VERWERKERSOVEREENKOMST
VERWERKERSOVEREENKOMST
De ondergetekenden:
1. Klant van de VAR-2-app, zijnde een natuurlijk persoon die een account heeft geopend in de VAR-2-app, hierna te noemen: Opdrachtgever,
En
2. VAR-2 BV, gevestigd Paasloregel 55, 8338 SV te Willemsoord en ingeschreven in het register van de Kamer van Koophandel onder nummer 77322479, hierna te noemen: Opdrachtnemer,
hierna gezamenlijk te noemen: Partijen;
overwegende dat:
• Voor zover Opdrachtnemer Persoonsgegevens Verwerkt ten behoeve van Opdrachtgever in het kader van de Overeenkomst, Opdrachtgever krachtens artikel 4, onderdeel 7 en onderdeel 8, van de Verordening kwalificeert als verwerkingsverantwoordelijke voor de Verwerking van Persoonsgegevens en Opdrachtnemer als verwerker;
• Partijen in deze Verwerkersovereenkomst, zoals bedoeld in artikel 28, derde lid, van de Verordening, hun afspraken over de Verwerking van Persoonsgegevens door Opdrachtnemer wensen vast te leggen.
komen het volgende overeen:
Artikel 1. Begrippen
In deze Verwerkersovereenkomst wordt een aantal begrippen met een beginhoofdletter gebruikt. Onder de volgende begrippen in deze Verwerkersovereenkomst wordt verstaan:
1.1 Betrokkene: degene op wie een Persoonsgegeven betrekking heeft.
1.2 Inbreuk in verband met Persoonsgegevens: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens.
1.3 Overeenkomst: deze overeenkomst.
1.4 Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon, die Opdrachtnemer in het kader van de Overeenkomst ten behoeve van Opdrachtgever verwerkt.
1.5 Verordening: Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van de Richtlijn 95/46/EG (algemene verordening gegevensbescherming).
1.6 Verwerkersovereenkomst: deze overeenkomst inclusief overwegingen en bijbehorende bijlagen.
1.7 Verwerking: een bewerking of een geheel van bewerkingen in het kader van de Overeenkomst met betrekking tot Persoonsgegevens, of een geheel van Persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen.
Artikel 2. Voorwerp van deze Verwerkersovereenkomst
2.1 Deze Verwerkersovereenkomst regelt de Verwerking van Persoonsgegevens door Opdrachtnemer in het kader van de Overeenkomst.
2.2 De aard en het doel van de Verwerking, het soort Persoonsgegevens en de categorieën van Persoonsgegevens, Betrokkenen en ontvangers zijn in Bijlage 1 omschreven.
2.3 Opdrachtnemer garandeert de toepassing van passende technische en organisatorische maatregelen, opdat de Verwerking aan de vereisten van de Verordening voldoet en de bescherming van de rechten van de Betrokkene is gewaarborgd.
2.4 Opdrachtnemer garandeert te voldoen aan de vereisten van de toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens.
Artikel 3. Inwerkingtreding en duur
3.1 Deze Verwerkersovereenkomst treedt in werking op het moment waarop Opdrachtgever een account heeft geopend in de VAR-2-app.
3.2 Bij de eerste registratie in de VAR-2-app geeft Opdrachtgever met actieve instemming akkoord voor de Algemene vooraarden door het aanzetten van een vinkje in de box ‘Ik ga akkoord met de Algemene voorwaarden.’ Met het akkoord gaan met de Algemene voorwaarden treedt deze Verwerkingsovereenkomst in werking en stemt Opdrachtgever in met deze verwerkingsovereenkomst.
3.3 Deze verwerkingsovereenkomst eindigt op het moment dat Opdrachtgever zijn account beëindigt in de VAR-2-app.
3.4 Geen van Partijen kan deze Verwerkersovereenkomst tussentijds opzeggen.
Artikel 4. Omvang verwerkingsbevoegdheid Opdrachtnemer
4.1 De gegevens van Opdrachtgever worden door Opdrachtnemer verwerkt op geleide van wat Opdrachtgever zelf invoert in de VAR-2-app en met als doel om tot een gescoorde vragenlijst te komen. Zie Bijlage 5.
4.2 Indien een instructie als bedoeld in het eerste lid naar het oordeel van Opdrachtnemer in strijd is met een wettelijk voorschrift inzake gegevensbescherming, stelt hij Opdrachtgever daarvan voorafgaand aan de Verwerking in kennis, tenzij een wettelijk voorschrift deze kennisgeving verbiedt.
4.3 Indien Opdrachtnemer op grond van een wettelijk voorschrift Persoonsgegevens dient te verstrekken, informeert hij Opdrachtgever onmiddellijk, en zo mogelijk voorafgaand aan de verstrekking.
4.4 Opdrachtnemer heeft geen zeggenschap over het doel van en de middelen voor de Verwerking van Persoonsgegevens.
Artikel 5. Beveiliging van de Verwerking
5.1 Opdrachtnemer treft de technische en organisatorische beveiligingsmaatregelen zoals beschreven in Bijlage 2.
5.2 Partijen erkennen dat het waarborgen van een passend beveiligingsniveau voortdurend kan dwingen tot het treffen van aanvullende beveiligingsmaatregelen. Opdrachtnemer waarborgt een op het risico afgestemd beveiligingsniveau.
5.3 Indien en voor zover Opdrachtgever daarom uitdrukkelijk schriftelijk verzoekt en Opdrachtnemer daarmee kan instemmen, zal Opdrachtnemer aanvullende maatregelen treffen met het oog op de beveiliging van de Persoonsgegevens.
5.4 Opdrachtgever verleent Opdrachtnemer toestemming om gegevens zoals weergegeven in Bijlage 4.
5.5 Opdrachtnemer informeert Opdrachtgever zonder onredelijke vertraging zodra hij kennis heeft genomen van onrechtmatige Verwerkingen van Persoonsgegevens of inbreuken op beveiligingsmaatregelen zoals genoemd in het eerste en tweede lid.
5.6 Opdrachtnemer verleent Opdrachtgever bijstand bij het doen nakomen van de verplichtingen uit hoofde van de artikelen 32 tot en met 36 van de Verordening.
Artikel 6. Sub-verwerker
6.1 Wanneer Opdrachtnemer een andere verwerker inschakelt om ten behoeve van Opdrachtgever verwerkingsactiviteiten te verrichten, worden aan deze andere verwerker bij een overeenkomst dezelfde verplichtingen inzake gegevensbescherming opgelegd als die welke in deze Verwerkersovereenkomst zijn opgenomen.
Artikel 7. Bijstand vanwege rechten van Betrokkene
7.1 Opdrachtnemer verleent Opdrachtgever bijstand bij het vervullen van diens plicht om verzoeken om uitoefening van de in hoofdstuk III van de Verordening vastgelegde rechten van de Betrokkene te beantwoorden.
Artikel 8. Inbreuk in verband met Persoonsgegevens
8.1 Opdrachtnemer informeert Opdrachtgever zonder onredelijke vertraging, zodra hij kennis heeft genomen van een Inbreuk in verband met Persoonsgegevens, overeenkomstig de afspraken zoals vastgelegd in Bijlage 3.
8.2 Opdrachtnemer informeert Opdrachtgever ook na een melding op grond van het eerste lid over ontwikkelingen betreffende de Inbreuk in verband met Persoonsgegevens.
8.3 Partijen dragen elk de door henzelf in verband met de melding aan de bevoegde toezichthoudende autoriteit en Betrokkene te maken kosten.
Artikel 9. Terugbezorgen of wissen Persoonsgegevens
9.1 Opdrachtgever is verantwoordelijk voor het wissen van Persoonsgegevens. Opdrachtnemer is eigenaar van zijn/haar data en verwijdert zelf de records van afgenomen vragenlijsten. Ook kan Opdrachtgever op elk moment zijn/haar eigen account opheffen.
Artikel 10. Informatieverplichting en audit
10.1 Opdrachtnemer stelt alle informatie ter beschikking die nodig is om aan te tonen dat de verplichtingen uit deze Verwerkersovereenkomst zijn en worden nagekomen.
10.2 Opdrachtnemer verleent alle benodigde medewerking aan audits.
Versie: 20 februari 2020
Opdrachtnemer Opdrachtgever
VAR-2 BV
Bijlage 1. De Verwerking van Persoonsgegevens
Het verwerken van persoonsgegevens maakt deel uit van de dienstverleningsopdracht aan Opdrachtnemer. Opdrachtnemer verklaart alle verplichtingen die voortvloeien uit de uitvoering van de opdracht, waaronder de verplichtingen op grond van privacywetgeving en informatiebeveiliging, op zich te nemen en na te komen.
Voor de gegevenswerkingen is Opdrachtgever aan te merken als verantwoordelijke. Opdrachtgever stelt immers het doel en de middelen van de verwerking vast.
Opdrachtnemer heeft hierbij de rol van verwerker. Opdrachtnemer verwerkt gegevens ten behoeve van de Opdrachtgever, zonder aan zijn rechtstreeks gezag te zijn onderworpen.
Opdrachtnemer schakelt voor de feitelijke verwerking van persoonsgegevens na schriftelijke voorafgaande toestemming derde partijen in, welke worden aangemerkt als subverwerker. De identiteit en vestigingsgegevens van derde partijen voor wie door Opdrachtgever toestemming wordt verleend voor het verwerken van persoonsgegevens in het kader van de dienstverlening door Opdrachtnemer, zullen worden vermeld in bijlage 4 van deze verwerkersovereenkomst.
Over de rolverdeling met betrekking tot de gegevensverwerkingen bestaat overeenstemming tussen de Opdrachtgever en Opdrachtnemer.
Opdrachtgever stemt er mee in dat Opdrachtnemer gebruik maakt van een derde partij als sub-verwerker.
Opdrachtnemer verzekert in ieder geval dat de derde zich richt naar de instructies van Opdrachtgever, tot geheimhouding verplicht is en de nodige beveiligingsmaatregelen ten opzichte van de gegevensverwerking neemt. Alle relevante verplichtingen uit deze
Verwerkersovereenkomst voor de bescherming en beveiliging van de Persoonsgegevens worden overgenomen in een gesloten of te sluiten overeenkomst met de derde.
Opdrachtnemer verstrekt Opdrachtgever alle benodigde informatie teneinde een goede naleving van de AVG, dan wel andere relevante (privacy) wet- en regelgeving mogelijk te maken.
Tot slot is in de verwerkersovereenkomst gewaarborgd dat Opdrachtgever te allen tijde bevoegd is om een beoordeling uit te voeren bij Opdrachtnemer en door haar ingeschakelde derden, van de verwerking van gegevens, waarbij de naleving van wettelijke eisen te bescherming van persoonsgegevens wordt gecontroleerd. De kosten van een dergelijke beoordeling gaan uit van het initiatief van Opdrachtgever en komen derhalve voor rekening van Opdrachtgever.
1. Het onderwerp en doel van de Verwerking
Het doel van de verwerking is om tot een rapport te komen van de persoon die de VAR-2 vragenlijst of varianten daarvan invult. Het rapport geeft inzicht in de psychosociale arbeidsbelasting van de persoon. Hiermee wordt inzicht verkregen in de psychische gezondheidstoestand van de persoons, diens psychosociaal welkbevinden thuis en op het werk, belastende omstandigheden, hulpbronnen, vitaliteit en kwaliteit van dienst leefstijl. Ook wordt vastgesteld of er een risico is op langdurig verzuim.
2.a Het soort Persoonsgegevens
De verwerking van persoonsgegevens heeft zowel betrekking op gewone, gevoelige, als bijzondere persoonsgegevens.
2.b Beschrijving categorieën Persoonsgegevens
De invuller van de vragenlijst gevraagd de volgende gegevens te verstrekken:
- Voor - en achternaam
- Geslacht
- Geboortedatum
- E-mailadres
- Referentiecode
- Beantwoording vragen m.b.t. persoonlijk functioneren, welbevinden en gezondheid
Naast bovenstaande persoonsgegevens kunnen door de invuller van de vragenlijst gegevens over de persoonlijke situatie worden verstrekt.
Bijzondere gegevens | Gevoelige gegevens (niet limitatief, contextafhankelijk) | Gewone gegevens |
- Gezondheidsgegevens - Welbevinden - Persoonlijk functioneren | - Voor- en achternaam - Geslacht - Geboortedatum - E-mailadres - Referentiecode |
3. Beschrijving categorieën Betrokkenen
De betrokkenen van wie persoonsgegevens worden verwerkt zijn de personen die door Opdrachtgever per e-mail worden uitgenodigd een vragenlijst in de VAR-2-app in te vullen.
4. Nadere beschrijving van de omstandigheden van de verwerking van persoonsgegevens.
Invullers van de vragenlijsten (zijnde cliënten van Opdrachtgever) worden door Opdrachtnemer, feitelijk diens subverwerker, middels een mail met een link uitgenodigd een vragenlijst in te vullen. Zij ontvangen daarop een individuele automatisch gegenereerde terugkoppeling. De uitkomsten van individuele vragenlijsten worden door Opdrachtnemer, feitelijk diens sub-verwerker, verstrekt aan Opdrachtgever.
Voor de verwerking van persoonsgegevens maakt Opdrachtnemer gebruik van de diensten van hostingprovider Yourhosting te Zwolle, Mandrill en Dropbox.
Voor Opdrachtnemer en diens subverwerkers geldt dat alleen die medewerkers die uit hoofde van hun functie noodzakelijkerwijs toegang moeten hebben tot de infrastructuur, mogelijkerwijs toegang hebben tot de persoonsgegevens waarvan Opdrachtgever de verantwoordelijke is.
Bijlage 2. Passende technische en organisatorische maatregelen (artikel 8.1)
- De hostingprovider waar de VAR-2-app op draait (Yourhosting te Zwolle) is ISO 27001 en NEN 7510 gecertificeerd. De VAR-2-app is gemaakt met een Python- webapplicatie-framework genaamd Web2py. Web2py is gereviewed qua veiligheid conform de normen die zijn vastgelegd in OWASP.
- Opdrachtgever behoudt zich het recht voor om penetratietesten uit te voeren op de systemen van Opdrachtnemer en/of diens subverwerkers voor zover dit betrekking heeft op de levering van diensten welke voortvloeien uit deze Overeenkomst. Kosten voor derdelijke penetratietesten komen voor rekening van Opdrachtgever.
- Opdrachtnemer zorgt voor een adequaat autorisatiebeheer. Hierbij moet het aantal personen die toegang hebben tot de informatie tot het minimum beperkt worden. Opdrachtnemer geeft inzicht in het aantal personen dat toegang heeft, welk type toegang er is en hoe de logging van deze (fysieke) toegang tot de informatie geregeld is.
- Opdrachtnemer zorgt dat de integritetit en veiligheid van de gegevens wordt gegarandeerd en zet hiervoor met voorkeur encryptie in.
- Opdrachtnemer zorgt voor adequate logging van de verwerking van en toegang tot de informatie op een manier waarmee onomstotelijk de verwerking van en toegang tot de informatie kan worden aangetoond. Het betreft hier zowel applicatieve logging als logging van (fysieke) toegang tot de applicatie of data. Opdrachtgever heeft het recht om deze logging op te vragen en in te zien.
Bijlage 3. Afspraken betreffende Inbreuken in verband met Persoonsgegevens (artikel 5.4)
Indien een inbreuk in verband met persoonsgegevens in de zin van artikel 4, lid 12 van de Algemene Verordening Gegevensverwerking heeft plaatsgevonden is Opdrachtnemer verplicht deze zonder onredelijke vertraging en, indien mogelijk, uiterlijk 72 uur nadat hij er kennis van heeft genomen, te melden aan de Autoriteit Persoonsgegevens.
Onder inbreuk in verband met persoonsgegevens wordt in dit schrijven verstaan:
inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens.
Derhalve gelden de volgende bepalingen als aanvulling op deze overeenkomst:
I. Zodra Opdrachtgever een inbreuk ontdekt of anderszins op de hoogte raakt van een inbreuk, zal Opdrachtnemer:
(a) alle maatregelen nemen om de tekortkomingen in de beveiliging die hebben geleid tot de inbreuk te corrigeren en de gevolgen daarvan te beperken;
(b) Opdrachtnemer zo snel als redelijkerwijs mogelijk is, maar niet later dan 24 uren na de ontdekking van de inbreuk, informeren over de aard van de inbreuk, de mogelijke impact van de inbreuk op Opdrachtgever en/of betrokkene(n), alsmede de maatregelen die Opdrachtnemer heeft genomen of zal nemen om de beveiliging te corrigeren en/of de gevolgen te beperken;
(c) samenwerken met Opdrachtgever om de oorzaak van de inbreuk te onderzoeken en alle maatregelen nemen die Opdrachtnemer nodig acht om een vergelijkbaar incident te voorkomen.
II. Zodra Opdrachtnemer een inbreuk ontdekt of anderszins op de hoogte raakt van een inbreuk, verstrekt deze ten minste de volgende informatie aan Opdrachtgever:
(a) de aard van de Inbreuk in verband met Persoonsgegevens; dit omvat mede een overzicht van de feiten omtrent de inbreuk;
(b) de Persoonsgegevens;
(c) de categorieën van door de inbreuk getroffen Betrokkenen;
(d) de waarschijnlijke gevolgen van de Inbreuk in verband met Persoonsgegevens;
(e) de maatregelen die Opdrachtnemer heeft voorgesteld of genomen om de Inbreuk in verband met Persoonsgegevens aan te pakken, waaronder, in voorkomend geval, de maatregelen ter beperking van de eventuele gevolgen daarvan.
Opdrachtnemer borgt dat door hem ingeschakelde sub-verwerkers bij hen voorkomende inbreuken op de beveiliging op zodanige wijze aan hem melden, dat hij in staat is zijn in deze Bijlage afgesproken verplichtingen jegens Opdrachtgever na te komen. Opdrachtnemer borgt dat door hem ingeschakelde sub-verwerkers bij hen voorkomend. De melding van een inbreuk in verband met persoonsgegevens aan de Autoriteit Persoonsgegevens geschiedt door Opdrachtgever.
Indien Opdrachtgever een inbreuk in verband met persoonsgegevens met gevolgen voor Opdrachtnemer signaleert, zal hij Opdrachtnemer hierover zo snel als redelijkerwijs mogelijk is, maar niet later dan 24 uren na signalering inlichten.
Opdrachtnemer heeft deze bepalingen beoordeeld en verklaart hieraan te kunnen voldoen.
Bijlage 4. Derden aan wie door Opdrachtgever toestemming is verleend voor de verwerking van persoonsgegevens
Bedrijfsnaam | Vestigingsadres | Vestigingsplaats | Hoofdbeschrijving van activiteit |
Mandrill (The Rocket Science Group, LLC) | 000 Xxxxx xx Xxxx Xxx XX Xxxxx 0000 | Xxxxxxx, XX 00000 XXX | - Verzorgen van aflevering van e-mail bij de invuller. In de e-mail wordt de invuller uitgenodigd te VAR-2 in te vullen. |
TransIp BV | Xxxxxxxxxx 00 | 0000 XX Xxxxxx | - Bewaren van de back-up van de VAR-2-app. - Hosting van VPS server(s) |
Bijlage 5. Werkwijze VAR-2-app
De VAR-2 vragenlijst of varianten van de VAR-2 worden afgenomen met de VAR-2-app. De gebruiker opent een account in de VAR-2-app. De gebruiker kan vanuit zijn/haar account een uitnodiging versturen naar de invuller om de vragenlijst in te vullen. Dit zijn cliënten van Opdrachtgever. De uitnodiging wordt vanuit de VAR-2-app verstuurd. De invuller ontvangt een e-mail met daarin een beveiligde link naar de in te vullen vragenlijst die klaar staat voor de betreffende invuller. De gebruiker kan ervoor kiezen om van de afgeronde vragenlijsten alleen een rapport te maken (waarna de data definitief uit de database wordt verwijderd) of om ook de data te bewaren in de VAR-2-app. De gebruiker bepaalt zelf of en voor hoe lang de data bewaard blijft in de VAR-2-app. Als de gebruiker de data verwijdert in de VAR-2-app blijft de data nog ten hoogste op de achtergrond 30 dagen bestaan in de vorm van een back- up. Iedere dag wordt namelijk een back-up gemaakt die na 30 dagen definitief wordt vernietigd. Opdrachtnemer heeft geen toegang tot de data van de gebruiker (Opdrachtgever). De data is eigendom van de gebruiker (Opdrachtgever).