Verwerkersovereenkomst

Verwerkersovereenkomst

De ondergetekenden:

De organisatie genaamd                 , met rechtsvorm                , statutair gevestigd te (    )             , aan                 , hierna te noemen: “Verwerkingsverantwoordelijke”,

En

De besloten vennootschap met beperkte aansprakelijkheid Competentie Thermometer BV, statutair gevestigd te (1901 GD) Castricum, aan Xxxxxxxx 0, hierna te noemen: “Verwerker”,

hierna gezamenlijk te noemen “Partijen”,

Overwegende dat:

1. Verwerker een dienstverlener is met als doel prestatieverbetering in het onderwijs. Verwerker heeft in dit kader Software, zoals hierna gedefinieerd, ontwikkeld waarmee Verwerkingsverantwoordelijke assessments kan (laten) afnemen bij personen om het professioneel functioneren van die persoon in kaart te brengen;

2. Verwerker met de Verwerkingsverantwoordelijke een Gebruikersovereenkomst, zoals hierna gedefinieerd, heeft gesloten op basis waarvan Verwerkingsverantwoordelijke het recht heeft om de Software te (laten) gebruiken;

3. Als Verwerkingsverantwoordelijke assessments afneemt of laat afnemen, Persoonsgegevens, zoals hierna gedefinieerd, worden verwerkt;

4. Verwerkingsverantwoordelijke voor deze gegevensverwerking kwalificeert als Verwerkingsverantwoordelijke in de zin van artikel 4 lid 7 van de Algemene Verordening Gegevensbescherming (Verordening EU 2016/679) (hierna: “AVG”);

5. Als de Verwerkingsverantwoordelijke de assessments afneemt of laat afnemen met behulp van de Software, deze Persoonsgegevens dan door Xxxxxxxxx in opdracht van de Verwerkingsverantwoordelijke met de Software zullen worden verwerkt;

6. Verwerker voor deze gegevensverwerking kwalificeert als Verwerker in de zin van artikel 4 lid 8 van de AVG;

7. Verwerkingsverantwoordelijke in dit kader aan de Verwerker de opdracht wenst te verlenen om namens Verwerkingsverantwoordelijke Persoonsgegevens te verwerken en Verwerker deze opdracht wenst te aanvaarden.

8. Partijen gelet op het bepaalde in artikel 28 AVG nadere afspraken wensen te maken over de voorwaarden waaronder Verwerker de Persoonsgegevens zal verwerken;

9. Partijen in dit kader in deze Overeenkomst, zoals hierna gedefinieerd, de volgende afspraken schriftelijk wensen vast te leggen.

Verklaren te zijn overeengekomen als volgt:

1 Definities

1.1 De volgende in deze Overeenkomst met een hoofdletter geschreven termen, zullen de navolgende betekenissen hebben:

• Doel: het doel of de doelen van de verwerking van Persoonsgegevens, zoals gespecificeerd in

Bijlage I;

• Gebruikersovereenkomst: de gebruikersovereenkomst die tussen Verwerkingsverantwoordelijke en Verwerker is gesloten waardoor Verwerkingsverantwoordelijke het recht van Verwerker heeft verkregen om de Software te gebruiken;

• Persoonsgegevens: gegevens die kunnen worden herleid naar een natuurlijk persoon, zoals bedoeld in artikel 4 lid 1 van de AVG, zoals nader gespecificeerd in Bijlage I;

• Overeenkomst: de onderhavige Verwerkersovereenkomst, inclusief bijlagen;

• Software: de software van Verwerker genaamd Competentie Thermometer, waarmee getrainde assessors assessments kunnen afnemen bij personeelsleden in het onderwijs.

2 Verlening van opdracht tot verwerking persoonsgegevens

2.1 Verwerkingsverantwoordelijke verleent aan Verwerker de opdracht tot het verwerken van Persoonsgegevens. Verwerker aanvaardt deze opdracht.

2.2 Partijen zullen in Bijlage I en Bijlage II vastleggen:

- op welke wijze Verwerkingsverantwoordelijke de Persoonsgegevens aan Verwerker ter beschikking zal stellen;

- welke verwerkingshandelingen Verwerker zal uitvoeren ten aanzien van de Persoonsgegevens;

- voor welk Doel de verwerking van Persoonsgegevens plaatsvindt;

- welke technische en organisatorische beveiligingsmaatregelen Verwerker zal treffen om de Persoonsgegevens te beveiligen tegen verlies en tegen onrechtmatige verwerking.

2.3 Partijen bevestigen dat Verwerkingsverantwoordelijke volledig en als enige verantwoordelijk is voor het vaststellen van het Doel en de middelen voor de verwerking van Persoonsgegevens. De Verwerker verwerkt de persoonsgegevens uitsluitend ten behoeve van de Verwerkingsverantwoordelijke en slechts op diens instructie.

3 Verplichtingen Verwerker

3.1 Verwerker verplicht zich om:

- alle instructies van Verwerkingsverantwoordelijke in het kader van de verwerking van de Persoonsgegevens op te volgen;

- de Persoonsgegevens nimmer aan een derde te verstrekken, dan wel een derde toegang te verlenen tot de Persoonsgegevens, zonder dat Verwerker hiervoor de uitdrukkelijke schriftelijke toestemming heeft verkregen van Verwerkingsverantwoordelijke, behoudens de situaties zoals gedefinieerd in Bijlage I;

- de Persoonsgegevens uitsluitend te verwerken in het kader van het Doel, en de Persoonsgegevens voor geen enkel ander doel te gebruiken of aan te wenden;

- bij de verwerking van de Persoonsgegevens zich te houden aan alle toepasselijke wet- en regelgeving met betrekking tot de bescherming van persoonsgegevens, waaronder in ieder geval begrepen de AVG;

- op eerste verzoek van Verwerkingsverantwoordelijke aan Verwerkingsverantwoordelijke toegang te geven tot de Persoonsgegevens;

- op eerste verzoek van Verwerkingsverantwoordelijke de Persoonsgegevens ter beschikking te stellen aan Verwerkingsverantwoordelijke op een duurzame gegevensdrager, tegen redelijke kosten en in een door Verwerker gekozen formaat;

3.2 Verwerker hanteert de in Bijlage II vermelde beveiligingsmaatregelen waarmee een passend beveiligingsniveau wordt geboden dat voldoet aan het in artikel 24 AVG vereiste beschermingsniveau. Verwerker zal uit eigen beweging, en op eigen kosten, de in Bijlage II vermelde beveiligingsmaatregelen zodanig aanpassen dat deze gedurende de duur van deze Overeenkomst een passend beschermingsniveau blijven bieden.

3.3 Verwerker verplicht zich Verwerkingsverantwoordelijke schriftelijk te informeren indien een onbevoegde beschikking heeft gekregen over (een deel van) de Persoonsgegevens, dan wel (permanent of tijdelijk) toegang daartoe heeft gehad, zo spoedig als redelijkerwijs mogelijk nadat Xxxxxxxxx kennis heeft gekregen van de onbevoegde toegang.

3.4 Verwerker zal Verwerkingsverantwoordelijke onverwijld in kennis stellen van een bindend verzoek van een bevoegde instantie tot verstrekking van de Persoonsgegevens, tenzij het Verwerker op grond van enige wettelijke verplichting niet is toegestaan de Verwerkingsverantwoordelijke hiervan in kennis te stellen.

3.5 Verwerker verplicht zich Verwerkingsverantwoordelijke in de gelegenheid te stellen te controleren dat de verwerking van de persoonsgegevens plaatsvindt zoals overeengekomen in deze Overeenkomst.

4 Rechten van betrokkene

4.1 Verwerker zal op eerste verzoek van Verwerkingsverantwoordelijke zo spoedig mogelijk, doch uiterlijk binnen vijf werkdagen nadat het verzoek is gedaan, aan Verwerkingsverantwoordelijke schriftelijk alle informatie verstrekken die Verwerkingsverantwoordelijke nodig mocht hebben om te kunnen voldoen aan de in artikel 15 AVG vervatte mededelingsplicht.

4.2 Verwerker zal op eerste verzoek van Verwerkingsverantwoordelijke opgeslagen Persoonsgegevens verbeteren, aanvullen, verwijderen of afschermen. Verwerker zal aan dit verzoek voldoen binnen zodanige

termijn dat Verwerkingsverantwoordelijke niet in overtreding is van het bepaalde in artikel 17 lid 1 AVG, doch in elk geval binnen vijf werkdagen nadat het verzoek door Verwerkingsverantwoordelijke is gedaan.

5 Duur en beëindiging

5.1 Deze Overeenkomst vangt aan op het moment dat deze door Verwerker en Verwerkingsverantwoordelijke wordt ondertekend, en wordt aangegaan voor onbepaalde tijd.

5.2 Deze Overeenkomst kan door een Partijen schriftelijk worden opgezegd met inachtneming van een opzegtermijn van 3 maanden.

5.3 Deze Overeenkomst eindigt van rechtswege op het moment dat de Gebruikersovereenkomst tussen Verwerkingsverantwoordelijke en Verwerker eindigt, om wat voor reden dan ook.

5.4 Verwerker is gerechtigd deze Overeenkomst met onmiddellijke ingang en zonder rechterlijke tussenkomst te ontbinden, of de ontbinding ervan in rechte te vorderen, zonder gehoudenheid tot betaling van (enige vorm van) schadevergoeding of compensatie, indien Verwerkingsverantwoordelijke na een schriftelijke ingebrekestelling waarin een redelijke termijn is gesteld voor zuivering van de tekortkoming, toerekenbaar tekortschiet in de nakoming van een of meerdere verplichtingen uit deze Overeenkomst of een andere overeenkomst tussen Partijen.

5.5 Verwerker kan de Overeenkomst per direct ontbinden indien Verwerkingsverantwoordelijke op oneigenlijke wijze gebruik maakt van de Software en/of in strijd handelt met hetgeen bepaald in deze Overeenkomst, volledig ter discretie van Verwerker zonder dat daardoor enige schadeplichtigheid van Verwerker, of recht op restitutie van door Verwerkingsverantwoordelijke vooruitbetaalde vergoedingen ontstaat.

5.6 Deze Overeenkomst kan, zonder enige voorafgaande opzegtermijn, en met onmiddellijke ingang, ontbonden worden door Verwerker, vanaf de dag dat:

- het faillissement van Verwerkingsverantwoordelijke wordt aangevraagd dan wel Verwerkingsverantwoordelijke zelf zijn faillissement aanvraagt;

- Verwerkingsverantwoordelijke in staat van faillissement wordt verklaard;

- Verwerkingsverantwoordelijke tot boedelafstand overgaat;

- tegen de Verwerkingsverantwoordelijke surseance van betaling wordt verleend of een regeling met zijn crediteuren treft;

- Verwerkingsverantwoordelijke de vrije beschikking over (een substantieel deel van) zijn vermogen verliest, bijvoorbeeld door beslaglegging;

- de liquidatie van Verwerkingsverantwoordelijke wordt aangevangen, dan wel een vordering tot ontbinding van Verwerkingsverantwoordelijke wordt ingesteld of een ontbindingsbesluit ten aanzien van Verwerkingsverantwoordelijke wordt genomen, tenzij er sprake is van een rechtsopvolger;

- Verwerkingsverantwoordelijke enige uit kracht van de wet op hem rustende verplichting niet of niet geheel nakomt.

- Verwerkingsverantwoordelijke zijn betalingsverplichtingen uit hoofde van een overeenkomst en/of deze Overeenkomst niet (geheel) nakomt.

5.7 Ontbinding en opzegging van deze Overeenkomst dient schriftelijk te geschieden.

5.8 Een beroep op het recht deze Overeenkomst te ontbinden laat onverlet het recht van de Verwerker op schadevergoeding.

5.9 Beëindiging, ontbinding of opzegging van deze Overeenkomst, op welke grond of wijze dan ook, laat verbintenissen van Verwerkingsverantwoordelijke onverlet welke naar hun aard bedoeld zijn voort te duren na beëindiging, waaronder in ieder geval begrepen geheimhoudingplichten, vrijwaringsplichten, aansprakelijkheidsbepalingen, en bepalingen omtrent toepasselijk recht en jurisdictie.

6 Gevolgen beëindiging

6.1 Bij beëindiging, ontbinding of opzegging van deze Overeenkomst, op welke grond of wijze dan ook, zal Verwerker:

- per direct de verwerking van de Persoonsgegevens staken;

- alle Persoonsgegevens die elektronisch zijn opgeslagen permanent van de gegevensdrager verwijderen, of voor zover permanente verwijdering van de gegevensdrager niet mogelijk is, de gegevensdrager vernietigen;

- aan Verwerkingsverantwoordelijke op aanvraag en tegen redelijke kosten alle Persoonsgegevens ter beschikking stellen, op een door Verwerker gekozen wijze;

- aan Verwerkingsverantwoordelijke op aanvraag en tegen redelijke kosten alle documenten waarin de Persoonsgegevens zijn vastgelegd ter beschikking stellen;

- binnen 30 dagen back-ups van de Persoonsgegevens verwijderen.

6.2 Verwerker zal op verzoek van Verwerkingsverantwoordelijke schriftelijk bevestigen aan Verwerkingsverantwoordelijke dat Verwerker aan alle verplichtingen uit hoofde van dit artikel heeft voldaan.

7 Aansprakelijkheid

7.1 Verwerker aanvaardt wettelijke en contractuele verplichtingen tot schadevergoeding slechts voor zover dat uit dit artikel blijkt.

7.2 Verwerker is slechts aansprakelijk jegens Verwerkingsverantwoordelijke (a) in het geval van een toerekenbare tekortkoming in de nakoming van deze Overeenkomst, waaronder een toerekenbare tekortkoming in de nakoming de verplichtingen van Verwerker, en dan uitsluitend voor vervangende schadevergoeding, dat wil zeggen vergoeding van de waarde van de achterwege gebleven prestatie, of (b) in het geval van een aan Verwerker toerekenbare onrechtmatige daad, waarbij schade of lichamelijk letsel aan personen is toegebracht.

7.3 Iedere aansprakelijkheid van Verwerker voor enige andere vorm van schade is uitgesloten, daaronder begrepen aanvullende schadevergoeding in welke vorm dan ook, alsmede vergoeding van indirecte schade of gevolgschade of schade wegens gederfde omzet of winst, boetes die aan Verwerkingsverantwoordelijke worden opgelegd bijvoorbeeld – maar niet uitsluitend – door de Autoriteit Persoonsgegevens, vertragingsschade, schade wegens verlies van gegevens, schade wegens overschrijding van termijnen als gevolg van gewijzigde omstandigheden, diefstal, verlies of beschadiging van data en zaken en schade wegens door Verwerker gegeven inlichtingen of adviezen waarvan de inhoud niet uitdrukkelijk onderdeel van de verplichtingen van Verwerker vormt.

7.4 De hoogte van enige vergoeding, die Verwerker verschuldigd is het in geval van aansprakelijkheid, is gemaximeerd op het bedrag dat door de aansprakelijkheidsverzekeraar van Verwerker in het betreffende geval wordt uitgekeerd, vermeerderd met zijn eigen risico onder die verzekering. Voor zover de verzekeraar in enig geval niet tot uitkering overgaat en/of indien de beperkingen van aansprakelijkheid zoals gesteld in dit artikel om welke reden dan ook (in rechte) geen stand houden, is de aansprakelijkheid van Verwerker voor de totale schade die voortvloeit uit of in verband staat met de overeengekomen werkzaamheden, waaronder in dit verband zowel alle directe als indirecte schade wordt verstaan, alsmede rente, beperkt tot het bedrag dat voor de werkzaamheden in verband waarmee de schade is ontstaan door Verwerkingsverantwoordelijke aan Verwerker is betaald. De aansprakelijkheid van Verwerker voor de in de vorige zin bedoelde totale schade zal nooit meer bedragen dan € 5.000,- (zegge: vijfduizend euro).

7.5 De aansprakelijkheid van Verwerker wegens toerekenbare tekortkoming in de nakoming van deze Overeenkomst ontstaat slechts indien Verwerkingsverantwoordelijke Verwerker onverwijld en deugdelijk schriftelijk in gebreke stelt, stellende daarbij een redelijke termijn ter zuivering van de tekortkoming, en Verwerker ook na die termijn toerekenbaar in de nakoming van zijn verplichtingen te kort blijft schieten. De ingebrekestelling dient een zo gedetailleerd mogelijke omschrijving van de tekortkoming te bevatten, zodat Verwerker in staat is adequaat te reageren.

7.6 De uitsluiting en beperking van aansprakelijkheid, zoals bedoeld in de voorgaande leden, geldt niet indien en voor zover de schade het gevolg is van opzet of bewuste roekeloosheid van Verwerker of zijn bedrijfsleiding.

7.7 Verwerkingsverantwoordelijke vrijwaart Verwerker voor alle aanspraken van derden die samenhangen met de uitvoering van de Overeenkomst.

7.8 De Software, updates, onderhoud, support en eventuele andere werkzaamheden van Verwerker worden uitdrukkelijk geleverd op basis van een inspanningsverbintenis.

8 Geheimhouding

8.1 Partijen zullen geen product-, markt- en bedrijfsgegevens over elkaar aan derden kenbaar maken tenzij daar door de andere Partij schriftelijk toestemming voor is gegeven.

9 Overig

9.1 Wijziging van deze Overeenkomst of aanvullingen daarop zijn slechts geldig indien deze schriftelijk zijn overeengekomen.

9.2 Indien een bepaling van deze Overeenkomst nietig, vernietigbaar, of anderszins onafdwingbaar is of wordt, dan blijven de overige bepalingen van deze Overeenkomst volledig van kracht. Partijen zullen in dat geval te goeder trouw in onderhandeling treden om de nietige, vernietigbare, of anderszins onafdwingbare bepaling te vervangen door een uitvoerbare alternatieve bepaling, waarbij Partijen zoveel mogelijk rekening zullen houden met het doel en strekking van de nietige, vernietigde of anderszins niet afdwingbare bepaling.

9.3 Deze Overeenkomst verwoordt de enige afspraken tussen Partijen ter zake van de verwerking van Persoonsgegevens door Verwerker en vervangt alle voorgaande schriftelijke dan wel mondelinge afspraken en correspondentie.

10 Toepasselijk recht en jurisdictie

10.1 Op deze Overeenkomst, alsmede op de hieruit voortvloeiende of hiermee samenhangende overeenkomsten en overige rechtshandelingen, is uitsluitend het Nederlandse recht van toepassing.

10.2 Alle geschillen, waaronder mede begrepen die welke slechts door één partij als zodanig worden beschouwd, welke voortvloeien uit of verband houden met (de uitvoering van) deze Overeenkomst en/of met de hieruit voortvloeiende of hiermee samenhangende overeenkomsten, alsmede overige rechtshandelingen, welke niet in der minne kunnen worden opgelost, zullen worden beslecht door de bevoegde rechterlijke instantie in Amsterdam.

Aldus ondertekend op           te              ,

Verwerkingsverantwoordelijke Verwerker

Organisatie:   Competentie Thermometer BV

Naam:   Naam: Xxxxxx Xxxxxxx

Bijlage I - Persoonsgegevens

Gebruikers

De Software bevat verschillende typen gebruikers, die allen op een eigen wijze van de Software gebruik kunnen maken of wiens gegevens om andere redenen in de Software beschikbaar zijn.

De verschillende categorieën gebruikers zijn (1.) assessoren, (2.) deelnemers, (3.) leidinggevenden, (4.) opdrachtgevers, (5.) specialisten, (6.) collega’s en (7.) externen.

Van een gebruiker in de Software worden Persoonsgegevens verwerkt.

Doelen van de gegevensverwerking

Verwerker verwerkt in opdracht van de Verwerkingsverantwoordelijke Persoonsgegevens van gebruikers voor drie doeleinden:

1. Functioneren van de software

Verwerker verwerkt Persoonsgegevens zodat de gebruikers kunnen inloggen op de software en derhalve met de software kunnen werken. Dat betekent concreet, afhankelijk van het type gebruiker, dat er assessments kunnen worden afgenomen, dat er vragenlijsten kunnen worden ingevuld en dat account- en gebruikersgegevens kunnen worden aangepast. Van gebruikers worden in dit kader de volgende Persoonsgegevens verwerkt:

- Aanhef

- Voornaam

- Tussenvoegsel

- Achternaam

- Functie

- E-mailadres

2. Afnemen assessments

Indien Verwerkingsverantwoordelijke met de Software een assessment (laat) afnemen bij een gebruiker van het type

2. (deelnemers) dan verwerkt Xxxxxxxxx in opdracht van Verwerkingsverantwoordelijke Persoonsgegevens van de gebruiker om op basis van de door de gebruiker ingevulde informatie een persoonlijk eindrapport te kunnen genereren. In dit eindrapport staan resultaten (met betrekking tot de prestaties van de gebruiker), ontwikkeltips en

persoonlijk geformuleerde deelconclusies die zijn gegenereerd op basis van xxxxxxxxx antwoorden op vragenlijsten.

Het rapport wordt gegenereerd op basis van de door Verwerker gehanteerde methode voor prestatieverbetering die in de software is verwerkt. Bij sommige onderdelen worden de prestaties afgezet tegen een populatie met hetzelfde opleidingsniveau of dezelfde functie. De ingevoerde data wordt tevens door Verwerker gebruikt voor de normstelling van de instrumenten en vragenlijsten. In dit kader gaat het om de volgende Persoonsgegevens:

- Prestaties

- Prestatieverbetering

- Geobserveerd gedrag

- Gegeven antwoorden

3. Genereren overzichtsrapportages

De Persoonsgegevens worden tevens verwerkt zodat Opdrachtgever met de Software overzichtsrapportages kan genereren van alle afgenomen assessments binnen de organisatie van Opdrachtgever. In de beheeromgeving van de Software kunnen de assessoren van Opdrachtgever statistieken bekijken van ingevulde assessments binnen de organisatie van Opdrachtgever.

Wijze van ter beschikking stellen en verwerkingshandelingen

De Verwerkingsverantwoordelijke zal de Persoonsgegevens ter beschikking stellen aan Verwerker door de Software te gebruiken. De Software biedt in dit kader de mogelijkheid om via een web-interface (beschikbaar op elk apparaat zoals een laptop of iPad) gegevens in te voeren die vervolgens via de Software door de Verwerker worden verwerkt. Verwerkingsverantwoordelijke zal niet op enige andere wijze Persoonsgegevens aan Verwerker verstrekken dan door gebruikmaking van de Software. De Verwerker zal de Persoonsgegevens opslaan in een database op haar server.

Verwerkingsverantwoordelijke kan Persoonsgegevens verwijderen uit overzichten binnen de Software. Op aanvraag van Verwerkingsverantwoordelijke zal Verwerker Persoonsgegevens permanent verwijderen uit de database.

Verwerker kan hiervoor kosten in rekening brengen.

iPad op locatie

Omdat het met de Software mogelijk is om assessment-informatie te verwerken via een iPad, kan het voorkomen dat Persoonsgegevens lokaal op de gebruikte iPad blijft staan. Verwerker kan deze persoonlijke informatie niet op afstand wissen. De informatie zal automatisch na de afronding van het assessment automatisch uit het lokale geheugen van de iPad worden verwijderd. Verwerker adviseert Verwerkingsverantwoordelijke met klem om de iPad na gebruik op een veilige plaats op te bergen.

Geen doorgifte van persoonsgegevens

Verwerker zal Persoonsgegevens nooit doorgeven, verkopen en/of anderszins verstrekken aan derden, behalve in de volgende gevallen aan de volgende partijen:

- Aan derden die noodzakelijke (technische) diensten verlenen aan Verwerker ten behoeve van de werking van de Software. Het gaat daarbij om Amazon en ontwikkelaars;

- Voor het maken van back-ups. Het hele systeem van Verwerker, en dus ook Persoonsgegevens, wordt dagelijks geback-upt op een server van Amazon in Frankfurt (Duitsland, EU);

- Aan bedrijven die Verwerker (deels) overnemen, waarmee Verwerker fuseert en/of anderszins de rechtsopvolgers van Verwerker zijn;

- Aan overheidsinstanties, indien de wet dat vereist en/of uit hoofde van een verzoek en/of bevoegd gegeven bevel van een overheidsinstantie.

Bijlage II - Hosting en beveiliging

Hosting en back-up

Verwerker slaat zowel applicatie als back-upgegevens op op servers van Amazon. Daartoe gebruikt Verwerker het datacentrum van Amazon in Frankfurt, Duitsland. Amazon is een bedrijf dat gevestigd is in de Verenigde Staten.

Amazon garandeert dat persoonsgegevens die in Europa worden opgeslagen nooit naar de Verenigde Staten worden getransporteerd, tenzij zij daartoe wettelijk verplicht is. Mochten er toch persoonsgegevens naar de Verenigde Staten worden getransporteerd, dan garandeert Amazon dat op die gegevensverwerking in de Verenigde Staten hetzelfde strenge privacy-regime van toepassing is als in Europa. Om deze garantie te kunnen bieden is Verwerker met Amazon een overeenkomst aangegaan (AWS Data Processing Addendum) die Amazon heeft laten goedkeuren door de Europese privacy toezichthouders.

De Persoonsgegevens van de gebruikers worden dus ook op deze servers opgeslagen. Persoonsgegevens in de database zullen worden opgeslagen op servers in Nederland en zullen niet worden gekopieerd of verplaatst naar servers in landen waar een minder streng privacy-regime heerst dan in Europa.

Via de volgende link is na te lezen hoe Amazon de bescherming van persoonsgegevens garandeert: xxxxx://xxx.xxxxxx.xxx/xxxxxxxxxx/xxxx-xxxxxxx-xxx/

Beveiligingsmaatregelen

Verwerker neemt de bescherming van de Persoonsgegevens zeer serieus en neemt passende maatregelen om misbruik, verlies, onbevoegde toegang, ongewenste openbaarmaking en ongeoorloofde wijziging tegen te gaan. Verwerker implementeert daartoe de volgende maatregelen:

- Beveiligingssoftware: op de server zijn een virusscanner en firewall geïnstalleerd;

- TLS (voorheen SSL): Verwerker verstuurt Persoonsgegevens (en alle andere gegevens) via een beveiligde internetverbinding. Deze verbinding is in te herkennen aan het groene slotje en het voorvoegsel https:// in de browser bij het gebruik van de applicatie.

- DKIM en SPF: zijn twee internetstandaarden die Verwerker gebruikt om te voorkomen dat gebruikers uit naam van Verwerker e-mails ontvangt die virussen bevatten, spam zijn of bedoeld zijn om persoonlijke (inlog)gegevens te bemachtigen.

Certificering

De hosting servers van Amazon zijn onder andere ISO 9001 en ISO 27001 gecertificeerd. Bekijk voor een volledig overzicht van alle certificeringen de compliance pagina van Amazon op: xxxxx://xxx.xxxxxx.xxx/xxxxxxxxxx/