Verwerkersovereenkomst
Verwerkersovereenkomst
Opdrachtgever: ondertekenende organisatie
en
Opdrachtnemer/Verwerker:
• NOA BV
• gevestigd aan het Singel 262 te Amsterdam, Kamer van Koophandel nummer 34333731 en rechtsgeldig vertegenwoordigd door de heer Dr. X. X. xxx xxx Xxxx
in aanmerking nemende dat
• Opdrachtgever Persoonsgegevens door Verwerker wil laten verwerken, ten behoeve van de uitvoering van de overeenkomst die met NOA is gesloten
• Verantwoordelijke Verwerker schriftelijk zal instrueren over de verwerking van persoonsgegevens
• Verwerker die in het kader van de uitvoering van de Overeenkomst Verantwoordelijke persoonsgegevens werkt, is aan te merken als verwerker in de zin van de Algemene Verordening Gegevensbescherming (AVG) en Instelling als verantwoordelijke in de zin van de AVG.
• Verwerker en Verantwoordelijke (hierna: “Partijen”), mede gelet op het vereiste uit de AVG, hun rechten en plichten schriftelijk wensen vast te leggen middels deze verwerkersovereenkomst (hierna: “Verwerkersovereenkomst”).
• De algemene bepalingen uit de Verwerkersovereenkomst gelden voor alle Verwerkingen in de uitvoering van de Overeenkomst.
zijn als volgt overeengekomen ARTIKEL 1. DEFINITIES
1.1 Betrokkene is degene op wie een Persoonsgegeven betrekking heeft.
1.2 Verwerkersovereenkomst is de onderhavige overeenkomst.
1.3 Bijzondere gegevens zijn Persoonsgegevens als bedoeld in de AVG.
1.4 Datalek is een inbreuk op de beveiliging als bedoeld in de AVG.
1.5 Dienst is de onder de Overeenkomst te leveren dienst van NOA.
1.6 Gebruiker is een op enigerlei wijze aan opdrachtgever verbonden (natuurlijke) persoon, zoals personeel, docenten en/of studenten, die door de opdrachtgever geautoriseerd is tot (een bepaald deel van) de Dienst.
1.7 Hulpleverancier is een partij die door Verwerker is ingeschakeld om te ondersteunen bij het uitvoeren van de Dienst. Indien Hulpleverancier in opdracht van Verwerker persoonsgegevens verwerkt, is Hulpleverancier tevens aan te merken als subverwerker.
1.8 Persoonsgegeven is elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon, die op welke wijze dan ook door Verwerker verwerkt wordt of zal worden in het kader van de Overeenkomst.
1.9 Verwerking is elke handeling of elk geheel van handelingen met betrekking tot Persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens.
ARTIKEL 2. ALGEMEEN
2.1 Verwerker verbindt zich onder de voorwaarden van deze Verwerkersovereenkomst in opdracht van Verantwoordelijke Persoonsgegevens te verwerken. Verwerker zal de Persoonsgegevens verwerken op
behoorlijke, zorgvuldige en vertrouwelijke wijze en in overeenstemming met de AVG en andere toepasselijke regelgeving betreffende de verwerking van Persoonsgegevens.
2.2 Verwerking door Verwerker zal uitsluitend plaatsvinden voor zover noodzakelijk om de Dienst zoals omschreven in de Overeenkomst aan de Verantwoordelijke te verlenen. Voor de uitvoering van de Dienst kunnen uitsluitend de categorieën Persoonsgegevens worden verwerkt die in Bijlage A zijn gespecificeerd.
2.3 In Bijlage A staat per Dienst beschreven welke (groepen) medewerkers toegang tot de Persoonsgegevens hebben en welke Verwerkingen door medewerkers zijn toegestaan.
2.4 Verwerker zal Persoonsgegevens die haar in het kader van de Overeenkomst ter beschikking zijn gesteld niet langer bewaren dan noodzakelijk is (i) voor de uitvoering van deze Overeenkomst; of (ii) om een op hem rustende wettelijke verplichting na te komen. In Bijlage A staat per (onderdeel van de) Dienst gespecificeerd hoe lang Persoonsgegevens worden bewaard.
2.5 Verwerker zal de Persoonsgegevens uitsluitend verwerken in opdracht en volgens de instructies van Verantwoordelijke. Verwerker mag de Persoonsgegevens niet ten eigen nutte, ten nutte van derden, en/of voor eigen dan wel reclamedoeleinden c.q. andere doeleinden verwerken, behoudens op hem rustende afwijkende dwingendrechtelijke verplichtingen.
2.6 Verwerker is verplicht Verantwoordelijke onmiddellijk te informeren over toekomstige wijzigingen in de uitvoering van de Overeenkomst, zodat Verantwoordelijke kan toezien op de naleving van afspraken met Verwerker. Hieronder wordt mede begrepen de inschakeling van (nieuwe) Hulpleveranciers, onverminderd het bepaalde in artikel 3 (Inzet van hulpleveranciers) en artikel 14 (Wijziging).
ARTIKEL 3. INZET VAN HULPLEVERANCIERS
3.1 Zonder de voorafgaande schriftelijke toestemming van Verantwoordelijke verleent Verwerker aan derden, waaronder Hulpleveranciers en aan groepsmaatschappijen waartoe Verwerker behoort, zoals dochter- of zustermaatschappijen, geen toegang tot de Persoonsgegevens. Verantwoordelijke zal deze toestemming niet op onredelijke gronden onthouden. Bij het verlenen van toestemming is Verantwoordelijke gerechtigd voorwaarden te verbinden of de toestemming in tijd te beperken.
3.2 Aan toestemming van de Verantwoordelijke voor de inschakeling van Hulpleveranciers bij het leveren van de Dienst zullen in ieder geval de volgende voorwaarden worden verbonden:
• Verwerker heeft een schriftelijke overeenkomst met de desbetreffende Hulpleverancier waarin in ieder geval het volgende is opgenomen:
o een verplichting dat de Hulpleverancier dient te handelen in overeenstemming met alle bepalingen uit de Verwerkersovereenkomst met betrekking tot de Verwerking van Persoonsgegevens (waaronder de bijlagen bij de Verwerkersovereenkomst);
o een verplichting dat de Hulpleverancier alle aanwijzingen met betrekking tot de verwerking van Persoonsgegevens van Verantwoordelijke en Verwerker opvolgt;
o een verplichting van de Hulpleverancier om de Persoonsgegevens uitsluitend in opdracht en volgens de instructies van Verwerker te verwerken;
o een verplichting dat de Hulpleverancier de Verwerker (en daarmee de Verantwoordelijke) in staat stelt zijn verplichtingen in het geval van een vermoedelijk of daadwerkelijk Datalek na te komen.
• Verwerker geeft pas toegang aan de Hulpleverancier na de toestemming van Verantwoordelijke; en
• Verantwoordelijke heeft de mogelijkheid om gemaakte afspraken tussen Verwerker en de Hulpleverancier op te vragen.
De door Verantwoordelijke gegeven toestemming laat onverlet de verantwoordelijkheid en aansprakelijkheid van Verwerker voor de nakoming van de Verwerkersovereenkomst.
3.3 Verwerker vrijwaart Verantwoordelijke voor alle aanspraken van derden, daaronder begrepen Betrokkenen, die jegens Verantwoordelijke mochten worden ingesteld wegens een aan Verwerker of door haar ingeschakelde Hulpleverancier, toe te rekenen schending van de AVG of andere toepasselijke regelgeving betreffende de Verwerking van Persoonsgegevens.
ARTIKEL 4. BEVEILIGING
4.1 Verwerker legt passende technische en organisatorische maatregelen ten uitvoer om Persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging daarvan, een passend beveiligingsniveau gelet op de risico’s die de Verwerking en de aard van de te beschermen Persoonsgegevens meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere Verwerking te voorkomen. Verwerker legt de maatregelen schriftelijk vast en draagt er zorg voor dat de beveiliging zoals bedoeld in dit artikellid voldoet aan de beveiligingseisen op grond van de AVG. In Bijlage A zijn de beveiligingsmaatregelen beschreven die de Verwerker in ieder geval zal toepassen.
4.2 Verwerker zal Verantwoordelijke desgevraagd schriftelijk informatie verstrekken met betrekking tot (de organisatie van) de beveiliging van Persoonsgegevens.
ARTIKEL 5. VERTROUWELIJKHEID
5.1 Partijen zullen alle gegevens waarvan zij het vertrouwelijk karakter kennen of redelijkerwijs kunnen vermoeden en die hen in het kader van de uitvoering van de Overeenkomst of Verwerkersovereenkomst ter kennis of beschikking komen, geheimhouden en op geen enkele wijze verder intern of extern bekendmaken en/of aan derden verstrekken, behalve voor zover:
a) Bekendmaking en/of verstrekking van die gegevens in het kader van de uitvoering van de Overeenkomst noodzakelijk is;
b) Enig dwingendrechtelijk Nederlands wettelijk voorschrift of Nederlandse rechterlijke uitspraak Partijen tot bekendmaking en/of verstrekking van die gegevens of informatie verplicht, waarbij Partijen eerst de andere partij hiervan op de hoogte stellen;
c) Bekendmaking en/of verstrekking van die gegevens geschiedt met voorafgaande schriftelijke toestemming van de andere Partij; dan wel
d) Het informatie betreft die al rechtmatig openbaar was op een andere wijze dan door het handelen of nalaten van een der Partijen.
5.2 Als een Partij zijn geheimhoudingsverplichting schendt, is zij een direct opeisbare boete van EUR 25.000 per overtreding aan de andere Partij verschuldigd. In afwijking van artikel 6:92 BW komen partijen overeen dat het een Partij vrij staat om naast boetes, volledige schadevergoeding te vorderen en wordt het recht op nakoming of (gedeeltelijke) ontbinding onverlet gelaten.
5.3 Partijen zullen voor hen werkzame personen (waaronder werknemers) die betrokken zijn bij de verwerking van vertrouwelijke gegevens contractueel verplichten tot geheimhouding van die vertrouwelijke gegevens.
5.4 Partijen verlenen op verzoek van de andere Partij hun medewerking aan het uitoefenen van toezicht door of namens de andere Partij op de bewaring en het gebruik van vertrouwelijke gegevens door de andere Partij.
5.5 De Verwerker stelt alle gegevens die zij in het kader van de uitvoering van de Overeenkomst onder zich heeft, inclusief eventueel daarvan gemaakte kopieën, op eerste verzoek aan de Verantwoordelijke ter beschikking.
ARTIKEL 6. MELDPLICHT DATALEKKEN EN BEVEILIGINGSINBREUKEN
6.1 In het geval van een vermoedelijk(e) of daadwerkelijk(e) (i) Datalek; (ii) schending van de beveiligingsmaatregelen; (iii)schending van de geheimhoudingsplicht of (iv) verlies van vertrouwelijke gegevens zal Verwerker de Verantwoordelijke direct, doch uiterlijk binnen 48 uur na de eerste ontdekking van het incident, informeren. De Verwerker zal op eigen kosten alle redelijkerwijs benodigde maatregelen treffen om (verdere) onbevoegde kennisneming, wijziging, en verstrekking dan wel anderszins onrechtmatige verwerking te voorkomen of te beperken en een schending van beveiligingsmaatregelen, schending van de geheimhoudingsplicht of verder verlies van vertrouwelijke Gegevens te beëindigen en in de toekomst te voorkomen, onverminderd enig recht van Verantwoordelijke op schadevergoeding of andere maatregelen. Deze bepaling is van toepassing op incidenten bij de Verwerker en haar eventuele Hulpleveranciers.
6.2 De informatie van de Verwerker behelst in ieder geval de in de Bijlage B beschreven gegevens voor zover toepasselijk. Verwerker garandeert dat de verstrekte informatie volledig, correct en accuraat is.
6.3 Verwerker zal op verzoek van Verantwoordelijke meewerken aan het informeren van de bevoegde autoriteiten en betrokkene(n).
6.4 Verwerker maakt schriftelijke afspraken met Hulpleveranciers over het melden van incidenten aan Verwerker, die de Verwerker en de Verantwoordelijke in staat stellen verplichtingen in het geval van een incident zoals beschreven in lid 1 na te leven. In deze afspraken moet in ieder geval de verplichting worden opgenomen dat de Hulpleverancier de Verwerker direct, maar uiterlijk binnen 24- uur na de eerste ontdekking zal informeren over een incident zoals beschreven in lid 1 en op verzoek van Xxxxxxxxxxxxxxxxx zal meewerken aan het informeren van de bevoegde autoriteiten en betrokkene(n).
ARTIKEL 7. AUDIT
7.1 Verwerker is verplicht periodiek of op verzoek een door haar aan te wijzen onafhankelijke EDP-auditor of deskundige een onderzoek te laten uitvoeren ten aanzien van de organisatie van Verwerker, teneinde te doen vaststellen dat Verwerker aan het bepaalde met betrekking tot de bescherming van de vertrouwelijkheid, integriteit, beschikbaarheid en beveiliging van Persoonsgegevens en vertrouwelijke gegevens zoals omschreven in de Overeenkomst en Verwerkersovereenkomst voldoet. De frequentie van het onderzoek is een keer per drie jaar.
7.2 Verwerker is verplicht de bevindingen van de EDP-auditor of deskundige, in de vorm van een TPM- verklaring, na een verzoek ter zake aan Verantwoordelijke ter beschikking te stellen.
7.3 De kosten van de periodieke audit komen voor rekening van de Verwerker. De kosten van de audit op verzoek komen voor rekening van de Verantwoordelijke, tenzij uit de bevindingen van de audit blijkt dat de Verwerker de bepalingen uit de Verwerkersovereenkomst niet is nagekomen. In dat geval komen de kosten voor rekening van Verwerker. Deze bepaling laat de overige rechten van de Verantwoordelijke, waaronder die op schadevergoeding, onverlet.
7.4 Wanneer tijdens een audit wordt vastgesteld dat Verwerker niet aan het bepaalde in de Overeenkomst en de Verwerkersovereenkomst voldoet, zal Verwerker alle redelijkerwijs noodzakelijke maatregelen nemen om te zorgen dat zij hieraan alsnog voldoet.
ARTIKEL 8. INTERNATIONAAL VERKEER
8.1 Verwerker garandeert dat iedere verwerking van Persoonsgegevens welke door of namens Verwerker met inbegrip van de door haar ingeschakelde derden wordt verricht in verband met het uitvoeren van de Overeenkomst binnen de Europese Economische Ruimte (EER) plaats zal vinden of naar of vanuit landen die een passend beschermingsniveau waarborgen in overeenstemming met de van toepassing zijnde privacyregelgeving. Zonder de voorafgaande schriftelijke toestemming van Verantwoordelijke mag Verwerker derhalve geen Persoonsgegevens doorgeven naar of opslaan in een land buiten de EER of Persoonsgegevens toegankelijk maken vanuit een niet-EER land, tenzij dit land een passend beschermingsniveau heeft. Aan deze toestemming kan Verantwoordelijke voorwaarden verbinden, waaronder maar niet beperkt tot de verplichting voor Verwerker om aan te tonen dat voldaan is aan de wettelijke vereisten ten aanzien van gegevensverkeer met landen buiten de EER.
8.2 Indien de technische karakteristieken van een transmissiemedium een dergelijke garantie onmogelijk maken, zal de transmissie van gegevens uitsluitend versleuteld plaatsvinden waarbij voor de versleuteling geavanceerde (zijnde minstens zo geavanceerd als in de markt gebruikelijk) technieken zullen worden gebruikt. Verwerker verschaft voorafgaand aan het sluiten van de Verwerkersovereenkomst inzicht in de locatie(s) waarop de gegevensverwerking plaatsvindt.
ARTIKEL 9. OPSPORINGSVERZOEKEN
9.1 Indien Verwerker een verzoek of een bevel van een Nederlandse of buitenlandse toezichthouder, overheidsinstantie of een opsporings-, strafvorderings- of nationale veiligheidsinstantie ontvangt om (inzage in) Persoonsgegevens te verschaffen, dan zal Verwerker de Verantwoordelijke onverwijld informeren. Bij de behandeling van het verzoek of bevel zal Verwerker alle instructies van Verantwoordelijke in acht nemen (waaronder de instructie om de behandeling van het verzoek of bevel geheel of gedeeltelijk aan Verantwoordelijke over te laten) en alle redelijkerwijs benodigde medewerking verlenen.
9.2 Indien het Verwerker op grond van het verzoek of bevel is verboden om te voldoen aan zijn verplichtingen op grond van het bovenstaande, dan zal Verwerker de redelijke belangen van Verantwoordelijke behartigen. Verwerker zal daartoe in ieder geval:
a. Juridisch laten toetsen in hoeverre (i) Verwerker wettelijk verplicht is om aan het verzoek of bevel te voldoen; en (ii) het Verwerker daadwerkelijk is verboden om aan haar verplichtingen jegens Verantwoordelijke op grond van het bovenstaande te voldoen;
b. Alleen aan het verzoek of bevel meewerken indien zij hiertoe wettelijk verplicht is en waar mogelijk (in rechte) bezwaar maken tegen het verzoek of bevel of het verbod om Verantwoordelijk hierover te informeren of haar instructies op te volgen;
c. Niet meer of andere Persoonsgegevens verstrekken dan strikt noodzakelijk om aan het verzoek of bevel te voldoen;
d. Indien sprake is van doorgifte naar een land buiten de EER: de mogelijkheden onderzoeken om te voldoen aan de AVG;
e. Verantwoordelijke onverwijld informeren zodra dit is toegestaan.
9.3 In dit artikel wordt onder “wettelijk” niet alleen Nederlandse maar ook buitenlandse wet- en regelgeving verstaan. In afwijking van opgenomen in deze Verwerkersovereenkomst, geldt Verwerker als verantwoordelijke als zij zonder inhoudelijke tussenkomst van Verantwoordelijke beslist tot inzage in of verstrekking van Persoonsgegevens aan een toezichthouder of overheidsinstantie.
ARTIKEL 10. INFORMEREN VAN BETROKKENEN
10.1 Verwerker zal haar volledige medewerking verlenen opdat Verantwoordelijke kan voldoen aan zijn wettelijke verplichtingen in het geval dat een Betrokkene zijn rechten uitoefent op grond van de AVG of andere toepasselijke regelgeving betreffende de verwerking van Persoonsgegevens.
10.2 Indien een Betrokkene met betrekking tot de uitvoering van zijn rechten onder de AVG direct contact opneemt met Verwerker, dan gaat Verwerker hier- behoudens uitdrukkelijke andersluidende instructie van Verantwoordelijke - in eerste instantie niet (inhoudelijk) op in, maar bericht hij dit onverwijld aan Verantwoordelijke met een verzoek om nadere instructies.
10.3 Als Verwerker de Dienst in het kader van de Overeenkomst rechtstreeks aanbiedt aan eindgebruikers van wie Persoonsgegevens worden opgeslagen, dan is Verwerker verplicht om op een makkelijk toegankelijke en permanent beschikbare manier de eindgebruiker te informeren over het volgende:
a. de naam en het adres van de Verwerker;
b. de doeleinden waarvoor Verwerker de Persoonsgegevens verwerkt;
c. de categorieën Persoonsgegevens die de Verwerker verwerkt;
d. de derden aan wie de Persoonsgegevens toegankelijk worden gemaakt;
x. xx xxxxxx waarnaar de Persoonsgegevens worden overgedragen;
f. het recht op inzage, correctie en verwijdering van de Persoonsgegevens.
De Verwerker zal de Verantwoordelijke laten weten waar deze informatie gepubliceerd is.
ARTIKEL 11. VRIJWARING
Verwerker vrijwaart Verantwoordelijke voor alle aanspraken van derden, daaronder begrepen Betrokkenen, die jegens Verantwoordelijke mochten worden ingesteld wegens een aan Verwerker of door haar ingeschakelde Hulpleverancier, toe te rekenen schending van de AVG of andere toepasselijke regelgeving betreffende de verwerking van Persoonsgegevens.
ARTIKEL 12. MAATREGELEN TOEZICHTHOUDER
Indien de toezichthouder in het kader van haar taak als handhaver een maatregel of boete oplegt aan Verantwoordelijke en indien de oorzaak voor het opleggen van de maatregel of boete te wijten is aan het niet nakomen van de in de Verwerkersovereenkomst gemaakte afspraken door Xxxxxxxxx, dan kan Verantwoordelijke alle kosten voor deze maatregel of boete verhalen op de Verwerker. Tevens heeft de Verantwoordelijke het recht om de Overeenkomst in bovengenoemde situatie met onmiddellijke ingang te ontbinden zonder dat de Verwerker aanspraak kan maken op enige vorm van schadevergoeding.
ARTIKEL 13. (INTELLECTUELE) EIGENDOMSRECHTEN EN ZEGGENSCHAP
13.1 Alle (intellectuele) eigendomsrechten - daaronder begrepen enig auteursrecht en databankenrecht - op (het bestand c.q. de bestanden van) gegevens, data, informatie en enig ander materiaal of content die de Verantwoordelijke en/of Gebruikers invoeren, versturen, plaatsen of anderszins verwerken met behulp van de
Dienst blijven te allen tijde berusten bij Verantwoordelijke, de betreffende Gebruiker, dan wel hun respectievelijke licentiegever(s).
13.2 Verwerker heeft geen zelfstandige zeggenschap over bovengenoemde informatie die door haar worden verwerkt. De zeggenschap berust bij Verantwoordelijke en/of de betreffende Gebruiker.
ARTIKEL 14. WIJZIGING
14.1 Indien een wijziging in de te verwerken Persoonsgegevens of een risicoanalyse van de verwerking van Persoonsgegevens daartoe aanleiding geeft treden partijen op eerste verzoek van Verantwoordelijke in overleg over het aanpassen van de gemaakte afspraken binnen deze Verwerkersovereenkomst.
14.2 De nieuw te maken afspraken dienen voorafgaand aan de toepassing daarvan schriftelijk te zijn vastgelegd en deel uit te maken van deze Verwerkersovereenkomst.
14.3 De wijzigingen kunnen nooit tot gevolg hebben dat Verantwoordelijke niet kan voldoen aan de AVG en overige relevante wet- en regelgeving met betrekking tot Persoonsgegevens.
ARTIKEL 15. DUUR EN BEËINDIGING
15.1 De duur van de Verwerkersovereenkomst is gelijk aan de duur van de Overeenkomst. De Verwerkersovereenkomst is niet los van de Overeenkomst te beëindigen.
15.2 Bij beëindiging van de Overeenkomst om welke reden ook, dan wel op eerste verzoek van Verantwoordelijke gedurende de looptijd van de Overeenkomst, zal Verwerker -tegen een beperkte vergoeding die de door Verwerker hiervoor redelijkerwijs en aantoonbaar gemaakte kosten niet overschrijden - ervoor zorgdragen dat naar keuze van Verantwoordelijke op voor Verantwoordelijke eenvoudige bruikbare wijze (i) alle of een door Verantwoordelijke bepaald gedeelte haar in het kader van de Dienst ter beschikking gestelde (Persoons)gegevens worden vernietigd op alle locaties, (ii) alle of een door Verantwoordelijke bepaald gedeelte van haar in het kader van de Dienst ter beschikking gestelde (Persoons)gegevens aan een opvolgend Dienstverlener ter beschikking worden gesteld, dan wel (iii) Verantwoordelijke en/of Gebruikers in de gelegenheid worden gesteld om hun (Persoons)gegevens of een door Verantwoordelijke bepaald gedeelte van de (Persoons)gegevens aan de Dienst te onttrekken. Verantwoordelijk kan zo nodig nadere eisen stellen aan de wijze van beschikbaarstelling, waaronder eisen aan het bestandsformaat, dan wel vernietiging.
15.3 Verwerker zal te allen tijde de in het vorig lid beschreven dataportabiliteit waarborgen zodanig dat er geen sprake is van verlies van functionaliteit of (delen van) de gegevens.
ARTIKEL 16. TOEPASSELIJK RECHT EN GESCHILLENBESLECHTING
16.1 De Verwerkersovereenkomst en de uitvoering daarvan worden beheerst door Nederlands recht.
16.2 Alle geschillen, welke tussen Partijen mochten ontstaan in verband met de Verwerkersovereenkomst, zullen worden voorgelegd aan de bevoegde rechter in de plaats waar Verantwoordelijke gevestigd is.
Bijlage A: Specificatie verwerking persoonsgegevens
Over de Dienst van Verwerker wordt in deze Bijlage het volgende uiteengezet:
• Categorieën Betrokkenen
• De te verwerken (categorieën) Persoonsgegevens;
• Groepen medewerkers en hun verwerkingen;
• Bewaartermijnen;
• Getroffen beveiligingsmaatregelingen;
• Ingeschakelde hulpleveranciers;
• Contactgegevens.
Categorieën Betrokkenen
1. Kandidaten (medewerkers, managers, studenten en aankomend medewerkers, aankomend managers en aankomend studenten) die een psychologische test van NOA BV afleggen. Zie tabel 1.
2. Gebruikers (managers en medewerkers in dienst van verantwoordelijke) die in opdracht van verantwoordelijke beheerstaken uitvoeren in NOA Online. Van hen verwerken we naam, emailadres en telefoonnummer om daarmee NOA Online te kunnen beveiligen middels tweestapsverificatie. Deze gegevens worden bewaard totdat verantwoordelijke ons informeert dat gebruiker de toegang tot NOA Online ontzegd is.
De te verwerken (categorieën) persoonsgegevens
In tabel 1 staan de (categorieën) Persoonsgegevens van kandidaten genoemd die Verwerker namens Verantwoordelijke verwerkt. Het gaat niet enkel om persoonsgegevens die Verantwoordelijke direct aan Verwerker verstrekt, maar ook om Persoonsgegevens die Gebruiker aanlevert bij gebruik van de Dienst.
Per (categorie) Persoonsgegevens wordt aangegeven in welke risicoklasse de gegevens vallen en hoe lang Verwerker de Persoonsgegevens bewaart.
(Categorie) Persoonsgegevens | Risicoklasse (Normaal/Hoog) | Bewaartermijn |
Persoonsgegevens, namelijk: naam, e- mailadres, geboortedatum, geslacht, opleidingsniveau van betrokkene | Normaal | 2 jaar |
Bijzondere persoonsgegevens, namelijk: het geboorteland van betrokkene en dat van diens ouders. Dit omdat we willen controleren of onze tests cultuurfair zijn zodat allochtone kandidaten niet op voorhand achtergesteld worden. Op verzoek van Verantwoordelijke kunnen ook aanvullende bijzondere persoonsgegevens worden verwerkt over de medische en financiële situatie van de kandidaat | Hoog | 2 jaar |
Bijzondere persoonsgegevens, namelijk: informatie over onder meer persoonlijkheid en capaciteiten van betrokkene | Hoog | 2 jaar |
Tabel 1: De te verwerken Persoonsgegevens Groepen medewerkers en hun verwerkingen
In tabel 2 staan de (groepen) medewerkers die toegang hebben tot bepaalde Persoonsgegevens en daarachter vermeld welke verwerkingen zij ten aanzien van de Persoonsgegevens mogen uitvoeren.
(Groep) Medewerkers | (Categorie) Persoonsgegevens | Type verwerking |
Psychologen / testassistenten | Persoonsgegevens, namelijk: naam, e-mailadres, geboortedatum, geslacht, opleidingsniveau van betrokkene | verzamelen, vastleggen, ordenen, bewaren, wijzigen, vernietigen, met elkaar in verband brengen, |
raadplegen, bijwerken, doorzenden, publiceren | ||
Psychologen / testassistenten | Bijzondere persoonsgegevens, namelijk: het geboorteland van betrokkene en dat van diens ouders. Dit omdat we willen controleren of onze tests cultuurfair zijn zodat allochtone kandidaten niet op voorhand achtergesteld worden. Op verzoek van Verantwoordelijke kunnen ook aanvullende bijzondere persoonsgegevens worden verwerkt als medische gegevens | verzamelen, vastleggen, ordenen, bewaren, wijzigen, vernietigen, met elkaar in verband brengen, raadplegen, bijwerken, doorzenden, publiceren |
Psychologen / testassistenten | Bijzondere persoonsgegevens, namelijk: informatie over onder meer persoonlijkheid en capaciteiten van betrokkene | verzamelen, vastleggen, ordenen, bewaren, wijzigen, vernietigen, met elkaar in verband brengen, raadplegen, bijwerken, doorzenden, publiceren |
Tabel 2: Groepen medewerkers en hun verwerkingen Getroffen beveiligingsmaatregelingen
1. NOA voert een integraal informatiebeveiligingsbeleid. Dit beleid wordt voortdurend bijgeschaafd op basis van de Xxxxxx Kwaliteitscirkel: Plan, do Check, Act.
2. Alle medewerkers die persoonsgegevens verwerken worden regelmatig getraind en bijgeschoold over het informatiebeveiligingsbeleid en de informatiebeveiligingsprocedures van de organisatie
3. Alle verantwoordelijkheden, zowel op sturend als uitvoerend niveau zijn duidelijk belegd
4. IT-voorzieningen zijn fysiek beschermd, bijvoorbeeld middels tweestapsverificatie, tegen toegang door onbevoegden en tegen schade en storingen. Er zijn procedures om bevoegde gebruikers toegang te geven tot informatiesystemen en -diensten en om onbevoegde toegang te voorkomen
5. Activiteiten die gebruikers uitvoeren met persoonsgegevens worden vastgelegd in logbestanden
6. In alle toepassingssystemen zijn beveiligingsmaatregelen ingebouwd
7. Software, zoals browsers, virusscanners en operating systems wordt up-to-date gehouden.
8. Er zijn procedures voor het tijdig en doeltreffend behandelen van informatiebeveiligingsincidenten en zwakke plekken in de beveiliging, zodra ze zijn gerapporteerd.
9. NOA meldt datalekken die onder een wettelijke meldplicht vallen bij de betreffende toezichthouder; indien nodig informeert hij ook betrokkenen over het beveiligingsincident of datalek.
10. Het verloren gaan van persoonsgegevens door natuurrampen, ongevallen, uitval van apparatuur of opzettelijk handelen wordt voorkomen door continuïteitsbeheer.
Hulpleveranciers
Verwerker heeft toestemming van Verantwoordelijke om de volgende hulpleveranciers in te zetten bij de uitvoering van de Dienst:
Naam organisatie: | Flores BV, gevestigd te Amsterdam |
Korte omschrijving dienstverlening: | Ontwikkeling en beheer van ons online platform |
Mate van verwerking Persoonsgegevens: | het betreft persoonsgegevens als naw-gegevens inclusief het emailadres van betrokkene, en bijzondere persoonsgegevens als medische gegevens, informatie over etnische afkomst en informatie over de persoonlijke leefsituatie |
Plaats/Land van verwerking gegevens: | Amsterdam, Nederland |
Naam organisatie: | Netpack, gevestigd te Rijswijk |
Korte omschrijving dienstverlening: | systeembeheer en beveiliging van ons cloud systeem en onze websites |
Mate van verwerking Persoonsgegevens: | het betreft persoonsgegevens als naw-gegevens inclusief het emailadres van betrokkene, en bijzondere persoonsgegevens als medische gegevens, informatie over etnische afkomst en informatie over de persoonlijke leefsituatie |
Plaats/Land van verwerking gegevens: | Rijswijk, Nederland |
Naam organisatie: | Microsoft Azure |
Korte omschrijving dienstverlening: | clouddiensten |
Mate van verwerking Persoonsgegevens: | het betreft persoonsgegevens als naw-gegevens inclusief het emailadres van betrokkene, en bijzondere persoonsgegevens als medische gegevens, informatie over etnische afkomst en informatie over de persoonlijke leefsituatie |
Plaats/Land van verwerking gegevens: | Ierland |
Naam organisatie: | XX.xxx |
Korte omschrijving dienstverlening: | verzending van app- en SMS-berichten met de verificatiecode die gebruikers samen met de inlognaam en wachtwoord toegang biedt tot NOA Online |
Mate van verwerking Persoonsgegevens: | het betreft naam, zakelijk emailadres en telefoonnummer |
Plaats/Land van verwerking gegevens: | Breda, Nederland |
Naam organisatie: | Rapidmail |
Korte omschrijving dienstverlening: | verzending van informatie uit onze database via email |
Mate van verwerking Persoonsgegevens: | het betreft persoonsgegevens als naw-gegevens inclusief het emailadres van betrokkene, en bijzondere persoonsgegevens als medische gegevens, informatie over etnische afkomst en informatie over de persoonlijke leefsituatie |
Plaats/Land van verwerking gegevens: | Freiburg, Duitsland |
Naam organisatie: | Proctorexam |
Korte omschrijving dienstverlening: | Proctoring; online toezicht |
Mate van verwerking Persoonsgegevens: | het betreft persoonsgegevens als naw-gegevens inclusief het emailadres van betrokkene, en video- en schermopnames van betrokkene. |
Plaats/Land van verwerking gegevens: | EU |
Contactgegevens
Bij vragen over deze Bijlage en/of de geleverde Dienst, kan contact worden opgenomen met uw accountmanager bij NOA of met:
Naam: Xxxxxx Xxxxx
Functie: Senior adviseur, functionaris gegevensbescherming
E-mailadres: x.xxxxx@xxx-xx.xx
Telefoonnummer: 020 – 50 40 800
Voor het melden van een Datalek aan de opdrachtgever als bedoeld in artikel 6 kan door NOA contact worden opgenomen met:
Naam:
Functie:
E-mailadres:
Telefoonnummer:
Bijlage B1: NOA Online
Informatie die moet worden verstrekt bij een Datalek
Als Verwerker de Verantwoordelijke moet informeren op grond van artikel 6, zal zij de volgende gegevens moeten verschaffen:
Contactgegevens melder
Naam, functie, emailadres, telefoonnummer
Gegevens over het Datalek
• Geef een samenvatting van het incident waarbij de inbreuk op de beveiliging van Persoonsgegevens zich heeft voorgedaan
• Van hoeveel personen zijn Persoonsgegevens betrokken bij de inbreuk? (Vul de aantallen in.)
a) Minimaal: (vul aan)
b) Xxxxxxxx: (vul aan)
• Omschrijf de groep mensen van wie Persoonsgegevens zijn betrokken bij de inbreuk
• Wanneer vond de inbreuk plaats? (Kies een van de volgende opties en vul waar nodig aan.)
a) Op (datum)
b) Tussen (begindatum periode) en (einddatum periode)
c) Nog niet bekend
• Wat is de aard van de inbreuk ? (U kunt meerdere mogelijkheden aankruisen.)
a) Lezen (vertrouwelijkheid)
b) Kopiëren
c) Veranderen (integriteit)
d) Verwijderen of vernietigen (beschikbaarheid)
e) Diefstal
f) Nog niet bekend
• Om welk type Persoonsgegevens gaat het? (U kunt meerdere mogelijkheden aankruisen.)
a) Naam -, adres - en woonplaatsgegevens
b) Telefoonnummers
c) E - mailadressen of andere adressen voor elektronische communicatie
d) Toegangs - of identificatiegegevens (bijvoorbeeld inlognaam/wachtwoord of klantnummer)
e) Financiële gegevens (bijvoorbeeld rekeningnummer, creditcardnummer)
f) Burgerservicenummer (BSN) of sofinummer
g) Paspoortkopieën of kopieën van andere legitimatiebewijzen
h) Geslacht, geboortedatum en/of leeftijd
i) Bijzondere Persoonsgegevens (bijvoorbeeld ras, etniciteit, criminele gegevens, politieke overtuiging, vakbondslidmaatschap, religie, seksuele leven, medische gegevens)
j) Overige gegevens, namelijk (vul aan)
• Welke gevolgen kan de inbreuk hebben voor de persoonlijke levenssfeer van de betrokkenen? (U kunt meerdere mogelijkheden aankruisen.)
a) Stigmatisering of uitsluiting
b) Schade aan de gezondheid
c) Blootstelling aan (identiteits)fraude
d) Blootstelling aan spam of phishing
e) Xxxxxx, namelijk (vul aan)
Vervolgacties naar aanleiding van het Datalek
• Welke technische en organisatorische maatregelen heeft uw organisatie getroffen om de inbreuk aan te pakken en om verdere inbreuken te voorkomen?
Technische beschermingsmaatregelen
• Zijn de Persoonsgegevens versleuteld, gehasht of op een andere manier onbegrijpelijk of ontoegankelijk gemaakt voor onbevoegden? (Kies een van de volgende opties en vul waar nodig aan.)
a) Ja
b) Nee
c) Deels, namelijk: (vul aan)
• Als de Persoonsgegevens geheel of deels onbegrijpelijk of ontoegankelijk zijn gemaakt, op welke manier is dit dan gebeurd? (Beantwoord deze vraag als u bij de vorige vraag gekozen heeft voor optie a of optie c. Als u gebruik heeft gemaakt van encryptie, licht dan ook de wijze van versleutelen toe.)
Internationale aspecten
• Heeft de inbreuk betrekking op personen in andere EU-landen? (Kies een van de volgende opties.)
a) Ja
b) Nee
c) Nog niet bekend