Dataverwerkingsovereenkomst Klant:
Dataverwerkingsovereenkomst Klant:
Versie: 1.0
Datum: 24-11-2021
Xxxxxxxxxxxxxxx 000, 0000 XX, Xxxxxxxx
Tel: 000 00 00 000 Email: xxxx@xxxxxxxxxxxxx.xx
DATAVERWERKINGS OVEREENKOMST
Het is mogelijk dat Vindsubsidies persoonlijke gegevens namens de Opdrachtgever verwerkt in de loop van de uitvoering van de Algemene Overeenkomst. Vindsubsidies treedt daarmee op als een gegevensverwerker en de Opdrachtgever treedt op als gegevensbeheerder in de zin van Algemene Verordening Gegevensbescherming (AVG).
Artikel 1 – Strekking
1.1. Deze Dataverwerkingsovereenkomst is van toepassing op alle verwerkingsactiviteiten van persoonsgegevens die toebehoren aan de Opdrachtgever of die door Vindsubsidies worden uitgevoerd namens de Opdrachtgever in het kader van de Overeenkomst of anderszins. Verwerkingsactiviteiten omvatten elke bewerking of verzameling handelingen die wordt uitgevoerd op persoonsgegevens of op verzamelingen persoonlijke gegevens, al dan niet met geautomatiseerde middelen, zoals verzameling, registratie, organisatie, structurering, opslag, aanpassing of wijziging, opvraging, raadpleging, gebruik, openbaarmaking door verzending, verspreiding of anderszins beschikbaar stellen, uitlijning of combinatie, beperking, verwijdering, of vernietiging. Persoonlijke gegevens omvatten alle informatie met betrekking tot een geïdentificeerde of identificeerbare natuurlijke persoon die tot de Opdrachtgever behoort, inclusief maar niet beperkt tot persoonlijke gegevens met betrekking tot de werknemers, leveranciers en/of klanten van de Opdrachtgever.
1.2. Deze overeenkomst vormt een integraal onderdeel van de tussen de partijen gesloten overeenkomst. In geval van discrepanties tussen de bepalingen van deze overeenkomst en de bepalingen van de Algemene Overeenkomst, hebben de bepalingen van deze Dataverwerkingsovereenkomst voorrang.
Artikel 2 – Verwerking van persoonlijke gegevens
2.1. Alle verwerkingsactiviteiten die door Vindsubsidies ten behoeve van de Opdrachtgever worden uitgevoerd op persoonsgegevens die toebehoren aan de Opdrachtgever, moeten volledig in overeenstemming zijn met alle relevante nationale en internationale wetten en regels inzake gegevensbescherming.
2.2. De controle over en eigendom van de persoonsgegevens die toebehoren aan de Opdrachtgever blijven te allen tijde bij de Opdrachtgever en tussen Opdrachtgever en de Vindsubsidies, de Opdrachtgever blijft de gegevensbeheerder voor de doeleinden van elke gegevensverwerking door de Vindsubsidies namens de Opdrachtgever in het kader van de dienstverlening onder de Overeenkomst. Ten behoeve van enige gegevensverwerking door Vindsubsidies namens de Opdrachtgever in het kader van de dienstverlening krachtens de Overeenkomst, zal Vindsubsidies alleen optreden als gegevensverwerker.
2.3 Vindsubsidies verwerkt persoonsgegevens namens de Opdrachtgever alleen met het oog op de dienstverlening onder de Overeenkomst en de gedocumenteerde instructies van de Opdrachtgever. Vindsubsidies zal niet meer persoonsgegevens
verwerken dan noodzakelijk voor de aangegeven doeleinden.
Artikel 3 – Rechten
3.1. Vindsubsidies zal de Opdrachtgever alle nodige assistentie verlenen om de Opdrachtgever in staat te stellen tijdig te reageren op verzoeken van de betrokkenen om hun recht op toegang, rectificatie of verwijdering uit te oefenen.
3.2. Vindsubsidies moet de instructies van de Opdrachtgever volgen om de persoonlijke gegevens die Vindsubsidies namens de Opdrachtgever in bezit heeft, te corrigeren of te verwijderen.
3.3. Vindsubsidies geeft de Opdrachtgever alle verzoeken van betrokkenen door om toegang te verkrijgen tot, rectificatie of verwijdering van persoonsgegevens die door de Vindsubsidies worden bewaard namens de Opdrachtgever.
Artikel 4 – Technische en organisatorische maatregelen
4.1. Vindsubsidies staat garant voor het implementeren van passende technische en organisatorische maatregelen om de persoonsgegevens die Vindsubsidies namens de Opdrachtgever verwerkt te beschermen tegen ongeautoriseerde openbaarmaking van of toegang tot dergelijke gegevens en tegen onbedoelde of onwettige vernietiging, verlies of wijziging en om de rechten van het gegevenssubject. Deze maatregelen moeten in detail worden beschreven in bijlage I bij deze gegevensverwerkingsovereenkomst en moeten ten minste betrekking hebben op de volgende punten: fysieke toegangscontrole, systeemtoegangscontrole, toegangscontrole van gegevens, transmissiecontrole, invoercontrole, back-up en gegevenssegregatie.
4.2. De persoonsgegevens die door Vindsubsidies namens de Opdrachtgever worden verwerkt, zullen te allen tijde strikt vertrouwelijk blijven en mogen niet door Vindsubsidies aan derden worden bekendgemaakt en mogen ook niet worden gekopieerd of voor niet-geautoriseerde doeleinden worden gebruikt, zonder voorafgaande schriftelijke toestemming van de Opdrachtgever.
4.3. Vindsubsidies zal de toegang tot de persoonsgegevens die in het bezit zijn van Vindsubsidies ten behoeve van de Opdrachtgever strikt beperken tot zijn personeel en/of geautoriseerde onderaannemers, op basis van noodzakelijkheid in het kader van de uitvoering van de services onder de Overeenkomst. Alle personeel en/of geautoriseerde onderaannemers die toegang hebben tot de persoonsgegevens zijn gebonden door een vertrouwelijkheidsverbintenis.
4.4. In het geval van een beveiligingsincident of datalek, zal Vindsubsidies de Opdrachtgever daarvan onmiddellijk schriftelijk op de hoogte brengen en zal hij alle nodige maatregelen nemen om de gevolgen van een dergelijk veiligheidsincident te onderzoeken en te verhelpen. Vindsubsidies zal de Opdrachtgever voorzien van alle nodige informatie.
4.5. Vindsubsidies zal persoonsgegevens die namens de Opdrachtgever worden bewaard, niet langer verwerken dan noodzakelijk is voor de doeleinden van de dienstverlening krachtens de Overeenkomst. Aan het einde van de
gegevensverwerking zijn de verplichtingen van artikel
8.2 van toepassing.
Artikel 5 – Doorgifte van persoonsgegevens
5.1. Vindsubsidies draagt geen persoonsgegevens, die namens de Opdrachtgever zijn verwerkt, over aan een derde land buiten de EU zonder de voorafgaande schriftelijke toestemming van de Opdrachtgever.
5.2 Voor overdracht van persoonsgegevens die namens de controleur zijn verwerkt naar een derde land buiten de EU/ EER, zorgt Vindsubsidies ervoor dat passende overdrachtsmechanismen met een passend beschermingsniveau worden ingesteld. Bij voorkeur zorgt de Vindsubsidies voor de uitvoering van de EU- standaardcontractbepalingen tussen de partijen om een dergelijke gegevensoverdracht te begeleiden.
Artikel 6 - Onderaannemers
6.1. Vindsubsidies zal geen onderaannemer inschakelen om persoonsgegevens namens de Opdrachtgever te verwerken zonder voorafgaande schriftelijke toestemming van de Opdrachtgever.
6.2. Alle overeengekomen activiteiten door onderaannemers zijn gebonden aan de Vindsubsidies door middel van een overeenkomst die niet minder strenge verplichtingen voor de onderaannemer ten opzichte van Vindsubsidies bevat dan de verplichtingen vervat in dit Artikel van Vindsubsidies ten opzichte van de Opdrachtgever.
6.3 Vindsubsidies blijft te allen tijde verantwoordelijk voor de naleving van de voorwaarden van deze Dataverwerkingsovereenkomst door Onderaannemers.
Artikel 7 - Auditrechten
7.1. De Opdrachtgever heeft het recht om periodiek toegang te krijgen tot de gebouwen van Vindsubsidies om te controleren of Vindsubsidies de bepalingen van deze dataverwerkingsovereenkomst naleeft, tijdens normale kantooruren en na voorafgaande schriftelijke kennisgeving. Als een derde partij een dergelijke audit moet uitvoeren, moet de derde partij onderling worden overeengekomen tussen de partijen.
7.2. Tenminste 5 werkdagen voorafgaand aan de start van de geplande audit, dient de Opdrachtgever een gedetailleerd auditplan in bij de Vindsubsidies. Vindsubsidies werkt volledig samen met de Opdrachtgever en/of de aangewezen derde partij en verstrekt de Opdrachtgever en/of de derde alle toegang, informatie en documenten die redelijkerwijs worden gevraagd.
7.3. Indien de audit aantoont dat Vindsubsidies zich niet houdt aan de bepalingen van deze Gegevensbeschermingsovereenkomst of enige nationale of internationale wetten en regels inzake gegevensbescherming, zal Vindsubsidies zonder onnodige vertraging de nodige corrigerende maatregelen uitvoeren, op eigen kosten.
Artikel 8 – Beëindiging
8.1. Deze Dataverwerkingsovereenkomst wordt automatisch beëindigd bij beëindiging van de Overeenkomst, om welke reden dan ook, of, als andere verwerkingsactiviteiten nog steeds worden uitgevoerd
door Vindsubsidies namens de Opdrachtgever, bij
beëindiging van deze activiteiten.
8.2. Na het einde van de dataverwerkingsactiviteiten namens de Opdrachtgever, zal Vindsubsidies, naar keuze van de Opdrachtgever, alle persoonlijke gegevens en alle kopieën daarvan terugsturen naar de Opdrachtgever of deze gegevens uit zijn systemen verwijderen en een dergelijke verwijdering bevestigen aan de Opdrachtgever schriftelijk.
Artikel 9 - Diverse bepalingen
9.1 Deze gegevensverwerkingsovereenkomst bevat de volledige overeenkomst en overeenstemming tussen de partijen met betrekking tot het onderwerp hiervan en vervangt en vervangt alle eerdere overeenkomsten of afspraken, schriftelijk of mondeling, met betrekking tot hetzelfde onderwerp dat nog steeds van kracht is tussen de partijen.
9.2. Elke wijziging van deze gegevensverwerkingsovereenkomst, evenals toevoegingen of weglatingen, kunnen alleen schriftelijk worden overeengekomen met wederzijdse instemming van en naar behoren ondertekend door beide partijen.
9.3. Waar mogelijk, zullen de bepalingen van deze dataverwerkingsovereenkomst op zodanige wijze worden geïnterpreteerd dat ze geldig en afdwingbaar zijn volgens de toepasselijke wetgeving. Als één of meer bepalingen van deze dataverwerkingsovereenkomst ongeldig, onwettig of niet-afdwingbaar, geheel of gedeeltelijk blijken te zijn, wordt het resterende deel van een dergelijke bepaling en van deze gegevensverwerkingsovereenkomst niet aangetast en blijft deze volledig van kracht en effect alsof hierin nooit de ongeldige, onwettige of nietafdwingbare bepaling was vervat.
9.4. Indien een partij geen recht heeft op of uitoefent in het kader van deze dataverwerkingsovereenkomst of indien een partij reageert of niet reageert in geval van schending door de andere partij van een of meer bepalingen van deze dataverwerkingsovereenkomst, zal geen van beide partijen worden geïnterpreteerd als een afstand (expliciet of impliciet, geheel of gedeeltelijk) van enige van zijn rechten onder deze Dataverwerkingsovereenkomst of onder genoemde bepaling (en), noch zal het de verdere uitoefening van dergelijke rechten uitsluiten. Elke verklaring van afstand van een recht moet uitdrukkelijk en schriftelijk zijn.
9.5. Op alle kwesties, vragen en geschillen met betrekking tot de geldigheid, interpretatie, handhaving, uitvoering of beëindiging van deze gegevensverwerkingsovereenkomst, alsmede alle onrechtmatige aangelegenheden tussen de partijen, is uitsluitend Nederlands recht van toepassing.
9.6. Elk geschil met betrekking tot de geldigheid, interpretatie, handhaving, uitvoering of beëindiging van deze gegevensverwerkingsovereenkomst, evenals enig geschil over een onrechtmatige daad, valt onder de exclusieve bevoegdheid van de bevoegde rechtbank in het district Almelo.
ANNEX 1
TECHNICAL AND ORGANISATIONAL MEASURES
Fysieke toegangscontrole
Data wordt gehost binnen Microsoft 365.
Daarnaast wordt er gehost in een Tier 3+ datacenter. Dit omvat alle aspecten van de beveiliging van toegang tot de site, toegang, authenticatie en ook fysieke beveiligingsmonitoring voor toegangscontrole.
Toegang is alleen toegestaan aan bevoegde personen. Als ze met succes zijn geverifieerd, moeten alle bezoekers en werknemers, eenmaal binnen het bedrijf, fysieke identificatie dragen, zoals vanglijnen en worden hun bewegingen digitaal vastgelegd en lokaal en op afstand gemonitord.
Systeemtoegangscontrole
Meerdere niveaus van gebruikerstoegang met bevoegd personeel en authenticatie via wachtwoorden en/of tweefactor-authenticatie. Serverbeheer heeft meer dan twee factoren geverifieerde VPN uitgevoerd en is beperkt tot geautoriseerd personeel dat toegangscontrolelijsten gebruikt.
Beheer van gegevenstoegang
Gevalideerde wijzigingscontroleprocessen in combinatie met regelmatige overzichten van machtigingen en toegang voor serverbeheer.
Transmissie controle
Webtransacties worden beschermd tegen ongeautoriseerde wijziging van het bericht, ongeautoriseerde openbaarmaking, ongeoorloofde duplicatie van berichten of opnieuw afspelen door middel van de implementatie van TLS.
Invoerbesturing
Formulier- en gebruikersvalidatie samen met serverside activiteitslogging/ audit trails.
Reservekopie van gegevens
24 uur per dag back-up naar een veilige externe locatie in Europa of het Verenigd Koninkrijk.
Gegevenssegregatie
Klantgegevens zijn logisch gescheiden.
Contact
x00 (0)00-0000000
/vindsubsidies
/vindsubsidies
/company/vindsubsidies-nl