Verwerkersovereenkomst Nubium
Verwerkersovereenkomst Nubium
18-05-2018 Verwerkersovereenkomst Nubium (v1.3)
Nubium verwerkt onder andere persoonsgegevens voor en in opdracht van de klant. Nubium en de klant zijn daarom verplicht volgens de Algemene Verordening Gege- vensbescherming (AVG) om een verwerkersovereenkomst te sluiten. Volgens de AVG is Nubium 'verwerker' en is de klant 'verwerkingsverantwoordelijke'. In deze Ver- werkersovereenkomst staat ook hoe Nubium met de meldplicht datalekken om
gaat.
Verwerkersovereenkomst
Nubium en de klant verplichten zich over en weer om de Algemene Verordening Gegevensbescherming (AVG) na te leven. Voor de definities van begrippen wordt
aangesloten bij artikel 1 van de AVG. Nubium zal de persoonsgegevens alleen verwer- ken voor en in opdracht van de klant en om uitvoering te geven aan de overeenkomst.
Nubium heeft geen zeggenschap over de persoonsgegevens die door de klant
beschikbaar worden gesteld. Zonder noodzaak, gezien de aard van de door de klant verstrekte opdracht, expliciete toestemming van de klant of wettelijke verplichting zal Nubium de gegevens niet aan derden verstrekken of voor andere doeleinden
verwerken, dan voor de overeengekomen doeleinden.
Als de aard en inhoud van de opdracht met zich meebrengt dat Nubium gebruik moet maken van onderaannemers, zal Nubium dezelfde of strengere verplichtingen opleg- gen. Nubium zal in deze gevallen volledig aansprakelijk zijn jegens verwerkingsver-
antwoordelijke.
De klant garandeert dat de persoonsgegevens verwerkt mogen worden op basis van een in de AVG genoemde grondslag. Nubium neemt passende technische en organi- satorische maatregelen om de persoonsgegevens van de klant te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking. Deze maatregelen worden
aangemerkt als een passend beveiligingsniveau in de zin van de AVG.
De Autoriteit Persoonsgegevens zal eerst aan de klant een bindende aanwijzing geven voordat de Autoriteit Persoonsgegevens een bestuurlijke boete op kan leggen. De
klant zal Nubium direct op de hoogte stellen van deze bindende aanwijzing. Nubium zal er alles aan doen wat in redelijkheid van haar verwacht kan worden om de nale- ving mogelijk te maken. Als Nubium niet doet wat in redelijkheid van haar gevraagd kan worden waardoor er een boete volgt, of als de Autoriteit Persoonsgegevens
direct een boete oplegt omdat sprake is van opzet of ernstige verwijtbare nalatigheid aan de kant van Nubium, dan geldt de toepasselijke aansprakelijkheidsbeperking (art. 10) als hiervoor genoemd in de algemene voorwaarden niet.
Privacy en geheimhouding
Nubium is zich bewust dat de informatie die de klant met Nubium deelt en opslaat binnen de door Nubium gebruikte systemen vaak een geheim en bedrijfsgevoelig of persoonlijk karakter heeft.
Medewerkers met toegang tot klantgegevens (betrokkenen)
Systeembeheerders van Nubium hebben volledige toegang tot de website beheerom- gevingen voor:
- het plaatsen van een nieuwe versie;
- het doorvoeren van patches en hotfixes;
- het maken van een back-up;
- het verplaatsen van een omgeving.
Voor het verlenen van ondersteuning en doorontwikkeling van de software heeft Nubium ook toegang tot de beheeromgevingen.
Toegangsgegevens tot systemen van Nubium
Nubium registreert een aantal gegevens van de medewerkers van de klant of door
haar ingeschakelde derden om hen toegang te verlenen tot de door Nubium verleen- de diensten, en hun te informeren over belangrijke zaken omtrent deze systemen
(denk hierbij aan storingen, statusoverzichten en veiligheidswaarschuwingen). Deze gegevens zullen voor geen ander doel dan bovengenoemd gebruikt worden en niet aan derden worden verstrekt.
Door klant verzamelde gegevens
Bij het overeenkomen van deze verwerkersovereenkomst leggen klant en Nubium vast welke soort gegevens worden vastgelegd en of het om bijzondere persoonsgegevens gaat. De klant kan vaak zelf bepalen welke gegevens vastgelegd worden (bijvoor-
beeld door het toevoegen van een webformulier) en is er dan ook verantwoordelijk voor dat er geen andere gegevens worden verwerkt dan afgesproken.
Meldplicht datalekken
De AVG vereist dat eventuele datalekken gemeld worden aan de Autoriteit Persoons- gegevens door de verwerkingsverantwoordelijke van de data. Nubium zal daarom zelf geen meldingen doen bij de Autoriteit Persoonsgegevens. Uiteraard zal Nubium als verwerker de klant juist, tijdig en volledig informeren over relevante incidenten,
zodat de klant als verwerkingsverantwoordelijke aan zijn wettelijke verplichtingen
kan voldoen. De beleidsregels meldplicht datalekken van de Autoriteit Persoonsgege- vens geven hierover meer informatie.
Bepaling datalek
Voor het bepalen van een datalek, gebruikt Nubium de AVG en de beleidsregels
meldplicht datalekken als leidraad. Onder een datalek vallen alle beveiligingsinciden- ten waardoor de bescherming van persoonsgegevens op enig moment is doorbroken of waardoor de persoonsgegevens blootgesteld zijn aan verlies of onrechtmatige
verwerking. Het kan bijvoorbeeld gaan om het verlies van een USB-stick of computer, inbraak door een hacker, verzending van een e-mail waarin de e-mailadressen zicht- baar zijn voor alle geadresseerden, een malware besmetting of een calamiteit zoals
brand in een datacenter.
Indien de klant een (voorlopige) melding verricht bij de Autoriteit Persoonsgegevens en/of de betrokkene(n) over een datalek bij Nubium, terwijl zonder meer voor de
klant duidelijk is dat bij Nubium geen sprake is van een datalek dan is de klant aan- sprakelijk voor alle door Nubium geleden schade en kosten. De klant is daarnaast verplicht een dergelijke melding direct in te trekken.
Melding aan de klant
Indien blijkt dat bij Nubium sprake is van een datalek, dat door de klant gemeld moet worden aan de Autoriteit Persoonsgegevens en/of de betrokkene(n), dan zal Nubium de klant hierover zo spoedig mogelijk informeren nadat Nubium bekend is geworden met het datalek. Om dit te realiseren zorgt Nubium ervoor dat al haar medewerkers
in staat zijn en blijven om een datalek te constateren en verwacht Nubium van haar opdrachtnemers dat zij Nubium in staat stelt om hieraan te kunnen voldoen. Voor de
duidelijkheid: als er een datalek is bij een leverancier van Nubium, dan meldt Nubium dit uiteraard ook. Nubium is het contactpunt voor de klant. De klant hoeft geen
contact op te nemen met de leveranciers van Nubium.
Informeren klant
In eerste instantie zal Nubium de primaire contactpersoon van de klant informeren over een datalek. Indien deze primaire contactpersoon om wat voor reden dan ook niet beschikbaar is nemen wij contact op met een volgende contactpersoon binnen de organisatie.
Informatie verstrekken
Nubium probeert de klant direct alle informatie te verstrekken die de klant nodig
heeft om een volledige melding bij de Autoriteit Persoonsgegevens en/of de betrok- kene(n) te verrichten. Indien deze informatie nog niet bekend is, bijvoorbeeld omdat het datalek door Nubium wordt onderzocht, dan zal Nubium de klant de informatie verstrekken die de klant nodig heeft om in ieder geval eerst een voorlopige melding bij de Autoriteit Persoonsgegevens en/of de betrokkene(n) te kunnen verrichten. Dit bevat in ieder geval de aard van de inbreuk, een beschrijving van de geconstateerde en de vermoedelijke gevolgen van de inbreuk en de getroffen en te treffen maatrege- len om de negatieve gevolgen van het datalek te beperken en te verhelpen.
Voortgang en maatregelen
Nubium zal de klant op de hoogte houden over de voortgang en de maatregelen die getroffen worden. Nubium maakt hierover afspraken met de primaire contactpersoon bij de initiële melding. In ieder geval houdt Nubium de klant op de hoogte in geval
van een wijziging van de situatie, het bekend worden van nadere informatie en over de maatregelen die getroffen worden.
Duur en beëindiging
Deze verwerkersovereenkomst is aangegaan voor de duur zoals bepaald in de over- eenkomst tussen partijen en bij gebreke daarvan in ieder geval voor de duur van de samenwerking. De verwerkersovereenkomst kan tussentijds niet worden opgezegd.
Partijen mogen deze verwerkersovereenkomst alleen wijzigen met wederzijdse schrif- telijke instemming. Na beëindiging van de verwerkersovereenkomst vernietigt
verwerker de van verwerkingsverantwoordelijke ontvangen persoonsgegevens onver- wijld, tenzij partijen anders overeenkomen.
Overige bepalingen
De verwerkersovereenkomst en de uitvoering daarvan worden beheerst door Neder- lands recht.