De ondergetekenden:
1.
Organisatie | : | |
Straat en huisnummer | : | |
Postcode | : | |
Plaats | : | |
KVK nummer | : | |
Naam (verantwoordelijke) | : | |
E-mail (verantwoordelijke) | : |
hierna te noemen: “Verwerkingsverantwoordelijke”,
enerzijds; en
2. de besloten vennootschap met beperkte aansprakelijkheid BMP Datasystems
B.V. tevens handelend onder de naam BMP Datapartners, statutair gevestigd en kantoorhoudende te (2171 KV) Sassenheim aan de Corn. Xxxxxxxxxx 0, ingeschreven in het handelsregister van de kamer van koophandel onder nummer 28072513 ,in deze rechtsgeldig vertegenwoordigd door haar directeur, de xxxx X. Xxxxxxxx,
hierna te noemen: “Verwerker”,
anderzijds;
Alle bovenstaande partijen worden hierna gezamenlijk aangeduid als “Partijen” en individueel ook als “Partij”.
Nemen het volgende in aanmerking:
A. Verwerkingsverantwoordelijke hecht groot belang aan een adequate bescherming van Persoonsgegevens van cliënten, medewerkers en andere betrokkenen waarvan Verwerkingsverantwoordelijke Persoonsgegevens verwerkt;
B. Partijen hebben een overeenkomst gesloten met betrekking tot het adviseren, verkopen, leveren, implementeren en beheren van ICT oplossingen en hostingfaciliteiten, alsmede de ondersteuning en training van klanten op het gebied van datacenter, infrastructuur, werkplek, cloud en security met behulp van partners. Ter uitvoering van de Overeenkomst verwerkt Verwerker ten behoeven van Verwerkingsverantwoordelijke Persoonsgegevens in de zin van de Algemene verordening gegevensbescherming (hierna: “AVG”);
C. Verwerkingsverantwoordelijke en Verwerker wensen in deze overeenkomst (hierna: “Verwerkersovereenkomst”) de wederzijdse rechten en verplichtingen voor de verwerking van Persoonsgegevens door Verwerker vast te leggen overeenkomstig het bepaalde in de AVG;
D. Verwerker zal optreden als verwerker en Verwerkingsverantwoordelijke zal optreden als verwerkingsverantwoordelijke in de zin van de AVG;
E. Deze Verwerkersovereenkomst is uitsluitend aanvullend en verduidelijkend van aard op de Overeenkomst en brengt daarin geen wijzigingen aan.
V E R K L A R E N T E Z I J N O V E R E E N G E K O M E N H E T N A V O L G E N D E :
Par. BMP:
Par. AFNEMER:
Verwerkersovereenkomst Versie 1.3
Inhoud
Par. BMP:
Par. AFNEMER:
Verwerkersovereenkomst Versie 1.3
Par. BMP:
Par. AFNEMER:
Verwerkersovereenkomst Versie 1.3
Bijlage 1: Privacy bijsluiter 20
a. Omschrijving van de Verwerking 20
b. Bewaartermijn van de Persoonsgegevens 20
c. Doeleinden van de Verwerking 20
Bijlage 2: Beveiligingsbijlage 23
a. De maatregelen waaraan minimaal wordt voldaan: 23
b. Toelichting Technische maatregelen 24
Par. BMP:
Par. AFNEMER:
Verwerkersovereenkomst Versie 1.3
ARTIKEL 1 Doeleinden van verwerking
1.1 Voorwaarden van de overeenkomst
Verwerker verbindt zich onder de voorwaarden van deze Verwerkersovereenkomst op basis van de schriftelijke instructies van Verwerkingsverantwoordelijke Persoonsgegevens te verwerken namens Verwerkingsverantwoordelijke in het kader van de uitvoering van de Overeenkomst en de verleende diensten, dan wel in verband met een wettelijke verplichting.
1.2 Verwerking van de gegevens
Bewerker zal de persoonsgegevens niet voor enig ander doel verwerken dan zoals door Verantwoordelijke is vastgesteld. Verantwoordelijke zal Bewerker op de hoogte stellen van de verwerkingsdoeleinden voor zover deze niet reeds in deze Verwerkersovereenkomst zijn genoemd.
1.3 Verwerking van de Persoonsgegevens
Verwerkingsverantwoordelijke zal de Persoonsgegevens in overeenstemming met de geldende wet- en regelgeving verwerken. De categorieën van betrokkenen, het soort Persoonsgegevens en de aard en het doel waarvoor de Persoonsgegevens worden verwerkt, zijn opgenomen in bijlage 1.
Verwerker zal de Persoonsgegevens niet voor andere doeleinden verwerken dan voor het doel waarvoor de Persoonsgegevens zijn verstrekt of haar bekend zijn geworden.
De zeggenschap over de Persoonsgegevens blijft volledig berusten bij Verwerkingsverantwoordelijke.
Begrippen uit de AVG, zoals “verwerking”, “persoonsgegevens”, “verwerkingsverantwoordelijke” en “verwerker”, hebben de betekenis die daaraan is gegeven in de AVG.
Par. BMP:
Par. AFNEMER:
Verwerkersovereenkomst Versie 1.3
ARTIKEL 2 Verdeling van verantwoordelijkheid
De toegestane verwerkingen zullen door medewerkers van Verwerker worden uitgevoerd binnen een geautomatiseerde omgeving.
Verwerker is louter verantwoordelijk voor de verwerking van de Persoonsgegevens onder deze Verwerkersovereenkomst, overeenkomstig de schriftelijke instructies van Verwerkingsverantwoordelijke en onder de uitdrukkelijke (eind) verantwoordelijkheid van Verwerkingsverantwoordelijke. Voor de overige verwerkingen van Persoonsgegevens, waaronder in ieder geval begrepen maar niet beperkt tot de verzameling van de Persoonsgegevens door de Verwerkingsverantwoordelijke, verwerkingen voor doeleinden die niet door Verwerkingsverantwoordelijke aan Verwerker zijn gemeld, verwerkingen door derden en/of voor andere doeleinden, is Verwerker uitdrukkelijk niet verantwoordelijk.
Verwerkingsverantwoordelijke garandeert dat de inhoud, het gebruik en de opdracht tot de verwerkingen van de Persoonsgegevens, zoals bedoeld in deze Overeenkomst, niet onrechtmatig is en geen inbreuk maakt op enig recht van derden.
ARTIKEL 3 Verplichtingen Verwerker
Verwerking van Persoonsgegevens zal uitsluitend plaatsvinden voor zover noodzakelijk om de dienst, zoals omschreven in de Overeenkomst, aan de Verwerkingsverantwoordelijke te verlenen. Overige verwerkingen van Persoonsgegevens (waaronder uitdrukkelijk ook begrepen wordt het anders dan ter uitvoering van de Overeenkomst aan een derde verstrekken of ter beschikking stellen van Persoonsgegevens) zullen uitsluitend worden uitgevoerd op expliciete schriftelijke instructies van Verwerkingsverantwoordelijke of wanneer dit noodzakelijk is om te voldoen aan een wettelijke verplichting, op voorwaarde dat Verwerker in dat laatste geval
Par. BMP:
Par. AFNEMER:
Verwerkersovereenkomst Versie 1.3
Verwerkingsverantwoordelijke voorafgaand in kennis stelt van dat wettelijk voorschirft om Verwerkingsverantwoordelijke zodoende in staat te stellen een haar ter beschikking staand rechtsmiddel in te stellen.
Verwerker zal alle redelijke instructies van Verwerkingsverantwoordelijke in verband met de verwerking van de Persoonsgegevens opvolgen. Verwerker stelt Verwerkingsverantwoordelijke onmiddellijk op de hoogte indien naar haar oordeel instructies in strijd zijn met de toepasselijke wetgeving met betrekking tot de verwerking van Persoonsgegevens.
Verwerker zal, tenzij zij hiervoor uitdrukkelijke voorafgaande schriftelijke instructies heeft verkregen van Verwerkingsverantwoordelijke, geen Persoonsgegevens verwerken of laten verwerken door haarzelf of door derden in landen buiten de Europese Economische Ruimte (hierna: “EER”) zonder een passend beschermingsniveau.
Verwerker zal Verwerkingsverantwoordelijke melden in welke landen in de EER en/of buiten de EER met een passend beschermingsniveau zij Persoonsgegevens verwerkt.
Verwerker verschaft enkel toegang tot de Persoonsgegevens aan haar werknemers, en/of vertegenwoordigers voor zover dit nodig is voor het verrichten van de diensten op grond van de Overeenkomst.
ARTIKEL 4 Geheimhouding
Onverminderd enige andere contractuele geheimhoudingverplichting die op Verwerker rust, houdt Verwerker de Persoonsgegevens die zij verwerkt in het kader van de uitvoering van de Overeenkomst geheim. Verwerker zal al haar werknemers en/of vertegenwoordigers die betrokken zijn bij de verwerking van de Persoonsgegevens geheimhouding opleggen.
Par. BMP:
Par. AFNEMER:
Verwerkersovereenkomst Versie 1.3
De in dit artikel bedoelde geheimhoudingsplicht geldt niet voor zover Verwerkingsverantwoordelijke schriftelijke toestemming heeft gegeven om de Persoonsgegevens aan een derde te verstrekken, indien het verstrekken van de informatie aan derden noodzakelijk is gezien de aard van de verstrekte opdracht en de uitvoering van deze Verwerkersovereenkomst of indien er een wettelijke verplichting bestaat om de Persoonsgegevens aan een derde te verstrekken.
ARTIKEL 5 Verzoeken van betrokkenen
In het geval dat een Betrokkene een verzoek tot de uitvoering van zijn rechten onder de AVG rechtstreeks richt aan Verwerker, zal Verwerker het verzoek onverwijld doorsturen aan Verwerkingsverantwoordelijke en zal Verwerkingsverantwoordelijke het verzoek verder afhandelen. Verwerker mag de Betrokkene daarvan op de hoogte stellen.
Verwerker geeft aan een dergelijk verzoek alleen gevolg indien Verwerkingsverantwoordelijke nadien Verwerker daartoe schriftelijk opdracht heeft gegeven.
Verwerker zal haar volledige, tijdige en behoorlijke medewerking verlenen aan Verwerkingsverantwoordelijke, opdat Verwerkingsverantwoordelijke kan voldoen aan haar wettelijke verplichtingen in het geval dat een betrokkene zijn rechten uitoefent op grond van de AVG of andere toepasselijke wetgeving op het gebied van verwerking van Persoonsgegevens.
Verwerkingsverantwoordelijke zal alle kosten, vergoedingen en onkosten die Verwerker maakt ter uitvoering van de in dit artikel genoemde verplichtingen betalen, met inbegrip van redelijke door Verwerker gemaakte interne kosten
Par. BMP:
Par. AFNEMER:
Verwerkersovereenkomst Versie 1.3
ARTIKEL 6 Beveiligingsmaatregelen
Onverminderd de beveiligingsnormen die Partijen op mogelijk andere wijze zijn overeengekomen, zal Verwerker in overeenstemming met de geldende wettelijke regels alle technische en organisatorische maatregelen nemen om Persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking (zoals doch niet beperkt tot onbevoegde kennisname, aantasting, wijziging of verstrekking van de Persoonsgegevens).
Verwerker zal bij het treffen van de beveiligingsmaatregelen rekening houden met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van personen.
De beveiligingsmaatregelen omvatten in ieder geval:
• De encyptie (versleuteling) van Persoonsgegevens;
• Beveiliging van netwerkverbindingen via Secure Socket Layer (SSL) technologie;
• Een inbraak werende kluis voor het bewaren van Persoonsgegevens.
Indien Verwerkingsverantwoordelijke een beoordeling wenst uit te voeren van het effect van een beoogde verwerkingsactiviteit in het kader van de uitvoering van de Overeenkomst zal Verwerker alle redelijke medewerking verlenen om deze beoordeling in overeenstemming met de geldende wet- en regelgeving uit te kunnen voeren. Tevens zal Verwerker alle redelijke medewerking verlenen indien een voorafgaande raadpleging van de toezichthoudende autoriteit nodig is op grond van de geldende privacywetgeving.
Verwerkingsverantwoordelijke zal alle kosten, vergoedingen en onkosten in verband met de in artikel 6.4 van de Verwerkersovereenkomst bedoelde verplichtingen betalen, met inbegrip van redelijke door Verwerker gemaakte interne kosten.
Par. BMP:
Par. AFNEMER:
Verwerkersovereenkomst Versie 1.3
6.6 Dynamische veiligheidseisen
Partijen erkennen dat beveiligingseisen voortdurend veranderen en dat een effectieve beveiliging frequente evaluatie en regelmatige verbetering van verouderde beveiligingsmaatregelen vereist. Verwerker zal daarom haar maatregelen voortdurend evalueren en verscherpen, aanvullen en verbeteren om te blijven voldoen aan de verplichtingen onder dit artikel. Verwerker dient Verwerkingsverantwoordelijke hieromtrent te informeren alsmede indien een van de beveiligingsmaatregelen wijzigt.
Verwerker werkt conform de ISO 27001 norm.
ARTIKEL 7 Monitoring, informatieplichten en incidentenmanagement
Xxxxxxxxx zal actief monitoren op inbreuken op de beveiligingsmaatregelen en over de resultaten van de monitoring in overeenstemming met dit artikel rapporteren aan Verwerkingsverantwoordelijke.
Zodra zich een incident (van welke aard dan ook) die (mede) betrekking heeft of kan hebben op de verwerking van Persoonsgegevens voordoet, heeft voorgedaan of zou kunnen voordoen, is Verwerker verplicht Verwerkingsverantwoordelijke daarvan onverwijld in kennis te stellen en daarbij alle relevante informatie te verstrekken omtrent het incident, waaronder in ieder geval wordt verstaan het volgende:
• de aard van de inbreuk;
• de (mogelijk) getroffen Persoonsgegevens;
• de vastgestelde en verwachte gevolgen van de inbreuk voor de verwerking van de Persoonsgegevens en de daarbij betrokken personen; en
• de maatregelen die Verwerker heeft getroffen en zal treffen om de negatieve gevolgen/schade van de inbreuk zoveel mogelijk te beperken.
Verwerkingsverantwoordelijke is, onverminderd de overige verplichtingen uit dit artikel, verplicht om de eventuele negatieve gevolgen die voortvloeien uit een incident zo snel mogelijk ongedaan te maken dan wel de verdere gevolgen te minimaliseren.
Par. BMP:
Par. AFNEMER:
Verwerkersovereenkomst Versie 1.3
Verwerker zal Verwerkingsverantwoordelijke te allen tijde haar medewerking verlenen en zal de instructies van Verwerkingsverantwoordelijke opvolgen, met als doel Verwerkingsverantwoordelijke in staat te stellen een deugdelijk onderzoek te verrichten naar het incident, een correcte respons te formuleren en passende vervolgstappen te nemen ten aanzien van het incident, waaronder begrepen het informeren van de toezichthoudende autoriteit en/of de betrokkene.
Onder “incident” wordt in elk geval, doch niet uitsluitend, het volgende verstaan:
• een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van doorgezonden, opgeslagen of anderszins verwerkte Persoonsgegevens;
• een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte Persoonsgegevens.
Meldingen die worden gedaan op grond van dit artikel worden gericht aan de Verwerkingsverantwoordelijke, zijnde de bestuurder van Verwerkingsverantwoordelijke of, indien relevant, aan een andere door Verwerkingsverantwoordelijke tijdens de duur van deze Verwerkersovereenkomst schriftelijk aan Verwerker bekendgemaakte medewerker van Verwerkingsverantwoordelijke.
Verwerker erkent dat Verwerkingsverantwoordelijke onder omstandigheden wettelijk verplicht is om een incident aan betrokkenen en/of autoriteiten te melden. Verwerker zal alle maatregelen treffen die nodig zijn om de (mogelijke) schade te beperken en Verwerkingsverantwoordelijke ondersteunen bij meldingen aan Xxxxxxxxxxx en/of autoriteiten. Het is Verwerker niet toegestaan informatie te verstrekken over incidenten aan Xxxxxxxxxxx of andere derde partijen, behoudens voor zover Verwerker daartoe wettelijk verplicht is.
Par. BMP:
Par. AFNEMER:
Verwerkersovereenkomst Versie 1.3
ARTIKEL 8 Controle en audit
Verwerker zal Verwerkingsverantwoordelijke op diens eerste verzoek daartoe alle informatie ter beschikking stellen die nodig is om de nakoming van de in deze Verwerkersovereenkomst neergelegde verplichtingen aan te tonen.
Verwerkingsverantwoordelijke heeft het recht om maximaal één maal per jaar op eigen kosten door onafhankelijke deskundigen een audit te laten uitvoeren inzake de verwerking van Persoonsgegevens door Verwerker ter controle op de naleving van deze Verwerkersovereenkomst. Verwerker zal alle redelijke medewerking verlenen aan de audit, waaronder het verlenen van toegang tot gebouwen en databases en het ter beschikking stellen van alle relevante informatie.
Indien de toezichthoudende autoriteit of een andere bevoegde autoriteit een onderzoek uitvoert bij Verwerker dat (mede) betrekking heeft op de dienstverlening aan de Verwerkingsverantwoordelijke, dan zal Verwerker alle redelijke medewerking verlenen en Verwerkingsverantwoordelijke zo snel mogelijk hierover informeren.
ARTIKEL 9 Derde verwerker
Verwerker is gerechtigd na schriftelijke toestemming van Verwerkingsverantwoordelijke de verwerking van Persoonsgegevens in het kader van deze Verwerkersovereenkomst geheel of ten dele uit te besteden aan een derde verwerker.
Verwerker legt de derde verwerker in een overeenkomst dezelfde verplichtingen op als die welke tussen de Verwerkingsverantwoordelijke en de Verwerker in deze Overeenkomst zijn opgenomen.
Par. BMP:
Par. AFNEMER:
Verwerkersovereenkomst Versie 1.3
ARTIKEL 10 Aansprakelijkheid
De aansprakelijkheid van Verwerker jegens Verwerkingsverantwoordelijke voor schade als gevolg van een toerekenbare tekortkoming in de nakoming van de Verwerkersovereenkomst, dan wel uit onrechtmatige daad of anderszins, is per gebeurtenis (een reeks opvolgende gebeurtenissen geldt als één gebeurtenis) beperkt tot de vergoeding van directe schade, tot maximaal het bedrag van de door Verwerker ontvangen vergoedingen voor de werkzaamheden voortvloeiende uit de Overeenkomst over de maand voorafgaande aan de schadeveroorzakende gebeurtenis.
Onder directe schade wordt uitsluitend verstaan alle schade bestaande uit:
• Schade direct toegebracht aan stoffelijke zaken;
• Redelijke en aantoonbare kosten om de Verwerker er toe te manen de Verwerkersovereenkomst (weer) deugdelijk na te komen;
• Redelijke kosten ter vaststelling van de oorzaak en de omvang van de schade voor zover betrekking hebbende op de directe schade zoals hiervoor bedoeld is;
• Redelijke en aantoonbare kosten die Verwerkingsverantwoordelijke heeft gemaakt ter voorkoming of beperking van de directe schade zoals in dit artikel bedoeld.
De aansprakelijkheid van Verwerker voor indirecte schade is uitgesloten. Onder indirecte schade wordt verstaan alle schade die geen directe schade is en daarmee in ieder geval, maar niet beperkt tot, gevolgschade, gederfde winst, gemiste besparingen, verminderde goodwill, schade door bedrijfsstagnatie, schade door het niet bepalen van marketingdoeleinden, schade verband houdende met het gebruik van door Verwerkingsverantwoordelijke voorgeschreven gegevens of databestanden, of verlies, verminking of vernietiging van gegevens of databestanden.
Par. BMP:
Par. AFNEMER:
Verwerkersovereenkomst Versie 1.3
Tenzij nakoming door Verwerker blijvend onmogelijk is, ontstaat de aansprakelijkheid van Verwerker wegens toerekenbare tekortkoming in de nakoming van de Verwerkersovereenkomst slechts indien Verwerkingsverantwoordelijke Verwerker onverwijld schriftelijk in gebreke stelt, waarbij een redelijke termijn voor het herstel van de tekortkoming wordt gesteld en Verwerker ook na die termijn toerekenbaar tekort blijft schieten in de nakoming van haar verplichtingen. De ingebrekestelling dient een zo volledig en gedetailleerd mogelijke omschrijving van de tekortkoming te bevatten, zodat Verwerker in de gelegenheid wordt gesteld adequaat te reageren.
Iedere vordering tot schadevergoeding door Verwerkingsverantwoordelijke tegen Verwerker die niet gespecificeerd is en expliciet is gemeld bij Verwerker, vervalt door het enkele verloop van twaalf (12) maanden na het ontstaan van de vordering.
Verwerkingsverantwoordelijke vrijwaart Verwerker voor aanspraken van Xxxxxxxxxxx of derden vanwege het feit dat de AVG niet zou zijn nageleefd.
Verwerkingsverantwoordelijke vrijwaart Verwerker voor boetes en/of dwangsommen van of namens de autoriteit persoonsgegevens en/of andere bevoegde autoriteiten die aan Verwerker worden opgelegd.
Par. BMP:
Par. AFNEMER:
Verwerkersovereenkomst Versie 1.3
ARTIKEL 11 Overmacht
Indien Verwerker als gevolg van overmacht haar verplichtingen uit hoofde van deze Verwerkersovereenkomst geheel of gedeeltelijk niet kan nakomen, dient Verwerker Verwerkingsverantwoordelijke hiervan onverwijld op de hoogte te stellen.
ARTIKEL 12 Duur en beëindiging
Deze Verwerkersovereenkomst komt tot stand door ondertekening van Partijen en op de datum van de laatste ondertekening.
Deze Verwerkersovereenkomst is onlosmakelijk verbonden met de Overeenkomst. Dit heeft tot gevolg dat de Verwerkersovereenkomst van rechtswege eindigt op het tijdstip dat de Overeenkomst eindigt.
Verplichtingen welke naar hun aard bestemd zijn om ook na beëindiging van de Verwerkersovereenkomst voort te duren, blijven na beëindiging van de Verwerkersovereenkomst gelden. Tot deze bepalingen behoren onder meer, doch niet uitsluitend, die welke voortvloeien uit de bepalingen betreffende geheimhouding, aansprakelijkheid en toepasselijk recht.
Par. BMP:
Par. AFNEMER:
Verwerkersovereenkomst Versie 1.3
Ieder der Partijen is gerechtigd, onverminderd hetgeen daartoe bepaald is in de Overeenkomst, de uitvoering van deze Verwerkersovereenkomst en de daarmee samenhangende Overeenkomst op te schorten, dan wel zonder rechterlijke tussenkomst met onmiddellijke ingang te ontbinden, indien:
• de andere Partij wordt ontbonden of anderszins ophoudt te bestaan;
• de andere Partij aantoonbaar tekortschiet in de nakoming van de verplichtingen die voortvloeien uit deze Verwerkersovereenkomst en die toerekenbare tekortkoming niet binnen dertig (30) dagen is hersteld na een daartoe strekkende schriftelijke ingebrekestelling;
• een Partij in staat van faillissement wordt verklaard of surséance van betaling aanvraagt.
Zodra de Verwerkersovereenkomst, om welke reden en op welke wijze dan ook, is geëindigd c.q. ontbonden, alsmede op ieder schriftelijk verzoek van Verwerkingsverantwoordelijke, zal Verwerker alle Persoonsgegevens die bij haar aanwezig zijn aan Verwerkingsverantwoordelijke retourneren en alle eventuele (digitale) kopieën van Persoonsgegevens vernietigen en aan Verwerkingsverantwoordelijke een bewijs verstrekken van het feit dat zij dit heeft uitgevoerd.
Par. BMP:
Par. AFNEMER:
Verwerkersovereenkomst Versie 1.3
ARTIKEL 13 Overige bepalingen
De considerans en bijlage maken integraal onderdeel uit van deze Verwerkersovereenkomst.
Deze Verwerkersovereenkomst en de rechten en verplichtingen uit deze Verwerkersovereenkomst kunnen door Verwerker niet aan derden worden overgedragen zonder de voorafgaande uitdrukkelijke schriftelijke toestemming van Verwerkingsverantwoordelijke.
Indien één of meer bepalingen van deze Verwerkersovereenkomst niet rechtsgeldig blijkt te zijn, zal de Verwerkersovereenkomst voor het overige van kracht blijven. Partijen zullen over de bepalingen welke niet rechtsgeldig zijn overleg plegen, teneinde een vervangende regeling te treffen die wel rechtsgeldig is en zoveel mogelijk aansluit bij de strekking van de te vervangen regeling.
Aanvullingen van en wijzigingen in de Verwerkersovereenkomst en de daarbij behorenden bijlage zijn slechts geldig indien deze schriftelijk zijn opgemaakt en door beide Partijen zijn ondertekend.
ARTIKEL 14 Toepasselijk recht en geschillenbeslechting
De Verwerkersovereenkomst en de uitvoering daarvan worden uitsluitend beheerst door Nederlands recht.
Alle geschillen, welke tussen Partijen mochten ontstaan over of in verband met de Verwerkersovereenkomst, zullen worden voorgelegd aan de bevoegde rechter van het arrondissement Den Haag.
Par. BMP:
Par. AFNEMER:
Verwerkersovereenkomst Versie 1.3
ARTIKEL 15 Versiebeheer
Versie | Datum | Gemaakt door | Omschrijving |
1.0 | 21-06-2018 | Privacy Officer | Initiële versie |
1.1 | 01-07-2020 | Privacy Officer | Versiebeheer toegevoegd, bijlages toegevoegd |
1.2 | 24-07-2020 | Privacy Officer | Textuele correcties |
1.3 | 10-01-2022 | Privacy Officer | Tekenbevoegd persoon BMP aangepast |
O P G E M A A K T I N T W E E V O U D ,
Verwerker | Verantwoordelijke |
Voor deze: X. Xxxxxxxx Plaats: Sassenheim Datum: 10-01-2022 | Voor deze: Plaats: Datum: |
Par. BMP:
Par. AFNEMER:
Verwerkersovereenkomst Versie 1.3
Bijlage 1: Privacy bijsluiter
a. Omschrijving van de Verwerking
Het adviseren, verkopen, leveren, implementeren en beheren van ICT oplossingen en hostingfaciliteiten, alsmede de ondersteuning en training van klanten op het gebied van datacenter, infrastructuur, werkplek, cloud en security met behulp van partners. Naast de registratie van voornaam, achternaam en andere contactgegevens om in contact te kunnen treden met indiener van een melding heeft Verwerker toegang toestemming tot, in de overeenkomst opgenomen devices. Er is hierdoor technisch gezien, de mogelijkheid tot inzage in datastromen die herleidbaar kunnen zijn naar personen. De volledige communicatie, registratie van verwerkingen gaan altijd via, en zijn geregistreerd in Autotask. Daarnaast heeft verwerker een technische documentatieomgeving in ITGlue. De documentatieomgeving bevat geen persoonsgegevens anders dan de contactgegevens van de indieners, deze staan ook in Autotask.
b. Bewaartermijn van de Persoonsgegevens
De bewaartermijn van persoonsgegevens, die nodig zijn om de overeenkomst uit te voeren, is gelijk aan de looptijd van de (hoofd)overeenkomst.
c. Doeleinden van de Verwerking
Voor alle diensten geldt als doeleinde het invulling geven aan een overeenkomst met de verwerkingsverantwoordelijke.
Alle personen die gebruik maken van, of toegang hebben tot, de in de overeenkomst opgenomen devices.
Par. BMP:
Par. AFNEMER:
Verwerkersovereenkomst Versie 1.3
Contactgegevens: Naam, voornamen, voorletters, titulatuur, geslacht, geboortedatum, adres, postcode, woonplaats, telefoonnummer en soortgelijke voor communicatie benodigde gegevens.
Inhoud meldingen: Alle door indiener gedeelde persoonsgegevens in de meldingen.
Inhoud versleutelde back-up: Alle door verwerkingsverantwoordelijke opgeslagen persoonsgegevens op locaties die onderdeel zijn van de back-up procedure.
Inhoud uit gesynchroniseerde databases: Alle, volledig automatisch gesynchroniseerde, persoonsgegevens naar, door Verwerkingsverantwoordelijke bepaalde systemen. De gesynchroniseerde persoonsgegevens worden door Verwerkingsverantwoordelijke bepaald, opgegeven en beheerd.
Bij Verwerker is het eerste aanspreekpunt de Servicedesk via xxxxxxxxxxx@xxxxx.xx of 071- 4034643. Er zijn procedures voor het omgaan met escalaties, klachten, beveiligingslekken en datalekken. De Functionaris Gegevensbescherming is eindverantwoordelijk en bereikbaar via onderstaande gegevens:
Naam | Ben Zandbergen |
Functie | Functionaris gegevensbescherming / Financieel Directeur |
E-mail adres | |
Telefoonnummer | 071-4034643 |
Par. BMP:
Par. AFNEMER:
Verwerkersovereenkomst Versie 1.3
Categorieën | Persoonsgegevens | Soort verwerking |
Skilled Servicedesk medewerker, System Engineer, Technische Dienst medewerker, NOC Engineer, Datacenter Engineer, ERP Consultant | Contactgegevens indiener en inhoud melding. Mogelijkheid tot inzage in technische datastromen die herleidbaar (kunnen) zijn naar een persoon. | Technische monitoring en beheerswerkzaamheden volgens overeenkomst. |
Management, Administratief Medewerker | Contactgegevens indiener en inhoud melding. Mogelijkheid tot inzage in technische datastromen die herleidbaar (kunnen) zijn naar een persoon. | Dagelijkse aansturing technische medewerkers en consultants. Mogelijkheid tot inzage in alle uitgevoerde werkzaamheden en de daarbij behorende datastromen. |
Verwerkingsverantwoordelijke geeft Xxxxxxxxx toestemming voor het inschakelen van onderstaande sub-verwerkers om de overeenkomst te kunnen uitvoeren.
Een actuele lijst met subverwerkers is te vinden op xxx.xxxxx.xx/xxxxxxxxxxxxx. Verwerker zorgt voor voorafgaande kennisgeving van een nieuwe sub-verwerker door de lijst bij te werken van Subverwerkers en/of kennisgeving in het Client Access Portal. De Verwerkingsverantwoordelijke kan redelijkerwijs bezwaar maken tegen het gebruik van een nieuwe Subverwerker door Verwerker onmiddellijk schriftelijk, met uitleg van de redelijke gronden voor bezwaar op de hoogte te stellen, binnen tien werkdagen na de kennisgeving van Verwerker zoals hierboven beschreven. Verwerker zal, commercieel gezien, redelijke inspanning leveren om het product of dienst van Verwerkingsverantwoordelijke aan te passen of de nieuwe Subverwerker te vermijden. Als Verwerker een dergelijke wijziging, binnen redelijke termijn, niet beschikbaar kan stellen, kan elke partij als rechtsmiddel de toepasselijke overeenkomst met respect beëindigen. Dit geldt alleen voor diensten die niet geleverd kunnen worden zonder de nieuwe Subverwerker.
Par. BMP:
Par. AFNEMER:
Verwerkersovereenkomst Versie 1.3
Bijlage 2: Beveiligingsbijlage
a. De maatregelen waaraan minimaal wordt voldaan:
• De Verwerker werkt volgens de ISO 27001 norm en heeft beleid dat ingaat op de maatregelen die de Verwerker treft om de verwerking van gegevens te beveiligen, alsmede privacy te waarborgen.
• De bedrijfsmiddelen zijn geïnventariseerd en geclassificeerd. De classificatie wordt gecontroleerd door de Verwerkingsverantwoordelijke.
• De verantwoordelijken, zowel op sturend als uitvoerend niveau, zijn duidelijk gedefinieerd en belegd.
• De werknemers van de Verwerker die betrokken zijn bij de verwerking van Persoonsgegevens zijn gehouden aan een geheimhoudingsplicht en indien van toepassing heeft voorafgaand aan de indiensttreding een screening plaatsgevonden.
• Alle werknemers van de organisatie en, voor zover van toepassing, ingehuurd personeel en externe gebruikers krijgen geschikte training en regelmatige bijscholing over het informatiebeveiligingsbeleid en de informatiebeveiligingsprocedures van de organisatie, voor zover relevant voor hun functie. Binnen de training en bijscholing wordt expliciet aandacht besteed aan de omgang met (bijzondere of anderszins gevoelige) persoonsgegevens.
• IT-voorzieningen en apparatuur zijn fysiek beschermd tegen toegang door onbevoegden en tegen schade en storingen.
• Er zijn procedures om bevoegde gebruikers toegang te geven on ontnemen tot de informatiesystemen den diensten die ze voor de uitvoering van hun taken nodig hebben en om onbevoegde toegang tot informatiesystemen te voorkomen.
• Bij transport van door de Verwerkingsverantwoordelijke expliciet als zodanig aangemerkte vertrouwelijke informatie over netwerken dient altijd adequate encryptie te worden toegepast.
• Voor het beheer van certificaten en de bijbehorende sleutels is een actueel sleutelplan van toepassing waarin bevoegdheden en functie scheiding geborgd zijn.
• Er zijn procedures voor de verwerving, ontwikkeling, onderhoud en vernietiging van data en informatiesystemen.
• In alle toepassingssystemen zijn beveiligingsmaatregelen ingebouwd waaronder een adequaat toegangsbeheer.
Par. BMP:
Par. AFNEMER:
Verwerkersovereenkomst Versie 1.3
• Het netwerk en de informatiesystemen worden actief gemonitord en beheerd. Er is tevens een procedure beschikbaar om eventuele datalekken af te handelen. Onderdeel hiervan is het informeren van de Verwerkingsverantwoordelijke.
• De verwerker installeert tijdig oplossingen die de leveranciers uitbrengen voor beveiligingslekken. Dit alles uitsluitend indien en voor zover de betreffende software door de verwerker is/wordt geleverd, gebruikt of onderhouden ten behoeven van de overeenkomst met de verwerkingsverantwoordelijke.
• Er zijn procedures voor het tijdig en doeltreffend behandelen van informatie beveiligingsincidenten en zwakke plekken in de beveiliging, zodra ze zijn gerapporteerd.
• Er is een procedure voor het melden van beveiligingsrisico s en data lekker. Onderdeel hiervan is het melden van een datalek aan verwerkingsverantwoordelijke. De verwerkingsverantwoordelijke meldt datalekken die onder een wettelijke meldplicht vallen bij de betreffende toezichthouder (veelal de Autoriteit Persoonsgegevens).
b. Toelichting Technische maatregelen
• Firewalls zijn enterprise-class security en networking.
• Met betrekking tot de scheiding van netwerken is zonering ingericht met voorzieningen waarvan de functionaliteit is beperkt tot het noodzakelijke.
• Mag worden moeten voldoen aan complexiteit vereisten en hebben, de mogelijkheid tot, het instellen van verlooptijd.
• Servers en werkplekken beschikken over antivirus en antispyware software. Op
• alleen geautoriseerd personeel kan software installeren of activeren. Machtigingen zijn per medewerker en klant ingericht op basis van rol en functie.
• Back-ups zijn beveiligd met minimaal 128 bit encryptie en opgeslagen in een beveiligd datacentrum. De back-up gegevens zijn versleuteld bij de bron, gedurende de back-up, tijdens transport en in rust.
• Service desk, monitoring en beheers activiteiten worden gelogd en zijn traceerbaar.
• Prestaties van ICT diensten worden gemeten en geregistreerd. Drempelwaarden zijn gedefinieerd en geïmplementeerd voor de (automatische) signalering van (dreigende) overschrijding van de kritische dienstniveaus.
Par. BMP:
Par. AFNEMER:
Verwerkersovereenkomst Versie 1.3