Algemene verordening gegevensbescherming (AVG)
Algemene verordening gegevensbescherming (AVG)
Subverwerkersovereenkomst LearnLinq
Deze verwerkersovereenkomst is van toepassing op alle vormen van verwerking van persoons- gegevens die Subverwerker uitvoert ten behoeve van Verwerker.
Partijen
Bedrijfsnaam Gevestigd aan Te Kamer van Koophandel nummer Rechtsgeldig vertegenwoordigd door (hierna: “Verwerker”); | Horeca Hero B.V. Xxxxxxxxxx 000, xxxx X.0.0 Xxxxxxx 00000000 Xxxxxx Xxxxxxx | |
Bedrijfsnaam Gevestigd aan Te Kamer van Koophandel nummer Rechtsgeldig vertegenwoordigd door (hierna: “Subverwerker”); | LearnLinq b.v. Xxxxxxxx 00X, 0000 XX Xxxxxxxxx 24267911 Dhr. J. Kuerble (namens Noordhoff Uitgevers B.V. |
in aanmerking nemende dat
• Subverwerker met de Verwerker een Hoofdovereenkomst, zoals hierna
• gedefinieerd, heeft gesloten op basis waarvan Verwerker het recht heeft om de Software te (laten) gebruiken;
• Als Verwerker de Software gebruikt of laat gebruiken, Persoonsgegevens, zoals hierna gedefinieerd, worden verwerkt;
• Verwerker voor deze gegevensverwerking kwalificeert als Verwerker in de zin van artikel 4 lid 7 van de Algemene Verordening Gegevensbescherming (Verordening EU 2016/679) (hierna: "AVG");
• Als de Verwerker de Software gebruikt of laat gebruiken, deze Persoonsgegevens dan door Subverwerker in opdracht van de Verwerker met de Software zullen wor- den verwerkt;
• Subverwerker voor deze gegevensverwerking kwalificeert als (sub)verwerker in de zin van artikel 4 lid 8 van de AVG;
• Verwerker in dit kader aan de Subverwerker de opdracht wenst te verlenen om na- mens Verwerker Persoonsgegevens te verwerken en Subverwerker deze opdracht wenst te aanvaarden;
• Partijen gelet op het bepaalde in artikel 28 AVG nadere afspraken wensen te maken over de voorwaarden waaronder Subverwerker de Persoonsgegevens zal verwer- ken;
• Partijen in dit kader in deze Overeenkomst, zoals hierna gedefinieerd, de volgende afspraken schriftelijk wensen vast te leggen.
zijn als volgt overeengekomen
Artikel 1. Doeleinden van verwerking
1.1 Subverwerker verbindt zich onder de voorwaarden van deze Subverwerkersovereen- komst in opdracht van Xxxxxxxxx persoonsgegevens te verwerken. Verwerking zal uit- sluitend plaatsvinden in het kader van de Subverwerkersovereenkomst en voor die doel- einden die met nadere instemming zijn vastgelegd in de Hoofdovereenkomst.
1.2 Subverwerker zal de persoonsgegevens niet voor enig ander doel verwerken dan zoals door Verwerker, dan wel de verwerkingsverantwoordelijke voor wie Verwerker optreedt als verwerker, is vastgesteld. Verwerker zal Subverwerker op de hoogte stellen van de verwerkingsdoeleinden voor zover deze niet reeds in deze Subverwerkersovereenkomst zijn genoemd. In Bijlage 1 van deze Subverwerkersovereenkomst is vastgelegd om welke categorieën van betrokkenen en persoonsgegevens het gaat.
1.3 Subverwerker heeft geen zeggenschap over het doel en de middelen voor de verwerking van persoonsgegevens. Subverwerker neemt geen beslissingen over de ontvangst en het gebruik van de persoonsgegevens, de verstrekking aan derden en de duur van de opslag van persoonsgegevens.
1.4 Subverwerker verzamelt geanonimiseerde gegevens over het gebruik van haar pro- ducten en diensten. Deze gegevens ondersteunen Subverwerker om inzicht te krijgen of, hoe en hoe vaak bepaalde onderdelen van het product gebruikt worden. De geanonimi- seerde gegevens zullen uitsluitend gebruikt worden om producten en dienstverlening te verbeteren. Subverwerker zal de verzamelde gebruikersstatistieken nooit gebruiken voor commerciële doeleinden of aanbieden aan derde partijen.
Artikel 2. Verplichtingen Subverwerker
2.1 Ten aanzien van de in artikel 1 genoemde verwerkingen zal Subverwerker zorg dragen voor de naleving van de voorwaarden die, op grond van de AVG, worden gesteld aan het verwerken van persoonsgegevens.
2.2 Subverwerker zal Xxxxxxxxx, op diens verzoek daartoe en binnen een redelijke termijn, informeren over de door haar genomen maatregelen aangaande zijn verplichtingen on- der deze Subverwerkersovereenkomst.
2.3 De verplichtingen van Subverwerker die uit deze Subverwerkersovereenkomst voort- vloeien, gelden ook voor degenen die persoonsgegevens verwerken onder het gezag van Subverwerker.
2.4 Subverwerker zal Verwerker in kennis stellen indien naar zijn mening een instructie van Verwerker in strijd is met relevante privacywet- en regelgeving.
2.5 Subverwerker zal Verwerker de noodzakelijke medewerking verlenen wanneer er in het kader van de verwerking een gegevensbeschermingseffectbeoordeling, of voorafgaande raadpleging van de toezichthouder, noodzakelijk mocht zijn.
Artikel 3. Doorgifte van persoonsgegevens
3.1 Subverwerker mag de persoonsgegevens verwerken in landen binnen de Europese Eco- nomische Ruimte. Subverwerker zal geen persoonsgegevens verwerken in landen buiten de Europese Economische Ruimte zonder de Verwerker daarover tijdig te informeren. De Verwerker kan bezwaar maken bij Subverwerker tegen de voorgenomen verwerking van persoonsgegevens in landen buiten de Europese Economische Ruimte. Subverwerker zal deze bezwaren op directieniveau afhandelen. Mocht Subverwerker toch persoonsge- gevens gegevens willen verwerken in landen buiten de Europese Economische Ruimte, heeft de Verwerker de mogelijkheid om de overeenkomst te beëindigen.
3.2 Subverwerker zal Verwerker vooraf melden om welk land of welke landen het gaat.
Artikel 4. Verdeling van verantwoordelijkheid
4.1 Partijen zullen zorg dragen voor de naleving van toepasselijke privacywet- en regelge- ving.
4.2 De toegestane verwerkingen zullen door Subverwerker worden uitgevoerd binnen een geautomatiseerde omgeving.
4.3 Subverwerker is louter verantwoordelijk voor de verwerking van de persoonsgegevens onder deze Subverwerkersovereenkomst, overeenkomstig de instructies van Verwerker en onder de uitdrukkelijke (eind)verantwoordelijkheid van Verwerker. Voor alle overige verwerkingen van persoonsgegevens, waaronder in ieder geval begrepen maar niet be- perkt tot de verzameling van de persoonsgegevens door Verwerker, verwerkingen voor doeleinden die niet door Verwerker aan Subverwerker zijn gemeld, verwerkingen door derden en/of voor andere doeleinden, is Subverwerker niet verantwoordelijk. De verant- woordelijkheid voor deze verwerkingen rust uitsluitend bij Verwerker.
4.4 Verwerker staat ervoor in dat de inhoud, het gebruik en de opdracht tot verwerkingen van persoonsgegevens, zoals bedoeld in deze Subverwerkersovereenkomst, niet onrechtma- tig is en geen inbreuk maakt op enig recht van derden.
Artikel 5. Inschakelen van derden of onderaannemers
5.1 Verwerker verleent Subverwerker hierbij toestemming om bij de verwerking derden (sub- verwerkers) in te schakelen. In Bijlage 3 van deze Subverwerkersovereenkomst is vast- gelegd om welke subverwerkers het gaat ten tijde van het afsluiten van deze overeen- komst.
5.2 Subverwerker zal geen nieuwe subverwerkers gegevens laten verwerken zonder de Ver- werker daarover tijdig te informeren. De Verwerker kan bezwaar maken bij Subverwerker tegen de subverwerker. Subverwerker zal deze bezwaren op directieniveau afhandelen. Mocht Subverwerker toch gegevens willen laten verwerken door de nieuwe subverwer- ker, heeft de Verwerker de mogelijkheid om de overeenkomst te beëindigen.
5.3 Subverwerker zorgt er onvoorwaardelijk voor dat deze derden schriftelijk minimaal de- zelfde plichten op zich nemen als tussen Verwerker en Subverwerker is overeengeko- men. Subverwerker staat in voor een correcte naleving van deze plichten door deze der- den en is bij fouten van deze derden zelf jegens Verwerker aansprakelijk voor alle schade alsof hij zelf de fout(en) heeft begaan.
Artikel 6. Beveiliging
6.1 Subverwerker zal zorgdragen voor passende technische en organisatorische maatrege- len te nemen met betrekking tot de te verrichten verwerkingen van persoonsgegevens, tegen verlies of tegen enige vorm van onrechtmatige verwerking (zoals onbevoegde ken- nisname, aantasting, wijziging of verstrekking van de persoonsgegevens). Subverwerker heeft hiertoe de in Bijlage 2 benoemde beveiligingsmaatregelen genomen.
6.2 Subverwerker staat er niet voor in dat de beveiliging onder alle omstandigheden doeltref- fend is. Subverwerker zal zich inspannen om de beveiliging te laten voldoen aan een ni- veau dat, gelet op de stand van de techniek, de gevoeligheid van de persoonsgegevens en de aan het treffen van de beveiliging verbonden kosten, niet onredelijk is.
Artikel 7. Meldplicht datalekken
7.1 In het geval van ontdekking van een datalek (een inbreuk op de beveiliging van persoons- gegvens die leidt tot een aanzienlijke kans op ernstige nadelige gevolgen, dan wel ern- stige nadelige gevolgen heeft, voor de bescherming van persoonsgegevens zoals be- doeld in art. 33 lid 1 AVG) zal Subverwerker de Verwerker daarover zonder onredelijke vertraging informeren, naar aanleiding waarvan de Verwerker beoordeelt of zij de Autori- teit Persoonsgegevens en/of betrokkene(n) zal informeren of niet. Verwerker is verant- woordelijk voor het voldoen aan eventuele wettelijke meldplichten. De meldplicht geldt enkel indien het lek daadwerkelijk heeft plaatsgevonden.
7.2 De meldplicht van verwerker aan verwerkingsverantwoordelijke behelst in ieder geval het melden van het feit dat er een lek is geweest alsmede, voor zover bekend bij Subverwer- ker:
• wat de (vermeende) oorzaak is van het lek;
• wat het (vooralsnog bekende en/of te verwachten) gevolg is;
• wat de (voorgestelde) oplossing is;
• contactgegevens voor de opvolging van de melding;
• het aantal personen waarvan gegevens zijn gelekt (indien geen exact aantal bekend is: het minimale en maximale aantal personen waarvan gegevens zijn gelekt);
• een omschrijving van de groep personen van wie gegevens zijn gelekt;
• het soort of de soorten persoonsgegevens die gelekt zijn;
• de datum waarop het lek heeft plaatsgevonden (indien geen exacte datum bekend is: de periode waarbinnen het lek heeft plaatsgevonden);
• de datum en het tijdstip waarop het lek bekend is geworden bij Subverwerker of bij een door hem ingeschakelde derde of onderaannemer;
• of de gegevens versleuteld, gehasht of op een andere manier onbegrijpelijk of on- toegankelijk zijn gemaakt voor onbevoegden;
• Wat de voorgenomen en/of reeds ondernomen maatregelen zijn om het lek te dich- ten en om de gevolgen van het lek te beperken.
7.3 Verwerker zal zorgdragen voor het voldoen aan eventuele (wettelijke) meldplichten. In- dien de wet- en/of regelgeving dit vereist zal Subverwerker meewerken aan het informe- ren van de terzake relevante autoriteiten en/of betrokkenen.
7.4 Indien de Verwerker een (voorlopige) melding verricht bij de Autoriteit Persoonsgegevens en/of de betrokkene(n) over een datalek bij Subverwerker, zonder dat de Verwerker dit vooraf heeft besproken met Subverwerker, dan is de Verwerker aansprakelijk voor door Subverwerker geleden schade en kosten. De Verwerker is daarnaast verplicht een derge- lijke melding direct in te trekken.
Artikel 8. Afhandeling verzoeken van betrokkenen
8.1 In het geval dat een betrokkene een verzoek over zijn persoonsgegevens richt aan Sub- verwerker, zal Subverwerker het verzoek doorsturen aan Verwerker en de betrokkene hiervan op de hoogte stellen. Verwerker zal het verzoek vervolgens verder zelfstandig afhandelen. Indien blijkt dat de Verwerker hulp benodigd heeft van Subverwerker voor de uitvoering van een verzoek van een betrokkene, zal Subverwerker hieraan meewerken en kan Subverwerker hiervoor de redelijke kosten in rekening brengen.
Artikel 9. Geheimhouding en vertrouwelijkheid
9.1 Op alle persoonsgegevens die Subverwerker van Verwerker ontvangt en/of zelf verza- melt in het kader van deze Subverwerkersovereenkomst, rust een geheimhoudingsplicht jegens derden.
9.2 Deze geheimhoudingsplicht is niet van toepassing:
• Voor zover Verwerker vooraf schriftelijk uitdrukkelijke toestemming heeft gegeven om de informatie aan derden te verschaffen; en
• indien er een wettelijke verplichting bestaat om de informatie aan een derde te ver- strekken.
Artikel 10. Audit
10.1 Verwerker heeft het recht om audits uit te laten voeren door een onafhankelijke ICT-des- kundige die aan geheimhouding is gebonden ter controle van naleving van alle punten uit deze Subverwerkersovereenkomst.
10.2 Deze audit vindt uitsluitend plaatst nadat Verwerker de bij Subverwerker aanwezige soortgelijke auditrapportages heeft opgevraagd, beoordeeld en redelijke argumenten aanbrengt die een door Verwerker geïnitieerde audit alsnog rechtvaardigen. Een derge- lijke audit wordt gerechtvaardigd wanneer de bij Subverwerker aanwezige soortgelijke auditrapportages geen of onvoldoende uitsluitsel geven over het naleven van deze Sub- verwerkersovereenkomst door Subverwerker. De door Verwerker geïnitieerde audit vindt twee weken na voorafgaande aankondiging door Verwerker, maximaal eens per kalen- derjaar plaats.
10.3 Subverwerker zal aan de audit meewerken en alle voor de audit redelijkerwijs relevante informatie, inclusief ondersteunende gegevens zoals systeemlogs, en medewerkers zo tijdig mogelijk en binnen een redelijke termijn, waarbij een termijn van maximaal twee weken redelijk is tenzij een spoedeisend belang zich hiertegen verzet, ter beschikking stellen.
10.4 De bevindingen naar aanleiding van de uitgevoerde audit zullen door Partijen in onderling overleg worden beoordeeld en, naar aanleiding daarvan, al dan niet worden doorgevoerd door één van de Partijen of door beide Partijen gezamenlijk.
10.5 De redelijke kosten voor de audit worden door de Verwerker gedragen, met dien ver- stande dat de kosten voor de in te huren ICT-deskundige altijd door Verwerker zullen worden gedragen.
Artikel 11. Duur en beëindiging
11.1 De Subverwerkersovereenkomst is aangegaan voor de duur zoals bepaald in de Hoofd- overeenkomst tussen Partijen en bij gebreke daarvan in ieder geval voor de duur van de samenwerking.
11.2 De Subverwerkersovereenkomst kan tussentijds niet worden opgezegd.
11.3 Partijen mogen deze Subverwerkersovereenkomst alleen wijzigen met wederzijdse in- stemming.
11.4 Na beëindiging van de Subverwerkersovereenkomst vernietigt Subverwerker de van Ver- werker ontvangen persoonsgegevens binnen 2 maanden, tenzij partijen anders overeen komen.
Artikel 12. Aansprakelijkheid
12.1 Partijen zijn ieder verantwoordelijk en aansprakelijk voor hun eigen handelen conform de normale wettelijke regeling. De aansprakelijkheid van Partijen voor schade als gevolg van een toerekenbare tekortkoming in de nakoming van de Subverwerkersovereenkomst, dan wel uit onrechtmatige daad of anderszins, is per gebeurtenis (een reeks opeenvol- gende gebeurtenissen geldt als één gebeurtenis) beperkt tot de vergoeding van maxi- maal de contractwaarde van de Hoofdovereenkomst overeenkomst over de zes (6) maanden voorafgaande aan de schadeveroorzakende gebeurtenis.
12.2 De in het vorige lid bedoelde beperking van de aansprakelijkheid komt te vervallen indien en voor zover de schade het gevolg is van opzet of bewuste roekeloosheid van Partijen of hun bedrijfsleiding.
12.3 Tenzij nakoming door een Partij blijvend onmogelijk is, ontstaat de aansprakelijkheid van deze Partij wegens toerekenbare tekortkoming in de nakoming van de Subverwerkers- overeenkomst slechts indien de ene Partij de andere Partij onverwijld schriftelijk in ge- breke stelt, waarbij een redelijke termijn voor de zuivering van de tekortkoming wordt gesteld, en de Partij die in gebreke is ook na die termijn toerekenbaar blijft tekortschieten in de nakoming van haar verplichtingen. De ingebrekestelling dient een zo volledig en gedetailleerd mogelijke omschrijving van de tekortkoming te bevatten, opdat de Partij die in gebreke blijft, in de gelegenheid wordt gesteld adequaat te reageren.
12.4 Iedere vordering tot schadevergoeding door de ene Partij tegen de andere Partij die niet gespecificeerd en expliciet is gemeld, vervalt door het enkele verloop van twaalf (12) maanden na het ontstaan van de vordering.
Artikel 13. Overige bepalingen
13.1 De Subverwerkersovereenkomst en de uitvoering daarvan worden beheerst door Neder- lands recht.
13.2 Alle geschillen, die tussen Partijen mochten ontstaan in verband met de Subverwerkers- overeenkomst, zullen worden voorgelegd aan de bevoegde rechter in het arrondisse- ment waar Subverwerker is gevestigd.
13.3 Indien de privacywetgeving wijzigt, zullen partijen meewerken deze Subverwerkersover- eenkomst aan te passen teneinde aan deze wetgeving te kunnen (blijven) voldoen.
13.4 Logs en gedane metingen door Subverwerker gelden als dwingend bewijs, behoudens tegenbewijs te leveren door Xxxxxxxxx.
13.5 Door ondertekening van deze Subverwerkersovereenkomst vervalt de voorgaande tus- sen de Verwerker en Subverwerker gesloten Bewerkersovereenkomst.
13.6 In geval van strijdigheid van verschillende documenten of de bijlagen daarvan, geldt de volgende rangorde:
1. deze Subverwerkersovereenkomst;
2. de Hoofdovereenkomst;
3. de Algemene Voorwaarden van Subverwerker;
4. eventuele aanvullende voorwaarden.
Aldus overeengekomen en getekend,
Verwerker | Subverwerker |
Datum | Datum 19-09-2019 |
Naam | Naam Xxxxxx Xxxxxxx |
Handtekening | Handtekening |
BIJLAGE 1 – LIJST MET SOORT PERSOONSGEGEVENS EN BETROKKENEN
Bij het uitvoeren van de werkzaamheden, zoals aangeduid in de Hoofdovereenkomst, verwerkt de Subverwerker persoonsgegevens. Afhankelijk van de door Xxxxxxxxx gebruikte diensten en keuzes in de inrichting van die diensten kunnen de volgende (soort) Persoonsgegevens worden verwerkt:
• Naam-, adres- en woonplaatsgegevens
• Diploma, Certificaat en bewijs van deelname gegevens (o.a. geboortedatum, ge- boorteplaats en geboorteland)
• Opleiding gerelateerde registratienummers (o.a. VCA nummer en PE-Online Relatie- nummer)
• Contactgegevens (o.a. telefoonnummers en e-mailadressen)
• Leergegevens (o.a. resultaten en voortgang)
• Dienstverband gegevens (o.a. personeelsnummer, Start- en einddata, functie en af- deling)
• Inlogprocedure gegevens (o.a. gebruikersnaam en wachtwoord)
• Pasfoto’s
Verwerker staat ervoor in dat de in deze Bijlage 1 omschreven persoonsgegevens en catego- rieën betrokkenen volledig en correct zijn, en vrijwaart Subverwerker voor enige gebreken en aanspraken die resulteren uit een incorrecte weergave door Xxxxxxxxx.
De Persoonsgegevens van de volgende categorieën van Betrokkenen kunnen worden verwerkt:
• Personen die Leren (o.a. opleidingen, cursussen en trainingen (gaan) volgen of heb- ben gevolgd);
• Personen die zijn betrokken bij het Leerproces (o.a. bij het plannen, inrichten, uit- voeren, beoordelen en rapporteren);
BIJLAGE 2 - BEVEILIGINGSMAATREGELEN
Subverwerker heeft de volgende beveiligingsmaatregelen genomen:
Logische toegangscontrole die o.a. bestaat uit:
• Iedere medewerker heeft een eigen inlog op het netwerk welke is voorzien van een wachtwoord.
• Automatische controle op goed gebruik van wachtwoorden (onder andere vol- doende sterke wachtwoorden en directe wijziging van initieel wachtwoord).
• Gebruik van een autorisatiematrix, hiermee krijgen medewerkers alleen toegang op delen van het systeem waar zij vanuit het functie daadwerkelijk recht op hebben.
• Bij extern gebruik vanuit een niet vertrouwde omgeving vindt sterke authenticatie (two-factor) van de medewerker plaats.
Fysieke en organisatorische maatregelen voor toegangsbeveiliging die o.a. bestaat uit:
• Toegang tot het kantoor van Subverwerker is geregeld middels een toegangsdeur voorzien van een sleutelslot en buiten werktijden beveiligd met een alarmsysteem die gekoppeld is aan een alarmcentrale.
• De toegangsdeur is door bezoekers niet zelfstandig te openen, hier toe dient men aan te bellen en zich via de intercom (met camera) kenbaar te maken bij de recep- tie.
• Camera beveiliging die de diverse hoeken van het pand aan de buitenkant in beeld brengen.
Beveiliging van netwerkverbindingen via Transport Layer Security (TLS) technologie; Geheimhoudingsplicht medewerkers en ingeschakelde derden;
Het periodiek uitvoeren van beveiligingsupdates van alle systemen en software;
• Elke maand worden de servers van voorzien updates.
• Bij servers die automatisch worden voorzien van updates gebeurt dit wekelijks.
• Indien er kritieke updates beschikbaar komen dan worden deze z.s.m. ingepland en uitgevoerd.
Het periodiek uitvoeren van security checks op alle publieke webservers;
• Dagelijks geautomatiseerde vulnerability scan.
• Maandelijkse controle van de configuratie van SSL certificaten en monitoring op de geldigheid ervan.
Het 24/7 monitoren van de beschikbaarheid van alle servers en netwerkcomponenten;
BIJLAGE 3 – Subverwerkers
Lijst met activiteiten van Subverwerkers waarvoor Verwerker een algemene toestemming geeft. De lijst geeft de Subverwerkers weer ten tijde van het afsluiten van de overeenkomst.
Alle producten en diensten van Subverwerker
Activiteit | Subverwerker |
Managed Hosting Provider | Amsio - Maassluis - ISO 27001 |
Datacentrum - hosting & storage | InterXion Nederland - Schiphol-Rijk - ISO 27001 |
Datacentrum - hosting & storage | Maincubes – Amsterdam – ISO 27001 certificerings- proces gestart |
Datacentrum - backup doeleinden | Global Switch - Amsterdam - ISO 27001 |
Specifiek voor de dienst LearnLinq
Activiteit | Subverwerker |
Communicatiesysteem voor sup- port | Intercom Inc. Verwerkt namen en e-mailadressen van een beperkte groep LearnLinq gebruikers. Reguliere gebruikers zo- als Cursisten, Docenten en Managers hebben geen toegang tot het communicatie systeem voor support en worden daarom niet door Intercom verwerkt. Alleen de beperkte groep gebruikers met een administratieve- en/of beheerdersrol worden verwerkt door Intercom en de verwerking wordt uitsluitend uitgevoerd voor het faciliteren van communicatie tussen deze groep en LearnLinq support. Locatie Verenigde Staten. Intercom Inc. staat op de Privacy Shield List en biedt daardoor een passend be- schermingsniveau onder de AVG. |