VERWERKERSOVEREENKOMST
VERWERKERSOVEREENKOMST
Behorende bij de World-class Workplace overeenkomst
OVERWEGENDE DAT:
(A) Effectory B.V. (‘Effectory’ of ‘Verwerker’) voert onderzoeken uit naar medewerkersfeedback ten behoeve van haar opdrachtgever (‘Opdrachtgever’), wat leidt tot een verwerking van persoonsgegevens door Effectory.
(B) Opdrachtgever bepaalt de inhoud en scope van de onderzoeken en stelt aldus doel en middelen vast van de verwerking van de persoonsgegevens in het kader van het onderzoek. Opdrachtgever moet daarom worden beschouwd als verwerkingsverantwoordelijke (‘Verwerkingsverantwoordelijke’) in de zin van artikel 4 sub 7 Algemene Verordening Gegevensbescherming (‘ AVG’).
(C) Effectory voert het onderzoek uit ten behoeve van Verwerkingsverantwoordelijke en wordt daarom beschouwd als Verwerker in de zin van artikel 4 sub 8 AVG.
(D) De bepalingen in deze overeenkomst vormen gezamenlijk de verwerkersovereenkomst
als bedoeld in artikel 28 lid 3 AVG (‘Verwerkersovereenkomst’).
1. Begripsbepalingen
1.1. AVG: de Algemene Verordening Gegevensbescherming (EU) 2016/679.
1.2. Betrokkene(n): perso(o)n(en) op wie de Persoonsgegevens betrekking hebben.
1.3. Datalek: inbreuk in verband met Persoonsgegevens als bedoeld in artikel 4 sub 12 AVG.
1.4. Derde(n): eenieder niet zijnde Opdrachtgever, Subverwerker(s) of Betrokkene(n).
1.5. Diensten: het World-class Workplace onderzoek zoals dat door de Verwerker in opdracht van de Opdrachtgever wordt uitgevoerd.
1.6. Effectory: Effectory B.V., gevestigd en kantoorhoudende te Amsterdam (1015 AE) aan Xxxxxx 000, ingeschreven bij het Nederlandse handelsregister onder nummer 72541644 en met e-mailadres xxxxx@xxxxxxxxx.xxx.
1.7. Opdrachtgever: de wederpartij bij deze Overeenkomst.
1.8. Overeenkomst: de overeenkomst voor World Class Workplace ("WCWP") tussen Effectory en Opdrachtgever tot het verlenen van Diensten, waaronder begrepen maar niet beperkt tot aanbiedingen, partnership- of projectvoorstellen, offertes en overeenkomsten tot (online) dienstverlening.
1.9. Participant(en): één of meerdere groepsmaatschappijen van Opdrachtgever.
1.10. Persoonsgegeven(s): alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon die wordt Verwerkt in het kader van de Diensten.
1.11. Subverwerker(s): derde(n) die door Verwerker wordt ingeschakeld om ten behoeve van Verwerker Persoonsgegevens te Verwerken, zonder aan het rechtstreeks gezag van Verwerker te zijn onderworpen.
1.12. Verwerker: Effectory B.V.
1.13. Verwerkersovereenkomst: deze overeenkomst omtrent Verwerking tussen Verwerker en Verwerkingsverantwoordelijke als bedoeld in artikel 28 lid 3 AVG.
1.14. Verwerking: een bewerking of een geheel van bewerkingen met betrekking tot
Persoonsgegevens of een geheel van Persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren,
opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.
1.15. Verwerkingsverantwoordelijke: Opdrachtgever en/of diens relevante Participant(en) die de Diensten door Verwerker laat uitvoeren.
2. Toepasselijkheid
2.1. Deze Verwerkersovereenkomst is van toepassing op Persoonsgegevens die zijn verzameld in het kader van de Diensten uitgevoerd door of namens Effectory ten behoeve van Opdrachtgever en/of Participant(en).
2.2. Van deze Verwerkersovereenkomst kan alleen in een schriftelijke overeenkomst tussen Effectory en Opdrachtgever worden afgeweken.
3. Verplichtingen Verwerker
3.1. Verwerker zal de Persoonsgegevens Verwerken in overeenstemming met de wet, deze Verwerkersovereenkomst, de Overeenkomst en redelijke schriftelijke instructies van Verwerkingsverantwoordelijke c.q. Participant(en) met betrekking to t de Verwerking.
3.2. Verwerker treft passende technische en organisatorische maatregelen om de Persoonsgegevens te beveiligen tegen elke vorm van verlies, ongeautoriseerde toegang, ongeautoriseerde wijziging of ongeautoriseerde verstrekking van/tot Persoonsgegevens, alsmede om de veerkracht van de door haar gebruikte informatiesystemen te behouden, waaronder in ieder geval:
a) het gebruik van gepseudonimiseerde onderzoeks-identiteiten;
b) het versleuteld opslaan van personalia en antwoorden;
c) het gebruik van beveiligde verbindingen;
d) versleuteling van gegevens op laptops en mobiele apparaten; en
e) het binden van medewerkers van Effectory aan geheimhouding en een Verklaring Omtrent het Gedrag.
3.3. Verwerker zal op verzoek redelijke medewerking verlenen aan audits of inspecties om te bepalen in hoeverre zij voldoet aan bepalingen van deze Verwerkersovereenkomst . Deze audit of inspectie zal worden uitgevoerd door Verwerkingsverantwoordelijke of een aan een geheimhoudingsplicht gebonden onafhankelijke deskundi ge en zal plaatsvinden op een tijdstip dat door Verwerker en Verwerkingsverantwoordelijke gezamelijk wordt vastgesteld. Verwerkingsverantwoordelijke draagt de hiermee verband houdende kosten, tenzij uit de inspectie blijkt dat Verwerker materieel tekort is geschoten in de nakoming van deze Verwerkersovereenkomst.
3.4. Verwerker zal de Persoonsgegevens niet aan Derden verstrekken, tenzij op schriftelijke instructie van Verwerkingsverantwoordelijke of op grond van een wettelijke verplichting. In dat laatste geval zal Verwerker, indien en voor zover mogelijk, Verwerkingsverantwoordelijke voorafgaand aan de verstrekking inlichten over de voorgenomen verstrekking en Verwerkingsverantwoordelijke en/of Participant redelijkerwijs in de gelegenheid stellen om haar redelijke belangen te beschermen.
3.5. Xxxxx Xxxxxxxxx heeft kennisgenomen van een Datalek ontstaan aan de zijde van Verwerker of haar Subverwerker(s), zal zij Verwerkingsverantwoordelijke zonder onredelijke vertraging 1 informeren over het Datalek en alle redelijke medewerking
1 Deze wettelijke termijn volgt uit artikel 33 lid 2 AVG. Volledigheidshalve: de termijn waarbinnen Verwerkingsverantwoordelijke een eventuele melding moet doen (72 uur) gaat pas van start nádat Verwerkingsverantwoordelijke door Verwerker op de hoogte is gebracht van een datalek. De termijn voor Verwerker
verlenen bij de nakoming van de verplichtingen van Verwerkingsverantwoordelijke in het kader van artikel 33 en 34 AVG.
3.6. Verwerker zal geen Persoonsgegevens doorgeven naar een land zonder passend beschermingsniveau, behoudens op instructie van Verwerkingsverantwoordelijke of Participant, dan wel aan een Subverwerker, mits Verwerker één van de maatregelen heeft getroffen ex artikel 46 AVG. Verwerker zal Verwerkingsverantwoordelijke alsdan op verzoek informeren over de aard van de doorgifte en de genomen maatregelen.
3.7. Verwerker zal Persoonsgegevens die haar in het kader van de Overeenkomst ter beschikking zijn gesteld niet langer bewaren dan noodzakelijk is (i) voor de uitvoering van deze Overeenkomst; of (ii) om een op haar rustende wettelijke verplichting na te komen. Verwerker zal de Persoonsgegevens bewaren gedurende een periode zoals door Verwerkingsverantwoordelijke aangegeven in Annex 2 en in overeenstemming met het volgende:
a) Persoonsgegevens, projectdocumentatie en onderzoeksresultaten worden onomkeerbaar verwijderd nadat de overeengekomen bewaartermijn is verstreken, ongeacht of Verwerkingsverantwoordelijke deze gegevens heeft gedownload of de Overeenkomst is beëindigd. De bewaartermijn is dus onafhankelijk van de duur van de Diensten en begint aan het einde van de periode waarop het specifieke onderzoeksinstrument betrekking heeft. Verwerkingsverantwoordelijke is zelf verantwoordelijk voor het verzamelen van de onderzoeksgegevens binnen deze bewaartermijn;
b) Voor de duur van de Overeenkomst komen Partijen één (1) bewaartermijn overeen; en
c) Verwerkingsverantwoordelijke zal de vereiste gegevens voor uitvoering van de Diensten aan Verwerker verstrekken, met een tussen Partijen nader af te spreken frequentie en proces.
3.8. Na afloop van de bewaartermijn zal Verwerker de Persoonsgegevens op veilige wijze vernietigen, tenzij Verwerkingsverantwoordelijke deze termijn tijdig verlengt of verzoekt de Persoonsgegevens die Verwerker van haar heeft ontvangen in een gangbaar formaat aan haar te retourneren.
4. Verplichtingen Verwerkingsverantwoordelijke en/of Participant(en)
4.1. Verwerkingsverantwoordelijke en/of Participant(en) verplicht(en) zich tot naleving van de toepasselijke wet- en regelgeving in het kader van de Diensten, alsmede (voor zover van toepassing) arbeidsrechtelijke en medezeggenschapswetgeving.
4.2. Verwerkingsverantwoordelijke en/of Participant is verplicht om de Persoonsgegevens via de daartoe aangewezen beveiligde communicatiekanalen van Verwerker aan te leveren. Alle schade voortvloeiend uit niet-naleving van deze bepaling komt uitsluitend voor rekening van Verwerkingsverantwoordelijke en/of Participant.
4.3. Verwerkingsverantwoordelijke zal Verwerker voorafgaand aan de uitvoering van de Diensten informeren over enige voor Verwerker relevante wettelijke verplichtingen die van toepassing zijn op de Persoonsgegevens voor zover deze strikter zijn dan deze Verwerkersovereenkomst, alsmede over nadere verplichtingen van Verwerkingsverantwoordelijke uit hoofde van een toezegging aan of afspraak met haar ondernemingsraad, dan wel uit hoofde van enige privacyverklaring die van
gaat dus niet ten koste van de termijn van Verwerkingsverantwoordelijke. Zie ook ‘EDPR Guideline on personal data breach notification, februari 2018’. Let op: van deze termijn kan nooit worden afgeweken in verband met Effectory’s interne beveiligingsprocedures.
toepassing is op de Diensten. Kosten aan de zijde van Xxxxxxxxx als gevolg van afwijkende verplichtingen zijn voor rekening van Verwerkingsverantwoordelijke.
4.4. Indien Verwerkersverantwoordelijke vestigingen buiten de EER heeft die worden meegenomen in de Diensten, waarborgt zij jegens Verwerker de naleving van de toepasselijke wet- en regelgeving inzake internationale doorgiften van Persoonsgegevens tussen Verwerker enerzijds en Verwerkingsverantwoordelijke en/of Participant anderzijds, waaronder in ieder geval begrepen de relevante bepalingen en waarborgen als bedoeld in Hoofdstuk 5 van de AVG. Verwerkingsverantwoordelijke zal Verwerker informeren over de aard van de waarborgen en de eventuele effecten die deze hebben op de uitvoering van de Diensten.
5. Rechten Betrokkenen
5.1. Verwerker en Verwerkingsverantwoordelijke verlenen elkaar volledige medewerking om binnen de wettelijke termijnen te voldoen aan een verzoek van een Betrokkene op inzage, verbetering, aanvulling, verwijdering of afscherming van Persoonsgegevens en het uitvoeren van een aangetekend verzet tot verwerking van de Persoonsgegevens.
5.2. Verwerkingsverantwoordelijke zal een contactpunt openstellen waar Betrokkenen terecht kunnen met vragen, klachten of verzoeken met betrekking tot de uitoefening van hun rechten rondom de Verwerking van hun Persoonsgegevens in het kader van de Diensten, en hierover uitdrukkelijk communiceren met de Betrokkenen. Om een vlot verloop van de dienstverlening te bevorderen zal Verwerker een extra helpdesk beschikbaar stellen (xxxxx://xxxxxxx.xxxxxxxxx.xxx/) om tijdens de looptijd van een onderzoek eventuele vragen, klachten of verzoeken te behandelen die relevant zijn voor de levering van de Diensten door Verwerker. Na afloop van de meetperiode zal Verwerker dergelijke verzoeken direct doorsturen naar Verwerkingsverantwoordelijke.
5.3. Verwerkingsverantwoordelijke dan wel Participant verstrekt Betrokkene(n) de
informatie met betrekking tot de Verwerking als bedoeld in artikel 13 en 14 AVG. Op verzoek van Verwerkingsverantwoordelijke zal Verwerker een template privacyverklaring ter beschikking stellen.
6. Subverwerkers
6.1. Verwerker zal geen Subverwerkers inschakelen anders dan conform het in dit artikel bepaalde en Verwerkingsverantwoordelijke stemt hierbij in met het inschakelen van de Subverwerkers genoemd in Annex 1 bij deze Verwerkersovereenkomst. Verwerker verplicht deze Subverwerkers tot het nemen van passende technische en organisatorische maatregelen voor de beveiliging van de Persoonsgegevens en bindt hen aan overige verplichtingen op het gebied van Verwerking welke equivalent zijn aan haar eigen verplichtingen op grond van deze Verwerkersovereenkomst.
6.2. Indien beoogd wordt een nieuwe Subverwerker in te schakelen zal Verwerker de Verwerkingsverantwoordelijke hierover voorafgaand schriftelijk informeren en in staat stellen bezwaar te maken. Tenzij Verwerkingsverantwoordelijke hiertoe binnen één (1) maand bezwaar maakt, wordt zij geacht in te stemmen met het inschakelen van de betreffende Subverwerker.
6.3. Indien Verwerkingsverantwoordelijke bezwaar maakt tegen het inschakelen van een nieuwe Subverwerker, zullen Verwerker en Verwerkingsverantwoordelijke in overleg treden om te zoeken naar een redelijk alternatief voor de betreffende Verwerking. Meerkosten voor het overeengekomen alternatief komen voor rekening van Verwerkingsverantwoordelijke.
7. Benchmark
Verwerkingsverantwoordelijke verleent hierbij mede namens Participant(en) aan Verwerker het recht om de Persoonsgegevens in gepseudonimiseerde vorm te gebruiken ten behoeve van het maken van trendanalyses en benchmarks, 2 mits Verwerker de nodige waarborgen implementeert om de (privacy)belangen van Betrokkenen te beschermen, waaronder pseudonimisering van Persoonsgegevens en aggregatie van onderzoeksresultaten. Verwerker wordt voor dergelijk gebruik van de Persoonsgegevens jegens de Betrokkene als enige Verwerkingsverantwoordelijke in de zin van de AVG aangemerkt.
8. Aansprakelijkheid
8.1. In geval van aan Verwerker toe te rekenen tekortkomingen in de uitvoering van de diensten is de aansprakelijkheid van Verwerker beperkt tot de door de Verwerkingsverantwoordelijke geleden directe schade, tot het bedrag dat door haar verzekering wordt gedekt en voor uitkering in aanmerking komt. Voornoemde beperking van aansprakelijkheid vervalt indien en voor zover de schade het gevolg is van opzet, grove schuld of grove nalatigheid.
8.2. De verwerkingsverantwoordelijke is aansprakelijk voor alle kosten en vorderingen van een of meer Betrokkenen als gevolg van schade of nadeel als gevolg van niet-naleving van de AVG door de verwerkingsverantwoordelijke.
9. Slotbepalingen
9.1. De overwegingen maken onderdeel uit van deze Verwerkersovereenkomst.
9.2. In geval van nietigheid c.q. vernietigbaarheid van een of meer bepalingen uit deze Verwerkersovereenkomst, blijven de overige bepalingen onverkort van kracht.
9.3. Op de Overeenkomst en deze Verwerkersovereenkomst is Nederlands recht van
toepassing. Geschillen over of in verband met deze Verwerkersovereenkomst zullen worden beslecht door de bevoegde rechter van de rechtbank Amsterdam.
2 Deze Verwerking is een verenigbaar nevendoel ex artikel 89 AVG: Overweging 50 jo. artikel 5 lid 1 onder B AVG.
ANNEX 1 – SUBVERWERKERS
Effectory schakelt voor de Verwerking de volgende Subverwerkers in:
1 – MICROSOFT | |
Naam Subverwerker | Microsoft Ireland Operations Ltd. |
Xxxxx | Xxxxxx Xxxxx X Xxxxxxxxxx Xxxx, Xxxxxxxxx Xxxxxxxxxx Xxxxxx, Xxxxxx 00, Xxxxxxx |
Aard van de Verwerking | Hosting van software waarin de onderzoeksdata wordt verwerkt |
Locatie van de Verwerking | Nederland of Ierland (EER) |
Toepasselijke overeenkomst | Microsoft Online Service Terms |
2 – MAILJET | |
Naam Subverwerker | Mailjet SAS |
Adres | Xxx xx x’Xxxxxx, 00-00 xxx, Xxxxxx, Xxxxxxxxx |
Aard van de Verwerking | Tool voor versturen van grote hoeveelheden (uitnodigings) e- mails naar Betrokkene(n) |
Locatie van de Verwerking | Frankrijk (EER) |
Toepasselijke overeenkomst | Verwerkersovereenkomst |
ANNEX 2 – VERWERKINGSINSTRUCTIES
In zijn geheel in te vullen door Verwerkingsverantwoordelijke vóór aanvang van de Subscription Services. Vink bij de meerkeuze opties uit wat niet van toepassing is. Voor meer informatie over het invullen van deze Annex, zie de ‘Effectory Klantinstructie.’
1 | Naam & contactgegevens Verwerkingsverantwoordelijke (en/of vertegenwoordiger of Functionaris voor Gegevensbescherming): | |
[naam & contactgegevens] | ||
2 | E-mailadres Verwerkingsverantwoordelijke voor melden Datalek: | |
[e-mailadres t.b.v. Datalek] | ||
3 | Doeleinde(n) voor Verwerking Persoonsgegevens: | |
Verwerkingsverantwoordelijke heeft er in het algemeen belang bij om te weten wat er onder haar medewerkers leeft. Dit vloeit voort uit de wens om de kwaliteit van het organisatiemanagement te verbeteren (‘goed werkgeverschap’) en in het verlengde daarvan de prestaties van de organisatie te optimaliseren. | ||
4 | Categorieën Betrokkenen: | |
☒ Medewerkers van Verwerkingsverantwoordelijke ☐ Vrijwilligers van Verwerkingsverantwoordelijke | ||
5 | De volgende categorieën gegevens zullen Verwerkt worden: | |
Personalia | ☒ naam | |
☒ personeelsnummer | ||
☒ huisadres | ||
☒ werkadres | ||
☒ e-mailadres | ||
☐ anders: | ||
Demografische gegevens | ☒ geboortedatum ☒ geslacht | |
☒ datum indiensttreding | ||
☒ wel/niet leidinggevende | ||
☒ opleidingsniveau | ||
☒ salarisschaal | ||
☒ soort dienstverband | ||
☒ aantal uren (FTE) | ||
☒ locatie, organogram | ||
☒ oorspronkelijk dienstverband (bij samenvoeging diensten) | ||
☐ anders: [vul in of verwijder] | ||
Antwoorden in | - gekoppeld aan de personalia | |
vragenlijsten | - gepseudonimiseerd | |
Onderzoeksresultaten | - online resultaten - rapportages | |
6 | Ontvangers van Persoonsgegevens: | |
Binnen Effectory: | Projectteam bestaande uit één of meerdere Client Succes Manager(s), projectmanager(s), consultant(s), team assistent(en) en/of dataspecialist(en) - zie voor meer details het Projectvoorstel | |
Buiten Effectory: | Subverwerkers Effectory (zie Annex 1) | |
Anders: [indien van toepassing, bijv. als Opdrachtgever ruwe data zal ontvangen – anders deze kolom verwijderen] | ||
7 | Doorgifte Persoonsgegevens naar een derde land of internationale organisatie: | |
☒ naar SDL International Nederland B.V. [aanvinken bij vertaling naar de volgende talen, i.v.m. het inzetten van freelancers/gelieerde partijen buiten de EER: Chinees (simplified), Frans (Zwitserland, Canada), Duits (Zwitserland), Italiaans (Zwitserland), Japans, Koreaans, Servisch, Spaans (Mexico) en Turks] | ||
8 | Bewaartermijn3: | |
[X] jaar | ||
9 | Maatregelen ter beveiliging van de Verwerking: | |
Effectory is ISO/IEC 27001:2013 gecertificeerd. | ||
3 Schriftelijke vragenlijsten, indien van toepassing, worden door Effectory gearchiveerd gedurendeten minste één
(1) maand na oplevering van een rapport. Een digitale scan daarvan wordt minimaal twaalf (12) maanden bewaard.