Verwerkersove reenkomst
Verwerkersove reenkomst
Geldig vanaf 01-01-2024.
Holm Security Benelux B.V., handelend met KvK nummer 74312936, hierna te noemen: “Holm Security” en de in het Contract Holm Security VMP aangegeven partij (“Klant”) hierna gezamenlijk ook aan te duiden als: “Partijen”,
Nemen het volgende in overweging
X. Xxxx Security voert in opdracht van Klant werkzaamheden uit met betrekking tot kwetsbaarheidsanalyses voor netwerken en websites en voert risico analyses uit voor social engineering. In dit verband sluiten Holm Security en Klant het Contract Holm Security VMP, waarop de Algemene Voorwaarden voor de services van Holm Security van toepassing zijn.
B. Om de overeengekomen diensten uit te voeren, verwerkt Xxxx Security persoonsgegevens namens Klant. Klant bepaalt het doel en de middelen van de gegevensverwerking en is aan te merken als verwerkingsverantwoordelijke als bedoeld in het Toepasselijke Recht. Holm Security verwerkt persoonsgegevens uitsluitend namens en in opdracht van Klant, en is aan te merken als verwerker als bedoeld in het Toepasselijke Recht.
C. In deze Verwerkersovereenkomst leggen Partijen hun afspraken vast over het verwerken van persoonsgegevens door Partijen conform het Toepasselijke Recht.
Komen overeen als volgt:
Artikel 1. Definities
In deze Verwerkersovereenkomst worden dezelfde definities gehanteerd als in het Toepasselijke Recht,
meer in het bijzonder de Algemene Verordening Gegevensbescherming (AVG), aangevuld met de definities zoals beschreven in het Contract Holm Security VMP en de Algemene Voorwaarden voor de services van Holm Security en de definities in dit Artikel 1.
1.1. Annex: Aanhangsel bij deze Verwerkersovereenkomst, dat hiervan deel uitmaakt.
1.2. Datalek: Inbreuk in verband met persoonsgegevens als bedoeld in het Toepasselijk Recht.
1.3. Toepasselijk Recht: De toepasselijke wet- en regelgeving met betrekking tot de verwerking van persoonsgegevens waaronder in ieder geval begrepen de Algemene Verordening Gegevensbescherming (AVG).
1.4. Verwerkersovereenkomst: de onderhavige overeenkomst, inclusief overwegingen en Annexen, alsmede wijzigingen hierop, updates en latere versies daarvan.
Artikel 2. Onderwerp van deze Verwerkersovereenkomst
2.1. Deze Verwerkersovereenkomst bevat de afspraken tussen Partijen over de verwerking van persoonsgegevens in het kader van de uitvoering van het Contract.
2.2. Klant bepaalt het doel en de middelen van de gegevensverwerking en is aan te merken als verwerkingsverantwoordelijke in de zin van het Toepasselijke Recht. Holm Security verwerkt persoonsgegevens uitsluitend namens Klant en kwalificeert als verwerker in de zin van het Toepasselijke Recht.
Artikel 3. Uitvoering van de verwerking
3.1. Ter uitvoering van de Diensten verwerkt Xxxx Security de persoonsgegevens op de volgende wijze:
3.1.1. Webapplicatiescanning: de webapplicatiescanner detecteert blootgestelde persoonlijke gegevens.
Indien gevonden, worden de gegevens gepresenteerd in het Security Center en dienovereenkomstig opgeslagen op ons platform.
3.1.2. Fraud Risk Assessment: Om de service te gebruiken, importeert de klant personeelsnamen en e-mailadressen in het Security Center. De namen en e- mailadressen worden gebruikt voor het verzenden van gesimuleerde e- mailaanvallen.
3.2. Klant verwerkt persoonsgegevens in overeenstemming met het Toepasselijke Recht en garandeert dat de inhoud en het gebruik van en de opdracht tot de verwerkingen als bedoeld in deze Verwerkersovereenkomst niet onrechtmatig zijn en geen inbreuk maken op rechten van derden.
3.3. Holm Security volgt de instructies op van Klant. Wanneer Xxxx Security meent dat een instructie inbreuk maakt op het Toepasselijke Recht, stelt Holm Security Klant daarover zonder onredelijke vertraging in kennis.
3.4. Holm Security zal de persoonsgegevens niet ten eigen nutte, ten nutte van derden of voor andere doeleinden verwerken, behoudens op hem rustende afwijkende wettelijke verplichtingen waarover Holm Security de Klant vooraf inlicht, voor zover dat haar is toegestaan.
3.5. Holm Security zal Klant voor zover noodzakelijk en op kosten van Klant bijstand verlenen bij het doen nakomen van de op Klant rustende verplichtingen onder het Toepasselijke Recht, in het bijzonder de verplichtingen ten aanzien van beveiliging, melden van Datalekken, het uitvoeren van een gegevensbeschermingseffectbeoordeling (DPIA), alsmede het laten uitvoeren van een voorafgaande raadpleging door de bevoegde overheidsinstantie(s).
Artikel 4. Toegang, vertrouwelijkheid en geheimhouding
4.1. Holm Security waarborgt de vertrouwelijkheid en betrouwbaarheid van de persoonsgegevens en openbaart de persoonsgegevens niet aan derden behoudens voor zover in deze Verwerkersovereenkomst anders is bepaald, of voor zover dit noodzakelijk is om te voldoen aan een wettelijke verplichting.
4.2. Medewerkers en andere hulppersonen van Xxxx Security hebben toegang tot de persoonsgegevens voor zover dit noodzakelijk is om de Diensten uit te voeren. Holm Security zorgt ervoor dat de medewerkers en andere hulppersonen die toegang hebben tot de persoonsgegevens hetzelfde niveau van vertrouwelijkheid en beveiliging handhaven als waartoe zij zelf verplicht is.
Artikel 5. Sub-verwerkers
5.1. Sub-verwerkers worden vermeld in bijlage 1.
5.2. Holm Security (beoogde) wijzigingen met betrekking tot het inschakelen van sub- verwerkers tijdig aan Klant kenbaar maken. Xxxxx heeft de mogelijkheid om schriftelijk tegen deze wijzigingen bezwaar te maken, binnen 7 dagen na kennisgeving hiervan. Wanneer het honoreren van de bezwaren van Klant van invloed zijn op de continuïteit of de kwaliteit van de Diensten treden Partijen in overleg.
5.3. Holm Security zorgt ervoor dat de sub- verwerkers die zij inschakelt zich houden aan dezelfde verplichtingen als waaraan zij uit hoofde van deze Verwerkersovereenkomst zelf gebonden is.
Artikel 6. Betrouwbaarheid en beveiliging
6.1. Holm Security neemt beveiligingsmaatregelen om de persoonsgegevens van Klant te
beschermen tegen onrechtmatige verwerking, rekening houdend met de eisen die Klant stelt aan betrouwbaarheid, beschikbaarheid en integriteit. Deze maatregelen bieden een beschermingsniveau in overeenstemming met het Toepasselijke Recht en rekening houdend met de stand van de techniek, de uitvoeringskosten en aard, omvang, context en doeleinden van de verwerking, alsmede de risico’s die de verwerking met zich mee kan brengen, meer in het bijzonder ten aanzien van de rechten en vrijheden van betrokkenen.
6.2. Partijen erkennen dat beveiligingsmaatregelen aan verandering onderhevig zijn. Holm Security spant zich ervoor in om de beveiligingsmaatregelen regelmatig te evalueren en voor zo ver nodig tijdig aan te passen.
6.3. Op verzoek van Xxxxx verstrekt Xxxx Security een overzicht van door haar genomen beveiligingsmaatregelen, alsmede een rapport van de door haar uitgevoerde evaluaties en een overzicht van de aanpassingen.
Artikel 7. Datalekken
7.1. Wanneer zich een Datalek voordoet of heeft voorgedaan, meldt Xxxx Security dit zonder onredelijke vertraging na ontdekking aan de door Klant in Contract Holm Security VMP opgegeven contactpersonen alsmede de bij Xxxx Security bekende contactpersonen.
7.2. Holm Security zal alle redelijkerwijs benodigde maatregelen nemen om (verdere) onbevoegde kennisneming, wijziging en verstrekking dan wel anderszins onrechtmatige verwerking te voorkomen of te beperken en beveiligingslekken en/of Datalekken in de toekomst zoveel mogelijk te voorkomen.
7.3. Bij de in artikel 7.1 bedoelde melding zal Holm Security alle haar bekende relevante informatie verstrekken omtrent de datum, aard en omvang van het incident, de
(mogelijk) getroffen persoonsgegevens, de naam en de contactgegevens van de contactpersoon waar meer informatie kan worden verkregen, de (vermeende) oorzaken en waarschijnlijke gevolgen van het incident en de maatregelen die getroffen zijn of zullen worden getroffen om het incident op te lossen dan wel de gevolgen zoveel mogelijk te beperken.
7.4. Holm Security zal op kosten van Klant alle redelijke medewerking verlenen bij een eventueel onderzoek dat door Klant wordt ingesteld naar aanleiding van een Datalek en/of bij het formuleren van een correcte respons en bij het nemen van passende vervolgstappen ten aanzien van het Datalek, waaronder begrepen het informeren van de Autoriteit Persoonsgegevens en/of de betrokkene(n).
Artikel 8. Verzoeken van betrokkenen
8.1. Voor zover redelijk zal Holm Security Klant assisteren om te voldoen aan de verzoeken van betrokkenen om inzage, correctie, verwijdering of doorgifte aan een derde, of het afhandelen van een klacht van een betrokkene. De kosten die verband houden met deze assistentie zijn voor rekening van Xxxxx.
Artikel 9. Audit
9.1. Holm Security stelt op verzoek van Klant de informatie beschikbaar die nodig is om aan te kunnen tonen Holm Security aan haar verplichtingen uit hoofde van deze Verwerkersovereenkomst heeft voldaan.
9.2. Klant kan de verwerkingsactiviteiten en de bewerkingsfaciliteiten van Holm Security maximaal een maal per jaar op eigen kosten (laten) onderwerpen aan een audit, met inachtneming van een voorafgaande kennisgevingsperiode van vier weken. De audit wordt uitgevoerd door een onafhankelijke, gerenommeerde auditor en heeft primair tot doel om de technische en organisatorische beveiligingsmaatregelen te onderzoeken
en de naleving met deze Verwerkersovereenkomst en het Toepasselijke Recht aan te tonen.
Artikel 10. Doorgifte buiten de EER
10.1. Holm Security geeft in beginsel geen persoonsgegevens door naar landen buiten de Europese Economische Ruimte (EER). Wanneer doorgifte noodzakelijk zou blijken zorgen Partijen ervoor dat dit alleen plaatsvindt wanneer en voor zover er een passend beschermingsniveau wordt gegarandeerd.
Artikel 11. Vrijwaring en Aansprakelijkheid
11.1. Klant garandeert dat zij volledig gerechtigd en bevoegd is om de persoonsgegevens die zij aan Xxxx Security verstrekt te verwerken en door te geven in overeenstemming met deze Verwerkersovereenkomst. Indien en voor zover wettelijk toegestaan vrijwaart Klant Holm Security volledig voor alle aanspraken van derden die op enige wijze verband houden met het niet of niet volledig naleven van deze garantie, en voor alle daarmee verband houdende schade en kosten, waaronder de volledige advocaatkosten.
11.2. Holm Security is niet verantwoordelijk noch aansprakelijk voor enige verwerkingen van persoonsgegevens die buiten het bereik van deze Verwerkersovereenkomst vallen, waaronder de verzameling van persoonsgegevens door Klant, verwerkingen voor doeleinden die niet door Klant aan Xxxx Security zijn vermeld en/of verwerkingen door derden.
11.3. Indien en voor zover wettelijk toegestaan vrijwaart Klant Holm Security volledig voor alle aanspraken van derden (waaronder van betrokkenen) in verband met de uitvoering van deze Verwerkersovereenkomst, en voor alle daarmee verband houdende schade en kosten, tenzij Klant aantoont dat deze aanspraken een gevolg zijn van een
toerekenbare tekortkoming van Holm Security in de nakoming van haar verplichtingen uit deze Verwerkersovereenkomst of van niet- naleving van voorschriften die specifiek gericht zijn tot Holm Security bij of krachtens de AVG.
Artikel 12. Duur en beëindiging
12.1. Deze Verwerkersovereenkomst treedt in werking zodra Holm Security namens Klant persoonsgegevens verwerkt ten behoeve van de uitvoering van het Contract. Deze Verwerkersovereenkomst eindigt van rechtswege wanneer het Contract eindigt en Holm Security niet langer persoonsgegevens verwerkt namens Klant.
12.2. Verplichtingen welke naar hun aard bestemd zijn om ook na beëindiging van de Verwerkersovereenkomst voort te duren, blijven na beëindiging van de Verwerkersovereenkomst gelden. Tot deze verplichtingen behoren onder meer die welke voortvloeien uit bepalingen betreffende vrijwaring en aansprakelijkheid.
12.3. Wanneer de Verwerkersovereenkomst eindigt zal Xxxx Security zich inspannen om, conform het verzoek van Klant tegen redelijke kosten (i) persoonsgegevens door te geven aan een vervangende dienstverlener, (ii) persoonsgegevens binnen redelijke termijn te vernietigen en/of (iii) persoonsgegevens terug te geven aan Klant. Holm Security houdt een back-up systeem bij waardoor het mogelijk is dat persoonsgegevens nog een jaar na het einde van het Contract bij Holm Security aanwezig zijn. Klant kan Holm Security verzoeken om (ook) deze persoonsgegevens binnen een kortere termijn te vernietigen.
Artikel 13. Slotbepalingen
13.1. Deze Verwerkersovereenkomst prevaleert ten aanzien van eerder gemaakte afspraken ten aanzien van het verwerken
van persoonsgegevens en aanzien van het Contract Holm Security VMP, de Algemene Voorwaarden voor de services van Holm Security en de SLA (Service Level Agreement) voor de services van Holm Security.
13.2. In geval van nietigheid c.q. vernietigbaarheid van een of meer bepalingen (of gedeelten daarvan) uit deze Verwerkersovereenkomst, blijven de
overige bepalingen (of gedeelten daarvan) onverkort van kracht
Bijlage 1: Sub-verwerkers
De volgende organisaties zijn Sub-verwerkers die door Holm Security worden gebruikt.
Organisatie: | Organisatie nummer: | Land: | Doel: | Doorgifte van persoonlijke gegevens buiten de EU/ESS: | Opmerking: |
Cleura AB | 556630- 7806 | Zweden | Hosting van Cloud platform van waaruit het product wordt geleverd. | Nee. | Volledig Zweedse organisatie. |