Verwerkersovereenkomst
Ziber verwerkt persoonsgegevens voor en in opdracht van Opdrachtgever. Ziber en Opdrachtgever zijn daarom verplicht volgens de AVG Algemene Verordening Gegevensbescherming om een Verwerkersovereenkomst te sluiten. Volgens de AVG is Ziber 'verwerker' en is de Opdrachtgever 'verwerkingsverantwoordelijke'. In deze Verwerkersovereenkomst staat ook hoe Ziber met de meldplicht data-lekken omgaat.
Onderwerp en duur van de verwerking
Verwerkingsverantwoordelijke maakt gebruik van een van de Ziber Diensten bij Ziber en/of heeft een Abonnement op een Ziber Product. Voordat Verwerkingsverantwoordelijke de Ziber Diensten of Ziber Product kan gebruiken zal deze via zijn Ziber ID moeten inloggen en expliciet akkoord gaan met deze Verwerkersovereenkomst en de Voorwaarden van Ziber.
Voor onderwijsinstellingen die gebruik maken van het Ziber Education product is de Model Verwerkersovereenkomst van toepassing waarin de specifieke situatie en toepassing voor het onderwijs is beschreven. Zie ook: xxxx://xxx.xxxxx.xx/xxxxxxxxxxx voor meer informatie.
Soort persoonsgegevens, doel van verwerking en bewaartermijn
Bij gebruik van de Ziber Diensten en/of Ziber Producten wordt gebruik gemaakt van deze onderliggende verwerkingen:
Persoonlijke gegevens betrokkene | Doel | Bewaartermijn |
Algemeen gebruik van de Ziber Diensten | ||
Ziber ID (account): Voornaam, Achternaam, E-mailadres*, Profielfoto | 1,2,3,4,5,7 | Ziber ID wordt bewaard totdat betrokkene deze zelf wist |
Ziber ID (account): Geslacht, Geboortedatum, Adres(sen), Telefoonnummer(s) | 1,4,6,7 | Gegevens worden bewaard totdat betrokkene deze wist |
Foto’s, berichten, evenementen; Foto’s, berichten en evenementen die tekst, bestanden, beeldmateriaal en/of reacties/aanmeldingen van persoonlijke aard kunnen bevatten | 1,4 | Gegevens worden automatisch 2 jaar nadat verwerkingsverantwoordelijke stopt met het gebruik van het Ziber Product gewist. |
Ziber Nieuwsbrief | ||
E-mailadres | 1,4 | Tot gebruiker zich uitschrijft voor de aangeboden nieuwsbrief van verwerkingsverantwoordelijke |
Ziber Pay | ||
Transactiegegevens (Geen bankrekening-gegevens); Het doen van een betaling met een daarbij relevante beschrijving die persoonlijk identificeerbare informatie kan bevatten | 1,4 | Wordt automatisch gewist twee jaar nadat verwerkingsverantwoordelijke stopt met het gebruik van dit Ziber Product |
Ziber Shoplin en/of beveiligingsfuncties op Ziber websites | ||
E-mailadres*, Naam*, Geslacht, Telefoonnummer, Adres, Postcode, Plaats | 1,2,3,4,7 | Wordt automatisch gewist twee jaar nadat de verwerkingsverantwoordelijke stopt met het gebruik van dit Ziber Product |
*Verplichte gegevens voor een goede werking van de Ziber Diensten
In de kolom ‘Doel’ staat aangegeven waar de desbetreffende persoonsgegevens van betrokkene voor gebruikt worden;
1. Het geleverd kunnen krijgen van de afgenomen Ziber Diensten conform de gemaakte afspraken in het Abonnement/beschrijving van het Ziber Product
2. Het verkrijgen van toegang tot de Ziber Diensten, waaronder identificatie, authenticatie en autorisatie
3. Beveiliging, controle en preventie van misbruik en oneigenlijk gebruik van het voorkomen van inconsistentie en onbetrouwbaarheid in de verwerkte persoonsgegevens
4. Continuïteit en goede werking van de Ziber Diensten conform de afspraken die zijn gemaakt tussen Ziber en verwerkingsverantwoordelijke bij de afname van het Ziber Product, waaronder het laten uitvoeren van onderhoud, het maken van een back-up, het aanbrengen van verbeteringen na geconstateerde fouten of onjuistheden en het krijgen van ondersteuning
5. Het tonen van gegevens ten behoeve van identificatie aan andere gebruikers van Ziber Diensten
6. Het kunnen delen van opgeslagen profielgegevens met verwerkingsverantwoordelijke of andere gebruikers van Ziber Diensten, indien de persoon in kwestie dat heeft aangegeven
7. Een persoonlijk account voor iedere betrokkene waarmee betrokkene toegang krijgt tot de Ziber Diensten en ook zijn eigen profiel en gegevens kan beheren
Verwerkingsverantwoordelijke geeft Verwerker een algemene toestemming voor het inschakelen van Subverwerkers. Verwerker heeft het recht gebruik te gaan maken van
andere Subverwerkers, mits daarvan voorafgaand mededeling wordt gedaan aan Verwerkingsverantwoordelijke, en Verwerkingsverantwoordelijke daartegen bezwaar kan maken binnen een redelijke periode. Ziber maakt gebruik van de volgende subverwerkers.
• Zendesk, Amsterdam – Voor het verlenen van support aan Opdrachtgever of gebruikers van Ziber Diensten, het opslaan en authentiseren van gebruikers, verwerking en opslag van 1 op 1 gesprekken, verwerking en opslag van tickets en bijlagen.
• Microsoft, West-Europa – Opslag van communicatie en digitale bestanden met Opdrachtgever of gebruiker van Ziber Diensten waarin persoonlijke gegevens kunnen zitten
• Google – Het meten van het gebruik van de Ziber Diensten ten behoeve van functionele verbeteringen die persoonlijke gegevens zou kunnen bevatten, zoals ip- adres.
• ABN-AMRO, Nederland – Verwerking van online betalingen van betrokkene aan Verwerkingsverantwoordelijke (tbv Ziber Pay)
Verwerker zal persoonsgegevens alleen verwerken onder expliciete instructies van de verwerkingsverantwoordelijke, onder andere voor wat betreft de doorgifte van persoonsgegevens aan een derde land of een internationale organisatie (tenzij deze daartoe wettelijk is verplicht)
Verwerker waarborgt dat de toegang tot persoonlijke gegevens is beperkt tot gemachtigde personen die werkzaam zijn bij Verwerker, Deze personen zijn gebonden aan geheimhouding op grond van een arbeidsovereenkomst en/of een wettelijke verplichting.
Verwerkingsverantwoordelijke waarborgt zelf welke andere personen hij/zij toegang geeft tot persoonsgegevens van betrokken middels het verlenen van toegang via een Ziber ID tot deze persoonsgegevens.
Verwerker zal minimaal hetzelfde niveau van beveiliging van de persoonsgegevens hanteren als de Verwerkingsverantwoordelijke.
Verwerker zal de Verwerkingsverantwoordelijke alle mogelijke ondersteuning bieden bij het nakomen van diens verplichtingen met het oog op de beantwoording van verzoeken rondom de rechten van betrokkenen
Verwerker zal verwerkingsverantwoordelijke bijstaan bij het nakomen van diens verplichtingen op het gebied van de beveiliging van persoonsgegevens en de meldplicht datalekken;
Verwerker zal na beëindiging van de overeenkomst de in opdracht van de verwerkingsverantwoordelijke verwerkte persoonsgegevens binnen 2 jaar wissen en bestaande kopieën verwijderen, tenzij er wettelijke bepalingen zijn die dit tegenhouden.
Verwerker zal de verwerkingsverantwoordelijke alle informatie ter beschikking stellen die nodig is om aantoonbaar te maken dat de verplichtingen op grond van de Verordening rondom het inzetten van een verwerker worden nageleefd en die nodig is om audits mogelijk te maken.