Contract

In deze Verwerkersovereenkomst is zoveel mogelijk de terminologie aangehouden zoals die ook wordt gebruikt in de wet- en regelgeving.

De ondergetekenden:

1 DIGIFLEX

Xxxxxxxxxx 000, 0000 XX, Xxxxxxx vertegenwoordigd door X. Xxxxxxx hierna te noemen: DIGIFLEX

en

2

vertegenwoordigd door hierna te noemen: Xxxxxxx,

hierna gezamenlijk te noemen: Partijen;

Overwegende dat:

Voor zover DIGIFLEX persoonsgegevens verwerkt ten behoeve van Afnemer in het kader van de Overeenkomst kwalificeert DIGIFLEX krachtens artikel 4, onderdeel 7 en onderdeel 8, van de Verordening als verwerkingsverantwoordelijke voor de Verwerking van Persoonsgegevens en als verwerker;

Partijen in deze Verwerkersovereenkomst, zoals bedoeld in artikel 28, derde lid, van de Verordening, hun afspraken over de Verwerking van Persoonsgegevens door DIGIFLEX wensen vast te leggen.

Komen overeen:

Artikel 1. Begrippen

In deze Verwerkersovereenkomst wordt een aantal begrippen met een beginhoofdletter gebruikt. Onder deze begrippen wordt het volgende verstaan:

Betrokkene: degene op wie een Persoonsgegeven betrekking heeft.

Inbreuk in verband met Persoonsgegevens: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens.

Overeenkomst: het getekende reseller of wholesale-contract tussen DIGIFLEX en Afnemer.

Personeel: medewerkers van DIGIFLEX of door haar ingehuurde medewerkers van onderaannemers, die werkzaamheden voor of namens DIGIFLEX verrichten.

Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon, die DIGIFLEX in het kader van de Overeenkomst ten behoeve van Afnemer verwerkt.

Verordening: Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van de Richtlijn 95/46/EG (algemene verordening gegevensbescherming).

Verwerkersovereenkomst: deze overeenkomst inclusief overwegingen en bijbehorende bijlagen.

Verwerking: een bewerking in het kader van de Overeenkomst met betrekking tot Persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, opvragen, raadplegen, gebruiken, doorzenden, wissen of vernietigen.

Artikel 2. Voorwerp van deze Verwerkersovereenkomst

2.1 Deze Verwerkersovereenkomst regelt de Verwerking van Persoonsgegevens door DIGIFLEX in het kader van de Overeenkomst.

2.2 De aard en het doel van de Verwerking, het soort Persoonsgegevens en de categorieën van Betrokkenen zijn in Bijlage 1 omschreven.

2.3 DIGIFLEX garandeert de toepassing van passende technische en organisatorische maatregelen, opdat de Verwerking aan de vereisten van de Verordening voldoet en de bescherming van de rechten van de Betrokkene is gewaarborgd.

2.4 DIGIFLEX garandeert te voldoen aan de vereisten van de toepasselijke wet- en regelgeving betreffende de verwerking van Persoonsgegevens.

Artikel 3. Inwerkingtreding en duur

3.1 Deze Verwerkersovereenkomst treedt in werking op het moment waarop deze door Partijen is ondertekend.

3.2 Deze Verwerkersovereenkomst eindigt nadat en voor zover DIGIFLEX alle Persoonsgegevens overeenkomstig artikel 10 heeft gewist of terugbezorgd. Hierbij dient rekening te worden gehouden met wettelijke bewaartermijnen, zoals onder andere vastgelegd in de Telecommunicatiewet.

3.3 Geen van Partijen kan deze Verwerkersovereenkomst tussentijds opzeggen.

Artikel 4. Omvang Verwerkingsbevoegdheid DIGIFLEX

4.1 DIGIFLEX verwerkt de Persoonsgegevens volgens de van toepassing zijnde wettelijk voorschriften.

4.2 Verwerking, anders dan wettelijke voorschriften of in deze Verwerkersovereenkomst beschreven, wordt uitsluitend op basis van een schriftelijke overeenkomst met Xxxxxxx verricht.

4.3 Indien een instructie als bedoeld in het eerste lid naar het oordeel van DIGIFLEX in strijd is met een wettelijk voorschrift inzake gegevensbescherming, stelt hij Afnemer daarvan voorafgaand aan de verwerking in kennis, tenzij een wettelijk voorschrift deze kennisgeving verbiedt.

4.4 Indien DIGIFLEX. op grond van een wettelijke verplichting Persoonsgegevens dient te verstrekken, informeert hij Afnemer onmiddellijk, en zo mogelijk voorafgaand aan de verstrekking, tenzij een wettelijk voorschrift deze kennisgeving verbiedt.

Artikel 5. Beveiliging van de Verwerking

5.1 DIGIFLEX treft de technische en organisatorische beveiligingsmaatregelen zoals beschreven in Bijlage 2.

5.2 Partijen erkennen dat het waarborgen van een passend beveiligingsniveau voortdurend kan dwingen tot het treffen van aanvullende beveiligingsmaatregelen. DIGIFLEX streeft een op het risico afgestemd beveiligingsniveau na.

5.3 Indien en voor zover Xxxxxxx daarom uitdrukkelijk schriftelijk verzoekt, zal DIGIFLEX redelijke aanvullende maatregelen treffen met het oog op de beveiliging van de Persoonsgegevens.

5.4 DIGIFLEX verwerkt Persoonsgegevens niet buiten de Europese Unie, behoudens afwijkende wettelijke verplichtingen.

5.5 DIGIFLEX informeert Xxxxxxx zonder onredelijke vertraging zodra hij kennis heeft genomen van onrechtmatige Verwerkingen van Persoonsgegevens of inbreuken op beveiligingsmaatregelen zoals genoemd in het eerste en tweede lid.

5.6 DIGIFLEX verleent Xxxxxxx bijstand bij het doen nakomen van de verplichtingen uit hoofde van de artikelen 32 tot en met 36 van de Verordening.

5.7 DIGIFLEX meldt de komst van zijn Personeel op een locatie van Afnemer tijdig bij Afnemer. DIGIFLEX zorgt ervoor dat zijn Personeel zich op verzoek van Xxxxxxx kan legitimeren en kan aantonen dat zij voor of namens haar werkzaam is.

5.8 Indien het Personeel van DIGIFLEX haar Personeel op locatie van Afnemer werkzaamheden verricht, zullen de daar geldende en aangegeven beveiligingsprocedures en huisregels in acht worden genomen.

Artikel 6. Geheimhouding door Personeel van DIGIFLEX

6.1 De Persoonsgegevens hebben een vertrouwelijk karakter, zoals bepaald in de Verordening.

6.2 DIGIFLEX ziet er op toe dat haar Personeel de geheimhoudingsverplichting nakomt.

6.3 Partijen maken hetgeen hen bij de uitvoering van de Overeenkomst ter kennis komt, en waarvan zij het vertrouwelijke karakter kennen of redelijkerwijs kunnen vermoeden, op geen enkele wijze verder bekend behalve voor zover enig wettelijk voorschrift of uitspraak van de rechter hen tot bekendmaking daarvan verplicht. Onder een uitspraak van de rechter wordt in dit verband ook verstaan een uitspraak van een instantie die bevoegd is om het geschil te beslechten indien partijen een andere vorm van geschillenbeslechting zijn overeengekomen.

Artikel 7. Subverwerker

Wanneer DIGIFLEX een andere verwerker inschakelt om ten behoeve van Afnemer verwerkingsactiviteiten te verrichten, worden aan deze andere verwerker bij een overeenkomst dezelfde verplichtingen inzake gegevensbescherming opgelegd als die welke in deze Verwerkersovereenkomst zijn opgenomen.

Artikel 8. Bijstand vanwege rechten van Betrokkene

DIGIFLEX verleent Xxxxxxx bijstand bij het vervullen van diens plicht om verzoeken om uitoefening van de in hoofdstuk III van de Verordening vastgestelde rechten van de Betrokkene te beantwoorden.

Artikel 9. Inbreuk in verband met Persoonsgegevens

9.1 DIGIFLEX informeert Xxxxxxx zonder onredelijke vertraging, zodra hij kennis heeft genomen van een Inbreuk in verband met Persoonsgegevens, overeenkomstig de afspraken zoals vastgelegd in Bijlage 3.

9.2 DIGIFLEX informeert Xxxxxxx ook na een melding op grond van het eerste lid over ontwikkelingen betreffende de Inbreuk in verband met Persoonsgegevens.

9.3 Partijen dragen de door henzelf in verband met de melding aan de bevoegde toezichthoudende autoriteit en Betrokkene te maken kosten.

Artikel 10. Teruggave Persoonsgegevens

10.1 Deze Verwerkersovereenkomst eindigt nadat en voor zover DIGIFLEX alle Persoonsgegevens overeenkomstig artikel 10 heeft gewist of terugbezorgd. Hierbij dient rekening te worden gehouden met wettelijke bewaartermijnen, zoals onder andere vastgelegd in de Telecommunicatiewet.

10.2 DIGIFLEX wist de Persoonsgegevens binnen 3 maanden na afloop van de Overeenkomst, tenzij de wet anders voorschrijft.

In dat geval zullen de gegevens worden gewist binnen 3 maanden, nadat de wet dit toestaat.

10.3 Indien Afnemer Persoonsgegevens terugbezorgd wenst, kan een vertegenwoordiger van Afnemer de bedoelde gegevens afhalen op het kantooradres van DIGIFLEX De vertegenwoordiger dient zich te legitimeren. De gegevens zullen in .csv-formaat beschikbaar worden gesteld op een fysieke bestandsdrager.

Artikel 11. Informatieverplichting en audit

11.1 DIGIFLEX stelt alle informatie ter beschikking die nodig is om aan te tonen dat de verplichtingen uit deze Verwerkersovereenkomst zijn en worden nagekomen.

11.2 DIGIFLEX verleent alle benodigde medewerking aan audits.

Artikel 12. Overige Voorwaarden Verwerking persoonsgegevens

12.1 Voor zover DIGIFLEX in het kader van de uitvoering van de Overeenkomst persoonsgegevens voor Afnemer verwerkt, wordt DIGIFLEX als verwerker aangemerkt. DIGIFLEX is niet gerechtigd om op enig moment de persoonsgegevens die zij ter beschikking krijgt op enigerlei wijze geheel of gedeeltelijk anders te (doen) gebruiken dan voor de uitvoering van de Overeenkomst, een en ander behoudens afwijkende wettelijke verplichtingen.

12.2 DIGIFLEX zal passende technische en organisatorische beveiligingsmaatregelen treffen om de persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging daarvan, een passend beveiligingsniveau gelet op de risico’s die de verwerking en de aard van de te beschermen gegevens meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen. DIGIFLEX legt de maatregelen schriftelijk vast.

12.3 DIGIFLEX verwerkt persoonsgegevens op behoorlijke en zorgvuldige wijze en in overeenstemming met de toepasselijke wet- en regelgeving alsmede een eventueel toepasselijke gedragscode van Afnemer. Het voorgaande geldt onverkort ook voor grensoverschrijdende verzending en/of distributie en/of verstrekking van persoonsgegevens naar niet EU-landen.

12.4 DIGIFLEX verleent Xxxxxxx haar volledige medewerking om Xxxxxxxxxxx (i) inzage in hun persoonsgegevens te laten krijgen, (ii) persoonsgegevens te laten verwijderen of te corrigeren, en/of

(iii) aan te laten tonen dat persoonsgegevens verwijderd of gecorrigeerd zijn indien zij incorrect zijn of, indien Xxxxxxx het standpunt van betrokkene bestrijdt, vast te leggen dat betrokkene zijn persoonsgegevens als incorrect beschouwt.

Aldus overeengekomen en in tweevoud ondertekend,

Plaats……………..,datum…………. Plaats: . . . . . . . . . . . . . , datum: . . . . . . . . . . . . .

Namens DIGIFLEX Namens

X. Xxxxxxx, directeur

Bijlage 1. De Verwerking van Persoonsgegevens

In deze bijlage wordt het volgende nader gespecificeerd:

Onderwerp/aard en doel van de Verwerking

DIGIFLEX is telecomoperator en levert telecommunicatiediensten. Dientengevolge is DIGIFLEX gebonden aan de Telecommunicatiewet.

In deze wet is geregeld welke data bewaard dient te worden en wat de bewaartermijn is van de gegevens die DIGIFLEX verzameld.

Soort Persoonsgegevens

Het soort Persoonsgegevens die DIGIFLEX vastlegt als gevolg van de verplichtingen uit de Telecommunicatiewet zijn:

– NAW-gegevens, gekoppeld aan het telefoonnummer waarmee de Betrokkene is gekoppeld aan het netwerk van DIGIFLEX;

– Belgegegevens (metadata) ten behoeve van facturering en wettelijke verplichting.

Ontvangers van Persoonsgegevens

De belkosten worden periodiek, gespecificeerd in rekening gebracht bij reseller/wholesale-partijen, waarmee Xxxxxxxxxxx een contractuele relatie inzake telecommunicatie hebben.

In de specificatie zijn de belgegevens gekoppeld aan NAW-gegevens met bijbehorend telefoonnummer.

Bijlage 2

Passende technische en organisatorische maatregelen

Gehanteerde normen en genomen maatregelen t.a.v. de beveiliging van de Verwerking Fysieke beveiliging

DIGIFLEX heeft haar gegevenssystemen ondergebracht bij BORG klasse 4 beveiligde datacenters. Dit is de hoogst haalbare norm in Nederland voor een bedrijfspand en geeft garanties voor adequate elektronische en bouwkundige toegangsbeveiliging.

Netwerk beveiliging

DIGIFLEX beveiligt de verbinding met de gegevenssystemen met een SHA256withRSA beveiligd certificaat. Oudere internet browsers die het recente versleutelingsprotocol TLS1.2 niet ondersteunen hebben geen toegang.

Toegang tot de gegevenssystemen wordt strikt beperkt door een firewall. De beheersfuncties zijn alleen toegankelijk vanuit netwerkadressen van DIGIFLEX.

Gegevens die online beschikbaar worden gesteld aan klanten zijn slechts toegankelijk vanaf het netwerkadres van de klant.

Applicatie beveiliging

Om toegang tot DIGIFLEX diensten te krijgen is authenticatie met account uit een toegangssysteem (Single Sign On Identity and Access Management System) vereist. Bij het aanmelden worden moderne standaarden gebruikt als OpenID Connect en OAuth 2.0.

Wachtwoorden dienen van voldoende lengte en complexiteit te zijn en worden gehashed opgeslagen (PBKDF2-SHA256 met 27000 iteraties). Ook is er ondersteuning voor Two-factor Authentication (2FA). Toewijzen van autorisaties is voorbehouden aan medewerkers van DIGIFLEX Een klant is alleen geautoriseerd tot de gegevens die aan de klant toebehoren.

Organisatorisch

Slechts de directie en door haar (schriftelijk) aangewezen en gevolmachtigd personeel heeft toegang tot de belgegevens van abonnees.

Juridisch

Iedere medewerker van DIGIFLEX heeft een geheimhoudingsverklaring ondertekend t.a.v. alle gegevens die zich binnen DIGIFLEX bevinden, ontstaan en worden verwerkt.

Bewaartermijn van gegevens tijdens de looptijd van de Overeenkomst NAW-gegevens Afnemers

Deze NAW-gegevens van worden niet gewist zolang de Overeenkomst duurt, daar deze gegevens bij voortduring nodig zijn voor administratieve doeleinden zoals facturering.

Indien de gegevens niet accuraat of uptodate zijn, zullen zij worden aangepast.

NAW-gegevens Betrokkenen

Deze NAW-gegevens van worden niet gewist zolang de Overeenkomst duurt, daar deze gegevens bij voortduring nodig zijn voor het vast leggen van Belgegevens en -statistieken.

Belgegevens en -statistieken

Deze gegevens worden minimaal bewaard gedurende de termijn die de Telecommunicatiewet voorschrijft.

Na afloop van deze verplichte bewaartermijn worden de gegevens spoedig gewist, doch uiterlijk binnen 3 maanden.

Bewaartermijn van gegevens na afloop van de Overeenkomst

Hoe DIGIFLEX omgaat met de hierbovengenoemde gegevens na afloop van de Overeenkomst is vastgelegd in de Verwerkersovereenkomst. (Artikel 10. Teruggave Persoonsgegevens)

Maatregelen t.a.v het eigen Personeel van DIGIFLEX

De maatregelen die DIGIFLEX heeft getroffen ten aanzien van het eigen Personeel is vastgelegd in de Verwerkersovereenkomst. (Artikel 6. Geheimhouding door Personeel van DIGIFLEX)

Bijlage 3

Afspraken betreffende Inbreuken in verband met Persoonsgegevens

Verstrekte informatie bij Inbreuk

Indien er een Inbreuk in verband met Persoonsgegevens heeft plaatsgevonden zal DIGIFLEX betrokken Afnemers zo snel mogelijk informeren nadat de omvang en wijze van de Inbreuk duidelijk is geworden.

Deze informatie omvat minimaal de volgende gegevens:

1. De aard van de Inbreuk in verband met Persoonsgegevens;

2. De aard van de Persoonsgegevens en Betrokkenen;

3. Welke Betrokkenen het betreft;

4. De waarschijnlijke gevolgen van de Inbreuk in verband met Persoonsgegevens;

5. De maatregelen die DIGIFLEX voorstelt of reeds heeft genomen om de Inbreuk in verband met Persoonsgegevens aan te pakken.

In voorkomend gevallen zullen ook maatregelen ter beperking van de eventuele nadelige gevolgen van de plaatsgevonden Inbreuk hiervan onderdeel uitmaken.