Verwerkersovereenkomst
Verwerkersovereenkomst
tussen
....................................
- de controleur - hierna verwezen als de klant en
ALSO Nederland
- de verwerker - hierna verwezen als de leverancier
1. Onderwerp en duur van de bestelling of overeenkomst
(1) Onderwerp
Het onderwerp van de bestelling of overeenkomst betreffende de verwerking van gegevens is de uitvoering van de volgende diensten of opdrachten door de leverancier: technische ondersteuning, bestellingverwerking, IT-diensten, klantendienst, clouddiensten.
(2) Duur
De duur van deze bestelling (termijn) stemt overeen met de termijn van de dienstovereenkomst binnen het kader van het respectieve product, dienst, aankoop en/of arbeidscontracten.
2. Specificatie van de bestelling- of overeenkomst-details
(1) Aard en doel van de bedoelde verwerking van gegevens
Gedetailleerde beschrijving van het onderwerp met betrekking tot de aard en het doel van de diensten geleverd door de leverancier:
Aard van de gegevens | Doel van de verwerking | Gegevens onderwerp |
Persoonsgegevens naam, | Verwerking van | Tewerkgestelden van |
adres, contactgegevens, | bestellingen, technische | gegevenscontroleur, |
details van bankrekening. | steun, IT-diensten, | zakenpartner, klant, |
klantendiensten, | verkoper, geïnteresseerde | |
clouddiensten. | personen. |
De uitvoering van de contractueel aanvaarde verwerking van gegevens zal worden gedaan uitsluitend binnen een Lidstaat van de Europese Unie (EU), binnen een Lidstaat van de Europese Economische Zone (EEZ) of in een land dat opgenomen is in de beslissing van
adequaatheid van de Europese Commissie. Elke en alle gegevenstransfer(s) naar een staat die geen Lidstaat is noch van de EU noch van de EEZ vereist de voorafgaande toestemming van de klant en zal slechts gebeuren indien de specifieke voorwaarden van artikel 44 en volgende van de AVG worden vervuld. Het adequate niveau van bescherming in een land dat geen lid is van de EU dient te worden gegarandeerd door standaard contractuele clausules van de EU. (Art 46 Abs 2 lid c en d EU-AVG)
(2) Type gegevens
Het onderwerp van de verwerking van persoonsgegevens omvat de volgende gegevenstypes/categorieën: persoonlijke mastergegevens (persoonlijke sleutelgegevens), contactgegevens, contract sleutelgegevens (contractuele/wettige relaties, contractueel of productbelang), klantenhistoriek, contract facturatie en betalingsgegevens, openbaar gemaakte Informatie (van derde partijen, vb. Krediet-Agenturen of openbare directories), informatie betreffende systeemconfiguratie en klantenomgeving.
(3) Categorieën van gegevens onderwerpen
De categorieën van gegevens onderwerpen omvatten: tewerkgestelden van de gegevenscontroleur, zakenpartner, klanten, potentiële klanten, inschrijvers, tewerkgestelden, leveranciers, contactpersonen.
3. Technische en organisatorische maatregelen
(1) Vóór het begin van de verwerking, zal de leverancier de uitvoering documenteren van de nodige technische en organisatorische maatregelen [Details in bijvoegsel 1], uitgestippeld vóór de toekenning van de bestelling of overeenkomst, specifiek met betrekking tot de gedetailleerde uitvoering van de overeenkomst, en zal deze gedocumenteerde maatregelen voorstellen aan de klant voor inspectie. Na aanvaarding door de klant, worden de gedocumenteerde maatregelen de basis van de overeenkomst. Voor zover de inspectie/audit door de klant de noodzaak aantoont van wijzigingen, zullen dergelijke wijzigingen worden doorgevoerd in onderlinge overeenstemming.
(2) De Leverancier zal de veiligheid instellen overeenkomstig artikel 28 paragraaf 3 punt c, en artikel 32 AVG (Algemene Verordening Gegevensbescherming) in het bijzonder in samenhang met artikel 5 paragraaf 1, en paragraaf 2 AVG. De te nemen maatregelen zijn maatregelen voor gegevensbeveiliging en maatregelen die een beschermingsniveau verzekeren aangepast aan het risico met betrekking tot vertrouwelijkheid, integriteit, beschikbaarheid en herstellingsvermogen van de systemen. Het technische peil, de kosten van implementatie, de aard, reikwijdte en doeleinden van de verwerking alsmede de waarschijnlijkheid van gebeuren en de ernst van het risico voor de rechten en vrijheden van natuurlijke personen in de zin van artikel 32 paragraaf 1 AVG moeten in rekening genomen worden. [Details in bijvoegsel 1]
(3) De technische en organisatorische maatregelen zijn onderworpen aan technische vooruitgang en verdere ontwikkeling. In dit verband, is het de leverancier toegelaten om alternatieve aangepaste maatregelen te treffen. In dit geval, mag het veiligheidsniveau van de bepaalde maatregelen niet verminderd worden. Substantiële wijzigingen dienen te worden gedocumenteerd.
4. Correctie, beperking en wissen van gegevens
(1) De leverancier mag niet op eigen initiatief de verwerking van gegevens corrigeren, wissen of beperken die worden verwerkt namens de klant, maar alleen op uitdrukkelijke instructie van de klant.
Voor zover de persoon/ het bedrijf van de gegevens de klant rechtstreeks contacteert betreffende een correctie, verwijdering of beperking van de verwerking, zal de leverancier onmiddellijk de aanvraag van de gegevens doorsturen naar de klant.
(2) Voor zover dit is inbegrepen in de draagwijdte van diensten, de uitwispolitiek, het ‘recht om vergeten te worden’, rectificatie, gegevensdraagbaarheid en -toegang zullen worden verzekerd door de leverancier overeenkomstig de gedocumenteerde instructies van de klant zonder onnodig uitstel.
5. Kwaliteitsverzekering en andere verplichtingen van de Leverancier
Behalve het naleven van de regels opgesteld in deze bestelling of overeenkomst, zal de leverancier de statutaire vereisten vervullen waarnaar verwezen wordt in artikels 28 tot en met 33 AVG; tegelijkertijd, verzekert de leverancier, in het bijzonder, de naleving van de volgende vereisten:
a) Aangeduide gegevensbeschermingsagent, die zijn/haar taken vervult in overeenstemming met de artikelen 38 en 39 AVG.
□ De klant zal worden ingelicht over zijn/haar contactdetails met het oog op direct contact. De klant zal onmiddellijk worden ingelicht over enige verandering van gegevensbeschermingsagent.
□ De leverancier heeft aangeduid de xxxx Xxxxxxxxx Xxxxxxx, ALSO Nederland & ALSO België, x00(0)000000000, Xxxxxxxxx.xxxxxxx@xxxx.xxx als gegevensbeschermingsagent. De klant zal onmiddellijk worden ingelicht over enige verandering van gegevensbeschermingsagent.
□ Zijn/haar huidige contactdetails zijn altijd beschikbaar en makkelijk toegankelijk op de website van de leverancier.
b) Vertrouwelijkheid in overeenstemming met artikel 28 paragraaf 3 zin 2 punt b, artikels 29 en 32 paragraaf 4 AVG. De leverancier vertrouwt slechts die tewerkgestelden toe met de gegevensverwerking beschreven in deze overeenkomst en die gebonden zijn geweest aan vertrouwelijkheid en voorheen vertrouwd werden gemaakt met de gegevensbeschermingsvoorwaarden die belangrijk zijn voor dit werk. De Leverancier en eender welke persoon die handelt onder zijn/haar gezag en die toegang heeft tot persoonsgegevens, zal deze gegevens niet verwerken tenzij in opdracht van de klant, wat de bevoegdheden inhoudt verleend in deze overeenkomst, tenzij dit dient te gebeuren om wettelijke redenen.
c) De implementatie van en het overeenstemmen met alle technische en organisatorische maatregelen nodig voor deze bestelling of overeenkomst in overeenstemming met artikel 28 paragraaf 3 zin 2 punt c, artikel 32 AVG [details in bijvoegsel 1].
d) De klant en de leverancier zullen samenwerken, op verzoek, met de superviserende overheid in de uitvoering van zijn/hun opdrachten.
e) De klant zal onmiddellijk worden ingelicht over enige inspectie en maatregelen uitgevoerd door de controlerende overheid, voor zover als deze betrekking hebben op deze bestelling of deze overeenkomst. Dit is tevens geldig voor zover de leverancier onder instructie staat of deel is van een onderzoek door een bevoegde overheid in verband met overtredingen op eender welke burgerlijke of strafrechtelijke wet, of administratieve regel of regeling betreffende de verwerking van persoonsgegevens in verband met de verwerking van deze bestelling of overeenkomst.
f) Voor zover de klant onderworpen is aan een inspectie door de toezichthoudende autoriteit, een administratief of samenvattend misdrijf of strafrechtelijke procedure, een aansprakelijkheidsvordering door een gegevens onderwerp of door een derde partij of enige eis in verband met de bestelling of de overeenkomst van gegevensverwerking door de leverancier, zal de leverancier alle mogelijk inspanningen leveren om de klant te ondersteunen.
g) De leverancier zal periodiek de inwendige processen controleren en de technische en organisatorische maatregelen om te verzekeren dat de verwerking binnen deze zone in overeenstemming is met de vereisten van de wet op toepasbare gegevensbescherming en de bescherming van de rechten van het gegevens onderwerp.
h) De controleerbaarheid van de technische en organisatorische maatregelen gevoerd door de klant als onderdeel van de toezichthoudende bevoegdheden van de klant zoals vermeld in item 7 van deze overeenkomst.
6. Onderaanneming
(1) Onderaanneming in de zin van deze overeenkomst dient opgevat te worden als diensten die rechtstreeks verband houden met de levering van de hoofddienst. Dit omvat geen aanvullende diensten, zoals diensten van telecommunicatie, post/transportdiensten, onderhoud en gebruikersondersteuningsdiensten of de verwijdering van gegevensdragers, evenals andere diensten om de vertrouwelijkheid, beschikbaarheid, integriteit en herstelvermogen te verzekeren van de hardware en de software van de gegevensverwerkende uitrusting. De leverancier zal, niettemin, verplicht zijn om aangepaste en wettig bindende contractuele akkoorden te sluiten en om de gepaste inspectiemaatregelen te treffen om de gegevensbeveiliging en de gegevensbescherming te verzekeren van de gegevens van de klant, zelfs in het geval van bijkomende diensten die in onderaanneming zijn gegeven.
(2) Bestellingen mogen worden doorgegeven aan onderaannemers binnen het kader van de activiteiten die zijn overeengekomen in de bestelling. De onderaannemers zullen worden meegedeeld
aan de klant op verzoek. De leverancier zal zorgvuldig de onderaannemers selecteren overeenkomstig hun geschiktheid, in het bijzonder betreffende de vereisten van de EU-AVG, en zal hen regelmatig controleren. Bovendien, zal de leverancier met de onderaannemers een overeenkomst aangaan over de bestellingverwerking in overeenstemming met deze overeenkomst.
(3) De transfer van persoonsgegevens van de klant naar de onderaannemer en de aanvang van de gegevensverwerking door de onderaannemer zal slechts worden aangegaan na vervulling van alle vereisten.
(4) Indien de onderaannemer de overeengekomen dienst buiten de EU uitvoert, zal de leverancier de naleving verzekeren van de Europese privacy verordening algemene verordening gegevensbescherming door middel van passende maatregelen. Hetzelfde geldt indien dienstenleveranciers worden gebruikt binnen de betekenis van paragraaf 1 zin 2.
(5) Verdere onderaanneming door de onderaannemer vereist het akkoord van de leverancier (op zijn minst in tekstvorm). Alle contractuele voorschriften in de contractenketting moeten tevens opgelegd worden aan de andere onderaannemer.
7. Controlerende machten van de Klant
(1) De klant heeft het recht, na consultatie met de leverancier, inspecties uit te voeren door een persoon die gebonden is door beroepsgeheim of om deze te laten uitvoeren door een auditeur die moet worden benoemd in elk individueel geval. Deze heeft het recht om zichzelf te overtuigen van de naleving van deze overeenkomst door middel van steekproeven, die gewoonlijk tijdig moeten worden aangekondigd.
(2) De leverancier zal ervoor zorgen dat de klant in staat is om de naleving van de verplichtingen van de leverancier na te gaan in overeenkomst met artikel 28 AVG. De leverancier geeft de klant de noodzakelijke informatie op aanvraag, en, in het bijzonder, bewijst de uitvoering van de technische en organisatorische maatregelen.
(3) Het bewijs van dergelijke maatregelen, die niet alleen betrekking hebben op de bestelling of de overeenkomst, mag worden geleverd door vervulling van de aangenomen gedragscodes volgens artikel 40 AVG; certificatie volgens een aangenomen certificatieprocedure overeenkomstig artikel 42 AVG; geldige certificatie, rapporten of uittreksels van huidige auditeurs uit rapporten geleverd door onafhankelijke instanties (vb. auditeur, gegevensbeschermingsagent, IT-beveiligingsdepartement, auditeur voor gegevensbescherming, kwaliteitsauditeur). Een gepaste certificatie door IT-beveiliging of gegevensbeschermingsauditing (vb. overeenkomstig met BSI-Grundschutz (IT Baseline Protection certificatie ontwikkeld door de Duitse Federal Office for Security in Information Technology (BSI)) of ISO/IEC 27001).
(4) De leverancier kan een vergoeding eisen voor het mogelijk maken van de klant- inspecties.
8. Communicatie in het geval van overtredingen door de leverancier
(1) De leverancier zal de klant bijstaan in het naleven van de verplichtingen betreffende de veiligheid van de persoonsgegevens, door het rapporteren van vereisten voor gegevensschendingen, gegevensbescherming impactraadgevingen en voorafgaande consultaties, waarnaar wordt verwezen in artikels 32 tot 36 van de AVG. Deze omvatten:
a) Het verzekeren van een aangepast beschermingsniveau doorheen technische en organisatorische maatregelen die rekening houden met de omstandigheden en doeleinden van de verwerking alsmede de geprojecteerde waarschijnlijkheid en ernst van een mogelijke overtreding van de wet ten gevolge van kwetsbaarheden en die een onmiddellijke detectie toelaten van relevante schendingsgebeurtenissen.
b) De verplichting om onmiddellijk aan de Klant een inbreuk op persoonsgegevens te rapporteren.
c) De plicht om de klant bij te staan in verband met de verplichting van de klant om informatie te verschaffen aan het betrokken gegevens onderwerp en om onmiddellijk aan de klant alle relevante informatie te bezorgen in dit verband.
d) De klant ondersteunen met zijn raadgevingen op de gegevensbescherming impact.
e) De klant ondersteunen betreffende de voorafgaande consultatie van de toezichthoudende overheid.
(2) De leverancier kan vergoeding eisen voor ondersteuningsdiensten die niet inbegrepen zijn in de beschrijving van de diensten en die niet te wijten zijn aan fouten vanwege de leverancier.
9. Gezag van de klant om instructies uit te vaardigen
(1) De klant zal onmiddellijk mondelinge instructies bevestigen (ten minste in tekstvorm).
(2) De leverancier zal de klant onmiddellijk inlichten indien hij oordeelt dat een instructie de gegevensbeschermingsregelingen overtreedt. De leverancier heeft alsnog het recht de uitvoering op te schorten van de relevante instructies totdat de Klant deze bevestigt of wijzigt.
10. Uitwissen en terugbezorgen van persoonsgegevens
(1) Kopieën of duplicaten van de gegevens zullen nooit worden gecreëerd zonder medeweten van de Klant, met uitzondering van back-up Kopieën voor zover deze noodzakelijk zijn om een ordelijke gegevensverwerking te garanderen, evenals gegevens die vereist zijn om te voldoen aan de wettelijke vereisten om gegevens te bewaren.
(2) Na beëindiging van de gecontracteerde taak, of eerder op verzoek van de klant, ten laatste bij het beëindigen van de dienstenovereenkomst, zal de leverancier aan de klant alle documenten, verwerkings- en gebruiksresultaten, en gegevenssets overhandigen aan de klant of -mits voorafgaandelijke overeenkomst - vernietigen, die in verband staan met de overeenkomst, en die in zijn bezit zijn gekomen, op een wijze die conform is met de gegevensbescherming. Hetzelfde geldt voor elk verbonden test, afval, overbodig en afgedankt materiaal. De registratie van de vernietiging of vernietiging zal op verzoek worden overgemaakt.
(3) Documentatie die gebruikt wordt voor de demonstratie van ordelijke gegevensverwerking in overeenstemming met de bestelling of de overeenkomst, zal worden bewaard na de contractduur door de leverancier in overeenstemming met de respectievelijke bewaartermijnen. Deze kan dergelijke documentatie overhandigen aan de Klant op het einde van de contractduur om de Leverancier te ontslaan van zijn contractuele verplichting.
Klant: Leverancier:
(plaats / datum) (plaats / datum)
(Handtekening / stempel) Handtekening / stempel)
(Naam / functie van de ondergetekende) (naam / functie van de ondergetekende)
Appendix - Technical and Organisational Measures
1. Confidentiality (Article 32 Paragraph 1 Point b GDPR)
• Physical Access Control
No unauthorised access to Data Processing Facilities, e.g.: magnetic or chip cards, keys, electronic door openers, facility security services and/or entrance security staff, alarm systems, video/CCTV Systems
• Electronic Access Control
No unauthorised use of the Data Processing and Data Storage Systems, e.g.: (secure) passwords, automatic blocking/locking mechanisms, two-factor authentication, encryption of data carriers/storage media
• Internal Access Control (permissions for user rights of access to and amendment of data)
No unauthorised Reading, Copying, Changes or Deletions of Data within the system,
e.g. rights authorisation concept, need-based rights of access, logging of system access events
• Isolation Control
The isolated Processing of Data, which is collected for differing purposes, e.g. multiple Client support, sandboxing;
• Pseudonymisation (Article 32 Paragraph 1 Point a GDPR; Article 25 Paragraph 1 GDPR)
The processing of personal data in such a method/way, that the data cannot be associated with a specific Data Subject without the assistance of additional Information, provided that this additional information is stored separately, and is subject to appropriate technical and organisational measures.
2. Integrity (Article 32 Paragraph 1 Point b GDPR)
• Data Transfer Control
No unauthorised Reading, Copying, Changes or Deletions of Data with electronic transfer or transport, e.g.: Encryption, Virtual Private Networks (VPN), electronic signature;
• Data Entry Control
Verification, whether and by whom personal data is entered into a Data Processing System, is changed or deleted, e.g.: Logging, Document Management
3. Availability and Resilience (Article 32 Paragraph 1 Point b GDPR)
• Availability Control
Prevention of accidental or wilful destruction or loss, e.g.: Backup Strategy (online/offline; on-site/off-site), Uninterruptible Power Supply (UPS), virus protection, firewall, reporting procedures and contingency planning
• Rapid Recovery (Article 32 Paragraph 1 Point c GDPR) (Article 32 Paragraph 1 Point c GDPR);
4. Procedures for regular testing, assessment and evaluation (Article 32 Paragraph 1 Point d GDPR; Article 25 Paragraph 1 GDPR)
• Data Protection Management;
• Incident Response Management;
• Data Protection by Design and Default (Article 25 Paragraph 2 GDPR);
• Order or Contract Control
No third party data processing as per Article 28 GDPR without corresponding instructions from the Client, e.g.: clear and unambiguous contractual arrangements, formalised Order Management, strict controls on the selection of the Service Provider, duty of pre-evaluation, supervisory follow-up checks.