Verwerkersovereenkomst tussen <Naam organisatie> en Conscribo

Verwerkersovereenkomst tussen <Naam organisatie> en Conscribo

DE ONDERGETEKENDE:

1. Opdrachtgever, <Naam organisatie>, vertegenwoordigd door <Naam contactpersoon> verder te noemen <Naam organisatie>.

en

2. Conscribo gevestigd te Nijmegen, vertegenwoordigd door Xxxxx xx Xxxx, Algemeen directeur hierna te noemen: Conscribo,

hierna gezamenlijk te noemen: Partijen; OVERWEGENDE DAT:

Voor zover Conscribo Persoonsgegevens verwerkt ten behoeve van <Naam organisatie> in het kader van de Overeenkomst, kwalificeert <Naam organisatie> krachtens artikel 4, onderdeel 7 en onderdeel 8, van de Verordening als verwerkingsverantwoordelijke voor de Verwerking van Persoonsgegevens en Conscribo als verwerker;

Partijen in deze Verwerkersovereenkomst, zoals bedoeld in artikel 28, derde lid, van de Verordening, hun afspraken over de Verwerking van Persoonsgegevens door Conscribo wensen vast te leggen.

KOMEN OVEREEN:

ARTIKEL 1. BEGRIPPEN

In deze Verwerkersovereenkomst wordt een aantal begrippen met een beginhoofdletter gebruikt. Aan deze begrippen wordt in deze Verwerkersovereenkomst verstaan:

1.1 Betrokkene: degene op wie een Persoonsgegeven betrekking heeft.

1.2 Inbreuk in verband met Persoonsgegevens: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens.

1.3 Overeenkomst: de abonnements-overeenkomst tussen <Naam organisatie> en Conscribo van 1 januari 2018 voor gebruik van een Conscribo abonnement.

1.4 Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon, die Conscribo in het kader van de Overeenkomst ten behoeve van <Naam organisatie> verwerkt.

1.5 Verordening: Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van de Richtlijn 95/46/EG (algemene verordening gegevensbescherming).

1.6 Verwerkersovereenkomst: deze overeenkomst inclusief overwegingen en bijbehorende bijlagen.

1.7 Pakket: Het Conscribo online pakket, beschikbaar via de website xxxxx://xxxxxx.xxxxxxxxx.xx en aanverwante websites en applicaties die onderdeel zijn van het Conscribo online administratiesysteem.

1.8 Verwerking: een bewerking of een geheel van bewerkingen in het kader van de Overeenkomst met betrekking tot Persoonsgegevens, of een geheel van Persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen.

1.9 Vergoeding: De totale prijs die per jaar door <Naam organisatie> wordt afgedragen voor het gebruik van de diensten en abonnementen bij Conscribo.

1.10 Opdrachten: Door <Naam organisatie> gegeven opdracht tot Verwerking aan het Pakket doormiddel van het gebruik van het pakket, of door mondeling of schriftelijk tussen <Naam organisatie> en Conscribo overeengekomen Verwerking uitgevoerd door Personeel van Conscribo.

1.11 SGCC: De Stichting Garantie Continuïteit Conscribo. Deze onafhankelijke stichting heeft ten doel het kunnen continueren van het Pakket bij overmacht van Conscribo, en voorziet in een ESCROW regeling ten behoeve van al Conscribo’s klanten. SGCC wordt gefinancierd door Conscribo. Conscribo is verantwoordelijk voor beveiliging en procedures binnen de SGCC ten behoeve van de Verordening.

1.12 Personeel: Door de organisatie aangewezen persoon, welke de bevoegdheid heeft gekregen om namens de organisatie te handelen en/of te communiceren en verantwoordelijkheid aflegt aan de organisatie.

ARTIKEL 2. VOORWERP VAN DEZE VERWERKERSOVEREENKOMST

2.1 Deze Verwerkersovereenkomst regelt de Verwerking van Persoonsgegevens door Conscribo in het kader van de Overeenkomst.

2.2 De aard en het doel van de Verwerking, het soort Persoonsgegevens en de categorieën van Betrokkenen zijn in bijlage 1 omschreven.

2.3 Conscribo garandeert de toepassing van passende technische en organisatorische maatregelen, opdat de Verwerking aan de vereisten van de Verordening voldoet en de bescherming van de rechten van de Betrokkene is gewaarborgd.

2.4 Conscribo garandeert te voldoen aan de vereisten van de toepasselijke wet- en regelgeving betreffende de verwerking van Persoonsgegevens.

ARTIKEL 3. INWERKINGTREDING EN DUUR

3.1 Deze Verwerkersovereenkomst treedt in werking op het moment waarop deze door Partijen is ondertekend.

3.2 Deze Verwerkersovereenkomst eindigt nadat en voor zover Conscribo alle Persoonsgegevens overeenkomstig artikel 11 heeft gewist of terugbezorgd.

3.3 Geen van Partijen kan deze Verwerkersovereenkomst tussentijds opzeggen.

ARTIKEL 4. OMVANG VERWERKINGSBEVOEGDHEID CONSCRIBO

4.1 Conscribo verwerkt de Persoonsgegevens uitsluitend in Opdracht van <Naam organisatie> behoudens afwijkende wettelijke voorschriften die op Conscribo van toepassing zijn.

4.2 Indien Conscribo op grond van een wettelijke verplichting Persoonsgegevens dient te verstrekken, informeert hij <Naam organisatie> onmiddellijk, en zo mogelijk voorafgaand aan de verstrekking.

4.3 Conscribo heeft geen verantwoordelijkheid en geen inzicht in het doel van de Persoonsgegevens of van de Verwerking hiervan.

4.4 Conscribo heeft geen inzicht in het soort Persoonsgegevens die <Naam organisatie> registreert en bij Conscribo heeft ondergebracht.

4.5 Conscribo biedt faciliteiten om Persoonsgegevens te publiceren of anderszins publiek beschikbaar te maken. Dit gebeurt altijd alleen in Opdracht van <Naam organisatie>.

4.6 Indien <Naam organisatie> gegevens publiceert zoals bedoelt in 4.5, in strijd met de Verordening, kan Conscribo daarvoor niet verantwoordelijk worden gesteld.

ARTIKEL 5. BEVEILIGING VAN DE VERWERKING

5.1 Voor zover de Verwerking bij <Naam organisatie> wordt verricht draagt Conscribo haar Personeel op de door <Naam organisatie> aangegeven beveiligingsprocedures en huisregels in acht te nemen.

5.2 Partijen erkennen dat het waarborgen van een passend beveiligingsniveau voortdurend kan dwingen tot het treffen van aanvullende beveiligingsmaatregelen. Conscribo waarborgt een op het risico afgestemd beveiligingsniveau.

5.3 Conscribo Verwerkt Persoonsgegevens niet buiten de Europese Unie, tenzij Conscribo daarvoor uitdrukkelijk schriftelijk toestemming heeft verkregen van <Naam organisatie> en behoudens afwijkende wettelijke verplichtingen.

5.4 Conscribo informeert <Naam organisatie> zonder onredelijke vertraging zodra hij kennis heeft genomen van onrechtmatige Verwerkingen van Persoonsgegevens of Inbreuk op beveiligingsmaatregelen zoals genoemd in het tweede lid.

5.5 Conscribo biedt <Naam organisatie> de mogelijkheid zelf haar Personeel toegang te verschaffen tot de bij Conscribo geregistreerde persoonsgegevens. <Naam organisatie> en haar Personeel is verantwoordelijk voor het beschermen van deze toegang. Nalatigheid in de bescherming van de toegang door <Naam organisatie> of haar Personeel valt niet onder de verantwoordelijkheid van Conscribo.

ARTIKEL 6. GEHEIMHOUDING DOOR PERSONEEL VAN CONSCRIBO

6.1 Partijen maken hetgeen hen bij de uitvoering van de Overeenkomst ter kennis komt, en waarvan zij het vertrouwelijke karakter kennen of redelijkerwijs kunnen vermoeden, op geen enkele wijze verder bekend behalve voor zover enig wettelijk voorschrift of uitspraak van de rechter hen tot bekendmaking daarvan verplicht.

6.2 Partijen verplichten hun Personeel om de geheimhoudingsverplichting opgenomen in artikel 6.1 na te komen.

ARTIKEL 7. SUBVERWERKER

7.1 Conscribo betrekt in haar reguliere werkzaamheden geen subverwerkers, om ten behoeve van

<Naam organisatie> verwerkingsactiviteiten te verrichten. Indien het toch nodig of wenselijk is subverwerkers in te schakelen, dan stelt Conscribo <Naam organisatie> daarvan van te voren op de hoogte.

7.2 Conscribo betrekt voor het garanderen van de continuïteit van het Pakket de SGCC en deelt hiermee alle Persoonsgegevens met als doel, het kunnen continueren van de dienstverlening bij overmacht door Conscribo.

7.3 Wanneer Conscribo een andere verwerker inschakelt worden aan deze andere verwerker bij een overeenkomst dezelfde verplichtingen inzake gegevensbescherming opgelegd als die welke in deze Verwerkersovereenkomst zijn opgenomen.

ARTIKEL 8. BIJSTAND VANWEGE RECHTEN VAN BETROKKENE

8.1 Conscribo verleent <Naam organisatie> bijstand bij het vervullen van diens plicht om verzoeken om uitoefening van de in hoofdstuk III van de Verordening vastgestelde rechten van de Betrokkene te beantwoorden.

ARTIKEL 9. INBREUK IN VERBAND MET PERSOONSGEGEVENS

9.1 Conscribo informeert <Naam organisatie> zonder onredelijke vertraging, zodra hij kennis heeft genomen van een Inbreuk in verband met Persoonsgegevens, overeenkomstig de afspraken zoals vastgelegd in Bijlage 3.

9.2 Conscribo informeert <Naam organisatie> ook na een melding op grond van het eerste lid over ontwikkelingen betreffende de Inbreuk in verband met Persoonsgegevens.

9.3 Partijen dragen de door henzelf in verband met de melding aan de bevoegde toezichthoudende autoriteit en Betrokkene te maken kosten.

ARTIKEL 10. AANSPRAKELIJKHEID

10.1 Indien een partij tekortschiet in de nakoming van een overeengekomen verplichting, kan de andere partij haar in gebreke stellen waarbij de nalatige partij alsnog een redelijke termijn voor de nakoming wordt gegund. Blijft nakoming ook dan uit dan is de nalatige partij in verzuim. De partij die toerekenbaar tekortschiet in de nakoming van haar verplichtingen, is tegenover de andere partij aansprakelijk voor de door deze geleden en/of te lijden schade.

10.2 De in artikel 10.1 bedoelde aansprakelijkheid voor geleden schade en/of te lijden schade is beperkt tot een bedrag van EURO 50.000, - per gebeurtenis. Samenhangende gebeurtenissen worden daarbij aangemerkt als één gebeurtenis.

10.3. De in artikel 10.1 bedoelde aansprakelijkheid voor geleden schade en/of te lijden schade is beperkt tot een bedrag van ten hoogste vier maal de hoogte van de Vergoeding per gebeurtenis. Samenhangende gebeurtenissen worden daarbij aangemerkt als één gebeurtenis.

ARTIKEL 11. TERUGGAVE PERSOONSGEGEVENS

11.1 Na afloop van de Overeenkomst draagt Conscribo, op verzoek van <Naam organisatie>, zorg voor het wissen van alle Persoonsgegevens. Conscribo verwijdert kopieën, behoudens afwijkende wettelijke voorschriften.

11.2 Conscribo behoudt het recht, voor het wissen van de gegevens zoals bedoeld in artikel 11.1 een administratieve vergoeding te rekenen aan <Naam organisatie>.

11.3 Zolang een verzoek zoals bedoelt in artikel 11.1 uitblijft, bewaart Conscribo de Persoonsgegevens voor een termijn van maximaal 7 jaar na afloop van de Overeenkomst ten behoeve van raadpleging door <Naam organisatie> als onderdeel van de dienstverlening.

ARTIKEL 12. INFORMATIEVERPLICHTING EN AUDIT

12.1 Conscribo stelt alle informatie ter beschikking die nodig is om aan te tonen dat de verplichtingen uit deze Verwerkersovereenkomst zijn en worden nagekomen.

12.2 <Naam organisatie> kan in overleg met Conscribo een onafhankelijk auditor vragen Conscribo te auditen op kosten van <Naam organisatie>. Conscribo verleent alle redelijkerwijs benodigde medewerking aan deze audits.

ONDERTEKENING:

ALDUS OP DE LAATSTE VAN DE TWEE HIERNA GENOEMDE DATA OVEREENGEKOMEN EN IN TWEEVOUD ONDERTEKEND,

Handtekening vertegenwoordiger Conscribo

Conscribo online boekhouden Datum: 28 januari 2019 Plaats: Nijmegen

Handtekening <Naam organisatie>

Vertegenwoordiger <Naam organisatie> Datum:              

Plaats:              

Handtekening <Naam organisatie>

Vertegenwoordiger <Naam organisatie> (Indien gezamenlijk bevoegd) Datum:              

Plaats:              

Bijlage 1. De Verwerking van Persoonsgegevens

Conscribo verwerkt van <Naam organisatie> Persoonsgegevens. Conscribo doet dit alleen voor Opdrachten van <Naam organisatie>.

Conscribo doet dit geautomatiseerd en maakt geen oordeel over de inhoud van de Persoonsgegevens of de wettelijkheid van de verwerking hiervan.

<Naam organisatie> is verantwoordelijk voor de op een juiste manier autoriseren van haar Personeel tot het Pakket.

Bijlage 2. Passende technische en organisatorische maatregelen

Al het Personeel van Conscribo tekent een geheimhoudingsverklaring.

Alle systemen waarop Verwerkingen worden uitgevoerd zijn in volledige eigendom van Conscribo met Uitzondering van de systemen van eventuele subverwerkers.

De Conscribo systemen zijn voorzien van adequate beveiligingsmaatregelen, gangbaar bij online beschikbare systemen welke Persoonsgegevens bevatten.

Conscribo ontwikkelt haar software met veiligheid en privacy als aparte doelstelling, zodat deze in elk aspect van het pakket wordt geëvalueerd en wordt aangesproken.

Conscribo of een externe partij voert wekelijks automatische controles en tests uit om de toegang en de adequaatheid van de toegangsbeveiliging te meten. Deze tests worden op de ingangsdatum van deze overeenkomst uitgevoerd door een externe leverancier “RSULT-IT B.V.” met behulp van hun product “Guardian 360”.

Conscribo heeft een monitoringsysteem welke onregelmatigheden in de Conscribo systemen waarneemt en rapporteert aan Personeel van Conscribo.

Conscribo scheidt de persoonsgegevens van haar klanten van elkaar door “database-scheiding” voor een betere beveiliging tussen klanten.

Conscribo scheidt waar mogelijk processen die privacy gevoelige handelingen uitvoeren (zoals, maar niet uitsluitend OCR herkenning, databasebackup en migratie, bestandsbeheer) om eventuele datalekken te isoleren.

Conscribo versleutelt backupbestanden met een sterke en gangbare symmetrische encryptietechniek, om ook de veiligheid van Persoonsgegevens in backupbestanden buiten de Conscribo systemen te waarborgen.

Conscribo versleutelt toegangswachtwoorden van administraties met een sterke en asymmetrische encryptietechniek.

Conscribo versleutelt uw gegevens op de servers niet uit praktische overwegingen, maar beveiligt de toegang hiertoe met gangbare technieken.

Personeel van Conscribo heeft alleen toegang tot Persoonsgegevens, indien hier van te voren toestemming voor is gegeven door <Naam organisatie>, of op het moment dat dit om technische redenen zoals het oplossen van fouten in het systeem noodzakelijk is.

Bijlage 3: Afspraken betreffende Inbreuken in verband met Persoonsgegevens

Op het moment dat Conscribo detecteert dat Inbreuk is gemaakt op de Persoonsgegevens van <Naam organisatie>, zal Conscribo op passende wijze (via telefoon of e-mail) en op een redelijke termijn van maximaal twee weken, contact opnemen met de contactpersoon van <Naam organisatie>. Hierbij worden in overleg mitigerende maatregelen getroffen.

Op het moment dat <Naam organisatie> detecteert dat Inbreuk is gemaakt op haar Persoonsgegevens door gebruik en toedoen van Conscribo, dan neemt zijn op passende wijze (via telefoon of e-mail) en op redelijke termijn van maximaal twee weken, contact op met Conscribo.

Informatie die ten minste door Conscribo moet worden verstrekt

• Aard van de Inbreuk in verband met Persoonsgegevens

• De Persoonsgegevens en Betrokkene

• Waarschijnlijke gevolgen van de Inbreuk in verband met Persoonsgegevens

• Maatregelen die Conscribo heeft voorgesteld of genomen om de Inbreuk in verband met Persoonsgegevens aan te pakken, waaronder, in voorkomend geval, de maatregelen ter beperking van de eventuele nadelige gevolgen daarvan