Verwerkersovereenkomst
Verwerkersovereenkomst
Deze verwerkersovereenkomst beschrijft de voorwaarden voor de verwerking van persoonsgegevens door Learned B.V., namens de Klant op basis van het Aansluitcontract wat tussen Partijen is overeengekomen. Deze verwerkersovereenkomst vormt een integraal en onlosmakelijk onderdeel van de Voorwaarden die van toepassing zijn op het Platform van Learned.
Artikel 1) Definities
1. Onder het begrip “AVG” wordt in deze Verwerkersovereenkomst begrepen de Algemene Verordening Gegevensbescherming en alle wet- en regelgeving die deze wet in de toekomst mocht vervangen.
2. Begrippen die in de AVG zijn gedefinieerd, kennen in deze Verwerkersovereenkomst dezelfde definitie, tenzij hier een afwijkende definitie is gegeven.
3. De Klant wordt aangemerkt als Verwerkingsverantwoordelijke in de zin van artikel 4 lid 7 van de AVG.
4. Learned wordt aangemerkt als Verwerker in de zin van artikel 4 lid 8 van de AVG.
5. Onder het begrip “Persoonsgegevens” wordt begrepen Persoonsgegevens die betrekking hebben op Verwerkingsverantwoordelijke of diens personeel, klanten en/of andere relaties. Learned maakt onderscheid tussen twee categorieën persoonsgegevens “Systeem kritische persoonsgegevens” en “Gevoelige persoonsgegevens”.
6. Onder het begrip “Subverwerker” wordt begrepen een rechtspersoon of persoon, niet zijnde een personeelslid van Verwerker, die door en voor rekening van Xxxxxxxxx is of wordt ingeschakeld ten behoeve van de verwerking van Persoonsgegevens in het kader van de levering van Diensten door Verwerker aan Verwerkingsverantwoordelijke, waarbij de ingeschakelde (rechts)persoon Persoonsgegevens of toegang tot Persoonsgegevens kan ontvangen.
Artikel 2) Doel en middelen
1. Klant heeft zeggenschap over de persoonsgegevens die zij als verwerkingsverantwoordelijke in het kader van de uitvoering van het Aansluitcontract aan Verwerker verstrekt waaronder alle updates, wijzigingen, correcties en/of uitbreidingen van die persoonsgegevens.
2. Verwerker stemt ermee in dat de doeleinden van de verwerking van persoonsgegevens uitsluitend zullen worden bepaald door Klant in haar hoedanigheid als verwerkingsverantwoordelijke. De persoonsgegevens, betrokkenen en doeleinden waarvoor de persoonsgegevens worden verwerkt zijn uiteengezet in Bijlage 1.
3. Verwerker zal de persoonsgegevens uitsluitend verwerken voor zover dat noodzakelijk is ter uitvoering van zijn diensten aan Klant en met inachtneming van de doeleinden zoals deze door Klant zijn bepaald (en zijn omschreven in Bijlage 1) of voor zover dit wordt vereist op grond van een wettelijk voorschrift. De persoonsgegevens zullen door Verwerker niet voor andere doeleinden worden opgeslagen, bewaard of op enige andere wijze worden verwerkt.
4. Partijen zullen conform de AVG (vanaf 25 mei 2018), de Telecommunicatiewet en alle overige geldende (Europese) privacyregelgeving handelen.
Artikel 3) Beveiliging
1. Verwerker zal de uit hoofde van artikel 32 AVG vereiste passende technische en organisatorische maatregelen te treffen om een op het risiconiveau afgestemd beveiligingsniveau te waarborgen. Deze maatregelen zullen op een zodanige wijze worden geïmplementeerd dat zij een gepast en op het risico afgestemd niveau van beveiliging, vertrouwelijkheid, integriteit en beschikbaarheid van de persoonsgegevens garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging. Deze maatregelen betreffen in ieder geval:
- maatregelen om te waarborgen dat enkel bevoegd personeel toegang heeft tot de persoonsgegevens voor de doeleinden die uiteen zijn gezet in Bijlage 1 van deze Overeenkomst;
- maatregelen om de persoonsgegevens te beschermen tegen onopzettelijke of onrechtmatige vernietiging, onopzettelijk verlies of wijziging, onbevoegde of onrechtmatige opslag, verwerking, toegang of openbaarmaking;
- maatregelen om zwakke plekken te identificeren ten aanzien van de verwerking van persoonsgegevens in de systemen die worden ingezet voor het verlenen van diensten aan Klant.
2. Zonder schriftelijke toestemming van Klant zal Verwerker de verwerking van persoonsgegevens niet (laten) uitvoeren in een land buiten de Europese Economische Ruimte zonder passend beschermingsniveau of de verwerking laten uitvoeren door een derde partij. Xxxxx zal haar toestemming niet op onredelijke gronden onthouden. Verwerker zal passende waarborgen nemen om ervoor te zorgen dat de doorgifte van persoonsgegevens naar een land buiten de Europese Economische Ruimte zonder passend beschermingsniveau rechtmatig plaatsvindt.
3. Op verzoek van Xxxxx zal Verwerker Klant informeren over de getroffen maatregelen als bedoeld in artikel 3 lid 1 en 2, waaronder in ieder geval begrepen de locatie van de servers en andere apparatuur waarop de persoonsgegevens zijn opgeslagen of waarmee de persoonsgegevens anderszins worden verwerkt. Verwerker zal Klant zo spoedig mogelijk voorstellen doen voor de wijziging van de maatregelen indien Klant van oordeel is dat de getroffen maatregelen onvoldoende effectief of passend zijn in relatie tot de door Klant of Verwerker geïdentificeerde risico’s voor de bescherming van de persoonsgegevens of de rechten en belangen van de betrokkenen. Klant zal haar goedkeuring aan de voorgestelde maatregelen niet onthouden indien deze gelet op de risico’s die zijn verbonden met de aard van de persoonsgegevens, de voorgenomen verwerkingen, de stand van de techniek en de kosten van tenuitvoerlegging redelijk zijn. De kosten van de tenuitvoerlegging van de voorgestelde maatregelen worden gedragen door Verwerker.
4. Verwerker zal de Klant ondersteunen bij het voldoen aan de verplichtingen van de Klant onder artikel 32 tot en met 36 van de AVG, zoals het ondersteunen bij de uitvoering van een Data Protection Impact Assessment (ook wel: “DPIA”), mocht dit noodzakelijk zijn. Learned kan indien noodzakelijk voor de verleende medewerking kosten in rekening brengen, uitgaande van de gebruikelijke uurtarieven van Learned.
Artikel 4) Inschakelen van Subverwerkers
1. Verwerker kan bij de verwerking van Persoonsgegevens Subverwerkers inschakelen. De Klant verleent Verwerker specifieke toestemming om de Subverwerkers in te schakelen die zijn vermeld in bijlage 1b: Subverwerkers.
2. Verwerker mag gedurende de samenwerking indien dat noodzakelijk is voor de uitvoering van de dienstverlening nieuwe Subverwerkers inschakelen die systeem kritische persoonsgegevens verwerken. Voor het inschakelen van Subverwerkers die gevoelige persoonsgegevens verwerken moet Verwerker schriftelijke toestemming vragen.
3. Verwerker zal klant een maand voordat een Subverwerker wordt ingeschakeld die gevoelige persoonsgegevens verwerkt per email informeren. Klant heeft het recht om binnen 30 dagen schriftelijk en gemotiveerd bezwaar te maken tegen het inschakelen van derden door Verwerker indien daartoe gegronde redenen bestaan. Partijen zullen in dat geval in overleg treden om tot een gezamenlijke oplossing te komen.
4. Als Partijen geen overeenstemming kunnen bereiken over de in te schakelen Subverwerker, is Verwerker gerechtigd om de Subverwerker in te schakelen en is de Klant gerechtigd om de Overeenkomst op te zeggen tegen de datum waarop de nieuwe Subverwerker ingeschakeld wordt.
5. Indien de Klant niet binnen 30 dagen na aankondiging bezwaar maakt tegen de inschakeling van een nieuwe Subverwerker, wordt de Klant geacht met het inschakelen van de nieuwe Subverwerker in te stemmen.
6. Verwerker zorgt ervoor dat Subverwerkers schriftelijk vergelijkbare plichten op zich nemen als tussen Verwerker en de Klant zijn overeengekomen. Zo streeft Learned ernaar om alleen Subverwerkers op te
nemen die voldoen aan de EU/US privacy shield. Daarnaast sluit Verwerker met Subverwerkers buiten de EU in ieder geval een Standard Contractual Clause (SCC) af.
Artikel 5) Geheimhouding
1. Verwerker is, behoudens wettelijk voorschrift, verplicht de persoonsgegevens geheim te houden en deze niet direct of indirect ter beschikking te stellen aan derden.
2. Verwerker zal ervoor zorgen dat zijn personeel en eventuele derde(n) die in het kader van de uitvoering van het Aansluitcontract noodzakelijkerwijs van de persoonsgegevens kennis dienen te nemen zich houden aan dezelfde geheimhoudingsverplichting.
3. Verwerker zal Klant onmiddellijk op de hoogte stellen van ieder verzoek tot kennisneming, verstrekking of andere vorm van opvragen en mededeling van de persoonsgegevens die in strijd is met onderhavige geheimhoudingsverplichting.
Artikel 6) Inlichtingen- en medewerkingsplicht
1. Verwerker zal Klant op verzoek alle inlichtingen verschaffen over de verwerking(en) van de persoonsgegevens door Verwerker of door Verwerker ingeschakelde derden. Verwerker zal de gevraagde inlichtingen zo snel mogelijk, doch uiterlijk binnen zeven (7) dagen, verstrekken.
2. Verwerker zal op verzoek van Klant alle medewerking verlenen in geval van een klacht of vraag van een betrokkene, dan wel onderzoek of inspecties door de Autoriteit Persoonsgegevens.
3. Als Xxxxxxxxx rechtstreeks van een betrokkene een verzoek om inzage, correctie, verwijdering of dataportabiliteit van zijn of haar persoonsgegevens ontvangt, stuurt Xxxxxxxxx het verzoek onmiddellijk, doch uiterlijk binnen twee (2) werkdagen door aan Klant.
4. Verwerker voert per omgaande alle redelijke instructies uit die Klant aan Verwerker geeft als gevolg van een verzoek tot inzage, correctie, verwijdering of dataportabiliteit van persoonsgegevens door een betrokkene.
5. Verwerker voert per omgaande iedere andere redelijke instructie van Klant tot verwijdering van persoonsgegevens uit, waaronder in ieder geval begrepen instructies tot het verwijderen van persoonsgegevens waarvan de bewaartermijn is verstreken en verwijdering van persoonsgegevens op verzoek van een betrokkene.
6. Verwerker zal Klant onmiddellijk op de hoogte stellen van iedere wijziging in de organisatiestructuur van Verwerker of de zeggenschap over Verwerker voor zover die een significante invloed hebben op de wijze waarop de persoonsgegevens worden verwerkt of beschermd of op de verplichtingen van Verwerker op grond van deze Overeenkomst.
Artikel 7) Risico-evaluaties en meldplicht datalekken
1. De Klant is te allen tijde verantwoordelijk voor het melden van een inbreuk in verband met Persoonsgegevens (ook wel: “Datalek”) aan de toezichthouder en betrokkenen. Om de Klant in staat te stellen aan deze wettelijke plicht te voldoen stelt Verwerker de Klant binnen 24 uur na het ontdekken van het Datalek op de hoogte.
2. Voor zover vereist, zal Xxxxxxxxx meewerken aan het informeren van de ter zake relevante autoriteiten en eventueel betrokkenen. Verwerkersverantwoordelijke is verantwoordelijk voor het melden naar de relevante autoriteiten en betrokkenen.
3. De meldplicht bestaat uit het melden van het datalek en het verstrekken alle relevante informatie, voor zover deze informatie voorhanden is. Dit behelst in ieder geval, maar niet uitsluitend het volgende:
- de (vermeende) oorzaak van het datalek;
- het (vooralsnog bekende en/of te verwachten) gevolg (voor betrokkenen);
- de (voorgestelde) oplossing; en
- de reeds ondernomen maatregelen.
Artikel 8) Vernietiging persoonsgegevens
1. Verwerker zal, binnen twaalf (12) maanden na beëindiging van deze Overeenkomst, alle persoonsgegevens overdragen aan Klant en uit haar systemen verwijderen en vernietigen, dan wel op
verzoek van Xxxxx te retourneren tenzij een wettelijke bewaarplicht een dergelijke verwijdering of vernietiging belet. Op eerste verzoek van Xxxxx zal Verwerker hier bewijs voor aanleveren.
2. Verwerker is verplicht alle persoonsgegevens onverwijld te vernietigen zodra Verwerker deze niet langer noodzakelijkerwijs nodig heeft voor de uitvoering van het Aansluitcontract. Die vernietiging zal nooit later plaatsvinden dan het moment waarop de wettelijke bewaartermijn van de betreffende persoonsgegevens is verstreken. Op eerste verzoek van Xxxxx zal Verwerker hier bewijs voor aanleveren.
Artikel 9) Locatie verwerking persoonsgegevens
1. Persoonsgegevens worden verwerkt binnen de Europese Unie (EU) en worden opgeslagen in Duitsland.
Artikel 10) Duur en beëindiging
3. De Overeenkomst kan slechts worden opgezegd, ontbonden of anderszins beëindigd voor zover dit in dit artikel 10 is bepaald.
4. Deze Overeenkomst is van kracht op de eerste dag van ondertekening van het Aansluitcontract door Partijen en duurt voort voor onbepaalde tijd voor zover Verwerker in het kader van haar dienstverlening aan Klant persoonsgegevens verwerkt. Bij beëindiging van de dienstverlening door Klant aan Verwerker eindigt deze Overeenkomst van rechtswege.
5. Beëindiging van deze Overeenkomst ontslaat Partijen nadrukkelijk niet van die verplichtingen die naar hun aard bedoeld zijn om gehandhaafd te blijven, waaronder het bepaalde met betrekking tot de (beperking van) aansprakelijkheid, vrijwaring, de verplichtingen als verwerker van persoonsgegevens, en toepasselijk recht en geschillenoplossing.
Artikel 11) Algemeen
6. Wijzigingen van deze Verwerkersovereenkomst zijn uitsluitend geldig indien deze tussen Partijen schriftelijk zijn overeengekomen.
7. Indien één of meer artikelen van deze Overeenkomst ongeldig of op andere wijze niet verbindend zijn, wordt daardoor de geldigheid van de overige artikelen van deze Overeenkomst niet aangetast. De Overeenkomst wordt dan voor zover nodig aangepast, in die zin dat de niet-verbindende artikelen worden vervangen door bepalingen die zo min mogelijk verschillen van de betreffende niet-verbindende artikelen.
8. Op deze Verwerkersovereenkomst is uitsluitend Nederlands recht van toepassing.
9. Alle geschillen voortvloeiend uit of samenhangend met deze Overeenkomst, de verwerking van persoonsgegevens, zullen uitsluitend worden voorgelegd aan de Rechtbank Utrecht.
Bijlage 1a | Overzicht Persoonsgegevens
Learned zal bij de uitvoering van het Aansluitcontract de volgende persoonsgegevens van de onderstaande categorieën Betrokkenen verwerken in opdracht van de Klant:
Categorieën van betrokkenen
persoonsgegevens | Medewerker |
Naam | |
Gebruikers ID | |
IP Adres | |
Gebruikersnaam + wachtwoord | |
Telefoon | |
Profielfoto | |
Functietitel | |
Opleidingsgeschiedenis | |
Competenties | |
Ontwikkelingsdata | |
Certificeringen | |
Beoordelingsdata | |
Gespreksnotities |
Categorieën van persoonsgegevens
Tevens maakt Xxxxxxx zelf nog onderscheid tussen twee verschillende persoonsgegevens van de betrokkenen, namelijk; systeem kritische persoonsgegevens en gevoelige persoonsgegevens. Deze categorieën hebben invloed op en worden gebruikt in het overzicht van ingeschakelde subverwerkers.
Categorieën persoonsgegevens | Systeem kritische | Gevoelige persoonsgegevens |
Gebruikers ID | Zoals genoemd in kolom “Medewerker” bij categorieën van betrokkenen. | |
Gebruikersnaam + wachtwoord | ||
Type device | ||
IP adres | ||
Klacht en verbeteringsgegevens. |
Doeleinden waarvoor de persoonsgegevens worden verwerkt
- Aanmaken bedrijfsomgeving
- Inrichten van bedrijfsomgeving en digitaliseren HR-/ bedrijfsprocessen
- Ondersteunen en uitvoeren van HR-/bedrijfsprocessen
- Klacht- en incident afhandeling
De Klant staat ervoor in dat de in dit overzicht omschreven persoonsgegevens en categorieën van betrokkenen volledig en correct zijn, en vrijwaart Xxxxxxx voor enige gebreken en aanspraken die resulteren uit een incorrecte weergave door de Klant.
Bijlage 1b | Overzicht Subverwerkers
Learned heeft het recht om bij de uitvoering van het Aansluitcontract de onderstaande verwerkers in te schakelen:
Naam | Doel sub-verwerker | Type persoons- gegevens | Categorie persoons- gegevens | Regio/Lan d | Standard Contractual Clauses afgesloten (EU/US)* |
Google Cloud Platform | De server van het platform. | Alle | Beide | Frankfurt (europe- west3) | Yes |
MongoDB | De database van het platform. | Alle | Beide | Frankfurt (europe- west3) | Yes |
Active- Campaign | Email software. Het wordt gebruikt voor software update mails. | Naam, Email | Systeem kritische | Ierland | N/A |
Sentry | Prestatie en incidenten monitoring software | Gebruikers ID, type browser, type device | Systeem kritische | US | Yes |
Intercom | Geïntegreerde chat en helpdesk in het platform. Data wordt geëncrypt verstuurd. | Naam, gebruikers ID, Onderzoek-, klacht- en verbeterings- gegevens | Systeem kritische | US | Yes |
Auth0 | Authenticatie platform. Het wordt gebruikt voor veilig inloggen en Multi- Factor-Authenticatie. | Naam, gebruikersnaam, wachtwoord | Systeem kritische | Frankfurt, Duitsland | N/A |
Mailgun | Email server voor het versturen van email(notificaties). | Naam, Email | Systeem kritische | Frankfurt, Duitsland | Yes |
*Het alternatief op het Privacy Shield, welke door de Europese Commissie is afgekeurd. Zie hier voor meer informatie.