Algemeen
Algemeen
Uw organisatie (hierna ‘Klant’) en DIRECT Teleservice (hierna ‘Leverancier’) maken samenwerkingsafspraken die volgen uit de aanmelding via de klanten portal van DIRECT Klantcontact (hierna ‘Samenwerkingsafspraken’), op grond waarvan Leverancier diensten levert aan Klant;
Deze samenwerkingsafspraken behelzen de te leveren diensten onder meer het verwerken door Leverancier van de in Bijlage 1 gespecificeerde persoonsgegevens (“Persoonsgegevens”) waar Klant over beschikt
Leverancier is bereid Persoonsgegevens te verwerken binnen de doelen als bepaald door Klant en Leverancier en verklaart daarbij al haar wettelijke plichten omtrent beveiliging en de bescherming van persoonsgegevens te zullen nakomen
Partijen wensen de overeengekomen rechten en plichten in de onderhavige verwerkersovereenkomst (hierna: "Verwerkersovereenkomst") als volgt vast te leggen en nader uit te werken;
Als volgt komen we overeen:
1. Definities
1.1. Partijen: DIRECT Teleservice BV m.h.o.d.n. DIRECT Klantcontact en uw organisatie.
1.2. Autoriteit Persoonsgegevens: de toezichthoudende autoriteit.
1.3. Bestand: elk gestructureerd geheel van persoonsgegevens.
1.4. Betrokkene: degene(n) op wie de persoonsgegeven(s) betrekking heeft/ hebben.
1.5. Bijlagen: aanhangsels bij deze Verwerkersovereenkomst, die na door beide Partijen te zijn geparafeerd, deel uitmaken van deze Verwerkersovereenkomst.
1.6. Datalek: een inbreuk op de beveiliging van persoonsgegevens die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens.
1.7. Derde: ieder, niet zijnde de Betrokkene, de Verantwoordelijke, de Verwerker, of enig persoon die onder rechtstreeks gezag van de Verantwoordelijke of de Verwerker gemachtigd is om persoonsgegevens te verwerken.
1.8. Samenwerkingsafspraken: de samenwerkingsafspraken tussen Partijen die volgen uit de aanmelding via de klantenportal van DIRECT Klantcontact welke aan deze Verwerkersovereenkomst ten grondslag ligt en waarmee deze Verwerkersovereenkomst een geheel vormt.
1.9. Functionaris: de functionaris voor de gegevensbescherming.
1.10. Meldplicht: de verplichting een Datalek bij de Autoriteit Persoonsgegevens te melden omdat het Datalek tot ernstige nadelige gevolgen voor de bescherming van persoonsgegevens leidt dan wel een aanzienlijke kans bestaat dat dit gebeurt. Deze wettelijke Meldplicht moet onderscheiden worden van de verplichting van de Leverancier elk Datalek op grond van de contractuele verplichting aan de Klant te melden.
1.11. Normen en standaarden: de door de Verantwoordelijke vastgestelde normen en standaards ter zake van (beveiligings-) methoden, technieken, procedures, projecten,
productiekenmerken en documentatievoorschriften welke bij de uitvoering van de werkzaamheden door de Verwerker zullen worden gevolgd als vastgelegd in Bijlage 2.
1.12. Ontvanger: degene aan wie de persoonsgegevens worden verstrekt door Verwerker conform de Samenwerkingsafspraken.
1.13. Verantwoordelijke: de natuurlijke persoon, rechtspersoon of ieder ander die of het bestuursorgaan dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt, welke in deze Verwerkersovereenkomst gelijk is aan Klant.
1.14. Verwerker: degene die ten behoeve van de Verantwoordelijke Persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen, welke in deze Verwerkersovereenkomst gelijk is aan Leverancier en welke uitsluitend in opdracht van de Verantwoordelijke Persoonsgegevens mag verwerken.
1.15. Verwerking van Persoonsgegevens: elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bewerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, evenals het afschermen, uitwissen of vernietigen van gegevens.
2. Duur
2.1. Deze Verwerkersovereenkomst gaat in op het moment van aanmelding via de klantenportal en wordt aangegaan voor de duur van samenwerking en looptijd van het abonnement in ieder geval tot en met de laatste dag van het abonnement in geval van beëindiging, post- contractuele verplichtingen voorbehouden.
3. Doeleinden verwerking
3.1. Leverancier zal Persoonsgegevens uitsluitend verwerken onder schriftelijke instructies van Klant en conform de bepalingen in deze Verwerkersovereenkomst, een en ander beperkt tot het kader van de diensten als geleverd in de Dienstenovereenkomst, behoudens afwijkende wettelijke verplichtingen.
3.2. Leverancier zal Persoonsgegevens niet voor enig ander doel verwerken dan vastgesteld in deze Verwerkersovereenkomst. Leverancier mag de Persoonsgegevens dan ook uitdrukkelijk niet gebruiken voor eigen (commerciële) doeleinden of (commerciële) doeleinden van Derden.
4. Rol Verwerker
4.1. Leverancier is verplicht tot geheimhouding ten aanzien van de verwerking van Persoonsgegevens die Leverancier in opdracht van Klant, behoudens enig wettelijk voorschrift op grond waarvan Leverancier tot mededeling verplicht is en/of uit zijn taak de noodzaak tot mededeling voortvloeit. Deze geheimhoudingsplicht houdt ten minste de nakoming in van de geheimhoudingsverplichtingen uit de Samenwerkingsafspraken. Indien Leverancier zich genoodzaakt ziet een mededeling te doen ten aanzien van de verwerking van Persoonsgegevens licht Leverancier Klant van deze mededeling onmiddellijk, en indien mogelijk vooraf, schriftelijk in.
4.2. Indien Leverancier op grond van een wettelijke verplichting Persoonsgegevens dient te verstrekken, zal Leverancier de grondslag van het verzoek en de identiteit van de
verzoeker verifiëren en zal de Leverancier Klant -indien mogelijk- onmiddellijk, voorafgaand aan de verstrekking, ter zake informeren. Tenzij wettelijke bepalingen dit verbieden.
4.3. Ten aanzien van de in artikel 3 van deze Verwerkersovereenkomst genoemde Verwerkingen draagt Leverancier zorg voor de naleving van de toepasselijke wet- en regelgeving, waaronder in ieder geval, doch niet uitsluitend, de AVG.
4.4. Leverancier zal Klant, op diens eerste verzoek daartoe, informeren over de door Leverancier genomen technische- en organisatorische maatregelen aangaande haar verplichtingen onder deze Verwerkersovereenkomst, alsmede over iedere verandering die daarin wordt aangebracht.
4.5. Leverancier stelt de Klant te allen tijde in staat om binnen de wettelijke termijnen te voldoen aan de verplichtingen op grond van de AVG. Hierbij moet in het bijzonder worden gedacht aan de rechten van betrokkenen, zoals een verzoek om inzage, verbetering, aanvulling, verwijdering of afscherming van persoonsgegevens en het uitvoeren van een gehonoreerd verzet. Leverancier stelt daartoe een specifiek contactpersoon aan die bereikbaar is via onderstaande contactgegevens:
De xxxx X. xx Xxxxx, xxxxxxxxxxxx@xxxxxxxxxxxxxxxxxx.xx, 026-3736600
4.6. Alle verplichtingen voor Leverancier die volgen uit deze Verwerkersovereenkomst gelden gelijk voor eenieder die persoonsgegevens verwerkt onder het gezag van de Leverancier. Hieronder vallen haar werknemers en ieder die werkzaam is ten behoeve van de Leverancier. Leverancier laat daartoe allen die onder haar gezag dan wel ten behoeve van haar werkzaam zijn een geheimhoudingsverklaring tekenen.
4.7. Leverancier zal er voorts voor zorgdragen dat enkel geautoriseerde werknemers toegang hebben tot de Persoonsgegevens.
5. Beveiligingsmaatregelen
5.1. Leverancier draagt steeds zorg voor passende technische en organisatorische maatregelen om de Persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking (of te wel tegen een Datalek). Leverancier draagt er zorg voor dat deze maatregelen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau garanderen gelet op de risico's die de verwerking en de aard van te beschermen gegevens met zich meebrengen.
5.2. Een samenvatting van de door Leverancier te nemen beveiligingsmaatregelen wordt nader beschreven in Bijlage 2 bij deze Verwerkersovereenkomst.
5.3. Klant is te allen tijde gerechtigd de verwerking van persoonsgegevens te doen controleren. Leverancier is verplicht de Klant of controlerende instantie in opdracht van Klant toe te laten en verplicht medewerking te verlenen zodat de controle daadwerkelijk uitgevoerd kan worden. Klant mag jaarlijks een audit (laten) uitvoeren na een voorafgaande afstemming met Leverancier.
5.4. De met de audit gemoeide kosten zijn voor rekening van Xxxxx, tenzij uit de controle blijkt dat Leverancier tekortgeschoten is in de nakoming van zijn verplichting(en) uit deze
Verwerkersovereenkomst en/of de Dienstenovereenkomst, in welk geval de kosten voor rekening van Leverancier zijn.
5.5. Leverancier verbindt zich om de Klant, of de door de Klant ingeschakelde Derde, te voorzien van de verlangde informatie ten behoeve van de Klant. Hierdoor kan de Klant, of de door de Klant ingeschakelde Derde, zich een oordeel vormen over de naleving door Leverancier van deze Verwerkersovereenkomst. Leverancier biedt Klant, of de door Klant ingeschakelde Derde alle binnen zijn beschikking gelegen mogelijkheden en volledige medewerking die daartoe nodig is, inclusief die van Derden, om de audit uit te voeren. Klant, of de door Klant ingeschakelde Derde, is gehouden alle informatie betreffende deze controles vertrouwelijk te behandelen.
5.6. Leverancier bespreekt, de door Klant of ingeschakelde Derde, aangegeven aanbevelingen ter verbetering met de Klant en voert deze zo nodig uit.
5.7. De Leverancier rapporteert jaarlijks over de opzet en werking van het stelsel van maatregelen en procedures, gericht op naleving van deze Verwerkersovereenkomst.
6. Melding Datalek
6.1. Leverancier stelt Klant onverwijld, waarbij gestreefd wordt naar een inlichting binnen 24 uur, in kennis van een inbreuk op de beveiliging zoals uiteengezet in artikel 5.
6.2. Met betrekking tot iedere inbreuk zoals bedoeld onder 6.1 draagt Leverancier er zorg voor dat Leverancier alle medewerking aan Klant verleent die redelijkerwijs van Leverancier kan worden verwacht, inclusief het verschaffen van voldoende informatie en ondersteuning met betrekking tot deze datalekken:
a) om de inbreuk te herstellen en te onderzoeken en toekomstige inbreuken te voorkomen;
b) om de impact van de inbreuk op de privacy van de betrokkene(n) te beperken; en/of
c) om de schade van Klant als gevolg van de inbreuk te beperken.
6.3. Het is Leverancier niet toegestaan om een melding van het Datalek bij de Toezichthouder te doen of om de Betrokkene te informeren over het Datalek.
Inschakelen Derden
6.4. Leverancier besteedt de verwerking van de Persoonsgegevens onder deze Verwerkersovereenkomst niet uit zonder algemene schriftelijke toestemming van Klant. In het geval van deze toestemming licht Leverancier Klant in over de beoogde veranderingen waartegen Klant bezwaar kan maken.
6.5. Wanneer Xxxxxxxxxxx met toestemming van Klant zijn verplichtingen onder deze Verwerkersovereenkomst uitbesteedt, dient Leverancier een schriftelijke verwerkingsovereenkomst aan te gaan waarin aan de subverwerker dezelfde voorwaarden worden opgelegd als aan Leverancier in deze Verwerkersovereenkomst.
6.6. Klant geeft toestemming voor de inzet van de subverwerker(s) zoals opgenomen in
Bijlage 1.
6.7. Indien de subverwerker zijn verplichtingen jegens Leverancier niet nakomt, is Leverancier jegens Klant volledig verantwoordelijk voor de nakoming van de verplichtingen van de subverwerker onder een dergelijke subverwerkersovereenkomst.
6.8. Leverancier houdt een lijst bij van de subverwerkers die zijn overeengekomen onder deze Verwerkersovereenkomst en waarvan de Klant in kennis is gesteld, welke lijst minimaal eenmaal per jaar wordt bijgewerkt. Deze lijst zal beschikbaar worden gehouden ten behoeve van de Klant en indien in voorkomend geval de Toezichthouder.
7. Doorgifte
7.1. Tenzij Partijen uitdrukkelijk schriftelijk anders overeenkomen worden de Persoonsgegevens uitsluitend verwerkt binnen de Europese Economische Ruimte (EER).
8. Intellectuele Eigendomsrechten
8.1. Alle intellectuele eigendomsrechten – daaronder mede begrepen auteurs- en databankrechten – op de (verzameling van) Persoonsgegevens, originelen, kopieën of bewerkingen daarvan berusten te allen tijde bij Klant.
9. Overdracht van rechten
9.1. Leverancier is niet gerechtigd om rechten of verplichtingen voortvloeiend uit deze Verwerkersovereenkomst zonder voorafgaande schriftelijke toestemming van Klant over te dragen aan een Derde.
10. Bewaartermijnen, teruggave en vernietiging Persoonsgegevens
10.1. Leverancier bewaart Persoonsgegevens niet langer dan strikt noodzakelijk en maximaal 3 maanden.
10.2. Leverancier zal te allen tijde, op eerste verzoek van Xxxxx, onmiddellijk alle van de Klant afkomstige Persoonsgegevens in het kader van deze Verwerkersovereenkomst ter hand stellen, op een wijze waarop deze door Klant leesbaar en op deugdelijke wijze converteerbaar zijn.
10.3. Partijen komen overeen dat alle Persoonsgegevens en kopieën direct na verwerking worden teruggegeven aan de Klant. Leverancier zorgt ervoor dat de betreffende Bestanden door Klant leesbaar en converteerbaar zijn, of dat alle Persoonsgegevens aantoonbaar en op zorgvuldige en veilige wijze worden vernietigd. Dit naar keuze van de Klant. Het is Leverancier niet toegestaan een kopie en/of referentie van de Persoonsgegevens te behouden ongeacht in welke vorm. Dit alles geldt niet als de wet teruggave of vernietiging verbiedt. In dat geval garandeert Leverancier geheimhouding van de verwerkte Persoonsgegevens en zal Leverancier de Persoonsgegevens niet langer actief verwerken.
11. Aansprakelijkheid
11.1. Ten aanzien van aansprakelijkheid anders dan in deze Verwerkingsovereenkomst genoemd ten aanzien van het inschakelen van Derden, gelden de Samenwerkingsafspraken.
12. Heronderhandeling en wijzigingen
12.1. Partijen zullen deze Verwerkersovereenkomst te goeder trouw heronderhandelen als een wijziging in de verwerkte Persoonsgegevens of in de betrouwbaarheidseisen en/of wettelijke veranderingen daar aanleiding toe geeft.
12.2. Afwijkingen van deze Verwerkersovereenkomst zijn slechts bindend voor zover zij uitdrukkelijk tussen Partijen schriftelijk zijn overeengekomen.
13. Rangorde
13.1. Op deze Verwerkersovereenkomst zijn de Samenwerkingsafspraken van toepassing voor zover daarvan in deze Verwerkersovereenkomst niet wordt afgeweken. Indien er sprake is van strijdigheid tussen de bepalingen van deze Verwerkersovereenkomst en de Samenwerkingsafspraken, dan prevaleert het bepaalde in deze Verwerkersovereenkomst.
14. Toepasselijk recht
14.1. Op deze Verwerkersovereenkomst is Nederlands recht van toepassing.
14.2. Alle uit deze Verwerkersovereenkomst of daaruit voortvloeiende overeenkomsten voortvloeiende of daarmee verband houdende geschillen, zullen worden voorgelegd aan de bevoegde rechter te Arnhem.
Bijlage 1: Gespecificeerde lijst van Persoonsgegevens per verwerking
Beschrijving verwerkingsactiviteit door Leverancier | Verwerken door Leverancier van afgesproken persoonsgegevens |
Verwerkte Persoonsgegevens | Naam, telefoonnummer, e-mailadres |
Verwerkingsdoelen | Beantwoorden van vragen van klant van verwerkingsverantwoordelijke, noteren van de contactgegevens van de klant zodat verwerkingsverantwoordelijke haar klant indien nodig kan benaderen om vraagstuk te behandelen c.q. op te lossen. Verwerker handelt uitsluitend op verzoek van verwerkingsverantwoordelijke. |
Subverwerkers | Teleknowledge- callcenter software Pragmatix – klantenportal Google Drive – tbv te raadplegen data op klantinstructie zoals dienstroosters storingen, achterwacht bij calamiteiten |
Locatie verwerkingen | Jansbuitensingel 7, Arnhem 0000 XX |
Bewaartermijn | Gedurende de looptijd van de Samenwerkingsafspraken worden persoonsgegevens 3 maanden bewaard. |
N.b. De verwerkte Persoonsgegevens, Verwerkingsdoelen en Bewaartermijn kunnen op uw verzoek aangepast worden. Hiervoor neemt u contact op met de functionaris voor de gegevensbescherming (De xxxx X. xx Xxxxx, xxxxxxxxxxxx@xxxxxxxxxxxxxxxxxx.xx, 026-3736600).
Bijlage 2: Technische en organisatorische maatregelen
Technische maatregelen
Logging
Alles binnen het netwerk van DIRECT Klantcontact op de Active Directory servers wordt gelogd. Ieder moment dat een medewerker inlogt of uitlogt wordt bijgehouden in de logboeken van deze servers. Ook worden mislukte inlog pogingen gelogd. Daarnaast wordt bijgehouden welke bestanden er op het netwerk geopend worden die zich binnen het netwerk bevinden.
Met de softwareleveranciers zijn verwerkersovereenkomsten vastgelegd waarin de verwerkingen en afspraken zijn beschreven en de verantwoordelijkheden zijn afgebakend.
Firewalls
Bij DIRECT Klantcontact wordt gebruik gemaakt van twee soorten firewalls. Eén fysieke hardware matige firewall wordt gebruikt om het in en uitgaande internetverkeer te controleren. Al het uitgaande verkeer wordt geblokkeerd, tenzij het nodig is voor een apparaat om op een bepaalde poort naar buiten te gaan zoals bijv. het alarmsysteem of bepaalde poorten die voor klant software nodig zijn. Verschillende policys zijn ingeregeld om het netwerk dicht te zetten voor ongewenste toegang.
De tweede firewall is de softwarematige firewall op alle werkplekken binnen het netwerk. Hierbij wordt gebruik gemaakt van de standaard firewall die in Windows zit. Daarnaast wordt gebruik gemaakt van de McAfee protection firewall om ervoor te zorgen dat er geen misbruik gemaakt kan worden van Windows.
Virusscanners/malware-aanvallen
DIRECT Klantcontact maakt gebruik van een Virus pakket geleverd door McAfee. Op een van de applicatie servers draait een beheeromgeving. Vanuit deze omgeving worden alle werkstations gecontroleerd op ongewenste software. Als ongewenste software op een werkstation gevonden is zal McAfee deze eerst zelf opruimen. Indien dit niet lukt krijgt ICT een melding om de ongewenste software te verwijderen en de problemen te verhelpen.
Back-ups en continuïteit
Van alle servers binnen DIRECT Klantcontact wordt elke dag een back-up gemaakt. Deze back-ups worden incrementeel gemaakt. Eén keer in de twee maanden worden de back-ups gecontroleerd. Daarnaast wordt elke week een melding gemaakt of de back-ups zijn gelukt. Ook wordt er van de Active Directory server een back-up naar de cloud gemaakt. Van deze back-up wordt elke dag een bericht gegeven of deze wel of niet is gelukt. Indien deze niet is gelukt wordt dit meteen hersteld.
Bij een netstoring bij de netbeheerder en in geval van fysieke stroomuitval draait DIRECT Klantcontact door middels de noodaggregaat waardoor het primaire proces door kan gaan.
Jaarlijks wordt door een externe systeembeheerder een volledige toetsing gedaan op de ICT systemen in de primaire en secundaire bedrijfsprocessen met als doel de continuïteit van de ICT omgeving te toetsen en te borgen. Op basis van de jaarlijkse evaluatie wordt hard- en software herzien en bepaald welke aanschaf of ontwikkeling benodigd is om processen te optimaliseren dan wel te borgen.
Organisatorische maatregelen
Binnen DIRECT Klantcontact zijn maatregelen genomen zodat uitsluitend de personen die de gegevens nodig hebben voor het uitoefenen van hun werkzaamheden, toegang hebben. Zo kunnen medewerkers alleen de data binnen Google Drive openen indien zij dit nodig hebben voor de uitvoering van hun eigen taken en werkzaamheden.
Alle medewerkers tekenen voor geheimhouding bij het aangaan van de arbeidsovereenkomst:
“De werknemer is tot geheimhouding verplicht zowel tijdens als na afloop van het dienstverband, van alle bijzonderheden betreffende de werkgever en aan zijn gelieerde (rechts)personen/ ondernemingen, diens klanten of opdrachtgevers, alsook met betrekking tot alle overige gegevens van vertrouwelijke aard of anderszins bedrijfsgeheimen die de werknemer uit hoofde van zijn arbeidsovereenkomst of anderszins bekend zijn geworden. Overtreding van dit artikel zal voor de werkgever een dringende reden vormen voor ontslag op staande voet als bedoeld in artikel 7:678i BW. Dit laat onverlet de verplichting van werknemer om in een dergelijke situatie de volledige schade te vergoeden”.
De servers zijn afgesloten van toegang in een aparte server ruimte waar alleen de Directie en de ICT medewerkers bij kunnen.
Medewerkers hebben een eigen, unieke elektronische sleutel om het pand in te betreden en te verlaten. Elke in- en uittrede van de medewerkers wordt gelogd.
Elke medewerker heeft een eigen login voor de toegang tot de systemen met een eigen wachtwoord dat regelmatig gewijzigd moet worden en aan beveiligingsvereisten moet voldoen. Wanneer een medewerker uit dienst gaat, wordt direct na de laatste werkdag het persoonlijk account geblokkeerd en wordt de elektronische sleutel geblokkeerd en ingenomen.
In geval van datalekken zal DIRECT Klantcontact volledig conform afgesloten verwerkersovereenkomst zoals voorgeschreven in de AVG/ GDPR en zoals opgesteld door opdrachtgever, handelen.