Bewerkersovereenkomst

Bewerkersovereenkomst

Onderdeel van de SLA is een bewerkersovereenkomst. Deze wordt afgesloten tussen de klant en Opdrachtnemer (Xafax).

Overwegende dat:

- tussen Klant en Opdrachtnemer een overeenkomst is gesloten met betrekking, hierna: de ‘Overeenkomst’;

- opdrachtnemer in het kader van de uitvoering van zijn verplichtingen voortvloeiende uit de Overeenkomst van Klant de beschikking krijgt over persoonsgegevens, zoals bedoeld in de Wet Bescherming Persoonsgegevens, hierna: ‘Persoonsgegevens’ en de ‘WBP’ en deze voor Klant zal verwerken, zoals bedoeld in artikel 1 WBP;

- op Klant ingevolge artikel 13 WBP de verplichting rust passende technische en organisatorische beveiligingsmaatregelen ten uitvoer te leggen tegen verlies of tegen enige vorm van onrechtmatige verwerking van de Persoonsgegevens;

- op Klant ingevolge artikel 14 lid 1 WBP door inschakeling van Opdrachtnemer ter verwerking van de Persoonsgegevens ten behoeve van Klant, tevens de verplichting rust zorg te dragen dat Opdrachtnemer voldoende waarborgen biedt ten aanzien van technische en organisatorische beveiligingsmaatregelen ter bescherming van de Persoonsgegevens tegen verlies of tegen enige vorm van onrechtmatige verwerking;

- op Klant ingevolge artikel 34a WBP een verplichting rust tot het melden van inbreuken op de beveiliging zoals bedoeld in artikel 13 WBP (hierna: Datalekken) aan de Autoriteit Persoonsgegevens (hierna: de AP) en aan de ‘betrokkene’ in de zin van de WBP (hierna: Xxxxxxxxxx);

- partijen conform artikel 14 lid 2 WBP, al hun afspraken omtrent de verwerking van Persoonsgegevens door Opdrachtnemer en het melden van Datalekken wensen vast te leggen in deze overeenkomst, hierna: de ‘Bewerkersovereenkomst’.

Verklaren als volgt te zijn overeengekomen Artikel 1 Algemeen

1.1 Opdrachtnemer verwerkt de Persoonsgegevens voor Klant overeenkomstig de met Opdrachtnemer overeengekomen instructies van Klant en onder de uitdrukkelijke verantwoordelijkheid van Klant.

1.2 Klant is met betrekking tot de Persoonsgegevens ‘verantwoordelijke’ en Opdrachtnemer ‘bewerker’ in de zin van de WBP.

1.3 Klant heeft de zeggenschap over de verwerking van de Persoonsgegevens en heeft het doel van en de middelen voor de verwerking van de Persoonsgegevens vastgesteld.

1.4 Opdrachtnemer heeft geen zeggenschap over het doel van en de middelen voor de verwerking van de Persoonsgegevens en neemt derhalve geen beslissingen over onder meer het gebruik van de Persoonsgegevens, de verstrekking aan derden en de duur van de opslag van de Persoonsgegevens. De zeggenschap over de Persoonsgegevens komt nimmer bij Opdrachtnemer te rusten.

1.5 Partijen verplichten zich over en weer conform de WBP te handelen.

1.6 Klant staat er tegenover Opdrachtnemer voor in dat de inhoud, het gebruik en/of de verwerking van de Persoonsgegevens niet onrechtmatig zijn en geen inbreuk maken op enig recht van een derde.

1.7 Klant vrijwaart Opdrachtnemer voor aanspraken van de AP en/of Betrokkenen van wie Persoonsgegevens door Opdrachtnemer worden verwerkt in het kader van de uitvoering van de Overeenkomst, tenzij Klant bewijst dat de feiten die aan de aanspraak ten grondslag liggen aan Opdrachtnemer toerekenbaar zijn.

Artikel 2 Beveiliging

2.1 Opdrachtnemer treft technische en organisatorische beveiligingsmaatregelen om de Persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. De tussen partijen overeengekomen, door Opdrachtnemer te treffen, technische en organisatorische beveiligingsmaatregelen, zijn opgenomen in ‘Bijlage 1: Beveiligingsmaatregelen en melding van beveiligings-incidenten’ van deze Bewerkersovereenkomst.

2.2 De beveiligingsmaatregelen bieden, naar het oordeel van de klant, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging van de beveiligingsmaatregelen een passend beveiligingsniveau, gelet op de risico’s die de verwerking en de aard van de Persoonsgegevens met zich meebrengen.

2.3 Opdrachtnemer zal zich ervoor inspannen dat de beveiligingsmaatregelen voldoen aan een niveau dat, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging van de beveiligingsmaatregelen, ten minste gebruikelijk is in de branche gezien de door Opdrachtnemer geboden dienstverlening.

2.4 Opdrachtnemer staat er niet voor in dat de beveiligingsmaatregelen onder alle omstandigheden doeltreffend zijn.

Opdrachtnemer neemt alle passende technische en organisatorische beveiligingsmaatregelen die van kunnen worden verlangd om de Klant te beschermen.

2.5 Klant heeft het recht toe te zien op de naleving van Opdrachtnemer van de in deze Bewerkersovereenkomst overeengekomen beveiligingsmaatregelen, conform de afspraken die hierover zijn gemaakt in Bijlage 1.

2.6 Indien Opdrachtnemer of Klant van oordeel is dat er een wijziging in de door Opdrachtnemer te treffen beveiligingsmaatregelen noodzakelijk is om een passend beveiligingsniveau te bieden, dan treden Klant en Opdrachtnemer in overleg over de door Klant gewenste wijziging in de beveiligingsmaatregelen. Opdrachtnemer heeft het recht de kosten die verband houden met de wijziging in de beveiligingsmaatregelen in rekening te brengen bij Klant. Pas nadat de gewijzigde beveiligingsmaatregelen schriftelijk zijn overeengekomen door Partijen, heeft Opdrachtnemer de verplichting deze beveiligingsmaatregelen daadwerkelijk te implementeren.

Artikel 3 Beveiligingsincidenten en datalekken

3.1 Klant heeft de verplichting als verantwoordelijke in de zin van de WBP tot het melden van Datalekken bij de AP, en in bepaalde gevallen, de Betrokkene op grond van artikel 34a WBP.

3.2 Om Klant te ondersteunen in het voldoen aan zijn verplichting tot het melden van Datalekken, komen Partijen hierbij overeen dat Xxxxxxxxxxxxx zich zal inspannen om Klant zo snel mogelijk, binnen 48 uur, te informeren over beveiligingsincidenten, nadat Opdrachtnemer voornoemde beveiligingsincidenten heeft ontdekt. In Bijlage 1 kunnen door Partijen nadere afspraken worden gemaakt over welke beveiligingsincidenten door Opdrachtnemer aan Klant zullen worden gemeld.

3.3 De wijze van melden van beveiligingsincidenten door Opdrachtnemer aan Klant, zoals omschreven in lid 2 van dit artikel, zal door Opdrachtnemer worden gedaan conform de tussen Klant en Opdrachtnemer opgenomen afspraken hieromtrent in Bijlage 1.

3.4 Melding van Datalekken, zoals bedoeld in artikel 34a WBP, blijft te allen tijde de verantwoordelijkheid van Klant. Opdrachtnemer is nimmer verplicht tot het melden van Datalekken aan de AP en/of de Betrokkene.

3.5 Opdrachtnemer zal, waar mogelijk en nodig, zijn medewerking verlenen aan noodzakelijke informatievoorziening aan Klant in het kader van de door Opdrachtnemer gemelde beveiligingsincidenten aan Klant. Opdrachtnemer kan de extra kosten die hij in dit kader maakt in rekening brengen bij Klant. Hierover kunnen door Partijen in Bijlage 1 nadere afspraken worden gemaakt.

3.6 Klant vrijwaart Opdrachtnemer tegen elke rechtsvordering van een derde, uit welke hoofde dan ook, in verband met de Persoonsgegevens en de uitvoering van de Overeenkomst met uitzondering van rechtsvorderingen van derden die zijn veroorzaakt door nalatigheid of opzet.

3.7 Een aan Klant door de AP opgelegde bestuurlijke boete kan niet worden verhaald op Opdrachtnemer, tenzij er sprake is van opzet of bewuste roekeloosheid aan de zijde van de bedrijfsleiding van Opdrachtnemer.

Artikel 4 Geheimhouding

4.1 Alle medewerkers van Klant en alle medewerkers van Opdrachtnemer, voor zover deze laatste toegang hebben tot de Persoonsgegevens, zijn verplicht tot geheimhouding van de Persoonsgegevens waarvan zij kennis nemen.

4.2 Het bepaalde in het eerste lid van dit artikel geldt niet indien en voor zover verstrekking van de desbetreffende Persoonsgegevens aan een derde noodzakelijk is ingevolge een rechterlijke uitspraak, een wettelijk voorschrift of op basis van een bevoegd gegeven bevel van een overheidsinstantie.

4.3 Bijlage 1, evenals alle door Opdrachtnemer aan Klant verstrekte toegangs- en/of identificatiecodes, certificaten, informatie omtrent toegangs- en/of wachtwoordenbeleid en alle door Opdrachtnemer aan Klant verstrekte informatie die invulling geeft aan de in Bijlage 1 opgenomen technische en organisatorische beveiligingsmaatregelen zijn vertrouwelijk en zullen door Klant als zodanig worden behandeld en slechts aan geautoriseerde medewerkers van Klant kenbaar worden gemaakt. Xxxxx ziet erop toe dat zijn medewerkers de verplichtingen uit dit artikel naleven.

4.4 Klant zal zijn systemen en infrastructuur te allen tijde adequaat beveiligen.

Artikel 5 Looptijd en beëindiging

5.1 Deze Bewerkingsovereenkomst treedt in werking op de datum van laatste ondertekening van deze Bewerkersovereenkomst door Partijen en eindigt van rechtswege indien de Overeenkomst eindigt.

5.2 Deze Bewerkersovereenkomst eindigt van rechtswege bij beëindiging van de Overeenkomst.

5.3 Opdrachtnemer zal, in geval van einde van deze Bewerkersovereenkomst, alle onder zich zijnde en van Klant ontvangen Persoonsgegevens, retourneren aan klant of, indien door Partijen overeengekomen, vernietigen. Opdrachtnemer kan de kosten die hij hiervoor maakt in rekening brengen bij Klant. Hierover kunnen door Partijen nadere afspraken worden gemaakt in Bijlage 1. De termijn waarbinnen dit gebeurt wordt bepaald door Klant.

5.4 Het bepaalde in artikel 5.3 geldt niet indien een wettelijke regeling het geheel of gedeeltelijk retourneren of vernietigen van de Persoonsgegevens door Opdrachtnemer belet. In een dergelijk geval zal Opdrachtnemer de Persoonsgegevens enkel blijven verwerken voor zover noodzakelijk uit hoofde van zijn wettelijke verplichtingen. Het bepaalde in artikel 5.3 geldt eveneens niet indien Opdrachtnemer ‘verantwoordelijke’ in de zin van de WBP is ten aanzien van de Persoonsgegevens.

Artikel 6 Overig

6.1 Deze Bewerkersovereenkomst vormt een integraal onderdeel van de leveringsovereenkomst.

Alle rechten en verplichtingen uit de leveringsovereenkomst, waaronder begrepen beperkingen van aansprakelijkheid, zijn derhalve ook van toepassing op deze Bewerkersovereenkomst.

6.2 Opdrachtnemer is gerechtigd één of meerdere derde partijen in te schakelen ter uitvoering van zijn verplichtingen voortvloeiende uit deze Bewerkersovereenkomst.

Bijlage 1: Beveiligingsmaatregelen en melding van beveiligingsincidenten

A. Omschrijving verwerking

Opdrachtnemer verricht de volgende verwerkingen van Persoonsgegevens voor Klant:

Er wordt saldo toegevoegd aan persoonsgegevens en tevens wordt er historie opgebouwd ten behoeve van rapportages.

B. Aard van de Persoonsgegevens

Klant heeft aangegeven dat Opdrachtnemer de volgende gegevens ten behoeve van Klant zal verwerken:

1) Voornaam + achternaam

2) Gebruikersnummer / ad naam (login)

3) Geboortedatum / geslacht

4) Mailadres

Waarom zijn deze benodigd:

1) Het account is een persoonlijk account en deze namen worden getoond in bijvoorbeeld de portal als je inlogt.

Ten behoeve van nette communicatie naar de gebruikers.

2) Gebruikersnummer ten behoeve van username.

3) Geboortedatum / geslacht geeft inzicht in het gedrag van bepaalde leeftijdscategorieën en geslacht, zodat de Klant daar beleid op kan voeren.

4) Om te kunnen communiceren over de werking van het platvorm;

Bij het resetten of opnieuw opvragen van het wachtwoord worden deze naar het email adres gestuurd.

Het betreft hier niet ‘bijzondere persoonsgegevens’, zoals bedoeld in artikel 16 WBP.

Het betreft hier wel ‘gevoelige gegevens’, namelijk inloggegevens en financiële gegevens.

C. Toegang persoonsgegevens

Alle eerste en tweedelijns support medewerkers hebben inzage in de persoonsgegevens. Alle personeelsleden hebben een geheimhoudsplicht en –verklaring ondertekend en zijn gescreend.

D. Verwerking binnen de EU

De door Opdrachtnemer te verwerken Persoonsgegevens zullen worden verwerkt in: Nederland, België.

E. Technische en organisatorische beveiligingsmaatregelen

Opdrachtnemer zal de volgende technische en organisatorische beveiligingsmaatregelen treffen ter bescherming van de Persoonsgegevens tegen verlies of onrechtmatige verwerking:

Backup/Replicatie

Alle data in de achterliggende databases met betrekking tot tegoeden, betalingen en opwaarderingen worden gerepliceerd naar een tweede server op een fysiek andere locatie. Daarnaast wordt er aanvullend elk uur een differential backup van de data gemaakt.

Security

⮚ IPSec

Alle communicatie tussen het netwerk en de XAFAX cloud server zal over IPsec, SSL of AES256 encryptie via SOAP plaatsvinden. Hiermee is deze verbinding dus beveiligd en

versleuteld. Daarnaast kan gebruik worden gemaakt van de federatieve authenticatie via de surfconnext koppeling.

⮚ Authenticatie

Voor authenticatie van gebruikers en wachtwoorden wordt gebruik gemaakt van standaard Microsoft call’s naar het OS. In de meeste gevallen zal het Windows OS gebruik maken van NTLM. De authenticatie verloopt vanaf de gehoste server over de VPN-verbinding naar de AD server(s) intern.

Meer informatie met betrekking tot de procedure van beveiliging, maatregelen bij het schenden van beveiligingsprocedures staat genoemd in de bewerkersovereenkomst en in het veiligheidsplan.

Er zijn geen extra kosten verbonden aan het treffen van deze technische en organisatorische beveiligingsmaatregelen.

F. Melding beveiligingsincidenten

Opdrachtnemer zal zich inspannen de hieronder nader uitgewerkte beveiligingsincidenten te melden aan Klant:

⮚ virusbesmetting door middel van een virusscanner

⮚ lekken van persoonsgegevens door middel van een interne melding

⮚ fraude door middel van het in NetPay ingebouwde fraude detect systeem

⮚ ontdekte hack door middel van het intrution detection & prevention systeem Dit geldt ook voor ongeautoriseerde toegang en het omzeilen van beveiligingsmaatregelen.

Opdrachtnemer zal bij het doen van zijn melding aan Klant de volgende afspraken in acht nemen:

⮚ Manier van melding: de melding wordt per email gedaan.

⮚ Onderwerp van de mail: Melding beveiliging Xafax omgeving.

⮚ Aan wie gericht: ICT/facilitair contactpersoon

⮚ Inhoud:

▪ Datum melding en de datum waarop Xxxxxxxxxxxxx op de hoogte is geraakt van het beveiligingsincident.

▪ Samenvatting van het beveiligingsincident

▪ Op welke beveiligingsmaatregel heeft zich een beveiligingsincident voorgedaan?

▪ Op welke manier heeft het beveiligingsincident zich voorgedaan? Oftewel, wat is de aard van het beveiligingsincident? Gaat het om lezen, kopiëren, veranderen, verwijderen/vernietigen en/of diefstal van persoonsgegevens?

▪ Wat is de oorzaak van het beveiligingsincident?

▪ Indien bekend:

o Omschrijving van de groep mensen van wie Persoonsgegevens zijn betrokken bij het beveiligingsincident

o Aantal personen getroffen door het beveiligingsincident

o Type Persoonsgegevens (om wat voor Persoonsgegevens gaat het? Namen, toegangs- of identificatiegegevens, financiële gegevens, bijzondere gegevens etc.)

▪ Vervolgacties ter voorkoming en reparatie van het beveiligingsincident

⮚ Contactpersoon bij Opdrachtnemer is de teamleider Technisch beheer en Applicatie beheer.

G. Einde van de bewerkersovereenkomst

Op het moment dat de Overeenkomst en hiermee de Bewerkersovereenkomst eindigt, worden de Persoonsgegevens die Opdrachtnemer onder zich heeft, vernietigd binnen de door Klant opgelegde termijn. Tevens wordt de backup vernietigd.

Voor akkoord:

Ik ga akkoord met dit document en verklaar ze te hebben ontvangen en gelezen.

Bedrijf:                     (

Naam:                        (tekeningsbevoegd) Functie:              

Datum:              

Handtekening: