VERWERKERSOVEREENKOMST
VERWERKERSOVEREENKOMST
DE ONDERGETEKENDEN:
1. [STATUTAIRE NAAM VAN WEDERPARTIJ] , statutair gevestigd te
[statutaire vestigingsplaats]
, tevens kantoorhoudende te
[vestigingsplaats]
aan het adres [postcode vestiging] [straatnaam vestiging en nummer]
ingeschreven in het Handelsregister van de Nederlandse Kamer van Koophandel onder
registratienummer
[invoegen KvK nummer]
, hierbij rechtsgeldig vertegenwoordigd door
[rechtsgeldig vertegenwoordiger]
hierna te noemen “Verwerkingsverantwoordelijke”;
en
2. SPRINGER MEDIA B.V. statutair gevestigd en kantoorhoudende te Houten aan het adres (3994 DL) Xxxxxxxx 0, ingeschreven in het Handelsregister van de Nederlandse Kamer van Koophandel onder registratienummer 32107635 hierbij rechtsgeldig vertegenwoordigd door xxxxxxx Xxxxxxx Xxxxxxx, directeur, hierna te noemen “Verwerker”;
Verwerkingsverantwoordelijke en Verwerker worden afzonderlijk tevens genoemd “Partij” of gezamenlijk “Partijen”.
OVERWEGENDE DAT:
(a) Verwerker van Verwerkingsverantwoordelijke de opdracht heeft gekregen tot het leveren, beheren en onderhouden van het Testweb Platform ten behoeve van Verwerkingsverantwoordelijke (hierna: de “Opdracht”), één en ander conform de tussen partijen gesloten overeenkomst “Abonnement op Testweb” (hierna: het “Contract”);
(b) Verwerkingsverantwoordelijke, in het kader van de uitvoering van de Opdracht en het Contract door Verwerker, aan Verwerker direct of indirect gegevens zal verstrekken die kunnen kwalificeren als Persoonsgegevens, welke gegevens Verwerker te behoeve van Verwerkingsverantwoordelijke zal Verwerken;
(c) Verwerkingsverantwoordelijke en Verwerker in aanvulling op de al tussen partijen gesloten overeenkomsten, waaronder het Contract, de onderhavige Verwerkersovereenkomst wensen te sluiten om de rechten en verplichtingen ten aanzien van de Verwerking van Persoonsgegevens vast te leggen.
VERKLAREN TE ZIJN OVEREENGEKOMEN ALS VOLGT:
1 Definities
1.1 Partijen hanteren in deze Overeenkomst de onderstaande duidingen, afkortingen en definities (in alfabetische volgorde):
AVG | Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de Verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (Algemene Verordening |
Gegevensbescherming). | |
Betrokkene | De natuurlijke persoon op wie een Persoonsgegeven betrekking heeft. |
Datalek | Een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins Verwerkte Persoonsgegevens. |
EU | De lidstaten van de Europese Unie en, vanaf het moment dat de AVG is geïncorporeerd in de overeenkomst betreffende de Europese Economische Ruimte: IJsland, Liechtenstein en Noorwegen. |
Incident | Iedere redelijke kans op of vrees voor een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze kan leiden tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins Verwerkte Persoonsgegevens. |
Overeenkomst | Deze verwerkersovereenkomst tussen Verwerkingsverantwoordelijke en Verwerker, inclusief de appendices waarnaar wordt verwezen. |
Persoonsgegeven(s) | Alle informatie die een natuurlijke persoon identificeert of identificeerbaar maakt. Als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon. |
Testweb Platform | Het door Springer Media aangeboden online platform waarop GGZ specialisten diverse Tests aan patiënten kunnen aanbieden, Tests worden gescoord volgens officiële normen en het resultaat kan worden geanalyseerd en gerapporteerd. |
Privacy Wet- en Regelgeving | Alle wetten en regelingen, inclusief de wetten en regelingen zoals afkomstig van (enig orgaan of enige institutie van) de Europese Unie, de Europese Economische Ruimte en hun lidstaten, zoals van toepassing op de Verwerking van Persoonsgegevens |
onder het Contract, zoals, maar niet beperkt tot de Wbp, de AVG en de wetten en regels die de AVG binnen de Nederlandse rechtsorde implementeert. | |
Sub-Verwerker | Degene die de Verwerker bijstaat in de Verwerking van Persoonsgegevens. |
Test | Vragenlijsten en meetinstrumenten waarmee specifieke sociale en/of psychische problematiek onderzocht kan worden. Onder meer op het gebied van ADHD, autisme, agressie, leervoorwaarden, sociaal-emotionele problematiek, psychosociale vaardigheden en taal- en spraakstoornissen |
Vertegenwoordiger | Een in de Unie gevestigde natuurlijke persoon of rechtspersoon die uit hoofde van artikel 27 AVG schriftelijk door de Verwerkingsverantwoordelijke of de Verwerker is aangewezen om de Verwerkingsverantwoordelijke of de Verwerker te vertegenwoordigen in verband met hun respectieve verplichtingen krachtens de AVG. |
Verwerker | Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt. |
Verwerking | Een bewerking of een geheel van bewerkingen met betrekking tot Persoonsgegevens of een geheel van Persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van Persoonsgegevens. |
Verwerkingsverantwoordelij ke | De natuurlijke- of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de Verwerking van Persoonsgegevens vaststelt. |
Wbp | Wet van 6 juli 2000, houdende regels inzake de bescherming van persoonsgegevens (Wet bescherming persoonsgegevens). |
2 Onderwerp Verwerking
2.1 Verwerkingsverantwoordelijke is voor de Verwerking van de Persoonsgegevens die voortvloeit uit het Contract de Verwerkingsverantwoordelijke en Verwerker zal optreden als Verwerker, één en ander zoals bepaald de AVG.
2.2 Het doel van de Verwerking van Persoonsgegevens door Verwerker is de uitvoering van het Contract. Verwerker verwerkt de door of via de Verwerkingsverantwoordelijke verkregen Persoonsgegevens dan ook uitsluitend in opdracht van de Verwerkingsverantwoordelijke, in het kader van het Contract.
2.3 Het soort te verwerken Persoonsgegevens, de categorieën van Betrokkenen en de aard van de Verwerking op basis van de Overeenkomst zijn vastgelegd in Appendix 1.
2.4 De door de Verwerker uit te voeren werkzaamheden ter uitvoering van deze Overeenkomst zijn opgenomen in Appendix 1. Verwerker zal de Persoonsgegevens voor geen ander doel Verwerken dan de uitvoering van het Contract, meer in het bijzonder zal de Verwerker de Persoonsgegevens in geen geval verwerken voor zijn eigen doeleinden.
3 Verplichtingen Verwerker en Verwerkingsverantwoordelijke
3.1 Verwerker voldoet bij de Verwerking van Persoonsgegevens aan de AVG en waarborgt de bescherming van de rechten van de Betrokkenen, zoals hierna nader bepaald. Verwerker stelt Verwerkingsverantwoordelijke te allen tijde in staat om aan de AVG te voldoen en zal Verwerkingsverantwoordelijke hierin redelijkerwijze assisteren.
3.2 Verwerker zal de Persoonsgegevens uitsluitend op basis van instructies van de Verwerkingsverantwoordelijke verwerken, onder meer met betrekking tot doorgiften van Persoonsgegevens aan een derde land of een internationale organisatie, tenzij een op de Verwerker van toepassing zijnde Unierechtelijke of lid statelijke bepaling hem tot Verwerking verplicht. In dit geval stelt de Verwerker de Verwerkingsverantwoordelijke, voorafgaand aan deze Verwerking, in kennis van dat wettelijk voorschrift, tenzij de wetgeving deze kennisgeving om gewichtige redenen van algemeen belang verbiedt.
3.3 Verwerkingsverantwoordelijke instrueert Verwerker hierbij de Persoonsgegevens te Verwerken voor de volgende doeleinden:
3.3.1 Verwerking zoals voortvloeit uit het Contract;
3.3.2 Verwerking om de eventuele verdere instructies van de Verwerkingsverantwoordelijke op basis van de Overeenkomst na te komen, zoals maar niet beperkt tot instructies per e-mail.
3.4 Verwerker stelt de Verwerkingsverantwoordelijke onmiddellijk in kennis indien naar zijn mening een instructie van Verwerkingsverantwoordelijke mogelijkerwijs een inbreuk oplevert op de Privacy Wet- en Regelgeving.
3.5 Het is Verwerker niet toegestaan Persoonsgegevens voor eigen doeleinden te gebruiken. Xxxxxxxxx ziet erop toe dat deze verplichtingen eveneens worden nagekomen door het door haar ingeschakelde personeel, en/of de door haar ingeschakelde Sub-Verwerker(s).
3.6 Verwerker is, zonder hiervoor voorafgaande toestemming van Verwerkingsverantwoordelijke voor nodig te hebben, bevoegd om beslissingen te nemen over welke middelen hij gebruikt voor de Verwerking(en). Verwerker is in dit kader gerechtigd om beslissingen te nemen ten aanzien van praktische zaken omtrent de Verwerking die niet strijdig zijn met de Overeenkomst.
4 Medewerkingsplicht
4.1 Rekening houdend met de aard van de Verwerking en de hem ter beschikking staande informatie zal Verwerker aan Verwerkingsverantwoordelijk bijstand verlenen bij het doen nakomen van de verplichtingen zoals opgenomen in artikel 35 en 36 AVG, meer in het bijzonder zal Verwerker Verwerkingsverantwoordelijke, na een gemotiveerd verzoek hiertoe van Verwerkingsverantwoordelijke, bijstaan in het beoordelen van de noodzaak van en het eventueel uitvoeren van een gegevensbeschermingseffectbeoordeling en de noodzaak van het aanvragen van een voorafgaande raadpleging.
4.2 Kosten voortvloeiend uit inzageverzoeken van Betrokkene(n), onderzoeken, audits of beslagleggingen door de Autoriteit Persoonsgegevens of een andere toezichthouder met betrekking tot Persoonsgegevens, zullen worden gedragen door Verwerkingsverantwoordelijke. Onder deze kosten wordt mede verstaan, doch deze zijn niet beperkt tot, kosten voor het treffen van (aanvullende) technische en organisatorische beveiligingsmaatregelen in overeenstemming met artikel 5 van de Overeenkomst en rekening houdend met eventuele aanwijzingen van de Autoriteit Persoonsgegevens. Indien Verwerkingsverantwoordelijke verzoekt tot beveiligingsmaatregelen die de standaard van Verwerker overstijgen, dan zal Verwerkingsverantwoordelijke de additionele kosten hiervoor dragen. Waar Verwerkingsverantwoordelijke dit wenst, kan Verwerker de verzoeken ten behoeve van Verwerkingsverantwoordelijke en onder betaling van een vergoeding hiervoor, uitvoeren.
5 Beveiligingsmaatregelen
5.1.1 De pseudonimisering en versleuteling van Persoonsgegevens;
5.1.2 het vermogen om op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de Verwerkingssystemen en diensten te garanderen;
5.1.3 het vermogen om bij een fysiek of technisch incident de beschikbaarheid van en de toegang tot de Persoonsgegevens tijdig te herstellen;
5.1.4 een procedure voor het op gezette tijdstippen testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging van de Verwerking.
5.2 Verwerker geeft hierbij aan dat de geïmplementeerde maatregelen, zoals genoemd in artikel 5.1 en uitgewerkt in Appendix II, voldoen aan hetgeen bepaald in artikel 32 AVG.
5.3 Rekening houdend met de aard van de verwerking en de hem ter beschikking staande informatie, zal de Verwerker de Verwerkingsverantwoordelijke bijstand verlenen bij het doen nakomen van de verplichtingen uit hoofde van artikel 32 AVG. Meer in het bijzonder zal de Verwerker de Verwerkingsverantwoordelijke, op verzoek hiertoe en indien Verwerker dit wenst, tegen een redelijke vergoeding, adviseren over de te treffen maatregelen ten aanzien van het transport van de Persoonsgegevens van Verwerkingsverantwoordelijke en Verwerker.
5.4 Verwerker zal de maatregelen zoals genoemd in artikel 5.1 en opgenomen in Appendix II regelmatig evalueren en deze waar nodig aanvullen en wijzigen om aan de AVG te voldoen.
6 Audits
6.1 Verwerker stelt aan Verwerkingsverantwoordelijke alle informatie ter beschikking die nodig is om de nakoming van de verplichtingen uit de Overeenkomst en de AVG aan te tonen. Verwerker stelt daarbij alle informatie aan Verwerkingsverantwoordelijke ter beschikking om audits, waaronder inspecties, door Verwerkingsverantwoordelijke of door een door Verwerkingsverantwoordelijke gemachtigde controleur mogelijk maakt en daaraan bijdraagt.
6.2 Verwerker stelt Verwerkingsverantwoordelijke in de gelegenheid te controleren dat de Verwerking van Persoonsgegevens plaatsvindt zoals overeengekomen in deze Overeenkomst en verleent Verwerkingsverantwoordelijke, of een daartoe door Verwerkingsverantwoordelijke aangestelde derde, alle redelijke medewerking.
7 Incidenten en Datalekken
7.3 In de in artikel 7.1 en artikel 7.2 bedoelde meldingen worden in ieder geval, waar mogelijk, het volgende omschreven of meegedeeld:
7.3.1 De aard van het Incident of het Datalek, waar mogelijk onder vermelding van de categorieën van Betrokkenen en Persoonsgegevensregisters in kwestie en, bij benadering, het aantal Betrokkenen en Persoonsgegevensregisters in kwestie;
7.3.2 de naam en de contactgegevens van de functionaris voor gegevensbescherming of een ander contactpunt waar meer informatie kan worden verkregen indien deze personen beschikbaar zijn;
7.3.3 de waarschijnlijke gevolgen van het Incident of het Datalek voor zover te overzien voor Verwerker;
7.3.4 indien redelijkerwijs mogelijk de maatregelen die de Verwerker voorstelt om het Incident of het Datalek aan te pakken, waaronder, in voorkomend geval, de maatregelen ter beperking van de eventuele nadelige gevolgen daarvan.
7.4 Mocht de in artikel 7.3 bedoelde informatie bij Verwerker nog niet beschikbaar zijn, dan is Verwerker gerechtigd om de meldingen zoals bedoeld in artikel 7.1 en 7.2 gedeeltelijk te doen en de resterende informatie, waar mogelijk, later aan te leveren.
7.5 Rekening houdend met de aard van de Verwerking en de hem ter beschikking staande informatie zal de Verwerker de Verwerkingsverantwoordelijke bijstand verlenen bij het doen nakomen van de verplichtingen uit hoofd van artikel 33 en 34 AVG, meer in het bijzonder zal de Verwerker de Verwerkingsverantwoordelijke waar mogelijk en redelijk bijstand verlenen bij het doel van een melding van een Datalek of een vergelijkbaar incident aan de toezichthoudende autoriteit en/of de Betrokkene.
7.6 Verwerker verplicht zich hierbij tot het voeren van een passend beleid ten aanzien van Incidenten en Datalekken, zoals maar niet beperkt tot protocollen die conformeren aan de AVG.
7.7 Indien een situatie als bedoeld in artikel 7.1 of artikel 7.2 zich voortdoet, verplicht Verwerkingsverantwoordelijke zich hierbij tot geheimhouding van ieder gegeven in verband met het Incident dan wel het Datalek of de inbreuk op de beveiliging, tenzij een wettelijke verplichting hiertoe in de weg staat. Verwerkingsverantwoordelijke zal, tenzij hier een wettelijke verplichting toe bestaat, geen informatie naar buiten brengen over dit Incident of Datalek of de inbreuk op de beveiliging zonder hierover met Verwerker in overleg te zijn geweest.
7.8 Indien de melding zoals bepaald in artikel 7.1 of artikel 7.2 plaatsvindt, houdt Verwerker zich beschikbaar en bereikbaar voor overleg met Verwerkingsverantwoordelijke.
7.9 Verwerkingsverantwoordelijke is exclusief verantwoordelijk voor enige melding aan de Autoriteit Persoonsgegevens of Betrokkenen. Indien Verwerker meent dat hij hiertoe gehouden is of zou kunnen zijn op grond van de Privacy Wet- en Regelgeving, dan is Verwerker gerechtigd in contact te treden met de toezichthoudende autoriteit of een melding te maken bij de toezichthoudende autoriteit van het Incident of het Datalek.
8 Sub-Verwerkers
8.1 De Verwerkersverantwoordelijke geeft de Verwerker hierbij de algemene schriftelijke toestemming om nieuwe Sub-Verwerkers in te schakelen voor de Verwerking van Persoonsgegevens alsmede om deze Sub-Verwerkers te vervangen. Gaat de Verwerker over tot het inschakelen van Sub-Verwerkers of de vervanging van (één van deze Sub- Verwerkers), dan zal de Verwerker:
8.1.1 De Verwerkingsverantwoordelijke voorafgaande aan het inschakelen van een nieuwe Sub-Verwerker of het vervangen van een Sub-Verwerker op de hoogte stellen van zijn voornemen tot het inschakelen van een nieuwe of andere Sub- Verwerker, waarbij de Verwerker de Verwerkingsverantwoordelijke op de hoogte stelt van de relevante informatie omtrent de beoogde Sub-Verwerker;
8.1.2 De Verwerkingsverantwoordelijke een termijn geven om tegen de veranderingen bezwaar te maken. Gaat de Verwerkingsverantwoordelijke niet binnen de gestelde termijn tot dit bezwaar over, dan staat het Verwerker vrij om de Sub-Verwerker in te schakelen. Gaat de Verwerkingsverantwoordelijke echter over tot bezwaar en stelt Verwerkingsverantwoordelijke zich op het standpunt dat de beoogde Sub-Verwerker niet door Verwerker ingeschakeld mag worden, dan is Verwerker gerechtigd het Contract buitengerechtelijk en zonder hiervoor een opzegtermijn in acht te moeten houden te ontbinden.
8.2.1 de Sub-Verwerker aan dezelfde verplichtingen inzake gegevensbescherming dient te voldoen als in deze Overeenkomst zijn opgenomen voor de Verwerker, met name de verplichting om afdoende garanties te geven met betrekking tot het toepassen van passende technische en organisatorische maatregelen, opdat de Verwerking aan het bepaalde in de AVG voldoet;
8.2.2 Indien de ingeschakelde Sub-Verwerker zijn verplichtingen inzake gegevensbescherming niet nakomt, de eerste Verwerker ten aanzien van de
Verwerkingsverantwoordelijke volledig aansprakelijk blijft voor het nakomen van de verplichtingen van de Sub-Verwerker;
8.2.3 De Sub-Verwerker, na het einde van de Overeenkomst, de Persoonsgegevens die hij onder zich heeft uit hoofde van de Verwerking van Persoonsgegevens die onderwerp is van de Overeenkomst, permanent zal verwijderen ofwel zal retourneren aan Verwerker ofwel Verwerkingsverantwoordelijke, zulks ter bepaling van de Verwerkingsverantwoordelijke;
8.2.4 De Sub-Verwerker, indien deze een andere Sub-Verwerker wil inschakelen, dit slechts mag doen indien de regels zoals bepaald in deze Overeenkomst ten aanzien van het inschakelen van Sub-Verwerkers zijn nageleefd.
8.3 Indien de door Verwerker ingeschakelde Sub-Verwerker niet voldoet aan zijn verplichtingen zoals bepaald in de schriftelijke overeenkomst zoals genoemd in artikel
8.2 van de Overeenkomst, is de Verwerker jegens de Verwerkingsverantwoordelijke volledig verantwoordelijk en aansprakelijk voor de uitvoering van deze verplichtingen van de Sub-verwerker zoals bepaald die overeenkomst.
9 Rechten van Betrokkenen
9.1 Verwerker zal, rekening houdend met de aard van de Verwerking, de Verwerkingsverantwoordelijke door middel van passende technische en organisatorische maatregelen, voor zover mogelijk en redelijk, bijstand verlenen bij het vervullen van diens plicht om verzoeken om uitoefening van de in hoofdstuk III AVG vastgestelde rechten van de Betrokkene te beantwoorden.
9.2 Verwerker zal, voor zover wettelijk toegestaan en indien redelijkerwijs mogelijk, Verwerkingsverantwoordelijke op de hoogte stellen indien Verwerker een verzoek van een Betrokkene ontvangt in verband met de rechten die de Privacy Wet- en Regelgeving de Betrokkene biedt. Verwerker is niet gehouden om aan enig verzoek van een Betrokkene tegemoet komen zonder de voorafgaande schriftelijke toestemming van Verwerkingsverantwoordelijke, behoudens om te bevestigen dat het verzoek verband houdt met Verwerkingsverantwoordelijke.
10 Doorgifte Persoonsgegevens
10.1 Zonder de voorafgaande expliciete schriftelijke toestemming van Verwerkingsverantwoordelijke is Verwerker niet gerechtigd om Persoonsgegevens uit de EU te transporteren, noch is Verwerker gerechtigd Persoonsgegevens naar Sub- verwerkers buiten de EU door te geven of Persoonsgegevens anderszins buiten de EU te (laten) Verwerken.
11 Geheimhouding
11.1 Verwerker behandelt de Persoonsgegevens die zij van Verwerkingsverantwoordelijke onder zich heeft en ten behoeve van Verwerkingsverantwoordelijke verwerkt vertrouwelijk.
11.2 Verwerker waarborgt dat de tot de Verwerking van Persoonsgegevens gemachtigde personen zich ertoe hebben verbonden vertrouwelijkheid in acht te nemen of door een passende wettelijke verplichting gehouden zijn om vertrouwelijkheid in acht te nemen.
11.3 Partijen behandelen de inhoud van deze Verwerkersovereenkomst confidentieel en verstrekt hierover slechts informatie aan derden met voorafgaande schriftelijke toestemming van Verwerkingsverantwoordelijke.
11.4 Partijen zijn te allen tijde gerechtigd om details over de Verwerking van Persoonsgegevens door Verwerker te openbaren aan een toezichthoudende autoriteit, zoals maar niet beperkt tot de Autoriteit Persoonsgegevens.
12 Aansprakelijkheid
12.1 De totale aansprakelijkheid van Partijen wegens een toerekenbare tekortkoming in de nakoming van de Overeenkomst, op welke rechtsgrond dan ook, is beperkt tot het vergoeden van directe schade tot maximaal het bedrag van de voor het Contract bedongen prijs (exclusief BTW). In geen geval zal de aansprakelijkheid van Verwerker voor directe schade, op welke rechtsgrond dan ook, meer bedragen dan EUR 100.000,-. De onder dit artikel voor vergoeding in aanmerking komende directe schade betreft uitsluitend i) de redelijke kosten ter voorkoming of beperking van de schade die als gevolg van de gebeurtenis waarop de aansprakelijkheid berust mag worden verwacht en
ii) de redelijke kosten ter vaststelling van de schade en aansprakelijkheid.
13 Duur en beëindiging
13.1 De Overeenkomst treedt in werking na ondertekening door beide Partijen en wordt aangegaan voor de duur van het Contract. De Overeenkomst eindigt van rechtswege wanneer het Contract eindigt, om welke reden dan ook. De duur van de Verwerking van Persoonsgegevens door Verwerker staat gelijk aan de duur van de Overeenkomst.
13.2 Partijen kunnen zonder voorafgaande aanmaning of ingebrekestelling met onmiddellijke ingang buiten rechte de Overeenkomst door middel van een aangetekend schrijven ontbinden, indien de andere partij (voorlopige) surseance van betaling aanvraagt, deze partij zijn faillissement aanvraagt of in staat van faillissement wordt gesteld, de onderneming van die partij wordt ontbonden, Verwerker zijn onderneming staakt, sprake is van een ingrijpende wijziging in de zeggenschap over de activiteiten van de onderneming van de andere partij, op een aanmerkelijk deel van het vermogen van de andere partij dan wel één van haar vennoten beslag wordt gelegd of indien de andere partij, zulks ter bepaling van de eerste partij, anderszins niet langer in staat wordt geacht de verplichtingen uit de Overeenkomst na te kunnen komen.
14 Exit-procedure
14.1 Na het einde van de Overeenkomst, zal Verwerker, naar gelang de keuze van Verwerkingsverantwoordelijke, alle Persoonsgegevens die Verwerker bezit uit hoofde van de Overeenkomst of het Contract wissen dan wel retourneren aan Verwerkingsverantwoordelijke en de bestaande kopieën verwijderen. Dit geldt, tenzij er een op Verwerker van toepassing zijnde verplichting bestaat om de Persoonsgegevens langer op te slaan.
14.2 Verwerker zal, voor zover redelijkerwijs mogelijk en haalbaar, Sub-Verwerkers op de hoogte te stellen van het einde van de Overeenkomst en de verplichtingen die uit hoofde van dit artikel op Verwerker rusten.
14.3 Artikel 4 (Medewerkingsplicht), artikel 11 (Geheimhouding), en artikel 15 (Toepasselijk recht en forumkeuze) zullen na de beëindiging of ontbinding van deze Overeenkomst, om welke reden dan ook, voor onbepaalde tijd tussen Partijen voortduren.
15 Rechts- en forumkeuze
15.1 Op deze Overeenkomst is Nederlands recht exclusief van toepassing.
15.2 Alle geschillen die voortvloeien uit of verband houden met de Overeenkomst of de uitvoering daarvan worden bij uitsluiting voorgelegd aan de rechtbank Midden-Nederland zittingsplaats Utrecht.
Aldus in tweevoud opgemaakt op de ondertekeningsdatum en plaats, waarvan iedere Partij hierbij verklaart één origineel te hebben ontvangen:
[Statutaire naam Verwerkingsverantwoordelijke] | Springer Media B.V. |
Door: [naam] | Door: Xxxxxxx X. Xxxxxxx, Directeur |
Datum: | Datum: 1 augustus 2018 |
Appendix I – Specificaties Verwerking
(Behorende bij de Verwerkingsovereenkomst tussen Springer Media B.V. en
Beschrijving van de Verwerking:
[statutaire naam wederpartij] )
Middels het Testweb Platform biedt BSL een dienst aan waarmee GGZ instellingen en specialisten, leraren in het basisonderwijs en anderen (hierna: “Klanten”) een account kunnen aanmaken om tests af te nemen bij natuurlijke personen (hierna: “Betrokkenen”). Testweb bevat een set van diverse tests waaruit de Klant kan selecteren en toewijzen aan de Betrokkenen.
Na inloggen komt de Klant in een afgeschermde omgeving waarin gegevens van Betrokkenen kunnen worden opgevoerd en onderverdeeld in groepen. Aan deze Betrokkenen kan de Klant tests toewijzen voor afname door Xxxxxxxxxxx. Het resultaat van de afname kan door de Klant worden ingezien, geanalyseerd en over worden gerapporteerd.
Het technisch applicatiebeheer en onderhoud wordt in opdracht van Springer Media BV uitgevoerd door Fingertips BV te Amsterdam.
Het beheer en onderhoud van de Contract gegevens wordt volledig uitgevoerd door Springer Media BV.
Verwerkingsdienst | Aard van de Verwerking | Soort Persoonsgegevens | Categorieën van Betrokkenen |
Gegevensverwerking van Klanten ten behoeve van het Testweb Platform. | Het Testweb Platform kan niet worden aangeboden zonder dat persoonsgegevens van de Klant wordt verwerkt. - Aanbieden Testweb Platform; - Facturering; - Direct marketing. | - Contactgegevens: Aanhef, Naam, Functie, Afdeling, e- mail, vouchercode, beroep, opleiding, diagnostiekaantekeni ng of registratie,instrument en gebruikt. - Factuurgegevens: Bedrijfsnaam, afdeling of locatie, straatnaam+nr, postcode, plaats, telefoon | door Klant aangewezen beheerders van het Testweb Platform |
Verwerking persoonsgegevens voor autorisatie en authenticatie | De Klant krijgt bij aanschaf van een licentie een beheerdersaccount om in te loggen op het Testweb Platform en toegang te krijgen tot de omgeving van de Klant. De beheerder maakt accounts aan voor behandelaars waarmee zij op het Testweb Platform kunnen inloggen en o.a. Test kunnen koppelen aan clienten en de resultaten inzien | - Naam bedrijfsgegevens Klant - Naam - Emailadres - wachtwoord - Rol (=beheerder/behande laar) | Klant / behandelaars |
Verwerking persoonsgegevens voor beheer van Tests | De behandelaars loggen in op het Testweb Platform en | - Emailadres - Wachtwoord - Clientgegevens | Behandelaars / clienten |
doen het beheer van clientgegevens, wijzen test toe aan informanten/clienten en beheren de testresultaten | |||
Verwerking testgegevens Informant | De toegewezen test wordt via een online formulier ingevuld door informant/client, de gegevens worden opgeslagen in de Testweb database | - Gegevens van cliënt: Klant-ID - Resultaat van tests | Cliënt |
Verwerking gegevens van bezoekers van het Testweb Platform | Gegevens worden verzameld om de werking van de website te beoordelen. | Geen persoonsgegevens (o.a. aantal pageviews, bezoeken, bezoek …) |
Appendix II – Maatregelen
(Behorende bij de Verwerkingsovereenkomst tussen Springer Media B.V. en [statutaire naam wederpartij] )
Verwerker verklaart de volgende maatregelen te hebben getroffen om te kunnen voldoen aan hetgeen is bepaald in de Overeenkomst:
Om vertrouwelijkheid te garanderen:1
[ X ] De versleuteling van Persoonsgegevens: 2
[ X ] Controle op fysieke toegang tot persoonsgegevens
[ X ] Controle op elektronische toegang tot persoonsgegevens [ X ] Controle op interne toegang tot persoonsgegevens
Om de integriteit te garanderen:3
[ X ] Controle op de doorgifte van persoonsgegevens [ X ] Controle op de invoer van gegevens
[ X ] Controle op de wijziging van gegevens
Om de beschikbaarheid en veerkracht van gebruikte systemen en diensten te garanderen:4 [ X ] Controle op beschikbaarheid van data (b.v. door het maken van back-ups)
[ X ] Toegang tot persoonsgegevens kunnen herstellen
Om de beschikbaarheid van en de toegang tot de Persoonsgegevens tijdig te herstellen:5 [ X ] Een noodplan om de beschikbaarheid direct na een incident te controleren
[ X ] Een noodplan om direct toegang te krijgen na een incident
Om op gezette tijdstippen de doeltreffendheid van de technische en organisatorische maatregelen te testen, beoordelen en evalueren:
[ X ] Een intern incidentenprotocol opgesteld en nageleefd
[ X ] Controle van instructies van de Verwerkingsverantwoordelijke(n)
1
Zie artikel 32, eerder lid onder b AVG.
2
Zie artikel 32, eerste lid onder a AVG.
3
Zie artikel 32, eerste lid onder b AVG.
4
Zie artikel 32, eerste lid onder b AVG.
5
Zie artikel 32, eerste lid onder c AVG.