Verwerkersovereenkomst The Vital Company B.V.
Verwerkersovereenkomst The Vital Company B.V.
versie 1.1 – Datum: 04-04-2023
Inhoudsopgave
− Artikel 1. Begrippen.
− Artikel 2. Voorwerp van deze Verwerkersovereenkomst
− Artikel 3. Inwerkingtreding en duur
− Artikel 4. Omvang Verwerking Bevoegdheid The Vital Company
− Artikel 5. Beveiliging van de Verwerking
− Artikel 6. Geheimhouding door Personeel van The Vital Company
− Artikel 7. Subverwerker(s)
− Artikel 8. Bijstand vanwege rechten van Betrokkene
− Artikel 9. Inbreuk in verband met Persoonsgegevens
− Artikel 10. Teruggave Persoonsgegevens
− Artikel 11. Informatieverplichting en audit
− Bijlage 1. De Verwerking van Persoonsgegevens
− Bijlage 2. Passende technische en organisatorische maatregelen
− Bijlage 3: Afspraken betreffende Inbreuken in verband met Persoonsgegevens
Verwerkersovereenkomst
Deze verwerkersovereenkomst maakt een onderdeel uit van alle overeenkomsten die The Vital Company sluit met haar opdrachtgevers en is geldig tenzij een separate overeenkomst is afgesloten op verzoek van de opdrachtgever.
OVERWEGENDE DAT:
Voor zover The Vital Company Persoonsgegevens verwerkt ten behoeve van de Opdrachtgever in het kader van de Overeenkomst, kwalificeert de Opdrachtgever zich als verwerkingsverantwoordelijke voor de Verwerking van Persoonsgegevens en The Vital Company als verwerker.
Partijen in deze Verwerkersovereenkomst wensen hun afspraken over de Verwerking van Persoonsgegevens door The Vital Company vast te leggen.
KOMEN OVEREEN:
Artikel 1. Begrippen
Onder de volgende begrippen in deze Verwerkersovereenkomst wordt verstaan:
1.1 Betrokkene: degene op wie een Persoonsgegeven betrekking heeft.
1.2 Inbreuk in verband met Persoonsgegevens: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens.
1.3 Overeenkomst: de overeenkomst tussen Opdrachtgever en The Vital Company en de bijbehorende bijlagen.
1.4 Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon, die The Vital Company in het kader van de Overeenkomst ten behoeve van Opdrachtgever verwerkt.
1.5 Verordening: Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van de Richtlijn 95/46/EG (algemene verordening gegevensbescherming).
1.6 Verwerkersovereenkomst: deze overeenkomst.
1.7 Verwerking: een bewerking of een geheel van bewerkingen in het kader van de Overeenkomst met betrekking tot Persoonsgegevens, of een geheel van Persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen.
Artikel 2. Voorwerp van deze Verwerkersovereenkomst
2.1 Deze Verwerkersovereenkomst regelt de Verwerking van Persoonsgegevens door The Vital Company in het kader van de Overeenkomst.
2.2 De aard en het doel van de Verwerking, het soort Persoonsgegevens en de categorieën van Betrokkenen zijn in Bijlage 1 omschreven.
2.3 The Vital Company garandeert de toepassing van passende technische en organisatorische maatregelen, opdat de Verwerking aan de vereisten van de Verordening voldoet en de bescherming van de rechten van de Betrokkene is gewaarborgd.
2.4 The Vital Company garandeert te voldoen aan de vereisten van de toepasselijke wet- en regelgeving betreffende de verwerking van Persoonsgegevens.
Artikel 3. Inwerkingtreding en duur
3.1 Deze Verwerkersovereenkomst treedt in werking op het moment waarop de hoofdovereenkomst door Partijen is ingegaan.
3.2 Deze Verwerkersovereenkomst eindigt nadat de hoofdovereenkomst is beëindigd en voor zover The Vital Company alle Persoonsgegevens overeenkomstig artikel 10 heeft gewist of terugbezorgd.
3.3 Geen van Partijen kan deze Verwerkersovereenkomst tussentijds opzeggen behoudens noodzakelijke wijzigingen vanuit wetgeving of jurisprudentie.
Artikel 4. Omvang Verwerking Bevoegdheid The Vital Company
4.1 The Vital Company verwerkt de Persoonsgegevens uitsluitend in opdracht van en op basis van instructies van Opdrachtgever behoudens afwijkende wettelijke voorschriften die op The Vital Company van toepassing zijn.
4.2 Indien The Vital Company op grond van een wettelijke verplichting Persoonsgegevens dient te verstrekken, informeert hij Opdrachtgever onmiddellijk, en zo mogelijk voorafgaand aan de verstrekking.
Artikel 5. Beveiliging van de Verwerking
5.1 The Vital Company treft technische en organisatorische beveiligingsmaatregelen zoals beschreven in Bijlage 2.
5.2 Partijen erkennen dat het waarborgen van een passend beveiligingsniveau voortdurend kan dwingen tot het treffen van aanvullende beveiligingsmaatregelen. The Vital Company waarborgt een op het risico afgestemd beveiligingsniveau.
5.3 The Vital Company verwerkt Persoonsgegevens niet buiten de Europese Unie, tenzij daarvoor uitdrukkelijk schriftelijk toestemming is verkregen van Opdrachtgever en behoudens afwijkende wettelijke verplichtingen.
5.4 The Vital Company informeert Opdrachtgever zonder onredelijke vertraging zodra hij kennis heeft genomen van onrechtmatige Verwerkingen van Persoonsgegevens of inbreuken op beveiligingsmaatregelen zoals genoemd in het eerste en tweede lid. Deze informatie wordt verstrekt aan personen die als organisatie administrator zijn aangemeld in de Test- Toolkit.
5.5 The Vital Company verleent Opdrachtgever bijstand bij het doen nakomen van de verplichtingen uit hoofde van de artikelen 32 tot en met 36 van de Verordening.
Artikel 6. Geheimhouding door Personeel van The Vital Company
6.1 De Persoonsgegevens hebben een vertrouwelijk karakter en vallen onder geheimhoudingsverplichting. The Vital Company heeft zijn Personeel en inleenkrachten ertoe verbonden vertrouwelijkheid in acht te nemen middels een verklaring bij indiensttreding of overeenkomen geheimhoudingsovereenkomst 🡪 Partners en leveranciers, ook veranderen in begrippenlijst
Artikel 7. Subverwerker(s)
7.1 Wanneer The Vital Company een andere verwerker inschakelt om ten behoeve van Opdrachtgever verwerkingsactiviteiten te verrichten, worden aan deze andere verwerker bij een overeenkomst dezelfde verplichtingen inzake gegevensbescherming opgelegd als die welke in deze Verwerkersovereenkomst zijn opgenomen. De opdrachtgever ontvangt een melding van (een wijziging) in sub-verwerkers aan de contactpersonen in ons systeem.
Artikel 8. Bijstand vanwege rechten van Betrokkene
8.1 The Vital Company verleent Opdrachtgever bijstand bij het vervullen van diens plicht om verzoeken om uitoefening van de in hoofdstuk III van de Verordening vastgestelde rechten van de Betrokkene te beantwoorden.
Artikel 9. Inbreuk in verband met Persoonsgegevens
9.1 The Vital Company informeert Opdrachtgever zonder onredelijke vertraging, zodra hij kennis heeft genomen van een Inbreuk in verband met Persoonsgegevens, overeenkomstig de afspraken zoals vastgelegd in Bijlage 3.
9.2 The Vital Company informeert Opdrachtgever ook na een melding op grond van het eerste lid over ontwikkelingen betreffende de Inbreuk in verband met Persoonsgegevens.
9.3 Partijen dragen de door henzelf in verband met de melding aan de bevoegde toezichthoudende autoriteit en Betrokkene te maken kosten.
Artikel 10. Teruggave Persoonsgegevens
10.1 Na afloop van de Overeenkomst draagt The Vital Company, naar gelang de keuze van Opdrachtgever, zorg voor het terugbezorgen aan Opdrachtgever of het wissen van alle Persoonsgegevens. The Vital Company verwijdert kopieën, behoudens afwijkende wettelijke voorschriften. The Vital Company zal hiervan een schriftelijke bevestiging per email ontvangen waarin wordt aangetoond de Persoonsgegevens te hebben verwijderd uit zijn systemen.
10.2 De Persoonsgegevens worden terugbezorgd als dataset in een algemeen geldend bestandsformaat.
Artikel 11. Informatieverplichting en audit
11.1 The Vital Company stelt alle informatie ter beschikking die nodig is om aan te tonen dat de verplichtingen uit deze Verwerkersovereenkomst zijn en worden nagekomen.
11.2 The Vital Company verleent alle benodigde medewerking aan audits.
Artikel 12 Aansprakelijkheid
12.1 Indien een Partij toerekenbaar tekortschiet in de nakoming van de op haar rustende verplichtingen uit hoofde van deze Verwerkersovereenkomst, de Verordening en/of overige wet- en regelgeving op het gebied van de Verwerking van Persoonsgegevens, is deze Partij aansprakelijk voor de schade die de andere Partij dientengevolge lijdt.
12.2 De aansprakelijkheid van Partijen is beperkt tot directe schade en tot het maximale bedrag dat de verzekeraar van de aansprakelijkgestelde Partij uitkeert.
Bijlage 1. De Verwerking van Persoonsgegevens
Het onderwerp/aard en doel van de Verwerking:
Het onderwerp/ aard en doel van de verwerking ligt bij de opdrachtgever. Doorgaans is het doel het adviseren van betrokkenen bij hun loopbaan en persoonlijke inzetbaarheid.
Daarnaast worden inloggegevens geregistreerd.
Het soort Persoonsgegevens
Primair gaat het om normale persoonsgegevens als NAW-gegevens.
Beschrijving categorieën Persoonsgegevens
Naam, geboortedatum, e-mail, geslacht, opleidingsniveau, mobiele telefoonnummer, persoonlijk organisatorische kenmerken als functie, team en leidinggevenden, antwoorden op vragen van en resultaten van vragenlijsten.
Beschrijving categorieën Betrokkenen
a) Betrokkenen zijn medewerkers van organisaties of opdrachtgevers van opdrachtgever
Beschrijving categorieën ontvangers van Persoonsgegevens
a) De adviseur van de opdrachtgever (ambassadeur) kan deze gegevens individueel inzien van de betrokkene. De adviseur overlegt en vraagt toestemming van betrokkene voor het delen van persoonsgegevens met haar opdrachtgevers.
b) Customer Support van The Vital Company kan na toestemming van opdrachtgever gegevens van betrokkenen inzien voor support doeleinden.
Bijlage 2. Passende technische en organisatorische maatregelen
The Vital Company heeft vele maatregelen getroffen voor databeveiliging. De belangrijkste daarvan zijn:
− Al onze software voor gebruik van het verwerken van Persoonsgegevens is versleuteld met wisselende wachtwoorden
− Alle dataoverdrachten waarbij Persoonsgegevens wordt verwerkt is versleuteld middels HTTPS protocollen
− Alle dataoverdrachten waarbij Persoonsgegevens worden verwerkt is versleuteld middels de laatste patch van TLS
− Al onze software waarbij Persoonsgegevens worden verwerkt wordt ontwikkeld door Privacy Shield Certified Partners
− De gebruikte serverruimte voor opslag van Persoonsgegevens wordt gefaciliteerd door Amazon Web Services (AWS)
− De Persoonsgegevens worden geback-upt met behulp van Amazon Elastic Block Store (EBS) snapshots die wordt gebruikt als primair opslagapparaat dat frequente en gedetailleerde updates vereisen 🡪 Qiek? + verwerken in begrippenlijst
− Persoonsgegevens worden niet fysiek opgeslagen op eigen hardware. Indien dit, om welke redenen dan ook, toch tijdelijk nodig is voor de verwerking van de Persoonsgegevens in onze Cloud of e-mail, worden deze na 30 dagen automatisch verwijderd
− Na afronding van de opdracht doormiddel van het opleveren van de eindresultaten zullen wij binnen 30 dagen de Persoonsgegevens uit onze Cloud verwijderen
− Al onze hardware is versleuteld met wisselende wachtwoorden
− Al onze hardware is voorzien van de laatste versies van McAfee virusscanner en firewall
Bijlage 3: Afspraken betreffende Inbreuken in verband met Persoonsgegevens
In deze bijlage worden de afspraken over hoe The Vital Company Opdrachtgever over Inbreuken in verband met Persoonsgegevens gaat informeren nader gespecificeerd. De melding wordt onverwijld doch uiterlijk binnen 24 uur na het ontdekken van het beveiligingsincident en/of de datalek gedaan.
Security Officer van Verantwoordelijke is de (eerste) contactpersoon voor het doen van een melding.
Voor de melding wordt het ‘Meldingsformulier datalekken en/of beveiligingsincidenten’ gebruikt, conform de melding bij de Autoriteit Persoonsgegevens. Zodra er bij Bewerker meer informatie is over het lek en/of incident, zal deze aanvullende informatie direct met Verantwoordelijke worden gecommuniceerd:
− Meldingsformulier datalekken en/of beveiligingsincidenten worden verstuurd aan de
contactpersoon van de opdrachtgever met als onderwerp “datalek”
− Informatie die door The Vital Company wordt verstrekt
− Aard van de Inbreuk in verband met Persoonsgegevens
− De Persoonsgegevens en Betrokkene
− Waarschijnlijke gevolgen van de Inbreuk in verband met Persoonsgegevens
− Maatregelen die The Vital Company heeft voorgesteld of genomen om de Inbreuk in verband met Persoonsgegevens aan te pakken, waaronder, in voorkomend geval, de maatregelen ter beperking van de eventuele nadelige gevolgen daarvan