Verwerkersovereenkomst DossierData B.V.
Verwerkersovereenkomst DossierData B.V.
Versie 25 mei 2018
DossierData en Gebruiker zijn een overeenkomst aangegaan waarbij de Dienst genaamd DossierData wordt geleverd aan Gebruiker. Deze Overeenkomst leidt ertoe dat in opdracht van Gebruiker Persoonsgegevens van de Klanten van Gebruiker Verwerkt.
Mede gelet op het bepaalde in artikel 28 lid 3 Algemene Verordening Gegevensbescherming, worden in deze Verwerkersovereenkomst de wederzijdse rechten en verplichtingen voor de Verwerking van de Persoonsgegevens van de Klanten van Gebruiker vastgelegd.
Artikel 2: Onderwerp en opdracht Verwerkersovereenkomst 4
Artikel 4: Gebruik Persoonsgegevens 5
Artikel 5: Vertrouwelijkheid 5
Artikel 6: Beveiliging en controle 6
Artikel 9: Doorgifte aan derde landen buiten de Europese Economische Ruimte 9
Artikel 10: Inschakeling Subverwerker 9
Artikel 11: Bewaartermijnen en vernietiging Persoonsgegevens 10
Artikel 12: Aansprakelijkheid 10
Artikel 13: Tegenstrijdigheid en wijziging Verwerkersovereenkomst 11
Artikel 14: Duur en beëindiging 11
B. Omschrijving specifieke diensten 12
C. Doeleinden voor het Verwerken van Persoonsgegevens 12
D. Categorieën en soorten persoonsgegevens 13
E. Algemene informatie over getroffen beveiligingsmaatregelen 14
A. Omschrijving van de maatregelen om te waarborgen dat enkel bevoegd personeel toegang heeft tot de Verwerking van Persoonsgegevens. 17
B. Omschrijving van de maatregelen zoals bedoeld in artikel 6 Verwerkersovereenkomst 18
C. Informeren over Datalekken en/of incidenten met betrekking tot beveiliging 20
Artikel 1: Definities
In deze Verwerkersovereenkomst wordt verstaan onder:
1. Autoriteit Persoonsgegevens (AP): zelfstandig bestuursorgaan dat in Nederland bij wet als toezichthouder is aangesteld voor het toezicht op de Verwerking van Persoonsgegevens.
2. Account: persoonlijk profiel dat exclusief door de Gebruiker wordt gecreëerd en beheerd nadat de Gebruiker zich heeft aangemeld voor de Dienst.
3. AVG: de Algemene Verordening Gegevensbescherming (Verordening 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG).
4. Betrokkene, Verwerker, Derde, Persoonsgegevens, Verwerking van Persoonsgegevens en Verwerkingsverantwoordelijke: de begrippen zoals gedefinieerd in de AVG.
5. Bijlage: een bijlage bij deze Verwerkersovereenkomst;
6. Datalek: een inbreuk in verband met Persoonsgegevens, zoals bedoeld in artikel 4 sub 12 AVG.
7. DossierData: DossierData B.V. statutair gevestigd te Groningen en kantoorhoudende te Groningen, aan Xxxxxxxxxxxx 00, 0000 XX, geregistreerd bij de Kamer van Koophandel Groningen onder nummer 64923347.
8. DossierData API: een aangeboden Application Programming Interface waarmee Koppelpartijen een koppeling met DossierData kunnen realiseren.
9. Gebruiker: de natuurlijke of rechtspersoon die een Account heeft aangemaakt en gebruik maakt van de Dienst.
10. Gegevens: al het materiaal dat en alle informatie die de Gebruiker ter beschikking stelt
c.q. invoert bij het gebruik van de Dienst, waaronder ook de Persoonsgegevens van Gebruiker en zijn Klanten, alsmede alle data die wordt verwerkt en gecreëerd bij het gebruik van de Dienst.
11. Klanten: de natuurlijke personen of rechtspersonen die een contractuele relatie hebben met de Gebruiker en wiens (Persoons)Gegevens worden Verwerkt in het kader van het gebruik van de Dienst.
12. Klantportaal: de website xxxxxxxxxxx.xx waarop Klanten van Gebruiker kunnen inloggen om het klantdossier te bekijken.
13. Koppelpartij: een derde partij waar DossierData een koppeling mee aanbiedt. De koppeling is enkel te gebruiken indien de Gebruiker deze inschakelt en, indien dit vanuit DossierData wordt verzocht, expliciet toestemming verleent voor de uitwisseling met de betreffende Koppelpartij.
14. Overeenkomst: de overeenkomst tussen Gebruiker en DossierData, zoals omschreven in overweging a;
15. Privacy Bijsluiter: één of meerdere privacy bijsluiter(s) zoals opgenomen in Bijlage 1 die van toepassing zijn op (het gebruik van) de door DossierData aan Gebruiker verstrekte producten en diensten zoals beschreven in de Overeenkomst;
16. Privacyreglement: dit reglement van DossierData dat beschrijft op welke wijze DossierData invulling geeft aan de bescherming van Persoonsgegevens van Gebruiker in overeenstemming met de wettelijke bepalingen zoals opgenomen in de AVG.
17. Subverwerker: de partij die door DossierData wordt ingeschakeld als Verwerker ten behoeve van de Verwerking van de Persoonsgegevens in het kader van de Verwerkersovereenkomst en de Overeenkomst;
18. Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens: de toepasselijke (Unierechtelijke en lidstaatrechtelijke) wet- en regelgeving en/of (nadere) verdragen, verordeningen, richtlijnen, besluiten, beleidsregels, instructies en/of aanbevelingen van een bevoegde overheidsinstantie betreffende de Verwerking van Persoonsgegevens, tevens omvattende toekomstige wijziging hiervan en/of aanvulling hierop, inclusief lidstaatrechtelijke uitvoeringswetten van de AVG en de Telecommunicatiewet.
19. Verwerkersovereenkomst: de onderhavige verwerkersovereenkomst.
Artikel 2: Onderwerp en opdracht Verwerkersovereenkomst
1. Deze Verwerkersovereenkomst is van toepassing op de Verwerking van Persoonsgegevens van de Klanten van Gebruiker in het kader van de uitvoering van de Overeenkomst.
2. De Gebruiker geeft DossierData conform artikel 28 AVG opdracht en instructies om de in lid 1 van dit artikel bedoelde Persoonsgegevens te verwerken namens de Gebruiker. De instructies van de Gebruiker zijn nader omschreven in deze Verwerkersovereenkomst (inclusief de Bijlagen) en de Overeenkomst.
3. De bepalingen uit de Verwerkersovereenkomst gelden voor alle Verwerkingen van de in lid 1 bedoelde Persoonsgegevens die plaatsvinden ter uitvoering van de Overeenkomst. DossierData brengt Xxxxxxxxx onverwijld op de hoogte indien zij reden heeft om aan te nemen dat zij niet langer aan de Verwerkersovereenkomst kan voldoen.
4. De bepalingen uit de Verwerkersovereenkomst gelden voor alle Verwerkingen die plaatsvinden op Persoonsgegevens van de Klanten van de Gebruiker. Het Privacyreglement is toegespitst op de Verwerking van de Persoonsgegevens van Gebruiker.
1. Gebruiker is ten aanzien van de in diens opdracht uit te voeren Verwerkingen van Persoonsgegevens de Verwerkingsverantwoordelijke. DossierData is Verwerker in de zin van de AVG. De Gebruiker heeft en houdt zelfstandige zeggenschap over het (het bepalen van) doel en de middelen van de Verwerking van de Persoonsgegevens.
2. In Bijlage 1 is de Dienst beschreven en de Verwerkingen die in het kader van de uitvoering van de Dienst, waaronder eventuele optionele diensten, plaatsvinden.
3. Gebruiker neemt de in lid 2 van dit artikel genoemde Verwerking van de Persoonsgegevens op in een register van de verwerkingsactiviteiten die onder haar verantwoordelijkheid plaatsvindt.
4. Voor zover artikel 30 lid 5 AVG daartoe verplicht, houdt DossierData conform artikel 30, lid 2 AVG (ook) een (data)register bij van alle categorieën van verwerkingsactiviteiten die zij ten behoeve van Xxxxxxxxx verricht.
5. Partijen verstrekken elkaar over en weer alle benodigde informatie teneinde een goede naleving van de Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens mogelijk te maken.
6. DossierData stelt Verwerkingsverantwoordelijke onmiddellijk op de hoogte indien naar zijn oordeel door Verwerkersverantwoordelijke gegeven instructies in strijd zijn met de Toepasselijke wet- en regelgeving met betrekking tot de Verwerking van Persoonsgegevens.
7. Voor Partijen zijn de beginselen van gegevensbescherming door ontwerp en gegevensbescherming door standaardinstellingen bij het gebruik, de levering en de (door)ontwikkeling van de onder de Overeenkomst aangeboden Producten en Diensten leidend.
Artikel 4: Gebruik Persoonsgegevens
1. DossierData verplicht zich om de van Gebruiker verkregen Persoonsgegevens niet voor andere doeleinden of op andere wijze te gebruiken dan voor het doel, en conform de wijze waarvoor, de gegevens zijn verstrekt of aan hem bekend zijn geworden. Het is DossierData derhalve niet toegestaan andere gegevensverwerkingen uit te voeren dan door de Gebruiker (schriftelijk dan wel elektronisch) aan DossierData in het kader van de uitvoering van de Overeenkomst zijn opgedragen, behoudens een eventuele afwijkende Unierechtelijke of lidstaatrechtelijke bepaling op grond waarvan DossierData tot verstrekken verplicht is, waaronder maar niet beperkt tot het voldoen aan een (in kracht van gewijsde gegane) gerechtelijke uitspraak. In dat geval geldt het bepaalde in artikel 5 lid 3. Deze verplichting geldt zowel gedurende de looptijd van deze overeenkomst als na afloop daarvan.
2. Een overzicht van onder meer de categorieën Betrokkenen en soorten Persoonsgegevens en het doel van het gebruik waarvoor de Persoonsgegevens worden verwerkt, is uiteengezet in Bijlage 1 bij deze Verwerkersovereenkomst.
3. Indien DossierData in strijd met de AVG het doel en de middelen van de Verwerking van Persoonsgegevens bepaalt, wordt DossierData met betrekking tot die Verwerking als Verwerkingsverantwoordelijke beschouwd.
1) DossierData zorgt ervoor dat eenieder, waaronder zijzelf alsmede haar werknemers, vertegenwoordigers en/of Subverwerkers, die zij betrekt bij de Verwerking van de Persoonsgegevens deze gegevens als vertrouwelijk behandelt. DossierData waarborgt dat met de tot het Verwerken van de Persoonsgegevens geautoriseerde personen een
geheimhoudingsovereenkomst of –beding is gesloten of dat deze door een wettelijke verplichting tot geheimhouding zijn gebonden.
2) De in lid 1 bedoelde geheimhoudingsplicht voor DossierData geldt niet in de hierna genoemde gevallen:
a) Gebruiker heeft uitdrukkelijk toestemming gegeven om de Persoonsgegevens aan een Derde te verstrekken;
b) het verstrekken van de Persoonsgegevens aan een derde is noodzakelijk gezien de aard van de door DossierData aan Gebruiker te verlenen diensten; of
c) DossierData wordt op grond van een Unierechtelijke of lidstaatrechtelijke bepaling of een in kracht van gewijsde gegane gerechtelijke uitspraak tot verstrekking aan een derde verplicht.
3) In geval van de in lid 2 sub c bedoelde verplichting tot verstrekking van de Persoonsgegevens aan een Derde, verifieert DossierData voorafgaand aan de verstrekking de grondslag van het verzoek en de identiteit van de verzoeker. Daarnaast informeert DossierData – tenzij die wetgeving deze kennisgeving om gewichtige redenen van algemeen belang verbiedt - Gebruiker onmiddellijk, zo mogelijk voorafgaand aan de verstrekking, over de relevante informatie inzake deze verstrekking.
Artikel 6: Beveiliging en controle
1) DossierData zal, gelijk de Gebruiker, zorg dragen voor passende technische en organisatorische maatregelen als bedoeld in artikel 32 AVG om Persoonsgegevens te beveiligen en beschermen tegen ongeoorloofde of onrechtmatige Verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging.
2) Naast de maatregelen als genoemd in artikel 32 lid 1 AVG, worden onder meer de volgende maatregelen – waar passend - genomen: a. maatregelen om te waarborgen dat enkel geautoriseerde medewerkers toegang hebben tot de Persoonsgegevens die in het kader van de Verwerkersovereenkomst worden Verwerkt;
a) maatregelen waarbij DossierData zijn (geautoriseerde) medewerkers uitsluitend toegang geeft tot Persoonsgegevens via op naam gestelde accounts, waarbij het gebruik van die accounts adequaat gelogd wordt en waarbij de betreffende accounts alleen toegang geven tot die Persoonsgegevens waartoe de toegang voor de betreffende persoon noodzakelijk is;
b) maatregelen om zwakke plekken te identificeren ten aanzien van de Verwerking van Persoonsgegevens in de systemen die worden ingezet voor het verlenen van diensten aan de Betrokkene;
c) maatregelen om de tijdige beschikbaarheid van de Persoonsgegevens te garanderen;
d) het beschikken over een passend informatiebeveiligingsbeleid voor de Verwerking van de Persoonsgegevens.
e) de overige maatregelen zoals vastgelegd in Bijlage 2.
3) Partijen zullen de door hen getroffen informatiebeveiligingsmaatregelen evalueren en verscherpen, aanvullen of verbeteren voor zover de eisen of (technologische) ontwikkelingen daartoe aanleiding geven.
4) In Bijlage 2 zijn de afspraken tussen Partijen vastgelegd over de technische en organisatorische beveiligingsmaatregelen, alsmede over de inhoud en de frequentie van de rapportages die DossierData aan de Gebruiker oplevert over de beveiligingsmaatregelen.
5) DossierData stelt Xxxxxxxxx in staat om te kunnen voldoen aan zijn wettelijke verplichting om toezicht te houden op de naleving door DossierData van de technische en organisatorische beveiligingsmaatregelen alsmede op de naleving van de in artikel 7 genoemde verplichtingen ten aanzien van Datalekken. Naast rapportages door DossierData kan dat aan de hand van, maar niet beperkt tot, een geldige (inter)nationaal erkende certificering of een gelijkwaardig controle- of bewijsmiddel.
6) In aanvulling op de voorgaande leden heeft Gebruiker te allen tijde het recht om, in overleg met DossierData en met inachtneming van een redelijke termijn, de naleving van Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens, de Overeenkomst en deze Verwerkersovereenkomst, waaronder de door DossierData genomen technische en organisatorische beveiligingsmaatregelen, te (doen) controleren. DossierData zal de hier bedoelde audit alsmede eventuele inspecties, op kosten van Gebruiker, mogelijk maken en eraan bijdragen. Partijen kunnen in onderling overleg afspreken dat de audit wordt uitgevoerd door een door DossierData, in overleg met Gebruiker in te schakelen onafhankelijke gecertificeerde externe deskundige die een derden-verklaring (TPM) afgeeft. Gebruiker wordt geïnformeerd over de uitkomsten van deze audit.
1) Partijen hebben een passend beleid voor de omgang met Datalekken. Indien Gebruiker dan wel DossierData een Datalek vaststelt, dan zal deze de andere Partij daarover zonder onredelijke vertraging (zo mogelijk uiterlijk binnen 48 uur na het vaststellen van het Datalek) informeren zodra hij kennis heeft genomen van dat Xxxxxxx. DossierData verstrekt ingeval van een Datalek alle relevante informatie aan Xxxxxxxxx met betrekking tot het Datalek, waaronder informatie over eventuele ontwikkelingen rond het Datalek, en de maatregelen die de DossierData treft om aan zijn kant de gevolgen van het Datalek te beperken en herhaling te voorkomen.
2) DossierData informeert Gebruiker onverwijld indien een vermoeden bestaat dat een Datalek waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen zoals bedoeld in artikel 34 lid 1 AVG.
3) DossierData stelt bij een Datalek de Gebruiker in staat om passende vervolgstappen te (laten) nemen ten aanzien van het Datalek. DossierData dient hierbij aansluiting te zoeken bij de bestaande processen die Gebruiker daartoe heeft ingericht. Partijen nemen zo spoedig mogelijk alle redelijkerwijs benodigde maatregelen om (verdere) schending of inbreuken betreffende de Verwerking de Persoonsgegevens, en meer in het bijzonder (verdere) schending van de Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens, te voorkomen of te beperken.
4) In geval van een Datalek, voldoet Gebruiker aan eventuele wettelijke meldingsplichten. In geval een Datalek bij DossierData meerdere van zijn Gebruikers in gelijke mate treft, kan DossierData ten behoeve van de Gebruiker na overleg een melding doen van het Datalek aan de Autoriteit Persoonsgegevens.
5) In geval van het Datalek waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen, zal de Gebruiker de Betrokkenen informeren over het Datalek.
6) Partijen zullen te goeder trouw in onderling overleg afspraken maken over de redelijke verdeling van de eventuele kosten die verbonden zijn aan het voldoen aan de meldingsplichten.
7) Partijen documenteren alle Datalekken in een (incidenten)register, met inbegrip van de feiten omtrent de inbreuk in verband met Persoonsgegevens, de gevolgen daarvan en de genomen corrigerende maatregelen.
8) Over incidenten met betrekking tot de beveiliging, anders dan een Datalek, die vallen buiten het bereik van artikel 1 sub d van deze Verwerkersovereenkomst, informeert DossierData de Gebruiker conform de afspraken zoals neergelegd in Bijlage 2.
1) DossierData verleent Gebruiker, op kosten van Gebruiker, bijstand bij het doen nakomen van de op Gebruiker rustende verplichtingen op grond van de AVG en andere Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens, zoals met betrekking – maar niet beperkt – tot:
a) het – voor zover redelijkerwijs mogelijk - vervullen van de plicht van Gebruiker om aan verzoeken van de in hoofdstuk III van de AVG vastgelegde rechten van de betrokkene binnen de wettelijke termijnen te voldoen, zoals een verzoek om inzage, verbetering, aanvulling, verwijdering of afscherming van Persoonsgegevens;
b) het uitvoeren van controles en audits zoals bedoeld in artikel 6 van deze Verwerkersovereenkomst;
c) het uitvoeren van een gegevensbeschermingseffectbeoordeling (DPIA) en een eventuele daaruit voortkomende verplichte voorafgaande raadpleging van de Autoriteit Persoonsgegevens;
d) het voldoen aan verzoeken van de Autoriteit Persoonsgegevens of een andere overheidsinstantie;
e) het voorbereiden, beoordelen en melden van Datalekken zoals bedoeld in artikel 7 van deze Verwerkersovereenkomst.
2) Een klacht of verzoek van een Betrokkene of een verzoek of onderzoek van de Autoriteit Persoonsgegevens met betrekking tot de Verwerking van de Persoonsgegevens, wordt door DossierData, voor zover wettelijk is toegestaan, onverwijld doorgestuurd naar Gebruiker, die verantwoordelijk is voor de afhandeling van het verzoek.
Artikel 9: Doorgifte aan derde landen buiten de Europese Economische Ruimte
1) DossierData is uitsluitend gerechtigd tot doorgifte van Persoonsgegevens aan een derde land of internationale organisatie indien Gebruiker daarvoor specifieke Schriftelijke toestemming heeft gegeven, tenzij een op DossierData van toepassing zijnde Unierechtelijke of lidstaatrechtelijke bepaling DossierData tot die doorgifte verplicht. In dat geval stelt DossierData Gebruiker voorafgaand aan de doorgifte schriftelijk danwel per e- mail op de hoogte van deze bepaling, tenzij die wetgeving deze kennisgeving om gewichtige redenen van algemeen belang verbiedt.
2) Indien na toestemming van Gebruiker Persoonsgegevens worden doorgegeven aan derde landen buiten de Europese Economische Ruimte of aan een internationale organisatie zoals bedoeld in artikel 4 lid 26 AVG, dan zien Partijen er op toe dat dit alleen plaatsvindt conform wettelijke voorschriften en eventuele verplichtingen die in dit verband op Gebruiker rusten. Indien gegevens worden doorgegeven aan een derde land of een internationale organisatie, dan wordt dit in Bijlage 1 bij deze Verwerkersovereenkomst aangegeven, inclusief een opgave van de landen waar, of internationale organisaties door wie, de Persoonsgegevens worden Verwerkt. Daarbij wordt tevens aangegeven op welke wijze is voldaan aan de voorwaarden op basis van de AVG voor doorgifte van Persoonsgegevens aan derde landen of internationale organisaties.
Artikel 10: Inschakeling Subverwerker
1) Gebruiker geeft DossierData door ondertekening van deze Verwerkersovereenkomst toestemming tot het inschakelen van Subverwerkers, van wie de identiteit en vestigingsgegevens zijn opgenomen in de Privacy Bijsluiter.
2) Tijdens de duur van de Verwerkersovereenkomst licht DossierData Gebruiker in over een voorgenomen toevoeging van een nieuwe Subverwerker of wijziging in de samenstelling van de bestaande Subverwerkers, waarbij Gebruiker de mogelijkheid wordt geboden tegen deze veranderingen bezwaar te maken.
3) DossierData is verplicht iedere Subverwerker via een overeenkomst of andere rechtshandeling minimaal dezelfde verplichtingen inzake gegevensbescherming op te leggen als in deze Ververkersovereenkomst aan DossierData zijn opgelegd. Hieronder vallen onder meer de verplichting om de Persoonsgegevens niet verder te Verwerken anders dan in het kader van deze Verwerkersovereenkomst is overeengekomen en de verplichting tot het nakomen van de geheimhoudingsverplichtingen, meldingsverplichtingen en beveiligingsmaatregelen met betrekking tot de Verwerking van Persoonsgegevens zoals in deze Verwerkersovereenkomst vastgelegd. DossierData zal op verzoek van Xxxxxxxxx afschriften verstrekken van de gesloten verwerkersovereenkomsten, of van de relevante passages uit de verwerkersovereenkomst of een andere overeenkomst of een andere bindende rechtshandeling tussen DossierData en de door deze overeenkomstig artikel 10 lid 1 van deze Verwerkersovereenkomst ingeschakelde Subverwerker.
Artikel 11: Bewaartermijnen en vernietiging Persoonsgegevens
1) DossierData zal Gebruiker de mogelijkheid geven om aan (wettelijke) bewaartermijnen te voldoen die van toepassing zijn op de Verwerking van Persoonsgegevens door DossierData. DossierData zal de Persoonsgegevens niet langer Verwerken dan overeenkomstig deze bewaartermijnen.
2) Gebruiker verplicht DossierData om de in opdracht van Xxxxxxxxx Verwerkte Persoonsgegevens bij de beëindiging van de Verwerkersovereenkomst te (doen) vernietigen, tenzij de Persoonsgegevens langer bewaard moeten worden, zoals in het kader van (wettelijke) verplichtingen, dan wel op verzoek van de Gebruiker. De Gebruiker kan op eigen kosten een controle laten uitvoeren of vernietiging heeft plaatsgevonden. Het vernietigen vindt uiterlijk 6 maanden na beëindigen van Dienst plaats.
3) DossierData zal Gebruiker (schriftelijk of elektronisch) bevestigen dat vernietiging van de Verwerkte persoonsgegevens heeft plaatsgevonden.
4) DossierData zal alle Subverwerkers die betrokken zijn bij de Verwerking van de Persoonsgegevens op de hoogte stellen van een beëindiging van de Verwerkersovereenkomst en zal waarborgen dat alle Subverwerkers de Persoonsgegevens (laten) vernietigen.
1) DossierData is aansprakelijk voor alle schade die Gebruiker lijdt als gevolg van een toerekenbare tekortkoming van DossierData ten aanzien van een specifiek tot een Verwerker gerichte verplichting uit hoofde van deze Verwerkersovereenkomst, of de AVG.
2) Gebruiker is aansprakelijk voor alle schade die DossierData lijdt als gevolg van een toerekenbare tekortkoming van Gebruiker ten aanzien van een specifiek tot een Verwerkersverantwoordelijke gerichte verplichting uit hoofde van deze Verwerkersovereenkomst, of de AVG.
3) Wanneer de Gebruiker of DossierData de schade overeenkomstig dit artikel heeft vergoed, kan – indien de andere partij (mede) aansprakelijk is voor deze schade – de Gebruiker of DossierData de schade pro rata (dat wil zeggen in de verhouding van ieders deel van de aansprakelijkheid voor de schade) verhalen op de andere partij.
4) Iedere partij is verplicht de andere partij zonder onnodige vertraging op de hoogte te stellen van een (mogelijke) aansprakelijkstelling door een derde of het (mogelijk) opleggen van een boete door de toezichthouder. Iedere partij is in redelijkheid verplicht de andere partij informatie te verstrekken en/of ondersteuning te verlenen ten behoeve van het voeren van verweer tegen een (mogelijke) aansprakelijkstelling of boete, zoals bedoeld in de vorige volzin.
5) Enige beperking of uitsluiting van aansprakelijkheid van een partij in de Overeenkomst, geldt ook ten aanzien van het bepaalde in dit artikel.
Artikel 13: Tegenstrijdigheid en wijziging Verwerkersovereenkomst
1) In het geval van tegenstrijdigheid tussen de bepalingen uit deze Verwerkersovereenkomst en de bepalingen van de Overeenkomst, dan zullen de bepalingen van deze Verwerkersovereenkomst leidend zijn.
2) Bij belangrijke wijzigingen in het product en/of de (aanvullende) diensten die van invloed zijn op de Verwerking van de Persoonsgegevens wordt de Gebruiker in begrijpelijke taal geïnformeerd over de consequenties van deze wijzigingen. Onder belangrijke wijzigingen wordt in ieder geval verstaan: de toevoeging of wijziging van een functionaliteit die leidt tot een uitbreiding ten aanzien van de te Verwerken Persoonsgegevens en de doeleinden waaronder de Persoonsgegevens worden Verwerkt. De wijzigingen zullen in Bijlage 1 worden opgenomen.
3) Wijzigingen in de artikelen van de Verwerkersovereenkomst worden van tevoren onder de aandacht gebracht. Er zal opnieuw om toestemming gevraagd worden. Gebruiker heeft het recht om bezwaar te maken.
4) In het geval enige bepaling van deze Verwerkersovereenkomst nietig, vernietigbaar of anderszins niet afdwingbaar is of wordt, blijven de overige bepalingen van deze Verwerkersovereenkomst volledig van kracht. Partijen zullen in dat geval met elkaar in overleg treden om de nietige, vernietigbare of anderszins niet afdwingbare bepaling te vervangen door een uitvoerbare alternatieve bepaling. Daarbij zullen partijen zoveel mogelijk rekening houden met het doel en de strekking van de nietige, vernietigde of anderszins niet afdwingbare bepaling.
5) Deze verwerkersovereenkomst is voor het laatst gewijzigd op 16 mei 2018.
Artikel 14: Duur en beëindiging
1. De looptijd van deze Verwerkersovereenkomst is gelijk aan de looptijd van de tussen Partijen gesloten Overeenkomst, inclusief eventuele verlengingen daarvan.
2. Deze Verwerkersovereenkomst eindigt van rechtswege bij de beëindiging van de Overeenkomst. De beëindiging van deze Verwerkersovereenkomst zal Partijen niet ontslaan van hun verplichtingen die voortvloeien uit deze Verwerkersovereenkomst die naar hun aard worden geacht ook na beëindiging voort te duren.
Bijlage 1: Privacy bijsluiter
Deze bijsluiter geeft Gebruiker informatie over de dienstverlening die DossierData verleent en welke persoonsgegevens DossierData daarbij verwerkt. Alles bij elkaar eigenlijk over de vraag "wie, wat, waar, waarom en hoe" wordt omgegaan met de privacy van de betrokken personen wiens gegevens worden uitgewisseld. Het gebruik van deze Privacy Bijsluiter helpt Gebruiker
om beter te begrijpen wat de werking van het product en/of dienst is en welke gegevens daarvoor worden uitgewisseld.
Naam product en/of dienst : DossierData
Beknopte uitleg en werking product en dienst : DossierData biedt CRM functionaliteiten aan om gegevens van zowel consumenten als bedrijven vast te leggen zodat een Gebruiker voldoende informatie heeft om passend te kunnen adviseren.
Doelgroep: Intermediair voor financieel advies Gebruikers : Financiële- en/of hypotheekadviseurs
B. Omschrijving specifieke diensten
1. Verwerkingen van Persoonsgegevens die een onlosmakelijk onderdeel vormen van de aangeboden dienst:
DossierData stelt de Xxxxxxxxx in staat stelt zijn werkzaamheden als adviseur uit te voeren:
• het kunnen benaderen van Klanten ten behoeve van haar dienstverlening;
• het geven van een passend financieel advies;
• het doen van aanvragen voor (een) passend(e) financieel product(en);
• het bewaren van de gegevens om te kunnen voldoen aan zijn zorgplicht nadat een advies is gegeven.
2. Omschrijving van de optionele Verwerkingen die de Verwerker aanbiedt: DossierData biedt de mogelijkheid om optioneel:
• de verzending aan, de wijziging of het ophalen van gegevens die door (door Gebruiker aangewezen) derde partijen worden aangeleverd en vice versa mogelijk te maken middels de DossierData API;
• Klanten inzage te geven in hun dossiers via het Klantportaal in welke geval de IP- adressen en de data rondom het gedrag van Klanten in het Klantportaal wordt gemonitord ten behoeve van de verbetering van het gebruikersgemak van het Klantportaal.
C. Doeleinden voor het Verwerken van Persoonsgegevens
1. het leveren van haar diensten, te weten het beschikbaar stellen van online functionaliteiten waarmee Gebruikers de onder B. bedoelde diensten kunnen leveren aan hun Klanten;
2. het verstrekken van toegang tot de Dienst, waaronder de identificatie, authenticatie en autorisatie;
3. het beantwoorden van vragen van Xxxxxxxxxx;
4. de beveiliging, controle en preventie van misbruik en oneigenlijk gebruik en het voorkomen van inconsistentie en onbetrouwbaarheid;
5. het meten van de continuïteit en de goede werking van de Dienst, waaronder het uitvoeren van onderhoud, het verbeteren naar aanleiding van fouten, het bevorderen van het gebruikersgemak en het maken van back-ups;
6. de omzetting van de Persoonsgegevens tot statistische gegevens, waarvan het resultaat niet langer tot personen herleidbaar is;
7. het beschikbaar stellen van Persoonsgegevens voor zover noodzakelijk om te kunnen voldoen aan de wettelijke eisen die worden gesteld aan Gebruiker.
D. Categorieën en soorten persoonsgegevens
Categorie persoonsgegevens | Doel van de verwerking Conform doeleinden onder C | Soort persoonsgegeven (normaal /gevoelig /bijzonder) | Bewaartermijn |
NAW, Geslacht, Gezinssamenstelling | a t/m c, e, f en g. | Normaal | Gedurende de looptijd van de Overeenkomst. Gebruiker kan gegevens zelf wissen. Na afloop van de Overeenkomst worden de gegevens nog maximaal 6 maanden bewaard. |
Burgerlijke staat (huidig en verleden), Toekomstig adres | a t/m c, e, f en g. | Normaal/Bijzonder | idem |
BSN, Gezondheidsgegevens, waaronder rookgedrag. | a, e en g. | Bijzonder | idem |
Geboortedatum, Financiële gegevens, waaronder: inkomen, salarisgegevens, vermogen, lopende financiële verplichtingen en in het verleden afgesloten financiële producten. | a, c, e, f en g. | Gevoelig | idem |
Af te sluiten producten, waaronder rentes, premies, polissen en voorwaarden die voor de Klant gelden. | a, c , e en f. | Normaal | idem |
Status Bureau Krediet Registratie | a | Gevoelig | idem |
E-mailadres Klant | a t/m e | Normaal | idem |
IP-adres | b, d, e en f. | Normaal | Maximaal 1 jaar |
Naast bovenstaande Persoonsgegevens welke expliciet door DossierData worden uitgevraagd, kunnen ook Persoonsgegevens zijn opgenomen in documenten, vrije tekstvelden en berichten welke ontvangen worden vanuit een Derde partij. Gebruiker staat er jegens DossierData voor in dat de Verwerking van die Persoonsgegevens valt binnen de reikwijdte van de toepasselijke wet- en regelgeving betreffende de bescherming van Persoonsgegevens.
E. Algemene informatie over getroffen beveiligingsmaatregelen:
Voor de genomen veiligheidsmaatregelen wordt kortheidshalve verwezen naar Bijlage 2 bij de Verwerkersovereenkomst.
Gebruiker geeft Verwerker door ondertekening van de Verwerkersovereenkomst een algemene schriftelijke toestemming voor het inschakelen van Subverwerkers. Verwerker heeft het recht gebruik te gaan maken van andere Subverwerkers, mits daarvan voorafgaand mededeling
wordt gedaan aan Gebruiker. Gebruiker heeft het recht daartegen bezwaar te maken binnen dertig (30) dagen na verzending van de mededeling. Verwerker maakt ten tijde van het afsluiten van de Verwerkersovereenkomst gebruik van de volgende Subverwerkers:
Bedrijf | Product | Geleverde dienst | Te verwerken persoonsgegevens | Altijd/Optioneel |
RAPIDE Internet | Hosting | Hosting van DossierData webapplicaties, databases | Alle genoemde persoonsgegevens uit Bijlage 1 worden bij RAPIDE Internet opgeslagen, met uitzondering van documenten | Altijd |
OSSO B.V. | CDN opslagaccount | Opslag van gegevens | Gegevens uit Documenten en HDN-berichten. Deze worden geencrypt opgeslagen waarbij de sleutel niet bekend is bij de Subverwerker | Altijd |
Google Analytics Suite | Bijhouden van gedrag van bezoekers van webapplicaties | Gedrag van Gebruiker en Klant (indien Gebruiker Klant toevoegt bij Klantportaal). Google Analytics is privacy-vriendelijk ingesteld conform de handleiding van de Autoriteit Persoonsgegevens. | Optioneel | |
Findesk | Rekensoftware | Opslag van gegevens | Alle genoemde persoonsgegevens uit Bijlage 1 worden bij Findesk opgeslagen | Optioneel |
Hypotheekbond | Rekensoftware | Opslag van gegevens | Alle genoemde persoonsgegevens uit Bijlage 1 worden bij Findesk opgeslagen | Optioneel |
VoIPNow | VoIP Koppeling | Bijhouden van gemaakte en/of gemiste telefoon gesprekken | Telefoonnummer | Optioneel |
Voor vragen of opmerkingen over deze bijsluiter of de werking van dit product of deze dienst, kunt u terecht bij de DossierData servicedesk. Contactgegevens zijn op de website van DossierData te vinden.
Deze versie is voor het laatst bijgewerkt op 22 mei 2018.
Bijlage 2: Beveiligingsbijlage
DossierData is overeenkomstig de AVG en artikel 6 en 7 Verwerkersovereenkomst verplicht technische en organisatorische maatregelen te nemen ter beveiliging van de Verwerking van Persoonsgegevens, en om die maatregelen aan te tonen. Deze bijlage geeft een beknopte beschrijving en opsomming van die maatregelen.
Technische beheerders van DossierData (of de door haar ingeschakelde Subverwerkers) hebben toegang tot de omgeving en de database op basis van need-to-have. Onderdeel van de exit- procedure is het intrekken van de rechten op omgevingen;
Meer in het bijzonder hieronder de uitwerking van welke (groepen) medewerkers van DossierData (of de door haar ingeschakelde Subverwerkers) toegang hebben tot welke Persoonsgegevens, inclusief een omschrijving van handelingen die deze medewerkers uit mogen voeren met de persoonsgegevens.
Nr | Gebruikersgroep | Taken |
1 | Infrastructuur beheer / technisch beheer | 1. Openen en afsluiten van toegang tot fysieke ruimte in de huisvesting, waarin infrastructuur, zoals servers, zijn geplaatst en de gegevens worden verwerkt 2. Aanbrengen van wijzigingen op huisvesting 3. Inrichten en wijzigen van basisvoorzieningen (zoals elektriciteit), inclusief de aansluitpunten basisvoorzieningen ten behoeve van infrastructuur 4. Plaatsen, installeren, wijzigen en verwijderen van infrastructuur en onderdelen daarvan 5. Aansluiten van kabels tussen Infrastructuur en aansluitpunten van basisvoorzieningen |
2 | Technisch applicatiebeheer | 1. Installeren, wijzigen en verwijderen van technische onderdelen ten behoeve van programmatuur (operating systems, databases, middleware) 2. Aanbrengen van mutaties op systeeminstellingen: - aanpassen database (schema of data) - aanpassen (instellingen/inhoud) van logging/audit - uitvoeren en aanpassen van scripts |
3. Het lezen van programmatuur source-code en programmatuurdocumentatie. 4. Aanpassen van (job) schedules - uitvoeren en aanpassen van scripts - uitvoeren van bepaalde commando's 5. Het maken van gegevens back-ups, verzorgen van restore en het vernietigen ervan | ||
3 | Software development | 1. Het ontwikkelen van programmatuur, waaronder functioneel ontwerpen, technisch ontwerpen, bouwen, testen en documenteren 2. Het wijzigen van programmatuur en documentatie |
4 | Service management beheer | 1. Behandelen van persoonsgegeven ten behoeve van vragen van Xxxxxxxxx 2. Het bekijken en bewerken van gegevens op schriftelijk (waaronder tevens wordt verstaan, elektronisch) verzoek van Xxxxxxxxx |
B. Omschrijving van de maatregelen zoals bedoeld in artikel 6 Verwerkersovereenkomst
DossierData past binnen de scope van de afgesproken dienstverlening, de volgende maatregelen toe, ter bescherming van de Persoonsgegevens:
1) DossierData beschikt over een door hoger management goedgekeurd informatiebeveiligingsbeleid.
2) DossierData beheerst risico's aangaande eigen personeel goed middels toereikende geheimhoudingsverklaringen en personeelsscreening (PES).
3) DossierData hanteert bewustwordings- en opleidingsprogramma aangaande informatiebeveiliging.
4) DossierData zal Gebruiker onverwijld op de hoogte stellen van beveiligingsincidenten die de veiligheid & continuïteit van de informatie(voorzieningen) van Gebruiker kunnen aantasten. Registratie van gegevens aangaande beveiligingsincidenten (bv. bewijsmateriaal) worden hierbij door DossierData adequaat gedocumenteerd en bewaard;
5) DossierData zorgt dat zij voldoende is voorbereid op calamiteiten. Hierbij kan worden gedacht aan het gebruik van uitwijklocaties, crisisorganisatie, uitwijkdraaiboeken en het uitvoeren van uitwijktesten.
6) DossierData zorgt ervoor dat er maatregelen zijn getroffen en gedocumenteerd om het veilig gebruik van verwisselbare gegevensdragers (bv. USB sticks, DVDs, externe harde schijven) van apparatuur en gegevensdragers met Persoonsgegevens te waarborgen. Dit omvat aanschaf, transport, beheer, (her)gebruik en vernietiging/afvoer van deze dragers.
7) Er is een adequaat wachtwoordbeleid waarin eisen aan de wachtwoorden staan beschreven. Deze eisen worden door Verwerker afgedwongen in de betreffende systemen voor alle gebruikers met toegang tot de persoonsgegevens.
8) DossierData heeft adequate en actuele (up-to-date) maatregelen tegen malware (bv. anti- virus) getroffen.
9) Security incidenten worden (periodiek) geëvalueerd voor opvolging.
Aanvullende maatregelen ten aanzien software ontwikkeling:
a) DossierData past binnen haar ontwikkelproces een OTAP-methodiek (Ontwikkeling-Test- Acceptatie-Productie) voor scheiding van fases gedurende het proces.
b) Code wijzigingen worden conform een gestructureerd proces afgehandeld.
c) DossierData test haar applicatie periodiek op kwetsbaarheden. Dit gebeurt zowel handmatig tijdens de initiële ontwikkeling als met behulp van geautomatiseerde tests tijdens het doorlopen van de OTAP-fases. Tevens worden jaarlijks audits gehouden door een externe partij welke kwetsbaarheden onderzoekt.
Aanvullende maatregelen ten aanzien SaaS-diensten:
(1) Van de Persoonsgegevens wordt in lijn met gemaakte afspraken een back-up gemaakt om te verzekeren dat het eventuele verlies van persoonsgegevens wordt voorkomen.
(2) De back-ups worden op een (brand)veilige plaats bewaard, beschermd tegen toegang door onbevoegden en periodiek getoetst door DossierData op juiste werking.
(3) Backups vinden dagelijks plaats en worden niet langer dan een maand opgeslagen. Tevens wordt bij ingrijpende wijzigingen, waaronder een databasewijziging, altijd eerst een backup gemaakt.
(4) DossierData treft voorzieningen voor een adequate fysieke en logische toegangsbeveiliging tot de voor de werkzaamheden relevante Persoonsgegevens (origineel en kopieën) en de ruimtes waarin deze gegevens zijn opgeslagen of worden bewerkt en tijdens transport van deze Persoonsgegevens. Toegang tot Persoonsgegevens is gebaseerd op het need-to-have principe.
(5) DossierData treft passende maatregelen ten aanzien van de uitwisseling / transport van gegevens.
(a) DossierData gebruikt voor haar toegang tot de Persoonsgegevens van Gebruiker een authenticatiemiddel dat passend is (bv. wachtwoorden/smartcards/tokens/OTPs/digitale certificaten). DossierData draagt zorg voor een veilige wijze van beheer van deze middelen en veilige wijze van verstrekking van deze middelen aan gebruikers.
(b) er worden enkel gegevens uitgewisseld die noodzakelijk zijn voor de te leveren diensten.
(c) DossierData waarborgt dat er deugdelijke encryptie (versleuteling) is toegepast bij opslag en verzending van de Persoonsgegevens om te waarborgen dat alleen geautoriseerde personen toegang hebben tot de Persoonsgegevens.
6. DossierData waarborgt dat de voor de Verwerking van de Persoonsgegevens benodigde systemen en applicaties beschikken over de laatste updates en patches (patch management) op basis van een gedocumenteerd en beheerd proces.
7. DossierData zorgt ervoor dat systemen en applicaties die worden gebruikt voor de Verwerking van Persoonsgegevens zo veilig en streng mogelijk worden geconfigureerd (hardening).
8. DossierData draagt zorg voor adequate beveiliging van sleutelmateriaal zoals wachtwoorden en encryptiesleutels.
9. DossierData zorgt voor passende logging en auditing van toegang tot de Persoonsgegevens.
C. Informeren over Datalekken en/of incidenten met betrekking tot beveiliging DossierData monitort dagelijks haar eigen en externe servers op incidenten. In geval van incidenten zal DossierData daarop actie ondernemen. De wijze waarop informatie wordt gedeeld:
1) DossierData meldt beveiligingsincidenten per e-mail aan het (security) contactpersoon bij Gebruiker
2) Gebruiker kan vragen en/of opmerkingen richten aan de servicedesk van DossierData. De medewerkers van de servicedesk van DossierData hebben instructies hoe ze om moeten gaan met meldingen over beveiligingsincidenten, en met wie ze hierover mogen communiceren. Er wordt vertrouwelijk omgegaan met meldingen over beveiligingsincidenten.
3) De informatie die in geval van een beveiligingsincident gedeeld wordt door DossierData
betreft in ieder geval:
a) de datum van constatering, een samenvatting van het incident, het kenmerk en de aard van het beveiligingsincident (op wat voor onderdeel van de beveiliging ziet het, hoe heeft het zich voorgedaan, heeft het betrekking op lezen, kopiëren, veranderen, verwijderen/vernietigen en/of diefstal van persoonsgegevens);
b) de oorzaak van het beveiligingsincident;
c) de maatregelen die getroffen zijn om eventuele/verdere schade te voorkomen;
d) de Betrokkenen die gevolgen kunnen ondervinden van het incident, en de mate waarin;
e) de omvang van de groep betrokkenen;
f) het soort gegevens dat door het beveiligingsincident wordt getroffen (met name bijzondere gegevens, of gegevens van gevoelige aard, waaronder toegangs- of identificatiegegevens, financiële gegevens of leerprestaties).
DossierData en Gebruiker kunnen in lijn met de afspraken in artikel 7 bepalen dat DossierData de melding aan de Autoriteit Persoonsgegevens en, indien noodzakelijk, aan Betrokkenen zal verrichten. Partijen zullen in dat geval in overleg bepalen hoe deze melding zal plaatsvinden.
Deze versie is voor het laatst bijgewerkt op 22 mei 2018