Verwerkersovereenkomst Personeelshandboek.nl
Verwerkersovereenkomst Xxxxxxxxxxxxxxxxxx.xx
Versie 1.0 (mei 2018)
Xxxxxxxxxxxxxxxxxx.xx verwerkt onder andere persoonsgegevens voor en in opdracht van de klant omdat de klant een software abonnement bij Xxxxxxxxxxxxxxxxxx.xx heeft. Xxxxxxxxxxxxxxxxxx.xx en de klant zijn daarom verplicht volgens de Algemene Verordening Gegevensbescherming (AVG) om een Verwerkersovereenkomst te sluiten. Xxxxxxxxxxxxxxxxxx.xx is in deze de 'verwerker' en de klant de 'verwerkingsverantwoordelijke’. Xxxxxxxxxxxxxxxxxx.xx en de klant verplichten zich over en weer om de Algemene Verordening Gegevensbescherming (AVG) na te leven. Voor de definities van begrippen wordt aangesloten bij de AVG. Xxxxxxxxxxxxxxxxxx.xx zal de persoonsgegevens alleen verwerken voor en in opdracht van de klant en om uitvoering te geven aan deze overeenkomst.
Instructies verwerking
Xxxxxxxxxxxxxxxxxx.xx is een Nederlands bedrijf met een clouddienst voor klanten. De verwerking bestaat uit het beschikbaar stellen van de Personeelshandboek.nl-dienst met de door de klant ingevoerde, en gegenereerde data. Xxxxxxxxxxxxxxxxxx.xx zal geen gegevens toevoegen, aanpassen of verwijderen zonder dat de klant daar specifieke instructie voor gegeven heeft. Die instructie kan via een verzoek worden gegeven.
Binnen de applicaties, die Xxxxxxxxxxxxxxxxxx.xx beschikbaar stelt, zijn verschillende soorten persoonsgegevens aan te leveren en vast te leggen. De klant en Xxxxxxxxxxxxxxxxxx.xx zijn zich ervan bewust dat de klant al deze, en eventueel nog zelf aan te maken persoonsgegevens of categorieën, kan invoeren en dat Xxxxxxxxxxxxxxxxxx.xx deze dan zal verwerken. De klant is zelf verantwoordelijk voor de beoordeling of het doel en aard van de verwerking past bij de dienstverlening van Xxxxxxxxxxxxxxxxxx.xx.
De klant is zich ervan bewust dat voor meerdere categorieën betrokkenen persoonsgegevens kunnen worden aangeleverd en verwerkt, denk bijvoorbeeld aan bedrijven, klanten, leveranciers en bijvoorbeeld ook de klanten van klanten. De klant is zelf verantwoordelijk voor de beoordeling of het doel en aard van de verwerking past bij de dienst die Xxxxxxxxxxxxxxxxxx.xx levert.
Van onze klanten leggen wij de volgende persoonsgegevens vast:
Abonnementsgegevens: | • het gewenste abonnement; • gebruikersnaam; |
Contactgegevens: | • geslacht; • voor- en achternaam; • telefoonnummer; • e-mailadres; |
Bedrijfsgegevens: | • bedrijfsnaam; • factuuradres; • postcode en plaats; • e-mailadres; • telefoonnummer; |
Financiële gegevens: | • bankrekening • tenaamstelling bankrekening |
Geheimhoudingsplicht
Xxxxxxxxxxxxxxxxxx.xx is zich bewust dat de informatie die de klant met Xxxxxxxxxxxxxxxxxx.xx deelt en opslaat binnen Xxxxxxxxxxxxxxxxxx.xx, een geheim en bedrijfsgevoelig karakter heeft. Alle Personeelshandboek.nl-medewerkers zullen gedurende hun dienstverband en daarna, zoals in hun arbeidsovereenkomst met geheimhoudingsclausule is opgenomen, op verantwoorde wijze met de informatie van de klant omgaan. Ook met alle flexkrachten heeft Xxxxxxxxxxxxxxxxxx.xx een vergelijkbare geheimhoudingsovereenkomst gesloten.
Xxxxxxxxxxxxxxxxxx.xx verzamelt geanonimiseerde gegevens over het gebruik van haar producten en diensten. Deze gegevens ondersteunen Xxxxxxxxxxxxxxxxxx.xx om inzicht te krijgen of, hoe en hoe vaak bepaalde onderdelen van het product gebruikt worden. De geanonimiseerde gegevens zullen uitsluitend gebruikt worden om producten en dienstverlening te verbeteren. Xxxxxxxxxxxxxxxxxx.xx zal de verzamelde gebruikersstatistieken nooit gebruiken voor commerciële doeleinden of te koop aanbieden aan derde partijen.
Medewerkers met toegang tot klantgegevens
Systeembeheerders van Xxxxxxxxxxxxxxxxxx.xx hebben volledige toegang tot de klantgegevens. Accountmanagers, Supportmedewerkers en andere Personeelshandboek.nl-medewerkers hebben toegang tot slechts die persoonsgegevens die noodzakelijk zijn voor de uitvoering van hun werkzaamheden.
Xxxxxxxxxxxxxxxxxx.xx is gerechtigd toegewezen toegangs- of identificatiecodes te wijzigen. De klant behandelt de toegangs- en identificatiecodes vertrouwelijk en met zorg en maakt deze slechts op gepersonaliseerde wijze aan geautoriseerde personeelsleden kenbaar. Xxxxxxxxxxxxxxxxxx.xx is niet aansprakelijk voor schade of kosten die het gevolg zijn van gebruik of misbruik dat van toegangs- of identificatiecodes wordt gemaakt.
Beveiliging
Xxxxxxxxxxxxxxxxxx.xx neemt blijvend passende technische en organisatorische maatregelen om de persoonsgegevens van de klant te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking. Bij het nemen van de beveiligingsmaatregelen is rekening gehouden met de te mitigeren risico’s, de stand van de techniek en de kosten van de beveiligingsmaatregelen.
De beveiligingsmaatregelen die we nemen hebben een beveiligingsniveau dat past bij de aard van de persoonsgegevens en de omvang, context, doeleinden en risico’s van de verwerking.
Deze maatregelen worden aangemerkt als een passend beveiligingsniveau in de zin van de AVG. Meer informatie hierover is te vinden op de speciale betrouwbaarheidspagina: xxxxx://xxx.xxxxxxxxxxxxxxxxxx.xx.xx/xxx/xxxxxxxxxxxxxxx
De klant is gerechtigd om in overleg met Xxxxxxxxxxxxxxxxxx.xx tijdens de looptijd van de overeenkomst door een onafhankelijke deskundige de naleving hiervan te controleren, bijvoorbeeld door middel van het uitvoeren van een audit. De klant zal alle kosten in verband met deze controle dragen vergoeden.
Aansprakelijkheid
Xxxxxxxxxxxxxxxxxx.xx is aansprakelijk voor schade in het kader van persoonsgegevens door handelen of nalaten van de subverwerker, waarbij de aansprakelijkheidsbeperking uit de algemene voorwaarden geldt. De toepasselijke aansprakelijkheidsbeperking geldt niet indien er bij de subverwerker sprake is van grove nalatigheid of opzettelijk wangedrag. Xxxxxxxxxxxxxxxxxx.xx is ook niet aansprakelijk in geval van overmacht zoals gedefinieerd in de algemene voorwaarden bij haarzelf of aan de kant van de subverwerker.
Indien de Autoriteit Persoonsgegevens aan de verwerkersverantwoordelijke een bindende aanwijzing zal geven dient de klant Xxxxxxxxxxxxxxxxxx.xx direct op de hoogte stellen van deze bindende aanwijzing. Xxxxxxxxxxxxxxxxxx.xx zal er alles aan doen wat in redelijkheid van haar verwacht kan worden om de
naleving mogelijk te maken. Als Xxxxxxxxxxxxxxxxxx.xx niet doet wat in redelijkheid van haar gevraagd kan worden waardoor er een boete volgt, of als de Autoriteit Persoonsgegevens direct een boete oplegt omdat sprake is van opzet of ernstige verwijtbare nalatigheid aan de kant van Xxxxxxxxxxxxxxxxxx.xx, dan geldt de toepasselijke aansprakelijkheidsbeperking als hiervoor genoemd in de algemene voorwaarden niet.
De klant vrijwaart Xxxxxxxxxxxxxxxxxx.xx voor aanspraken van personen van wie persoonsgegevens zijn geregistreerd of worden verwerkt in het kader van een persoonsregistratie die door klant wordt gehouden of waarvoor klant op grond van de wet anderszins verantwoordelijk is, tenzij de klant bewijst dat de feiten die aan de aanspraak ten grondslag liggen uitsluitend aan Xxxxxxxxxxxxxxxxxx.xx toegerekend moeten worden.
Subverwerkers
Om onze wereldwijde clouddienst op topniveau aan te kunnen bieden maakt Xxxxxxxxxxxxxxxxxx.xx gebruik van subverwerkers die toegang hebben tot persoonsgegevens en deze verwerken om de Xxxxxxxxxxxxxxxxxx.xx dienst mogelijk te maken. Een lijst van subverwerkers is op de website terug te vinden: xxxxx://xxx.xxxxxxxxxxxxxxxxxx.xx.xx/xxx/xxxxxxxxxxxxx
De klant geeft hierbij Xxxxxxxxxxxxxxxxxx.xx toestemming om in het kader van de Personeelshandboek.nl-overeenkomst gebruik te maken van diensten van subverwerkers binnen de Europese Economische Ruimte alsmede van subverwerkers in landen waarvan de Europese Commissie heeft bepaald dat deze landen een passend beschermingsniveau bieden.
Indien Xxxxxxxxxxxxxxxxxx.xx gebruik wenst te maken van diensten van subverwerkers gevestigd in een land dat geen passend beschermingsniveau biedt zoals hiervoor bedoeld, dan zal Xxxxxxxxxxxxxxxxxx.xx als passende waarborg met betreffende subverwerker een EU-modelcontract aangaan ten behoeve van de klant, krachtens Besluit 2010/87/EU. Is aan voorgaande waarborg voldaan dan instrueert en machtigt de klant Xxxxxxxxxxxxxxxxxx.xx om subverwerkers instructies te geven uit naam van de klant en om gebruik te maken van alle rechten van de klant jegens de subverwerkers op basis van het EU-modelcontract.
Wanneer de subverwerker zijn verplichtingen inzake gegevensbescherming niet nakomt, blijft Xxxxxxxxxxxxxxxxxx.xx ten aanzien van de klant aansprakelijk voor het nakomen van de verplichtingen van de subverwerker. Xxxxxxxxxxxxxxxxxx.xx is echter niet aansprakelijk voor schade en vorderingen voortvloeiend uit instructies van klant aan subverwerkers.
Xxxxxxxxxxxxxxxxxx.xx zal geen nieuwe subverwerkers gegevens laten verwerken zonder de klant daarover te informeren. De klant kan bezwaar maken bij Xxxxxxxxxxxxxxxxxx.xx tegen een nieuwe subverwerker. Xxxxxxxxxxxxxxxxxx.xx zal deze bezwaren op directieniveau afhandelen. Wenst Xxxxxxxxxxxxxxxxxx.xx toch te laten verwerken door de nieuwe subverwerker, dan heeft de klant de mogelijkheid om de overeenkomst te beëindigen.
Privacyrechten
Xxxxxxxxxxxxxxxxxx.xx heeft geen zeggenschap over de persoonsgegevens die door de klant beschikbaar worden gesteld. Zonder noodzaak, gezien de aard van de door de klant verstrekte opdracht, expliciete toestemming van de klant of wettelijke verplichting zal Xxxxxxxxxxxxxxxxxx.xx de gegevens niet aan derden verstrekken of voor andere doeleinden verwerken, dan voor de overeengekomen doeleinden. De klant garandeert dat de persoonsgegevens verwerkt mogen worden op basis van een in de AVG genoemde grondslag.
Xxxxxxxxxxxxxxxxxx.xx zal wel, indien een verzoek gedaan wordt op grond van wet- en regelgeving, alle mogelijke informatie beschikbaar stellen aan de betreffende toezichthouder(s).
Betrokkenen
De klant is verantwoordelijk voor de ingevoerde gegevens van de betrokkenen en daarbij voor het informeren en bijstaan van de rechten van de betrokkenen. Xxxxxxxxxxxxxxxxxx.xx zal nooit op verzoeken van betrokkenen ingaan en altijd verwijzen naar de verantwoordelijke. Xxxxxxxxxxxxxxxxxx.xx
zal, voor zover dat binnen de applicatie mogelijk is, haar medewerking verlenen aan de klant zodat deze kan voldoen aan zijn wettelijke verplichtingen in het geval dat een betrokkene haar rechten uitoefent op grond van de AVG of andere toepasselijke regelgeving betreffende de verwerking van persoons- gegevens.
Meldplicht datalekken
De AVG vereist dat eventuele datalekken gemeld worden aan de Autoriteit Persoonsgegevens door de verwerkingsverantwoordelijke van de data. Xxxxxxxxxxxxxxxxxx.xx zal daarom zelf geen meldingen doen bij de Autoriteit Persoonsgegevens. Uiteraard zal Xxxxxxxxxxxxxxxxxx.xx de klant juist, tijdig en volledig informeren over relevante incidenten, zodat de klant als verwerkingsverantwoordelijke aan zijn wettelijke verplichtingen kan voldoen. De Beleidsregels meldplicht datalekken van de Autoriteit Persoonsgegevens geven hierover meer informatie.
Indien de klant een (voorlopige) melding verricht bij de Autoriteit Persoonsgegevens en/of de betrokkene(n) over een datalek bij Xxxxxxxxxxxxxxxxxx.xx, zonder dat de klant dit vooraf heeft besproken met Xxxxxxxxxxxxxxxxxx.xx, dan is de klant aansprakelijk voor alle door Xxxxxxxxxxxxxxxxxx.xx geleden schade en kosten. De klant is daarnaast verplicht een dergelijke melding direct in te trekken.
Bepaling datalek
Voor het bepalen van een datalek, gebruikt Xxxxxxxxxxxxxxxxxx.xx de AVG en de Beleidsregels meldplicht datalekken als leidraad.
Melding aan de klant
Indien blijkt dat bij Xxxxxxxxxxxxxxxxxx.xx sprake is van een beveiligingsincident of datalek zal Xxxxxxxxxxxxxxxxxx.xx de klant daarover zo spoedig mogelijk informeren nadat Xxxxxxxxxxxxxxxxxx.xx bekend is geworden met het datalek. Om dit te realiseren zorgt Xxxxxxxxxxxxxxxxxx.xx ervoor dat al haar medewerkers in staat zijn en blijven om een datalek te constateren en verwacht Xxxxxxxxxxxxxxxxxx.xx van haar opdrachtnemers dat zij Xxxxxxxxxxxxxxxxxx.xx in staat stelt om hier aan te kunnen voldoen. Voor de duidelijkheid: als er een datalek is bij een leverancier van Xxxxxxxxxxxxxxxxxx.xx, dan meldt Xxxxxxxxxxxxxxxxxx.xx dit uiteraard ook. Xxxxxxxxxxxxxxxxxx.xx is het contactpunt voor de klant. De klant hoeft geen contact op te nemen met de leveranciers van Xxxxxxxxxxxxxxxxxx.xx.
Informeren klant
In eerste instantie zal Xxxxxxxxxxxxxxxxxx.xx de eigenaar van het abonnement informeren over een datalek. Mocht deze eigenaar niet (meer) de juiste zijn, dan kan dat aangepast worden via de portal op de pagina 'gebruikers’.
Informatie verstrekken
Xxxxxxxxxxxxxxxxxx.xx probeert de klant direct alle informatie te verstrekken die de klant nodig heeft om een eventuele melding bij de Autoriteit Persoonsgegevens en/of de betrokkene(n) te verrichten.
Termijn van informeren
De AVG geeft aan dat er ‘onverwijld’ gemeld moet worden. Dit is volgens de Autoriteit Persoonsgegevens zonder onnodige vertraging en zo mogelijk niet later dan 72 uur na ontdekking ervan door de verantwoordelijke. Indien er een beveiligingsincident optreed zal Xxxxxxxxxxxxxxxxxx.xx de klant zo snel mogelijk, maar uiterlijk binnen 48 uur na het ontdekken door Xxxxxxxxxxxxxxxxxx.xx ervan, informeren. De klant zal zelf de beoordeling moeten maken of het beveiligingsincident valt onder de term ‘datalek’ en of er melding aan de Autoriteit Persoonsgegevens gedaan zal moeten worden. De klant heeft hiervoor 72 uur, nadat de klant hiervan op de hoogte is gesteld, de tijd.
Voortgang en maatregelen
Xxxxxxxxxxxxxxxxxx.xx zal de klant op de hoogte houden over de voortgang en de maatregelen die getroffen worden. Xxxxxxxxxxxxxxxxxx.xx maakt hierover afspraken met de primaire contactpersoon bij de initiële melding. In ieder geval houdt Xxxxxxxxxxxxxxxxxx.xx de klant op de hoogte in geval van een wijziging van de situatie, het bekend worden van nadere informatie en over de maatregelen die getroffen worden.
Xxxxxxxxxxxxxxxxxx.xx registreert alle securityincidenten en handelt deze volgens vaste procedure af.
Gegevens verwijderen
Xxxxxxxxxxxxxxxxxx.xx zal alle persoonsgegevens aan het einde van het abonnement verwijderen of aan de klant retourneren. Ook zal Xxxxxxxxxxxxxxxxxx.xx na 1 jaar alle bestaande back-ups verwijderen tenzij Xxxxxxxxxxxxxxxxxx.xx op grond van EU-wetgeving of wetgeving van een lidstaat verplicht is die persoonsgegevens te bewaren. Mocht de klant eerder de gegevens verwijderd willen hebben, dan kan daarvoor een verzoek worden ingediend. Xxxxxxxxxxxxxxxxxx.xx verplicht zich daar gehoor aan te geven.
Duur Verwerkersovereenkomst
De looptijd is gelijk aan die van het abonnement dat de klant met Xxxxxxxxxxxxxxxxxx.xx heeft gesloten. Tenzij in deze overeenkomst anders is bepaald zijn rechten en verplichtingen op het gebied van beëindiging dezelfde als de rechten en verplichtingen die zijn opgenomen in de desbetreffende algemene voorwaarden en SLA.
Zwaarwegend belang Verwerkersovereenkomst
In het geval van strijdigheid tussen de inhoud van deze Verwerkersovereenkomst en enige andere overeenkomst tussen Xxxxxxxxxxxxxxxxxx.xx en Klant, waaronder inbegrepen de algemene voorwaarden & SLA, weegt het bepaalde in deze Verwerkersovereenkomst het zwaarst met betrekking tot de gegevensbeschermingsverplichtingen van Xxxxxxxxxxxxxxxxxx.xx en Klant. Ook in geval van twijfel over de vraag of voorwaarden in die andere overeenkomsten betrekking hebben op de gegevensbeschermingsverplichtingen van Xxxxxxxxxxxxxxxxxx.xx en Klant weegt deze Verwerkersovereenkomst het zwaarst.
Geldigheid en afdwingbaarheid Verwerkersovereenkomst
Ongeldigheid of onafdwingbaarheid van enige bepaling in deze Verwerkersovereenkomst heeft geen gevolgen voor de geldigheid of afdwingbaarheid van de overige bepalingen van deze Verwerkersovereenkomst. Dit geldt ook als deze Verwerkersovereenkomst een omissie bevat.
Ieder geschil tussen de Klant en Xxxxxxxxxxxxxxxxxx.xx met betrekking tot deze Verwerkersovereenkomst zal worden voorgelegd aan de bevoegde rechter te Utrecht.