Verwerkersovereenkomst Partijen

Verwerkersovereenkomst

Partijen

  1. De BEDRIJFSNAAM, kantoorhoudende te () aan , hierbij rechtsgeldig vertegenwoordigd door , hierna te noemen: “Verantwoordelijke”

en

  1. De besloten vennootschap Finance Prospects B.V., kantoorhoudende te (7324 AE) Apeldoorn aan de Boogschutterstraat 1, hierbij rechtsgeldig vertegenwoordigd door Xxxxxx xxx Xxxxx, hierna te noemen: “Verwerker”

Gezamenlijk hierna ook te noemen “Partijen”,

Overwegen het volgende

  1. Verwerker stelt voor Verantwoordelijke IT-diensten beschikbaar, en verwerkt in dat kader (bijzondere) persoonsgegevens voor Verantwoordelijke;

  2. Verantwoordelijke is ten aanzien van de verwerking van persoonsgegevens als verwerkingsverantwoordelijke in de zin van artikel 4 aanhef en onder 7 van de Algemene verordening gegevensbescherming aan te merken;

  3. Verwerker is ten aanzien van het voor Verantwoordelijke opslaan en verwerken van de persoonsgegevens als verwerker in de zin van artikel 4 aanhef en onder 8 AVG aan te merken;

  4. Partijen wensen – mede ter uitvoering van het bepaalde in artikel 28, derde lid van de AVG – in deze overeenkomst een aantal voorwaarden vast te leggen die van toepassing zijn op hun relatie in verband met de verwerking van persoonsgegevens voor Verantwoordelijke.

En komen het volgende overeen:

Artikel 1.          Definities

  1. In deze Overeenkomst hebben de volgende met een hoofdletter geschreven termen de volgende betekenis:

AP:

de Autoriteit Persoonsgegevens;

AVG:

de Algemene Verordening Gegevensbescherming;

Datalek:

een inbreuk op de beveiliging van Persoonsgegevens die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens

Overeenkomst:

de tussen Verantwoordelijke en Verwerker gesloten overeenkomst, op grond waarvan Verwerker voor Verantwoordelijke Persoonsgegevens zal Verwerken;

Persoonsgegevens:

alle gegevens die direct of indirect herleidbaar zijn tot een natuurlijk persoon als bedoeld in artikel 4 aanhef en onder 1 AVG;

Verwerken:

het verwerken van Persoonsgegevens als bedoeld in artikel 4 aanhef en onder 2 AVG;

Verwerkersovereenkomst:

de onderhavige overeenkomst welke deel uitmaakt van de Overeenkomst;

Verwerking:

de verwerking van Persoonsgegevens door Verwerker voor de Verantwoordelijke op basis van de Overeenkomst;

  1. De bepalingen uit de Overeenkomst zijn onverkort van toepassing op de Verwerkersovereenkomst. Ten aanzien van de verwerking van Persoonsgegevens gaan de bepalingen uit deze Verwerkersovereenkomst altijd voor.

Artikel 2.          Verantwoordelijke voor en Verwerker van de gegevens

  1. Verwerker verwerkt in opdracht van de Verantwoordelijke Persoonsgegevens bij de uitvoering van de Overeenkomst. Op deze Verwerking zijn de bepalingen uit deze Verwerkersovereenkomst van toepassing.

  2. De Verwerking heeft betrekking tot de volgende categorieën van betrokkenen:

    • Gebruikers van mijn dienst

    • Mijn klanten en/of potentiële klanten

    • Mijn werknemers

  1. De verwerking vindt plaats voor de volgende doeleinden en betreft de volgende categorieën van persoonsgegevens:

Dienstverlening, klantenbeheer en/of financiële activiteiten

Doeleinden:

Afhandelen klachten, Financiële administratie,
Facturatie, CRM en Dienstverlening

Categorieën van persoonsgegevens:

NAWTE, IBAN-nummers, geboortedatum, hypotheekgegevens, inkomens- en vermogensgegevens, gezinssituaties

  1. Verwerker verwerkt de Persoonsgegevens alleen ten behoeve van de in deze Verwerkersovereenkomst en/of de Overeenkomst genoemde activiteiten. Verwerker garandeert niet op enige andere wijze gebruik te maken van de Persoonsgegevens, tenzij de Verantwoordelijke daarvoor uitdrukkelijk en schriftelijk toestemming heeft gegeven, of een wettelijke bepaling de Verwerker daartoe verplicht. In dat geval laat de Verwerker de Verantwoordelijke, voorafgaand aan de Verwerking, weten om welk wettelijk voorschrift het gaat, tenzij die wetgeving zich daartegen verzet.

Artikel 3.          Algemene zorgplicht Verwerker

  1. Verwerker zorgt voor de naleving van deze Verwerkersovereenkomst en de wettelijke regels (zoals de AVG) die op Verwerker van toepassing zijn. Als Verantwoordelijke daarom vraagt, zal Verwerker Verantwoordelijke informeren over de acties en maatregelen die Verwerker heeft genomen in het kader van deze algemene zorgplicht van Verwerker.

Artikel 4.          Technische en organisatorische voorzieningen

  1. Verwerker zal passende technische en organisatorische maatregelen (laten) nemen om Persoonsgegevens te beveiligen tegen verlies of onrechtmatige Verwerking. Verwerker moet er hierbij voor zorgdragen dat het beveiligingsniveau is afgestemd op de risico’s. Daarbij zal rekening worden gehouden met de stand van de techniek en de kosten van de beveiligingsmaatregelen.

  2. Verwerker zal in ieder geval maatregelen nemen om Persoonsgegevens te beveiligen tegen vernietiging, tegen toevallig en opzettelijk verlies, vervalsing, niet toegelaten verspreiding of toegang, dan wel tegen enige andere vorm van onrechtmatige Verwerking.

  3. Verwerker zal Verantwoordelijke helpen bij het nakomen van de beveiligingsverplichtingen die op Verantwoordelijke zelf rusten.

  4. Verwerker zal een document aanleveren waarin de technische en organisatorische maatregelen die Verwerker heeft genomen, staan vermeld. Dit document maakt deel uit van de Verwerkersovereenkomst en zal als bijlage daarbij gevoegd worden.

Artikel 5.          Vertrouwelijkheid

  1. Verwerker zal al haar medewerkers, die betrokken zijn bij de uitvoering van de Overeenkomst, een geheimhoudingsverklaring – al dan niet voortvloeiend uit of opgenomen in de arbeidsovereenkomst met die medewerkers – laten tekenen waarin in ieder geval is opgenomen dat deze medewerkers geheimhouding moeten betrachten ten aanzien van de Persoonsgegevens. Xxxxxxxxx neemt alle nodige maatregelen, zoals screening van medewerkers en beveiliging van gegevensdragers, om te garanderen dat deze geheimhoudingsplicht wordt nagekomen.

Artikel 6.          Gegevensverwerking buiten de Europese Economische Ruimte (EER)

  1. Verwerker zal de Persoonsgegevens niet buiten de EER verwerken.

Artikel 7.          Subverwerkers

  1. Het is de Verwerker toegestaan om in het kader van deze Verwerkersovereenkomst en de Overeenkomst gebruik te maken van subverwerkers. Verwerker heeft voor het inschakelen van subverwerkers wel de voorafgaande schriftelijke toestemming van Verantwoordelijke nodig. Verantwoordelijke verleent hierbij toestemming aan Verwerker om de volgende partijen als subverwerker in te schakelen: Invest Online Diensten BV, Root BV, Euroface Software B.V.

  2. Verwerker verplicht iedere subverwerker contractueel de geheimhoudingsverplichtingen, meldingsverplichtingen en beveiligingsmaatregelen na te leven met betrekking tot de Verwerking van Persoonsgegevens welke verplichtingen en maatregelen minimaal dienen te voldoen aan het bepaalde in deze Verwerkersovereenkomst.

Artikel 8.          Aansprakelijkheid

  1. Verwerker is jegens Verantwoordelijke aansprakelijk voor alle schade en kosten in verband met een claim van een betrokkene, die het gevolg is van het feit dat Verwerker niet heeft voldaan aan tot Verwerker gerichte verplichtingen uit de AVG, of in strijd met rechtmatige instructies van Verantwoordelijke heeft gehandeld.

Artikel 9.          Inbreuk in verband met Persoonsgegevens (Datalek)

  1. Indien Verwerker kennis krijgt van een Datalek zal zij (i) Verantwoordelijke daarvan zo spoedig mogelijk en in ieder geval binnen 24 uur nadat Verwerker op de hoogte is geraakt van het bestaan van het Datalek op de hoogte stellen en (ii) alle redelijke maatregelen nemen om (verdere) schending van de AVG te voorkomen en/of te beperken. Bij het nemen van de hiervoor genoemde maatregelen zal Verwerker zich onthouden van het nemen van maatregelen die onomkeerbaar zijn en/of een onderzoek naar de oorzaken van het Datalek ernstig belemmeren.

  2. Verwerker zal haar medewerking verlenen aan Verantwoordelijke en Verantwoordelijke ondersteunen in het uitvoeren van haar wettelijke verplichtingen ten aanzien van het geconstateerde incident.

  3. Verwerker zal Verantwoordelijke ondersteunen bij de op Verantwoordelijke rustende meldplicht ten aanzien van de inbreuk in verband met Persoonsgegevens bij de Autoriteit Persoonsgegevens (“AP”) en/of de betrokkene, zoals bedoeld in artikel 33 lid 3 en 34 lid 1 AVG. Verwerker zal zich onthouden van het zelfstandig verrichten van een melding van een inbreuk in verband met Persoonsgegevens bij de AP en/of de betrokkene.

Artikel 10.          Bijstand aan Verantwoordelijke

  1. Onder de AVG heeft de betrokkene een aantal rechten, waaronder het recht op inzage (art. 15 AVG), rectificatie (art. 16 AVG), gegevenswissing (art. 17 AVG), beperking (art. 18 AVG), overdraagbaarheid (art. 20 AVG) en het recht van bezwaar (art. 21 en 22 AVG). Verantwoordelijke moet verzoeken om uitoefening van die rechten beantwoorden en Verwerker zal Verantwoordelijke daar voor zover redelijkerwijs mogelijk bij ondersteunen. Zo zal Verwerker een klacht of verzoek van een betrokkene zo snel mogelijk doorsturen naar Verantwoordelijke.

  2. Verwerker zal Verantwoordelijke, voor zover redelijkerwijs mogelijk, ondersteunen bij het nakomen van haar plicht onder de AVG om een gegevensbeschermingseffectbeoordeling (art. 35 en 36 AVG) uit te voeren.

  3. Verwerker zal de Verantwoordelijke alle informatie ter beschikking stellen die nodig is om aan te tonen dat Verwerker voldoet aan haar verplichtingen onder de AVG. Voorts zal Verwerker op verzoek van Verantwoordelijke audits, waaronder inspecties, door Verantwoordelijke of een door Verantwoordelijke gemachtigde partij mogelijk maken en eraan bijdragen.

Artikel 11.          Beëindiging & Varia

  1. Ten aanzien van beëindiging van deze Verwerkersovereenkomst, gelden de specifieke bepalingen uit de Overeenkomst. Onverminderd de specifieke bepalingen uit de Overeenkomst, zal de Verwerker op eerste verzoek van de Verantwoordelijke alle Persoonsgegevens wissen of deze aan hem terugbezorgen, en bestaande kopieën verwijderen, tenzij Verwerker wettelijk verplicht is de Persoonsgegevens op te slaan.

  2. Verantwoordelijke zal Verwerker adequaat informeren over (wettelijke) bewaartermijnen die van toepassing zijn op de Verwerking van Persoonsgegevens voor Verwerker. Verwerker zal de Persoonsgegevens niet langer Verwerken dan overeenkomstig deze bewaartermijnen.

  3. De verplichtingen uit deze Verwerkersovereenkomst die naar hun aard bestemd zijn om beëindiging te overleven, blijven ook na beëindiging van deze Verwerkersovereenkomst van kracht.

Ondertekening

Aldus overeengekomen en getekend in tweevoud:

BEDRIJFSNAAM

Naam:
Datum:
Finance Prospects B.V.

Naam: Xxxxxx xxx Xxxxx
Datum:







































Bijlage conform artikel 4 lid 4.          Beveiligingsmaatregelen

Verwerker heeft de volgende maatregelen getroffen ter beveiliging van verwerkte persoonsgegevens.


  • Er is gekozen voor de hostingpartij Root B.V. (sub-bewerker). Deze partij is gecertificeerd volgens ISO27001 en NEN7510, informatiebeveiliging in de zorg en voldoet daarmee aan de hoogste eisen die aan informatiebeveiliging gesteld worden. Een kopie van de samenwerkingsovereenkomst met Root B.V. wordt tevens aan u ter hand gesteld.

  • Alle verbindingen zijn beveiligd via SSL

  • Alle data is alleen te benaderen na de inlogprocedure, waarbij u de mogelijkheid hebt de inlogprocedure nog beter te beveiligen door tweetrapsverificatie voor inloggen in te schakelen

  • U kunt toegang tot uw account beperken tot bepaalde IP adressen

  • Buiten de authenticatie om zijn alle bestanden ook afgeschermd d.m.v. htaccess

  • Geüploade documenten worden op een veilige locatie buiten de web root opgeslagen en zijn ook alleen te benaderen nadat de gebruiker is geauthentiseerd

  • De wachtwoorden van de gebruikers worden versleuteld opgeslagen (d.m.v. een sterk hashing-algoritme)

  • Het gebruikte hashing-algoritme wordt automatisch geüpdatet naar het sterkste bewezen algoritme op dat moment beschikbaar.

  • De wachtwoorden van 3rd party services (zoals e-mail accounts) worden versleuteld opgeslagen (d.m.v. een sterk encryptie-algoritme)

  • Belangrijke configuratie gegevens zoals API- en encryptie sleutels zijn op een beveiligde locatie buiten de web root opgeslagen.

  • Er is een rechtensysteem van toepassing met de verschillende rollen (admin, companymanager en agent), daarbij kunnen de gebruikers apart extra rechten toegewezen krijgen

  • Agents kunnen standaard alleen bij hun eigen ingevoerde gegevens (dus zelfs niet bij leads die ingevoerd zijn door gebruikers binnen hetzelfde bedrijf)

  • Inlogcookie wordt afgeschermd middels httponly- en secure-flag

  • Foutieve inlogpogingen worden gelogd en gecontroleerd

  • Clickjacking wordt tegengegaan middels X-Frame-Options-header

  • HTTPS wordt geforceerd door middel van redirects, daarnaast wordt de header - "Strict-Transport-Security" gezet

  • .git en .svn-bestanden worden geblokkeerd

  • Serversoftware wordt 1x per kwartaal bijgewerkt (of zoveel vaker als noodzakelijk in verband met belangrijke securitypatches), daarbij wordt de server herstart indien benodigd



Document Metadata

Filed: May 22nd, 2018