Standaard Verwerkersvoorwaarden Dewi Software BV
Standaard Verwerkersvoorwaarden Dewi Software BV
1. De besloten vennootschap met beperkte aansprakelijkheid Dewi
Software BV, statutair gevestigd te Oisterwijk en kantoorhoudende te (5061 PA) Oisterwijk aan de Almijstraat 14 , ingeschreven in het
handelsregister onder nummer 0817 9207 , te deze rechtsgeldig
vertegenwoordigd door de heer H. B. G. ( Xxxx) Xxxxxxx in de functie van Directeur, hierna te noemen: “Verwerker”;
en
2. De klant ( zoals gedefinieerd in de Algemene voorwaarden en
omschreven in de aanbieding, offerte, opdrachtbevestiging, gebruiks-
x. x. xxxxxxxxxxxxxxxxxxxxxx, l icentieovereenkomst of vergelijkbaar) zijnde ( rechts) persoon of organisatie die digitaal dan wel schriftelijk
opdracht heeft verstrekt aan Verwerker voor het leveren van Software, programmatuur, ICT- hardware, diensten of overige zaken, hierna te
noemen: “Verantwoordelijke” ( in de zin van de Wbp en AVG); Gezamenlijk aan te duiden als “ Partij( en)”;
OVERWEGENDE DAT:
(a) Verwerker met zijn klanten een overeenkomst c. q. overeenkomsten heeft gesloten ten behoeve van diensten & leveringen ten behoeve van de klant ofwel de Verantwoordelijke;
(b) De diensten met zich meebrengen dat persoonsgegevens worden
verwerkt, waarvoor Verantwoordelijke verantwoordelijk is in de zin van de Wet bescherming persoonsgegevens ( hierna: Wbp) en de Algemene
Verordening Gegevensbescherming ( AVG/GDPR);
(c) Verwerker de betreffende gegevens louter in opdracht van
Verantwoordelijke verwerkt en niet voor eigen doeleinden. Verwerker is in dat kader aan te merken als Verwerker in de zin van de Wbp;
(d) Per 25 mei 2018 van toepassing zal zijn Verordening ( EU) 2016/ 679 van het Europees Parlement en de Raad van 27 april 2016 ( Algemene
Verordening Gegevensbescherming) ofwel de “ AVG”;
(e) De AVG aan de Verantwoordelijke de plicht opleggen om ervoor zorg te
dragen dat de Verwerker voldoende waarborgen biedt ten aanzien van de technische en organisatorische beveiligingsmiddelen met betrekking tot
de te verrichten verwerkingen.
(f) Verwerker hiertoe bereid is en tevens bereid is de verplichtingen omtrent beveiliging en andere aspecten van de AVG na te komen;
(g) Partijen middels deze Verwerkersvoorwaarden hun rechten en plichten
met betrekking tot de verwerking van persoonsgegevens in het kader van de ( Hoofd) overeenkomst( en) wensen vast te leggen;
(h) Waar wordt gerefereerd aan bepalingen van de Wbp, worden per 25 mei 2018 de corresponderende bepalingen van de AVG bedoeld;
(i) Deze Verwerkersvoorwaarden, indien van toepassing, alle eerdere overeenkomst( en) van gelijke strekking tussen Partijen vervangt.
VERANTWOORDELIJKE EN VERWERKER KOMEN HET VOLGENDE OVEREEN:
Artikel 1 . Definities
a) Algemeen: definities hebben de betekenis die eraan wordt toegekend in de Algemene Verordening Gegevensbescherming ( 2016 / 679 / EU),
hierna te noemen AVG
b) Betrokkene is degene op wie een Persoonsgegeven betrekking heeft.
c) Bijzondere gegevens zijn Persoonsgegevens als bedoeld in artikel 16 van de Wbp en artikel 9 van de AVG.
d) Datalek is een inbreuk op de beveiliging als bedoeld in Artikel 4 van de AVG.
e) Dienst is de onder de ( Hoofd) overeenkomst te leveren dienst van Verwerker.
f) Gebruiker is een op enigerlei wijze aan Verantwoordelijke verbonden (natuurlijke) persoon, zoals personeel, die door de Verantwoordelijke geautoriseerd is tot ( een bepaald deel) van de Dienst.
g) Hoofdovereenkomst is de Gebruikerslicentie die is afgesloten door Verantwoordelijke bij Verwerker, voor gebruik van een applicatie van Dewi Software BV.
h) Hulpleverancier is een partij die door de Verwerker is ingeschakeld om te ondersteunen bij het uitvoeren van de Dienst. Indien een
Hulpleverancier in opdracht van Verwerker Persoonsgegevens verwerkt, is deze Hulpleverancier tevens aan te merken als Subverwerker.
i) Overeenkomst( en) is ( zijn) een afspraak ( afspraken) waarin het verwerken van persoonsgegevens ( eventueel) onderdeel uitmaakt.
j) Persoonsgegeven is elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon, die op welke wijze dan ook door Verwerker verwerkt wordt of zal worden in het kader van de
Overeenkomst.
k) Subverwerker is een Hulpleverancier die in opdracht van Xxxxxxxxx en ten behoeve van de Verantwoordelijke persoonsgegevens verwerkt.
l) Toezichthouder is de Autoriteit Persoonsgegevens ( AP), het
zelfstandig bestuursorgaan dat in Nederland bij wet als toezichthouder is aangesteld voor het verwerken van persoonsgegevens.
m) Verantwoordelijke , of ook wel Verwerkingsverantwoordelijke, is een natuurlijk persoon, een rechtspersoon, een dienst of ander orgaan
welke aangemerkt wordt als verantwoordelijke voor de verwerking van persoonsgegevens en is de partij die de doeleinden van en middelen
aanwijst voor de verwerking van persoonsgegevens.
n) Verwerker is de partij die als Verwerker in de zin van de Wbp/AVG ten behoeve van de Verantwoordelijke persoonsgegevens verwerkt.
o) Verwerkersvoorwaarden zijn de voorwaarden vastgelegd in
onderhavig document waaronder Partijen Persoonsgegevens verwerken.
p) Verwerking is elke handeling of elk geheel van handelingen met betrekking tot Persoonsgegevens, waaronder in ieder geval het
verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding, of enige andere vorm van
terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens.
Artikel 2 . Onderwerp van de overeenkomst
2. 1. Verwerker verwerkt uitsluitend in opdracht van de Verantwoordelijke en gedurende de looptijd van de in artikel 1 van deze
Verwerkersovereenkomst genoemde ( Hoofd) overeenkomst ten behoeve van Verantwoordelijke, en ter voldoening aan enige wettelijke
verplichting, persoonsgegevens.
2. 2 Verwerker garandeert dat al haar personeel op enigerlei wijze
betrokken bij de verwerking van persoonsgegevens, alsmede de onder zijn gezag opererende Subverwerkers, zich houdt aan de voorschriften van de Wbp en AVG en aan hetgeen verder uit deze
Verwerkersvoorwaarden voortvloeit, voor zover dit binnen zijn macht ligt.
2. 3. Verantwoordelijke staat ervoor in dat de inhoud, het gebruik en de
opdracht tot verwerkingen van persoonsgegevens zoals bedoeld in deze verwerkingsovereenkomst niet onrechtmatig is en geen inbreuk maakt op enig recht van derden. Verantwoordelijke staat ervoor in dat de
persoonsgegevens en categorieën volledig en correct zijn, en vrijwaart Verwerker voor enige gebreken en aanspraken die resulteren uit een
incorrecte weergave daarvan.
Artikel 3 . Uitvoering verwerking & geheimhouding
3. 1 De door Verwerker uit te voeren werkzaamheden waarop deze
Verwerkersvoorwaarden betrekking hebben worden nader omschreven in bijlage A . Verwerker garandeert dat hij ten behoeve van
Verantwoordelijke uitsluitend persoonsgegevens zal verwerken voor
zover dit noodzakelijk is voor de levering van de prestaties onder de in artikel 1 van deze Verwerkersvoorwaarden genoemde
( Hoofd) overeenkomst(en). Overige verwerkingen zullen uitsluitend
worden uitgevoerd in expliciete opdracht van Verantwoordelijke of als daartoe een wettelijke verplichting bestaat.
3. 2 Verwerker zal alle redelijke instructies van Verantwoordelijke in
verband met de verwerking van de persoonsgegevens opvolgen. De
Verwerker neemt geen zelfstandige beslissingen over de ontvangst en het gebruik van de persoonsgegevens, de verstrekking aan derden en de duur van de opslag van de persoonsgegevens. Verwerker stelt
Verantwoordelijke direct op de hoogte indien naar zijn oordeel
instructies in strijd zijn met de toepasselijke wetgeving met betrekking tot de verwerking van persoonsgegevens.
3. 3 Verwerker zal de persoonsgegevens aantoonbaar, op behoorlijke en
zorgvuldige wijze en in overeenstemming met de op hem als verwerker op grond van de Wbp en AVG en overige wetgeving rustende
verplichtingen verwerken. Verwerker is gehouden om, met
inachtneming van hetgeen in deze Verwerkersovereenkomst is bepaald, die doeleinden en de bescherming van de persoonsgegevens met
maximale zorg na te streven.
3. 4 Verwerker garandeert dat hij alle persoonsgegevens als strikt vertrouwelijk zal behandelen en dat hij al zijn werknemers,
vertegenwoordigers en/ of de onder zijn gezag opererende Subverwerkers die betrokken zijn bij de verwerking van de
Persoonsgegevens van de vertrouwelijke aard van dergelijke
(persoons)gegevens op de hoogte zal stellen. Verwerker zal waarborgen dat betrokken personen en partijen een geheimhoudingsplicht opgelegd hebben gekregen en zal Verantwoordelijke op verzoek inzage hierin
geven.
3. 5 Het is Verwerker niet toegestaan de persoonsgegevens aan enige derde te tonen, te verstrekken of anderszins ter beschikking te stellen, tenzij dit noodzakelijk of toegestaan is ingevolge de opdracht beschreven in
de ( Hoofd) overeenkomst(en), er een wettelijke grondslag is of in het geval hiervoor expliciete voorafgaande toestemming van
Verantwoordelijke is verkregen.
Het is Verwerker wel toegestaan gegevens uit datasets van
Verantwoordelijke te gebruiken, indien het gegevens in geaggregeerde,
niet naar individuele personen herleidbare vorm betreft.
3. 6 De geheimhoudingsplicht jegens derden is niet van toepassing indien
het verstrekken van informatie aan derden logischerwijs noodzakelijk is gezien de aard van de ( hoofd) overeenkomst, een verstrekte opdracht
en de uitvoering van deze Verwerkersvoorwaarden. Hieronder valt
onder meer de gegevensoverdracht tussen twee Verwerkers, welke in expliciete opdracht van Verantwoordelijke onderling data dienen uit te wisselen.
3. 7 Verwerker zal zijn volledige en t i jdige medewerking verlenen aan
Verantwoordelijke om Verantwoordelijke in staat te stellen te voldoen aan de verplichtingen op grond van de AVG, zoals ( onder meer):
• (i) na goedkeuring van en in opdracht van Verantwoordelijke betrokkenen toegang te laten krijgen tot de hun betreffende persoonsgegevens;
• (ii) persoonsgegevens te verwijderen of te corrigeren;
• (iii) aan te tonen dat persoonsgegevens verwijderd of gecorrigeerd zijn indien zij incorrect zijn ( of, ingeval
Verantwoordelijke het er niet mee eens is dat persoonsgegevens incorrect zijn, het feit vast te leggen dat de betrokkene zijn
persoonsgegevens als incorrect beschouwt);
• (iv) Verantwoordelijke anderszins in de gelegenheid te stellen om aan zijn verplichtingen onder de Wbp en AVG of andere
toepasselijke wetgeving op het gebied van verwerking van persoonsgegevens te voldoen.
De redelijkerwijs daarmee gepaard gaande ( extra) kosten komen voor rekening van Verantwoordelijke.
3. 8 Verwerker zal de persoonsgegevens van Verantwoordelijke logisch
gescheiden verwerken van de persoonsgegevens die hij voor zichzelf of namens derde partijen verwerkt.
3. 9 Verantwoordelijke staat ervoor in dat de verwerking van
persoonsgegevens onder één van de vrijstellingen onder de Wbp valt, of wanneer dit niet het geval is een melding bij de Autoriteit
Persoonsgegevens plaats vindt. Vanaf het moment dat op 25 mei 2018 de AVG van toepassing wordt, staat Verantwoordelijke ervoor in dat zij een register zal bijhouden van de onder deze verwerkersovereenkomst geregelde verwerkingen. De Verantwoordelijke vrijwaart Verwerker
tegen alle aanspraken en claims die verband houden met het niet of niet juist naleven van de meldingsplicht en/ of registerplicht.
3. 10 Verwerker mag de persoonsgegevens verwerken in de Europese Unie maar ook in landen buiten de EU, mits er door de Europese Commissie
is vastgesteld dat dit land een passend beschermingsniveau waarborgt of er door Verwerker met de betreffende partij buiten de Europese Unie een EC Model Contract is gesloten.
3 .11 Verwerker is louter verantwoordelijk voor de verwerking van persoonsgegevens onder deze verwerkingsvoorwaarden,
overeenkomstig de instructies van Verantwoordelijke en onder de
uitdrukkelijke ( eind) verantwoording van Verantwoordelijke. Voor alle
overige verwerkingen van persoonsgegevens, waaronder in ieder geval begrepen maar niet beperkt tot de verzameling van persoonsgegevens door Verantwoordelijke, verwerkingen voor doeleinden die niet door
Verantwoordelijke aan Verwerker zijn gemeld, verwerkingen door
derden en/ of andere doeleinden, is Verwerker niet verantwoordelijk.
Artikel 4 . Beveiliging, maatregelen & controle
4. 1 Verwerker zal passende technische en organisatorische maatregelen nemen om persoonsgegevens te beveiligen tegen verlies, onbevoegde
kennisname, verminking of enige vorm van onrechtmatige verwerking.
Deze maatregelen bieden, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend
beveiligingsniveau gelet op de risico’ s die de verwerking en de aard
van te beschermen gegevens met zich meebrengen conform artikel 13 van de Wbp en artikel 32 van de AVG. In deze beveiligingsmaatregelen zijn de mogelijk in de ( Hoofd) overeenkomst(en) reeds bepaalde
maatregelen begrepen.
De maatregelen omvatten in ieder geval (o. a. ook uiteengezet in Bijlage B.):
(a) maatregelen om te waarborgen dat enkel bevoegd personeel toegang
heeft tot de persoonsgegevens voor de doeleinden die zijn uiteengezet in Bijlage A.;
(b) maatregelen waarbij de verwerker zijn medewerkers en eventuele
Subverwerkers uitsluitend toegang geeft tot persoonsgegevens via op naam gestelde accounts en waarbij de betreffende accounts alleen
toegang geven tot die persoonsgegevens waartoe de toegang voor de betreffende persoon noodzakelijk is;
(c) maatregelen dan wel advies uitbrengen aan de hostende partij over maatregelen om de persoonsgegevens te beschermen tegen
onopzettelijke of onrechtmatige vernietiging, onopzettelijk verlies of wijziging, onbevoegde of onrechtmatige opslag verwerking, toegang of openbaarmaking;
(d) maatregelen om zwakke plekken te identificeren ten aanzien van de
verwerking van persoonsgegevens in de systemen die worden ingezet voor het verlenen van diensten aan Verantwoordelijke;
(e) maatregelen om de t i jdige beschikbaarheid van de gegevens te garanderen en overige maatregelen, een en ander zoals nader uitgewerkt in Bijlage B.
4. 2 Verwerker heeft een passend beveiligingsbeleid geïmplementeerd voor de verwerking van persoonsgegevens, waarin in ieder geval de in l id 1 van dit artikel 4 genoemde maatregelen uiteen zijn gezet.
4 .3 Verantwoordelijke is verantwoordelijk voor de naleving van de tussen partijen afgesproken ( extra) maatregelen. Verantwoordelijke heeft het recht toe te ( laten) zien op de naleving van de hiervoor genoemde
maatregelen. Verwerker stelt Verantwoordelijke, indien
Verantwoordelijke daarom verzoekt, hiertoe in elk geval eenmaal per jaar in de gelegenheid op een door Partijen in gezamenlijk overleg
nader te bepalen t i jdstip en verder indien Verantwoordelijke daar
aanleiding toe ziet naar aanleiding van ( vermoeden van) informatie- of privacy- incidenten, zulks te ( laten) controleren.
Deze audit vindt uitsluitend plaatst nadat opgevraagde rapportages zijn beoordeeld en Verantwoordelijke alsnog argumenten aanbrengt, die een door Verantwoordelijke geïnitieerde audit rechtvaardigt. Verwerker zal aan zo’ n audit meewerken en ondersteunende gegevens aanleveren;
Verantwoordelijke zal ervoor zorgdragen dat een audit een zo min mogelijk verstorend effect op de werkzaamheden van de Verwerker veroorzaakt.
Bevindingen naar aanleiding van de audit zullen door Partijen in
onderling overleg worden beoordeeld en, naar aanleiding daarvan, al dan niet worden doorgevoerd door één van de Partijen of door beide Partijen gezamenlijk. De redelijkerwijs met de audit gepaard gaande kosten komen voor rekening van Verantwoordelijke, tenzij de audit
aantoont dat deze ook achteraf zeer gerechtvaardigd was. De kosten voor in te huren derde( n) zullen altijd door de Verantwoordelijke
worden gedragen.
4. 4 Verantwoordelijke is zich bewust van de zelfstandige
controlebevoegdheden van de Autoriteit Persoonsgegevens en zal deze toezichthouders toegang verstrekken en medewerking verlenen aan een onderzoek met betrekking tot de op grond van deze Overeenkomst
verwerkte persoonsgegevens.
4. 5 Verwerker zal in alle redelijkheid haar medewerking verlenen aan het onder 4. 4 bedoelde onderzoek. Eventuele kosten die Verwerker moet
maken om aan een dergelijk verzoek te voldoen, mogen door Verwerker aan Verantwoordelijke in rekening worden gebracht.
4. 6 Partijen erkennen dat beveiligingseisen voortdurend veranderen en dat een effectieve beveiliging frequente evaluatie en regelmatige
verbetering van verouderde beveiligingsmaatregelen vereist. Verwerker zal daarom de maatregelen zoals geïmplementeerd op basis van dit
artikel 4 periodiek evalueren, verscherpen, aanvullen of verbeteren om te blijven voldoen aan de verplichtingen onder dit artikel 4 , rekening
houdend met de stand van de techniek en de kosten van de tenuitvoerlegging.
Artikel 5 . Incidentenmanagement & meldplicht
5. 1 Partijen zullen elkaar informeren over feiten c. q. relevante
inbreuk( gevaren) waarvan zij redelijkerwijze kunnen verwachten dat deze invloed hebben op de verwerking van persoonsgegevens waar
deze overeenkomst op toe ziet.
5. 2 Verwerker zal actief monitoren op inbreuken op beveiligings-
maatregelen en over de resultaten van de monitoring, indien benodigd
c. q. uitdrukkelijke gewenst, rapporteren aan Verantwoordelijke.
5. 3 Verwerker zal Verantwoordelijke zo spoedig mogelijk – afgezet tegen de termijn die geldt voor een eventuele meldingsplicht van
Verantwoordelijke - op de hoogte stellen van ieder incident. Met een incident wordt bedoeld: een inbreuk op de beveiliging van
persoonsgegevens die leidt tot een aanzienlijke kans op ernstige
nadelige gevolgen, dan wel ernstige nadelige gevolgen heeft voor de
bescherming van persoonsgegevens. Verwerker verstrekt daarbij, naast het feit dat er een ( kans op een) datalek is geweest, alle relevante
informatie omtrent:
• Het t i jdstip van het incident c. q. de periode waarbinnen het incident heeft plaats gevonden;
• Het t i jdstip waarop het incident bekend is geworden bij
Verwerker en bij de eventueel ingeschakelde hulpleverancier;
• De aard van het incident;
• De (mogelijk) getroffen gegevens en aantal personen (indien geen exacte getallen bekend zijn: het minimale en maximale aantal personen waarvan gegevens gelekt zijn);
• Een omschrijving van de groep personen die het incident betreft, inclusief de soorten gegevens;
• Of de gegevens versleuteld, gehasht of op een andere manier onbegrijpelijk zijn gemaakt voor onbevoegden;
• De geconstateerde en de vermoedelijke oorzaak van het incident
• De geconstateerde en vermoedelijke gevolgen van het incident,
• En de maatregelen die getroffen zijn of zullen worden genomen om het incident op te lossen dan wel de gevolgen/ schade zoveel mogelijk te beperken.
• Contactgegevens voor de opvolging van de melding.
5. 4 Verwerker is verplicht om maatregelen te treffen die redelijkerwijs van hem kunnen worden verwacht om het incident zo snel mogelijk te
herstellen, dan wel de verdere gevolgen zoveel mogelijk te beperken. Verwerker treedt onverwijld in overleg met Verantwoordelijke teneinde hierover nadere afspraken te maken.
5. 5 Verwerker zal Verantwoordelijke te allen t i jde haar medewerking
verlenen en zal de instructies van Verantwoordelijke opvolgen, met als doel Verantwoordelijke in staat te stellen een deugdelijk onderzoek te verrichten naar het incident, een correcte respons te formuleren en
passende vervolgstappen te nemen ten aanzien van het incident, waaronder begrepen het informeren van de Autoriteit
Persoonsgegevens en/ of de betrokkenen.
5. 6 Onder ‘ incident’ wordt in elk geval het volgende verstaan:
(a) Een klacht of ( informatie) verzoek van een natuurlijk persoon met betrekking tot de verwerking van persoonsgegevens door Verwerker
(b) Een onderzoek naar of beslaglegging door
overheidsfunctionarissen op de persoonsgegevens of een vermoeden dat dit gaat plaatsvinden;
(c) Iedere ongeautoriseerde toegang, verwerking, verwijdering,
verminking, verlies of enige vorm van onrechtmatige verwerking van de persoonsgegevens;
(d) Een inbreuk op de beveiliging en/ of de vertrouwelijkheid, zoals uiteengezet in artikel 4. van de Verwerkersvoorwaarden, en/ of ieder ander incident dat leidt ( of mogelijk leidt) tot
onrechtmatige vernietiging, verlies, wijziging, onbevoegde openbaarmaking van, of onbevoegde toegang tot, de
persoonsgegevens. Of enige aanwijzing dat een dergelijke inbreuk zal plaatsvinden of heeft plaatsgevonden.
5. 7 Verwerker zal te allen t i jde Verantwoordelijke van een onmiddellijke reactie over een incident kunnen voorzien, om vervolgens effectief samen te werken met Verantwoordelijke om het incident af te
handelen.
5. 8 Meldingen die worden gedaan door Xxxxxxxxx op grond van dit artikel worden gericht aan de Directie van Verantwoordelijke, of indien van
toepassing, aan een andere door Verantwoordelijke schriftelijk
bekendgemaakte werknemer van c. q. vertegenwoordiger namens Verantwoordelijke.
5. 9 Verantwoordelijke zal, indien naar haar oordeel noodzakelijk,
betrokkenen en andere derden waaronder eventueel de Autoriteit Persoonsgegevens informeren over incidenten.
Het is Verwerker niet toegestaan informatie te verstrekken over incidenten aan betrokkenen of andere derde partijen, tenzij
Verantwoordelijke hier schriftelijk opdracht toe geeft of Verwerker
hiertoe wettelijk verplicht is. De verantwoordelijkheid tot het doen van een melding aan de Toezichthouder l igt bij de Verantwoordelijke.
Artikel 6 . Subverwerkers / hulpleveranciers - Andere Verwerkers
6. 1 Het is Verwerker toegestaan om Subverwerkers in te schakelen om aan de opdracht te voldoen. Hiervan kan echter in overleg en/ of in opdracht van de Verantwoordelijke worden afgeweken. In het geval dat
Verwerker een Subverwerker inschakelt dienen beide partijen een Subverwerkers- overeenkomst te sluiten en zal Verwerker deze op
eerste verzoek van Verantwoordelijke aan Verantwoordelijke ter hand stellen.
De Subverwerkers welke ten t i jde van het sluiten van deze worden ingezet, zijn weergegeven in Bijlage C.
6. 2 Het staat Verwerker vrij om te wisselen van Subverwerker. Verwerker draagt de verantwoordelijkheid om een nieuwe Subverwerker dezelfde of strengere verplichtingen op te leggen die uit deze
Verwerkersvoorwaarden of uit de wet voortvloeien. Verwerker zal Verantwoordelijke t i jdig informeren over een eventuele wisseling.
Verantwoordelijke kan een overstap naar een andere Subverwerker niet blokkeren; als Verantwoordelijke echter van mening is en blijft dat zij door de wisseling niet meer de gewenste dienstverlening kan bieden
aan haar klanten, dan wel niet meer aan de wettelijke verplichtingen kan voldoen, zullen Verwerker en Verantwoordelijke in overleg treden over een alternatieve ( maatwerk) oplossing.
6. 3 Verwerker blijft volledig aansprakelijk jegens Verantwoordelijke voor de gevolgen van het uitbesteden van werkzaamheden aan een derde,
tenzij de dienstverlening van de derde ( Subverwerker) op uitdrukkelijk verzoek van Verantwoordelijke is.
6. 4 Voor de inzet van derden in een land buiten de Europese Economische Ruimte zonder een passend beschermingsniveau is altijd expliciet
toestemming vereist van Verantwoordelijke, tenzij wordt voldaan aan de voorwaarden van 3. 10.
6. 5 Indien Verantwoordelijke andere Verwerkers wenst in te schakelen, waarover Verwerker geen zeggenschap heeft, maar er wel een
koppeling dient te worden gerealiseerd tussen de systemen van beide
verwerkers, is er geen sprake van een Verwerker- Subverwerker- relatie.
Verwerker zal onder artikel 3 . 6 gegevens uitwisselen, waarbij op
verzoek een beschrijving zal worden verstrekt aan Verantwoordelijke.
Verantwoordelijke zal toezien op de invulling van deze
gegevensuitwisseling; Verantwoordelijk zal verder zelfstandig een Verwerkersovereenkomst met deze Verwerker afsluiten.
Artikel 7 . Aansprakelijkheid
7. 1 Partijen zijn ieder verantwoordelijk en aansprakelijk voor hun eigen
handelen. De in dit artikel geregelde aansprakelijkheid heeft uitsluitend betrekking op boetes en schade ten gevolge van verwijtbare
tekortkoming in het naleven van de Verwerkersvoorwaarden.
Indien een Partij te kort schiet in de nakoming van een
overeengekomen verplichting, kan de andere partij haar in gebreke stellen waarbij de nalatige partij alsnog een redelijke termijn voor
nakoming wordt gegund. Blijft nakoming dan nog uit, dan is de nalatige partij in verzuim. Ingebrekestelling is niet nodig wanneer voor de
nakoming een fatale termijn geldt, nakoming blijvend onmogelijk is of indien uit een mededeling dan wel de houding van de andere partij
moet worden afgeleid dat deze in de nakoming van haar verplichting zal tekortschieten.
7. 2 De aansprakelijkheid van Verwerker wegens een toerekenbare
tekortkoming in de nakoming van de ( Hoofd) overeenkomst, deze
verwerkersvoorwaarden of op welke rechtsgrond dan ook, daaronder uitdrukkelijk begrepen iedere tekortkoming in de nakoming van een met de Verantwoordelijke overeengekomen garantieverplichting, is
beperkt tot vergoeding van de directe schade tot maximaal het bedrag van de in de ( Hoofd) overeenkomst bedongen prijs ( ex btw).
Indien deze overeenkomst hoofdzakelijk een duurovereenkomst is met een looptijd van meer dan één jaar, wordt de voor de overeenkomst
bedongen prijs gesteld op het totaal van de vergoedingen ( excl. btw) bedongen voor één jaar.
Verwerker is slechts aansprakelijk voor directe schade voor zover deze is ontstaan door werkzaamheid van Verwerker.
De aansprakelijkheid is per gebeurtenis, waarbij een samenhangende reeks van gebeurtenissen als één gebeurtenis geldt. In geen geval zal de totale aansprakelijkheid van Verwerker voor directe schade meer
bedragen dan € 500. 000 ( vijfhonderdduizend euro). Onder directe
schade wordt verstaan de schadeposten zoals opgenomen in de polis bladen van de aansprakelijkheidsverzekering van Dewi Software BV.
7. 3 De totale aansprakelijkheid van Verwerker voor schade door dood,
lichamelijk letsel of wegens materiele beschadigingen bedraagt nimmer meer dan € 1 . 250 . 000 ( één miljoen tweehonderdvijftig duizend euro).
7. 4 De aansprakelijkheid van Verwerker voor bedrijfsschade, waaronder schade wegens gederfde winst of niet gerealiseerde besparingen,
aanspraken van afnemers, schade door bedrijfsstagnatie,
reputatieschade of andere indirecte of gevolgschade is uitgesloten.
Eveneens is uitgesloten de aansprakelijkheid van Dewi Software BV
verband houdende met verminking, vernietiging of verlies van gegevens of documenten, bijvoorbeeld bij een beveiligingslek en/ of datalek, of de voorkoming of beperking hiervan. Bovenstaande beperking vervalt
xxxxxxx xxx xxxxx schuld of opzet van Dewi Software BV en/ of haar leidinggevenden.
7. 5 De aansprakelijkheid voor schade verband houdende met het gebruik van door de Verantwoordelijke aan Verwerker voorgeschreven zaken,
materialen of programmatuur van derden en schade verband houdende met de inschakeling van door Verantwoordelijke aan Verwerker
voorgeschreven toeleveranciers/ Subverwerkers, is uitgesloten. Verder gelden de voorwaarden zoals vermeld in de ( Hoofd) overeenkomst.
7. 6 Partijen dragen zorg voor afdoende dekking van aansprakelijkheid , eventueel in de vorm van een Cyber Security verzekering.
7. 7 Indien Verwerker een sanctie krijgt opgelegd door de Toezichthouder of schade dient te vergoeden aan een betrokkene ten gevolge van
handelen of nalaten van Verantwoordelijke, vrijwaart Verantwoordelijke Verwerker en stelt deze op eerste verzoek schadeloos voor deze sanctie of schade, waaronder mede begrepen de ( juridische) kosten.
Artikel 8 . Duur, wijzigen en beëindigen Verwerkerkersvoorwaarden
8. 1 Deze Verwerkersvoorwaarden gaan in op 25 mei 2018 en de duur van deze Verwerkersvoorwaarden is gelijk aan de duur van de genoemde termijn in de ( Hoofd) overeenkomst(en) c. q. de duur van de
(deel) overeenkomst(en).
8. 2 De Verwerkersvoorwaarden maken integraal en onlosmakelijk deel uit
van de ( Hoofd) overeenkomst. Beëindiging van de ( Hoofd) overeenkomst, op welke grond dan ook ( opzegging / ontbinding), heeft tot gevolg dat de Verwerkersvoorwaarden eveneens op dezelfde grond beëindigd
worden (en vice versa), tenzij partijen in voorkomend geval anders overeenkomen.
8. 3 Verplichtingen welke naar hun aard bestemd zijn om ook na beëindiging van deze Verwerkersvoorwaarden voort te duren, blijven na beëindiging van de (hoofd) overeenkomst gelden. Tot deze bepalingen behoren
onder meer die welke voortvloeien uit de bepalingen betreffende geheimhouding, aansprakelijkheid en toepasselijk recht.
8. 4 Ieder der partijen is gerechtigd, de uitvoering van deze
Verwerkersovereenkomst en de daarmee samenhangende (componenten van de) ( Hoofd) overeenkomst op te schorten, dan wel zonder
rechterlijke tussenkomst met onmiddellijke ingang te ontbinden, indien:
(a) de andere partij wordt ontbonden of anderszins ophoudt te bestaan;
(b) de andere partij aantoonbaar ernstig tekortschiet in de nakoming van de verplichtingen die voortvloeien uit deze
Verwerkersovereenkomst en die ernstige toerekenbare
tekortkoming niet binnen 30 dagen (of langer indien dit onvermijdelijk is) is hersteld na een daartoe strekkende schriftelijke ingebrekestelling;
(c) een partij in staat van faillissement wordt verklaard of surséance van xxxxxxxx aanvraagt.
8. 5 Verantwoordelijke is gerechtigd deze Verwerkersvoorwaarden niet
langer van toepassing te verklaren en de ( Hoofd) overeenkomst per direct te ontbinden indien de leiding van Xxxxxxxxx schriftelijk,
uitdrukkelijk en onmiskenbaar te kennen geeft niet ( langer) te kunnen voldoen aan de betrouwbaarheidseisen die op grond van ontwikkelingen in de wet en/ of de rechtspraak aan de verwerking van de
persoonsgegevens worden gesteld. Artikel 9. 2 is van overeenkomstige toepassing.
8. 6 . Verwerker is gerechtigd om wijzigingen in Verwerkersvoorwaarden door te voeren, welke expliciet en aantoonbaar aan Klanten /
Verantwoordelijken moeten worden medegedeeld. Verantwoordelijke heeft daarna 30 dagen de t i jd om aan te geven dat men niet akkoord
is. Zonder tegenbericht van Verantwoordelijke zijn de wijzigingen door Verantwoordelijke geaccepteerd.
Verwerker zal Verantwoordelijke t i jdig informeren over wijzigingen in de Verwerkersvoorwaarden, als een wijziging in regelgeving of een
wijziging in de uitleg van regelgeving daartoe aanleiding geeft.
Artikel 9 . Bewaartermijnen, teruggave en vernietiging van Persoonsgegevens
9. 1 Verwerker zal de Persoonsgegevens niet langer bewaren dan nodig is
voor de in artikel 3 . 1 genoemde doelen. De Verantwoordelijke zal waar de Persoonsgegevens niet meer nodig zijn de Verwerker raadplegen ter zake de voortzetting van het bewaren van die Persoonsgegevens.
Verder kent Verwerker default bewaartermijnen voor categorieën persoonsgegevens, welke zijn terug te vinden in Bijlage D.
9. 2 Bij het niet langer van toepassing verklaren c. q. zijn van de
Verwerkersvoorwaarden, of indien van toepassing aan het einde van de overeengekomen bewaartermijnen, of op schriftelijk verzoek van
Verantwoordelijke zal Verwerker, tegen de daarvoor op dat moment geldende tarieven die via een offerte kenbaar worden gemaakt, naar keuze van Verantwoordelijke, de Persoonsgegevens onherroepelijk
vernietigen of (gedeeltelijk) teruggeven aan Verantwoordelijke.
* Verwerker zal te allen t i jde de conform het recht op
overdraagbaarheid van gegevens conform artikel 20 AVG waarborgen, zodat er geen sprake is van verlies van ( delen van) de gegevens
Op verzoek van Verantwoordelijke verstrekt Verwerker bewijs van het feit dat de gegevens onherroepelijk vernietigd, geanonimiseerd of
verwijderd zijn. Eventuele teruggave van de gegevens zal in een algemeen gangbaar, gestructureerd gegevensformaat langs
elektronische weg plaatsvinden. Indien teruggave, onherroepelijke vernietiging of verwijdering niet mogelijk zijn, stelt Xxxxxxxxx
Verantwoordelijke daarvan op de hoogte. In dat geval garandeert
Verwerker dat hij de persoonsgegevens vertrouwelijk zal behandelen en niet langer zal verwerken.
9. 3 Bij het einde van de (Hoofd)overeenkomst inclusief
Verwerkersvoorwaarden zal Verwerker alle Subverwerkers die
betrokken zijn bij het verwerken van persoonsgegevens op de hoogte stellen van de beëindiging hiervan.
De verplichtingen uit artikel 9 . 2 zijn van overeenkomstige toepassing
op deze Subverwerkers, en Verwerker zal zorgdragen dat alle betrokken Subverwerkers hieraan uitvoering zullen geven onder de
overeengekomen condities.
N. B. Verantwoordelijke is zelf verantwoordelijk inzake het nakomen van wetgeving omtrent de bewaartermijn van ( Persoons) gegevens, zoals
bijvoorbeeld opgenomen in de Archiefwet of bijvoorbeeld in het kader van een bewaarplicht voor f inanciële gegevens enzovoort. Houd hier
rekening mee in de keuze voor vernietiging of overdracht van gegevens uit de lokale c. q. Saa S omgeving.
Artikel 10 . Informeren van betrokkenen
10. 1 Verantwoordelijke zal haar volledige medewerking verlenen opdat Verwerker kan voldoen aan alle wettelijke verplichtingen als een
Betrokkene zijn rechten uitoefent op grond van de Wbp, AVG of andere toepasselijke regelgeving betreffende de verwerking van
Persoonsgegevens.
10. 2 Indien een Betrokkene met betrekking tot de uitvoering van zijn
rechten onder de Wbp of AVG direct contact opneemt met Verwerker, dan gaat Verwerker hier- behoudens uitdrukkelijke andersluidende
instructie van Verantwoordelijke- in eerste instantie niet ( inhoudelijk) op in, maar bericht zij dit onverwijld aan Verantwoordelijke.
Verantwoordelijke zal het verzoek vervolgens in eerste instantie verder zelfstandig afhandelen. Indien blijkt dat de Verantwoordelijke hulp
xxxxxxxx heeft van de Verwerker voor de uitvoering van een verzoek
van een betrokkene, dan kan de Verwerker hiervoor kosten in rekening brengen.
Artikel 11 . Slotbepalingen
11 .1 In het geval van strijdigheid tussen de bepalingen uit deze Verwerkersvoorwaarden en bepalingen uit de genoemde
( Hoofd) overeenkomst, zullen de bepalingen van de Hoofdovereenkomst leidend zijn.
11 .2 In geval van nietigheid c. q. vernietigbaarheid van een of meer bepalingen uit deze Verwerkersvoorwaarden, blijven de overige bepalingen onverkort van kracht.
11 .3 Indien één of meer bepalingen van de Verwerkersvoorwaarden niet (meer) rechtsgeldig blijken te zijn, overleggen Partijen om een
vervangende regeling te treffen die wel rechtsgeldig is en zoveel
mogelijk aansluit bij de strekking van de te vervangen regeling. In alle gevallen waarin deze Verwerkersvoorwaarden niet voorzien beslissen
partijen in onderling overleg.
Artikel 12 . Toepasselijk recht en geschillen
12. 1 Op deze Verwerkersvoorwaarden is Nederlands recht van toepassing.
12. 2 In geval van een geschil, geeft de meest gerede van Partijen aan de andere Partij schriftelijk te kennen, dat er sprake is van een geschil, alsmede een summiere opgave van hetgeen naar het oordeel van die Partij het onderwerp van het geschil is.
12. 3 Alle geschillen welke naar aanleiding van of ten gevolge van deze Verwerkersvoorwaarden tussen Partijen en hun rechtsopvolgers
mochten ontstaan, en niet onderling opgelost kunnen worden, worden beslecht door de daartoe bevoegde rechter die ook bevoegd is in het kader van de Hooofdovereenkomst.
12. 4 Het hiervoor bepaalde laat onverlet de verplichting van Partijen zich maximaal in te spannen om geschillen, verband houdende met en/ of
voortvloeiende uit de uitvoering van de Verwerkersvoorwaarden, zoveel mogelijk in onderling overleg op te lossen.
Contactgegevens
Bij vragen over de bijlagen en/ of de geleverde dienst, kan contact worden opgenomen met:
Naam : Xxxx Xxxx
Functie : Partner
E- mailadres : mbrok@ dewi. nl
Telefoonnummer : + 31 (0 )13 - 762 0700
Melden van een beveiligingsprobleem: Email : security@ dewi. nl
Bijlage A: Omschrijving werkzaamheden verwerker
Voor de definitie van de gebruikte termen wordt verwezen naar de verwerkersvoorwaarden van Dewi Software.
1. Verwerkingen
Dit verwerkingsregister benoemt drie verwerkingen in het kader van de verschillende (typen) overeenkomsten tussen verwerker en verantwoordelijke.
1.1. Verwerking gebruikersgegevens (t.b.v. ICT Dienstverlening)
Doel Gebruikersadministratie voor toegang tot de desbetreffende Applicatie Programmatuur door medewerkers van verantwoordelijke
Rechtsgrondslag Uitvoering van de overeenkomst Betrokkenen Medewerkers van verantwoordelijke
Duur Duur van de overeenkomst
De volgende Persoonsgegevens zullen in het kader van de Overeenkomst worden verwerkt:
- Naam, email, en organisatie (en direct afleidbare gegevens).
- Verwerker verwerkt persoonsgegevens voor verantwoordelijke ten behoeve van:
o beheer voor verantwoordelijke ten aanzien van (de toegangscontrole van) de Applicatie Programmatuur.
o om Verantwoordelijke, medewerkers van Verantwoordelijke en betrokkenen te informeren over wijzigingen en/of incidenten (en de afhandeling daarvan) in de Applicatie Programmatuur zoals Verwerker die aanbiedt.
o Verantwoordelijke, medewerkers van Verantwoordelijke en betrokkenen te informeren over wijzigingen en/of incidenten (en de afhandeling daarvan) in
de interactie van de Applicatie Programmatuur en programmatuur van andere Verwerkers.
- Eventueel worden Persoonsgegevens van betrokkenen/derden tijdens het afhandelen van incidenten (in)gezien, maar deze worden niet door Dewi Software verwerkt anders dan vermeld in incidentrapportages.
Verantwoordelijke bepaalt uiteindelijk welke Persoonsgegevens worden verwerkt, waarbij Dewi Software alleen de in basis benodigde informatie zal vastleggen.
1.2. Aanbieden Applicatie Programmatuur
Doel Aanbieden van Applicatie Programmatuur met als doel het registeren van relatiegegevens (en daarbij behorende registraties en transactie) van de verantwoordelijke. Met aanbieden van Applicatie Programmatuur worden tevens de hier eventueel onlosmakelijk aan verbonden verwerkingen als
hosten, back-uppen, beheren, ondersteunen en ontwikkelen van de Applicatie Programmatuur bedoeld
Rechtsgrondslag Uitvoering van de overeenkomst
Betrokkenen Relaties, medewerkers van de geregistreerde relaties en
medewerkers van de verantwoordelijke en betrokkenen
Duur Duur van de overeenkomst
De Applicatie Programmatuur biedt in het kader van de overeenkomst de mogelijkheid om persoonsgegevens te verwerken. Dewi Software gaat uit van o.a. de volgende persoonsgegevens en heeft hier haar beveiligingsmaatregelen op afgestemd:
- Naam (roep-/voor-/achternaam en tussenvoegsels), geslacht, e-mail, website,
telefoonnummers (mobiel, vast, en fax), adresgegevens (straat, huisnummer, postcode, plaats en land) en werkgever (voor medewerkers), bankrekeninggegevens, diverse aankoop en registratie transacties en overige gegevens (zoals in Bijlage D.).
Verwerker verwerkt op de volgende wijzen persoonsgegevens voor verantwoordelijke:
- Gebruikersgegevens worden opgeslagen ten behoeve van relatiebeheer door verantwoordelijke als ondersteuning in de uitvoering van haar bedrijfsprocessen.
- Gegevens worden opgeslagen, onderhouden en eventueel geback-upt op het platform van de hostende partij, zodanig dat deze voor verantwoordelijke toegankelijk zijn, bij/na updates beschikbaar zijn en in geval van calamiteiten te herstellen zijn.
- Dewi Software BV verspreidt geen enkel persoonsgegeven aan derden, behoudens artikel 3.5.
Verantwoordelijke bepaalt welke persoonsgegevens worden verwerkt en/of de geboden beveiligingsmaatregelen afdoende zijn voor haar verwerkingen.
Bijlage B: Beveiligingsmaatregelen
De volgende organisatorische en technische beveiligingsmaatregelen zijn
genomen, gericht op continuïteit van integriteit en beschikbaarheid van de Platformen en dienstverlening van Dewi Software B. V.:
Organisatorische maatregelen
• Dewi Software beschikt over een coördinator informatiebeveiliging. Deze coördinator toetst ( en corrigeert indien nodig) naar aanleiding van de volgende genomen maatregelen het
informatiebeveiligingsbeleid:
• Risico- inventarisatie van verwerking van persoonsgegevens;
• Security awareness;
• Voorzieningen te controleren en maatregelen te treffen die toezien op naleving van het informatiebeveiligingsbeleid;
• Informatiebeveiligingsincidenten worden geregistreerd en ondersteunen het optimaliseren van proces, procedure
Informatiebeveiligingsincidenten en het informatiebeveiligingsbeleid;
• Dewi Software BV heeft een proces opgesteld voor communicatie inzake informatiebeveiligingsincidenten;
Medewerkers Dewi Software & externen
• Met alle interne en externe medewerkers wordt een
geheimhoudingsverklaring overeengekomen. Tevens worden afspraken gemaakt over informatiebeveiliging.
• Dewi Software B. V. traint personeel ter ondersteuning van bewustzijn, kennis en verantwoordelijkheid ten aanzien van privacy en
informatiebeveiliging
• Medewerkers worden geïnstrueerd dat data met zorg moet worden behandeld en dat data geencrypt moet worden verstuurd;
• Medewerkers hebben op grond van een autorisatiematrix alleen toegang tot data die strikt noodzakelijk is voor de functie en/ of rol
• Het informatiebeveiligingsbeleid wordt continue verbeterd en
geoptimaliseerd, aan alle medewerkers wordt indien van toepassing het nieuwe beleid uitgelegd en opgelegd.
• Dewi Software BV werkt samen met een groep aan Subverwerkers, welke een gelijk belang hecht aan beschikbaarheid, integriteit en
vertrouwelijkheid als Dewi Software B. V. Afspraken zijn vastgelegd in verwerkersovereenkomsten en SLA’ s.
Fysieke beveiligingsmaatregelen
• Ingeval van hosting door AWS geldt onder andere onderstaande:
• De omgeving en locatie waarin gegevens worden verwerkt worden periodiek getest, onderhouden en periodiek getoetst op
veiligheidsrisico’ s;
• Persoonsgegevens worden uitsluitend verwerkt op ( virtuele)
assets waarbij maatregelen zijn genomen om deze assets fysiek en logisch te beveiligen en de continuïteit van de dienstverlening te verzekeren ( door AWS);
• Persoonsgegevens worden uitsluitend verwerkt in een gesloten, fysiek beveiligde omgeving met bescherming tegen bedreigingen van buitenaf ( door AWS);
• Voor meer informatie: https:// aws. amazon. com/ ec 2/ sla/
• Ingeval van toepassing ( zoals dan overeengekomen in (hoofd)overeenkomst):
• Periodiek worden back- ups gemaakt en getest ten behoeve van de continuïteit van de dienstverlening. Back- ups worden
vertrouwelijk behandeld en bewaard in een omgeving die alleen (fysiek) toegankelijk is voor daarvoor geautoriseerd personeel.
• Het kantoor van Xxxx is beveiligd met een centraal alarmsysteem aan de buitenzijde van het kantoor. Daarnaast is er een
toegangscontrolesysteem actief op elke externe ( kantoor) deur middels een druppelsysteem.
Technische maatregelen
• Ingeval van hosting door AWS:
• Op de netwerkomgeving waarbinnen gegevens worden verwerkt is strikte beveiliging toegepast waarbij verkeersstromen worden
gescheiden en maatregelen zijn geïmplementeerd tegen misbruik en aanvallen, door AWS maar tevens door framework Laravel.
• De omgeving waarbinnen persoonsgegevens worden verwerkt
wordt gemonitord op beschikbaarheid, veiligheid en integriteit;
• De applicatie infrastructuur waarbinnen persoonsgegevens worden verwerkt wordt op basis van een gestandaardiseerd operations
managementproces, beveiligingscontrole en acceptatietraject ingericht;
• Wijzigingen in applicaties en onderliggende systemen worden getest op kwetsbaarheden voordat deze in productie worden genomen;
• Op alle onderdelen van de applicatie infrastructuur worden
periodiek de laatste ( beveiligings-) patches geïnstalleerd op basis van patchmanagement en actuele interne en externe
beveiligingsadviezen, een en ander conform de voorwaarden van AWS;
• Periodiek vinden penetratietests en kwetsbaarheid assessments plaats
• Procedure continuïteitsbeheer: maatregelen ten aanzien van
continuïteit van informatiebeveiliging bij dreiging of optreden van brand, waterschade, straling, lucht verontreiniging en/ of andere
calamiteiten worden onder verantwoordelijkheid van AWS ondernomen;
• Voor meer informatie: https:// aws. amazon. com/ ec 2/ sla/
• Wachtwoorden zijn onderhevig aan crypto grafische opslag en toegangsmaatregelen
• Er wordt standaard voor inlogprocessen gebruik gemaakt van
versleutelde verbindingen, ook voor de connecties die via het IoT- netwerk van AWS worden gelegd
• De uitwisseling van persoonsgegevens tussen de klant en Dewi
Software vindt versleuteld plaats. Dit is eveneens van toepassing op de communicatie tussen lokaal geïnstalleerde Dewi Software
randapparatuur en de Dewi Software cloud omgeving;
• Uitwisseling van persoonsgegevens met derden in opdracht van de klant vindt versleuteld plaats;
• Crypto grafische maatregelen worden toegepast bij elke vorm van transport van persoonsgegevens;
• Toegang tot het netwerk van Dewi wordt mogelijk gemaakt via een versleutelde VPN- tunnel, met een 2 factor authenticatie. Login door externe, onbevoegde personen is niet mogelijk;
• Het kantoornetwerk van Xxxx wordt continu gecheckt op virussen en malware, met professionele antivirussoftware van een gerenommeerd merk;
• Gevoelige informatie, zoals wachtwoorden, gebruikersnamen, bepaalde bestanden, etc.) worden opgeslagen op de ftp- server, met SFTP- access en met verschillende accounts;
• Deze data wordt niet opgeslagen in de cloud, tenzij uitdrukkelijke met de klant overeengekomen, gecommuniceerd dan wel op verzoek van de klant;
• Op de ftp- server worden bestanden gescheiden in mappen met een
rechtenstructuur, zodat alleen de daartoe geautoriseerde medewerkers toegang hebben tot de benodigde informatie.
• Binnen Dewi wordt software en hardware gebruikt in relatie tot onze
klanten en eventuele persoonsgegevens. Deze software en hardware is uitvoerig getest en veelvuldig door andere professionele partijen
ingezet. Indien er mogelijke veiligheidsproblemen ( dreigen te)
ontstaan, worden meteen de beschikbare maatregelen genomen en updates geïnstalleerd.
• Indien een softwareapplicatie c. q. – versie niet meer ondersteund wordt vanuit de fabrikant v. w. b. veiligheid, zal Dewi de Klanten
hierover informeren. De verantwoordelijkheid voor het toch gebruiken van zo’ n applicatie l igt bij de Klant;
• In gevallen dat wij Teamviewer dienen in te zetten om een beeldscherm over te nemen ( waarvoor eerst de medewerker van de Klant
uitdrukkelijk toestemming zal worden gevraagd, tenzij anders
overeengekomen) zal met zorg worden omgegaan met de eventuele
persoonsgegevens die op die wijze zichtbaar worden voor onze medewerkers.
Isolatiecontrole
De verzamelde gegevens worden in isolatie voor ieder doeleinde verwerkt.
Fysieke separatie is niet verplicht, maar een logische scheiding is ( mede door Laravel) aangebracht.
Pseudonimiserin g ( artikelen 25( 1 ) en 32( 1)( a) AVG)
Wanneer mogelijk en haalbaar vindt de verwerking van Persoonsgegevens op zo’ n manier plaats dat gegevens niet in verband kunnen worden
gebracht met een specifiek betrokkene zonder aanvullende informatie te gebruiken, met dien verstande dat deze aanvullende informatie
afzonderlijk is opgeslagen, en onderworpen is aan passende technische en organisatorische maatregelen.
Bijlage C: Subverwerkersregister
Verwerker maakt bij de uitvoering van de overeenkomst gebruik van de Subverwerkers die in deze bijlage zijn vermeld, wellicht mede op verzoek van de Verantwoordelijke. De verwerker zal deze bijlage conform artikel 6 van deze verwerkersvoorwaarden bijwerken indien er wijzigingen plaatsvinden in de ingeschakelde Subverwerkers en deze lijst onverwijld ter beschikking stellen aan de verwerkingsverantwoordelijke.
Daarnaast gelden de afspraken voor de inzet van Subverwerkers die zijn beschreven in artikel 6 van de Verwerkersvoorwaarden.
Voor de definitie van de gebruikte termen wordt verwezen naar de verwerkersvoorwaarden.
ID | Marktpartij | Dienst |
1. | Fruitcake | Webapplicatie ontwikkeling en vorm geving. |
2. | Allroundw eb | Website en webshop ontwikkeling, vorm geving, Social Media |
3. | Cloud 2 | Offside online backup. |
4. | Laravel | The fram ework for web artisians, https:// laravel. com / docs |
5. | Mailgun | Dewi Software m aakt gebruik van de online diensten van Mailgun om e- mails vanuit Dewi Software te versturen en te ontvangen. |
6. | PSP’ s | Dewi Software m aakt gebruik van de dashboards en software van |
(Paym ent | PSP’ s waarbij gegevens worden uitgewisseld die betrekking | |
Service | hebben op gebruikers ( en hun rechten) voor wat betreft | |
Providers) | banktransacties ( indien gekoppeld), betalings- en incasso- | |
opdrachten ( indien gekoppeld), docum enten ( indien gekoppeld). | ||
De uitwisseling van gegevens zal worden uitgebreid om m eer | ||
diensten te kunnen leveren aan Dewi Software en gebruikers. Er | ||
zal om expliciete toestem m ing gevraagd worden indien er | ||
functionaliteiten worden gebruikt waarbij uitwisseling van | ||
gegevens plaats zal vinden, waarbij de gebruiker zal worden | ||
geïnform eerd over welke gegevens uitgewisseld zullen w orden en | ||
waarom . | ||
Voorbeelden: Magnius, Xxxxxx | ||
7. | Diverse koppelpartners | Dewi Software biedt zogenaam de API’ s, wat betekent dat marktpartijen hun applicaties en/ of diensten kunnen aanbieden in |
com binatie m et Dewi Software volgens vooraf overeengekom en | ||
afspraken. ( bijvoorbeeld een koppeling van een kassasysteem | ||
aan Dew i Software). Tijdens het proces van initieel koppelen zal | ||
expliciet om toestem m ing gevraagd worden om gegevens m et | ||
Dewi Software uit te wisselen, waarbij de Verantwoordelijke en/ of | ||
de betrokkene zal worden geïnform eerd over welke gegevens | ||
uitgewisseld zullen worden en waarom . | ||
De Verantwoordelijke en/ of betrokkene dient de toestem m ing van | ||
kracht te m aken door zijn/ haar inloggegevens in te voeren. Dit | ||
zorgt er voor dat de toestem m ing en rechten van de | ||
Verantwoordelijke en/ of de betrokkene gebruikt worden voor het | ||
opzetten van de koppeling. | ||
Voorbeelden: Kassasystem en, webshops, rapportagepakketten, salarispakketten, urensoftware, activiteiten trackers, online health platform s, f i tness & wellness apparatuur, (kracht)trainingsapparatuur, boekhoudpakketten, deurwaarders, etc. | ||
8. | Am azon W eb Services (AW S) | Dewi Software m aakt gebruik van AW S voor het hosten van haar cloud diensten. Alle gegevens worden opgeslagen in de cloud bij Am azon ( gebruik makend van o. a. de AWS RDS en S 3 diensten), |
waarbij de data altijd opgeslagen wordt op servers in | ||
Europa. Hoewel Am azon een Am erikaans bedrijf is, biedt ze de | ||
garantie dat de Dewi Software data op Europees grondgebied | ||
staat en blijft staan. AW S is com pliant m et EU General Data | ||
Protection / GDPR wetgeving, zie voor m eer inform atie: | ||
https:// aws. am azon. com/ compliance/ eu- data- protection | ||
https:// aws. am azon. com/ compliance/ eu- us- privacy- shield- faq | ||
Daarm ee heeft de Am erikaanse overheid geen toestem m ing om | ||
toegang te hebben tot de Dewi Software data 1 . Ook is alle data | ||
tijdens transport en opslag volledig versleuteld. Dewi Software | ||
hecht veel waarde aan de bescherm ing van de data van haar |
klanten en houdt de ontwikkelingen ( o. a. ook in het kader van de AVG) goed in de gaten. | ||
9. | Team viewer | Dewi Software Custom er Support m aakt gebruik van de applicatie Team viewer om rem ote support te leveren aan Dewi Software klanten. Team view er heeft geen toegang tot de data in Dew i Software, m aar de video stream waarin m ogelijk Dewi Software scherm en m et daarop zichtbaar persoonsgegevens loopt over de servers van Team viewer. Om deze reden is Team viewer voor de volledigheid in dit overzicht opgenom en. |
10. | Lokaal geïnstalleerde applicaties en het Dewi Software lokale netwerk | Dewi Software Custom er Support kan voor het leveren van support aan Dewi Software klanten m ogelijk gegevens exporteren naar bestanden buiten de Dewi Software applicatie voor verdere analyse of om te delen m et de klant. Voorbeelden zijn exports van facturen of rapporten, welke geopend worden in Microsoft Word, Microsoft Excel, Acrobat Reader of andere online of offline toepassingen van derden. Het exporteren en openen van bestanden die data van klanten bevatten zal alleen gebeuren op verzoek van de betreffende klant, en deze gegevens worden alleen bew aard binnen het beveiligde lokale netwerk van Dewi Software ( LAN), en alleen voor de duur van het klantverzoek. De gegevens worden dus weer verwijderd na het afronden van de support voor het betreffende klantverzoek. |
11. | Em ail / Microsoft Online ( 365 ) | In aansluiting op het punt hierboven is het m ogelijk dat Dewi Software Custom er Support via em ail gegevens ontvangt van, of verstuurd naar, Dew i Software klanten. Het is hierbij m ogelijk dat de gegevens persoonsgegevens om vatten. Dewi Software maakt hierbij gebruik van de Microsoft Online diensten. Deze mails worden verwijderd uit de Verzonden Items na verzending, tenzij het vasthouden van de m ails langer noodzakelijk is. |
12. | Mail Chim p | Dewi Software klanten hebben de m ogelijkheid om één of meerdere nieuwsbrieven te ontvangen van Dew i Software. Deze nieuwsbrieven worden verzonden op basis van em aillijsten welke worden bijgehouden in de cloud applicatie Mail Chim p. Ontvangers van een nieuwsbrief hebben te allen t i jde de mogelijkheid om zich voor de betreffende nieuwsbrief af te melden met onmiddellijke ingang. |
13. | CC Websolutions | Dewi Software m aakt voor de com m unicatie van haar cloud Software gebruik van Io T- oplossingen, welke op basis van beveiligde MQTT protocollen via het IoT- netwerk van AW S onze randapparatuur aansturen. CC W ebsolutions vervaardigd in xxx xxxxxxxxx m et Fruitcake software, welke deze bi- directionele com m unicatie m ogelijk m aakt. |
14. | Dewi Software m aakt gebruik van Google. Hoewel Google een Am erikaans bedrijf is, biedt ze de garantie dat de Dewi Software data op Europees grondgebied staat en blijft staan. Google is com pliant m et EU General Data Protection / GDPR wetgeving, zie voor m eer inform atie: xxxxx://xxxxx. google. com /security/com pliance/eu- data- protection https:// privacy. google. com/ businesses/ compliance Zie ook Google en AVG: https:// xxx.xxxxxx.xxx/xxxx/xx/xxxxx/xxxxxxxx/xxxx Daarm ee heeft de Am erikaanse overheid geen toestem m ing om toegang te hebben tot de Dewi Software data 1. Ook is alle data tijdens opslag volledig versleuteld. Dewi Software hecht veel waarde aan de bescherm ing van de data van haar klanten en houdt de ontwikkelingen ( o. a. ook in het kader van de AVG) goed in de gaten. Voor Dewi Software klanten is Google sub- verwerker in geval het Google Analytics betreft. | |
15. | Froekje Panis Com m unicatie | Com m unicatie, tekst en Social M edia. Advies en uitvoering. |
16 . | Perfectview | Online Nederlandse CRM software ( m et data in Nederland). |
1 Uitkomst van een eerdere zaak die Microsoft succesvol tegen de Amerikaanse overheid
heeft aangespannen, i s geweest dat de data die z i ch op Europees grondgebied bevond, niet hoefde te worden verschaft aan de Amerikaanse overheid. Zie bijvoorbeeld: Blog
Uiteraard i s dit een specifieke uitspraak en kan er geen 100 % uitsluitsel over alle mogelijke gevallen gegeven worden, maar vooralsnog i s dit hoe de wetgeving hier uitspraken over
gedaan heeft.
Het tweede aspect i s of de Amerikaanse overheid, toegang kan krijgen tot de data. Dit i s een technische restrictie gebaseerd op data encryptie. Ook hier geldt dat
100% uitsluitsel niet te geven i s. Wel i s het naar de mening van Dewi Software
onwaarschijnlijk dat Amazon zal meewerken aan het verstrekken van een encryptie key aan de Amerikaanse overheid. Ook i s het naar de mening van Xxxx Software onwaarschijnlijk dat de Amerikaanse overheid de AWS encryptie zal hacken en in strijd zal handelen met eerdere gerechtelijke uitspraken. Mocht er een indicatie komen dat er veranderingen zijn op dit vlak (richting Dewi Software of andere cloud service providers), dan zal Dewi Software haar
klanten hierover informeren.
Bijlage D: Persoonsgegevens en bewaartermijnen
Persoonsgegevens
De volgende ( categorieën) Persoonsgegevens verwerkt Verwerker namens Verantwoordelijke. Het gaat niet enkel om de Persoonsgegevens die
Verantwoordelijke direct aan Verwerker verstrekt, maar ook om
persoonsgegevens van Xxxxxxxxx t. b. v. het gebruik van de applicatie.
1. > Normale persoonsgegevens conform AVG + financiële transacties:
2. > Bijzondere persoonsgegevens conform AVG:
3. > Overige gegevens t. b. v. identificatie, o. a.:
Lidmaatschapsgegevens ( Begin- eind, type) |
Bezoekgegevens ( check in, check uit, duur) |
Bezoekfrequentie |
Bezoekduur |
Niveau |
Aankoop diverse ( verbruiks) artikelen |
Koopfrequentie en voorkeuren |
Competenties |
Vereenvoudigen inloggen op externe bronnen |
Machtigingen en documenten van leden i . o. m. verwerkersovereenkomst |
Nb: de overige gegevens zijn dynamisch ( eventueel verschillend per Verantwoordelijke en/ of Koppelingspartner) en dus niet volledig te
specificeren.
Verwerkingshandelingen ( doel en aard van de verwerking):
Registraties en ( Financiële) transacties ten behoeve van l idmaatschappen, reserveringen, boekingen van afspraken, aankopen, competenties e. d. van bezoekers / gebruikers van diensten & producten in de leisure branche.
Daarnaast het beheer/ verlenen van support van de applicaties en aanpalende ICT omgevingen.
Categorieën betrokkenen
Indien door Verwerker Persoonsgegevens worden verwerkt, gaat het om:
• Medewerkers van Verwerkingsverantwoordelijke;
• Klanten van Verwerkingsverantwoordelijke
• Persoonsgegevens van overige relaties van Verantwoordelijke (o. a. leveranciers, diverse derden partijen en prospects),
Default Bewaartermijnen
Persoonsgegevens worden door de Verwerker niet langer bewaard (en daarna geanonimiseerd) dan noodzakelijk is voor de uitvoering van deze
Overeenkomst of om een op hem rustende wettelijke verplichting na te komen.
1. > Voor Persoonsgegevens die worden verwerkt ten behoeve van de juiste werking van de Diensten (logging, back- up voorzieningen, incidenten, etc.) geldt de volgende default bewaartermijn:
Twee jaar na melding incident/ laatste transactie aangaande incident;
2. > Voor Persoonsgegevens die worden verwerkt in aangeboden applicaties geldt een default bewaartermijnen voor:
a. Niet- Saa S applicaties ( dus op locatie geïnstalleerde software, op het netwerk van de Verantwoordelijke) = geen beperking
ingesteld:
Nb: in Dewi Clubmanager zal dit vanwege de uitfasering
van de applicatie einde 2018 / begin 2019 niet meer worden aangepast.
b. Saa S Applicaties: default 1 jaar na beëindiging lidmaatschap c. q. laatste transactie. Daarna worden de persoonsgegevens
standaard geanonimiseerd, tenzij in overleg met en in opdracht van Verantwoordelijke anders ingesteld.