Verwerkersovereenkomst verwerking persoonsgegevens AVG

Verwerkersovereenkomst verwerking persoonsgegevens AVG

in overweging nemende dat:

▪ Opdrachtgever en ADD Arbo zijn een overeenkomst aangegaan met betrekking tot het verlenen van diensten;

▪ Opdrachtgever gebruik maakt van het enkel voor haar toegankelijke Web Portaal (hierna: ‘Web Portaal’) waarin gegevens van werknemers van Opdrachtgever worden verwerkt, waaronder persoonsgegevens van die werknemers (hierna: ‘Persoonsgegevens Werknemers’);

▪ ADD Arbo ten behoeve van Opdrachtgever optreedt als verwerker van de persoonsgegevens werknemers die via het Web Portaal worden verwerkt;

▪ ADD Arbo in opdracht van Opdrachtgever zorg draagt voor de verstrekking van de voor de uitvoering van de Overeenkomst noodzakelijke Persoonsgegevens Werknemers aan ADD Arbo;

▪ Partijen gehouden zijn uitvoering te geven aan het bepaalde in de AVG, in het bijzonder artikel 28 en 32 AVG, en in dit kader deze verwerkersovereenkomst sluiten om hierin de door hen gemaakte afspraken over de verwerking van Persoonsgegevens Werknemers vast te leggen

(hierna:‘Verwerkersovereenkomst’).

komen het volgende overeen:

Artikel 1 Definities

1. De begrippen ‘Persoonsgegevens’,

‘Verwerking’, ‘Verwerkingsverantwoordelijke’, ‘Verwerker’, ‘Betrokkene’ en ‘Derde’ zoals opgenomen in artikel 4 van de Algemene Verordening Gegevensbescherming (hierna: ‘AVG’) hebben de betekenis die daaraan in de AVG is gegeven. Deze worden in de Verwerkersovereenkomst met een hoofdletter geschreven. Overige, met een hoofdletter geschreven begrippen hebben de betekenis zoals opgenomen in de Verwerkersovereenkomst.

2. Onder Persoonsgegevens Werknemers wordt verstaan: alle informatie over een geïdentificeerde of identificeerbare werknemer, zoals bedoeld in artikel 4 sub 1 AVG, die Opdrachtgever verwerkt in het Web Portaal.

Artikel 2 Doel en noodzakelijkheid van de Verwerking

1. Via het Web Portaal voert Opdrachtgever een volledige en up-to-date werknemer administratie die haar in staat stelt om uitvoering te geven aan haar wettelijke verplichtingen ten aanzien van re-integratie, verzuim, duurzame inzetbaarheid. En het voeren van arbeidsgezondheidskundige zorg aan haar werknemers, inclusief het voeren van bijbehorend gezondheidsmanagement, administratie en het maken van rapportages. Tevens zullen de noodzakelijke Persoonsgegevens Werknemers worden verstrekt aan ADD Arbo voor de uitvoering van de overeenkomst met ADD Arbo conform toepasselijke wet- en regelgeving. Deze wettelijke verplichtingen vloeien onder meer voort uit de Arbeidsomstandighedenwet en de Wet Verbetering Poortwachter.

2. ADD Arbo verwerkt Persoonsgegevens Werknemers alleen voor het doel zoals omschreven in artikel 2.1 en alleen voor zover de verwerking noodzakelijk is om te voldoen aan dit doel.

3. Partijen erkennen dat op de Verwerking van Persoonsgegevens Werknemers via het Web Portaal de AVG van toepassing is en dat zij beide op de hoogte zijn van de verplichtingen die in de AVG zijn neergelegd. Partijen zijn ieder afzonderlijk en zelfstandig verplicht om ervoor zorg te dragen dat aan voornoemde verplichtingen wordt voldaan.

4. Partijen verstrekken elkaar over en weer tijdig alle benodigde medewerking om een goede naleving van de AVG, alsmede de overige geldende privacy wet- en regelgeving, mogelijk te maken.

Artikel 3 Verwerking van Persoonsgegevens Werknemers door ADD Arbo

1. Zoals gedefinieerd in de AVG is ADD Arbo aan te merken als ‘Verwerker’ en Opdrachtgever als ‘Verwerkingsverantwoordelijke’.

2. ADD Arbo verwerkt Persoonsgegevens Werknemers slechts in opdracht van Opdrachtgever, overeenkomstig diens instructies en onder diens verantwoordelijkheid en met inachtneming van de bepalingen uit de gebruiksrechtovereenkomst die Opdrachtgever als onderdeel van de Overeenkomst sluit voor het gebruik van het Web Portaal. ADD Arbo

heeft geen zeggenschap over het doel van en de middelen voor de verwerking van de Persoonsgegevens.

3. De Persoonsgegevens Werknemers worden uitsluitend opgeslagen en verwerkt binnen Nederland.

4. De Verwerking van Persoonsgegevens Werknemers door ADD Arbo is nader uitgewerkt in het privacyreglement van ADD Arbo, te raadplegen via de website www.add- xxxx.xx.

Artikel 4 Categorieën van Persoonsgegevens en Betrokkenen

1. ADD Arbo verwerkt de volgende categorieën van Persoonsgegevens Werknemers voor Opdrachtgever:

- Persoonsgegevens, waaronder:

a) NAW gegevens;

b) E-mailadres;

c) Telefoonnummer;

d) Geboortedatum;

e) Geslacht;

f) Verpleegadres van de zieke werknemer;

g) Werknemer ID (Hiermee wordt bedoeld het Werknemer ID, dan wel een andere specifiek bij een werknemer behorende codering die het Burger Service Nummer vervangt als sleutelwaarde, zoals omschreven in de Nationale Verzuimstandaard (‘NVS’) 2017. Deze standaard wordt onderschreven door arbodiensten aangesloten bij brancheorganisatie OVAL en beheerd door de Stichting Sivi.);

- Bijzondere persoonsgegevens, waaronder:

a) Gezondheidsgegevens, zoals de datum van xxxxxxxxxxx werknemer, datum van herstelmelding, vermoedelijke duur van het verzuim, of sprake is van één van de vangnetbepalingen uit de Ziektewet, of de werknemer valt onder de Wet Werk en Inkomen naar Arbeidsvermogen, of een zieke werknemer betrokken is geweest bij een verkeersongeval.

b) Burger Service Nummer;

2. De Betrokkenen waarop de Persoonsgegevens Werknemers betrekking hebben zijn in ieder geval:

a) Werknemers

b) Ex-werknemers

Artikel 5 Verstrekking Persoonsgegevens Werknemers uit het Web Portaal aan ADD Arbo

1. Ten behoeve van de uitvoering van de Overeenkomst verstrekt Opdrachtgever Persoonsgegevens Werknemers aan ADD Arbo voor zover dat noodzakelijk is en indien daarvoor een wettelijke grondslag bestaat.

2. ADD Arbo verleent als zorgaanbieder - afhankelijk van de overeengekomen dienstverlening in de Overeenkomst - arbeidsgezondheidskundige zorg aan werknemers van Opdrachtgever ten einde hen duurzaam inzetbaar te houden gedurende hun werkzame leven. In het kader van de medische begeleiding van werknemers legt ADD Arbo dossiers aan van die werknemers waaraan zij zorg verleent. Om aan deze wettelijke dossierplicht te kunnen voldoen, krijgt ADD Arbo via het Web Portaal de beschikking over de noodzakelijke Persoonsgegevens Werknemers op het moment dat zij zorg verleent c.q. gaat verlenen aan werknemers van Opdrachtgever.

3. Vanaf het moment dat Persoonsgegevens Werknemers aan ADD Arbo ter beschikking zijn gesteld, geldt ADD Arbo als Verwerkingsverantwoordelijke ten aanzien van deze Persoonsgegevens Werknemers. De wijze waarop ADD Arbo de Persoonsgegevens Werknemers verwerkt is beschreven in het privacyreglement van ADD Arbo, op te vragen via de website xxx.xxx-xxxx.xx.

Artikel 6 Geheimhouding

1. ADD Arbo is verplicht tot geheimhouding van de Persoonsgegevens Werknemers, behoudens voor zover:

a) een wettelijk voorschrift ADD Arbo tot mededelen verplicht, of

b) de gegevensverstrekking plaatsvindt in opdracht van Opdrachtgever;

c) het verstrekken van Persoonsgegevens Werknemers logischerwijs noodzakelijk is gezien de aard van de door ADD Arbo verrichte dienstverlening aan Opdrachtgever.

2. ADD Arbo zal aan haar medewerkers die werkzaamheden verrichten in het kader van de Verwerking van Persoonsgegevens Werknemers, dezelfde geheimhoudingsverplichting opleggen ten aanzien van het geheimhouden van

Persoonsgegevens Werknemers als bedoeld in dit artikel.

3. De in dit artikel opgenomen geheimhoudingsplicht geldt onafhankelijk van de duur van deze Verwerkersovereenkomst zoals nader bepaald in artikel 13 en blijft ook na beëindiging van de Verwerkersovereenkomst voortduren. De geheimhoudingsplicht is niet van toepassing op Persoonsgegevens Werknemers die reeds publiekelijk bekend zijn geworden, anders dan ten gevolge van een schending van voormelde geheimhoudingsplicht.

Artikel 7 Beveiligingsmaatregelen

1. Partijen zijn conform artikel 28 AVG verantwoordelijk voor de bescherming van Persoonsgegevens en de persoonlijke levenssfeer van Xxxxxxxxxx(n). ADD Arbo zal passende technische en organisatorische beveiligingsmaatregelen treffen om de vertrouwelijkheid, integriteit en beschikbaarheid van de Persoonsgegevens Werknemers veilig te stellen, alsmede de rechten van Betrokkene(n) te waarborgen.

Bij de te treffen maatregelen zal ADD Arbo rekening houden met de stand van de techniek, de uitvoeringskosten, de aard, omvang, context en verwerkingsdoeleinden en de risico’s voor de rechten en vrijheden van de Betrokken(n).

2. De achterliggende software van het werkgeversportaal van ADD Arbo is ISO 27001 gecertificeerd. De organisatorische en beveiligingsmaatregelen die zij treft om uitvoering te geven aan het bepaalde in artikel

7.1 zijn opgenomen in de Verklaring van Toepasselijkheid. Hieronder vallen onder meer de volgende maatregelen:

a) Van Persoonsgegevens Werknemers wordt een real time back-up gemaakt zodat verlies van Persoonsgegevens Werknemers wordt tegengegaan;

b) De onder sub a) genoemde back-ups worden op een fysiek gescheiden (brand)veilige locatie bewaard;

c) ADD Arbo treft voorzieningen voor een adequate toegangsbeveiliging zodat de Persoonsgegevens Werknemers alleen toegankelijk zijn voor geautoriseerd personeel;

d) ADD Arbo heeft een adequaat en actueel mechanisme in werking om kwaadaardige software, waaronder – maar niet beperkt tot –

computervirussen, op te sporen en af te wenden;

e) ADD Arbo maakt gebruik van beveiligde netwerkverbindingen.

Artikel 8 Samenwerking met sub-Verwerkers

1. Indien ADD Arbo gebruik maakt van sub- Verwerkers, zal zij Opdrachtgever daarvan op de hoogte stellen. ADD Arbo blijft als Verwerker van Opdrachtgever volledig verantwoordelijk voor de Verwerking van Persoonsgegevens Werknemers door sub-Verwerkers.

2. Indien sub-Verwerkers worden ingeschakeld, sluit ADD Arbo een sub- verwerkersovereenkomst waarin aan deze sub- Verwerkers dezelfde verantwoordelijkheden en verplichtingen inzake gegevensverwerking en - bescherming worden opgelegd als die in de Verwerkersovereenkomst zijn opgenomen.

Artikel 9 Procedure Datalek

1. Ondanks de genomen technische en organisatorische maatregelen aan de zijde van ADD Arbo, kan onverhoopt een inbreuk in verband met de Persoonsgegevens Werknemers ontstaan waarbij de Persoonsgegevens Werknemers daadwerkelijk zijn vernietigd of verloren zijn gegaan, zijn gewijzigd, verstrekt of toegankelijk zijn gemaakt op een manier die onrechtmatig is (hierna: ‘Datalek’).

2. Een Datalek zal door ADD Arbo zo spoedig mogelijk en in ieder geval binnen 24 uur na ontdekking daarvan schriftelijk worden gemeld aan Opdrachtgever.

3. Opdrachtgever beoordeelt als Verwerkingsverantwoordelijke na voorafgaand overleg met ADD Arbo of het Datalek gemeld dient te worden bij de Autoriteit Persoonsgegevens en eventueel aan de Betrokkene(n). De verantwoordelijkheid voor de (correcte, tijdige en volledige) melding aan de Autoriteit Persoonsgegevens en eventueel aan de Betrokkene(n) binnen de daarvoor geldende wettelijke termijn ligt bij Opdrachtgever. Indien Opdrachtgever voornemens is een Datalek te melden bij de Autoriteit Persoonsgegevens en/of Betrokkene(n), stelt zij ADD Arbo daarvan op de hoogte.

4. ADD Arbo heeft te allen tijde het recht om zelfstandig af te wegen of zij melding dient te

maken van het Datalek bij de Autoriteit Persoonsgegevens en eventueel aan Betrokkene(n).

5. ADD Arbo verstrekt in ieder geval die informatie omtrent het Datalek die Opdrachtgever nodig heeft om aan voorgenoemde meldingsplicht(en) te kunnen voldoen, waaronder:

a) De aard van de inbreuk, waar mogelijk onder vermelding van de categorieën van Betrokkenen en persoonsgegevensregisters en, bij benadering, het aantal Betrokkenen en persoonsgegevensregisters in kwestie;

b) Indien voor ADD Arbo inzichtelijk, de waarschijnlijke gevolgen van het Datalek, zoals verlies van controle over de Persoonsgegevens Werknemers door Xxxxxxxxxxx en het niet kunnen uitoefenen door Xxxxxxxxxxx van hun rechten;

c) Maatregelen die door ADD Arbo zijn getroffen ter beperking van de eventuele nadelige gevolgen van het Datalek.

6. ADD Arbo zal Opdrachtgever op de hoogte houden van eventuele nieuwe ontwikkelingen omtrent het Datalek en van de maatregelen die ADD Arbo zal treffen om de gevolgen van het Datalek te beperken en herhaling te voorkomen.

Artikel 10 Audit

1. De door ADD Arbo gebruikte software is ISO 27001 en NEN 7510 gecertificeerd en wordt in dit kader jaarlijks geaudit. Indien Opdrachtgever desondanks de naleving van deze Verwerkersovereenkomst middels een audit wenst te laten controleren, is zij daartoe gerechtigd na overleg met ADD Arbo. Een audit zal uitsluitend worden uitgevoerd door een daartoe bevoegde onafhankelijke instantie.

2. Een audit vindt plaats nadat Opdrachtgever met ADD Arbo schriftelijk overeenstemming heeft bereikt over het tijdstip en de omvang van de audit, alsmede over de instantie die de audit zal uitvoeren. De kosten van de audit worden gedragen door Opdrachtgever.

3. Met inachtneming van het bepaalde in dit artikel zal ADD Arbo haar medewerking verlenen aan een audit en alle voor de audit relevante informatie tijdig ter beschikking stellen op de locatie waar de audit wordt verricht.

4. De bevoegde instantie die een audit uitvoert,

conformeert zich aan de beveiligingsprocedures zoals die bij ADD Arbo van kracht zijn.

5. Een audit mag de bedrijfsactiviteiten van ADD Arbo niet onnodig verstoren.

Artikel 11 Verzoeken van Betrokkenen

1. ADD Arbo verleent Opdrachtgever alle redelijke medewerking om ervoor te zorgen dat Opdrachtgever binnen de wettelijke termijnen kan voldoen aan de verplichtingen op grond van Hoofdstuk III van de AVG. ADD Arbo kan hiervoor een redelijke kostenvergoeding vragen, welke door Opdrachtgever zal worden vergoed.

Artikel 12 Aansprakelijkheid

1. Indien een Partij toerekenbaar tekortschiet in de nakoming van de op haar rustende verplichtingen uit hoofde van deze Verwerkersovereenkomst, de AVG en/of overige wet- en regelgeving op het gebied van de Verwerking van Persoonsgegevens, is deze Partij aansprakelijk voor de schade die de andere Partij dientengevolge lijdt.

2. De aansprakelijkheid van Partijen is beperkt tot directe schade en tot het maximale bedrag dat de verzekeraar van de aansprakelijkgestelde Partij uitkeert.

Artikel 13 Duur en einde Verwerkersovereenkomst

1. De Verwerkersovereenkomst zal van kracht zijn gedurende de looptijd van de ADD Arbo Overeenkomst. Indien laatstgenoemde Overeenkomst eindigt, eindigt deze Verwerkersovereenkomst automatisch.

2. Geen van beide Partijen kan de Verwerkersovereenkomst tussentijds opzeggen.

3. Na beëindiging van de Verwerkersovereenkomst draagt ADD Arbo binnen een redelijke termijn zorg voor verwijdering van Persoonsgegevens Werknemers in hun systemen, dan wel teruggave van de Persoonsgegevens Werknemers aan Opdrachtgever op een door Partijen overeen te komen wijze, tenzij voor ADD Arbo een wettelijke plicht bestaat om Persoonsgegevens Werknemers te bewaren.

Artikel 14 Toepasselijk recht en geschillen

1. Op deze Verwerkersovereenkomst is uitsluitend Nederlands recht van toepassing.

2. Alle geschillen (daaronder inbegrepen

geschillen die slechts door één der Partijen als zodanig worden beschouwd) die naar aanleiding van de Verwerkersovereenkomst ontstaan, zullen aanhangig worden gemaakt bij de bevoegde rechter.