REFERENTIE: ******-DPA
2021
Communicativ B.V. Xxxxxxxxxxxxxxxx 00
0000 XX Xxxxxx
xxx.xxxxxxxxxxxx.xx T x00 (0)00 000 0000
REFERENTIE: ******-DPA
Inhoud
2 Omschrijving van de dienstverlening 5
2.1.1 Toepasbaarheid document 5
2.1.3 Bepalingen subverwerkersovereenkomst 5
2.2 Doeleinden van de verwerking 6
2.2.1 Uitvoeren overeenkomst 6
2.3 Verplichtingen Communicativ 8
2.4 Doorgifte van persoonsgegevens 8
2.5 Verdeling van verantwoordelijkheid 8
2.6 Inschakelen van derden of onderaannemers 9
2.9 Afhandeling van verzoek van betrokkene 11
2.10 Geheimhouding en vertrouwelijkheid 11
Dit document is bestemd voor alle Communicativ klanten, dienstverleners en ICT-leveranciers.
Datum | aangepast door | Omschrijving | Versie |
26-09-2021 | Xxxx xx Xxxxx | Tweede versie | 2.0 |
04-11-2021 | Xxxx xx Xxxxx | Revisie (layout en adreswijziging) | 2.1 |
Copyright: niets uit deze uitgave mag worden verveelvoudigd, opgeslagen in een geautomatiseerd gegevensbestand of openbaar gemaakt worden in enige vorm of op enige wijze, hetzij elektronisch, mechanisch of door fotokopieën, opname, of op enige andere manier, zonder voorafgaande schrif- telijke toestemming van Communicativ. Hoewel dit document met zeer veel zorg is samengesteld, aanvaardt Communicativ geen enkele aansprakelijkheid voor schade ontstaan door eventuele fou- ten en/of onvolkomenheden in dit document.
Dit document beschrijft de bepalingen en richtlijnen welke Communicativ hanteert bij haar activiteiten inzake de Algemene Verordening Gegevensbescherming (AVG). Dit document fungeert hiermee als ‘verwerkersovereenkomst’ zoals bedoeld in artikel 28 van de Algemene Verordening Gegevensbescherming.
Deze overeenkomst wordt gesloten tussen de volgende partijen:
1) Communicativ, leverancier van de DirectRoute365 oplossing en bijhorende ondersteunende diensten, gevestigd te Almere aan de Transistorstraat 24
, ten deze rechtsgeldig vertegenwoordigd door de xxxx X. Xxxxxxxx, in de
functie van algemeen directeur, hierna te noemen: ‘Communicativ’
En
2) klantnaam , gevestigd te plaats, aan het adres, postcode ten deze rechts- geldig vertegenwoordigd door NAAM, in de functie van , hierna
te noemen: ‘Client’
gezamenlijk te noemen: Partijen, verklaren te zijn overeengekomen als volgt:
In dit document wordt o.a. verwezen naar de volgende begrippen:
De Overeenkomst: | een overeenkomst tussen Communicativ en Client in- zake de levering van diensten door Communicativ aan Client |
De Dienst: | de door Communicativ geleverde diensten zoals om- schreven in de Overeenkomst |
Persoonsgegevens: | alle informatie over een geïdentificeerde of identifi- ceerbare natuurlijke persoon. |
AVG: | Algemene Verordening Gegevensbescherming, wetge- ving inzake het verwerken van persoonsgegevens |
Verwerking: | bewerken van persoonsgegevens zoals het verzame- len, vastleggen, ordenen, structureren, opslaan, bij- werken of wijzigen, opvragen, raadplegen, gebruiken, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of ver- nietigen van gegevens. |
Verwerkingsverant- woordelijke: | de partij die bepaalt voor welk doel gegevens voor worden verzameld, welke gegevens worden verzameld en de manier waarop deze worden verzameld. |
Verwerker: | de partij die de persoonsgegevens verwerkt voor de uitvoering van de Dienst ten behoeve van Client |
Subverwerker: | de partij die in namens de bewerker (een deel) van de persoonsgegevens verwerkt. |
Betrokkenen: | de personen van wie persoonsgegevens verzameld worden |
2 Omschrijving van de dienstverlening
Indien Communicativ bij de uitvoering van de Overeenkomst ten behoeve van Client Persoonsgegevens verwerkt, zijn in aanvulling op de Algemene Voorwaar- den de onderstaande voorwaarden van toepassing.
De begrippen die in dit document worden gedefinieerd in de Algemene Verorde- ning Gegevensbescherming (hierna: “AVG”) hebben de betekenis die daaraan in de AVG is toegekend. Dit document kwalificeert als een verwerkersovereenkomst als bedoeld in artikel 28 AVG.
De toepasselijkheid van verwerkersovereenkomsten van Client wordt uitdrukke- lijk van de hand gewezen.
Communicativ biedt Client de mogelijkheid om de Dienst af te nemen, waarbij Communicativ bij de uitvoering van de Dienst voor en ten behoeve van Client Persoonsgegevens kan verwerken. Bij deze verwerking van Persoonsgegevens kan Client worden aangemerkt als Verwerkingsverantwoordelijke, of indien Client de Persoonsgegevens ten behoeve van een derde partij verwerkt als Verwerker. Communicativ vervult (afhankelijk van de hoedanigheid waarin de Client Per- soonsgegevens verwerkt) de rol van Verwerker of subverwerker.
2.1.3 Bepalingen subverwerkersovereenkomst
Wanneer Client optreedt als verwerker en Communicativ de rol van subverwerker vervult, wordt het volgende overeengekomen:
a) Client levert aan haar Verwerkingsverantwoordelijke producten en/of dien- sten waarvoor met deze verwerkingsverantwoordelijke een (raam-/presta- tie/-dienstverlening) onderliggende hoofdovereenkomst is aangegaan waar- bij in het kader van de producten en/of diensten die worden geleverd per- soonsgegevens van de betrokkene(n) worden verwerkt;
b) Client is in relatie tot deze verwerkingsverantwoordelijke verwerker in de zin van de AVG en heeft daartoe met deze verwerkingsverantwoordelijke een verwerkersovereenkomst afgesloten, welke verwerkersovereenkomst inclusief bijlage(n) is aangehecht als bijlage bij deze subverwerkersover- eenkomst;
c) Client wenst in het kader van de uitvoering van de onderliggende hoofd- overeenkomst met Verwerkingsverantwoordelijke gebruik te maken van de diensten van Communicativ;
d) Client is gehouden om de rechten en verplichtingen uit de verwerkersover- eenkomst met de Verwerkingsverantwoordelijke, voor zover van toepas- sing, door te zetten aan alle subverwerkers;
e) Client geeft Communicativ opdracht en instructie om de persoonsgegevens van de betrokkene(n) te verwerken voor zover dat voortvloeit uit de dien- sten en voor zover dat aansluit bij en voldoet aan de eisen zoals uitgewerkt in de Verwerkersovereenkomst;
f) Partijen verklaren middels deze overeenkomst de bepalingen van de ver- werkersovereenkomst tussen Client en haar Verwerkingsverantwoordelijke, van toepassing op verwerkingen van persoonsgegevens die subverwerker in opdracht van verwerker verricht, voor zover relevant en tenzij anders in deze overeenkomst is bepaald.
2.2 Doeleinden van de verwerking
Communicativ verbindt zich ertoe om onder de voorwaarden uit de Overeen- komst in opdracht van Client Persoonsgegevens te verwerken. De verwerking zal uitsluitend plaatsvinden in het kader van het uitvoeren van de Overeenkomst en ook voor de duur daarvan, plus die doeleinden die daarmee redelijkerwijs sa- menhangen of die met nadere instemming worden bepaald.
Communicativ zal de Persoonsgegevens niet voor enig ander doel verwerken dan zoals door Client is vastgesteld. Client zal Communicativ op de hoogte stellen van de verwerkingsdoeleinden voor zover deze niet al in dit document zijn ge- noemd.
Communicativ heeft geen zeggenschap over het doel en de middelen voor de verwerking van Persoonsgegevens. Communicativ neemt geen zelfstandige be- slissingen over de ontvangst en het gebruik van de Persoonsgegevens, de ver- strekking aan derden en de duur van de opslag van Persoonsgegevens.
Voor het uitvoeren van technische consultancy diensten werken Communicativ medewerkers altijd in de Microsoft-365 tenant van Client of eindgebruiker. Voor het uitvoeren van deze werkzaamheden worden door Communicativ geen per- soonsgegevens verzameld en gedupliceerd.
Voor het uitvoeren van de DirectRoute365 Teams telefoniedienst en ondersteu- nende diensten verzamelt Communicativ persoonsgegevens. Deze worden ge- bruikt om de dienst te activeren (aanmaken gebruiker accounts) en om service- tickets te registreren.
Persoonsgegevens welke worden verzameld:
- de naam van de gebruiker
- het e-mailadres
- het SIP-adres
- het zakelijke telefoonnummer
- probleemomschrijving (bij servicetickets)
De verzamelde gegevens betreffen alleen die van de medewerker waarvoor het desbetreffende serviceticket wordt aangemaakt. Communicativ gebruikt of slaat geen gevoelige persoonlijke gegevens op, zoals raciale of etnische afkomst, poli- tieke opvattingen, biometrische gegevens, genetische gegevens of gezondheid gerelateerde gegevens.
De verzamelde gegevens worden tijdens de contractperiode bewaard om onze consultancy diensten en de DR365 met bijhorende Servicedesk dienstverlening mogelijk te maken. Alle voor de uitvoering van deze overeenkomst verzamelde gegevens van Client worden permanent verwijderd volgens voorwaarden zoals van toepassing bij beëindiging van de overeenkomst.
Voor de levering van de DR365 dienst conformeert Communicativ zich aan de be- waarplicht van de geldende Telecomwetgeving in het land waar de dienst gele- verd wordt (Zweden).
Voor het uitvoeren van de Dienst wordt door Communicativ gebruik gemaakt van de volgende subverwerkers:
1) Microsoft
2) Infracom
3) Teamleader
De verzamelde Persoonsgegevens hebben betrekking op de in deze paragraaf
bepaalde categorieën Betrokkenen. De Betrokkenen betreffen:
• personen die gebruik maken van de Dienst;
• bezoekers van website of portal;
• personen die e-mail ontvangen van of verzenden aan Client;
• personen die opgenomen worden door Client in haar e-mailadressenboek binnen de door Communicativ beschikbaar gestelde omgevingen;
• personen die Persoonsgegevens in een contactformulier invullen;
• personen die Persoonsgegevens ter verwerking ter beschikking stellen aan Client;
• en andere mogelijke categorieën Betrokkenen wiens Persoonsgegevens middels de Dienst worden verwerkt.
2.3 Verplichtingen Communicativ
1) Ten aanzien van de in paragraaf 2.2 van dit document genoemde verwer- kingen zal Communicativ zorgdragen voor de naleving van de voorwaar- den die, op grond van de AVG, worden gesteld aan het verwerken van Per- soonsgegevens door Communicativ vanuit diens rol.
2) Communicativ zal Persoonsgegevens en andere gegevens verwerken die door of namens de Client aan Communicativ zullen worden aangeleverd en op basis van schriftelijke instructies van Client.
3) Communicativ zal Client, op diens verzoek daartoe en binnen een redelijke termijn, informeren over de door hem genomen maatregelen over zijn verplichtingen onder dit document.
4) De verplichtingen van Communicativ die uit dit document voortvloeien, gelden ook voor degenen die Persoonsgegevens verwerken onder het ge- zag van Communicativ.
5) Communicativ zal Client in kennis stellen als naar zijn mening een instruc- tie van Client in strijd is met relevante privacywet- en regelgeving.
6) Communicativ zal Client, op diens verzoek daartoe, de noodzakelijke me- dewerking verlenen bij het nakomen van diens plichten in overeenstem- ming met de AVG, waaronder mede doch niet uitsluitend diens beveili- gingsplicht, de meldplicht datalekken, het uitvoeren van een gegevensbe- schermingseffectbeoordeling en een voorafgaande raadpleging bij de toe- zichthouder bij een verwerking met een hoog risico. De door Communica- tiv redelijkerwijs gemaakte of te maken kosten in verband met de voor- noemde medewerking zullen door Client worden vergoed.
2.4 Doorgifte van persoonsgegevens
1) Communicativ verwerkt Persoonsgegevens in landen binnen de Europese Unie, met inachtneming van de daarvoor geldende wet- en regelgeving.
2) Communicativ zal Client, op diens verzoek daartoe, melden om welk land of welke landen het gaat.
2.5 Verdeling van verantwoordelijkheid
1) Partijen zullen zorgdragen voor de naleving van toepasselijke privacywet- en regelgeving. De toegestane Verwerkingen zullen door Communicativ worden uitgevoerd binnen een (semi-)geautomatiseerde omgeving.
2) Communicativ is louter verantwoordelijk voor de Verwerking van de Per- soonsgegevens onder dit document, overeenkomstig de instructies van Client en onder de uitdrukkelijke (eind)verantwoordelijkheid van Client.
3) Voor alle overige Verwerkingen van Persoonsgegevens, waaronder in ieder geval begrepen maar niet beperkt tot de verzameling van de Persoonsge- gevens door Client, Verwerkingen voor doeleinden die niet door Client aan Communicativ zijn gemeld, Verwerkingen door derden en/of voor andere doeleinden, is Communicativ niet verantwoordelijk. De verantwoordelijk- heid voor deze Verwerkingen rust uitsluitend bij Client. Client staat te allen tijde in voor de rechtmatigheid van deze verwerkingen en dat zijn sys- temen en infrastructuur te allen tijde adequaat beveiligd zijn.
4) Het is aan Client om te beoordelen of Communicativ afdoende garanties biedt met betrekking tot het toepassen van passende technische en orga- nisatorische maatregelen opdat de Verwerking aan de vereisten van de Al- gemene Verordening Gegevensbescherming en/of enige andere toepasse- lijke wet- en regelgeving voldoet en de bescherming van de rechten van Betrokkenen voldoende zijn gewaarborgd.
5) Client staat te allen tijde ervoor in dat de inhoud, het gebruik en de op- dracht tot Verwerkingen van Persoonsgegevens, zoals bedoeld in dit docu- ment, niet onrechtmatig is en geen inbreuk maakt op enig recht van der- den.
6) Client staat te allen tijde ervoor in dat er bij het gebruik van de Diensten geen bijzondere Persoonsgegevens, Burgerservicenummers dan wel gege- vens betreffende strafrechtelijke veroordelingen of strafbare feiten worden verwerkt, met uitzondering van andersluidende schriftelijke afspraken.
7) Onverminderd de overige rechten van Communicativ, vrijwaart Client Communicativ van eventuele schade, aanspraken van derden en door toe- zichthouders opgelegde boetes, indien Client in strijd handelt met dit do- cument en/of de Algemene Verordening Gegevensbescherming en/of enige andere toepasselijke wet- en regelgeving.
2.6 Inschakelen van derden of onderaannemers
1) Client verleent Communicativ hierbij een algemene toestemming om bij de Verwerking derden (subverwerkers) in te schakelen. Op verzoek van Client zal Communicativ Client zo spoedig mogelijk informeren over de door haar ingeschakelde subverwerkers.
2) Communicativ heeft het recht om veranderingen over de toevoeging of vervanging van subverwerkers door te voeren. Communicativ zal Client in- lichten over de beoogde veranderingen inzake de toevoeging of vervan- ging van subverwerkers, waarbij Client de mogelijkheid wordt geboden te- gen deze veranderingen bezwaar te maken. Dit bezwaar dient schriftelijk, binnen twee weken en door argumenten ondersteund, te worden inge- diend. Indien Client geen bezwaar maakt binnen de genoemde termijn van twee weken, dan wordt Client geacht ermee in te stemmen.
3) Indien Client binnen de termijn als bedoeld in het vorige artikellid bezwaar maakt, dan zullen beide partijen zich inspannen om in goed overleg tot een redelijke oplossing te komen. Als partijen geen overeenstemming kun- nen bereiken over het voornemen van Communicativ, dan is Communica- tiv gerechtigd om de betreffende nieuwe subverwerker in te schakelen en
is Client gerechtigd om de Overeenkomst op te zeggen tegen de datum waarop de nieuwe subverwerker ingeschakeld wordt.
4) Communicativ zorgt er onvoorwaardelijk voor dat deze derden schriftelijk dezelfde plichten op zich nemen als tussen Client en Communicativ zijn overeengekomen. Communicativ staat in voor een correcte naleving van deze plichten door deze derden.
1) Communicativ zal zich inspannen passende technische en organisatorische maatregelen te nemen met betrekking tot de te verrichten Verwerkingen van Persoonsgegevens, vooral als gevolg van de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of ongeoorloofde toe- gang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens.
2) Communicativ treft de technische en organisatorische beveiligingsmaatre- gelen zoals die voortvloeien uit het interne Informatiebeveiligingsbeleid.
3) Communicativ kan wijzigingen aanbrengen in de getroffen beveiligings- maatregelen als dat naar haar oordeel noodzakelijk is om een passend be- veiligingsniveau te blijven bieden.
4) Communicativ staat er niet voor in dat de beveiliging onder alle omstan- digheden doeltreffend is. Communicativ zal zich inspannen om de beveili- ging te laten voldoen aan een niveau dat, gelet op de stand van de tech- niek, de uitvoeringskosten van de beveiligingsmaatregelen, de aard, om- vang en de context van de Verwerkingen, de doeleinden en het beoogd gebruik van de Dienst, de verwerkingsrisico’s en de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van Betrokke- nen die zij gezien het beoogd gebruik van de Dienst mocht verwachten, niet onredelijk is.
5) De omschreven beveiligingsmaatregelen bieden, naar het oordeel van de Client, rekening houdend met de in lid 3 van dit artikel genoemde factoren een op het risico van de Verwerking van de door hem gebruikte of ver- strekte Persoonsgegevens afgestemd beveiligingsniveau.
6) Client stelt enkel Persoonsgegevens ter Verwerking aan Communicativ ter beschikking, indien Client zich ervan heeft verzekerd dat de vereiste be- veiligingsmaatregelen zijn getroffen. Client is verantwoordelijk voor de na- leving van de door Partijen afgesproken maatregelen.
1) In het geval van een beveiligingslek en/of een data lek (waaronder wordt verstaan: een inbreuk op de beveiliging die per ongeluk of op onrechtma- tige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoor- loofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens) zal Communicativ binnen 24 uur, informeren naar aanleiding waarvan Client beoordeelt of zij de toezichthoudende autoriteiten en/of Betrokkenen zal informeren of niet.
2) Als de wet- en/of regelgeving dit vereist zal Communicativ meewerken aan het informeren van de ter zake relevante autoriteiten en eventueel Betrok- kenen. Client is verantwoordelijk voor het melden naar de relevante auto- riteiten.
3) De meldplicht behelst voor Communicativ in ieder geval het melden aan Client van het feit dat er een lek is geweest, en ook:
o wat de (vermeende) oorzaak is van het lek;
o wat het (vooralsnog bekende en/of te verwachten) gevolg is;
o wat de (voorgestelde) oplossing is;
o wat de reeds ondernomen maatregelen zijn;
o wat de contactgegevens voor de opvolging van de melding zijn;
o wie geïnformeerd is (zoals Xxxxxxxxxx zelf, Client, toezichthouder).
2.9 Afhandeling van verzoek van betrokkene
In het geval dat een Betrokkene een verzoek over zijn Persoonsgegevens richt aan Communicativ, zal Communicativ het verzoek doorsturen aan Client en de Betrokkene hiervan op de hoogte stellen. Client zal het verzoek vervolgens ver- der zelfstandig afhandelen.
Als blijkt dat de Client hulp nodig heeft van Communicativ voor de uitvoering van een verzoek van een Betrokkene, zal Communicativ hieraan meewerken en kan Communicativ hiervoor kosten in rekening brengen.
2.10 Geheimhouding en vertrouwelijkheid
1) Op alle Persoonsgegevens die Communicativ vanwege dit document voor Client verwerkt, rust een geheimhoudingsplicht van Communicativ jegens derden. Communicativ zal deze informatie niet voor een ander doel ge- bruiken dan waarvoor hij deze heeft verkregen, tenzij deze in een zoda- nige vorm is gebracht dat deze niet tot Betrokkenen herleidbaar is.
2) Deze geheimhoudingsplicht is niet van toepassing:
o voor zover Client uitdrukkelijke toestemming heeft gegeven om de
informatie aan derden te verschaffen; of
o indien het verstrekken van de informatie aan derden logischerwijs noodzakelijk is voor de uitvoering van de Overeenkomst of dit docu- ment; of
o indien er een wettelijke verplichting en/of een rechterlijk bevel be- staat om de informatie aan een derde te verstrekken; of
o ten aanzien van derden waaraan – met inachtneming van het be- paalde in paragraaf 2.6 – Persoonsgegevens in hun hoedanigheid als subverwerker worden verstrekt.
1) Client heeft het recht om audits uit te laten voeren door een onafhanke- lijke ICT-deskundige die aan geheimhouding is gebonden ter controle van naleving van alle punten uit dit document.
2) Deze audit vindt uitsluitend plaatst nadat Client de bij Communicativ aan- wezige soortgelijke auditrapportages heeft opgevraagd, beoordeeld en re- delijke argumenten aanbrengt die een door Client geïnitieerde audit alsnog rechtvaardigen. Een dergelijke audit wordt gerechtvaardigd wanneer de bij Communicativ aanwezige soortgelijke auditrapportages geen of onvol- doende uitsluitsel geven over het naleven van dit document door Commu- nicativ. De door Client geïnitieerde audit vindt twee weken na vooraf- gaande aankondiging door Client, eens per jaar plaats.
3) Communicativ zal aan de audit meewerken en alle voor de audit redelij- kerwijs relevante informatie, inclusief ondersteunende gegevens zoals sys- teemlogs, en medewerkers zo tijdig mogelijk en binnen een redelijke ter- mijn, waarbij een termijn van maximaal twee weken redelijk is tenzij een spoedeisend belang zich hiertegen verzet, ter beschikking stellen.
4) De bevindingen naar aanleiding van de uitgevoerde audit zullen door Par- tijen in onderling overleg worden beoordeeld en, naar aanleiding daarvan, al dan niet worden doorgevoerd door één van de Partijen of door beide Partijen gezamenlijk.
5) De kosten voor de audit worden door de Client gedragen, inclusief de kos- ten voor de in te huren ICT-deskundige.
Aldus overeengekomen en in tweevoud getekend op…………….