Aanvullende voorwaarden AVG (“verwerkersovereenkomst”)
Aanvullende voorwaarden AVG (“verwerkersovereenkomst”)
Versie: 1 mei 2020
Indien u een Overeenkomst (zie artikel 1 van deze voorwaarden) gesloten heeft met MatchQ B.V. om diensten aan u te leveren bestaande uit software en bijbehorende ondersteuning en/of advisering, dan zijn deze aanvullende voorwaarden van toepassing. Bij deze dienstverlening verwerken wij als Verwerker Persoonsgegevens (zie bijlage 1) voor u in de rol van Verwerkingsverantwoordelijke. In deze aanvullende voorwaarden worden Partijen verder ook als Verwerker en Verantwoordelijke geduid.
Deze aanvullende voorwaarden maken integraal onderdeel uit van bovengenoemde Overeenkomst, tenzij schriftelijk anders overeengekomen is, en door gebruik te maken van genoemde diensten gaat u akkoord met deze aanvullende voorwaarden.
OVERWEGENDE:
A. Dat Verwerker en Verantwoordelijke een overeenkomst (zoals gedefinieerd onder artikel 1 van deze Verwerkersovereenkomst) hebben gesloten waaronder Verwerker diensten levert aan Verantwoordelijke. Deze diensten bestaan uit het leveren van (o.a. assessment-) software en bijbehorende ondersteuning en advisering. Deze verwerkersovereenkomst maakt hier onderdeel van uit.
B. Dat Verwerker onder deze Overeenkomst de persoonsgegevens zal verwerken die zijn uiteengezet in Bijlage 1.
C. Dat de AVG (zoals gedefinieerd onder artikel 1 van deze Verwerkersovereenkomst) vanaf 25 mei 2018 op grond van artikel 28 AVG verplicht zijn om een Verwerkersovereenkomst te sluiten voor de verwerking van persoonsgegevens; en
D. Dat Partijen deze Verwerkersovereenkomst sluiten zodat (i) Verantwoordelijke aan haar verplichtingen op grond van de AVG kan voldoen; en (ii) Partijen persoonsgegevens in overeenstemming met de AVG verwerken.
KOMEN OVEREEN ALS VOLGT:
1. DEFINITIES
In deze Verwerkersovereenkomst worden de hierna volgende termen in de navolgende betekenis gebruikt, tenzij uitdrukkelijk anders is aangegeven.
"AVG" de Algemene Verordening Gegevensbescherming (EU) 2016/679.
"Datalek" iedere inbreuk op de beveiliging van Persoonsgegevens voor zover deze gemeld moet worden aan de Autoriteit Persoonsgegevens en/of betrokkenen onder de AVG;
"Overeenkomst" de overeenkomst inclusief wijzigingen en aanvullende overeenkomsten,
zoals die ter zake tussen Verantwoordelijke en Verwerker bestaan;
"Persoonsgegevens" de gegevens betreffende een geïdentificeerde of identificeerbare
natuurlijke persoon die Verwerkt worden door de Verwerker onder de Overeenkomst, zoals opgenomen in Bijlage 1;
"Sub Verwerker" een verwerker, zoals gedefinieerd in de AVG, die in opdracht van de
Verwerker Persoonsgegevens zal Verwerken ten behoeve van de Verantwoordelijke;
"Verwerken" of "Verwerking" elke handeling of elk geheel van handelingen met betrekking tot
Persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens; en
"Verwerkersovereenkomst" deze Verwerkersovereenkomst, inclusief eventuele bijlagen.
2. VERPLICHTINGEN VAN DE VERWERKER
2.1. Behoudens afwijkende wettelijke verplichtingen, zal Verwerker:
a. uitsluitend Persoonsgegevens Verwerken conform Overeenkomst en instructies van de Verantwoordelijke;
b. Persoonsgegevens alleen bewaren zolang de Verantwoordelijke dat verlangt en de Persoonsgegevens wijzigen, anonimiseren, blokken of verwijderen zodra de Verantwoordelijke daartoe instructies geeft;
c. de Verantwoordelijke bijstand verlenen bij het doen nakomen van de verplichtingen uit hoofde van de artikelen 35 en 36 AVG tegen een nader overeen te komen uurtarief.
d. rekening houdend met de aard van de verwerking, de Verantwoordelijke door middel van passende technische en organisatorische maatregelen, voor zover mogelijk, bijstand verlenen bij het vervullen van de plicht van Verantwoordelijke om verzoeken om uitoefening van de rechten van de betrokkene onder de AVG te beantwoorden; en
e. ervoor zorgen dat alleen (i) haar werknemers en (ii) Sub Verwerkers toegang krijgen tot Persoonsgegevens en slechts zolang dit noodzakelijk is in het kader van de uitvoering van de verplichtingen van de Verwerker onder de Overeenkomst, en dat deze bij de verwerking de vertrouwelijkheid in acht nemen;
f. desgevraagd samenwerken met de toezichthoudende autoriteit bij het vervullen van haar taken.
3. TECHNISCHE EN ORGANISATORISCHE MAATREGELEN
3.1. De Verwerker zal rekening houdend met de aard van de verwerking en de hem ter beschikking staande informatie de technische en organisatorische maatregelen treffen en in stand houden, zoals uiteengezet in Bijlage 2.
3.2. De Verantwoordelijke heeft nadrukkelijk kennis genomen van deze in Bijlage 2 opgenomen maatregelen.
4. SUB VERWERKERS
4.1. Het is de Verwerker toegestaan om in het kader van deze Verwerkersovereenkomst gebruik te maken van een Sub Verwerkers. De Sub Verwerkers zijn opgenomen in Bijlage 3 van de Verwerkersovereenkomst.
4.2. In het geval van beoogde veranderingen inzake de toevoeging of vervanging van Sub Verwerkers wordt de Verantwoordelijke hierover door de Verwerker op de hoogte gesteld. Verantwoordelijke is gerechtigd om binnen twee weken na ontvangst van dit bericht bezwaar
te maken tegen deze verandering. Partijen zullen over dit bezwaar in overleg treden. Indien dit overleg niet leidt tot het wegnemen van het bezwaar dan kan de Verantwoordelijke de Overeenkomst met Verwerker op zeggen tegen de datum waarop de Sub Verwerker zal starten met het Verwerken van de Persoonsgegevens.
4.3. De Verwerker zal de Sub Verwerker dezelfde verplichtingen opleggen als die voor hem uit deze Verwerkersovereenkomst voortvloeien.
5. DOORGIFTE PERSOONSGEGEVENS
5.1. De Verwerker mag Persoonsgegevens doorgeven en Verwerken in een land buiten de Europese Economische Ruimte (EER), indien Verwerker:
- hiertoe verplicht is op grond van een wettelijk voorschrift; of
- gebruik maakt van een modelcontract als bedoeld in artikel 46, tweede lid, sub c en d van de AVG; of
- de doorgifte is toegestaan op basis van een andere grondslag onder Toepasselijke Wetgeving.
5.2. Indien Verwerker verplicht is persoonsgegevens op grond van een wettelijk voorschrift door te geven, zoals is bepaald in artikel -, zal Verwerker de Verantwoordelijke hierover informeren, tenzij het wettelijk voorschrift deze kennisgeving om gewichtige redenen van algemeen belang verbiedt.
6. GEHEIMHOUDING
6.1. Op alle informatie die de Verwerker van de Verantwoordelijke ontvangt, rust een geheimhoudingsplicht jegens derden. Verwerker zal de Persoonsgegevens geheimhouden en zal haar werknemers en Sub Verwerkers voordat zij toegang verkrijgen tot de Persoonsgegevens, contractueel verplichten tot geheimhouding van de Persoonsgegevens waarvan zij met betrekking tot de uitvoering van de Overeenkomst kennis kunnen nemen.
6.2. Deze geheimhoudingsplicht is niet van toepassing voor zover de Verantwoordelijke zijn voorafgaande uitdrukkelijke toestemming heeft gegeven om informatie aan derden te verstrekken of indien het verstrekken van informatie aan derden logischerwijs noodzakelijk is gezien de aard van de door de Verantwoordelijke aan de Verwerker verstrekte opdracht. De geheimhoudingsplicht is niet van toepassing indien de Verwerker op grond van een wettelijke verplichting de informatie aan een derde dient te verstrekken.
6.3. Na beëindiging van deze Verwerkersovereenkomst blijft deze geheimhoudingsplicht bestaan.
7. MELDPLICHT
7.1. Verwerker zal Verantwoordelijke volledig en zonder onredelijke vertraging informeren over ieder Datalek zodra zij met het bestaan van de Datalek bekend is geworden, onder andere over:
a. het tijdstip van aanvang van de Datalek;
b. de aard en de omvang en gevolgen van de Datalek;
c. de verwachte hersteltijd; en
d. welke maatregelen zijn genomen of worden voorgesteld om te nemen om de Datalek te beëindigen.
7.2. De informatie onder 7.1. zal door Verwerker verstrekt worden aan de contactpersoon die bij haar bekend is. Indien deze informatie aan een andere contactpersoon moet worden doorgegeven verstrekt Verantwoordelijke aan Verwerker naam, functie en contactgegevens.
7.3. Verwerker zal maatregelen nemen die redelijkerwijs van haar kunnen worden verwacht om de nadelige gevolgen van de Datalek in voorkomend geval te herstellen, dan wel zoveel mogelijk te beperken. Deze maatregelen zal de Verwerker voorts ook zo snel mogelijk aan de Verantwoordelijke melden.
8. AUDITS
8.1. Verwerker zal binnen de grenzen van redelijkheid Verantwoordelijke desgevraagd informatie ter beschikking stellen die nodig is om de nakoming van de in de Verwerkersovereenkomst neergelegde verplichtingen aan te tonen.
8.2. Verantwoordelijke is voorts gerechtigd om een audit te (laten) doen naar de naleving door de Verwerker van artikel 28 AVG en de technische en organisatorische maatregelen in Bijlage 2. Uitgangspunt hierbij is dat de audit wordt uitgevoerd door een door Verwerker aangewezen onafhankelijke derde, en dat de redelijke kosten voor rekening van Verantwoordelijke komen. Partijen zullen hierover in overleg afspraken maken.
9. AANSPRAKELIJKHEID
9.1. Met betrekking tot de (beperking van) aansprakelijkheid van Verwerker, geldt hetgeen tussen Partijen is overeengekomen onder de Overeenkomst.
9.2. Verantwoordelijke garandeert Verwerker dat de door haar aan Verwerker opgedragen werkzaamheden rechtmatig zijn en vrijwaart en stelt schadeloos Verwerker ter zake van (i) alle schade; en (ii) aan Verwerker of Verantwoordelijke opgelegde boetes door toezichthouders in verband met een tekortkoming in de nakoming van deze verplichting.
9.3. Verantwoordelijke vrijwaart en stelt de Verwerker schadeloos met betrekking tot de Verwerking van de Persoonsgegevens onder deze Verwerkersovereenkomst ter zake van (i) alle schade; en (ii) aan Verwerker of Verantwoordelijke opgelegde boetes door toezichthouders in verband met een tekortkoming in de nakoming van één of meer verplichtingen van de Verantwoordelijke uit de Verwerkersovereenkomst of uit hoofde van toepasselijke wetgeving, waaronder de AVG.
9.4. Indien er inzake de aansprakelijkheid geen nadere afspraken onder de overeenkomst zijn overeengekomen geldt hierover hetgeen is opgenomen in onze Algemene Voorwaarden zoals gedeponeerd bij de Kamer van Koophandel onder nummer 63800276.
10. DUUR EN BEËINDIGING VERWERKERSOVEREENKOMST
10.1. Deze Verwerkersovereenkomst wordt gesloten op het moment dat Partijen deze hebben ondertekend en loopt door tot beëindiging van de Overeenkomst.
10.2. Verwerker draagt er zorg voor dat de hiervoor bedoelde Persoonsgegevens onverwijld na beëindiging van de Overeenkomst, of zoveel eerder als dat mogelijk is, op een wijze naar keuze van de Verantwoordelijke, over te dragen aan Verantwoordelijke. De Verantwoordelijke zal alleen een medium kiezen dat wordt aangeboden door de Verwerker, waaronder Excel en SQL.
10.3. Na overdracht, schriftelijke afwijzing van overdracht door Verantwoordelijke, of indien de Verantwoordelijke niet reageert, na één maand na het aanbod tot overdracht, dient de Verwerker de Persoonsgegevens onverwijld te vernietigen. Op eerste verzoek van Verantwoordelijke zal Verwerker schriftelijk bevestigen dat dit daadwerkelijk gebeurd is.
11. OVERIGE BEPALINGEN
11.1. Op deze Verwerkersovereenkomst is Nederlands recht van toepassing.
11.2. Verwerker heeft het recht om deze voorwaarden eenzijdig te wijzigen als daarvoor een zwaarwegend belang is en Verantwoordelijke hierdoor niet onevenredig zwaar benadeeld wordt.
BIJLAGE 1
BESCHRIJVING VERWERKING PERSOONSGEGEVENS
Categorieën persoonsgegevens
Verwerker zal van klanten en medewerkers/gebruikers van klanten, sollicitanten, werknemers van Verantwoordelijke persoonsgegevens verwerken.
Het betreft hier met name de onderstaande gegevens.
Sollicitanten en/of medewerkers:
• NAWTE;
• Geslacht;
• Geboortedatum;
• CV, inclusief werkervaring en opleiding;
• Beschikbaarheidsgegevens;
• Audio- en/of video-opnames (video op vrijwillige basis);
• E-mailcommunicatie;
• Uitslagen op gemaakte assessmentonderdelen;
• Evt. kan Verantwoordelijke van medewerkers ook uitslagen op prestatie-indicatoren aanleveren.
Gebruikers:
• Inloggegevens, naam, telefoonnummer, email inclusief communicatie.
Klantgegevens:
• Naam contactpersoon, telefoonnummer, email inclusief communicatie.
Verwerking persoonsgegevens
Verwerker levert (assessment-) software en support aan Verantwoordelijke welke door Verantwoordelijke wordt gebruikt om de bovengenoemde gegevens mee te verwerken en/of op te slaan in de daarvoor door Verwerker opgezette databases.
Verwerker hanteert om redenen van gebruiksgemak en service voor de bewaartermijn een defaultwaarde van 1 jaar en gaat er vanuit dat Verantwoordelijke in dit kader de nodige maatregelen treft richting betrokkenen. Indien Verantwoordelijke een andere bewaartermijn wenst in te stellen dient zij Verwerker hierover te instrueren.
BIJLAGE 2
BESCHRIJVING TECHNISCHE EN ORGANISATORISCHE MAATREGELEN
Deze Bijlage beschrijft de technische en organisatorische maatregelen en procedures die Verwerker zal nemen om de verwerking van Persoonsgegevens passend te beveiligen. Verwerker zal documentatie van de technische en organisatorische maatregelen bewaren als bewijs.
Informatiebeveiligingsbeleid
• Wij werken conform informatiebeveiligingsbeleid waarin rollen en verantwoordelijkheden zijn vastgelegd.
Medewerkers
• Medewerkers en ingehuurde externen krijgen, voor zover relevant voor hun functie, xxxxxxx doende instructies en training. Ook stimuleren wij privacy en security bewustzijn.
• Medewerkers tekenen voor geheimhouding en vertrouwelijkheid en weten dat ze gegevens alleen in opdracht van onze klanten mogen verwerken.
• We voeren functiescheiding door in beheer en gebruik.
• In uitzonderlijke gevallen worden persoonsgegevens door medewerkers van ons zusterbedrijf in de Oekraïne verwerkt, en enkel met toestemming van Xxxxxxxxx.
Toegangsbeveiliging
• We hanteren een autorisatiebeleid op basis waarvan alleen bevoegde gebruikers toegang tot de informatiesystemen hebben en alleen tot data die noodzakelijk voor hun functie zijn.
Logging en controle
• Activiteiten van werknemers alsmede verstoringen en pogingen tot ongeautoriseerd toegang worden gelogd en gecontroleerd.
• Jaarlijks vindt er een onafhankelijke externe toetsing plaats op naleving van in deze bijlage genoemde maatregelen. De uitkomst hiervan wordt in de vorm van een Third Party Inspection Memorandum met Verantwoordelijke gedeeld.
Netwerk-, server- en applicatiebeveiliging en onderhoud
• We zorgen er voor dat gebruikte soft- en hardware en patches up to date zijn.
• We nemen alle relevante maatregelen om virusbesmetting tegen te gaan.
• Onze netwerkomgeving is beveiligd; verkeerstromen zijn gescheiden en er zijn maatregelen geïmplementeerd tegen misbruik en aanvallen.
• We hanteren een up-to-date wachtwoordbeleid en voor het inloggen worden versleutelde verbindingen gebruikt.
• Wij passen versleuteling toe bij de verwerking van (gevoelige) persoonsgegevens bij opslag en verkeer.
Incidentenbeheer
• We hebben procedures voor het tijdig en doeltreffend signaleren (security monitoring) en behandelen van informatiebeveiligingsincidenten en- zwakten, het melden van ‘datalekken’ en het doorvoeren van verbetermaatregelen.
Continuïteitsbeheer
• IT-voorzieningen en apparatuur zijn fysiek beschermd tegen toegang door onbevoegden en tegen schade en storingen.
• We hebben beleid t.a.v. het borgen van de continuïteit van dienstverlening (disaster recovery).
• Om continuïteit van dienstverlening te verzekeren maken we periodieke back-ups.
Apparatuur
• We hanteren een goedkeuringsproces voor de aanschaf van nieuw apparatuur.
• Afgedankte apparatuur en media worden vernietigd of de persoonsgegevens worden zodanig bewerkt dat ze niet meer terug te halen zijn.
Nieuwe systemen
• In alle systemen zijn beveiligingsmaatregelen ingebouwd om er voor te zorgen dat de verwerking aan de vooraf gestelde eisen voldoet.
• Bij de ontwikkeling van nieuwe systemen laten we ons leiden door de uitgangspunten van privacy by design & default.
• We scheiden de test- van de productieomgeving.
Hosting
• Voor hosting van data wordt gebruik gemaakt van Sub Verwerkers waarmee een verwerkersovereenkomst is afgesloten.
BIJLAGE 3
Sub Verwerkers
Verwerker schakelt de navolgende Sub Verwerkers in bij de uitvoering van deze Verwerkersovereenkomst:
• Previder B.V. (hosting NL)
• Sharp Minds Ukraine UA (derdelijns support)