Verwerkersovereenkomst Van Tricht uitgeverij – Tremani

Verwerkersovereenkomst Van Tricht uitgeverij – Tremani

Partijen:

• Verwerkingsverantwoordelijke:

Van Tricht uitgeverij gevestigd te Xxxxxxxxx 0 1hoog te Deventer, hierna te noemen 'Verantwoordelijke', rechtsgeldig vertegenwoordigd door J.M.L. Birnie-Streppel;

en

• Verwerker:

Tremani, gevestigd te Xxxxxxxxxxx 00, 0000 XX Xxxxx, hierna te noemen 'Tremani', rechtsgeldig vertegenwoordigd door Xxxx Xxxxx;

hierna gezamenlijk aangeduid als 'Partijen'

overwegende:

A. Partijen hebben een overeenkomst gesloten met betrekking tot ‘Taal voor jou’ ingaande op januari 2014, hierna te noemen 'Overeenkomst'. Ter uitvoering van de Overeenkomst verwerkt Tremani ten behoeve van Verantwoordelijke Persoonsgegevens;

B. Partijen wensen zorgvuldig en in overeenstemming met de AVG (Algemene Verordening Gegevensbescherming) en andere toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens om te gaan met de Persoonsgegevens die ter uitvoering van de Overeenkomst verwerkt (zullen) worden;

C. Partijen wensen in overeenstemming met de AVG en andere toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens hun rechten en plichten ten aanzien van de Verwerking van Persoonsgegevens van Betrokkenen schriftelijk vast te leggen in deze Verwerkersovereenkomst.

komen het volgende overeen:

1. Begrippen

In deze overeenkomst wordt een aantal begrippen gebruikt. De betekenis van die begrippen lichten we hier toe.

• Betrokkene: degene op wie een Persoonsgegeven betrekking heeft.

• Datalek: een inbreuk op de beveiliging van Persoonsgegevens die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens.

• Personeel: de door Partijen voor de uitvoering van deze Verwerkersovereenkomst in te schakelen personen, welke onder hun respectievelijke verantwoordelijkheid zullen werken.

• Persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon (de Betrokkene).

• Subverwerker: derde partij die door Tremani wordt ingeschakeld om ten behoeve van Verantwoordelijke Persoonsgegevens te verwerken, zonder aan het rechtstreeks gezag van Tremani te zijn onderworpen.

• Verwerkingsverantwoordelijke (of Verantwoordelijke): de klant van Tremani die, als natuurlijke of rechtspersoon, alleen of samen met anderen, het doel van en de middelen voor de Verwerking van Persoonsgegevens vaststelt en verantwoordelijk is voor de Verwerking van Persoonsgegevens.

• Verwerker: Tremani, die ten behoeve van de Verantwoordelijke Persoonsgegevens verwerkt zonder aan zijn rechtstreeks gezag te zijn onderworpen.

• Verwerking: elke handeling of elk geheel van handelingen met betrekking tot Persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens.

2. Verwerking

1. Tremani verwerkt de Persoonsgegevens uitsluitend op de manier die met Verantwoordelijke is afgesproken in de Overeenkomst. Dit verwerken doet Tremani niet langer of uitgebreider dan noodzakelijk is voor de uitvoering van deze Opdracht. De Verwerking vindt plaats volgens instructies van de Verantwoordelijke, tenzij Tremani op grond van wet- of regelgeving verplicht is om anders te handelen. Indien een instructie naar mening van Tremani een inbreuk maakt op de AVG wordt dat onmiddellijk gemeld aan Verantwoordelijke.

2. Verantwoordelijke draagt de verantwoordelijkheid voor de Verwerking van Persoonsgegevens. Tremani heeft geen zeggenschap over het doel en de middelen van de Verwerking en neemt geen beslissingen over zaken zoals het gebruik van Persoonsgegevens, de bewaartermijn van de verwerkte Persoonsgegevens en het verstrekken van Persoonsgegevens aan derden.

3. Tremani staat ervoor in dat zijn Personeel zich houdt aan het gestelde in deze Verwerkersovereenkomst, indien en voor zover zij op enigerlei wijze betrokken zijn bij de Verwerking van Persoonsgegevens. De werknemers van Tremani zijn gehouden aan een geheimhoudingsplicht.

4. Tremani kan de uitvoering van de Verwerkersovereenkomst geheel of gedeeltelijk uitbesteden aan een Subverwerker, maar alleen na voorafgaande schriftelijke toestemming van Verantwoordelijke. Verantwoordelijke zal Tremani deze toestemming in redelijkheid niet onthouden. Tremani blijft voor Verantwoordelijke te allen tijde aanspreekpunt voor de naleving van de bepalingen uit deze Verwerkersovereenkomst. Tremani zal aan de Subverwerker dezelfde verplichtingen opleggen - en een en ander schriftelijk vastleggen in een overeenkomst - als voor hemzelf uit deze Verwerkersovereenkomst voortvloeien en toezien op de naleving daarvan door

Subverwerker. Tremani is volledig aansprakelijk jegens Verantwoordelijke voor de gevolgen van het uitbesteden van werkzaamheden aan een Subverwerker.

5. Tremani verleent Verantwoordelijke de volledige medewerking om Xxxxxxxxxxx inzage in hun persoonsgegevens te laten krijgen, hun persoonsgegevens te laten verwijderen of te corrigeren, en/of aan te laten tonen dat deze persoonsgegevens verwijderd of gecorrigeerd zijn of, indien Verantwoordelijke het standpunt van Betrokkene bestrijdt, vast te leggen dat Betrokkene zijn persoonsgegevens als incorrect beschouwt.

6. Tremani zal de Persoonsgegevens niet opslaan op een locatie buiten de Europese Economische Ruimte of doorgeven aan landen buiten de Europese Economische Ruimte zonder voorafgaande schriftelijke toestemming van Verantwoordelijke. Verantwoordelijke kan voorwaarden verbinden aan haar toestemming.

7. Het is Tremani niet toegestaan Persoonsgegevens aan anderen dan Verantwoordelijke te verstrekken, tenzij op grond van een wettelijke verplichting of met schriftelijke toestemming van Verantwoordelijke. Indien Tremani op grond van een wettelijke verplichting Persoonsgegevens dient te verstrekken, zal Tremani de grondslag van het verzoek en de identiteit van de verzoeker verifiëren en voorafgaand aan de verstrekking Verantwoordelijke ter zake informeren, zodat het voor Verantwoordelijke mogelijk is om de rechten van Verantwoordelijke en Betrokkenen uit te oefenen en de belangen van Verantwoordelijke en Betrokkenen te verdedigen. Tremani zal deze verstrekking van Persoonsgegevens beperken tot hetgeen wettelijk verplicht is.

3. Beveiligingsmaatregelen

1. Verantwoordelijke en Tremani treffen passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen, opdat de Verwerking aan de vereisten van de AVG en andere toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens voldoet en de bescherming van de rechten van Betrokkenen is gewaarborgd. Tremani treft hiertoe tenminste de technische en organisatorische maatregelen die zijn opgenomen in Bijlage 2.

2. Verantwoordelijke heeft zich goed geïnformeerd over de beveiligingsmaatregelen die Tremani heeft genomen en is van mening dat deze maatregelen een beveiligingsniveau hebben dat past bij de aard van de Persoonsgegevens en de omvang, context, doeleinden en risico’s van de Verwerking.

3. Indien Verantwoordelijke daar schriftelijk om vraagt, zal Tremani ten aanzien van de daarbij aangeduide (categorieën van) Persoonsgegevens bijzondere maatregelen treffen voor de beveiliging en/of de geheimhouding daarvan. Indien dit leidt tot hogere kosten voor Tremani zal Verantwoordelijke deze kosten vergoeden.

4. Datalekken

1. Wanneer zich een Datalek voordoet bij Tremani, meldt Tremani dit onmiddellijk - maar in ieder geval binnen 24 uur nadat dit Datalek door Tremani is ontdekt of nadat Tremani daarover door een Subverwerker is geïnformeerd - aan Verantwoordelijke onder opgave van de aard van het Datalek, de (vermoedelijke) gevolgen daarvan en de maatregelen die zijn getroffen om de gevolgen te verhelpen of te beperken.

2. Het melden van Datalekken aan de Autoriteit Persoonsgegevens en (eventueel) aan Betrokkene(n) is verantwoordelijkheid van de Verantwoordelijke.

5. Geheimhouding

1. Alle gegevens van Verantwoordelijke en haar klanten zijn vertrouwelijk en zullen door Tremani als zodanig worden behandeld. Tremani is gehouden tot geheimhouding van alle Persoonsgegevens en informatie die zij verwerkt, of waarvan zij in het kader van de Overeenkomst of deze Verwerkersovereenkomst kennis krijgt.

6. Aansprakelijkheid

1. Verantwoordelijke staat ervoor in dat de Verwerking van Persoonsgegevens op basis van deze Overeenkomst niet onrechtmatig is en geen inbreuk maakt op de rechten van Betrokkene(n).

2. Tremani is niet aansprakelijk voor schade die het gevolg is van het door Verantwoordelijke niet naleven van de AVG of andere wet- of regelgeving. Verantwoordelijke vrijwaart Tremani ook voor aanspraken van derden op grond van zulke schade. De vrijwaring geldt niet alleen voor de schade die derden hebben geleden (materieel maar ook immaterieel), maar ook voor de kosten die Tremani in verband daarmee moet maken.

3. De in de Opdracht en daarbij behorende algemene voorwaarden overeengekomen beperking van de aansprakelijkheid van Tremani is van kracht op de verplichtingen zoals opgenomen in deze Overeenkomst, met dien verstande dat een of meerdere schadevorderingen uit hoofde van deze Overeenkomst en /of de Opdracht nimmer tot overschrijding van de beperking kan leiden.

7. Duur en beëindiging

1. De Verwerkersovereenkomst treedt in werking op de dag van ondertekening door beide Partijen.

2. De bepalingen over duur en beëindiging van de Overeenkomst gelden als bepalingen over duur en beëindiging van de Verwerkersovereenkomst. Wanneer de Overeenkomst om welke reden dan ook eindigt, eindigt ook de Verwerkersovereenkomst.

3. In geval van beëindiging van de Verwerkersovereenkomst zal Tremani alle aan hem verstrekte Persoonsgegevens overdragen aan Verantwoordelijke , of deze gegevens op uitdrukkelijk schriftelijk verzoek van Verantwoordelijke vernietigen. Tremani zal uitsluitend een kopie van de Persoonsgegevens bewaren op verzoek van Verantwoordelijke of als daartoe een verplichting bestaat op grond van wet- of regelgeving.

4. De kosten van het verzamelen en overdragen van Persoonsgegevens bij het eindigen van de Verwerkersovereenkomst zijn voor rekening van de Verantwoordelijke. Datzelfde geldt voor de kosten van de eventuele vernietiging van de Persoonsgegevens.

5. Verplichtingen die naar hun aard bestemd zijn om ook na beëindiging van de Verwerkersovereenkomst voort te duren, blijven na beëindiging gelden. Tot deze

verplichtingen behoren onder meer de bepalingen betreffende geheimhouding, overdracht en vernietiging en aansprakelijkheid.

8. Wijzigingen of aanvullingen

1. Wijzigingen van deze Overeenkomst of aanvullingen daarop worden tussen Tremani en Verantwoordelijke schriftelijk overeengekomen. Wijzigingen of aanvullingen worden vastgelegd in een addendum bij deze overeenkomst en zijn bindend als dit addendum door beide Partijen is ondertekend.

Bijlage 1: Specificatie van de verwerking van persoonsgegevens

(in te vullen door Verantwoordelijke )

Onderwerp van de Verwerking:

Taal voor jou -oftewel ff naar 2F; online Programma voor Nederlands Lezen en Luisteren.

Via diagnostiek het niveau van lezen, woordkennis en luisteren van leerlingen vaststellen. Door middel van oefening en herhaling kan het niveau naar boven bijgesteld worden.

Aard en doel van de Verwerking:

Verwerker verzamelt, verwerkt en gebruikt de Persoonsgegevens van de Betrokkenen ten behoeve van Verantwoordelijke teneinde uitvoering van de Overeenkomst.

Categorieën Betrokkenen:

Beheerders, leerlingen middelbaar beroepsonderwijs (ROC)

Categorieën Persoonsgegevens:

Voor- en achternaam

Sub-verwerkers:

Verantwoordelijke heeft Tremani (aankruisen wat van toepassing is):

□ Algemene toestemming gegeven voor het inschakelen van Sub-verwerkers.

□ Specifieke toestemming gegeven voor het inschakelen van de hierna opgenomen Sub- verwerkers:

Contactpersoon bij Verantwoordelijke:

Naam: J.M.L. Birnie-Streppel Functie: directeur-uitgever Telefoonnummer: 0570 649 618

E-mailadres: xxxxxxxxxxxxxxx@xxxxxxxxxxxxxxxxxxx.xx

Bijlage 2: Beveiligingsmaatregelen

Tremani beschikt over de volgende technische en organisatorische beveiligingsmaatregelen:

1. Tremani hanteert een geheimhoudingsprotocol dat expliciet ingaat op de maatregelen die de Tremani treft om de verwerking van de gegevens te beveiligen, alsmede de privacy te waarborgen. Alle werknemers van Tremani en, voor zover van toepassing, ingehuurd personeel en externe gebruikers krijgen geschikte training en regelmatige bijscholing over het informatiebeveiligingsbeleid en de informatiebeveiligingsprocedures van de organisatie, voor zover relevant voor hun functie.

2. De werknemers van Tremani die betrokken zijn bij de verwerking van persoonsgegevens zijn gehouden aan een geheimhoudingsplicht en indien van toepassing heeft voorafgaand aan de indiensttreding een screening plaatsgevonden. De Verantwoordelijke kan van Tremani verlangen dat deze voor deze werknemers een verklaring omtrent het gedrag opvraagt en controleert.

3. ICT-voorzieningen en apparatuur zijn fysiek beschermd tegen toegang door onbevoegden en tegen schade en storingen.

4. Bij transport over netwerken van door de Verantwoordelijke expliciet als zodanig aangemerkte vertrouwelijke informatie wordt altijd adequate encryptie toegepast.

5. Tremani kan er - in overleg met Verantwoordelijke - voor zorgen dat activiteiten die gebruikers uitvoeren (met persoonsgegevens) worden vastgelegd in logbestanden. Hetzelfde geldt voor andere relevante gebeurtenissen, zoals pogingen om ongeautoriseerd toegang te krijgen tot persoonsgegevens en verstoringen die kunnen leiden tot verminking of verlies van persoonsgegevens.

6. In alle applicaties die Tremani voor de Verantwoordelijke heeft ontwikkeld, zijn beveiligingsmaatregelen ingebouwd, waaronder een adequaat toegangsbeheer.

7. Het netwerk en de informatiesystemen van Tremani worden actief gemonitord en beheerd.

8. Er is een procedure om eventuele datalekken af te handelen. Onderdeel hiervan is het informeren van de Verantwoordelijke. Er is een procedure voor het tijdig en doeltreffend behandelen van informatiebeveiligingsincidenten en zwakke plekken in de beveiliging, zodra ze zijn gerapporteerd.

9. Tremani installeert tijdig oplossingen die de leveranciers uitbrengen voor beveiligingslekken. Dit alles uitsluitend indien en voor zover de betreffende software door Tremani is/wordt geleverd, of gebruikt, of onderhouden ten behoeve van de Verantwoordelijke.