Verwerkersovereenkomst Betrokken partijen:

Verwerkersovereenkomst Betrokken partijen:

1. Verwerkingsverantwoordelijke betreft een rechtspersoon die wordt aangeduid als opdrachtgever in offertes die zijn uitgebracht door Terra trainingen B.V. en/of betrokkenen of rechtspersoon die een inschrijving heeft gedaan op de website van Terra trainingen B.V. (hierna: ‘Opdrachtgever’).

2. Verwerker betreft de besloten vennootschap Terra trainingen B.V., gevestigd te Hazerswoude-Rijndijk en kantoorhoudende te 2394 CH aan het adres Xxxxxxxx 000X, te dezen rechtsgeldig vertegenwoordigd door Holland College B.V. (hierna: ‘Opdrachtnemer’)

Gezamenlijk aan te duiden als: “Partijen”

Overwegende dat:

Er bij acceptatie van een offerte en/of een individuele aanmelding via de website van Terra trainingen deze overeenkomst met betrekking tot het uitvoeren van trainingen, bijeenkomsten en examens van kracht is. Ter uitvoering van deze overeenkomst worden persoonsgegevens verwerkt. Opdrachtgever hecht grote waarde aan het beschermen van deze persoonsgegevens, daarom is opdrachtgever verantwoordelijk voor de gegevens die opdrachtnemer gaat verwerken en leggen partijen in de verwerkersovereenkomst en de daarbij behorende bijlagen de volgende punten vast wat opdrachtnemer wel en niet mag doen met persoonsgegevens:

1. Overzicht met verwerkingen en verwerkingsdoelen;

2. Overzicht van beveiligingsmaatregelen

1. Definities

Verwerkingsovereenkomst: een wettelijke overeenkomst op het moment dat

opdrachtnemer persoonsgegevens van opdrachtgever verwerkt.

Verwerkingsverantwoordelijke: betreft een natuur- of rechtspersoon die

persoonsgegevens ter beschikking stelt aan opdrachtnemer voor de uitvoering van haar werkzaamheden. In deze overeenkomst aangeduid als ‘opdrachtgever’.

Verwerker: betreft een rechtspersoon die de persoonsgegevens verwerkt in haar bedrijfsvoering.

Betrokkene: een natuurpersoon waarvan persoonsgegevens worden verwerkt.

Persoonsgegevens: de gegevens die toebehoren aan een natuurlijk persoon

die zelfstandig of in dienst is van een werkgever.

Datalek: inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens.

2. Duur overeenkomst

2.1 Deze verwerkingsovereenkomst treedt in werking bij akkoord door Opdrachtgever voor het verzorgen van de daarin beschreven werkzaamheden.

2.2 Indien de onderliggende overeenkomst eindigt, eindigt deze Verwerksovereenkomst per gelijke datum onverwijld, zonder dat een nadere opzegging is vereist.

2.3 Verplichtingen die naar hun aard bestemd zijn om ook na beëindiging van de verwerkersovereenkomst voort te duren, blijven na het einde van de verwerkersovereenkomst bestaan. Tot voornoemde bepalingen behoren onder andere de bepalingen ten aanzien van geheimhouding, bewaarplichten, meldingen van een (mogelijk) datalek.

3. Verwerken persoonsgegevens

3.1 Opdrachtnemer verplicht zich (i) alle instructies van opdrachtgever in het kader van de verwerking van Persoonsgegevens op te volgen, mits dit wettelijk of conform de richtlijnen in bijlage 1 niet mogelijk is, (ii) gegevens uitsluitend te verstrekken aan derden wanneer dit in lijn ligt van de opdracht die opdrachtgever van opdrachtnemer verwacht, (iii) bij de uitvoering van deze verwerkersovereenkomst en de verwerking van de persoonsgegevens te houden aan alle toepasselijke wet- en regelgeving en gedragscodes ter zake van de bescherming van persoonsgegevens, waaronder in ieder geval mede begrepen de AVG.

3.2 In bijlage 1 wordt opgenomen welke persoonsgegevens opdrachtnemer precies zal verwerken, of deze gegevens met (op basis van de opdracht) met derden gedeeld wordt en voor welke verwerkingsdoeleinden deze worden gebruikt.

3.3 Wanneer opdrachtgever een verzoek krijgt van een Betrokkene die zijn of haar privacy rechten wil uitoefenen, werkt opdrachtnemer daar binnen een termijn van 30 dagen aan mee. Opdrachtgever c.q. Betrokkene maakt hiervoor gebruik van het formulier in bijlage 2, waarin de voorwaarden staan om hier gebruik van te maken. Dit recht kan gebruikt worden om inzage, verbetering, aanvulling, verwijdering of afscherming, bezwaar maken tegen de verwerking van de persoonsgegevens en een verzoek tot overdraagbaarheid van de eigen persoonsgegevens.

3.4 Het is opdrachtnemer toegestaan om voor de verwerking van persoonsgegevens gebruik te maken van sub-verwerkers als dit noodzakelijk is voor de opdracht die opdrachtgever van opdrachtnemer vraagt. Afhankelijk van de dienstverlenging werkt opdrachtnemer met subverwerkers in de vorm van docenten, exameninstituten, registers (bv. CBR) en leveranciers van ICT systemen om de bedrijfsvoering te kunnen uitvoeren. Deze sub-verwerkers staan zoveel mogelijk vermeld in bijlage 1 of worden in de onderliggende overeenkomst opgenomen.

4. Beveiligen van persoonsgegevens

4.1 Opdrachtnemer zal alle passende technische en organisatorische maatregelen treffen om de persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking (hierna, ‘Maatregelen’). Deze maatregelen zullen, rekening houdend met de stand van de techniek en de kosten van de

tenuitvoerlegging, een passend beveiligingsniveau garanderen, gelet op de risico’s die verwerking en de aard van de te beschermen persoonsgegevens met zich meebrengen. Opdrachtnemer garandeert dat zij in ieder geval de technische en organisatorische maatregelen heeft getroffen om verlies of onrechtmatig gebruik tegen te gaan.

5. Datalekken

5.1 In geval van een ontdekking van een mogelijk datalek zal opdrachtnemer opdrachtgever hierover informeren binnen 24 uur. Opdrachtnemer draagt hierbij zorg dat de benodigde gegevens toekomen aan opdrachtgever om, indien nodig, melding te doen bij de toezichthouder. Opdrachtnemer zal opdrachtgever op de hoogte blijven houden van de ontwikkelingen van het datalek en alle informatie rondom het datalek delen met opdrachtgever, zodat opdrachtgever zelf de ernst van het datalek en de gevolgen kan beoordelen.

5.2 Het is opdrachtnemer niet toegestaan zelf een melding van een datalek te doen bij de toezichthouder en ook mag opdrachtnemer de betrokkenen niet informeren over het datalek. Deze verantwoordelijkheid ligt bij opdrachtgever.

5.3 Kosten die gemaakt moeten worden om het datalek op te lossen en in de toekomst te kunnen voorkomen, komen voor rekening van degene die de kosten maakt.

6. Geheimhouding

6.1 Opdrachtnemer zult aan de aan opdrachtnemer verstrekte persoonsgegevens geheim houden, tenzij dit op basis van een wettelijke verplichting en/of in lijn van de opdracht niet mogelijk is.

6.2 Opdrachtnemer zal ervoor zorgen dat haar personeel en/of ingeschakelde hulppersonen zich alle houden aan de geheimhouding die opgenomen is in deze overeenkomst.

7. Bewaartermijnen

7.1 Opdrachtnemer zal persoonsgegevens niet langer bewaren dan noodzakelijk voor de verstrekte opdracht die opdrachtgever aan opdrachtnemer heeft gegeven. Hieronder wordt ook verstaan de verplichting bij opdrachtnemer om aantoonbaar te maken dat betrokkenen heeft deelgenomen aan de opdracht die opdrachtgever heeft verstrekt aan opdrachtnemer.

7.2 Opdrachtgever kan voor betrokkenen het verzoek doen tot verwijdering van zijn/haar persoonsgegevens. Opdrachtgever gebruikt hiervoor het formulier in bijlage 2, met in achtneming van de vermelden voorwaarden.

8. Aansprakelijkheid

8.1 Als opdrachtnemer haar verplichtingen uit deze overeenkomst niet nakomt, kan opdrachtgever opdrachtnemer aansprakelijk stellen voor alle schade die geleden is door het niet nakomen van de wet en de bepalingen uit deze Verwerkingsovereenkomst, voor zover dit is ontstaan door de werkzaamheden door opdrachtnemer.

8.2 Indien opdrachtnemer de verplichtingen in deze verwerkersovereenkomst overtreedt is opdrachtnemer een opgelegde bestuurlijke boete door toezichthouder verschuldigd als de geleden schade het gevolg is van onrechtmatig of nalatig handelen van opdrachtnemer.

8.3 Opdrachtgever is niet aansprakelijk voor aanspraken van betrokkenen of andere personen en organisaties waar opdrachtnemer de samenwerking mee is aangegaan of waarvan opdrachtnemer persoonsgegevens verwerkt, als dit het gevolg is van opdrachtnemer haar onrechtmatig of nalatig handelen.

9. Duur en beëindiging

9.1 Deze verwerkersovereenkomst zal van kracht zijn gedurende de looptijd van de onderliggende overeenkomst en de bewaartermijnen die daarbij worden aangehouden.

9.2 Opdrachtgever kan deze verwerkingsovereenkomst beëindigen, waarbij opdrachtgever verplicht is ook direct de onderliggende overeenkomst te beëindigd. Het beëindigen van de verwerkingsovereenkomst is altijd volledig kosteloos. Voor beëindiging van de onderliggende overeenkomst wordt verwezen naar de daar geldende voorwaarden.

9.3 Opdrachtgever maakt gebruik van het formulier in bijlage 2 voor de beëindiging van deze verwerkersovereenkomst en houdt zich aan de daarin geldende voorwaarden.

10. Slotbepalingen

10.1 Afwijkingen van deze verwerkersovereenkomst zijn slechts geldig wanneer opdrachtnemer dit schriftelijk bevestigd.

10.2 Op deze verwerkersovereenkomst is uitsluitend het Nederlands recht van toepassing.

10.3 Over eventuele geschillen tussen partijen bepaald de rechter in de rechtbank binnen het gebied waar opdrachtnemer haar hoofdkantoor is gevestigd.

Richtlijnen verwerking persoonsgegevens

Het onnodig bewaren van persoonsgegevens wordt zoveel mogelijk voorkomen. Hierbij wordt het principe ‘hebben we het niet nodig, wordt het ook niet bewaard’ gehanteerd. Als opleider ontkom je echter niet aan het verwerken en bewaren van persoonsgegevens. Het is tenslotte onze taak aantoonbaar te maken dat u benodigde cursus heeft gevolgd, aanwezig bent geweest en deze voldoende heeft afgesloten.

Wat wordt er dan allemaal bewaard:

- Volledige naam deelnemer(s)

- Geboortedatum

- Geboorteplaats

- E-mailadres(sen)

- Telefoonnummer

- Contactpersoon

Deze gegevens worden gebruikt voor het verzorgen van trainingen (o.a. uitnodiging, presentielijst en certificaten), het toezenden van onze productinformatie en worden opgenomen in ons register. Indien er geen wettelijke vereisten en/of noodzaak is worden deze gegevens niet aan derden beschikbaar gesteld, zie hiervoor de specifieke verwerking persoonsgegevens.

Deelnemers hebben voor het toezenden van onze productinformatie apart de mogelijkheid om zich per mailing uit te schrijven. Deze uitschrijfmogelijkheid heeft men onderaan elke mailing. De uitschrijving heeft dan alleen betrekking op het toezenden van productinformatie.

Specifieke verwerking persoonsgegevens

Bij enkele cursussen en/of opleidingen is het noodzakelijk meer informatie van deelnemers te verwerken/bewaren dan hierboven beschreven. Bij deze opleidingstrajecten worden examens ingekocht bij externen, dienen deelnemers te worden afgemeld bij een externe instantie en/of hebben wij de wettelijke verplichting extra gegevens te bewaren. Om inzicht te geven hoe de persoonsgegevens verwerkt worden is een overzicht gemaakt per training:

Gewasbescherming

Bij trainingen die gerelateerd zijn aan het onderwerp gewasbescherming (spuitlicentie, knaagdierbestrijding, mollen en woelratten) dienen licentienummers en geboortedatum na het succesvol afronden van een training afgemeld te worden bij Bureau erkenningen. Bureau erkenningen registreert de vakbekwaamheidsbewijzen en nascholing hiervan.

Inkoop examens

Examens die worden afgenomen bij o.a. VCA, Wet natuurbescherming en boomveiligheidscontroleur zijn extern ingekocht. Hierbij worden naam, geboortedatum en geboorteplaats gedeeld met de leverancier van de examens. Bij voldoende resultaat kunnen de gegevens van deelnemer worden opgenomen in een openbaar register, zodat het voor derden te verifiëren is dat een certificering behaald is.

MBO opleiding

Bij het volgen van een mbo-opleiding of gedeelte daarvan worden op basis van wettelijke verplichting BSN, NAW-gegevens, onderwijsverleden, praktijkovereenkomsten, informatie stagebedrijf en afgelegde examens bewaard. Deze gegevens worden gedeeld met de Dienst Uitvoering Onderwijs (DUO) en ter beschikking gesteld aan inspecties die worden uitgevoerd door de inspecteurs van de Inspectie van het Onderwijs.

Code 95

Bij opleidingen die voor de nascholing van vrachtwagenchauffeurs (code 95) moeten meetellen worden de persoonsgegevens gedeeld met het CBR. De gegevens die bij het CBR gemeld worden zijn o.a. BSN, NAW-gegevens en geboortedatum. Het delen van deze gegevens is noodzakelijk om de registratie van de nascholingspunten mogelijk te maken.

Sub-verwerkers

Voor de bedrijfsvoering van Terra trainingen wordt er gebruik gemaakt van een aantal standaard sub-verwerkers. Alle persoonsgegevens staan in ICT-systemen die worden onderhouden en geplaatst zijn bij een externe ICT-bedrijf. Voor de bedrijfsvoering wordt daarnaast gebruik gemaakt van docenten voor het verzorgen van cursussen. Het verwerken van persoonsgegevens op presentielijsten wordt door hen verzorgd. Na het afronden van de opdracht worden deze gegevens naar Terra trainingen verstuurd en worden eventuele kopieën door docent vernietigd. Alle sub-verwerkers dienen minimaal een verwerkersovereenkomst te hebben afgesloten met Terra trainingen om deze gegevens te mogen verwerken. De inhoudelijke borging van deze verwerkersovereenkomst wordt afgesloten door Terra trainingen met de sub-verwerkers met inachtneming van de verwerkersovereenkomst met andere partijen.

Formulier ‘Aanpassing persoonsgegevens’

U heeft als betrokkene en/of opdrachtgever in de regel de mogelijkheid uw eigen persoonsgegevens in te zien, te wijzigen en/of te laten verwijderen. Voor sommige opdrachten kennen wij echter een wettelijke bewaartermijn. Dit kan inhouden dat het niet direct mogelijk is om wijzigingen of verwijdering te realiseren. We hanteren hiervoor de volgende voorwaarden:

• Betrokkene en/of opdrachtgever heeft altijd inzicht in zijn/haar persoonsgegevens, ongeacht de aard van de opdracht;

• Wijziging of verwijdering van persoonsgegevens kan uitsluitend wanneer een wettelijke bewaartermijn is afgerond, indien er geen wettelijke bewaartermijn geldt worden aanpassingen binnen de gestelde termijn gerealiseerd;

• Betrokkene en/of opdrachtgever vrijwaart Terra trainingen bij wijziging en/of verwijdering van haar taak om aantoonbaar te maken dat betrokkene heeft deelgenomen aan een opdracht;

• Wijziging of verwijdering van persoonsgegevens kan uitsluitend wanneer opdrachtgever alle financiële verplichtingen richting Terra trainingen heeft voldaan;

• Dit formulier wordt als bewijs 5 jaar bewaard en bevat alleen de noodzakelijke persoonsgegevens om wijziging en/of verwijdering te bewerkstellen

Formulier inzage, wijziging en verwijdering

Naam betrokkenen:

Bekend onder organisatie:

Wat wilt u doen?

Ik wil mijn persoonsgegevens inzien en weten hoe deze verwerkt zijn

Ik wil mijn persoonsgegevens wijzigen en heb hieronder aangegeven wat veranderd moet worden.

Ik wil mijn persoonsgegevens (laten) verwijderen.

Notities (niet verplicht)