BEWERKERSOVEREENKOMST

BEWERKERSOVEREENKOMST

DE ONDERGETEKENDEN


de besloten vennootschap met beperkte aansprakelijkheid “DIGIDOC B.V.”, gevestigd te NUENEN aan De Pinckart 54, te dezen rechtsgeldig vertegenwoordigd door de xxxx X. xxx Xxxx, hierna te noemen “DIGIDOC”.


en


de stichting “Stichting <naam>”, gevestigd te <PLAATS aan straatnaam + nr>, hierbij rechtsgeldig vertegenwoordigd door de heer/mevrouw <naam>, hierna te noemen “Opdrachtgever”.


hierna individueel te noemen “Partij” en gezamenlijk te noemen “Partijen”


OVERWEGENDE DAT:


a. DIGIDOC voor Opdrachtgever werkzaamheden en diensten verricht waarvoor tussen Partijen een overeenkomst is gesloten (hierna te noemen: “Hoofdovereenkomst”);

b. de hiervoor bedoelde werkzaamheden en diensten onder andere bestaan uit het ter beschikking stellen van een enquêtetool, genaamd de Onderwijsspiegel, waarmee Opdrachtgever helemaal zelfstandig allerlei soorten enquêtes kan opstellen en afnemen.

c. bij het leveren van die werkzaamheden en diensten DIGIDOC persoonsgegevens (Bijlage 1) van Opdrachtgever en geënquêteerden verwerkt;

d. Partijen afspraken wensen te maken over de verwerking van deze persoonsgegevens.


KOMEN HET VOLGENDE OVEREEN:


Artikel 1. Onderwerp van de overeenkomst

1.1. Onderwerp van deze overeenkomst is het maken van afspraken over het verwerken van persoonsgegevens zoals bedoeld in artikel 14 lid 2 van de Wet bescherming persoonsgegevens en artikel 28 lid 3 van de Algemene Verordening Gegevensbescherming. Deze overeenkomst zal hierna worden genoemd

Bewerkersovereenkomst”.


Artikel 2. Geheimhouding

2.1. Ieder der partijen zal alle redelijkerwijs te nemen maatregelen treffen teneinde de geheimhouding van Vertrouwelijke Informatie te waarborgen voor zover zulks mogelijk is in verband met de uitvoering van de Hoofdovereenkomst.

2.2. De van Opdrachtgever verkregen persoonsgegevens zullen door DIGIDOC niet aan derden worden verstrekt, tenzij er door de Opdrachtgever schriftelijk toestemming is verleend, of tenzij het voor de uitvoering van de overeengekomen werkzaamheden en diensten, nakoming van een wettelijke verplichting, een verzoek van een autoriteit, of gerechtelijke uitspraak noodzakelijk is.

2.3. DIGIDOC draagt er zorg voor dat de toegang tot de (verwerking van) persoonsgegevensgegevens van Opdrachtgever op need-to-know basis is georganiseerd, en dat alleen personeel dat belast is met het uitvoeren van de overeengekomen werkzaamheden of diensten toegang heeft tot de (de verwerking van) persoonsgegevens.

Artikel 3. Verwerken van persoonsgegevens

3.1. Op basis van de vigerende wet- en regelgeving en in het kader van het verwerken van persoonsgegevens onderscheiden en erkennen partijen respectievelijk de volgende rollen (inclusief de daarbij behorende verantwoordelijkheden): de Opdrachtgever is de verwerkingsverantwoordelijke, DIGIDOC wordt beschouwd als verwerker, eventueel door DIGIDOC ingeschakelde derde die persoonsgegevens verwerkt is sub-verwerker.

3.2. Opdrachtgever draagt er zorg voor dat met gebruik van diensten zoals die beschikbaar zijn gesteld door DIGIDOC geen bijzondere persoonsgegevens verwerkt worden, bijvoorbeeld door het stellen van vragen aan respondenten welke antwoorden zouden kunnen leiden tot het verwerken van bijzondere persoonsgegevens. Indien zulks wel geschiedt, is dat voor rekening en risico van Opdrachtgever.

3.3. Opdrachtgever vrijwaart DIGIDOC voor aanspraken van betrokkenen ter zake het ontbreken van een geldige grondslag en/of afspraken, waardoor de persoonsgegevens van de betrokkenen (vermeend) onrechtmatig verwerkt worden.

3.4. DIGIDOC zal in het kader van de uitvoering van de overeengekomen werkzaamheden en diensten de persoonsgegevens ten behoeve en in opdracht van Opdrachtgever verwerken, waarbij het DIGIDOC niet is toegestaan de van Opdrachtgever verkregen persoonsgegevens voor eigen doeleinden, anders dan overeengekomen, te verwerken en/of aan derden te verstrekken.

3.5. De persoonsgegevens zijn slechts toegankelijk voor DIGIDOC en haar medewerkers en ingeschakelde sub-verwerkers en worden niet aan andere derden verstrekt, tenzij DIGIDOC hiertoe krachtens de wet of een rechterlijke uitspraak verplicht is of wordt.

3.6. DIGIDOC stelt ten behoeve van de verwerkingen van persoonsgegevens aan Opdrachtgever de overeengekomen diensten ter beschikking, welke diensten door Opdrachtgever te gebruiken zijn voor de in Bijlage 1 bedoelde verwerkingsdoelen. DIGIDOC verwerkt te allen tijde de persoonsgegevens in opdracht en op instructies van Opdrachtgever.

3.7. Partijen zullen zorgdragen voor de naleving van de toepasselijke wet- en regelgeving, waaronder in ieder geval begrepen wet- en regelgeving op het gebied van de bescherming van persoonsgegevens, zoals de Wet bescherming persoonsgegevens en de Algemene Verordening Gegevensbescherming zodra deze in werking is getreden.


Artikel 4. Technische en organisatorische maatregelen

4.1. DIGIDOC legt, voor de verwerking van persoonsgegevens binnen haar diensten, passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico’s die de verwerking en de aard van de te beschermen gegevens met zich meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen. Deze maatregelen zijn opgenomen in Bijlage 2.

4.2. Opdrachtgever legt voor het gedeelte waarvoor zij verantwoordelijk is passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico’s die de verwerking en de aard van de te beschermen gegevens met zich meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen. Het gaat dan bijvoorbeeld om: (i) bedrijfsprocessen die voldoen aan de relevante wetgeving ter zake het verwerken van persoonsgegevens;

(ii) autorisatiemodellen waarbij personeel dat niets met bepaalde gegevens te maken heeft, geen toegang heeft tot die gegevens (iii); beveiliging werkstations; (iv) een adequaat wachtwoordbeleid. Tevens dient Opdrachtgever er voor zorg te dragen dat zij

een adequaat beleid voert ter zake gebruik van (privé) gebruik van internet en e-mail op de werkplek, waarbij is bepaald dat bij het gebruik van applicaties persoonsgegevens gelogd kunnen worden.

4.3. Opdrachtgever is gerechtigd om gedurende de looptijd van de Bewerkersovereenkomst de hiervoor genoemde maatregelen door een onafhankelijke deskundige te laten toetsen door middel van een audit, op de voorwaarde dat: (i) de audit door Opdrachtgever tijdig wordt aangekondigd; (ii) de kosten (inclusief kosten onafhankelijke derde zoals hiervoor bedoeld en de kosten voor het vrijmaken van één of meerdere medewerkers van DIGIDOC welke de auditor ondersteunen tegen het uurtarief voor de desbetreffende medewerker(s)) voor de audit gedragen worden door Opdrachtgever; en

(iii) het resultaat van de audit besproken wordt met DIGIDOC.


Artikel 5. Derden en sub-verwerkers

5.1. DIGIDOC mag in het kader van de Overeenkomst gebruik maken van een sub-verwerker. Opdrachtgever geeft bij dezen bij voorbaat algemene toestemming voor het inschakelen van sub-bewerkers. Op eerste verzoek van Opdrachtgever verstrekt DIGIDOC een lijst van sub-verwerkers. Deze lijst kan door DIGIDOC naar eigen inzicht en oordeel worden uitgebreid. Mocht DIGIDOC de lijst uitbreiden met nieuwe sub-verwerkers dan wordt Opdrachtgever hiervan tijdig op de hoogte gesteld, waarbij Opdrachtgever in de gelegenheid wordt gesteld om bezwaar te maken tegen de beoogde nieuwe sub- bewerkers.

5.2. Indien en voor zover het in voorgaand lid bedoeld bezwaar redelijk en gerond is, zullen DIGIDOC en Opdrachtgever zoeken naar redelijke oplossingen om de bezwaren weg te nemen en aan de wensen tegemoet te komen. Mochten Opdrachtgever en DIGIDOC niet tot een werkbare oplossing kunnen komen, dan is de Opdrachtgever met inachtneming van een opzegtermijn van 30 (dertig) dagen gerechtigd de bewerkersovereenkomst en de overeenkomsten die hieraan gelieerd zijn en/of verband houden te beëindigen.

5.3. Het is DIGIDOC niet toegestaan de persoonsgegevens naar een land buiten de E.U. /

E.E.R. door te geven.


Artikel 6. Datalekken en rechten van betrokkenen

6.1. Indien DIGIDOC vermoedt, of te weten is gekomen, dat de persoonsgegevens van Opdrachtgever gecompromitteerd zijn (security breach of een datalek), of zijn geweest, meldt DIGIDOC dit onmiddellijk, in ieder geval binnen achtenveertig (48) uur, aan Opdrachtgever. Naar aanleiding daarvan beoordeelt Opdrachtgever of zij de betrokkenen zal informeren en/of het incident zal melden aan de door de wet aangewezen toezichthouder. Opdrachtgever is en blijft altijd zelf verantwoordelijk voor een eventuele wettelijke verplichting daartoe. Niettemin verleent DIGIDOC voor zover noodzakelijk medewerking om te kunnen voldoen aan de op hem rustende wettelijke verplichtingen.

6.2. In het geval dat een betrokkene een verzoek omtrent inzage, correctie of verwijdering richt aan DIGIDOC, of enig ander recht die hem toekomt wenst uit te oefenen, zal DIGIDOC het verzoek doorsturen aan Opdrachtgever, en zal Opdrachtgever het verzoek verder afhandelen. XXXXXXX stelt de betrokkene daarvan op de hoogte. Voor zover niet in strijd met enige wettelijke bepaling zal des verzocht DIGIDOC medewerking verlenen aan Opdrachtgever bij de behandeling en afhandeling van het verzoek.

Artikel 7. Overige bepalingen

7.1. Deze Bewerkersovereenkomst eindigt zodra de Hoofdovereenkomst eindigt.

Na afloop vernietigt DIGIDOC de persoonsgegevens van Opdrachtgever, of indien DIGIDOC daarom verzoekt, levert zij de persoonsgegevens aan DIGIDOC aan, alvorens de persoonsgegevens te vernietigen. DIGIDOC levert op eerste verzoek van Opdrachtgever een verklaring dat de persoonsgegevens vernietigd zijn.

7.2. Deze Bewerkersovereenkomst kan niet los worden gezien van de Hoofdovereenkomst. Derhalve zijn de bepalingen uit de Hoofdovereenkomst onverkort van toepassing op de Bewerkersovereenkomst. Indien hetgeen is bepaald in deze Bewerkersovereenkomst strijdig is met hetgeen is bepaald in de Hoofdovereenkomst prevaleert hetgeen is bepaald in deze Bewerkersovereenkomst.

7.3. Op deze Bewerkersovereenkomst is Nederlands recht van toepassing.


-- ONDERTEKENING OP VOLGENDE PAGINA --

Aldus overeengekomen en in tweevoud vastgelegd.


DIGIDOC B.V.

NUENEN


Datum:     


De xxxx X. xxx Xxxx

<Opdrachtgever>

<PLAATS>


Datum:     


De heer/mevrouw <naam>

Bijlage 1 Verwerking van persoonsgegevens


Beschrijving doeleinden en wijze van Verwerking:


Overeenkomstig het bepaalde in de Opdracht zal DIGIDOC de persoonsgegevens slechts en uitsluitend verwerken en gebruiken om tevredenheidsonderzoeken en peilingen uit te voeren door middel van enquêtes. Het uiteindelijke doel van het verwerken van deze gegevens is om de kwaliteit van het onderwijs te verbeteren.

Categorieën van Betrokkenen:


De volgende categorieën personen zullen betrokkenen zijn bij de verwerking van persoonsgegevens:

Leerlingen

Ouders

Docenten

Medewerkers

Stagebedrijven / ROC

Praktijkopleiders van stagebedrijven


Categorieën van Persoonsgegevens:


E-mail

Wachtwoord

Hint

Naam

Telefoon

Mobiele telefoon


(Groepen) geautoriseerde Medewerkers die Persoonsgegevens Verwerken:


Enquêteurs (medewerkers die enquêtes samenstellen, verspreiden en over de uitkomsten rapporteren)

ICTers zoals applicatiebeheerders, systeembeheerders en softwareontwikkelaars die werkzaam zijn bij de betreffende onderwijsinstelling;

Bijlage 2 Beveiligingsmaatregelen


Om de persoonsgegevens te beveiligen zijn de volgende de technische en organisatorische beveiligingsmaatregelen door DIGIDOC getroffen:

- Beleidsdocument voor informatiebeveiliging.


o Er is een beleidsdocument dat expliciet de maatregelen die de verantwoordelijke treft om de Verwerkte Persoonsgegevens te beveiligen beschrijft.


o Dit beleidsdocument is goedgekeurd op bestuurlijk c.q. leidinggevend niveau en genoegzaam kenbaar gemaakt aan alle werknemers en relevante externe partijen.

- Toewijzen van verantwoordelijkheden voor informatiebeveiliging.


o Alle verantwoordelijkheden die nodig zijn voor een adequate informatiebeveiliging zijn duidelijk gedefinieerd op zowel sturend als op uitvoerend niveau. Deze verantwoordelijkheden zijn belegd bij die verantwoordelijke personen die de beveiligingsmaatregelen mogen en kunnen nemen.

- Beveiligingsbewustzijn.


o Alle werknemers van DIGIDOC en, voor zover van toepassing, ingehuurd personeel en externe gebruikers worden getraind en regelmatig bijgeschoold over het informatiebeveiligingsbeleid en de informatiebeveiligingsprocedures van DIGIDOC.

o Tijdens de training en bijscholing wordt expliciet aandacht besteed aan de omgang met (bijzondere of anderszins gevoelige) Persoonsgegevens.


- Fysieke beveiliging en beveiliging van apparatuur.


o De IT-voorzieningen en apparatuur zijn fysiek beschermd tegen toegang door onbevoegden en tegen schade en storingen. De geboden bescherming is in overeenstemming met de vastgestelde risico’s en het beveiligingsniveau dat volgens de wet- en regelgeving passend zou zijn.

- Toegangsbeveiliging.


o Bij DIGIDOC gelden procedures om bevoegde gebruikers toegang te geven tot de informatiesystemen en -diensten die ze voor de uitvoering van hun taken nodig hebben en om onbevoegde toegang tot informatiesystemen te voorkomen.

o De procedures omvatten alle fasen in de levenscyclus van de gebruikerstoegang, van de eerste registratie van nieuwe gebruikers tot de uiteindelijke afmelding van

Gebruikers die niet langer toegang tot informatiesystemen en -diensten nodig hebben.

o Er wordt bijzondere aandacht besteed aan het beheren van toegangsrechten van gebruikers met extra ruime bevoegdheden, zoals systeembeheerders.


- Logging en controle.


o Activiteiten die gebruikers uitvoeren met persoonsgegevens zijn vastgelegd in logbestanden.


o Andere relevante gebeurtenissen, zoals pogingen om ongeautoriseerd toegang te krijgen tot persoonsgegevens en verstoringen die kunnen leiden tot verminking of verlies van Persoonsgegevens zijn eveneens in logbestanden vastgelegd.


o De logbestanden worden periodiek gecontroleerd op indicaties van onrechtmatige toegang of onrechtmatig gebruik van de persoonsgegevens en waar nodig wordt actie ondernomen.

- Correcte verwerking in toepassingssystemen.


o In alle toepassingssystemen, zijn beveiligingsmaatregelen ingebouwd (privacy by design).


o Tot deze beveiligingsmaatregelen behoort de controle dat de invoer, de interne verwerking en de uitvoer aan vooraf gestelde eisen voldoen (validatie).


o Pas als er ten minste vijf (5) respondenten zijn bij een enquête zal een rapportage te maken zijn, om te voorkomen dat informatie in een rapport is terug te leiden tot individuele personen.


o Systeemdelen waarin gevoelige persoonsgegevens worden verwerkt of die invloed hebben op de verwerking van gevoelige persoonsgegevens, zijn toegerust met aanvullende beveiligingsmaatregelen.

o Gegevens in transit op internet, zijn beveiligd met SSL.


- Beheer van technische kwetsbaarheden.


o Software op servers van DIGIDOC, zoals browsers, virusscanners en operating systems, wordt up-to-date gehouden.


o Ook installeert DIGIDOC tijdig oplossingen die de leverancier uitbrengt voor beveiligingslekken in deze software.


o DIGIDOC verkrijgt tijdig informatie over technische kwetsbaarheden van de gebruikte informatiesystemen.

o DIGIDOC evalueert de mate waarin haar systeem blootstaat aan technische kwetsbaarheden.


o DIGIDOC treft tijdig geschikte maatregelen voor de behandeling van de risico’s die samenhangen met het systeem.


- Incidentenbeheer.


o DIGIDOC behandelt tijdig en doeltreffend informatiebeveiligingsincidenten en zwakke plekken in de beveiliging, zodra ze zijn gerapporteerd.


o DIGIDOC beoordeelt de risico’s voor de betrokkenen en informeert effectief de betrokkenen en indien nodig ook de toezichthouder.


o De lessen getrokken uit de afgehandelde incidenten gebruikt DIGIDOC om de beveiliging waar mogelijk structureel te verbeteren.


o Als een vervolgprocedure na een informatiebeveiligingsincident juridische maatregelen omvat (civiel- of strafrechtelijk), wordt het bewijsmateriaal verzameld, bewaard en gepresenteerd overeenkomstig de voorschriften voor bewijs die voor het relevante rechtsgebied zijn vastgelegd.

- Afhandeling van datalekken en beveiligingsincidenten.


o DIGIDOC meldt datalekken onmiddellijk aan Opdrachtgever (verwerkingsverantwoordelijke). De verwerkingsverantwoordelijke meldt dit lek zo spoedig mogelijk bij de betreffende toezichthouder.


o DIGIDOC informeert, indien daartoe verplicht of gehouden, ook de betrokkenen over het beveiligingsincident of het datalek.


Continuïteitsbeheer.


o DIGIDOC heeft in de organisatie continuïteitsbeheer ingericht om bij eventuele natuurrampen, ongevallen, uitval van apparatuur of opzettelijk handelen de gevolgen tot een aanvaardbaar niveau te beperken.


o Bij continuïteitsbeheer maakt DIGIDOC gebruik van een combinatie van preventieve maatregelen en herstelmaatregelen.

Bijlage 3 | Sub-verwerkers


Onderneming

Activiteit

Senet Eindhoven B.V.

Ontwikkeling programmatuur

DoIT B.V.

Systeembeheer

Switch Datacenters Amsterdam B.V.

Hosting

Document Metadata

Filed: February 14th, 2018