O n l i n e V r a g e n l i j s t G e d r a g s c o n s u l t
V E R W E R K E R S OV E R E E N KO M S T
O n l i n e V r a g e n l i j s t G e d r a g s c o n s u l t
Inhoudsopgave
Artikel 1 – Definities 1
Artikel 2 – Inhoud Verwerkersovereenkomst 2
Artikel 3 – Inwerkingtreding en duur 2
Artikel 4 – Verwerking 2
Artikel 5 – Datalekken 4
Artikel 6 – Beveiliging 4
Artikel 7 – Verplichtingen Verwerkingsverantwoordelijke 4
Artikel 8 – Aansprakelijkheid 5
Artikel 9 – Algemene bepalingen 5
Ondertekening 6
Bijlage 1 – Verwerking Persoonsgegevens 7
Bijlage 2 – Technische en organisatorische beveiligingsmaatregelen 8
DE ONDERGETEKENDEN:
1. Felitopia Kat & Gedrag, een geregistreerde handelsnaam van Witchcraft IT Services, ingeschreven bij de Kamer van Koophandel onder nummer 24274829, gevestigd te 0000 XX Xxxxxxxx aan de Stentorlaan 77, te dezen vertegenwoordigd door xxx. Xxxxx Xxxxxx, hierna te noemen “Verwerker”;
en
2. De klant met wie de Hoofdovereenkomst wordt gesloten, hierna te noemen “Verwerkingsverantwoordelijke”;
hierna individueel te noemen “Partij” en gezamenlijk te noemen “Partijen”.
OVERWEGENDE DAT:
a. Partijen een overeenkomst hebben gesloten, betreffende het opslaan en verwerken van data in de systemen van Verwerker. Verwerkingsverantwoordelijke Persoonsgegevens verwerkt als bedoeld in de Algemene Verordening Gegevensbescherming;
b. Partijen in deze Verwerkersovereenkomst de rechten en plichten voor de verwerking van de Persoonsgegevens door Verwerker willen vastleggen.
ZIJN OVEREENGEKOMEN ALS VOLGT:
Artikel 1 – Definities
1.1 Hoofdovereenkomst: de overeenkomst SaaS-dienstverlening Online Vragenlijst Gedragsconsult die gesloten is tussen Verwerker en Verwerkingsverantwoordelijke en betrekking heeft op het gebruik
van software waarmee door Verwerker data opgeslagen en verwerkt wordt, waaronder Persoonsgegevens onder beheer van Verwerkingsverantwoordelijke.
1.2 Verwerkersovereenkomst: deze overeenkomst inclusief de bijlagen.
1.3 Persoonsgegevens: persoonsgegevens als bedoeld in de Algemene Verordening Gegevensbescherming.
1.4 Betrokkene: de persoon op wie de verwerkte Persoonsgegevens betrekking hebben.
1.5 Bijlage: bijlage bij Verwerkersovereenkomst welke integraal deel uitmaakt van de Verwerkersovereenkomst.
1.6 Datalek: een inbreuk op de beveiliging die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van de Persoonsgegevens en/of die waarschijnlijk ongunstige gevolgen zal hebben voor de persoonlijke levenssfeer van een betrokkene.
Artikel 2 – Inhoud Verwerkersovereenkomst
2.1 In deze Verwerkersovereenkomst wordt de verwerking van Persoonsgegevens door Verwerker in het kader van de Hoofdovereenkomst geregeld.
2.2 Verwerker garandeert de toepassing van passende technische en organisatorische maatregelen, opdat de verwerking van de Persoonsgegevens aan de vereisten van de Algemene Verordening Gegevensbescherming voldoet en de bescherming van de rechten van Betrokkenen zijn gewaarborgd.
2.3 Verwerker garandeert te voldoen aan de vereisten van de toepasselijke wet- en regelgeving betreffende de verwerking van Persoonsgegevens.
2.4 In Bijlage 1 zijn de aard en het doel van de verwerking van de Persoonsgegevens, het soort Persoonsgegevens en de categorieën van Betrokkenen nader omschreven.
Artikel 3 – Inwerkingtreding en duur
3.1 Deze Verwerkersovereenkomst treedt in werking na ondertekening door Partijen. Als ondertekening door Verwerkingsverantwoordelijke wordt ook beschouwd het gebruik van het systeem ná de datum van ondertekening door Verwerker. De automatisch door het systeem aangemaakte logbestanden registreren dit gebruik.
3.2 Deze Verwerkersovereenkomst eindigt nadat en voor zover Verwerker alle Persoonsgegevens overeenkomstig artikel 9.4 heeft gewist of op nader overeen te komen wijze terugbezorgd.
3.3 Tussentijdse opzegging van deze Verwerkersovereenkomst is door geen van beide Partijen mogelijk.
Artikel 4 – Verwerking
4.1 Verwerker dient zorg te dragen voor de naleving van de voorwaarden die op grond van de Algemene Verordening Gegevensbescherming worden gesteld aan het verwerken van de
Persoonsgegevens.
4.2 Verwerker verwerkt de Persoonsgegevens ten behoeve van Verwerkingsverantwoordelijke, overeenkomstig diens schriftelijke instructies en onder diens verantwoordelijkheid.
4.3 Verwerker heeft geen zeggenschap over het doel en de middelen van de verwerking van de Persoonsgegevens en neemt geen beslissingen over het gebruik, de verstrekking aan derden en de duur van de opslag van de Persoonsgegevens.
4.4 Bij de uitvoering van deze Verwerkersovereenkomst zal Verwerker vertrouwelijkheid in acht nemen.
4.5 Verwerkingsverantwoordelijke staat er voor in dat de verwerking van de Persoonsgegevens is vrijgesteld van melding bij de Autoriteit Persoonsgegevens.
4.6 Verwerker slaat gegevens op in Nederland. Doorgifte en opslag van Persoonsgegevens buiten de EER of in derde landen zonder passend beschermingsniveau is niet toegestaan zonder voorafgaande schriftelijke toestemming van Verwerkingsverantwoordelijke. Verwerker zal in een dergelijk geval op verzoek van Verwerkingsverantwoordelijke melden in welke landen de persoonsgegevens worden verwerkt.
4.7 Verwerker en degenen die onder het gezag van Verwerker werkzaam zijn, zijn verplicht tot geheimhouding van de Persoonsgegevens die de Verwerker verwerkt en/of waarvan de Verwerker kennis heeft genomen, tenzij een wettelijk voorschrift Verwerker tot mededeling verplicht of uit de taak van Verwerker de noodzaak tot mededeling voortvloeit.
4.8 Verwerker dient de Verwerkingsverantwoordelijke binnen 14 dagen in kennis te stellen van alle tot de Verwerker gerichte verzoeken die betrekking hebben op de rechten van betrokkenen, zoals (maar niet per definitie beperkt tot) een verzoek om inzage, verbetering, aanvulling, verwijzing of afscherming van de Persoonsgegevens. Verwerker verleent Verwerkingsverantwoordelijke volledige medewerking om te kunnen voldoen aan de betreffende verplichtingen van Verwerkingsverantwoordelijke op grond van de Algemene Verordening Gegevensbescherming, ongeacht of het verzoek van betrokkene is gericht tot Verwerker of tot Verwerkingsverantwoordelijke.
4.9 Het is Verwerker toegestaan om een derde in te schakelen bij de uitvoering van deze Verwerkersovereenkomst. Verwerker licht de Verwerkingsverantwoordelijke vooraf in over veranderingen inzake de toevoeging of vervanging van sub-verwerkers. De Verwerkings- verantwoordelijke heeft hierbij de mogelijkheid om tegen deze veranderingen bezwaar te maken.
4.10 In het geval van de inschakeling van derden draagt Verwerker er zorg voor dat schriftelijk is vastgelegd dat deze derden dezelfde plichten op zich nemen als overeengekomen tussen Verwerker en Verwerkingsverantwoordelijke. Verwerker is verantwoordelijk voor de correcte naleving van de verplichtingen voortvloeiend uit deze Verwerkersovereenkomst door deze derden.
4.11 Verwerker dient Verwerkingsverantwoordelijke te ondersteunen bij de vervulling van de plicht om aan verzoeken te voldoen van Xxxxxxxxxx en bij andere verplichtingen van Verwerkingsverantwoordelijke.
4.12 Verwerker dient Verwerkingsverantwoordelijke de mogelijkheid te geven om te controleren of Verwerker de in deze Verwerkersovereenkomst vastgelegde afspraken nakomt.
Artikel 5 – Datalekken
5.1 Als blijkt dat bij Verwerker sprake is van een Datalek, dan zal Verwerker de Verwerkingsverantwoordelijke daarover binnen 48 uur informeren nadat Xxxxxxxxx bekend is geworden met het Datalek.
5.2 Als blijkt dat bij Verwerker sprake is van een Datalek, dan zal Verwerker alle maatregelen treffen die nodig zijn om de – mogelijke – schade te beperken. Verwerker verplicht zich in dat geval ook tot het verlenen van alle mogelijke medewerking, zodat de Verwerkingsverantwoordelijke tijdig de Autoriteit Persoonsgegevens en eventueel de betrokkene(n) kan informeren.
5.3 Verwerker informeert Verwerkingsverantwoordelijke ook na een melding op grond van het eerste lid over ontwikkelingen betreffende de inbreuk in verband met Persoonsgegevens.
5.4 Partijen dragen de door henzelf in verband met de melding aan de bevoegde toezichthoudende autoriteit en de Betrokkene te maken kosten.
Artikel 6 – Beveiliging
6.1 Verwerker neemt alle passende technische en organisatorische maatregelen, nader omschreven in Bijlage 2, om de Persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico's die de verwerking en de aard van de te beschermen gegevens met zich meebrengen.
6.2 Het waarborgen van een passend beveiligingsniveau kan voortdurend dwingen tot het treffen van aanvullende beveiligingsmaatregelen, dit erkennen Partijen. Verwerker waarborgt dan ook een op het risico afgestemd beveiligingsniveau. Verwerker zal aanvullende maatregelen treffen met betrekking tot de beveiliging van de Persoonsgegevens indien Verwerkingsverantwoordelijke daar uitdrukkelijk en schriftelijk om verzoekt.
Artikel 7 – Verplichtingen Verwerkingsverantwoordelijke
7.1 Verwerkingsverantwoordelijke staat er voor in dat de verwerking van de Persoonsgegevens in overeenstemming is met de Algemene Verordening Gegevensbescherming.
7.2 Verwerkingsverantwoordelijke is verantwoordelijk voor het op tijd installeren van beveiligingsupdates en patches op de eigen systemen en/of software applicaties.
7.3 Verwerkingsverantwoordelijke is verplicht om veilige wachtwoorden te kiezen en zorgvuldig om te gaan met de bescherming van haar gegevens.
7.4 Verwerkingsverantwoordelijke zal enkel en alleen contact maken met digitale systemen van Verwerker indien het systeem of hulpmiddel van Verwerkingsverantwoordelijke waarvandaan er contact gemaakt wordt volledig veilig is. Dit wil zeggen, voorzien van adequate en up-to-date beveiligingssoftware, voorzien van de laatste updates, slechts voorzien van legale software en niet fysiek of op afstand toegankelijk door andere gebruikers dan gebruikers die direct onder de bevoegdheid van Verwerkingsverantwoordelijke vallen.
Artikel 8 – Aansprakelijkheid
8.1 Verwerker is enkel aansprakelijk voor directe schade daadwerkelijk opgelopen door Verwerkingsverantwoordelijke die het gevolg is van of verband houden met het niet nakomen van deze Verwerkersovereenkomst en/of het handelen in strijd met de Algemene Verordening Gegevensbescherming ofwel onrechtmatige daad, tot maximaal het bedrag dat Verwerker de drie
(3) maanden voorafgaande aan de schadeveroorzakende gebeurtenis heeft ontvangen voor het uitvoeren van de werkzaamheden volgens onderhavige Verwerkersovereenkomst.
8.2 Verwerker is niet aansprakelijk voor indirecte schade, zoals gevolgschade, gederfde winst, gemiste besparingen, verminderde goodwill en schade door bedrijfsstagnatie.
8.3 Verwerker is niet aansprakelijk indien de Verwerkingsverantwoordelijke een te zwak wachtwoord heeft gekozen, onveilige software gebruik of de adviezen van Verwerker negeert.
8.4 Aansprakelijkheid aan de kant van Verwerker ontstaat enkel indien Verwerkingsverantwoordelijke Verwerker schriftelijk in gebreke stelt, waarbij een redelijke termijn voor het oplossen van de tekortkoming wordt gesteld, en Verwerker na deze termijn toerekenbaar blijft tekortschieten in de nakoming van zijn verplichtingen. Dit is niet het geval indien de nakoming van de Verwerker blijvend onmogelijk is.
8.5 De uitsluitingen op de aansprakelijkheid van Verwerker gelden niet in geval van opzet of bewuste roekeloosheid aan de kant van Verwerker.
Artikel 9 – Algemene bepalingen
9.1 Op deze verwerkersovereenkomst is Nederlands recht van toepassing.
9.2 Deze verwerkersovereenkomst en de rechten en plichten uit deze verwerkersovereenkomst kunnen door Xxxxxxxxx niet aan derden worden overgedragen zonder de voorafgaande schriftelijke toestemming van Verwerkingsverantwoordelijke.
9.3 Het is Verwerker toegestaan deze Verwerkersovereenkomst te herzien. Verwerker zal in een dergelijke situatie minimaal één maand van tevoren hierover mededelingen doen aan de Verwerkingsverantwoordelijke.
9.4 In geval van beëindiging van deze verwerkersovereenkomst zal Verwerker onverwijld de Persoonsgegevens aan Verwerkingsverantwoordelijke retourneren en alle digitale kopieën van de Persoonsgegevens vernietigen. Verwerker zal vervolgens per omgaande aan Verwerkingsverantwoordelijke verklaren dat zij de opgelegde verplichtingen in dit artikel heeft uitgevoerd.
9.5 Mocht enige bepaling in deze verwerkersovereenkomst nietig, vernietigbaar of onverbindend zijn, dan zal deze verwerkersovereenkomst voor het overige van kracht blijven. Partijen zullen over de betreffende bepaling overleg plegen, met het doel om een rechtsgeldige bepaling overeen te komen die zoveel mogelijk dezelfde inhoud en werking heeft als de nietige, vernietigbare of niet- verbindende bepaling.
Ondertekening
Hiermee vallen automatisch eventuele eerdere versies van deze Verwerkersovereenkomst. Aldus overeengekomen, in tweevoud opgemaakt en ondertekend*: Verwerkingsverantwoordelijke Verwerker
Plaats | : Zeist | Plaats | : Enschede |
Datum | : 05 juli 2018 | Datum | : 05 juli 2018 |
Functie | : Eigenaar | Functie | : Eigenaar |
Naam | : Xxx. Xxxxxxxx Xxxx | Naam | : Xxxxx Xxxxxx |
Handtekening Handtekening
* Als ondertekening door Verwerkingsverantwoordelijke geldt ook het gebruik van het systeem na de datum van ondertekening. Dit gebruik wordt automatisch door het systeem in logbestanden vastgelegd.
Bijlage 1 – Verwerking Persoonsgegevens
Onderwerp, aard en doel van de verwerking van Persoonsgegevens
Verwerkingsverantwoordelijke laat haar data opslaan in de systemen van Verwerker. Deze data zijn afkomstig van klanten – Betrokkenen – van Verwerkingsverantwoordelijke die in het kader van een diergedragsconsult een door Verwerker gefaciliteerde online anamnese-vragenlijst invullen.
De middels de vragenlijst vastgelegde Persoonsgegevens betreffen data van genoemde klanten en hun (huis)dier(en).
Het doel van de verwerking is het leveren van diensten door Verwerker aan Verwerkingsverantwoordelijke en haar klanten, waarmee online een anamnese kan worden afgenomen als onderdeel van en ter voorbereiding op een door of onder verantwoordelijkheid van Verwerkingsverantwoordelijke uit te voeren of uit te laten voeren diergedragsconsult.
Verwerker slaat de verzamelde data uitsluitend gestructureerd op in haar systemen voor gebruik door Verwerkingsverantwoordelijke. De data worden door Verwerker in geen enkele vorm inhoudelijk bewerkt of gewijzigd.
Soort Persoonsgegevens
Van Betrokkenen – de klanten van Verwerkingsverantwoordelijke – worden de volgende Persoonsgegevens vastgelegd: naam, adres, postcode, woonplaats, telefoonnummer(s) en e-mailadres. Op basis van vrijwilligheid kunnen beroep en leeftijd worden opgeven. Er worden tevens vragen voorgelegd betreffende de woonsituatie van de klant. Aanvullend worden het ip-adres van waaraf de klant de vragenlijst invult en het tijdstip van afronding geregistreerd.
Van de Verwerkingsverantwoordelijke worden de persoonsnaam, indien van toepassing de bedrijfsnaam en één of meer zelf verstrekte e-mailadressen in het systeem vastgelegd.
Categorieën Persoonsgegevens
Deze Verwerkersovereenkomst betreft uitsluitend de verwerking van gewone Persoonsgegevens, zoals gedefinieerd door de AVG. Bijzondere Persoonsgegevens worden door de vragenlijst niet verzameld of vastgelegd.
Categorieën van Betrokkenen
De Betrokkenen zijn huisdiereigenaren of anderszins verantwoordelijken voor een dier van wie de gegevens door Verwerkingsverantwoordelijke in het kader van een diergedragsconsult worden verzameld middels het laten invullen van een door Verwerker aangeboden online vragenlijst. Deze gegevens worden vervolgens opgeslagen in de systemen van Verwerker.
Betrokkenen hebben na het invullen van een anamnese-vragenlijst altijd de mogelijkheid om de vastgelegde en door hen zelf gegeven antwoorden in te zien en te downloaden.
Bijlage 2 – Technische en organisatorische beveiligingsmaatregelen Organisatie van informatiebeveiliging
• Verwerker hanteert een nee-tenzij beleid waar het de toegang tot door haar beheerde systemen en data betreft. Verleende toegang dient hierdoor altijd een welomschreven doel.
• Eventuele informatiebeveiligingsincidenten worden gedocumenteerd en benut voor optimalisatie van de informatiebeveiliging.
Medewerkers en sub-verwerkers
• Verwerker heeft geen medewerkers in dienst en maakt geen gebruik van sub-verwerkers.
• In het geval er – al dan niet tijdelijk – wel sprake is van medewerkers of sub-verwerkers worden geheimhoudingsverklaringen overeengekomen en informatiebeveiligingsafspraken gemaakt.
• Medewerkers of sub-verwerkers hebben uitsluitend toegang tot de data die strikt noodzakelijk zijn voor de uitoefening van hun functie.
Fysieke beveiliging en continuïteit van middelen
• Persoonsgegevens worden uitsluitend verwerkt op apparatuur waarbij maatregelen zijn genomen om de apparatuur fysiek te beveiligen en de continuïteit van de dienstverlening te verzekeren.
• Er worden periodiek backups gemaakt ten behoeve van de continuïteit van de dienstverlening. Deze backups worden vertrouwlijk behandeld en bewaard in een gesloten omgeving.
Netwerk-, server- en applicatiebeveiliging
• De netwerk-, server- en applicatieomgeving waarbinnen Persoonsgegevens worden verwerkt zijn op diverse wijzen zo optimaal mogelijk beveiligd.
• Op wachtwoorden worden cryptografische maatregelen toegepast om deze veilig op te slaan.
• Toegang tot de systemen van Verwerker met de online vragenlijst en de webapplicatie is slechts mogelijk via een cryptografisch beveiligde internetverbinding.
• Voor toegang tot de online vragenlijst is een unieke toegangscode vereist.
• De webapplicatie is afgeschermd middels een tweevoudige gebruikersnaam-wachtwoord controle of een enkelvoudige in combinatie met controle op ip-adres.
• De activiteiten die plaatsvinden binnen de online vragenlijst en bijbehorende webapplicatie worden automatisch vastgelegd in logbestanden.
• De webapplicatie is voorzien van een mechanisme dat telkens verifieert of een gebruiker geautoriseerd is voor het opvragen of bewerken van de gevraagde data. Onregelmatigheden worden vastgelegd.
• Toegang tot beheerfunctionaliteit van de systemen van Verwerker is beperkt tot een zo gering mogelijk aantal door Verwerker gecontroleerde ip-adressen.
• Niet – meer – gebruikte informatie wordt verwijderd, ook uit backups, nadat de wettelijke bewaartermijn is verstreken. Is een wettelijke bewaartermijn niet van toepassing dan worden de data uiterlijk één (1) jaar na het beëindigen van de Hoofdovereenkomst verwijderd.
Maatregelen om zwakke plekken te identificeren
• Met regelmaat worden de diverse logbestanden gecontroleerd op onregelmatigheden.
• Alle programmacode wordt tijdens en na het ontwikkelen grondig getest op onvolkomenheden.
• Meldingen in de technische media betreffende zwakten in de gebruikte software worden actief gevolgd.