Verwerkersovereenkomst
Verwerkersovereenkomst
P.P.S. verwerkt onder andere persoonsgegevens voor en in opdracht van de klant. P.P.S. en de klant zijn daarom verplicht volgens de AVG Algemene Verordening Gegevensbescherming (AVG) een Verwerkersovereenkomst te sluiten. Volgens de AVG is P.P.S. 'verwerker' en is de klant 'verwerkingsverantwoordelijke'. In deze Verwerkersovereenkomst staat ook hoe P.P.S. met de meldplicht datalekken omgaat.
P.P.S. en de klant verplichten zich over en weer om de Algemene Verordening Gegevensbescherming (AVG) na te leven. Voor de definities van begrippen wordt aangesloten bij artikel 1 van de AVG. P.P.S. zal de persoonsgegevens alleen verwerken voor en in opdracht van de klant en om uitvoering te geven aan de overeenkomst. P.P.S. heeft geen zeggenschap over de persoonsgegevens die door de klant beschikbaar worden gesteld. Zonder noodzaak, gezien de aard van de door de klant verstrekte opdracht, expliciete toestemming van de klant of wettelijke verplichting zal P.P.S. de gegevens niet aan derden verstrekken of voor andere doeleinden verwerken, dan voor de overeengekomen doeleinden. De klant garandeert dat de persoonsgegevens verwerkt mogen worden op basis van een in de AVG genoemde grondslag.
P.P.S. neemt passende technische en organisatorische maatregelen om de persoonsgegevens van de klant te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking. Deze maatregelen worden aangemerkt als een passend beveiligingsniveau in de zin van de AVG. De klant is gerechtigd in overleg met P.P.S. tijdens de looptijd van de overeenkomst door een onafhankelijke deskundige de naleving hiervan te controleren, bijvoorbeeld door middel van het uitvoeren van een audit. P.P.S. zal, indien een verzoek gedaan wordt, alle informatie beschikbaar stellen aan de betreffende organisatie. De klant zal alle kosten in verband met deze controle dragen.
De Autoriteit Persoonsgegevens zal eerst aan de verwerkersverantwoordelijke een bindende aanwijzing geven voordat de Autoriteit Persoonsgegevens een bestuurlijke boete op kan leggen. De verwerkersverantwoordelijke zal P.P.S. direct op de hoogte stellen van deze bindende aanwijzing.
P.P.S. zal er alles aan doen wat in redelijkheid van haar verwacht kan worden om de naleving mogelijk te maken. Als P.P.S. niet doet wat in redelijkheid van haar gevraagd kan worden waardoor er een boete volgt, of als de Autoriteit Persoonsgegevens direct een boete oplegt omdat sprake is van opzet of ernstige verwijtbare nalatigheid aan de kant van P.P.S., dan geldt de toepasselijke aansprakelijkheidsbeperking als genoemd in Aansprakelijkheid niet.
1.1 Aansprakelijkheid
P.P.S. is aansprakelijk voor schade in het kader van persoonsgegevens door handelen of nalaten van haar medewerkers waarbij de aansprakelijkheid van P.P.S. is beperkt tot € 2.500,- per gebeurtenis of serie van gebeurtenissen met een gemeenschappelijke oorzaak en zal samengesteld nooit hoger zijn dan € 20.000,- per kalenderjaar. P.P.S. kan op de aansprakelijkheidsbeperkingen geen beroep doen als er sprake is een toerekenbare tekortkoming in het handelen van haarzelf of van haar medewerkers.
P.P.S. sluit haar aansprakelijkheid uit voor indirecte schade (dit is onder meer, maar niet beperkt tot: gederfde omzet, gederfde winst en gemiste kansen). De aansprakelijkheid van P.P.S. is ook uitgesloten als de klant of door de klant ingeschakelde derden wijzigingen in producten van NMBS hebben aangebracht, wat niet is toegestaan.
P.P.S. en de klant zijn niet aansprakelijk ten opzichte van elkaar als er sprake is van overmacht. Onder overmacht wordt verstaan: Overmacht in de zin van de wet, ook bij toeleveranciers van partijen, ondeugdelijke nakoming van verplichtingen van toeleveranciers die door de klant aan P.P.S. zijn voorgeschreven, storingen in het elektriciteitsnet en storingen die dataverkeer belemmeren voor zover de oorzaak daarvan niet is te wijten aan partijen zelf.
1.2 Sub verwerker
P.P.S. is niet aansprakelijk in geval van overmacht (zoals gedefinieerd in Aansprakelijkheid) aan de kant van de sub verwerker.
P.P.S. zal geen nieuwe sub verwerkers gegevens laten verwerken zonder de klant daarover tijdig te informeren. De klant kan, indien hij dat nodig acht, bezwaar maken bij P.P.S. tegen de sub verwerker en in het uiterste geval heeft de klant de mogelijkheid de overeenkomst te beëindigen.
2. Privacy en geheimhouding
P.P.S. is zich bewust dat de informatie die de klant met P.P.S. deelt en opslaat binnen P.P.S. Online een geheim en bedrijfsgevoelig karakter heeft. Alle P.P.S.-medewerkers zullen gedurende hun dienstverband en daarna, zoals in hun arbeidsovereenkomst met geheimhoudingsclausule is opgenomen, op verantwoorde wijze met de informatie van de klant omgaan.
2.1 Medewerkers met toegang tot klantgegevens
P.P.S.-medewerkers hebben alleen toegang tot de klantgegevens waar zij toestemming voor hebben ontvangen van de klant en voor zolang zij toestemming hebben van de klant. Medewerkers van P.P.S. hebben volledige toegang tot de klantgegevens in het kader van het verwerken van de persoonsgegevens t. b.v. het verzorgen van de salarisadministratie.
2.2 Gegevens
De Persoonsgegevens die P.P.S. verwerkt volgens deze Verwerkersovereenkomst worden vernietigd na verstrijken van de wettelijke bewaartermijn en/of op verzoek van De Klant. Een wettelijke bewaartermijn is er bijvoorbeeld wanneer P.P.S. de Persoonsgegevens moet bewaren om belastingtechnische redenen.
P.P.S. werkt met de salarissoftware van NMBS en deze is hiermee sub verwerker van de data. De datacenters waar de servers van NMBS gehuisvest zijn, bevinden zich in de EU. De datacenters vallen onder Nederlandse wet- en regelgeving en voldoen aan de nieuwe AVG/GDPR wetgeving. Alle klantgegevens die opslag behoeven, bevinden zich in het Equinix datacenter met de hoogste niveaus van beveiliging en operationele betrouwbaarheid. Het delen van gegevens met toepassingen of tools die het product verbeteren, gebeurt in overeenstemming met de EU Data Protection Act. Dit houdt in dat de gedeelde informatie zeer beperkt is en geen gevoelige data overdraagt.
3. Meldplicht datalekken
De AVG vereist dat eventuele datalekken gemeld worden aan de Autoriteit Persoonsgegevens door de verwerkingsverantwoordelijke van de data. P.P.S. zal daarom zelf geen meldingen doen bij de Autoriteit Persoonsgegevens. Uiteraard zal P.P.S. als verwerker de klant juist, tijdig en volledig informeren over relevante incidenten, zodat de klant als verwerkingsverantwoordelijke aan zijn wettelijke verplichtingen kan voldoen. De Beleidsregels meldplicht datalekken van de Autoriteit Persoonsgegevens geven hierover meer informatie.
3.1 Bepaling datalek
Voor het bepalen van een datalek, gebruikt P.P.S. de AVG en de Beleidsregels meldplicht datalekken als leidraad. Onder een datalek vallen alle beveiligingsincidenten waardoor de bescherming van persoonsgegevens op enig moment is doorbroken of waardoor de persoonsgegevens blootgesteld zijn aan verlies of onrechtmatige verwerking. Het kan bijvoorbeeld gaan om het verlies van een USB- stick of computer, inbraak door een hacker, verzending van een e-mail waarin de e-mailadressen zichtbaar zijn voor alle geadresseerden, een malwarebesmetting of een calamiteit zoals brand in een datacenter.
Indien de klant een (voorlopige) melding verricht bij de Autoriteit Persoonsgegevens en/of de betrokkene(n) over een datalek bij P.P.S., terwijl zonder meer voor de klant duidelijk is dat bij P.P.S. geen sprake is van een datalek dan is de klant aansprakelijk voor alle door P.P.S. geleden schade en kosten. De klant is daarnaast verplicht een dergelijke melding direct in te trekken.
3.2 Melding aan de klant
Indien blijkt dat bij P.P.S. sprake is van een datalek, dat door de klant gemeld moet worden aan de Autoriteit Persoonsgegevens en/of de betrokkene(n), dan zal P.P.S. de klant daarover zo spoedig mogelijk informeren nadat P.P.S. bekend is geworden met het datalek. Om dit te realiseren zorgt
P.P.S. ervoor dat al haar medewerkers in staat zijn en blijven om een datalek te constateren en verwacht P.P.S. van haar opdrachtnemers dat zij P.P.S. in staat stelt om hieraan te kunnen voldoen. Voor de duidelijkheid: als er een datalek is bij een leverancier van P.P.S., dan meldt P.P.S. dit uiteraard ook. P.P.S. is het contactpunt voor de klant. De klant hoeft geen contact op te nemen met de leveranciers van P.P.S.
3.2.1 Informeren klant en Informatie verstrekken
P.P.S. informeert de contactpersoon van de klant over het datalek. P.P.S. probeert de klant direct alle informatie te verstrekken die de klant nodig heeft om een volledige melding bij de Autoriteit Persoonsgegevens en/of de betrokkene(n) te verrichten. Indien deze informatie nog niet bekend is, bijvoorbeeld omdat het datalek door P.P.S. wordt onderzocht, dan zal P.P.S. de klant de informatie verstrekken die de klant nodig heeft om in ieder geval eerst een voorlopige melding bij de Autoriteit Persoonsgegevens en/of de betrokkene(n) te kunnen verrichten. Hierbij volgt P.P.S. de informatielijst uit de eerdergenoemde beleidsregels. Dit bevat in ieder geval de aard van de inbreuk, een beschrijving van de geconstateerde en de vermoedelijke gevolgen van de inbreuk en de getroffen en te treffen maatregelen om de negatieve gevolgen van het datalek te beperken en te verhelpen.
3.2.2 Termijn van informeren
De AVG geeft aan dat er ‘onverwijld’ gemeld moet worden. Dit is volgens de Autoriteit
Persoonsgegevens zonder onnodige vertraging en zo mogelijk niet later dan 72 uur na ontdekking.
P.P.S. informeert de klant daarom zo snel mogelijk, uiterlijk binnen 48 uur na het ontdekken van een datalek, zodat de klant tijdig de melding kan doen bij de Autoriteit Persoonsgegevens.
3.2.3 Voortgang en maatregelen
P.P.S. zal de klant op de hoogte houden over de voortgang en de maatregelen die getroffen worden.
P.P.S. maakt hierover afspraken met de primaire contactpersoon bij de initiële melding. In ieder geval houdt P.P.S. de klant op de hoogte in geval van een wijziging van de situatie, het bekend worden van nadere informatie en over de maatregelen die getroffen worden.
PPS BV
Gevestigd aan de S.W. Xxxxxxxxxxxxxxxxxxx 00, 0000 XX Xxxxxxxxxx
Ingeschreven in het handelsregister van de Kamer van Koophandel onder nummer 02072322 Rechtsgeldig vertegenwoordigd door:
Ton van den Berge Directeur
5 Juli 2022