Data bewerkingsovereenkomst
Data bewerkingsovereenkomst
Deze overeenkomst wordt gesloten tussen HRorganizer en de klant. Onder de Algemene Verordening Gegevensbescherming (AVG) is de klant de licentienemer oftewel de ‘Verantwoordelijke’. HRorganizer is de Licentiegever oftewel de ‘Bewerker’. De Verantwoordelijke stemt automatisch met deze overeenkomst in, wanneer hij Licentienemer is van HRorganizer.
Definities
In deze overeenkomst wordt onder “Verwerkingshandelingen” bedoeld elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens in het kader van de opdracht van Verantwoordelijke aan Bewerker om:
● Een systeem aan te bieden waarin (potentiële nieuwe) werknemers op hun eigen computer of een computer van een derde partij één of meer psychometrische instrumenten, “e-assessments”, 360 feedback vragenlijsten, Talent Scans, waarderingen kunnen invullen en/of verzamelen;
● Verantwoordelijke de door de (potentiële nieuwe) werknemer gemaakte onderdelen kan raadplegen en kan nagaan hoe de (potentiële nieuwe) werknemer heeft gescoord;
● Verantwoordelijke feedback kan geven aan de (potentiële nieuwe) werknemer;
In deze overeenkomst wordt met de “Gegevens” bedoeld persoonsgegevens zoals:
● De naam van de (potentiële nieuwe) werknemer;
● Het geslacht van de (potentiële nieuwe) werknemer;
● Het opleidingsniveau van de (potentiële nieuwe) werknemer;
● De werkervaring van de (potentiële nieuwe) werknemer;
● De management ervaring van de (potentiële nieuwe) werknemer;
● Het e-mailadres van de (potentiële nieuwe) werknemer;
● Het geboortejaar van de (potentiële nieuwe) werknemer; en,
● Het land van herkomst van de (potentiële nieuwe) werknemer.
1
Beperkingen en wijze van het gebruik
Verantwoordelijke is verantwoordelijk voor het op professionele wijze inzetten en beheren van de softwaredienst inclusief alle gegevens over personen en organisatie(s) die in de softwaredienst worden opgenomen.
Persoonsgegevens
Opdracht
Verantwoordelijke geeft opdracht aan Xxxxxxxx om met betrekking tot de Gegevens de verwerkingshandelingen uit te voeren die hierboven omschreven zijn.
Bewerker is niet gerechtigd handelingen met betrekking tot de Gegevens te verrichten waartoe geen opdracht is gegeven door Verantwoordelijke. Bewerker garandeert dat zij de Gegevens nimmer voor eigen (commerciële) doeleinden zal exploiteren, gebruiken of anderszins verwerken, waaronder het verstrekken van Xxxxxxxx aan derden. Bewerker vrijwaart Verantwoordelijke voor alle schade (waaronder vorderingen van derden) en/of kosten van wat voor aard dan ook die direct of indirect voortvloeien uit de niet-nakoming van dit artikel.
Bewerker kan de bedoelde verwerkingshandelingen niet uitbesteden aan derden, anders dan met de voorafgaande schriftelijke goedkeuring van Verantwoordelijke. Verantwoordelijke is zich ervan bewust en stemt ermee in dat Bewerker voor de verwerking van de Gegevens mede gebruik maakt van de hostingdiensten van Capitar IT Group B.V. te Ede. Bewerker zal haar verplichtingen uit hoofde van deze overeenkomst in alle gevallen vervullen in de hoedanigheid van hoofdaannemer, en eventueel door Bewerker ingeschakelde derden (waaronder, maar niet beperkt tot, Capitar IT Group B.V.) zullen opereren als onderaannemer.
Met deze derden dient Xxxxxxxx een overeenkomst te sluiten waarbij aan de subverwerker tenminste dezelfde verplichtingen worden opgelegd als die waaraan Xxxxxxxx uit hoofde van deze verwerkersovereenkomst moet voldoen. Met Capitar IT Group B.V. te Ede is een dergelijke overeenkomst gesloten. Bewerker is en blijft te allen tijde verantwoordelijk en aansprakelijk voor de correcte en volledige uitvoering van de verplichtingen die uit deze overeenkomst voortvloeien, ongeacht of deze verplichting door Bewerker, dan wel door een door Bewerker ingeschakelde derde wordt verricht.
Bewerker stelt Verantwoordelijke via contactgegevens zoals in dit document al vermeld onverwijld, maar uiterlijk binnen één (1) werkdag in kennis indien:
A. een daartoe bevoegde instantie een juridisch bindend verzoek om verstrekking van de Gegevens heeft gedaan, tenzij het Bewerker niet is toegestaan Verantwoordelijke hiervan in kennis te stellen, zoals in het geval van een strafrechtelijk gebod om de vertrouwelijkheid van een rechtshandhaving onderzoek te bewaren; en/of
B. er een inbreuk conform de AVG heeft plaatsgevonden (een “Datalek”) inclusief aard en gevolgen van deze inbreuk inclusief voorgestelde maatregelen.
Bewerker zal ervoor zorgen dat alleen die werknemers en eventuele in te huren derden die nodig zijn om de Gegevens te verwerken toegang zullen hebben tot de Gegevens. Bewerker zal deze werknemers en eventuele in te huren derden adequaat instrueren en ervoor zorgen dat zij bekend zijn met de verantwoordelijkheden en verplichtingen uit hoofde van deze overeenkomst en hiermee vertrouwelijkheid en geheimhouding waarborgen. Indien werknemers en eventuele in te huren derden zich niet houden aan het bepaalde in deze overeenkomst, is Bewerker aansprakelijk voor alle eventueel daaruit voortvloeiende schade.
2
Op verzoek van Verantwoordelijke zal Bewerker Verantwoordelijke steeds onmiddellijk toegang verlenen tot de Gegevens. Ook zal Bewerker binnen één (1) week na verzoek van Verantwoordelijke:
A. een kopie aan Verantwoordelijke verstrekken van alle Gegevens dan wel Gegevens betreffende een bepaalde persoon die in zijn bezit of beheer zijn, alsmede een kopie van alle documenten waarin deze Gegevens zijn opgenomen en een overzicht van alle systemen waarin deze Gegevens zijn opgenomen en alle overige verwerkingen van deze Gegevens die door Bewerker worden uitgevoerd, in zodanig format als Verantwoordelijke redelijkerwijs verzoekt;
B. bepaalde Gegevens verwijderen, blokkeren of corrigeren conform aanwijzingen van Verantwoordelijke; en/of
C. vastleggen dat aan bepaalde verzoeken tot verwijdering, blokkering of correctie geen gevolg wordt gegeven en de redenen hiervan.
Indien Xxxxxxxx zelf verzoeken om inzage van Gegevens ontvangt van betrokkenen, zal Bewerker deze onverwijld aan Verantwoordelijke doorsturen. Uiterlijk binnen één (1) week na ontvangst van het verzoek om inzage van Gegevens zal Bewerker een kopie aan Verantwoordelijke verstrekken van alle Gegevens betreffende deze betrokkene die in zijn bezit of beheer zijn alsmede een kopie van alle documenten en een overzicht van alle systemen waarin deze Gegevens zijn opgenomen en alle overige verwerkingen van deze Gegevens die door Bewerker worden uitgevoerd.
Relevante wet- en regelgeving
Bewerker zal zich bij de uitvoering van deze overeenkomst houden aan de op hem rustende verplichtingen voortvloeiende uit alle relevante wet- en regelgeving, waaronder maar niet beperkt tot de WBP en AVG, en accepteert hierbij alle toekomstige verplichtingen die hieruit zullen voortvloeien. Tevens zal Xxxxxxxx zijn volledige medewerking verlenen aan het voldoen aan alle (toekomstige) wettelijke verplichtingen die op Verantwoordelijke (zullen) rusten.
Onder meer zal Bewerker Verantwoordelijke tijdig en adequaat informeren over een Datalek in het kader van de meldplicht datalekken. Bewerker vrijwaart Verantwoordelijke voor alle schade en/of kosten, waaronder vorderingen van derden, zoals de Autoriteit Persoonsgegevens, die direct of indirect voortvloeien uit de niet-nakoming van dit artikel.
Beveiliging
Bewerker zal afdoende technische en organisatorische maatregelen treffen, zoals bedoeld in artikel 32 AVG en meer in het bijzonder beschreven in het document ‘Veiligheid en betrouwbaarheid’ gepubliceerd op xxx.XXxxxxxxxxx.xxx (voor een altijd actuele weergave), om te waarborgen dat privacywetgeving wordt nageleefd en om de Gegevens te beveiligen tegen een Datalek. Deze maatregelen zullen, rekening houdend met de stand van de techniek en kosten van de ten uitvoerlegging, een passend beveiligingsniveau garanderen, gelet op de risico's die de verwerking en de aard van de te beschermen Gegevens met zich brengen. Daarnaast zal Xxxxxxxx ervoor zorgdragen dat de door of namens haar bij de uitvoering van deze overeenkomst betrokken natuurlijke personen een geheimhoudingsverklaring ondertekend hebben.
Bewerker zal Verantwoordelijke in staat stellen toe te zien op de naleving van bovenstaande, en zal daartoe aan Verantwoordelijke zo nodig toegang verlenen tot haar gebouwen en computerinrichtingen en haar alle verder in dat verband gevraagde medewerking verschaffen. Hieronder wordt mede verstaan het ad hoc (doch aangekondigd) uitvoeren van security scans op via internet direct zichtbare systemen van Bewerker.
3
Indien de uitgevoerde controle zoals hierboven omschreven, daartoe aanleiding geeft of daartoe anderszins een (redelijke) aanleiding bestaat, is de Verantwoordelijke gerechtigd Bewerker te verzoeken tot aanpassing van de stand van de techniek van de getroffen technische en organisatorische beveiligingsmaatregelen en Bewerker zal hiertoe alle medewerking verlenen.
Verwerking buiten de EU
Tenzij schriftelijk uitdrukkelijk anders is overeengekomen, zal de verwerking van de Gegevens door Bewerker in het kader van deze overeenkomst uitsluitend binnen een lidstaat van de Europese Unie plaatsvinden.
Indien zich ten aanzien van een partij één van de volgende gevallen voordoet, eindigt deze overeenkomst met onmiddellijke ingang en van rechtswege zonder dat daartoe een ingebrekestelling is vereist en zonder dat partijen elkaar enige schadevergoeding zijn verschuldigd:
A. de (onderneming van die) partij is opgehouden te bestaan of is ontbonden;
B. de partij is in staat van faillissement verklaard of aan de partij is, al dan niet voorlopig, surseance van betaling verleend;
C. de partij heeft surseance van betaling aangevraagd dan wel aan die partij wordt surseance van betaling verleend; en/of
D. de partij wordt onder bewind gesteld.
Gevolgen beëindiging
Indien de licentieovereenkomst eindigt, zal Bewerker uit eigen beweging onverwijld, maar uiterlijk binnen één (1) maand, alle Gegevens die betrekking hebben op Verantwoordelijke vernietigen en Verantwoordelijke hierover schriftelijk informeren. Verantwoordelijke kan deze vernietiging desgewenst controleren.
Toepasselijk recht / bevoegde rechter
Deze overeenkomst is uitsluitend onderworpen aan Nederlands recht. Toepasselijkheid van het Weens Koopverdrag is uitdrukkelijk uitgesloten.
Alle geschillen die in verband met deze overeenkomst ontstaan, geschillen over het bestaan en de geldigheid daarvan daaronder begrepen, zullen worden beslecht door de bevoegde rechter in Arnhem.
Varia
Deze overeenkomst is niet overdraagbaar door een partij, behoudens met voorafgaande schriftelijke toestemming van de andere partij.
Deze overeenkomst kan alleen schriftelijk worden gewijzigd of aangevuld.
Daar waar in deze overeenkomst begrippen worden gehanteerd die in de AVG gedefinieerd zijn, geldt voor wat de uitleg van deze begrippen betreft de definiëring van de AVG.
4