Verwerkersovereenkomst AVG

Verwerkersovereenkomst AVG

(Algemene verordening Gegevensbescherming)

Deze Verwerkersovereenkomst is van toepassing op alle vormen van verwerking van persoonsgegevens die Xxxxx Xxxxx Software., ingeschreven bij de Kamer van Koophandel onder nummer 27289136 (hierna genoemd als “Verwerker”), uitvoert ten behoeve van een wederpartij aan wie zij diensten levert, de opdrachtgever (hierna genoemd als “Verwerkingsverantwoordelijke”).

Xxxxx Xxxxx Software verwerkt onder andere persoonsgegevens voor en in opdracht van de opdrachtgever, omdat de opdrachtgever een overeenkomst met Xxxxx Xxxxx Software heeft.

Xxxxx Xxxxx Software en de opdrachtgever zijn daarom verplicht volgens de Algemene Verordening Gegevensbescherming (AVG) om een Verwerkersovereenkomst te sluiten.

De opdrachtgever heeft verwerker ingeschakeld als leverancier en hierdoor heeft verwerker toegang tot gewone klantgegevens. Xxxxx Xxxxx Software en opdrachtgever verplichten zich over en weer om de Algemene Verordening Gegevensbescherming (AVG) na te leven. Voor de definities van begrippen wordt aangesloten bij de AVG. Xxxxx Xxxxx Software zal de persoonsgegevens alleen verwerken voor en in opdracht van de opdrachtgever en om uitvoering te geven aan de overeenkomst.

Instructies verwerking

De verwerking bestaat uit het beschikbaar stellen van de Marti Orbak Software applicaties met de door de opdrachtgever ingevoerde en gegenereerde data. Marti Orbak Software zal geen gegevens toevoegen, aanpassen of verwijderen zonder dat de opdrachtgever daar specifieke instructie voor gegeven heeft. Die instructie kan via een verzoek worden gegeven.

Binnen de applicaties, die Marti Orbak Software beschikbaar stelt, zijn verschillende soorten persoonsgegevens vast te leggen. Xxxxx Xxxxx Software is zich ervan bewust dat de opdrachtgever al

deze kan invoeren en dat Marti Orbak Software deze dan zal verwerken. De opdrachtgever is zelf verantwoordelijk voor de beoordeling of het doel en aard van de verwerking past bij de dienstverlening die Marti Orbak Software doet.

Geheimhoudingsplicht

Xxxxx Xxxxx Software is zich bewust dat de informatie die de opdrachtgever met Xxxxx Xxxxx Software deelt en opslaat binnen de software van Xxxxx Xxxxx Software, een geheim en bedrijfsgevoelig karakter heeft. Alle Xxxxx Xxxxx Software medewerkers zullen gedurende hun dienstverband en daarna, zoals in hun arbeidsovereenkomst met geheimhoudingsclausule is opgenomen, op verantwoorde wijze met de informatie van de opdrachtgever omgaan.

Medewerkers met toegang tot klantgegevens

Consultants, supportmedewerkers en andere Marti Orbak Software medewerkers hebben volledige toegang tot de klantgegevens voor:

 het plaatsen van een nieuwe versie

 het geven van instructie

 het invoeren, wijzigen, verwijderen van gegevens in opdracht van klant

 het bieden van ondersteuning bij vragen of problemen

 het maken van een back-up

 het op een beveiligde omgeving bewaren van een back-up die verwerkingsverantwoordelijke naar Marti Orbak Software heeft verzonden

Consultants, Supportmedewerkers en andere Marti Orbak Software medewerkers hebben alleen toegang tot de klantgegevens indien zij toestemming daarvoor hebben ontvangen van de opdrachtgever en voor zolang zij toestemming hebben van de opdrachtgever.

Beveiliging

Xxxxx Xxxxx Software neemt blijvend passende technische en organisatorische maatregelen om de persoonsgegevens van de klant te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking. Deze maatregelen worden aangemerkt als een passend beveiligingsniveau in de zin van de AVG. De opdrachtgever is gerechtigd om in overleg met Xxxxx Xxxxx Software tijdens de looptijd van de overeenkomst door een onafhankelijke deskundige de naleving hiervan te controleren,

bijvoorbeeld door middel van het uitvoeren van een audit. De opdrachtgever zal alle kosten in verband met deze controle dragen.

Marti Orbak Software is aansprakelijk voor schade in het kader van persoonsgegevens door handelen of nalaten van de subverwerker. De toepasselijke aansprakelijkheidsbeperking geldt niet indien er bij de subverwerker sprake is van grove nalatigheid of opzettelijk wangedrag. Xxxxx Xxxxx Software is ook niet aansprakelijk in geval van overmacht bij haarzelf of aan de kant van de subverwerker.

Indien de Autoriteit Persoonsgegevens aan de verwerkersverantwoordelijke een bindende aanwijzing zal geven, dient de opdrachtgever Xxxxx Xxxxx Software direct op de hoogte stellen van deze bindende aanwijzing. Marti Orbak Software zal er alles aan doen wat in redelijkheid van haar verwacht kan worden om de naleving mogelijk te maken. Als Xxxxx Xxxxx Software niet doet wat in redelijkheid van haar gevraagd kan worden waardoor er een boete volgt, of als de Autoriteit Persoonsgegevens direct een boete oplegt omdat sprake is van opzet of ernstige verwijtbare nalatigheid aan de kant van Xxxxx Xxxxx Software , dan geldt de toepasselijke aansprakelijkheidsbeperking niet.

Subverwerkers

Marti Orbak Software verwerkt de klantdata in datacenters van Easyhosting en Detron en deze zijn hiermee subverwerkers. De datacenters waar Marti Orbak Software gebruik van maakt, bevinden zich uitsluitend in Nederland/Europese Unie en vallen onder Nederlandse wet- en regelgeving en voldoen aan de strenge Nederlandse en Europese wetgeving met betrekking tot logische en fysieke toegangsbeveiliging en continuïteit. De datacenters zijn minimaal ISO 27001 gecertificeerd. De (persoons)gegevens worden door Xxxxx Xxxxx Software en subverwerker uitsluitend verwerkt binnen de Europese Economische ruimte.

Xxxxx Xxxxx Software heeft met haar leveranciers en partners een verwerkersovereenkomst afgesloten. Xxxxx Xxxxx Software kan besluiten een nieuwe verwerkers gegevens laten verwerken zonder de opdrachtgever daarover te informeren, indien deze in voordeel is van de klant en voldoet aan de regel van de privacywetgeving. Met deze partner wordt tevens een verwerkersovereenkomst afgesloten. De opdrachtgever kan bezwaar maken bij Marti Orbak Software tegen de subverwerker. Marti Orbak Software zal deze bezwaren op directieniveau afhandelen.

Privacyrechten

Xxxxx Xxxxx Software heeft geen zeggenschap over de persoonsgegevens die door de opdrachtgever beschikbaar worden gesteld. Zonder noodzaak, gezien de aard van de door de opdrachtgever verstrekte opdracht, expliciete toestemming van de opdrachtgever of wettelijke verplichting zal Xxxxx Xxxxx Software de gegevens niet aan derden verstrekken of voor andere doeleinden verwerken, dan voor de overeengekomen doeleinden. De klant garandeert dat de persoonsgegevens verwerkt mogen worden op basis van een in de AVG genoemde grondslag.

Meldplicht datalekken

De AVG vereist dat eventuele datalekken gemeld worden aan de Autoriteit Persoonsgegevens door de verwerkingsverantwoordelijke van de data. Xxxxx Xxxxx Software zal daarom zelf geen meldingen doen bij de Autoriteit Persoonsgegevens. Uiteraard zal Xxxxx Xxxxx Software de opdrachtgever juist, tijdig en volledig informeren over relevante incidenten, zodat de opdrachtgever als verwerkingsverantwoordelijke aan zijn wettelijke verplichtingen kan voldoen. De Beleidsregels meldplicht datalekken van de Autoriteit Persoonsgegevens geven hierover meer informatie.

Indien de opdrachtgever een (voorlopige) melding verricht bij de Autoriteit Persoonsgegevens en/of de betrokkene(n) over een datalek bij Marti Orbak Software , zonder dat de opdrachtgever dit vooraf heeft besproken met Xxxxx Xxxxx Software , dan is de klant aansprakelijk voor door Marti Orbak Software geleden schade en kosten. De klant is daarnaast verplicht een dergelijke melding direct in te

trekken.

Bepaling datalek

Voor het bepalen van een datalek, gebruikt Marti Orbak Software de AVG en de Beleidsregels meldplicht datalekken van de Autoriteit Persoonsgegevens als leidraad.

Melding aan de opdrachtgever

Indien blijkt dat bij Xxxxx Xxxxx Software sprake is van een beveiligingsincident of datalek zal Marti Orbak Software de opdrachtgever daarover zo spoedig mogelijk informeren nadat Xxxxx Xxxxx Software bekend is geworden met het datalek. Om dit te realiseren zorgt Xxxxx Xxxxx Software ervoor dat al haar medewerkers in staat zijn en blijven om een datalek te constateren en verwacht Xxxxx Xxxxx Software van haar opdrachtnemers dat zij Xxxxx Xxxxx Software in staat stelt om hier aan te kunnen voldoen. Voor de duidelijkheid: als er een datalek is bij een leverancier van Marti Orbak Software , dan meldt Marti Orbak Software dit uiteraard ook. Marti Orbak Software is het contactpunt voor de opdrachtgever. De opdrachtgever hoeft geen contact op te nemen met de leveranciers van Xxxxx Xxxxx Software .

Informeren klant (contactpersoon instellen)

In eerste instantie zal Xxxxx Xxxxx Software de primaire contactpersoon van opdrachtgever informeren over een datalek. Mocht deze contactpersoon niet (meer) de juiste zijn of dient Xxxxx Xxxxx Software een ander contactpersoon te informeren, dan dient opdrachtgever dit aan Xxxxx Xxxxx Software kenbaar te maken via xxxxxxx@xxxxx-xxxxx.xx

Informatie verstrekken

Xxxxx Xxxxx Software probeert de opdrachtgever direct alle informatie te verstrekken die de

opdrachtgever nodig heeft om een eventuele melding bij de Autoriteit Persoonsgegevens en/of de betrokkene(n) te verrichten.

Termijn van informeren

De AVG geeft aan dat er ‘onverwijld’ gemeld moet worden. Dit is volgens de Autoriteit Persoonsgegevens zonder onnodige vertraging en zo mogelijk niet later dan 72 uur na ontdekking ervan door de verantwoordelijke. Indien er een beveiligingsincident optreed zal Xxxxx Xxxxx Software de opdrachtgever zo snel mogelijk, maar uiterlijk binnen 48 uur na het ontdekken door Xxxxx Xxxxx Software ervan, informeren. De opdrachtgever zal zelf de beoordeling moeten maken of het beveiligingsincident valt onder de term ‘datalek’ en of er melding aan de Autoriteit Persoonsgegevens gedaan zal moeten worden. De opdrachtgever heeft hiervoor 72 uur, nadat de klant hiervan op de hoogte is gesteld, de tijd.

Voortgang en maatregelen

Xxxxx Xxxxx Software zal de opdrachtgever op de hoogte houden over de voortgang en de maatregelen die getroffen worden. Xxxxx Xxxxx Software maakt hierover afspraken met de primaire contactpersoon bij de initiële melding. In ieder geval houdt Xxxxx Xxxxx Software de opdrachtgever op de hoogte in geval van een wijziging van de situatie, het bekend worden van nadere informatie en over de maatregelen die getroffen worden.

Xxxxx Xxxxx Software registreert alle security incidenten en handelt deze volgens een vaste procedure (workflow) af.

Gegevens verwijderen

Xxxxx Xxxxx Software zal, na afloop van de overeenkomst alle klantgegevens verwijderen en nog bestaande kopieën wissen, mits opdrachtgever dit xxxxxx xxxxx. Gegevens van opdrachtgever en hun klantgegevens worden alleen bewaard als EU-recht verplicht tot het bewaren van deze persoonsgegevens. Mocht de opdrachtgever eerder de gegevens verwijderd willen hebben, dan kan daarvoor een verzoek worden ingediend via xxxxxxx@xxxxx-xxxxx.xx. Marti Orbak Software verplicht zich daar gehoor aan te geven.

Ontdekt opdrachtgever een 'datalek' of denkt opdrachtgever op een andere manier dat er iets mis is met de security van Xxxxx Xxxxx Software, dan dient opdrachtgever dit te melden via privacy@marti- xxxxx.xx. Xxxxx Xxxxx Software neemt dan binnen 48 uur contact op met opdrachtgever.

We verwijzen naar de algemene voorwaarden en de privacy policy van Xxxxx Xxxxx Software (beschikbaar onderaan de website van xxx.xxxx-xxxxx.xx).

Bijlage: Beveiligingsprotocol (standaard beheersmaatregelen)

Het beveiligingsprotocol heeft als doel om te informeren over de, door de Verwerker, genomen organisatorische-, technische- en ISO 27001 maatregelen om de beveiliging van de persoonsgegevens te waarborgen. De maatregelen zijn algemeen beschreven, omdat een specifieke beschrijving van de maatregelen een groot risico kan zijn voor de bescherming van de maatregelen.

Organisatorische maatregelen:

Enkele organisatorische maatregelen die door de Verwerker genomen zijn, zijn:

 bewustzijn van medewerkers

 training van medewerkers

 kennis en competentie van medewerkers

 procedures en instructies

 clean desk policy

Technische maatregelen:

Enkele technische maatregelen die door de Verwerker genomen zijn, zijn:

 fysieke beveiliging van ruimtes

 digitale beveiliging van systemen en applicaties

 hard- en software maatregelen

 update maatregelen

 up-to-date virusscans

 beveiligde USB-sticks

 unieke inlogcode en wachtwoord (periodiek gewijzigd)

 firewalls

 logging maatregelen

 wachtwoordbeheer

 autorisatie

 encryptie

 geen onbeveiligde externe harde schijven

 geen onbeveiligde backups

 geen documenten op privé laptop opslaan

 laptop niet onbemand achterlaten

Indien u specifieke vragen over het beveiligingsprotocol (standaard maatregelen) heeft, kunt u contact met ons opnemen via xxxxxxx@xxxxx-xxxxx.xx.