Verwerkersovereenkomst AVG:
Stichting Register Beroepskeuzeadviseurs en Loopbaanbegeleiders (Verantwoordelijke)
en
Xxxxxxx Xxxxxx en Administratie BV, Xxxx Xxxxxxx (Verwerker) AVG
Partijen:
Stichting Register Beroepskeuzeadviseurs en Loopbaanbegeleiders,
gevestigd te Geleen, Xxxxxxxxxx 00, 0000 XX telefoon 0629126885, e-mail xxxx@xxxxxxxxxxxx.xx hierna te noemen: “Verantwoordelijke”, ten deze rechtsgeldig vertegenwoordigd door de xxxx Xxxx Xxxxxxx , in diens hoedanigheid van voorzitter;
en
Joustra Beheer en Administratie BV, gevestigd te Tiel, Xxxxxxxxxxxxx 0, telefoon 0344-614034, e-mail xxxx@xxxxxx.xx ,hierna te noemen: “Verwerker”;
Stichting Register Beroepskeuzeadviseurs en Loopbaanbegeleiders beschikt als verantwoordelijke over persoonsgegevens, te weten
N.A.W. , telefoonnummer, e-mail, geboortedatum en geboorteplaats
van de bij haar aangesloten adviseurs, die verzameld als zijn gevolg van een afspraak tot het leveren van diensten c.q. de registratie van de aangesloten adviseurs.
Stichting Register Beroepskeuzeadviseurs en Loopbaanbegeleiders heeft verwerker ingeschakeld als leverancier en hierdoor heeft verwerker toegang tot deze persoonsgegevens.
Overeengekomen punten:
Beide partijen zijn op de hoogte van de Algemene Verordening Gegevensbescherming, inclusief de meldplicht datalekken en zullen zich gezamenlijk inspannen om aan alle wettelijke eisen te voldoen. De verwerker zal zich in ieder geval houden aan de volgende punten:
1. Partijen komen de AVG na. Voor zover de afspraken tussen partijen niet voorzien in wettelijke vereiste regelingen, komen partijen overeen te handelen in overeenstemming met toepasselijke wet- en regelgeving op gebied van bescherming van persoonsgegevens;
2. Verwerker en degene die onder diens gezag handelen, zijn verplicht om persoonsgegevens waarvan zij kennisnemen geheim te houden;
3. Persoonsgegevens mogen alleen verwerkt worden volgens de instructie van de verantwoordelijke;
4. De verwerker zorgt voor een goede passende beveiliging van persoonsgegevens. Dit gebeurt door het nemen van zowel technische als organisatorische maatregelen;
5. De volgende maatregelen zijn genomen door verwerker ter bescherming van persoonsgegevens:
1. Technische maatregelen bijvoorbeeld firewalls, virusscanner, encryptie, en met wachtwoorden beschermd account.
2. Organisatorische maatregelen, bijvoorbeeld registreren van bezoekers, screenen van nieuwe medewerkers en het afsluiten van ruimtes en panden, beveiligde toegang en locaties van apparatuur.
6. Verwerker mag persoonsgegevens alleen verwerken in opdracht van de verantwoordelijke, voor het door de verantwoordelijke vastgestelde doel. Verwerker mag de gegevens dus niet gebruiken voor eigen marketingacties en doeleinden. Verwerker mag de gegevens niet doorgeven aan andere partijen, tenzij in opdracht van verantwoordelijke;
7. De verwerker mag de gegevens niet verwerken buiten de Europese Unie;
8. Als er een beveiligingsincident ontdekt is, waarbij persoonsgegevens zijn uitgelekt of verloren gegaan, zal de verwerker direct (en in ieder geval binnen 24 uur) de verantwoordelijke telefonisch en per e-mail op de hoogte brengen, zodat de verantwoordelijke kan inschatten of er een melding aan de Autoriteit Persoonsgegevens of betrokkenen nodig is. De verwerker zal vervolgens alle instructies, voortkomend uit het onderzoek van het incident zo snel mogelijk uitvoeren;
8. De looptijd van deze verwerkersovereenkomst is gelijk aan de looptijd van de tussen partijen gesloten overeenkomst/geldende afspraken. In het geval dat de dienstverlening van verwerker aan verantwoordelijke (nog) voortduurt, loopt deze verwerkersovereenkomst door;
9. De verwerker moet bij het beëindigen van diensten op het gebied van verwerking persoonsgegevens alle persoonsgegevens wissen , behalve als het EU-recht of het recht van de lidstaat verplicht tot het bewaren van deze persoonsgegevens;
10. De verwerker is verplicht medewerking en uitvoering te geven aan verzoeken van betrokkenen als bedoeld in artikel 15 t/m 22 van de AVG;
11. De verwerker moet alle informatie met betrekking tot deze verwerkersovereenkomst beschikbaar maken aan verantwoordelijke, bij audits en inspectie door de verantwoordelijke of gemandateerde auditor toestaan en hieraan meewerken. Indien een instructie, volgens de verwerker, tegen de verordening EU-recht of recht van de lidstaat ingaat, moet de verwerker onmiddellijk de verantwoordelijke op de hoogte stellen;
12. In een contract tussen verwerker met een sub-verwerker moeten dezelfde verplichtingen gelden als die uit deze verwerkers overeenkomst. Als de sub-verwerker zijn verplichtingen tot gegevensverwerking niet nakomt, zal de verwerker volledig aansprakelijk zijn jegens de verantwoordelijke.
Definities
In deze Overeenkomst wordt een aantal begrippen gebruikt. De betekenis van die begrippen is hieronder verduidelijkt. De genoemde begrippen worden in deze Overeenkomst met een hoofdletter geschreven. Veelal wordt in de opsomming hieronder gebruik gemaakt van de omschrijving van het begrip uit de wet- en regelgeving op het gebied van privacy.
Betrokkene: | Degene op wie een Persoonsgegeven betrekking heeft. |
Verwerker: | Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienstverlener of een ander orgaan die/ dat ten behoeve van de Verwerkingsverantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen. |
Sub-verwerker: | Een andere verwerker die door de Verwerker wordt ingezet om ten behoeve van de Verwerkingsverantwoordelijke specifieke verwerkingsactiviteiten te verrichten. |
Verwerkingsverantwoordelijke / Verantwoordelijke: | Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt. |
Bijzondere Persoonsgegevens: | Dit zijn gegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken en genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid. Alsmede persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende veiligheidsmaatregelen. |
Datalek / Inbreuk in verband met persoonsgegevens: | Een datalek en/of inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot - of waarbij redelijkerwijs niet uit te sluiten valt dat die kan leiden tot - de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens. |
Derden: | Anderen dan U, Wij als Stichting Register BKA en Onze Medewerkers. |
Meldplicht Datalekken: | De verplichting tot het melden van Datalekken aan de Autoriteit Persoonsgegevens en (in sommige gevallen) aan Betrokkene(n). |
Medewerkers | Personen die werkzaam zijn bij of voor Joustra Dienstverlening, bij |
Stichting Register BKA, ofwel in dienstbetrekking dan wel tijdelijk ingehuurd. | |
Overeenkomst: | Deze verwerkersovereenkomst. |
Persoonsgegevens: | Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (“de Betrokkene”) die in het kader van de “Onderliggende opdracht” wordt verwerkt; als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of door een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon. |
Persoonsgegevens van gevoelige aard | Persoonsgegevens waarbij verlies of onrechtmatige Verwerking kunnen leiden tot (onder meer) stigmatisering of uitsluiting van Betrokkene, schade aan de gezondheid, financiële schade of tot (identiteits)fraude. Tot deze categorieën van persoonsgegevens moeten in ieder geval worden gerekend: • Bijzondere persoonsgegevens • Gegevens over de financiële of economische situatie van de Betrokkene • (Andere) gegevens die kunnen leiden tot stigmatisering of uitsluiting van de Betrokkene • Gebruikersnamen, wachtwoorden en andere inloggegevens • Gegevens die kunnen worden misbruikt voor (identiteits)fraude |
Verwerken / Verwerking: | Een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens. |
AVG | Algemene Verordening Gegevensbescherming, inclusief de uitvoeringswet van deze verordening. De AVG vervangt de Wet bescherming persoonsgegevens per 25 mei 2018. |
Ondertekening
Tiel, 25 mei 2018
St Register Beroepskeuze adviseurs en Loopbaan begeleiders Xxxx Xxxxxxx Voorzitter | Xxxx Xxxxxxx |