Standaard verwerkersovereenkomst
Standaard verwerkersovereenkomst
Bestaande uit twee delen:
1. Data Pro Statement;
2. Standaardclausules voor verwerkingen, welke te vinden zijn in de Algemene voorwaarden.
Deel 1: Data Pro Statement
Dit Data Pro Statement vormt samen met de Standaardclausules voor verwerkingen, welke te vinden zijn in de Algemene voorwaarden, de verwerkersovereenkomst voor het product of de dienst van het bedrijf dat dit Data Pro Statement heeft opgesteld.
Algemene informatie
1. Dit Data Pro Statement is opgesteld door:
“Programic B.V.”, gevestigd aan het adres: Xxxxxxxxxxxx 0x, 0000 XX xx Xxxxxxxx.
Voor vragen over dit Data Pro Statement of dataprotectie kan contact opgenomen worden met de Data Protection Officer, te bereiken via xxxxxxx@xxxxxxxxx.xxx.
2. Dit Data Pro Statement geldt vanaf 1 oktober 2024:
De in dit Data Pro Statement omschreven beveiligingsmaatregelen passen wij regelmatig aan om ten aanzien van data protectie steeds voorbereid en actueel te blijven. Wij houden u op de hoogte van nieuwe versies via onze normale kanalen.
3. Dit Data Pro Statement is van toepassing op de volgende producten en diensten van Programic:
a. Ontwikkelen van software
b. Onderhouden van software
4. Omschrijving ontwikkelen van software:
Het adviseren in, en het ontwerpen en ontwikkelen van (online) software zoals uitgevoerd door Programic B.V..
Omschrijving onderhouden van software:
Programic B.V. kan met de Opdrachtgever afspreken dat de software wordt onderhouden. Dit houdt onder andere in: Het hosten van (online) software, het installeren van (beveiligings)updates, het instellen en controleren van backups en monitoring van beschikbare server resources en uptime. Dan wel Opdrachtgever ondersteunen bij vragen en problemen met betrekking tot hun software product.
Meer informatie over onze producten en diensten is te vinden op onze website xxxxxxxxx.xxx.
5. De processen voor het ontwikkelen en onderhouden van software zijn ontworpen en ingericht om er de volgende soort gegevens mee te verwerken:
Persoonsgegevens die noodzakelijk zijn voor het correct laten functioneren van de software, zoals: naam, adres, woonplaats, telefoonnummer en e-mailadres.
Indien er sprake is van verwerking van bijzondere persoonsgegevens dan zal hier rekening mee worden gehouden. Ditzelfde geldt ook voor de verwerking van gegevens betreffende strafrechtelijke veroordelingen en strafbare feiten.
Verwerken van deze gegevens met het hiervoor omschreven product of dienst door Opdrachtgever is ter eigen beoordeling door Opdrachtgever.
6. Programic verwerkt de persoonsgegevens van zijn Opdrachtgevers binnen de EU/EER.
7. Programic maakt gebruik van de volgende sub-processors:
Programic gebruikt de volgende algemene sub-processors. Per Opdrachtgever kunnen
specifieke sub-processors van toepassing zijn. Dit legt Programic indien nodig separaat vast.
Sub-processor | Privacy |
Google Workspace | Binnen EU/EER |
Slack | EU-US Privacy Shield Agreement |
Voys | Binnen EU/EER |
Teamleader | Binnen EU/EER |
Exact Online | Binnen EU/EER |
1Password | EU-US Privacy Shield Agreement |
8. Programic ondersteunt Opdrachtgever op de volgende manier bij verzoeken van betrokkenen:
9. Reproduceren van technische problemen:
Programic mag, zonder voorafgaande toestemming van de Opdrachtgever, data kopiëren en gebruiken uitsluitend voor de volgende doeleinden: Het onderzoeken, analyseren en reproduceren van technische problemen of bugs in de software.
Beperkingen en verantwoordelijkheden:
a. Programic garandeert dat de kopieën van data alleen worden verwerkt in overeenstemming met dit artikel en uitsluitend voor de hierboven genoemde doeleinden.
b. Programic zorgt ervoor dat de data niet langer wordt bewaard dan noodzakelijk voor het vaststellen of oplossen van het probleem.
c. Programic treft alle passende technische en organisatorische maatregelen om de gegevens te beschermen tegen verlies, onbevoegde toegang, en andere vormen van onrechtmatige verwerking.
Verantwoording:
Programic houdt een register bij van alle gevallen waarin data wordt gekopieerd, inclusief de redenen, betrokken data, en de periode waarin de gegevens zijn gebruikt. Dit register wordt op verzoek beschikbaar gesteld aan de Opdrachtgever.
Indien de verwerking van data leidt tot een risico voor de rechten en vrijheden van betrokkenen, informeert Programic de Opdrachtgever onverwijld.
10. Na beëindiging van de overeenkomst met een Opdrachtgever verwijdert Programic de persoonsgegevens conform het verwerkingsregister, waarin de bewaartermijnen zijn opgenomen. Dit gebeurt op zodanige wijze dat deze niet langer kunnen worden gebruikt en niet langer toegankelijk zijn (render inaccessible).
11. Programic heeft beveiligingsmaatregelen genomen ter beveiliging van zijn product of dienst:
Programic hanteert een zero trust aanpak in cybersecurity en neemt het beschermen van persoonsgegevens erg serieus:
a. Gegevens worden niet verspreid naar personen die geen toegangsrechten hebben.
b. Gegevens mogen niet ongewenst gemuteerd worden.
c. Medewerkers hebben toegangsrechten op basis van 'need to know' en 'need to have'.
d. Medewerkers voldoen aan de minimale competentie-eisen en worden bij in dienst nemen gescreend.
e. Geen zwakke plekken met betrekking tot clean desk en clear screen.
f. Het backup beleid zorgt ervoor dat het maximale gegevensverlies niet overschreden wordt.
g. Regels voor softwareontwikkeling voorkomen verlies van vertrouwelijkheid, integriteit en beschikbaarheid bij de software.
h. De software en de servers zijn voorzien van de laatste beveiligingsupdates en firewalls.
i. Onze computers zijn beveiligd met een wachtwoord en antivirussoftware.
j. Inloggegevens worden opgeslagen in een erkende password manager.
k. Het leveranciersbeleid waarborgt het voldoen aan informatiebeveiligingseisen.
12. In geval er toch iets mis gaat, hanteert Programic een datalekprotocol om ervoor te zorgen dat Opdrachtgever op de hoogte is van incidenten:
Er is sprake van een datalek als er een inbreuk in verband met persoonsgegevens heeft plaatsgevonden. Alleen een dreiging of een tekortkoming in de beveiliging is niet voldoende; er moeten daadwerkelijk persoonsgegevens gelekt zijn.
Onder een datalek verstaat de AP persoonsgegevens die gelekt of vernietigd zijn als gevolg van een beveiligingsincident. Bij het lek zijn persoonsgegevens blootgesteld aan verlies of onrechtmatige verwerking. Bij verlies zijn de persoonsgegevens er niet meer.
Onder onrechtmatige verwerking vallen bijvoorbeeld onbevoegde kennisneming, wijziging, aantasting of de verstrekking daarvan.
Voorbeelden van inbreuken in verband met persoonsgegevens kunnen zijn: inbraak door een hacker, persoonsgegevens per ongeluk gepubliceerd, mailware, fishing of persoonsgegevens aan verkeerde persoon verstuurd.