en/of vervangen en van kracht
AVG betekent de Algemene Verordening Gegevensbescherming 2016/679
Hoofdovereenkomst(en) betekent één of meer overeenkomsten dewelke Ricoh en de Klant hebben afgesloten met betrekking tot de huur en onderhoud van (multifunctional) printers met ondersteunende software, inclusief (automatische) levering van toners.
Diensten betekent alle producten en/of diensten die door Ricoh krachtens de Hoofdovereenkomsten worden geleverd aan de Klant.
Wanneer ze in deze Overeenkomst worden gebruikt, hebben de volgende termen dezelfde betekening als in de Wetgeving Gegevensbescherming: “persoonsgegevens”, “verwerkingsverantwoordelijke”, “gegevensverwerker”, “verwerking” en “toezichthoudende autoriteit”.
2. ACHTERGROND
2.1. De Klant en Ricoh zijn partij bij één of meer Hoofdovereenkomsten waarbij Xxxxx Diensten verstrekt aan de Klant.
2.2. De uitvoering van de Diensten kan het verwerken van persoonsgegevens inhouden voor rekening van de Klant als “verwerkingsverantwoordelijke” door Xxxxx in haar hoedanigheid van “verwerker”. De rechten en plichten van de Klant als verwerkingsverantwoordelijke en Ricoh als verwerker met betrekking tot de verwerkingsactiviteiten worden uiteengezet in deze Overeenkomst.
3. OMSCHRIJVING VAN DE VERWERKING
Het onderwerp, de doeleinde, aard en duurtijd van de verwerking en de categorieën van persoonsgegevens of betrokkenen worden uiteengezet in de Tabel in Bijlage 1.
4. NALEVING VAN DE WETGEVING GEGEVENSBESCHERMING
Zowel de Klant als Ricoh zal de Wetgeving Gegevensbescherming naleven (en zal erop toezien dat ook zijn personeel en/of onderaannemers dat doen). De Klant vrijwaart Ricoh tegen alle vorderingen in verband met de verwerking van persoonsgegevens buiten deze Overeenkomst en voor
inbreuken op de Wetgeving Gegevensbescherming, die niet zijn gepleegd door Xxxxx.
5. RELATIE VAN DE PARTIJEN
Inzake de verwerking van persoonsgegevens op grond van deze Overeenkomst erkennen en bevestigen de partijen dat (a) de Klant de verwerkingsverantwoordelijke is; en (b) Ricoh de gegevensverwerker is, met betrekking tot de verwerking.
6. VERANTWOORDELIJKE PERSONEN EN VRAGEN
De Klant en Ricoh zullen elkaar in kennis stellen van de persoon die binnen hun organisatie bevoegd is om van tijd tot tijd te antwoorden op vragen inzake de persoonsgegevens en de verwerking die het voorwerp van deze Overeenkomst uitmaakt. De Klant en Ricoh zullen alle dergelijke verzoeken snel en redelijk behandelen.
7. VERWERKING VAN PERSOONSGEGEVENS DOOR RICOH
7.1. In verband met de verwerking van persoonsgegevens uit hoofde van deze overeenkomst zal Ricoh:
(a) de persoonsgegevens (waaronder bij het doen van een internationale doorgifte van de persoonsgegevens) alleen verwerken voor zover noodzakelijk om de Diensten te verschaffen en alleen in overeenstemming met de bepalingen van deze Overeenkomst en de schriftelijke instructies van de Klant, tenzij anders vereist door de Wetgeving Gegevensbescherming. De Klant erkent dat zijn instructies betreffende de gegevensverwerking zijn zoals uiteengezet in deze Overeenkomst;
(b) ingeval Ricoh wettelijk verplicht is de persoonsgegevens te verwerken op een andere manier dan bepaald in deze Overeenkomst, zal het de Klant verwittigen alvorens de betrokken verwerking uit te voeren (tenzij de wet Ricoh ook verhindert dat te doen om redenen van algemeen belang);
(c) de passende technische en organisatorische maatregelen treffen om een beveiligingsniveau te waarborgen dat is afgestemd op de risico's die zich voordoen bij de verwerking en de uitvoering van de Diensten, in het bijzonder bescherming tegen onbedoelde of onrechtmatige vernietiging, verlies, wijziging, ongeoorloofde bekendmaking van, of toegang tot, doorgegeven, opgeslagen of anderszins op grond van deze Overeenkomst verwerkte persoonsgegevens. Deze maatregelen worden beschreven in Bijlage 2;
(d) alle redelijke maatregelen nemen om ervoor te zorgen dat enkel bevoegde personeelsleden toegang hebben tot de persoonsgegevens en dat alle personen aan wie toestemming wordt verleend tot inzage in de persoonsgegevens de nodige vertrouwelijkheid in verband met de persoonsgegevens zullen naleven en handhaven (onder meer door middel van een passende contractuele geheimhoudingsplicht indien de betrokken personen niet reeds onder een dergelijke verplichting vallen krachtens de wet);
(e) enkel subverwerkers inhuren in overeenstemming met bepaling 8.
(f) niets doen of nalaten waardoor de Klant zijn verplichtingen op grond van de Wetgeving Gegevensbescherming zou schenden;
(g) de Klant onmiddellijk in kennis stellen wanneer naar de mening van de Ricoh een instructie gegeven aan Ricoh de Wetgeving Gegevensbescherming schendt;
(h) indien van toepassing met betrekking tot persoonsgegevens die worden verwerkt op grond van deze Overeenkomst, samenwerken met en bijstand verlenen aan de Klant om de naleving te verzekeren van:
Versie 1 - 2022
Verwerkersovereenkomst
(de “Overeenkomst”)
Pagina 2
(i) de verplichtingen van de Klant om te reageren op verzoeken van betrokkene(n) die hun rechten uit hoofde van Hoofdstuk III van de AVG wensen uit te oefenen, met inbegrip van de verplichting om de Klant in kennis te stellen van alle schriftelijke verzoeken tot inzage die Ricoh ontvangt met betrekking tot de verplichtingen van de Klant uit hoofde van de Wetgeving Gegevensbescherming; en
(ii) de verplichtingen van de Klant op grond van Artikelen 32 – 36 van de AVG.
8. SUBVERWERKERS
8.1. Ricoh zal ervoor zorgen dat elke subverwerker die het inhuurt om uit zijn naam diensten in verband met deze Overeenkomst te leveren, dit alleen doet op basis van een schriftelijk contract dat dergelijke subverwerker gelijkwaardige voorwaarden oplegt als deze die aan Ricoh worden opgelegd in deze Overeenkomst, inclusief de maatregelen uiteengezet in Bijlage 2, of andere bepalingen die met de Klant worden overeengekomen.
8.2. De Klant stemt in met het gebruik van de in onderstaande Tabel opgesomde categorieën subverwerkers; Deze instemming vormt indien nodig de voorafgaande schriftelijke toestemming van de Klant voor de uitbesteding door Ricoh. De Klant kan ten alle tijde inzage krijgen in de actuele lijst van gekwalificeerde subverwerkers op de maatschappelijke zetel van Ricoh of op aanvraag.
9. TOEZICHT OP DE UITVOERING DOOR RICOH
De Klant heeft het recht om de naleving door Ricoh van de Wetgeving Gegevensbescherming en zijn verplichtingen met betrekking tot gegevensverwerking uit hoofde van deze Overeenkomst te allen tijde tijdens normale kantooruren te monitoren en te controleren. Ricoh stemt ermee in de Klant zonder verwijl alle toegang, bijstand en informatie te geven die redelijkerwijze noodzakelijk zijn om de betrokken monitoring en controles mogelijk te maken.
10. INTERNATIONALE DOORGIFTEN
Er zijn geen internationale doorgiften van persoonsgegevens buiten de EU.
11. VOLTOOIING VAN DE DIENSTEN
Bij de voltooiing van de Diensten zal Ricoh alle persoonsgegevens (inclusief kopieën) die op grond van deze Overeenkomst zijn verwerkt wissen, tenzij en voor zover Ricoh wettelijk verplicht is om kopieën van de persoonsgegevens te bewaren.
12. OVERIGE BEPALINGEN
12.1. Alle kennisgevingen en toestemmingen met betrekking tot deze Overeenkomst dienen schriftelijk te geschieden. Wijzigingen in deze Overeenkomst worden pas van kracht nadat beide partijen daarover overeenstemming hebben bereikt in een schriftelijk document dat door beide partijen is ondertekend.
12.2. Deze Overeenkomst (en de Bijlagen) vormt de volledige overeenkomst tussen de partijen met betrekking tot de hierin vervatte aangelegenheden. Geen andere verklaringen of bepalingen zijn van toepassing op of maken deel uit van deze Overeenkomst.
12.3. Deze Overeenkomst wordt beheerst door Belgisch recht. Beide partijen erkennen de exclusieve bevoegdheid van de rechtbanken van Brussel, België, voor alle geschillen die voortvloeien uit deze Overeenkomst.
In twee (2) exemplaren. Elk partij aanvaardt een exemplaar te hebben ontvangen. Gedaan te (plaats) op (datum)
Voor Ricoh Voor de Klant
Naam: Naam:
Functie: Functie:
Handtekening: Handtekening:
Verwerkersovereenkomst
(de “Overeenkomst”)
Pagina 3
Doorgifte aan subverwerkers | De Klant geeft hierbij expliciet de toelating aan Ricoh om voor onderdelen van de verwerking of voor ondersteunende activiteiten een beroep te doen op gekwalificeerde leveranciers en subverwerkers, met in achtname van een schriftelijk contract dat dergelijke subverwerker gelijkwaardige voorwaarden oplegt als deze die aan Ricoh worden opgelegd in deze Overeenkomst, inclusief de maatregelen uiteengezet in Bijlage 2, of andere bepalingen die met de Klant worden overeengekomen. Dit is onder meer het geval voor postbedeling, transport en koerierdiensten, voor elektronische aflevering en archivering, voor afvalverwerking en vernietiging van datadragers, voor ICT ondersteuning (infrastructuur of toepassingen) en voor het uitvoeren van productiestappen in onderaanneming, voor zover ze voor het uitvoeren van deze Overeenkomst daadwerkelijk worden ingezet. De Klant kan inzage krijgen in de lijst van gekwalificeerde leveranciers en subverwerkers op de maatschappelijke zetel van Ricoh of op aanvraag. |
Bijlage 1 – Tabel details van de gegevensverwerking
Onderwerp van de verwerking | □ Huur en onderhoud van multifunctionals met ondersteunende software inclusief (automatische) belevering van toners. □ Print Management Software voor eenvoudig, veilig en efficiënt print beheer met optie tot facturatie. |
Doel van de verwerking : | □ Toegang tot de (multifunctional) printer en gegevens opgeslagen in de (multifunctional) printer van de Klant al dan niet vanop afstand in het kader van ondersteuning en onderhoud. □ Met de Print Management software wordt het beheer van de print/scan opdrachten conform de noden van de verwerkingsverantwoordelijke ingeregeld. |
Aard van verwerking: | • Remote Servicedesk ondersteuning bij technische/software problemen op Ricoh producten. Bij elke ondersteuning van een eindgebruiker dient deze eerst expliciete toestemming te verlenen voor ondersteuning. • Monitoren van verbruiksgegevens en foutmeldingen van Ricoh producten. • Installatie en onderhoud van Ricoh producten bij de Klant. • Installatie en onderhoud van de Print Management Software. |
Duur van de verwerking: | Looptijd van de Hoofdovereenkomst |
Beveiligingsmaatregelen genomen door Ricoh | Zie bijlage 2 |
Categorieën persoonsgegevens die Ricoh verwerkt | Identificatie- en contactgegevens |
Categorieën betrokkenen van wie persoonsgegevens worden verwerkt: | Toegestane gebruikers van de Diensten zoals bepaald door de Klant |
Gebruik- en bewaartermijnen | Gebruikstermijn: duur van de opdracht. Ricoh bewaart de Servicedesk data op adequaat beveiligde wijze gedurende de looptijd van de overeenkomst, met het oog op eventuele remediëring op verzoek van de Klant of ter controle bij betwistingen. Dit is te beschouwen als onderdeel van de verwerkingsopdracht. |
Verwerkersovereenkomst
(de “Overeenkomst”)
Pagina 4
Bijlage 2 – Technische en organisatorische maatregelen
Algemene technische maatregelen kunnen worden geraadpleegd via onze website: xxxxx://xxx.xxxxx.xxx/xxxxxxxx/xxxxxxxx/
Ricoh is gecertifieerd ISO27001:2013 en volgt de in de certificering opgesomde technische en organisatorische maatregelen. Een samenvatting van deze algemene alsook specifieke veiligheidsmaatregelen kan je hieronder terugvinden.
1. Technische maatregelen
• Beheer van de bedrijfsmiddelen
• Fysieke toegang tot beveiligde ruimtes
• Gebruikersbeheer inclusief identificatie en authenticatie beheer
• Beheer van de back-ups
• Anti-malware beheer
• Beheer van updates
• Firewall beheer
• Servicedesk voor security inbreuken
• Software installatie
• Beheer van wijzigingen
• Bedrijfscontinuïteit en rampenplan
• Encryptie op mobiele toestellen, websites en VPN.
• Onomkeerbaar wissen van data na het verstrijken van de bewaartermijn
2. Organisatorische maatregelen
• Implementatie van een Informatie Veiligheid Management Systeem (ISO27001:2013 sinds 2008)
• Informatieveiligheidsbeleid
• Informatieveiligheid rollen & verantwoordelijkheden
• Stuurgroep Informatieveiligheid met kwartaal overleg/rapportering omtrent informatieveiligheid/GDPR.
• Aanduiden en officiële registratie van een Functionaris Gegevensbescherming
• Contactgegevens DPO
• Xxxxxxx Xxxxxxx
• Mobile: 0000 00 00 00
• Privacy beleidsdocument en training voor de medewerkers
• Data classificatie en bewaartermijnen
• Verwerkingsregister
• Risicoregister en Risicobeheer
• Paswoord beleid, ICT beleid, thuiswerk beleid, enz.
• Scheiding van taken (beheer van administrator rollen)
• Op rollen gebaseerde toegangsrechten - "need to know" principe
• Fysieke toegangscontrole
• Beheer van toegangsrechten
• Logging, monitoring en meldingen
• Procedure voor afhandeling van rechten van de betrokkenen
• Procedure voor afhandeling datalekken
• Vertrouwelijkheidsclausules/geheimhoudingsclausules met personeel
• Beheer van verwerkers overeenkomsten
• Bewustwording trainingen en phishing testen
• Interne en externe ISO27001:2013 audits
• Periodiek nazicht van de processen/procedures door de stuurgroep
• Periodieke audits door de Functionaris Gegevensbescherming
• Toepassing van "Privacy by design" en "Privacy by default" bij het ontwikkelen van nieuwe producten/diensten
• Uitvoeren van een gegevensbeschermingseffectenbeoordeling wanneer nodig
3) Specifieke Technische maatregelen voor deze verwerkingsactiviteiten
• Specifieke technische maatregelen voor MFP toestellen: xxxxx://xxx.xxxxx.xxx/xxxxxxxx/xxxxxxxx/xxx/xxxxxxxxxxxxxx/
• Specifieke Harddisk beveiliging maatregelen:
o Encryptie van de harde schijf. Bij het verwijderen van een harde schijf kan men niet aan de nog aanwezige data, deze is immers geëncrypteerd.
o DataOverwriteSecuritySystem (DOSS): wanneer een print of scan opdracht uitgevoerd is dan wordt de tijdelijke dataopslag op de harde schijf overschreven met willekeurige binaire data zodat het origineel niet meer gerecupereerd kan worden
o Bij einde contract wordt eventuele data op disken “secure” overschreven alvorens de harddisk kan hergebruikt worden. Tevens is er de keuze voor de klant om drie extra “secure overwrites” te laten uitvoeren.