De ondergetekenden:

De ondergetekenden:

De “Opdrachtgever”, zoals genoemd onder “De ondergetekenden” in de Overeenkomst van

Arbodienstverlening, hierna te noemen: “Verwerkingsverantwoordelijke”,

en

De besloten vennootschap xxxxxxxx.xx B.V., zoals genoemd onder “De ondergetekenden” in de

Overeenkomst van Arbodienstverlening, hierna te noemen “Verwerker”, Hierna gezamenlijk te noemen: “Partijen”,

Komen het volgende overeen:

Artikel 1. Inleiding

Verwerker stelt, conform artikel 8 van de Overeenkomst Arbodienstverlening, aan Verwerkingsverantwoordelijke het Online Verzuimregistratiesysteem Visma Verzuim VZS ter beschikking, zoals genoemd in artikel 7 van de Overeenkomst Arbodienstverlening. Deze Verwerkersovereenkomst geeft invulling aan de verplichtingen van Partijen om een schriftelijke Verwerkersovereenkomst af te sluiten conform artikel 28 lid 3 AVG.

Verwerker verricht slechts enkele handelingen in het Online Verzuimregistratiesysteem Visma Verzuim VZS, zoals het inrichten van het systeem voor Verwerkingsverantwoordelijke alsmede het ter beschikking stellen van de contact- en inloggegevens voor het verzuimregistratiesysteem aan de verwerkingsverantwoordelijke. De subverwerker, Visma Verzuim B.V., zal het systeem als subverwerker leveren.

Beide Partijen bevestigen dat de ondergetekenden gevolmachtigd zijn om deze Verwerkersovereenkomst (“Verwerkersovereenkomst”) namens Partijen aan te gaan. Deze Verwerkersovereenkomst is van toepassing op Verwerkingen (zoals hieronder gedefinieerd) van Persoonsgegevens (zoals hieronder gedefinieerd) door Verwerker (zoals hieronder gedefinieerd) onder de volgende dienstverleningsovereenkomst (“dienstverleningsovereenkomst”) tussen de Partijen: de Overeenkomst Arbodienstverlening.

Artikel 2. Definities

De definities Verwerkingsverantwoordelijke, Betrokkene, Persoonsgegevens, Inbreuk in verband met Persoonsgegevens (‘Datalek’), Verwerking, Verwerker en Gevoelige Gegevens1 (Bijzondere Persoonsgegevenscategorieën) in deze Verwerkersovereenkomst hebben dezelfde betekenis zoals gebruikt in de Algemene Verordening Gegevensbescherming2 (de ‘AVG’).

Artikel 3. Verwerkingen door Verwerker en doel van de verwerkingen

Verwerker Verwerkt Persoonsgegevens ten behoeve van Verwerkingsverantwoordelijke. Verwerker Verwerkt Persoonsgegevens uitsluitend op basis van schriftelijke instructies van Verwerkingsverantwoordelijke en onder verantwoordelijkheid van Verwerkingsverantwoordelijke op de wijze zoals vastgelegd in de dienstverleningsovereenkomst. Verwerker bepaalt niet het doel en de middelen voor de Verwerking van Persoonsgegevens en het gebruik van de Persoonsgegevens.

1 Als bedoeld onder overweging 10 van de considerans van AVG (zoals gedefinieerd in Artikel 2 ‘Definities’).

2 Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (Algemene Verordening Gegevensbescherming).

Verwerker gebruikt de Persoonsgegevens niet voor een ander doel dan waarvoor hij deze heeft verkregen.

Het doel van de Verwerkingen van Persoonsgegevens door Verwerker ten behoeve van Verwerkingsverantwoordelijke is het nakomen van haar verplichtingen onder de dienstverleningsovereenkomst en Verwerkersovereenkomst. Verwerker zal enkel Persoonsgegevens Verwerken voor de duur van de dienstverleningsovereenkomst.

De categorieën van Betrokkenen die voorwerp zijn van de Verwerkingen van Persoonsgegevens onder deze Verwerkersovereenkomst staan vermeld in Bijlage 1.

Deze Verwerkersovereenkomst heeft voorrang op boven conflicterende bepalingen in de dienstverleningsovereenkomst of vroegere (schriftelijke) overeenkomsten tussen Partijen omtrent het Verwerken van Persoonsgegevens.

Artikel 4. Verplichtingen van Verwerker

Verwerker heeft geen reden om aan te nemen dat een op Verwerker van toepassing zijnde Unierechtelijke of lidstaatrechtelijke bepaling hem tot Verwerking verplicht in afwijking van de schriftelijke instructies van Verwerkingsverantwoordelijke (zoals genoemd in Artikel 3 ‘Verwerkingen door Verwerker en doel van de verwerkingen’) of verplichtingen omtrent Verwerkingen onder de dienstverleningsovereenkomst. Verwerkingsverantwoordelijke mag Verwerker instrueren om alle informatie ter beschikking te stellen die nodig is om de nakoming van de in Artikel 32 van de AVG neergelegde verplichtingen aan te tonen. Verwerker zal Verwerkingsverantwoordelijke onmiddellijk in kennis stellen indien naar zijn mening een dergelijke instructie inbreuk oplevert op de AVG of op andere Unierechtelijke of lidstaatrechtelijke bepalingen inzake gegevensbescherming.

Daarnaast zal Verwerker alle overeenkomstig Artikel 32 van de AVG vereiste maatregelen nemen en meer specifiek:

● waarborgen dat de tot het Verwerken van de Persoonsgegevens gemachtigde personen zich ertoe hebben verbonden vertrouwelijkheid in acht te nemen of door een passende wettelijke verplichting van vertrouwelijkheid zijn gebonden. Deze bepaling blijft ook gelden na het eindigen van deze Verwerkersovereenkomst;

● rekening houdend met de aard van de Verwerking, Verwerkingsverantwoordelijke door middel van passende technische en organisatorische maatregelen, voor zover mogelijk, bijstand verlenen bij het vervullen van diens plicht om verzoeken om uitoefening van de in hoofdstuk III van de AVG vastgestelde rechten van Betrokkenen te beantwoorden;

● rekening houdend met de aard van de Verwerking en de hem ter beschikking staande informatie Verwerkingsverantwoordelijke bijstand verlenen bij het doen nakomen van de verplichtingen uit hoofde van de artikelen 32 tot en met 36 van de AVG. Verwerkingsverantwoordelijke compenseert Verwerker voor de door hem in dat verband gemaakte kosten;

● Verwerkingsverantwoordelijke zonder onredelijke vertraging informeren zodra hij kennis heeft genomen van een Inbreuk in verband met Persoonsgegevens, in zoverre dat Verwerkingsverantwoordelijke over afdoende informatie beschikt om de Inbreuk in verband met Persoonsgegevens te melden aan de Autoriteit Persoonsgegevens of aan Betrokkenen mede te delen overeenkomstig toepasselijke Unierechtelijke of lidstaatrechtelijke bepalingen inzake gegevensbescherming;

● voor zover passend en rechtmatig, Verwerkingsverantwoordelijke informeren over

○ verzoeken van een Betrokkene op grond van toepasselijke Unierechtelijke of lidstaatrechtelijke bepalingen inzake gegevensbescherming; en

○ verzoeken van een overheidsinstantie, zoals de politie, op grond van toepasselijke Unierechtelijke of lidstaatrechtelijke bepalingen inzake gegevensbescherming.

Wat dat laatste punt betreft, zal Xxxxxxxxx niet reageren op verzoeken van Xxxxxxxxxxx, tenzij Verwerker daartoe gerechtigd is door Verwerkingsverantwoordelijke op basis van schriftelijke instructies van Verwerkingsverantwoordelijke of verplicht is krachtens toepasselijke wetgeving die van toepassing is op Verwerker, in welk laatste geval Verwerker, voor zover toepasselijke wetgeving dit toestaat, Verwerkingsverantwoordelijke zal informeren over deze wettelijke verplichting alvorens hij reageert op het verzoek. Hetzelfde geldt voor verzoeken van overheidsinstanties.

Als Verwerkingsverantwoordelijke informatie of assistentie behoeft omtrent beveiligingsmaatregelen, documentatie, of overige (vormen van) informatie behoeft omtrent de wijze waarop Verwerker Persoonsgegevens Verwerkt, dan mag Verwerker de kosten van haar aanvullende diensten bij Verwerkingsverantwoordelijke in rekening brengen overeenkomstig de tussen Partijen aangegane overeenkomst(en) voor zover zulke verzoeken zien op informatie die Verwerker niet standaard aan Verwerkingsverantwoordelijke hoeft te verstrekken om te voldoen aan de op Verwerker van toepassing zijnde privacy wetgeving.

Verwerker controleert niet of en op welke wijze Verwerkingsverantwoordelijke eventuele door hem gewenste integraties van derde partijen gebruikt met of via API’s met de subverwerker Xxxxx Xxxxxxx

B.V. of vergelijkbare techniek voor de koppeling tussen een eigen systeem van Verwerkingsverantwoordelijke en het Online Verzuimregistratiesysteem Visma Verzuim VZS. Dat betekent dat Verwerker in dat verband geen aansprakelijkheid en risico draagt. Verwerkingsverantwoordelijke draagt uitsluitend aansprakelijkheid en risico voor integraties van derde partijen met het Online Verzuimregistratiesysteem Visma Verzuim VZS.

Artikel 5. Verplichtingen Verwerkingsverantwoordelijke

Verwerkingsverantwoordelijke bevestigt dat zij ten aanzien van de Verwerkingen van Persoonsgegevens krachtens deze Verwerkersovereenkomst kwalificeert als 'Verwerkingsverantwoordelijke' en bevestigt met het ondertekenen van deze Verwerkersovereenkomst dat:

● zij wettelijk bevoegd is tot het Verwerken en bekendmaken van de Persoonsgegevens in kwestie aan Verwerker (met inbegrip van door Verwerker ingeschakelde subverwerkers).

● zij verantwoordelijkheid draagt voor de accuraatheid, integriteit, inhoud, betrouwbaarheid en rechtmatigheid van de Verwerkte Persoonsgegevens zoals bekend gemaakt aan Verwerker.

● zij heeft voldaan aan haar verplichtingen om relevante informatie te verstrekken aan Betrokkenen en toezichthoudende autoriteiten omtrent de Verwerkingen van Persoonsgegevens conform dwingende gegevensbeschermingswetgeving.

● zij zal, bij het ontvangen van de diensten van Verwerker onder de dienstverleningsovereenkomst, geen Gevoelige Gegevens en/of Bijzondere Persoonsgegevens aan Verwerker bekendmaken/verstrekken, tenzij expliciet overeengekomen in Bijlage 1 bij deze Overeenkomst.

Daarnaast, rekening houdend met de aard, de omvang, de context en het doel van de Verwerking, alsook met de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden

van natuurlijke personen, treft Verwerkingsverantwoordelijke passende technische en organisatorische maatregelen om te waarborgen en te kunnen aantonen dat de Verwerking in overeenstemming met de AVG wordt uitgevoerd. Die maatregelen worden geëvalueerd en indien nodig geactualiseerd. Wanneer zulks in verhouding staat tot de verwerkingsactiviteiten, omvatten voornoemde maatregelen een passend gegevensbeschermingsbeleid dat door Verwerkingsverantwoordelijke wordt uitgevoerd.

Artikel 6. Inschakelen derden voor Verwerker en data-overdracht, verwerking binnen EER

Als onderdeel van het leveren van diensten aan Verwerkingsverantwoordelijke conform de dienstverleningsovereenkomst en deze Verwerkersovereenkomst, zal Verwerker derden (subverwerkers) inschakelen bij de uitvoering van deze Verwerkersovereenkomst en Verwerkingsverantwoordelijke geeft algemene toestemming voor het mogen inschakelen van voornoemde subverwerkers door Verwerker. Het is Partijen bekend dat het Online Verzuimregistratiesysteem Visma Verzuim VZS geleverd wordt door Visma Verzuim B.V. als subverwerker. De overige subverwerkers kunnen bedrijven binnen de Visma groep zijn of externe derde partijen. Verwerking door Verwerker alsmede door haar subverwerkers vindt plaats binnen de Europese Economische Ruimte (EER), behalve voor de Verwerkingen zoals genoemd in Bijlage 3, indien daarbij is aangegeven dat verwerkingen buiten de EER plaatsvinden. Xxxxxxxxx ziet erop toe dat subverwerkers akkoord gaan met het accepteren van de verantwoordelijkheden en daarmee corresponderende verplichtingen zoals neergelegd in deze Verwerkersovereenkomst. Het overzicht van subverwerkers is aan deze Verwerkersovereenkomst toegevoegd als Bijlage 3.

Verwerkingsverantwoordelijke zal vooraf worden ingelicht over enige wijzigingen in subverwerkers die Persoonsgegevens Verwerken. Verwerker zal op de website een actueel overzicht bijhouden van de subverwerkers en Verwerkingsverantwoordelijke inlichten als er wijzigingen zijn, via een klantbericht. Als Verwerkingsverantwoordelijke protesteert tegen een nieuwe subverwerker, zullen Verwerker en Verwerkingsverantwoordelijke de documentatie omtrent de compliance inspanningen van subverwerker beoordelen teneinde te waarborgen dat toepasselijke privacywetgeving wordt nageleefd.

Artikel 7. Beveiliging en Datalekken

Rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van personen, zal Verwerker ter zake van de Verwerkingen passende technische en organisatorische maatregelen treffen om een op het risico afgestemd beveiligingsniveau te waarborgen, waaronder, als dat passend is, de maatregelen zoals genoemd in Artikel 32 lid 1 van de AVG.

De technische en organisatorische beveiligingsmaatregelen zijn beschreven in Bijlage 2 en voldoen aan de daarvoor geldende algemeen geaccepteerde beveiligingsstandaarden. Verwerkingsverantwoordelijke erkent dat zij de in Bijlage 2 opgenomen afspraken, ten tijde van het aangaan van de Verwerkingsovereenkomst, voldoende acht voor een passende beveiliging van de Persoonsgegevens in overeenstemming met de geldende wettelijke verplichtingen.

De Verwerker zal de Verwerkingsverantwoordelijke onverwijld, zonder onnodige vertraging, in kennis stellen nadat zij zich bewust is van een Datalek.

De kennisgeving zal tenminste omvatten:

1. de aard van het Datalek, waar mogelijk, de categorieën en bij benadering het aantal Betrokkenen en de categorieën en het bijbehorende aantal betrokken Persoonsgegevens;

2. de naam en contactgegevens van de FG of ander contactpunt waar meer informatie kan worden verkregen;

3. een beschrijving van de waarschijnlijke gevolgen van het Datalek;

4. de door de Verwerker genomen maatregelen of voorstellen om het Datalek aan te pakken, met inbegrip van, in voorkomend geval, maatregelen om de mogelijke nadelige effecten ervan te beperken.

De Verwerker zal de Verwerkingsverantwoordelijke ondersteunen bij het nakomen van de wettelijke informatieverplichtingen van een toezichthoudende autoriteit of Betrokkenen, bij Datalekken.

Als de Verwerker van mening is dat een Verwerking onwettig is, zal hij de Verwerkingsverantwoordelijke onmiddellijk op de hoogte stellen.

Artikel 8. Geheimhouding

Elke Partij moet deze Verwerkersovereenkomst en informatie die zij ontvangt over de andere Partij en de ondernemersactiviteiten van die Partij met betrekking tot deze Verwerkersovereenkomst (‘Vertrouwelijke Informatie’) confidentieel behandelen en niet gebruiken of openbaar maken zonder schriftelijke toestemming van de andere Partij tenzij:

(a) openbaarmaking wettelijk vereist is;

(b) de relevante informatie al publieke openbare informatie is.

De verplichtingen van Verwerker die uit deze Verwerkersovereenkomst voortvloeien, gelden ook voor degenen die Persoonsgegevens verwerken onder het gezag van Verwerker.

Verwerker zal de personen die in zijn dienst zijn, dan wel werkzaamheden ten behoeve van hem verrichten, verplichten tot geheimhouding met betrekking tot de Persoonsgegevens waarvan zij kennis kunnen nemen.

Deze bepaling blijft ook na het eindigen van deze Verwerkersovereenkomst gelden.

Artikel 9. Inspectierechten

Verwerkingsverantwoordelijke heeft één keer per jaar het recht om een audit uit te laten voeren, met als doel te controleren of Verwerker de in deze Verwerkersovereenkomst vastgelegde minimale beveiligingsmaatregelen naleeft. Verwerkingsverantwoordelijke moet een gedetailleerd inspectieplan (‘audit plan’) ten minste vier weken voorafgaand aan de voorgestelde inspectiedatum aan Verwerker verstrekken teneinde een rechtsgeldig verzoek tot inspectie te kunnen doen. Dat plan moet op zijn minst beschrijven: de beoogde reikwijdte, duur en startdatum van de inspectie. De inspectie wordt door een onafhankelijke derde partij uitgevoerd. Over deze onafhankelijke derde partij moet wederzijdse overeenstemming worden bereikt. Als de verzochte reikwijdte van de inspectie reeds is geadresseerd in een ISAE, ISO of soortgelijk verzekeringsverslag uitgevoerd door een gekwalificeerde derde partij (als auditor/inspecteur) in de voorafgaande twaalf maanden, en Verwerker bevestigt dat er, naar hij weet, geen materiële wijzigingen hebben plaatsgehad in de onderzochte maatregelen, dan gaat Verwerkingsverantwoordelijke akkoord met voornoemde onderzoeksbevindingen in plaats van dat zij om een nieuwe inspectie verzoekt omtrent de maatregelen zoals reeds opgenomen in het rapport.

In elk geval, dienen inspecties te worden uitgevoerd tijdens de reguliere kantoortijden van de betreffende faciliteit, met inachtneming van Verwerkers beleid hieromtrent, en mogen deze inspecties niet onredelijk interfereren met Verwerkers ondernemersactiviteiten.

Verwerkingsverantwoordelijke draagt haar eigen kosten die verband houden met de door haar verzochte inspecties (met inachtneming van eventuele afwijkende kostenverdelingsafspraken zoals vastgelegd in de tussen Partijen aangegane overeenkomsten). Kosten die verband houden met verzochte assistentie vanuit Verwerker komen voor vergoeding in aanmerking overeenkomstig de tussen Partijen aangegane overeenkomst(en) voor zover deze verzoeken boven de standaard dienstverlening van Verwerker en/of Visma groep (subverwerker) uitstijgen.

Artikel 10. Duur en beëindiging

Deze Verwerkersovereenkomst is geldig zolang Verwerker Xxxxxxxxxxxxxxxx Verwerkt ten behoeve van Verwerkingsverantwoordelijke conform de dienstverleningsovereenkomst.

Deze Verwerkersovereenkomst eindigt van rechtswege zodra de dienstverleningsovereenkomst eindigt. Op het moment dat deze Verwerkersovereenkomst eindigt, zal Verwerker ten behoeve van Verwerkingsverantwoordelijke verwerkte Persoonsgegevens retourneren op verzoek daartoe van de Verwerkingsverantwoordelijke en in alle gevallen verwijderen conform de toepasselijke bepalingen daarover in de dienstverleningsovereenkomst.

Artikel 11. Wijzigingen en amendementen

Wijzigingen aan de Verwerkersovereenkomst zullen in een nieuwe Bijlage bij deze Verwerkersovereenkomst worden opgenomen en treden in werking nadat beide Partijen deze hebben ondertekend.

Indien en voor zover enige bepaling van deze Verwerkersovereenkomst niet rechtsgeldig of niet rechtens afdwingbaar blijkt te zijn, zal die ongeldigheid of niet-afdwingbaarheid geen invloed hebben op de rechtsgeldigheid en afdwingbaarheid van de overige bepalingen van deze Verwerkersovereenkomst. Indien en voor zover een bepaling niet rechtsgeldig is of niet rechtens afdwingbaar is, zullen Partijen in overleg treden teneinde een vervangende regeling te treffen voor betreffende bepaling(en) of deel daarvan, waarbij de kern en de strekking van de oorspronkelijke betreffende bepaling of deel daarvan, alsmede van deze Verwerkersovereenkomst zoveel mogelijk behouden blijft.

Artikel 12. Aansprakelijkheid

De beperking van aansprakelijkheid van Partijen zoals opgenomen in de dienstverleningsovereenkomst en de daarop van toepassing zijnde Algemene Voorwaarden Overeenkomst is ook van toepassing op deze Verwerkersovereenkomst. In aanvulling hierop komen Partijen overeen dat een aan Verwerkingsverantwoordelijke door de AP opgelegde bestuurlijke boete kan niet worden verhaald op Verwerker, tenzij er sprake is van opzet of bewuste roekeloosheid aan de zijde van de bedrijfsleiding van Verwerker.

Artikel 13. Toepasselijk recht en forumkeuze

Deze Verwerkersovereenkomst wordt beheerst door het toepasselijke recht van de dienstverleningsovereenkomst. De in de dienstverleningsovereenkomst genoemde bevoegde rechter is bevoegd kennis te nemen van geschillen rondom deze Verwerkersovereenkomst.

Bijlagen

Bijlage 1 Beschrijving verwerking Persoonsgegevens. Bijlage 2 Beveiligingsmaatregelen.

Bijlage 3 Subverwerkers.

Bijlage 1: Beschrijving verwerkingen van de categorieën van Persoonsgegevens

Te verwerken Persoonsgegevens

Onderstaande categorieën van Persoonsgegevens worden van een persoon Verwerkt in de applicatie: Visma Verzuim VZS. De volgende Persoonsgegevens worden verwerkt:

● Werknemer Persoonsgegevens (incl. geboortedatum en BSN); dit betreft gevoelige Persoonsgegevens

● Werknemer adresgegevens

● Werknemer contactgegevens

● Werknemer dienstverbandgegevens (leidinggevende, omvang dienstverband en plaats in een organogram, datum in dienst/uit dienst)

● Werknemer verzuimgegevens: dit betreffen bijzondere en/of gevoelige Persoonsgegevens

Categorieën van betrokkenen

De te verwerken Persoonsgegevens betreffen Persoonsgegevens van werknemers van Verwerkingsverantwoordelijke.

Aard en doeleinde(n) verwerking

De aard van de verwerking is het onderhouden, beheren en leveren van support van de softwaretoepassing Visma Verzuim VZS ten behoeve van het bedrijfsproces van de Verwerkingsverantwoordelijke.

Beschrijving verwerking(en) en middelen

Verwerker zal de hiervoor genoemde Persoonsgegevens verwerken in verband met de activiteiten die zij onderneemt ter uitvoering van de dienstverleningsovereenkomst. Daarbij voert Xxxxxxxxx enkel en alleen de volgende werkzaamheden uit:

• Beheertaken m.b.t. het uitgeven van een gebruikersaccount;

• Het aanmaken van een Wet verbetering poortwachter – protocol.

Visma Verzuim B.V. als subverwerker voert de volgende werkzaamheden uit:

● Hosting van de applicatie Visma Verzuim VZS

● Maken van periodieke back-ups van privacygevoelige data

● Installatie van updates op de hardware

● Releases en bugfixes op de software Visma Verzuim VZS

● Verwerking data in opdracht van de klant van xxxxxxxx.xx d.m.v. koppelingen tussen het personeelsinformatiesysteem van de klant en de applicatie Visma Verzuim VZS

Bewaartermijn

Verwerker zal de Persoonsgegevens bewaren voor de duur van de dienstverleningsovereenkomst met Verwerkingsverantwoordelijke. Hierbij is Verwerkingsverantwoordelijke zelf verantwoordelijk voor het nakomen van de bewaartermijnen die er gelden voor de verzuimbegeleiding en zoals weergegeven in het rapport van de Autoriteit Persoonsgegevens 'De zieke werknemer' en zal deze derhalve zelf in het systeem moeten bewaken.

Wordt er na afloop van de dienstverleningsovereenkomst geen nieuwe overeenkomst afgesloten, dan zal Verwerker de Persoonsgegevens aan Verwerkingsverantwoordelijke retourneren in een veelgebruikte, machine leesbaar format of op eerste verzoek van Verwerkingsverantwoordelijke vernietigen of anonimiseren zonder deze nog verder te gebruiken en zonder een kopie te behouden.

Informatie met betrekking tot Land/Plaats van Verwerking van Persoonsgegevens

Alle data wordt opgeslagen en Verwerkt binnen de EER. Zie bijlage 3 voor de exacte dataopslaglocaties.

Contactgegevens

Voor vragen of opmerkingen over de Verwerkersovereenkomst en bijlagen zijn de contactpersonen:

Verwerkingsverantwoordelijke:

Zie Contactgegevens Overeenkomst Arbodienstverlening

Contactpersoon Privacy: zie Overeenkomst Arbodienstverlening

Verwerker:

Zie Contactgegevens Overeenkomst Arbodienstverlening

Functionaris Gegevensbescherming: xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx@xxxxxxxx.xx

Bijlage 2: Beveiligingsmaatregelen

Zoals opgenomen in artikel 7 van deze Verwerkersovereenkomst, worden hieronder de afspraken tussen Partijen vastgelegd over de concrete technische en organisatorische beveiligingsmaatregelen. De getroffen maatregelen zijn opgenomen in deze bijlage en worden aangevuld of gewijzigd indien dat nodig is. Verwerkingsverantwoordelijke acht genoemde maatregelen passend voor de verwerking van de Persoonsgegevens.

Omschrijving van de technische en organisatorische beveiligingsmaatregelen die door de Verwerker zijn geïmplementeerd.

De door Verwerker en subverwerker Visma Verzuim B.V. te nemen beveiligingsmaatregelen zijn:

● Verwerker levert haar diensten conform het beveiligingsniveau ISO27001; dit is aantoonbaar met een certificaat;

● alle maatregelen conform ISO 27002 zijn afgedekt middels de verklaring van toepasselijkheid (VVT/SOA);

● geïmplementeerd beveiligingsbeleid en het periodiek updaten en implementeren van het geüpdatet beveiligingsbeleid;

● geïmplementeerde gedragscode;

● geheimhoudingsverplichtingen in arbeidscontracten;

● veilige wijze voor het opslaan van gegevensbestanden;

● logische toegangscontroles door middel van kennis, zoals wachtwoorden of persoonlijke toegangscodes, tweestapverificatie;

● logische toegangscontroles door middel van fysieke toegangsmiddelen, zoals een beveiligingspas;

● controleren van toegekende rechten;

● logging en controle van toegang tot het systeem (waaronder begrepen het controleren op tekenen van onrechtmatige toegang tot de Persoonsgegevens);

● implementatie van herstelprocedures;

● encryptie van Persoonsgegevens tijdens elektronische overdracht naar externe partijen;

● voldoen aan de geheimhoudingsbepaling van deze overeenkomst;

● het aanwijzen van een beperkt aantal, dat met de uitvoering van de verwerking zijn belast en geautoriseerd zijn om zichzelf toegang te verlenen welke personen uitdrukkelijk alleen gerechtigd zijn om de voor de uitvoering van de hoofdovereenkomst noodzakelijke handelingen te verrichten;

● maatregelen van Verwerker om te zorgen dat uitsluitend bevoegd personeel toegang heeft tot de Persoonsgegevens:

○ Rollenmatrix

○ Autorisaties

○ Logging

○ OTAP-model

○ Geheimhoudingsverklaringen

● maatregelen voor opsporen van zwakke plekken en incidentenbeheer:

○ Kwetsbaarhedenscans

○ Jaarlijkse pentesten door gecertificeerde bedrijven;

○ Audittrail

Maatregelen worden jaarlijks getoetst door middel van interne en externe audits die uitgevoerd worden in het kader van het Information Security Management System (o.a. ISO27001).

Subverwerker	Verwerkingsplaats	Beschrijving werkzaamheden Subverwerker
Visma Verzuim B.V.	Xxxxxxxx 0, 0000 XX Xxxxxxxxxx	Xxxxxxx van diensten van Xxxxx Xxxxxxx XXX
DataVisual B.V.	Xxxxxxxxxxx 000, 0000 XX Xxxxx Xxxxxxxxx	Hosting diensten Visma Verzuim VZS
Zendesk	Europese Unie	Leverancier support tooling
Microsoft (Azure)	Europese Unie (NB: Microsoft is een Amerikaanse leverancier)	Hosting en opslag ten behoeve van integratieplatform en opslag van offsite backup

Bijlage 3: Subverwerkers (VZS) Lijst van Subverwerkers

Datalocaties Visma Verzuim B.V.

Datacenter	Verwerkingsplaats	Beschrijving functie
Equinix	Xxxx Xxxxxxxxxxx 0, Xxxxxxxx Xxxxxxxxx	Dataopslag Visma Verzuim VZS
Xxxxxxxx	Xxxxxxxx 00, Xxxxxxx Xxxxxxxxx	Dataopslag Visma Verzuim VZS
Microsoft (Azure)	Europese Unie (NB: Microsoft is een Amerikaanse leverancier)	Dataopslag Visma Verzuim VZS offsite backup