Verwerkersovereenkomst Partijen:
Verwerkersovereenkomst Partijen:
1. STH Automatisering BV, geregistreerd bij de Kamer van Koophandel onder nummer 32099419 kantoorhoudende in Nijkerk, 0000XX xxx xx Xxxxxxxxxx 20, hierbij rechtsgeldig vertegenwoordigd door xxx. X. Xxxxxxx (hierna: “Verwerker” of “STH Automatisering BV”);
en
2. Bedrijfsnaam:
Vestigingsadres:
Postcode en plaats:
Hierna: “Verwerkingsverantwoordelijke”
Overwegingen:
A. Verwerkingsverantwoordelijke en STH Automatisering BV zijn een Overeenkomst aangegaan voor het verrichten van elektronische ((tele)communicatie)diensten, zoals Voice over IP, clouddiensten of internetverkeer, die ertoe leidt dat STH Automatisering BV in opdracht van Verwerkingsverantwoordelijke Persoonsgegevens, verwerkt met het doel om de afgenomen diensten tot stand te brengen, in stand te houden en/of uit te voeren.
B. Verwerkingsverantwoordelijke en STH Automatisering BV wensen in deze Overeenkomst de wederzijdse rechten en verplichtingen voor de Verwerking van Persoonsgegevens door STH Automatisering BV vast te leggen Overeenkomstig de relevante wet en regelgeving.
C. De bepalingen van deze Overeenkomst gaan voor alle andere afspraken die tussen partijen gelden ten aanzien van de verwerking van persoonsgegevens, indien en voor zover zij afwijken van hetgeen in deze Overeenkomst is vastgelegd
1 Partijen zijn het volgende overeengekomen:
1.1 De in deze Overeenkomst gebruikte woorden of formuleringen hebben de volgende betekenis, tenzij de AVG anders bepaalt:
a Betrokkene: degene op wie een Persoonsgegeven betrekking heeft;
b Onderliggende Overeenkomst(en): de overeenkomst(en) voor de levering van elektronische ((tele)communicatie)diensten, waarbij Verwerkingsverantwoordelijke aan STH Automatisering BV opdracht heeft gegeven om Verwerkingen te verrichten;
c Overeenkomst: deze verwerkersovereenkomst;
d Persoonsgegevens: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon) dat STH Automatisering BV op grond van de Onderliggende Overeenkomst Verwerkt of dient te Verwerken;
e Verwerken/verwerking: alle handelingen of reeks handelingen uitgevoerd op Persoonsgegevens, al dan niet door geautomatiseerde middelen, zoals verzamelen, vastleggen, structureren, opslaan, aanpassen of wijzigen, ophalen, raadplegen, gebruiken, bekendmaken
Paraaf STH Automatisering BV Paraaf
door overdracht, verspreiding of anderszins beschikbaar maken, afstemmen of combineren, blokkeren, wissen of vernietigen.
f AVG: Algemene Verordening Gegevensbescherming (Verordening van de Europese Unie 2016/679 van 27 april 2016).
g Clouddienst: dienstverlening op grond waarvan Verwerker in opdracht van Verwerkingsverantwoordelijke de gegevensoverdracht en –opslag verzorgt van de (persoons)gegevens die vrijelijk door verwerkingsverantwoordelijke kunnen worden aangeleverd en verwijderd zonder dat verwerker daar enige invloed op kan uitoefenen.
2 Toepasselijkheid
2.1 Tenzij Partijen schriftelijk anders zijn overeengekomen, zijn de bepalingen van deze Overeenkomst van toepassing op iedere Verwerking door STH Automatisering BV op grond van de Onderliggende Overeenkomst(en). De afspraken in deze Overeenkomst hebben voorrang boven alle bepalingen in reeds gesloten overeenkomsten.
3 Verwerking door STH Automatisering BV
3.1 STH Automatisering BV neemt de bescherming van Persoonsgegevens serieus en zal daarom zoveel als voor haar naar redelijkheid mogelijk zorg dragen voor de naleving van de voorwaarden die op grond van de (U)AVG en andere relevante wet- en regelgeving worden gesteld aan het verwerken van Persoonsgegevens.
3.2 Een optimale dienstverlening realiseren is het doel van STH Automatisering BV. Voor de dienstverlening is het nodig dat Persoonsgegevens worden verwerkt. De verwerking van de Persoonsgegevens vindt echter alleen plaats voor zover dat nodig is voor de dienstverlening, te weten: het tot stand te brengen, in stand te houden en/of uitvoeren van elektronische ((tele)communicatie)diensten. STH Automatisering BV verwerkt de Persoonsgegevens slechts in opdracht en volgens de instructies van Verwerkingsverantwoordelijke en met het doel als bepaald in deze Overeenkomst en de Onderliggende Overeenkomst(en). STH Automatisering BV zal geen zelfstandige beslissing nemen over het gebruik en de opslag van de Persoonsgegevens. STH Automatisering BV zal Persoonsgegevens bovendien nooit verstrekken aan derden. Op de in dit artikel genoemde uitgangspunten wordt alleen afgeweken als de (Nederlandse) wet of autoriteiten daartoe verplichten.
3.3 STH Automatisering BV zal de Persoonsgegevens bewaren voor de duur als opgenomen in bijlage 1.
3.4 Om uitvoering aan de Onderlinge Overeenkomst te kunnen geven zal STH Automatisering BV in elk geval de persoonsgegevens verwerken als opgenomen in bijlage 2.
3.5 Om de veiligheid van de Persoonsgegevens zo veel mogelijk te kunnen waarborgen verschaft STH Automatisering BV enkel toegang tot de Persoonsgegevens aan haar werknemers voor zover dit nodig is voor het verrichten van de diensten op grond van de onderliggende Overeenkomst. STH Automatisering BV en personeel betrachten uiteraard geheimhouding ten aanzien van de onder deze Overeenkomst verwerkte Persoonsgegevens, conform de geheimhoudingsverklaring tussen STH Automatisering en personeel (zie bijlage 3).
3.6 De verwerking van persoonsgegevens door of namens STH Automatisering BV zal niet buiten de Europese Economische Ruimte (EER) plaatsvinden. Mocht het in de toekomst toch nodig of
wenselijk zijn om Persoonsgegevens buiten de EER te verwerken, dan vragen we hiervoor vooraf schriftelijke toestemming aan Verwerkingsverantwoordelijke.
3.7 Het is mogelijk dat STH Automatisering BV op grond van een bevel van een gerechtelijke of bestuurlijke instantie gehouden is om Persoonsgegevens aan een derde te verstrekken. In dat geval zal STH Automatisering BV Verwerkingsverantwoordelijke binnen 24 uur na ontvangst van een dergelijk bevel en voordat door STH Automatisering BV op het bevel is gehandeld, daarvan in kennis stellen om Verwerkingsverantwoordelijke in staat te stellen tegen het dwangmiddel bezwaar of beroep aan te tekenen. De kennisgeving vindt niet plaats als de betreffende wetgeving kennisgeving op grond van gewichtige redenen van algemeen belang verbiedt.
De verantwoordelijkheid om rechtsmiddelen tegen een dergelijk bevel aan te wenden ligt uitdrukkelijk bij Verwerkingsverantwoordelijke. Als de betreffende wetgeving op grond waarvan het bevel is gegeven, kennisgeving van Verwerkingsverantwoordelijke door STH Automatisering BV op grond van gewichtige redenen van algemeen belang verbiedt, waaronder, maar niet beperkt tot, het verschaffen van persoonsgegevens ten behoeve van het Centraal Informatiepunt Onderzoek Telecommunicatie (CIOT) van het Ministerie van Justitie en Veiligheid, vindt kennisgeving niet plaats.
3.8 STH Automatisering BV zal Verwerkingsverantwoordelijke in kennis stellen van alle verzoeken met betrekking tot inzage in de Persoonsgegevens die rechtstreeks van een Betrokkene zijn ontvangen.
3.9 STH Automatisering BV maakt voor haar dienstverlening gebruik van de diensten van derden die daardoor kunnen worden aangemerkt als sub-verwerker. Bij de selectie van deze partijen hanteert STH Automatisering BV de hoogste standaarden met betrekking tot de verwerking van Persoonsgegevens en sub-verwerkers dienen te voldoen aan de regels van deze Overeenkomst. De door STH Automatisering BV gehanteerde normen zien onder andere op het bieden van afdoende garanties met betrekking tot het toepassen van passende technische en organisatorische maatregelen door de sub-verwerker zodat de verwerking aan de wettelijke verplichtingen voldoet en de bescherming van de rechten van de Betrokkenen worden gewaarborgd. Verwerkingsverantwoordelijke gaat ermee akkoord dat de verwerking van Persoonsgegevens deels wordt verricht door sub-verwerkers. De lijst met sub-verwerkers en betreffende informatieverwerking zijn als bijlage toegevoegd. Wanneer STH Automatisering BV om organisatorische of technische redenen wijzigt van sub-verwerkers zal hiervoor expliciet toestemming aan Verwerkingsverantwoordelijke vragen.
3.10 Verwerkingsverantwoordelijke gaat hierbij akkoord met en geeft toestemming in algemene zin, als bedoeld in lid 2 van artikel 28 AVG, voor toekomstige uitbreidingen van het personeelsbestand bij STH Automatisering BV en het laten verrichten van Verwerkingen door andere c.q. nieuwe medewerkers van STH Automatisering BV.
4 Meldplicht datalekken
4.1 STH Automatisering BV zal Verwerkingsverantwoordelijke nadat STH Automatisering BV ervan kennis heeft gekregen, binnen 48 uur in kennis stellen van iedere inbreuk op de beveiliging (van welke aard dan ook) die (mede) betrekking heeft of kan hebben op de verwerking van Persoonsgegevens als deze met zekerheid is vastgesteld als zijnde een datalek. STH Automatisering BV zal Verwerkingsverantwoordelijke indien mogelijk inlichten over (i) de aard van de inbreuk; (ii) de (mogelijk) getroffen Persoonsgegevens; (iii) de vastgestelde en verwachte gevolgen van de inbreuk voor de verwerking van de Persoonsgegevens en de daarbij
betrokken personen; en (iv) de maatregelen die STH Automatisering BV heeft getroffen en zal treffen om de negatieve gevolgen van de inbreuk te beperken.
4.2 Ter bevordering van de dienstverlening door STH Automatisering BV en de beveiliging van Persoonsgegevens is Verwerkingsverantwoordelijke verplicht STH Automatisering BV zo snel mogelijk, doch binnen 24 uur, te informeren over ieder lek van de Persoonsgegevens waarvan zij kennis heeft genomen.
5 Beveiligingsmaatregelen en inspectie
5.1 Om ervoor te zorgen dat de Persoonsgegevens zoveel mogelijk worden beschermd neemt STH Automatisering BV maatregelen (bijvoorbeeld door moderne technieken, de juiste encrypties en versleuteling te gebruiken) om Persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking. STH Automatisering zal zich inspannen om de beveiliging up2date te houden, gelet op de stand van de techniek. Deze door STH Automatisering BV genomen maatregelen zijn vastgelegd in het document “Technische en organisatorische beveiligingsmaatregelen - STH” en kunnen op verzoek aan Verwerkingsverantwoordelijke verstrekt worden. Indien door Verwerkingsverantwoordelijke aanvullende maatregelen worden gewenst, kan in overleg met STH Automatisering BV worden bekeken of de gewenste maatregelen mogelijk en/of doeltreffend zijn en tegen welke kosten de aanvullende maatregelen kunnen worden aangeboden.
5.2 STH Automatisering BV heeft vertrouwen in de genomen beveiligingsmaatregelen en biedt Verwerkingsverantwoordelijke de mogelijkheid om de naleving van de beveiligingsmaatregelen door STH Automatisering BV te inspecteren of te laten inspecteren door een neutrale en deskundige onderzoeksinstantie. Uiteraard stellen we aan het onderzoek wel de voorwaarde dat geheimhouding van Persoonsgegevens en van de bevindingen van het onderzoek tegenover derden wordt gegarandeerd. STH Automatisering BV kan inspecties laten verrichten bij sub- verwerkers. Omtrent het gedeelte van de beveiliging waarvoor sub-verwerkers verantwoordelijk zijn, kan STH Automatisering BV op verzoek van Verwerkingsverantwoordelijke, het gegevensbeschermingsbeleid en de eventuele certificaten van sub-verwerkers verstrekken.
5.3 Omdat de in artikel 5.2 bedoelde inspecties belastend zijn voor de bedrijfsvoering van STH Automatisering BV komen partijen overeen dat deze inspecties alleen plaatsvinden nadat Verwerkingsverantwoordelijke de bij STH Automatisering BV aanwezige soortgelijke inspectierapportages heeft opgevraagd, beoordeeld en redelijke argumenten aanbrengt die een door Verwerkingsverantwoordelijke geïnitieerde inspectie alsnog rechtvaardigen. Een inspectie is gerechtvaardigd wanneer de bij STH Automatisering BV aanwezige soortgelijke inspectierapportages geen of onvoldoende uitsluitsel geven over het naleven van deze Overeenkomst door STH Automatisering BV. De door Verwerkingsverantwoordelijke geïnitieerde inspectie vindt twee weken na voorafgaande aankondiging door Verwerkingsverantwoordelijke, en maximaal eens per jaar plaats.
5.4 Alle kosten, vergoedingen en onkosten in verband met de inspectie, met inbegrip van personeelskosten en overige interne kosten, zoals winstderving, die STH Automatisering BV moet maken ter ondersteuning van de inspectie komen voor rekening van Verwerkingsverantwoordelijke, tenzij uit de inspecties blijkt dat STH Automatisering bewust nalatig is geweest.
5.5 Verwerkingsverantwoordelijke zal STH Automatisering BV direct na ontvangst een exemplaar van het rapport van de Inspectie verstrekken.
6 Verplichtingen Verwerkingsverantwoordelijke
6.1 Verwerkingsverantwoordelijke gaat ermee akkoord en staat er voor in dat de verwerking van de Persoonsgegevens overeenkomstig deze Overeenkomst in overeenstemming is met de (U)AVG en overige relevante wet- en regelgeving. Verwerkingsverantwoordelijke is zelf verantwoordelijk voor het toezicht hierop, middels de haar toekomende maatregelen.
7 Aansprakelijkheid
7.1 Alle verwerkingen vinden plaats onder verantwoordelijkheid van de Verwerkingsverantwoordelijke. STH Automatisering BV is niet aansprakelijk voor schade, tenzij de schade het gevolg is van opzet of bewuste roekeloosheid aan de zijde van STH Automatisering BV. In het geval STH Automatisering BV aansprakelijk is jegens Verwerkingsverantwoordelijke of Belanghebbende is deze aansprakelijkheid beperkt tot het bedrag dat door de verzekeraar van STH Automatisering BV wordt uitgekeerd. Als de verzekeraar van STH Automatisering BV niet tot uitkeren overgaat is de aansprakelijkheid van STH Automatisering BV beperkt tot een bedrag ter hoogte van 15% van het factuurbedrag over de afgelopen zes maanden. Aansprakelijkheid van STH Automatisering BV vanwege gevolgschade, waaronder maar niet beperkt tot: omzet- of winstderving en reputatieschade, is uitgesloten.
7.2 Verwerkingsverantwoordelijke is gehouden om iedere vermeende aanspraak van haar op STH Automatisering BV zo spoedig mogelijk, doch binnen 7 dagen nadat Verwerkingsverantwoordelijke dit heeft geconstateerd/ontdekt of dit redelijkerwijs had kunnen constateren/ontdekken, STH Automatisering BV hieromtrent te informeren. Na de informatieverschaffing zal STH Automatisering BV de schade, indien STH Automatisering BV van mening is hiervoor aansprakelijk te zijn, kosteloos naar redelijkheid beperken en herstellen. Pas wanneer deze remedie geen uitkomst biedt om de schade effectief te verhelpen, heeft Verwerkingsverantwoordelijke recht op schadevergoeding. Wanneer Verwerkingsverantwoordelijke STH Automatisering BV omtrent de schade/aansprakelijkheid te laat heeft geïnformeerd, vervalt haar recht op enige remedie. De bewijslast dat de schade aan STH Automatisering BV is toe te rekenen ligt bij Verwerkingsverantwoordelijke.
8 Beëindiging
8.1 De Overeenkomst is voor onbepaalde tijd aangegaan en eindigt op het tijdstip dat de Onderliggende Overeenkomst(en) eindig(t)(en).
8.2 Onverminderd andersluidende schriftelijke opdracht van Verwerkingsverantwoordelijke zal STH Automatisering BV in geval van beëindiging van de Overeenkomst – voor zover mogelijk - alle aan haar ter beschikking gestelde Persoonsgegevens aan Verwerkingsverantwoordelijke retourneren en alle digitale kopieën van Persoonsgegevens vernietigen. Indien naar het oordeel van STH Automatisering BV een wettelijke verplichting het geheel of gedeeltelijk retourneren of vernietigen van de Persoonsgegevens door STH Automatisering BV verbiedt of beperkt, zal zij Verwerkingsverantwoordelijke schriftelijk informeren over de toepasselijke wet- en regelgeving.
9 Overdracht rechten en plichten
9.1 Vanwege de vertrouwelijke aard van de dienstverlening zullen partijen de rechten en verplichtingen uit deze overeenkomst niet zonder schriftelijke toestemming van de andere partij aan derden overdragen.
10 Deelbaarheid
10.1 Indien één of meer bepalingen van deze Overeenkomst niet rechtsgeldig blijkt te zijn, zal de Overeenkomst voor het overige van kracht blijven. Partijen zullen over de bepalingen welke niet rechtsgeldig zijn overleg plegen, teneinde een vervangende regeling te treffen die wel rechtsgeldig is en zoveel mogelijk aansluit bij de strekking van de te vervangen regeling.
11 Toepasselijk recht en geschillen
11.1 Nederlands recht is van toepassing op deze Overeenkomst.
11.2 Alle geschillen voortvloeiende uit of samenhangende met deze Overeenkomst zullen uitsluitend worden voorgelegd aan de bevoegde rechter van het arrondissement waarin STH Automatisering BV haar statutaire hoofdvestigingsplaats heeft.
Ondergetekenden verklaren voor zover nodig te handelen met toestemming van vertegenwoordigingsbevoegde en staan hiervoor in.
Aldus in tweevoud opgemaakt en ondertekend,
Op …-…-20.... te Nijkerk Op …-…-20…. te
STH Automatisering BV Verwerkingsverantwoordelijke
namens deze namens deze:
J. Xxxxxxx
Bijlage 1: Bewaartermijnmatrix – STH Automatisering | Versie 2
Gegevens | Facturatie | Disputen | Verkeers- analyse | Fraudedetectie & Beveiliging | Wettelijke- plicht1 | Gespreks- historie | |
ALGEMEEN | |||||||
NAW, Telefoonnummers | 1 mnd | 6 mnd | 7 jr | ||||
Banknummer, KVK, BTW-nummer, etc. | 1 mnd | 6 mnd | 7 jr | ||||
VOICE Managed Voice | Voice Select | Voice Connect | |||||||
Communicatie metadata CDR, Telefoonnummers, Channel, IP Adressen, SIP, Extensie, Gebruiker | 1 mnd | 6 mnd | 15 mnd | 15 mnd | 3 mnd | ||
Voicemail | beheer van (eind)gebruiker | ||||||
Gespreksopnames | beheer van (eind)gebruiker | ||||||
Reach configuratie Telefoonnummers, tijden | beheer van (eind)gebruiker | ||||||
Contactpersonen | beheer van (eind)gebruiker | ||||||
1 Waaronder: Fiscale bewaarplicht (AWR) en de Telecommunicatiewet. Langste termijn is genoteerd.
2 Gedurende de levering van de dienst(en) of gedurende de looptijd van de contractuele relatie tussen partijen zal data worden bewaard.
Bijlage 1: Bewaartermijnmatrix – STH Automatisering | Versie 2
Gegevens ↓ / Doelen → | Facturatie | Disputen | Verkeers- analyse | Fraudedetectie & Beveiliging | Wettelijke- plicht1 | Gespreks- historie | |
MOBILE Managed Mobile | Voiceworks Mobile | Mobile Connect | |||||||
Communicatie metadata UDR/CDR, Telefoonnummers, IP Adressen, SIP, Extensie, Gebruiker, SIM nr (ICCID), IMSI, MSUB, ULI (Uniform Location Information) | 1 mnd | 6 mnd | 15 mnd | 15 mnd | 3 mnd | ||
Voicemail | beheer van (eind)gebruiker | ||||||
Gespreksopnames | beheer van (eind)gebruiker | ||||||
Reach configuratie Telefoonnummers, tijden | beheer van (eind)gebruiker | ||||||
Contactpersonen | beheer van (eind)gebruiker | ||||||
WAN KPN | TELE2 | Eurofiber | Ziggo | bbned | COGAS | UNET | ndix | ParkNed Generic Ftto | |||||||
Aansluitgegevens IP adres, NAW, Ordernummer | 1 mnd | 6 mnd | 2 mnd | 2 mnd | ∞ | ||
Metadata IP adres (bron + bestemming), tijd | 2 mnd | 2 mnd | |||||
1 Waaronder: Fiscale bewaarplicht (AWR) en de Telecommunicatiewet. Langste termijn is genoteerd.
∞ Gedurende de levering van de dienst(en) of gedurende de looptijd van de contractuele relatie tussen partijen zal data worden bewaard.
Bijlage 2: Specificatie persoonsgegevens en betrokkenen
STH Automatisering BV zal in het kader van de Overeenkomst, de volgende (bijzondere) persoonsgegevens verwerken in opdracht van Verwerkingsverantwoordelijke:
Algemeen:
• Opdrachtnemers, Werknemers, Vrijwilligers, Leden, Derden*: Naam, Telefoonnummer(s), Email
• Opdrachtnemers: Adres, Woonplaats
ICT:
• Opdrachtnemers, Werknemers, Vrijwilligers, Leden: Afdeling, Inloggegevens, Datum in dienst, Locatiegegevens, IP-Adres, MAC-adres
Mobiele telefonie:
• Opdrachtnemers, Werknemers, Vrijwilligers, Leden: BSN-nummer, Nummer identiteitsbewijs, MRZ identiteitsbewijs, (Pas)Foto’s, Geboorteplaats, Geboortedatum, Locatiegegevens.
Telefoon verkeer:
• Van iedere oproep: Van- en naar nummers, Duur, Account-ID, Gebruiker, Datum/tijd, Hoeveelheid data, Gebruikte Netwerk (Roaming), IP-Adres, MAC-adres
* Derden, bijvoorbeeld andere leveranciers van verwerkingsverantwoordelijke.
Voor zover de Onderliggende Overeenkomst telefoon verkeer omvat heeft de verwerking van de persoonsgegevens door Verwerker in opdracht van Verwerkingsverantwoordelijke, in aanvulling hetgeen hierboven is bepaald, betrekking op alle daarin door Verwerkingsverantwoordelijke of derden aangeleverde/opgenomen persoonsgegevens als bedoeld in artikel 4 AVG.
Verwerkingsverantwoordelijke staat ervoor in dat voor de verwerking van de in deze bijlage omschreven persoonsgegevens een geldige grond als bedoeld in artikel 6 AVG aanwezig is en vrijwaart Verwerker voor iedere aansprakelijkheid dienaangaande. Daarnaast staat de verwerkingsverantwoordelijke ervoor in dat de in deze bijlage beschreven persoonsgegevens en categorieën betrokkenen volledig en correct zijn, en vrijwaart Verwerker voor enige gebreken en aanspraken die resulteren uit een incorrecte weergave door Verwerkingsverantwoordelijk.