Verwerkersovereenkomst
Verwerkersovereenkomst
Datum: 25 mei 2018
Versie: Verwerkersovereenkomst_mei_2018_1.0
Bopaline ICT ('Bopaline', 'we', 'wij', 'ons' of 'onze'), Xxxxxxxxxxxx xxx Xxxxxxxx 00, 0000 XX xx Xxxxx, is de verwerkingsverantwoordelijke en exploitant van Bopaline ICT.
Bopaline verwerkt onder andere persoonsgegevens voor en in opdracht van de klant omdat de klant een dienst bij Bopaline afneemt. Bopaline en de klant zijn daarom verplicht volgens de Algemene Verordening Gegevensbescherming (AVG) om een Verwerkersovereenkomst te sluiten. Bopaline heeft de verwerkingsovereenkomst opgenomen in de Algemene Voorwaarden. Bopaline ICT is in deze de 'verwerker' en de klant de 'verwerkingsverantwoordelijke'. Bopaline en de klant verplichten zich over en weer om de Algemene Verordening Gegevensbescherming (AVG) na te leven. Voor de definities van begrippen wordt aangesloten bij de AVG. Bopaline zal de persoonsgegevens alleen verwerken voor en in opdracht van de klant.
Instructies verwerking
De verwerking bestaat uit het tijdelijk opslaan, verwerken en herplaatsen van door de klant ingevoerde en gegenereerde data.. Bopaline ICT zal geen gegevens toevoegen, aanpassen of verwijderen zonder dat de klant daar specifieke instructie voor gegeven heeft. Die instructie kan via een verzoek worden gegeven, hoe je hiervoor contact opneemt is terug te vinden in onze Privacyverklaring. De klant is zelf verantwoordelijk voor de beoordeling of het doel en aard van de verwerking past bij de dienstverlening die Bopaline doet.
Geheimhoudingsplicht
We zijn ons bewust dat de informatie die de klant met Xxxxxxxx deelt, een geheim en/of bedrijfsgevoelig karakter kan hebben. Bopaline zal gedurende hun dienstverband en daarna op verantwoorde wijze met de data van de klant omgaan.
Bopaline heeft alleen toegang tot de klantdata, indien wij toestemming daarvoor hebben ontvangen van de klant kan deze gedeeld worden aan derden. De klant is daar zelf verantwoordelijk voor.
Beveiliging
Bopaline ICT neemt blijvend passende technische en organisatorische maatregelen om de data van de klant te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking. Deze maatregelen worden aangemerkt als een passend beveiligingsniveau in de zin van de AVG. De klant is gerechtigd om in overleg met Bopaline tijdens de looptijd van de overeenkomst door een onafhankelijke deskundige de naleving hiervan te controleren. De klant zal alle kosten in verband met deze controle dragen.
Bopaline is aansprakelijk voor schade in het kader van persoonsgegevens door handelen of nalaten van eventuele subverwerkers. De toepasselijke aansprakelijkheidsbeperking geldt niet indien er bij de subverwerker sprake is van grove nalatigheid of opzettelijk wangedrag.
Subverwerkers
Wij verwerken de klantdata in onze eigen dataopslag, hierdoor is er geen sprake van een subverwerker. Het datacenter waar Bopaline gebruik van maakt bevindt zich uitsluitend in eigen beheer. Deze dataopslag is volledig offline om de kans op een potentieel datalek te verminderen.
Bopaline zal geen nieuwe subverwerkers gegevens laten verwerken zonder de klant daarover tijdig te informeren. De klant kan bezwaar maken bij ons tegen de subverwerker. Bopaline zal deze bezwaren in goede aarde afhandelen. Mochten wij toch gegevens willen laten verwerken door de nieuwe subverwerker, heeft de klant de mogelijkheid om de overeenkomst te beëindigen.
Privacyrechten
Bopaline ICT heef geen zeggenschap over de data die door de klant beschikbaar wordt gesteld. Zonder noodzaak, gezien de aard van de door de klant verstrekte opdracht, expliciete toestemming van de klant of wettelijke verplichting zal Bopaline de gegevens niet aan derden verstrekken of voor andere doeleinden verwerken, dan voor de overeengekomen doeleinden. De klant garandeert dat de persoonsgegevens verwerkt mogen worden op basis van een in de AVG genoemde grondslag.
Bopaline zal wel op grond van wet- en regelgeving, alle mogelijke informatie beschikbaar stellen mocht hier om gevraagd worden. Tevens verplicht Bopaline de eventuele nieuwe subverwerkers, zoals hierboven benoemd, eveneens te voldoen aan een dergelijk verzoek van deze toezichthouders.
Meldplicht datalekken
De AVG vereist dat eventuele datalekken gemeld worden aan de Autoriteit Persoonsgegevens door de verwerkingsverantwoordelijke van de data. Wij zullen daarom zelf geen meldingen doen bij de Autoriteit Persoonsgegevens. Uiteraard zal Bopaline de klant juist, tijdig en volledig informeren over relevante incidenten, zodat de klant als verwerkingsverantwoordelijke aan zijn wettelijke verplichtingen kan voldoen. De Beleidsregels meldplicht datalekken van de Autoriteit Persoonsgegevens geven hierover meer informatie.
Indien de klant een (voorlopige) melding verricht bij de Autoriteit Persoonsgegevens over een datalek bij ons, zonder dat de klant dit vooraf heeft besproken met Bopaline ICT, dan is de klant aansprakelijk voor door Bopaline geleden schade en kosten. De klant is daarnaast verplicht een dergelijke melding direct in te trekken.
Melding aan de klant
Voor het bepalen van een datalek, gebruikt Bopaline ICT de AVG en de Beleidsregels meldplicht datalekken als leidraad. Indien blijkt dat er sprake is van een beveiligingsincident of datalek zal Bopaline de klant daarover zo spoedig mogelijk informeren nadat wij bekend zijn geworden met het datalek. Voor de duidelijkheid: als er een datalek is bij een leverancier van Bopaline ICT, dan melden wij dit uiteraard ook. Bopaline is het contactpunt voor de klant. De klant hoeft geen contact op te nemen met onze leveranciers.
Termijn van informeren
De AVG geeft aan dat er ‘onverwijld’ gemeld moet worden. Dit is volgens de Autoriteit Persoonsgegevens zonder onnodige vertraging en zo mogelijk niet later dan 72 uur na ontdekking ervan door de verantwoordelijke. Indien er een beveiligingsincident optreed zal Bopaline de klant zo snel mogelijk, maar uiterlijk binnen 48 uur na het ontdekken door ons ervan, informeren. De klant zal zelf de beoordeling moeten maken of het beveiligingsincident valt onder de term ‘datalek’ en of er melding aan de Autoriteit Persoonsgegevens gedaan zal moeten worden. De klant heeft hiervoor 72 uur, nadat de klant hiervan op de hoogte is gesteld, de tijd.
Gegevens verwijderen
Bopaline ICT zal 30 dagen na afloop van de overeenkomst, alle klant data verwijderen. Mocht de klant eerder de gegevens verwijderd willen hebben, dan kan daarvoor een verzoek worden ingediend. Wij verplichten ons daar gehoor aan te geven. Mocht er behoefte zijn deze bewaarperiode te verlengen, kan dit eenmalig gratis aangevraagd worden, de periode zal dan met 15 dagen verlengd worden.
Mocht de klant besluiten deze gegevens langer bewaard te willen hebben, is dit mogelijk tegen een vergoeding, de prijs hiervan zal bepaald worden door onder andere de dataomvang en urgentie.