Verwerkersovereenkomst AgroVision
Verwerkersovereenkomst AgroVision
AgroVision verwerkt onder andere persoonsgegevens in haar online software voor management en boekhouding voor de agrarische sector, voor en in opdracht van de klant omdat de klant een overeenkomst met AgroVision heeft waarop tevens de Algemene Voorwaarden en het Privacy Statement van toepassing zijn. AgroVision en de klant zijn daarom verplicht, vanaf 25 mei 2018, volgens de Algemene Verordening Gegevensbescherming (AVG) een Verwerkersovereenkomst voor deze online softwareapplicaties te sluiten.
AgroVision is in deze de 'verwerker' en de klant de 'verwerkingsverantwoordelijke'. AgroVision en de klant verplichten zich over en weer om de Algemene Verordening Gegevensbescherming (AVG) na te leven.
Voor de definities van begrippen wordt aangesloten bij de AVG. AgroVision zal de persoonsgegevens alleen verwerken voor en in opdracht van de klant en om uitvoering te geven aan de overeenkomst. De persoonsgegevens worden verder in lijn met de door de klant verstrekte instructies verwerkt, tenzij wettelijke verplichtingen maken dat AgroVision genoodzaakt is op andere wijze te verwerken. Indien dit het geval is, dan zal AgroVision de klant hiervan op de hoogte stellen. De verwerking van de persoonsgegevens en de duur van deze overeenkomst is onlosmakelijk verbonden met de onderliggende overeenkomst tussen AgroVision en de klant.
Verwerking persoonsgegevens
De verwerking van de Persoonsgegevens bestaat uit het beschikbaar stellen van de AgroVision applicaties met de door de klant ingevoerde en gegenereerde data. AgroVision zal geen (persoons)gegevens toevoegen, aanpassen of verwijderen zonder dat de klant daar specifieke instructie voor gegeven heeft, een en ander behouden eventuele wettelijke verplichtingen.
Binnen de applicaties, die AgroVision beschikbaar stelt, zijn verschillende soorten persoonsgegevens van de klant of van de klanten van de klant vast te leggen waarbij de producten van AgroVision in principe niet ingericht zijn op de verwerking van bijzondere persoonsgegevens. In hoofdzaak worden dan ook alleen reguliere persoonsgegevens verwerkt. AgroVision is zich ervan bewust dat de klant al deze, en eventueel nog zelf aan te maken persoonsgegevens of categorieën, kan invoeren en dat AgroVision deze dan zal verwerken. De klant is zelf verantwoordelijk voor de beoordeling of het doel en aard van de verwerking past bij de dienstverlening die AgroVision doet en of het noodzakelijk is deze persoonsgegevens in te voeren. Mocht blijken dat de klant dus danig informatie heeft ingevoerd waarop AgroVision kan worden aangesproken, dan zal de klant Agrovision hiervoor vrijwaren.
AgroVision verzamelt geanonimiseerde gegevens over het gebruik van haar producten en diensten. Deze gegevens ondersteunen AgroVision om inzicht te krijgen of, hoe en hoe vaak bepaalde onderdelen van het product gebruikt worden. De geanonimiseerde gegevens zullen uitsluitend gebruikt worden om producten en dienstverlening te verbeteren. AgroVision zal de verzamelde gebruikersstatistieken nooit gebruiken voor commerciële doeleinden of aanbieden danwel verkopen aan derde partijen.
Indien de klant gehouden is een privacy impact assessment uit te oefenen, zal AgroVision voor zover van haar gevergd kan worden haar medewerking verlenen.
Geheimhoudingsplicht
AgroVision is zich bewust dat de informatie die de klant met AgroVision deelt en opslaat binnen de AgroVision software, een geheim, vertrouwelijk en bedrijfsgevoelig karakter kan hebben. Alle AgroVision medewerkers zullen gedurende hun dienstverband en daarna, zoals in hun arbeidsovereenkomst met geheimhoudingsclausule is opgenomen, op verantwoorde wijze met de informatie van de klant omgaan. Eventueel door AgroVision ingeschakelde derden, waaronder wordt verstaan uitzendkrachten, payrollers en zzp-ers, zullen ook aan een geheimhouding worden onderworpen.
Beveiliging
AgroVision spant zich in om passende technische en organisatorische maatregelen te treffen om de persoonsgegevens van de klant te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking. AgroVision conformeert zich daarvoor aan het ISO 27001 Information Security Management System.
Deze maatregelen worden aangemerkt als een passend beveiligingsniveau in de zin van de AVG en omvatten:
• Beveiligingsrisico’s worden jaarlijks in kaart gebracht door risicoanalyses uit te voeren en aan de hand
hiervan worden acties opgevolgd.
• Enkel bevoegd personeel heeft toegang tot de persoonsgegevens.
• Fysieke locaties zijn afgesloten voor onbevoegden. Voor eigen personeel is het pand toegankelijk met een beveiligingspas of sleutel, welke ook ingenomen worden bij uitdiensttreding.
• Bezoekers krijgen altijd een badge en mogen alleen onder begeleiding het pand in. Er is bewustwording bij medewerkers om actief te vragen wat een bezoeker doet indien deze alleen op een afdeling is.
• De applicatieservers worden altijd geüpdate met de laatste security patches en ook de virusscanners worden automatisch geüpdate.
• Privacygevoelige informatie wordt uitsluitend verstuurd via versleutelde verbindingen (ssl).
• Alle gegevens (dus ook de privacygevoelige gegevens) zijn afgeschermd door middel van logische toegangscontroles, zoals persoonlijke toegangscodes of een trustrelatie tussen applicaties.
• Wachtwoorden worden altijd versleuteld opgeslagen.
• Toegang tot de systemen wordt gelogd en gemonitored.
• Herstelprocedures worden actief getest (2 keer per jaar).
• Bij het ontwerp van onze software wordt op de volgende wijze privacy by design toegepast: bij het ontwerpen van de software wordt eerst gekeken of we data daadwerkelijk nodig hebben en kunnen minimaliseren waarna het verwerkingsproces wordt geanalyseerd om ervoor te zorgen dat de toegang tot de data, het transport van de data en de opslag veilig en gecontroleerd is.
AgroVision kan wijzigingen aanbrengen in de getroffen beveiligingsmaatregelen indien dat naar het oordeel van AgroVision noodzakelijk is om een passend beveiligingsniveau te blijven bieden, waarbij de klant van relevante wijzigingen op de hoogte wordt gesteld.
De klant kan AgroVision verzoeken nadere beveiligingsmaatregelen te treffen. AgroVision is niet verplicht om op een dergelijk verzoek wijzigingen door te voeren in zijn beveiligingsmaatregelen. Indien AgroVision deze wijzigingen wel doorvoert, kunnen de kosten die verband houden met dit verzoek bij de klant in rekening worden gebracht wanneer hierover een overeenkomst wordt gesloten.
Audit
De klant is gerechtigd om in overleg met AgroVision tijdens de looptijd van de overeenkomst door een onafhankelijke deskundige de naleving van deze Verwerkersovereenkomst te controleren, bijvoorbeeld door middel van het uitvoeren van een audit. De klant zal alle kosten in verband met deze controle dragen, tenzij uit de audit blijkt dat AgroVision ernstig tekort is geschoten in de nakoming van deze verwerkersovereenkomst.
Subverwerkers
AgroVision maakt gebruik van de volgende subverwerkers:
• ZitCom - Højvangen 4, 8660 Skanderborg, Denmark (binnen EU)
• Equinix - Xxxx Xxxxxxxxxxx 0, 0000 XX Xxxxxxxx, Xxxxxxxxx (binnen EU)
• UniWeb bvba - ‘s Herenweg 16, 1860 Meise, Belgie (binnen EU)
• UViON bvba - Xxxxxxxxxxxxxxxx 00, X-0000 Xxxxxxxxxx, Xxxxxx (binnen EU)
• Microsoft Nederland – Xxxxx xxx xx Xxxxxxxxxx 000, 0000 XX Xxxxxxxx, Xxxxxxxxx (binnen EU)
De datacenters waar AgroVision gebruik van maakt bevinden zich uitsluitend in de EU en vallen onder EU wet- en regelgeving en voldoen aan de strenge Europese wetgeving met betrekking tot logische en fysieke toegangsbeveiliging en continuïteit. De datacenters zijn minimaal ISO 27001 gecertificeerd. De (persoons)gegevens worden door AgroVision en subverwerker uitsluitend verwerkt binnen de Europese Economische ruimte.
Aansprakelijkheid
Voor de aansprakelijkheid van AgroVision als gevolg van een tekortkoming in de nakoming van de verwerkersovereenkomst door AgroVision geldt de aansprakelijkheidsbeperking uit de Algemene Voorwaarden.
AgroVision is aansprakelijk voor directe schade in het kader van persoonsgegevens door handelen of nalaten van de subverwerker waarbij de aansprakelijkheidsbeperking uit de Algemene Voorwaarden geldt. De toepasselijke aansprakelijkheidsbeperking geldt niet indien er bij de subverwerker sprake is van grove nalatigheid of opzettelijk wangedrag. AgroVision is ook niet aansprakelijk in geval van overmacht (zoals gedefinieerd in de Algemene Voorwaarden) bij haarzelf of aan de kant van de subverwerker.
Privacyrechten
AgroVision heeft geen zeggenschap over de persoonsgegevens die door de klant beschikbaar worden gesteld. Zonder noodzaak, gezien de aard van de door de klant verstrekte opdracht, expliciete toestemming van de klant of wettelijke verplichting zal AgroVision de gegevens niet aan derden verstrekken of voor andere doeleinden verwerken, dan voor de overeengekomen doeleinden. De klant garandeert dat de persoonsgegevens verwerkt mogen worden op basis van een in de AVG genoemde grondslag en vrijwaart AgroVision voor eventuele aanspraken van derden.
AgroVision zal wel persoonsgegevens verstrekken aan derden, indien de verstrekking noodzakelijk is als gevolg van een rechterlijke uitspraak, een wettelijk voorschrift of op basis van een bevoegd gegeven bevel van een overheidsinstantie. Tevens verplicht AgroVision de subverwerkers, zoals hierboven benoemd, eveneens te voldoen aan dergelijk noodzakelijke verstrekkingen. AgroVision zal de klant hiervan op de hoogte stellen.
Betrokkenen
De klant is verantwoordelijk voor de ingevoerde gegevens van de betrokkenen en daarbij voor het informeren en bijstaan van de rechten van de betrokkenen. AgroVision zal nooit op verzoeken van betrokkenen ingaan en altijd verwijzen naar de verantwoordelijke. AgroVision zal, voor zover dat binnen de applicatie mogelijk is, haar medewerking verlenen aan de klant zodat deze kan voldoen aan zijn wettelijke verplichtingen in het geval dat een betrokkene haar rechten uitoefent op grond van de AVG of andere toepasselijke regelgeving betreffende de verwerking van persoonsgegevens.
Meldplicht datalekken
De AVG vereist dat eventuele datalekken gemeld worden aan de Autoriteit Persoonsgegevens door de verwerkingsverantwoordelijke van de data. AgroVision zal daarom zelf geen meldingen doen bij de Autoriteit Persoonsgegevens. Uiteraard zal AgroVision de klant juist, tijdig en volledig informeren over relevante incidenten, zodat de klant als verwerkingsverantwoordelijke aan zijn wettelijke verplichtingen kan voldoen. De Beleidsregels meldplicht datalekken van de Autoriteit Persoonsgegevens geven hierover meer informatie.
Indien de klant een (voorlopige) melding verricht bij de Autoriteit Persoonsgegevens en/of de betrokkene(n) over een datalek bij AgroVision, zonder dat de klant dit vooraf heeft besproken met AgroVision, dan is de klant aansprakelijk voor door AgroVision geleden schade en kosten. De klant is daarnaast verplicht een dergelijke melding direct in te trekken voor zover mogelijk.
Bepaling datalek
Voor het bepalen van een datalek, gebruikt AgroVision de AVG en de Beleidsregels meldplicht datalekken als leidraad.
Melding aan de klant
Indien blijkt dat bij AgroVision sprake is van een beveiligingsincident of datalek zal AgroVision de klant daarover zo spoedig mogelijk informeren nadat AgroVision bekend is geworden met het datalek. Om dit te realiseren zorgt AgroVision ervoor dat al haar medewerkers in staat zijn en blijven om een datalek te constateren en verwacht AgroVision van haar klanten dat zij AgroVision in staat stelt om hier aan te kunnen voldoen. Voor de duidelijkheid: als er een datalek is bij een subverwerker van AgroVision, dan meldt AgroVision dit uiteraard ook. AgroVision is het contactpunt voor de klant. De klant hoeft geen contact op te nemen met de subverwerker van AgroVision.
Informatie verstrekken
AgroVision probeert de klant direct alle informatie te verstrekken die de klant nodig heeft om een eventuele melding bij de Autoriteit Persoonsgegevens en/of de betrokkene(n) te verrichten.
Termijn van informeren
De AVG geeft aan dat er ‘onverwijld’ gemeld moet worden. Dit is volgens de Autoriteit Persoonsgegevens zonder onnodige vertraging en zo mogelijk niet later dan 72 uur na ontdekking ervan door de verantwoordelijke. Indien er een beveiligingsincident optreedt zal AgroVision de klant zo snel mogelijk, maar uiterlijk binnen 48 uur na het ontdekken door AgroVision ervan, informeren. De klant zal zelf de
beoordeling moeten maken of het beveiligingsincident valt onder de term ‘datalek’ en of er melding aan
de Autoriteit Persoonsgegevens gedaan zal moeten worden. Voortgang en maatregelen
AgroVision zal de klant op de hoogte houden over de voortgang en de maatregelen die getroffen worden. AgroVision registreert alle security incidenten en handelt deze volgens een vaste procedure (workflow) af.
Gegevens verwijderen
AgroVision zal na beëindiging van de overeenkomst alle persoonsgegevens, indien u dat wenst, binnen één maand verwijderen zodat deze niet langer kunnen worden gebruikt en niet langer toegankelijk zijn.
Kunnen wij dit document wijzigen?
Ja, onze Verwerkersovereenkomst kan van tijd tot tijd wijzigen. Als er nieuwe gegevensverwerkingen zijn, dan passen wij de overeenkomst daarop aan. Wij zullen u de gewijzigde verwerkersovereenkomst alsdan ook doen toekomen.
Contact
Heeft u vragen over deze Verwerkersovereenkomst?, neemt u dan contact met op met onze contactpersoon gegevensbescherming, hij is telefonisch bereikbaar via 0570 – 664 111 of per e-mail via xxxx@xxxxxxxxxx.xxx.