Verwerkingsovereenkomst CyberStatus
Verwerkingsovereenkomst CyberStatus
Partijen nemen in overweging als volgt:
(A) ThreadStone Cyber Security levert diensten die zijn gericht op het voorkomen van cybercriminaliteit in de breedste zin des woords (hierna: “Diensten”);
(B) partijen een overeenkomst hebben gesloten met betrekking tot de afname van de Diensten door klant (hierna: “Overeenkomst”);
(C) in het kader van de uitvoering van de Overeenkomst verwerkt ThreadStone Cyber Security als verwerker ten behoeve van klant (hierna: “Klant”) Persoonsgegevens in de zin van de Algemene Verordening Gegevensbescherming (hierna: “AVG”);
(D) klant moet in dat kader worden aangemerkt als een Verwerkingsverantwoordelijke in de zin van artikel 4 onder 7, AVG (zoals hierna gedefinieerd);
(E) ThreadStone Cyber Security moet worden aangemerkt als een Verwerker in de zin van artikel 4, onder 8, AVG (zoals hierna gedefinieerd);
(F) de Verwerkingsverantwoordelijke is op grond van artikel 28 lid 3 AVG verplicht een Verwerkersovereenkomst (zoals hierna gedefinieerd) aan te gaan met de Verwerker;
(G) partijen in deze Verwerkersovereenkomst afspraken wensen vast te leggen met betrekking tot de verwerking van Persoonsgegevens door ThreadStone Cyber Security;
Partijen komen overeen als volgt:
1. Definities
1.1. In deze Verwerkersovereenkomst hebben de met een beginhoofdletter geschreven begrippen de volgende betekenis:
(a) “Betrokkene”: degene op wie een Persoonsgegeven betrekking heeft, zoals bedoeld in artikel 4, onder 1, AVG;
(b) “Verwerker”: degene die ten behoeve van de Verwerkingsverantwoordelijke Persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen. In deze Overeenkomst moet ThreadStone Cyber Security worden aangemerkt als “Verwerker”;
(c) “Verwerkersovereenkomst”: Deze verwerkersovereenkomst;
(d) “Functionaris voor gegevensbescherming”: de eventueel door Klant benoemde functionaris als bedoeld in artikel 37 AVG;
(e) “Persoonsgegevens”: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon, zoals bedoeld in artikel 4, onder 1, AVG. De Persoonsgegevens zijn en blijven in eigendom van Klant;
(f) “Subverwerker”: Een Subverwerker is een buiten de organisatie van ThreadStone Cyber Security om staande persoon of instelling die in opdracht van ThreadStone Cyber Security een deel van de Verwerking van Persoonsgegevens uitvoert;
(g) “Verwerkingsverantwoordelijke”: de natuurlijke persoon, rechtspersoon of ieder ander die of het bestuursorgaan dat, alleen of tezamen met anderen, het doel van en de middelen voor de Verwerking van Persoonsgegevens vaststelt. In deze Verwerkersovereenkomst moet Klant worden aangemerkt als “Verwerkingsverantwoordelijke”;
(h) “Verwerking (van Persoonsgegevens)”: elke handeling of elk geheel van handelingen met betrekking tot Persoonsgegevens, waaronder in ieder geval het verzamelen,
vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens, zoals bedoeld in artikel 4, onder 2, AVG.
2. Totstandkoming, duur en einde
2.1. Deze Verwerkersovereenkomst treedt in werking op de datum dat Partijen de Overeenkomst (elektronisch) hebben ondertekend;
2.2. Deze Verwerkersovereenkomst zal van kracht zijn gedurende de looptijd van de Overeenkomst, dan wel voor de duur van de Verwerking door Verwerker. De Verwerkersovereenkomst, met uitzondering van artikel 3 en 7, eindigt van rechtswege indien de Overeenkomst tussen Partijen is geëindigd, dan wel beëindigd.
2.3. Partijen kunnen deze Verwerkersovereenkomst niet zelfstandig, tussentijds beëindigen, omdat de Verwerkersovereenkomst onverbrekelijk deel uit maakt van de Overeenkomst.
2.4. Deze Verwerkersovereenkomst kan alleen worden gewijzigd of aangevuld indien uitdrukkelijk en schriftelijk tussen partijen overeengekomen.
3. Voorwerp van de Verwerkersovereenkomst
3.1. Klant staat er voor in dat zij op grond van en in overeenstemming met de AVG, de huidige en toekomstige (nationale en Europese) regelgeving op het gebied van gegevensbescherming en privacy, de door haar verstrekte Persoonsgegevens mag verwerken en aan ThreadStone Cyber Security mag verstrekken. Klant garandeert in het bijzonder dat de inhoud, het gebruik en de opdracht tot de Verwerking van de Persoonsgegevens zoals bedoeld in deze Verwerkersovereenkomst, niet onrechtmatig is en geen inbreuk maken op enig recht van derden. Klant vrijwaart ThreadStone Cyber Security tegen alle aanspraken en claims die hiermee verband houden.
3.2. Klant staat er voor in dat zij uitsluitend die Persoonsgegevens verwerkt, en daarmee door ThreadStone Cyber Security laat Verwerken, welke het doel dienen van de Verwerking.
3.3. ThreadStone Cyber Security verricht ten behoeve van Klant Diensten, zulks overeengekomen in de Overeenkomst.
3.4. Bij de uitoefening van de werkzaamheden, zoals overeengekomen in de Overeenkomst, Verwerkt ThreadStone Cyber Security Persoonsgegevens ten behoeve van Klant, waarvoor laatstgenoemde Verwerkingsverantwoordelijke is.
3.5. ThreadStone Cyber Security zal de Persoonsgegevens uitsluitend Verwerken in het kader van de werkzaamheden zoals overeengekomen in de Overeenkomst. ThreadStone Cyber Security Verwerkt Persoonsgegevens slechts in opdracht van Klant en volgt alle redelijke instructies van Klant dienaangaande op, behoudens afwijkende wettelijke verplichtingen. ThreadStone Cyber Security mag echter de Persoonsgegevens gebruiken voor o.a.: kwaliteitsdoeleinden, het doen van wetenschappelijk en/of statistisch onderzoek naar de kwaliteit van haar dienstverlening.
3.6. ThreadStone Cyber Security zal de Persoonsgegevens op een behoorlijke en zorgvuldige wijze, in overeenstemming met de AVG en andere toepasselijke regelgeving betreffende de Verwerking van databescherming en privacy, verwerken.
3.7. ThreadStone Cyber Security zal haar Diensten versleutelen. Op uitdrukkelijk schriftelijk verzoek van Klant zal ThreadStone Cyber Security de Persoonsgegevens met betrekking tot deze Verwerkersovereenkomst op een nader te bepalen wijze vernietigen of versleutelen (encrypten). Klant staat er voor in dat haar verzoek tot vernietiging of versleuteling correct, volledig en voldoende specifiek is. ThreadStone Cyber Security zal proberen aan het bedoelde uitdrukkelijke schriftelijke verzoek te voldoen. Indien zij echter niet aan het verzoek kan voldoen levert dat geen tekortkoming in de nakoming van deze Verwerkersovereenkomst door ThreadStone Cyber Security op. Partijen zullen dan in onderling overleg komen tot een redelijke oplossing.
3.8. ThreadStone Cyber Security heeft geen zeggenschap over het doel en de middelen voor de Verwerking van Persoonsgegevens. Voor zover niet anders is bepaald in deze Verwerkersovereenkomst, neemt ThreadStone Cyber Security geen beslissingen over het gebruik van de Persoonsgegevens, de verstrekking aan derden en de duur van de opslag van de Persoonsgegevens. De zeggenschap over Persoonsgegevens verstrekt onder deze Verwerkersovereenkomst komt nimmer bij ThreadStone Cyber Security te berusten.
4. Rechten van betrokkenen
4.1. Partijen zullen elkaar informeren over feiten en omstandigheden waarvan zij redelijkerwijze kunnen verwachten dat deze invloed hebben op de verwerking van Persoonsgegevens door de andere Partij.
4.2. ThreadStone Cyber Security verleent Klant medewerking om binnen de wettelijke termijnen te voldoen aan de verplichtingen op grond van de AVG, meer in het bijzonder de rechten van Betrokkenen, zoals, maar niet beperkt tot, een verzoek om inzage, verbetering, aanvulling, verwijdering of afscherming van Persoonsgegevens en het uitvoeren van een gehonoreerd aangetekend verzet.
4.3. Indien ThreadStone Cyber Security (pogingen tot) onrechtmatige of anderszins ongeautoriseerde Verwerkingen of inbreuken op de beveiligingsmaatregelen van de Persoonsgegevens signaleert, zoals bedoeld in artikel 33 van de AVG, zal zij Klant hierover zo spoedig mogelijk inlichten en de redelijkerwijs benodigde maatregelen treffen om (verdere) schending van de AVG of andere regelgeving betreffende de Verwerking van de Persoonsgegevens, te voorkomen of te beperken.
4.4. Klant en ThreadStone Cyber Security spannen zich in te zorgen dat de Functionaris voor de gegevensbescherming van Klant naar behoren en tijdig wordt betrokken bij aangelegenheden zoals bedoeld in dit artikel 4.
5. Technische en organisatorische maatregelen en procedures
5.1. In aanvulling op artikel 32 AVG zal ThreadStone Cyber Security passende technische en organisatorische (beveiligings)maatregelen en procedures implementeren. Deze maatregelen en procedures zullen met inachtneming van de stand der techniek en de kosten gemoeid met de implementatie en uitvoering van de maatregelen, een passend beschermingsniveau verzekeren, zulks met inachtneming van de risico’s die het verwerken van de Persoonsgegevens, en de aard daarvan, meebrengen. ThreadStone Cyber Security staat er niet voor in dat de beveiliging onder alle omstandigheden doeltreffend is.
5.2. Partijen zullen elkaar op verzoek van de andere partij periodiek informeren in hoeverre de tussen partijen overeengekomen beveiligings- en continuïteitsplannen worden uitgevoerd en actueel zijn en overleggen met elkaar over eventuele, noodzakelijke bijstellingen.
5.3. ThreadStone Cyber Security verwerkt geen Persoonsgegevens buiten een land van de Europese Unie, tenzij hij daarvoor uitdrukkelijk schriftelijke toestemming van Klant heeft verkregen.
5.4. De door of vanwege ThreadStone Cyber Security aan Klant verstrekte toegangs- of identificatiecodes en certificaten zijn vertrouwelijk en zullen door Klant als zodanig worden behandeld en slechts aan geautoriseerde personeelsleden uit de eigen organisatie van Klant kenbaar worden gemaakt. ThreadStone Cyber Security is gerechtigd toegewezen toegangs- of identificatiecodes en certificaten te wijzigen.
6. Geheimhouding
6.1. ThreadStone Cyber Security is gehouden tot geheimhouding van alle Persoonsgegevens die zij in het kader van de Overeenkomst verwerkt, behoudens in zoverre die Persoonsgegevens
klaarblijkelijk geen geheim of vertrouwelijk karakter hebben, dan wel reeds algemeen bekend zijn.
6.2. Indien en voor zover Klant daarom uitdrukkelijk schriftelijk verzoekt, zal ThreadStone Cyber Security ten aanzien van de daarbij aangeduide Persoonsgegevens maatregelen treffen met het oog op de geheimhouding daarvan, welke maatregelen onder meer kunnen inhouden de vernietiging van de betrokken Persoonsgegevens zodra de noodzaak voor ThreadStone Cyber Security om daarvan nog langer kennis te nemen, is komen te vervallen.
7. Medewerkers van ThreadStone Cyber Security
7.1. ThreadStone Cyber Security zal schriftelijk vastleggen welke medewerkers toegang hebben tot de door Klant aangeleverde gegevens en hiervoor genoemde schriftelijke vastlegging actualiseren indien er veranderingen zijn.
7.2. De Persoonsgegevens worden slechts verwerkt door geautoriseerde medewerkers van ThreadStone Cyber Security.
7.3. ThreadStone Cyber Security staat er voor in dat de geautoriseerde medewerkers van ThreadStone Cyber Security zich houden aan de voorschriften van de AVG, en de voorschriften die volgen uit deze Verwerkersovereenkomst.
7.4. ThreadStone Cyber Security zal in haar overeenkomst met haar medewerkers bedingen dat door die personen op overeenkomstige wijze als in artikel 7 bepaald geheimhouding zullen betrachten ten aanzien van alle Persoonsgegevens die zij in het kader van hun werkzaamheden voor Klant verwerken.
7.5. Na afloop van deze Verwerkersovereenkomst blijft dit artikel en de hierin besproken geheimhouding gedurende een periode van twee (2) jaren van kracht.
8. Verwerking van persoonsgegevens in de keten
8.1. Indien en voor zover noodzakelijk voor een juiste uitvoering van de Verwerkersovereenkomst is het ThreadStone Cyber Security toegestaan gebruik te maken van Subverwerkers, zonder voorafgaande schriftelijke toestemming van Klant.
8.2. ThreadStone Cyber Security zorgt ervoor dat een Subverwerker zich richt naar de instructies van deze Verwerkersovereenkomst, tot geheimhouding verplicht is en de nodige organisatorische en technische maatregelen en procedures ten opzichte van de Verwerking neemt. Alle relevante verplichtingen uit deze Verwerkersovereenkomst voor de bescherming en beveiliging van de Persoonsgegevens worden overgenomen in de overeenkomst met de Subverwerker. Garanties en vrijwaringen die ThreadStone Cyber Security in deze Verwerkersovereenkomst doet, gelden daarmee dus onverkort voor haar Subverwerkers.
9. Audit
9.1. ThreadStone Cyber Security is zich bewust van de zelfstandige controlebevoegdheden van toezichthouders, meer in het bijzonder, de Autoriteit Persoonsgegevens. Op verzoek van Xxxxx, zal ThreadStone Cyber Security Klant ondersteunen bij het verstrekken van toegang door de toezichthouder voor een onderzoek met betrekking tot de op grond van deze Verwerkersovereenkomst verwerkte Persoonsgegevens.
9.2. Klant kan de bewerkingen en de naleving van deze Verwerkersovereenkomst, eens per kalenderjaar en in overeenstemming met de bepalingen van dit artikel 9 door een onafhankelijke derde, die aan geheimhouding is gebonden, laten controleren. ThreadStone Cyber Security zal aan dit verzoek medewerking verlenen, voor zover redelijkerwijs van XxxxxxXxxxx Cyber Security kan worden verwacht.
9.3. De audit vindt uitsluitend plaatst nadat Klant de bij ThreadStone Cyber Security aanwezige soortgelijke auditrapportages heeft opgevraagd, beoordeeld en redelijke argumenten aanbrengt die een door Klant geïnitieerde audit alsnog rechtvaardigen. Een dergelijke audit wordt gerechtvaardigd wanneer de bij ThreadStone Cyber Security aanwezige soortgelijke auditrapportages geen of onvoldoende uitsluitsel geven over het naleven van deze
Verwerkersovereenkomst door ThreadStone Cyber Security. De door Klant geïnitieerde audit vindt twee weken na voorafgaande aankondiging door Klant, eens per kalenderjaar plaats.
9.4. De kosten die ThreadStone Cyber Security maakt voor de werkzaamheden als bedoeld in dit artikel 9, komen voor rekening van Klant.
9.5. Het uitvoeren van een controle zal niet tot een vertraging van de door XxxxxxXxxxx Cyber Security in het kader van de Overeenkomst en deze Verwerkersovereenkomst mogen leiden. Indien dat onverhoopt toch het geval is, zullen partijen in overleg treden teneinde daarvoor zo snel mogelijk een oplossing te vinden.
9.6. Over de uitkomsten van de controle zullen partijen in overleg treden. ThreadStone Cyber Security voert de door Klant aangegeven aanbevelingen uit, voor zover dat redelijkerwijs van ThreadStone Cyber Security kan worden verwacht, binnen een samen overeen te komen termijn.
10. Verzekering
10.1. ThreadStone Cyber Security heeft zich op een naar verkeersnormen passende en gebruikelijke wijze verzekerd en houdt zich zodanig verzekerd voor de navolgende risico’s:
(a) beroepsaansprakelijkheid;
(b) bedrijfsaansprakelijkheid, zoals aansprakelijkheid voor schade toegebracht aan personen of zaken die eigendom zijn van Klant;
(c) verlies van en schade aan bedrijfsinventaris, inclusief de zaken die eigendom zijn van Klant.