VERWERKERSOVEREENKOMST (april 2022)

VERWERKERSOVEREENKOMST (april 2022)

Deze Verwerkersovereenkomst is als bijlage een integraal onderdeel van de dienstverleningsovereenkomst tussen Klantorganisatie en Joboti voor het gebruik van online diensten en legt de afspraken vast met betrekking tot de verwerking van persoonsgegevens.

Door het ondertekenen van deze overeenkomst gaat Klantorganisatie (de “Verantwoordelijke”) deze verwerkersovereenkomst aan met Joboti (de “Verwerker”).

Ondertekening van de Verwerkersovereenkomst

1. Deze Verwerkersovereenkomst bestaat uit twee delen: de hoofdovereenkomst en 4 annexen.

2. Deze Verwerkersovereenkomst is al ondertekend door Joboti als Verwerker

3. Teneinde deze Verwerkersovereenkomst te ondertekenen dient de Klantorganisatie:

a. De informatie op pagina 6 aan te vullen en te ondertekenen op pagina 6

b. De informatie in Annex 1 aan te vullen

4. De aangevulde en ondertekende Verwerkersovereenkomst via email, onder vermelding van de formele Klantnaam en Contractnummer, te versturen aan: xxxxxxxxxxxxxxxxxxxxxx@Xxxxxx.xxx.

Vanaf het moment dat een juist en volledig ingevuld en ondertekende overeenkomst op dit emailadres is ontvangen, is deze Verwerkersovereenkomst juridisch bindend.

Toepasbaarheid van de Verwerkersovereenkomst

Als de Klantorganisatie die deze Verwerkersovereenkomst ondertekent een rechtsgeldige Dienstverleningsovereenkomst heeft met Joboti, dan vormt deze Verwerkersovereenkomst een bijlage bij die Dienstverleningsovereenkomst. De Klantorganisatie treedt op als Verantwoordelijke en Joboti treedt op als Verwerker in het kader van deze Verwerkersovereenkomst.

Als de Klantorganisatie die deze Verwerkersovereenkomst ondertekent geen Partij is in een rechtsgeldige Dienstverleningsovereenkomst tussen Joboti en de Klantorganisatie, dan is deze Verwerkersovereenkomst niet van toepassing en niet juridisch bindend. Indien een dergelijke Klantorganisatie Joboti heeft afgenomen via een geautoriseerde wederverkoper, dan dient de Klantorganisatie contact op te nemen met deze wederverkoper teneinde te bespreken of wijzigingen op de overeenkomst met deze wederverkoper vereist zijn.

Deze Verwerkersovereenkomst vervangt geen reeds bestaande Verwerkersovereenkomsten of aanvullende afspraken aangaande de verwerking van persoonsgegevens die reeds zijn opgenomen in de Dienstverleningsovereenkomst tussen Klantorganisatie en Joboti, tenzij Partijen dat schriftelijk overeenkomen.

1. Onderwerp van deze Verwerkersovereenkomst

1.1. Deze Verwerkersovereenkomst is alleen van toepassing op de verwerking van persoonsgegevens in het kader van de overeenkomst tussen partijen voor het verlenen van diensten (hierna: de “Dienstverleningsovereenkomst”).

1.2. Begrippen als “verwerken”, “persoonsgegevens”, “verantwoordelijke” en “verwerker” hebben de betekenis die daaraan is gegevens in de Algemene Verordening Gegevensbescherming (hierna: “AVG”).

1.3. Het kan zijn dat Verwerker gedurende de uitvoering van de Dienstverleningsovereenkomst met Verantwoordelijke persoonsgegevens verwerkt namens Verantwoordelijke (hierna: de “Persoonsgegevens”). Een overzicht van de categorieën Persoonsgegevens, categorieën betrokkenen, aard van de verwerking en doeleinden waarvoor de Persoonsgegevens worden verwerkt zijn uiteengezet in Annex 2.

2. Verantwoordelijke en Verwerker

2.1. Verwerker zal optreden als Verwerker en Verantwoordelijke als verantwoordelijke.

2.2. Verwerker garandeert dat zij de op haar van toepassing zijn wettelijke verplichtingen zoals die voortvloeien uit de AVG zal naleven.

2.3. Verwerker garandeert dat zij de Persoonsgegevens uitsluitend zal verwerken op een wijze die

– en voor zover dit – noodzakelijk is voor de levering van de diensten uit hoofde van de Dienstverleningsovereenkomst, behalve wanneer dit noodzakelijk is om te voldoen aan een op Verwerker rustende wettelijke verplichting of voor het opvolgen van instructies van Verantwoordelijke. In geen geval verwerkt Verwerker de Persoonsgegevens voor eigen doeleinden.

2.4. Partijen sluiten de Dienstverleningsovereenkomst om te profiteren van de expertise van Xxxxxxxxx als het gaat om het beveiligen en het verwerken van Persoonsgegevens voor de doeleinden uiteengezet in Annex 2. Het is Verwerker toegestaan om naar eigen inzicht de middelen aan te wenden die hij noodzakelijk acht om die doeleinden na te streven.

3. Vertrouwelijkheid

3.1. Onverminderd de bestaande contractuele regelingen tussen de Partijen garandeert Verwerker dat zij alle Persoonsgegevens als strikt vertrouwelijk zal behandelen en dat zij al haar werknemers, vertegenwoordigers en/of goedgekeurde sub-Verwerkers die betrokken zijn bij de verwerking van de Persoonsgegevens van de vertrouwelijke aard van dergelijke informatie en van de Persoonsgegevens op de hoogte zal stellen. Verwerker zal waarborgen dat dergelijke personen en partijen een adequate geheimhoudingsovereenkomst hebben getekend en zal Verantwoordelijke op verzoek van kopieën van deze overeenkomsten voorzien.

3.2. Partijen zullen alle informatie die Verwerker aan Verantwoordelijke moet verstrekken uit hoofde van artikel 8 van deze Verwerkersovereenkomst als strikt vertrouwelijk behandelen.

4. Beveiliging

4.1. Onverminderd de beveiligingsnormen die Partijen elders overeen zijn gekomen, zal Verwerker passende technische en organisatorische maatregelen nemen ter beveiliging van de verwerking van Persoonsgegevens. Deze maatregelen omvatten in ieder geval:

(a) maatregelen om te waarborgen dat enkel bevoegd personeel toegang heeft tot de Persoonsgegevens voor de doeleinden die uiteen zijn gezet in Annex 2 van deze Verwerkersovereenkomst;

(b) maatregelen om de Persoonsgegevens te beschermen tegen onopzettelijke of onrechtmatige vernietiging, onopzettelijk verlies of wijziging, onbevoegde of onrechtmatige opslag, verwerking, toegang of openbaarmaking;

(c) maatregelen om zwakke plekken te identificeren ten aanzien van de verwerking van persoonsgegevens in de systemen die worden ingezet voor het verlenen van diensten aan Verantwoordelijke;

(d) de maatregelen die Partijen in Annex 3 zijn overeengekomen.

4.2. Verwerker heeft te allen tijde een passend, geschreven beveiligingsbeleid geïmplementeerd voor de verwerking van de Persoonsgegevens, waarin zij in ieder geval de in artikel 4.1 opgesomde maatregelen uiteenzet. Verwerker zal op verzoek van Verantwoordelijke een exemplaar van dit beleid verstrekken en aantonen welke maatregelen zij heeft genomen op basis van dit artikel 4.

4.3. Indien uit overleg tussen Partijen blijkt dat Verantwoordelijke extra c.q. andere beveiligingsmaatregelen wenst in te zetten, afgezien van hetgeen Xxxxxxxxx heeft ingezet aan beveiliging op basis van artikel 4 van deze overeenkomst, alsdan zal Verwerker aangeven aan Verantwoordelijke wat de kosten hiervan zullen zijn voor Verantwoordelijke.

4.4. Verwerker zal een register van verwerkingsactiviteiten bijhouden met daarin:

(a) een beschrijving van de categorieën van verwerkingen die in opdracht van Verantwoordelijke worden uitgevoerd

(b) eventuele andere organisaties met wie de persoonsgegevens worden gedeeld

5. Verbeteringen van de beveiliging

5.1. Partijen erkennen dat beveiligingseisen voortdurend veranderen en dat een effectieve beveiliging frequente evaluaties en regelmatige verbetering van verouderde beveiligingsmaatregelen vereist. Verwerker zal daarom de maatregelen zoals geïmplementeerd op grond van artikel 4 voortdurend evalueren en verscherpen, aanvullen of verbeteren om te blijven voldoen aan de eisen van artikel 4.

6. Audit

6.1. Niet vaker dan eenmaal per twaalf maanden heeft Verantwoordelijke het recht om een audit bij Verwerker uit te voeren om te beoordelen in hoeverre de Verwerker in overeenstemming handelt met de verplichtingen die zijn neergelegd in deze Verwerkersovereenkomst. De audit wordt uitgevoerd door een onafhankelijke derde partij en zal plaatsvinden op een tijdstip dat

wordt overeengekomen door Verantwoordelijke en Verwerker tezamen. Verantwoordelijke draagt de kosten voor de audit.

6.2. Bij een verzoek van Verantwoordelijke om een audit uit te voeren kan Verwerker ervoor kiezen een audit rapportage opgesteld door een onafhankelijke auditor te overleggen welke uiteenzet dat Verwerker voldoet aan haar verplichtingen op grond van deze Verwerkersovereenkomst. In dit geval verliest Verantwoordelijke gedurende twaalf maanden haar recht om bij Verwerker een audit uit te voeren.

7. Gegevensverkeer

Verwerker zal de Persoonsgegevens alleen binnen de Europese Economische Ruimte (EER) verwerken en stelt Verantwoordelijke onverwijld op de hoogte van alle (geplande) permanente of tijdelijke doorgiftes van Persoonsgegevens naar een land buiten de Europese Economische Ruimte zonder een passend beschermingsniveau en zal pas uitvoering geven aan een dergelijke (geplande) doorgifte na toestemming van Verantwoordelijke.

8. Informatieplichten en incidentenmanagement

8.1. Verwerker stelt Verantwoordelijke onverwijld, doch uiterlijk binnen 24 uur, op de hoogte van incidenten met betrekking tot de verwerking van de Persoonsgegevens, zal Verantwoordelijke te allen tijde haar medewerking verlenen en zal de instructies van Verantwoordelijke, na overleg tussen Partijen, ten aanzien van een dergelijk incident opvolgen, met als doel om Verantwoordelijke in staat te stellen een deugdelijk onderzoek te verrichten naar het incident, een correcte respons te formuleren en passende vervolgstappen te nemen ten aanzien van het incident. Verwerker zal Verantwoordelijke, voor zover mogelijk, medewerking verlenen bij het vervullen van diens plicht om verzoeken van betrokkenen omtrent de uitoefening van hun rechten te beantwoorden.

Onder “incident” in 8.1 wordt in ieder geval het volgende verstaan:

(a) een klacht of (informatie)verzoek van een natuurlijk persoon met betrekking tot de verwerking van de Persoonsgegevens door Xxxxxxxxx;

(b) een onderzoek naar of beslaglegging door overheidsfunctionarissen van de Persoonsgegevens, of een vermoeden dat zulks gaat plaatsvinden;

(c) iedere ongeautoriseerde of onopzettelijke toegang, verwerking, verwijdering, verlies of enige vorm van onrechtmatige verwerking van de Persoonsgegevens;

(d) een doorbreking van de beveiliging en/of vertrouwelijkheid, zoals uiteengezet in artikel 3 en 4 van deze Verwerkersovereenkomst, die leidt tot onopzettelijke of onrechtmatige vernietiging, verlies, wijziging, onbevoegde openbaarmaking van – of toegang tot – de Persoonsgegevens, of enige aanwijzing dat een dergelijke inbreuk zal plaatsvinden of heeft plaatsgevonden.

(e) een datalek zoals bedoeld in de AVG

8.2. Verwerker zal te allen tijde geschreven procedures voorhanden hebben die haar in staat stellen om Verantwoordelijke van een onmiddellijke reactie over een incident te voorzien, en om effectief samen te werken met Verantwoordelijke om het incident af te handelen, en zal Verantwoordelijke voorzien van een exemplaar van dergelijke procedures indien Verantwoordelijke daar schriftelijk om verzoekt.

8.3. Xxxxxxxxx houdt een gedetailleerd logboek bij van alle incidenten evenals de maatregelen die in vervolg op deze incidenten zijn getroffen.

8.4. Meldingen die worden gedaan op grond van dit artikel 8 worden gericht aan de medewerker van Verantwoordelijke wiens contactgegevens zijn opgenomen in Annex 1 bij deze Verwerkersovereenkomst.

9. Inschakelen van sub-Verwerkers

9.1. Verwerker zal haar activiteiten die (deels) bestaan uit het verwerken van de Persoonsgegevens of vereisen dat Persoonsgegevens verwerkt worden niet uitbesteden aan een derde partij zonder voorafgaande, schriftelijke toestemming van Verantwoordelijke (zie Annex 4).

9.2. Niettegenstaande de toestemming van Verantwoordelijke, zoals bedoeld in het vorige lid, zal Verwerker volledig aansprakelijk blijven jegens Verantwoordelijke voor de gevolgen van het uitbesteden aan een derde in overeenstemming met artikel 11.

9.3. De toestemming van Verantwoordelijke op grond van artikel 9.1 laat onverlet dat voor de inzet van sub-Verwerkers in een land buiten de Europese Economische Ruimte zonder passend beschermingsniveau toestemming vereist is op grond van artikel 7.

9.4. De Verwerker bewerkstelligt dat de sub-Verwerker gebonden is aan de verplichtingen die op de Verwerker rusten uit hoofde van deze Verwerkersovereenkomst en ziet toe op naleving daarvan.

10. Teruggave of vernietiging van de Persoonsgegevens

10.1. Bij beëindiging van deze Verwerkersovereenkomst, of op schriftelijk verzoek van Verantwoordelijke, zal Verwerker de Persoonsgegevens vernietigen of teruggeven aan Verantwoordelijke, naar keuze van Verantwoordelijke.

10.2. Verwerker zal alle derden die betrokken zijn bij het verwerken van de Persoonsgegevens op de hoogte stellen van de beëindiging van de Verwerkersovereenkomst en zal waarborgen dat alle betrokken derden de Persoonsgegevens vernietigen of aan Verantwoordelijke overdragen, naar keuze van Verantwoordelijke.

11. Aansprakelijkheid en vrijwaring

11.1. Verwerker vrijwaart Verantwoordelijke en stelt Verantwoordelijke schadeloos voor alle claims, acties, aanspraken van derden, schade of kosten die aan de zijde van Verantwoordelijke vallen en die voortvloeien uit of tot stand komen in verband met een tekortkoming van deze Verwerkersovereenkomst door Xxxxxxxxx, een en ander zoals is overeengekomen in de Dienstverleningsovereenkomst tussen Partijen.

12. Duur en beëindiging

12.1. Deze Verwerkersovereenkomst treedt in werking op het moment dat deze rechtsgeldig ondertekend is ontvangen en eindigt automatisch op het moment dat de Dienstverleningsovereenkomst wordt beëindigd of afloopt.

12.2. Het beëindigen of aflopen van deze Verwerkersovereenkomst zal Verwerker niet ontslaan van haar vertrouwelijkheidsverplichtingen ingevolge artikel 3.

12.3 Bij beëindiging, ontbinding of opzegging van deze overeenkomst, op welke grond of wijze dan ook, zal Verwerker in overleg met Verantwoordelijke (i) aan Verantwoordelijke alle Persoonsgegevens ter beschikking stellen op de wijze dat Verantwoordelijke wenst, (ii) per direct de verwerking van de Persoonsgegevens staken, (iii) alle documenten en systemen waarin de Persoonsgegevens zijn vastgelegd aan Verantwoordelijke ter beschikking stellen, en (iv) alle Persoonsgegevens die elektronisch zijn opgeslagen permanent van de gegevensdrager verwijderen, of voor zover permanente verwijdering van de gegevensdrager niet mogelijk is, de gegevensdrager vernietigen. Verwerker zal op verzoek van Verantwoordelijke schriftelijk bevestigen aan Verantwoordelijke dat Verwerker aan alle verplichtingen uit hoofde van dit artikel heeft voldaan.

12.4 In geval van een situatie als genoemd in artikel 12.3 blijven de afspraken uit deze overeenkomst van kracht zolang Verwerker nog Persoonsgegevens van Verantwoordelijke onder zich heeft.

13. Overige bepalingen

13.1. Deze Verwerkersovereenkomst is tussen partijen overeengekomen in aanvulling op de Dienstverleningsovereenkomst als aangegeven in artikel 1.

13.2. Op deze Verwerkersovereenkomst is Nederlands recht van toepassing. Geschillen over of in verband met deze Verwerkersovereenkomst vallen onder de exclusieve rechtsmacht van de bevoegde rechter in Amsterdam.

Aldus overeengekomen en in tweevoud opgemaakt,

Namens Verantwoordelijke, Namens Verwerker

.

Statutaire naam: Joboti B.V

Adres:   Xxxxxxxxxx 00

Xxxxxx:   0000 XX Xxxxxxxxx

Naam: X. xxx Xxxxxxx

Titel:                        Directeur

Datum: 11 mei 2021

Handtekening:            

Annex 1:

Contactgegevens van de Verantwoordelijke functionaris voor de gegevensbescherming

Naam:           

Functie:           

Emailadres:          

Telefoon:          

Annex 2:

Persoonsgegevens die zullen worden verwerkt in het kader van de Dienstverleningsovereenkomst, de categorieën van betrokkenen, de aard van de verwerking en de doeleinden waarvoor de persoonsgegevens verwerkt zullen worden.

Partijen stellen vast dat Verantwoordelijke volledig verantwoordelijk is voor het vaststellen van het doel van de verwerking (hierna: het Doel) en de middelen van de verwerking van de persoonsgegevens. Verwerker heeft geen zeggenschap over het doel en de middelen van de verwerking noch over de persoonsgegevens.

Het doel betreft de verwerking van persoonsgegevens in het kader van de werving van en communicatie met mogelijke kandidaten voor en medewerkers van Verantwoordelijke. De in de kandidaten- en personeelsadministratie opgenomen gegevens (zijnde persoonsgegevens in de zin van de AVG) mogen uitsluitend worden gebruikt door Verantwoordelijke in het kader van de doelstellingen van de kandidaten- en/of personeelsadministratie.

De kandidaten en/of werknemers van Verantwoordelijke die worden opgenomen in de kandidaten- en/of personeelsadministratie zijn de betrokkenen in het kader van deze Verwerkersovereenkomst. De kandidaten- en/of personeelsadministratie heeft tot doel:

- Binnen de organisatie snel en efficiënt te kunnen beschikken over persoonsgegevens van betrokkenen, in het belang van een zowel individueel als collectief verantwoord personeelsbeleid, op korte en langere termijn;

- Het verzamelen van gegevens welke noodzakelijk zijn om op adequate wijze aan diverse wettelijke verplichtingen te kunnen voldoen (o.a. bewaartermijn, arbeidsrecht en statistiekgegevens).

Verantwoordelijke bepaalt hierbij de bewaartermijnen aangaande de Persoonsgegevens alsmede aan wie toegang heeft tot het persoonsgegevens zowel binnen als buiten de organisatie van Verantwoordelijke.

Joboti draagt zorg dat alle verzamelde kandidaatgegevens direct uit het Joboti portaal geanonimiseerd worden op het moment dat de betrokken data in Recruitee

Verantwoordelijke maakt voor het administreren van de persoonsgegevens in het kader van deze administraties gebruik van de applicatie ‘Joboti’ van Verwerker.

Verwerker is niet degene die de persoonsgegevens daadwerkelijk invoert, wijzigt en verwerkt, dat is strikt voorbehouden aan de desbetreffende betrokken of Verantwoordelijke. Verwerker fungeert louter als tijdelijke opslag en doorgifte van deze gegevens en garandeert dat Xxxxxxxxx geen andere verwerkingshandelingen zal uitvoeren ten aanzien van de persoonsgegevens.

Verwerker verwerkt de persoonsgegevens te allen tijde op behoorlijke en zorgvuldige wijze en in overeenstemming met de toepasselijke Wet- en regelgeving, de (specifieke) instructies en aanwijzingen van Verantwoordelijke.

Alle in of met de Joboti-applicatie opgeslagen data is eigendom van de Verantwoordelijke. Verwerker is niet gerechtigd zich zonder voorafgaande toestemming van Verantwoordelijke toegang te verschaffen tot de persoonsgegevens van Verantwoordelijke.

Toegang tot de applicatie c.q. de persoonsgegevens van Verantwoordelijke, zal nimmer door

Verwerker met derden kunnen worden gedeeld, zonder schriftelijke toestemming van Verantwoordelijke.

Annex 3:

Beveiligingsmaatregelen

Verwerker zal passende technische en organisatorische beveiligingsmaatregelen treffen om de persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging daarvan, een passend beveiligingsniveau gelet op de risico’s die de verwerking en de aard van de te beschermen gegevens meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen.

Verwerker zal de Diensten en de systemen die zij gebruikt voor het aanbieden van de Diensten beveiligen tegen ongeautoriseerd gebruik en verlies van ingevoerde gegevens. Het door Verwerker gehanteerde beschermingsniveau, alsmede de daarvoor geldende certificering, wordt nader beschreven in de meest recente versie van de SLA.

Verwerker zal uit eigen beweging de in de SLA vermelde beveiligingsmaatregelen zodanig aanpassen dat deze gedurende de duur van deze overeenkomst een passend beschermingsniveau blijven bieden.

Verwerker garandeert tevens dat Diensten en systemen die zij gebruikt voor het aanbieden van de Diensten voldoen en blijven voldoen aan veiligheidsnormen zowel intern als extern zoals nader omschreven in de meest recente versie van de SLA.