Contract

1. Algemeen

In deze verwerkersovereenkomst wordt verstaan onder:

1.1 Algemene voorwaarden: de algemene voorwaarden van verwerker, die onverkort van toepassing zijn op iedere afspraak tussen verwerker en verantwoordelijke en van welke algemene voorwaarden deze verwerkersovereenkomst onlosmakelijk deel uitmaken.

1.2 Verwerker: de besloten vennootschap Subvention B.V., statutair gevestigd en kantoorhoudende aan Xxxxxx Xxxxxxxxx 0, 0000 XX xx Xxxxxx.

1.3 Gegevens: de persoonsgegevens zoals omschreven in bijlage 1.

1.4 Opdrachtgever: de natuurlijke persoon of rechtspersoon die aan verwerker opdracht heeft gegeven tot het verrichten van werkzaamheden, eveneens verantwoordelijke.

1.5 Overeenkomst: elke afspraak tussen opdrachtgever en verwerker tot het verrichten van werkzaamheden door verwerker ten behoeve van de opdrachtgever, volgens het bepaalde in de opdrachtbevestiging.

1.6 Verantwoordelijke: de opdrachtgever die als natuurlijk persoon of rechtspersoon aan de verwerker opdracht heeft gegeven tot het verrichten van werkzaamheden.

1.7 Werkzaamheden: alle werkzaamheden waartoe opdracht is gegeven. Het voorgaande geldt in de ruimste zin van het woord en omvat in ieder geval de werkzaamheden zoals vermeld in de opdrachtbevestiging.

2. Toepasselijkheid verwerkersovereenkomst

2.1 Deze verwerkersovereenkomst is van toepassing op alle gegevens die in het kader van de uitvoering van de overeenkomst met opdrachtgever door verwerker worden verzameld voor opdrachtgever, alsmede op alle uit de overeenkomst voor verwerker voortvloeiende werkzaamheden en de in dat kader te verzamelen gegevens.

2.2 Verantwoordelijke is verantwoordelijk voor de verwerking van de gegevens betreffende bepaalde categorieën van betrokkenen, zoals omschreven in bijlage 1.

2.3 Bij de uitvoering van de overeenkomst verwerkt verwerker bepaalde persoonsgegevens voor verantwoordelijke.

2.4 Dit is een verwerkersovereenkomst in de zin van artikel 28 lid 3 Algemene Verordening Gegevensbescherming (AVG). Hierin zijn de rechten en verplichtingen ten aanzien van de verwerking van de persoonsgegevens schriftelijk geregeld, waaronder ten aanzien van de beveiliging. Deze verwerkersovereenkomst is ten opzichte van verantwoordelijke bindend voor verwerker.

2.5 Deze verwerkersovereenkomst maakt, net als de algemene voorwaarden van verwerker, onderdeel uit van de overeenkomst en alle toekomstige overeenkomsten tussen partijen.

3. Reikwijdte verwerkersovereenkomst

3.1 Met het geven van de opdracht tot het verrichten van werkzaamheden heeft verantwoordelijke aan verwerker de opdracht gegeven de gegevens te verwerken

3.3 De zeggenschap over de gegevens komt nooit bij verwerker te rusten.

3.4 De verantwoordelijke kan aanvullende schriftelijke instructies aan verwerker geven vanwege aanpassingen of wijzigingen in de van toepassing zijnde regelgeving op het gebied van bescherming van persoonsgegevens.

3.5 Verwerker verwerkt de gegevens alleen in de Europese Economische Ruimte.

4. Geheimhouding

4.1 Verwerker en de personen die in dienst zijn van verwerker danwel werkzaamheden voor hem verrichten, voor zover deze personen toegang hebben tot persoonsgegevens, verwerken de gegevens alleen in opdracht van verantwoordelijke, met uitzondering van afwijkende wettelijke verplichtingen.

4.2 Verwerker en de personen die in dienst zijn van verwerker danwel werkzaamheden voor hem verrichten, voor zover deze personen toegang hebben tot persoonsgegevens, zijn verplicht tot geheimhouding van de persoonsgegevens waarvan zij kennisnemen, behoudens voor zover enig wettelijk voorschrift hen tot mededeling verplicht of uit een taak de noodzaak tot mededeling voortvloeit.

5. Geen verdere verstrekking

5.1 Verwerker zal de gegevens niet delen met of verstrekken aan derden, tenzij verwerker daartoe voorafgaande, schriftelijke toestemming of opdracht heeft verkregen van verantwoordelijke of op grond van dwingendrechtelijke regelgeving daartoe verplicht is. Indien verwerker op grond van dwingendrechtelijke regelgeving verplicht is de gegevens te delen met of te verstrekken aan derden, zal verwerker de verantwoordelijke hierover schriftelijk informeren, tenzij dit niet is toegestaan.

6. Beveiligingsmaatregelen

6.1 Rekening houdend met de stand van de techniek, de uitvoeringskosten, de aard, de omvang, de context, de verwerkingsdoeleinden en de, qua waarschijnlijkheid en ernst, uiteenlopende risico's voor de rechten en vrijheden van personen, treft verwerker passende technische en organisatorische maatregelen om een, op het risico afgestemd, beveiligingsniveau te waarborgen. De beveiligingsmaatregelen die zijn genomen, zijn in bijlage 2 bepaald.

6.2 Verwerker zorgt voor maatregelen die er mede op gericht zijn onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen.

7. Toezicht op naleving

7.1 Verwerker zal verantwoordelijke op diens verzoek en voor diens rekening inlichtingen verschaffen over de verwerking van de gegevens door verwerker of sub-verwerkers.

kosten die gepaard gaan met de inspectie in rekening te brengen bij verantwoordelijke.

7.3 Verwerker zal in het kader van haar verplichting onder lid 1 van dit artikel aan verantwoordelijke dan wel een daartoe door verantwoordelijke ingeschakelde derde in ieder geval:

7.3.1 Alle relevante inlichtingen en documenten verstrekken.

7.3.2 Toegang verlenen tot alle relevante gebouwen, informatiesystemen en gegevens, die betrekking hebben op verantwoordelijke.

7.4 Verantwoordelijke en verwerker zullen zo spoedig mogelijk na het gereedkomen van het rapport met elkaar in overleg treden om de eventuele risico’s en tekortkomingen te adresseren. Verwerker zal maatregelen nemen om de geconstateerde risico’s en tekortkomingen op een voor verantwoordelijke acceptabel niveau te brengen respectievelijk op te heffen, tenzij partijen schriftelijk anders overeen zijn gekomen.

7.5 De aansprakelijkheid van de verwerker, voortvloeiend uit of verband houdend met de overeenkomst en deze verwerkersovereenkomst wordt beheerst door de algemene voorwaarden. Met dien verstande dat de totale aansprakelijkheid van verwerker is beperkt tot € 100.000 voor alle (financiële) schade, boetes en kosten die de verwerkingsverantwoordelijke heeft en die rechtstreeks of indirect voortvloeien uit een tekortkoming door de verwerker of derden in de nakoming van verplichtingen onder deze verwerkersovereenkomst.

8. Datalek

8.1 Zo spoedig mogelijk maar binnen 48 uur nadat verwerker kennisneemt van een incident of datalek dat (mede) betrekking heeft of kan hebben op de gegevens, stelt verwerker verantwoordelijke hiervan op de hoogte via de bij verwerker bekende contactgegevens van verantwoordelijke. Verwerker zal informatie verstrekken over: de aard van het incident of de datalek, de getroffen gegevens, de vastgestelde en verwachte gevolgen van het incident of datalek op de gegevens en de maatregelen die verwerker heeft getroffen en zal treffen.

8.2 Verwerker zal verantwoordelijke ondersteunen bij meldingen aan betrokkenen en/of autoriteiten.

9. Sub-verwerkers

9.1 Indien verwerker voorafgaande (algemene) toestemming heeft om zijn verplichtingen uit te besteden aan derden, dan informeert verwerker verantwoordelijke over het voornemen de sub-verwerker in te schakelen. Xxxxxxxxx geeft verantwoordelijke een termijn van zeven werkdagen om bezwaar te maken tegen het inschakelen van de

9.3 Verwerker zorgt er voor dat de sub-verwerker is onderworpen aan deze verwerkersovereenkomst of aan een sub-verwerkersovereenkomst die dezelfde plichten bevat als deze verwerkersovereenkomst.

10. Medewerkingsplichten en rechten van betrokkenen

10.1 Verwerker zal verantwoordelijke op verzoek medewerking verlenen in geval van een klacht, vraag of verzoek van een betrokkene, dan wel onderzoeken of inspecties door de Autoriteit Persoonsgegevens.

10.2 Verwerker zal verantwoordelijke op diens verzoek en voor diens rekening bijstaan bij het uitvoeren van een gegevensbeschermingseffectbeoordeling.

10.3 Als verwerker rechtstreeks van een betrokkene een verzoek om inzage, correctie of verwijdering van zijn of haar gegevens ontvangt, informeert verwerker verantwoordelijke binnen twee werkdagen over de ontvangst van het verzoek. Verwerker voert zo snel mogelijk alle instructies uit die verantwoordelijke schriftelijk aan verwerker geeft als gevolg van zodanig verzoek van betrokkene. Verwerker treft de noodzakelijke passende technische en organisatorische maatregelen die nodig zijn om te voldoen aan dergelijke instructies van verantwoordelijke.

10.4 Indien instructies van verantwoordelijke aan verwerker strijd opleveren met enige wettelijke bepalingen over gegevensbescherming, meldt verwerker dit bij verantwoordelijke.

11. Duur en beëindiging

11.1 Deze verwerkersovereenkomst is geldig zolang verwerker de opdracht heeft van verantwoordelijke om gegevens te verwerken op grond van de overeenkomst tussen verantwoordelijke en verwerker. Zolang door verwerker werkzaamheden worden verricht voor verantwoordelijke, is deze verwerkersovereenkomst op deze relatie van toepassing.

11.2 Als verwerker na beëindiging van de overeenkomst door een wettelijke bewaarplicht bepaalde gegevens en/of documenten, computerdisks of andere gegevensdragers waarop of waarin zich gegevens bevinden gedurende een wettelijke termijn moet bewaren, zal verwerker zorgen voor de vernietiging van deze gegevens of documenten, computerdisks of andere gegevensdragers binnen vier weken na beëindiging van de wettelijke bewaarplicht.

11.3 Bij beëindiging van de overeenkomst tussen verantwoordelijke en verwerker kan verantwoordelijke binnen twee maanden na beëindiging van de overeenkomst aan verwerker verzoeken alle documenten, computerdisks en andere gegevensdragers, waarop of waarin zich gegevens bevinden, te retourneren aan verantwoordelijke,

gegevens op te slaan.

11.4 Onverlet hetgeen voor het overige in artikel 12 is bepaald, zal verwerker na beëindiging van de overeenkomst geen gegevens houden of gebruiken.

11.5 De wijze van vernietiging wordt vastgesteld in overleg met verantwoordelijke. Na vernietiging verstrekt de verwerker hiervan een schriftelijke bevestiging aan de verantwoordelijke.

12. Nietigheid

12.1 Indien één of meerdere bepalingen uit deze verwerkersovereenkomst nietig zijn of vernietigd worden, blijven de overige voorwaarden volledig van toepassing. Als enige bepaling van deze verwerkersovereenkomst niet rechtsgeldig is, zullen partijen over de inhoud van een nieuwe bepaling onderhandelen, welke bepaling de inhoud van de oorspronkelijke bepaling zo dicht mogelijk benaderd.

13. Toepasselijk recht en forumkeuze

13.1 Op deze verwerkersovereenkomst is Nederlands recht van toepassing.

13.2 Alle geschillen in verband met de verwerkersovereenkomst of de uitvoering daarvan worden voorgelegd aan de bevoegde rechter bij het Arrondissement Overijssel.

het kader van de opdracht, waaronder maar niet uitsluitend, kunnen vallen personeelsadministratie, loonadministratie, financiële dienstverlening:

(1) Naam (initialen, voornamen en achternaam)

(2) Telefoonnummers (vast en mobiel)

(3) E-mailadres

(4) Geboortedatum/geboorteplaats

(5) Adres/Woonplaats

(6) Financiële gegevens, zowel zakelijk als privé

(7) BSN van betrokkene

Doeleinden

De werkzaamheden waarvoor bovengenoemde gegevens mogen worden verwerkt, uitsluitend wanneer noodzakelijk, zijn in ieder geval:

(1) De werkzaamheden, te beschouwen als de primaire dienstverlening, in het kader waarvan verantwoordelijke een opdracht heeft verstrekt aan verwerker.

(2) Het onderhoud, waaronder updates en releases van het door verwerker of subverwerker aan verantwoordelijke ter beschikking gestelde systeem.

(3) Het gegevens- en technische beheer, ook door een sub-verwerker.

(4) De hosting, ook door een sub-verwerker.

Categorieën van betrokkenen

Persoonsgegevens van de aanvrager(s) van subsidie (BSN/NAW-gegevens/uurloon etc.) voor zover vereist vanuit de subsidieregeling.

waaraan de volgende eisen worden gesteld:

▪ Minimaal 8 karakters lang.

▪ Minimaal 1 hoofdletter.

▪ Minimaal 1 cijfer.

▪ Mag niet gelijk zijn of lijken op gebruikersnaam en/of naam van medewerker.

▪ Mag niet gebruikt zijn als 1 van de laatste 25 wachtwoorden.

▪ Moet iedere 90 dagen veranderd worden.

▪ Deze toegangscontrole bepaalt tevens tot welke applicaties toegang wordt verleend. Daarmee worden bevoegdheden toegewezen aan specifieke personen.

▪ Sommige applicaties vragen daarnaast nog om een aparte toegangscontrole.

▪ Zoveel mogelijk encryptie van persoonsgegevens tijdens elektronische overdracht naar externe partijen.

▪ Subvention beschikt over een eigen gesloten IP-/VPN-netwerk tussen alle eigen locaties en het rekencentrum.

▪ Er wordt continu aandacht besteed aan de gevaren van ‘ransomware’ en de noodzaak tot geheimhouding van eigen inlogcodes.

▪ Met derden zijn en worden verwerkersovereenkomsten afgesloten.

▪ Met de outsourcingspartner zijn dagelijkse back-up procedures afgesproken.

▪ De herstelprocedures worden onregelmatig getest.

▪ Arbeidscontracten kennen een geheimhoudingsclausule.

▪ De beveiliging op datacenterniveau wordt continu gemonitord.

▪ Een geïmplementeerde gedragscode.