AVG / GDPR
AVG / GDPR
Essendries 51A – X-0000 Xxxxx // x00 0 000 00 00 // xxx.xxxxxx.xx // xxxx@xxxxxx.xx
1 van 8 – Verwerkersovereenkomst
DOT SYS verwerkt onder andere persoonsgegevens voor en in opdracht van de klant. DOT SYS en de klant zijn volgens de Algemene Verordening Gegevensbescherming (AVG) verplicht een Verwerkersovereenkomst te sluiten. Volgens de AVG is DOT SYS "verwerker" en de klant "verwerkingsverantwoordelijke".
INHOUD
Beschrijving en doel van de verwerking van persoonsgegevens 4
Medewerkers met toegang tot persoonsgegevens van de klant 5
2 van 8 – Verwerkersovereenkomst
VERWERKERSOVEREENKOMST
DOT SYS en de klant verplichten zich beiden om de Algemene Verordening Gegevensbescherming (AVG) na te leven.
Voor de definities van begrippen wordt aangesloten bij artikel 1 van de AVG. DOT SYS zal de persoonsgegevens alleen verwerken voor en in opdracht van de klant om de overeenkomst gesloten tussen beide partijen uit te voeren. DOT SYS heeft geen zeggenschap over de persoonsgegevens die door de klant beschikbaar worden gesteld. Zonder noodzaak, gezien de aard van de door de klant verstrekte opdracht, expliciete toestemming van de klant of wettelijke verplichting zal DOT SYS de gegevens niet aan derden verstrekken of voor andere doeleinden verwerken, dan voor de overeengekomen doeleinden. De klant garandeert dat de persoonsgegevens verwerkt mogen worden op basis van een in de AVG genoemde grondslag. DOT SYS zal de klant, wat in redelijkheid van hem verwacht kan worden, bijstaan bij het vervullen van de plicht om aan de verzoeken van de betrokkenen te voldoen.
DOT SYS neemt passende technische en organisatorische maatregelen om de persoonsgegevens van de klant te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking. Deze maatregelen worden aangemerkt als een passend beveiligingsniveau in de zin van de AVG. De klant heeft het recht om in overleg met DOT SYS tijdens de looptijd van de overeenkomst door een onafhankelijke deskundige de naleving hiervan te controleren, bijvoorbeeld door middel van een audit. Tevens verplicht DOT SYS de subverwerker, zoals hieronder benoemd, eveneens te voldoen aan een dergelijk verzoek. De kosten voor deze controle zijn volledig voor de klant.
De AVG wet- en regelgeving wordt gehandhaafd door de gegevensbeschermingsautoriteit waar inbreuken gemeld kunnen worden. Deze instantie zal vervolgens de klant als verwerkingsverantwoordelijke een bindende aanwijzing geven voordat ze een bestuurlijke boete oplegt. De klant dient DOT SYS daarvan direct op de hoogte te brengen. DOT SYS zal daarna er alles aan doen wat in redelijkheid van hem verwacht kan worden om de naleving mogelijk te maken. Als DOT SYS niet doet wat in redelijkheid van hem gevraagd kan worden waardoor er een boete volgt, of als de gegevensbeschermingsautoriteit direct een boete oplegt omdat er sprake is van opzet of ernstige verwijtbare nalatigheid aan de kant van DOT SYS, dan geldt de toepasselijke aansprakelijkheidsbeperking als hierna genoemd in het hoofdstuk 'Aansprakelijkheid’ niet.
3 van 8 – Verwerkersovereenkomst
Beschrijving en doel van de verwerking van persoonsgegevens
DOT SYS verwerkt persoonsgegevens namens de klant met als doel te voldoen aan de gesloten overeenkomst. DOT SYS helpt hiermee de klant met het verwerken en hosten (indien gebruik gemaakt wordt van de cloud hosting) van gegevens uit tijdsregistratie, personeelsplanning en toegangscontrole. In dat verband krijgt DOT SYS toegang tot de persoonsgegevens van (potentiële) medewerkers en bezoekers van de klant.
De overeenkomst regelt de volgende verwerking van persoonsgegevens in het kader van helpdesk en consultancy: raadplegen, vastleggen, ordenen, verzamelen, opslaan, gebruiken, structureren, opvragen, wissen en wijzigen. Enkel primaire persoonsgegevens zoals naam, adres, e-mailadres, telefoonnummer, foto’s in de personeelsfiche, rijksregisternummer, locatie gegevens en gegevens over gezondheid (d.m.v. ziekte aanvragen en attesten) kunnen verwerkt worden.
Subverwerker
Indien de klant de cloud hosting diensten van DOT SYS gebruikt, zal er gebruik gemaakt worden van een subverwerker. DOT SYS is aansprakelijk voor schade door handelen of nalaten van de subverwerker waarbij de aansprakelijkheidsbeperking uit het hoofdstuk 'Aansprakelijkheid' geldt. De toepasselijke aansprakelijkheidsbeperking geldt niet indien er bij de subverwerker sprake is van grove nalatigheid, opzettelijk wangedrag of in geval van overmacht (zoals gedefinieerd in het hoofdstuk 'Aansprakelijkheid') aan de kant van de subverwerker.
In deze context is de subverwerker de partij die in opdracht van DOT SYS persoonsgegevens verwerkt voor de klant. DOT SYS verwacht van de subverwerker dat deze ook passende technische en organisatorische maatregelen zal toepassen om de persoonsgegevens van de klant te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking.
DOT SYS heeft gekozen voor datacenters van Converge-IT en deze is hiermee de subverwerker. De datacenters waar de servers gehuisvest zijn bevinden zich in Oostkamp (BE). Ze vallen onder de Belgische wet- en regelgeving en voldoen aan de strenge Europese wetgeving met betrekking tot logische en fysieke toegangsbeveiliging en continuïteit. De datacenters zijn bovendien ook ISO 27001 gecertificeerd. De persoonsgegevens worden door DOT SYS en de subverwerker uitsluitend verwerkt binnen de Europese Economische ruimte.
DOT SYS zal geen gegevens laten verwerken door nieuwe subverwerkers zonder de klant daarover in te lichten. De klant kan indien hij dat nodig acht, bezwaar maken bij DOT SYS tegen de subverwerker en in het uiterste geval heeft de klant de mogelijkheid om de overeenkomst te beëindigen.
PRIVACY EN GEHEIMHOUDING
DOT SYS is zich ervan bewust dat de informatie die de klant deelt en opslaat in TimeManager een geheim en bedrijfsgevoelig karakter heeft. Alle medewerkers van DOT SYS zullen gedurende hun
dienstverband en daarna, zoals in hun arbeidsovereenkomst met geheimhoudingsclausule is opgenomen, verantwoord met de informatie van de klant omgaan.
Medewerkers met toegang tot persoonsgegevens van de klant
Consultants, helpdesk medewerkers en andere technische medewerkers van DOT SYS hebben volledige toegang tot de persoonsgegevens van de klant voor (1) het plaatsen van een nieuwe softwareversie, (2) het doorvoeren van patches en hotfixes, (3) het maken van een back-up, (4) het verplaatsen van een omgeving en (5) het aanpassen van de rekenregels, planningen, uren en persoonsgegevens waar zij toestemming voor hebben ontvangen van de klant en voor zolang zij toestemming hebben van de klant.
MELDPLICHT DATALEKKEN
De AVG vereist dat eventuele datalekken gemeld worden aan de gegevensbeschermingsautoriteit door de verwerkingsverantwoordelijke van de data. Uiteraard zal DOT SYS als verwerker de klant juist, tijdig en volledig informeren over relevante incidenten, zodat de klant als verwerkingsverantwoordelijke aan zijn wettelijke verplichtingen kan voldoen.
Bepaling datalek
Voor het bepalen van een datalek, gebruikt DOT SYS de AVG als leidraad. Onder een datalek vallen alle beveiligingsincidenten waardoor de bescherming van persoonsgegevens is doorbroken of waardoor de persoonsgegevens blootgesteld zijn aan verlies of onrechtmatige verwerking. Het kan bijvoorbeeld gaan over het verlies van een USB-stick of computer, inbraak door een hacker, verzending van een e-mail waarin de e-mailadressen zichtbaar zijn voor alle geadresseerden, een malware besmetting of een calamiteit zoals brand in een datacenter.
Indien de klant een (voorlopige) melding verricht bij de gegevensbeschermingsautoriteit en/of de betrokkene(n) over een datalek bij DOT SYS, terwijl zonder meer voor de klant duidelijk is dat bij DOT SYS geen sprake is van een datalek dan is de klant aansprakelijk voor alle door DOT SYS geleden schade en kosten. De klant is daarnaast verplicht een dergelijke melding direct in te trekken.
Melding aan de klant
Indien blijkt dat bij DOT SYS sprake is van een datalek dat door de klant gemeld moet worden aan de gegevensbeschermingsautoriteit en/of de betrokkene(n), dan zal DOT SYS de klant daarover zo spoedig mogelijk informeren. Om dit te realiseren zorgt DOT SYS ervoor dat alle medewerkers in staat zijn om een datalek te constateren. Daarnaast verwacht DOT SYS van zijn opdrachtnemers ook dat zij DOT SYS in staat stellen om er aan te kunnen voldoen. Voor de duidelijkheid: als er een datalek is bij een leverancier van DOT SYS, dan meldt DOT SYS dit uiteraard ook. DOT SYS is steeds het contactpunt voor de klant. De klant hoeft nooit contact op te nemen met de leveranciers van DOT SYS.
• INFORMEREN KLANT
In eerste instantie zal DOT SYS de contactpersoon die gekoppeld is aan zijn dossier informeren over een datalek. Indien het gewenst is een andere persoon als contactpersoon in te stellen, dan kan u melden via mail op xxxxxxx@xxxxxx.xx.
• INFORMATIE VERSTREKKEN
DOT SYS tracht de klant direct alle informatie te verstrekken die de klant nodig heeft om een volledige melding bij de gegevensbeschermingsautoriteit en/of de betrokkene(n) te verrichten. Indien deze informatie nog niet bekend is, bijvoorbeeld omdat het datalek door DOT SYS wordt onderzocht, dan zal DOT SYS de informatie verstrekken die de klant nodig heeft om in ieder geval eerst een voorlopige melding bij de gegevensbeschermingsautoriteit en/of de betrokkene(n) te kunnen verrichten. Dit bevat in ieder geval (1) de aard van de inbreuk, (2) een beschrijving van de geconstateerde en de vermoedelijke gevolgen van de inbreuk en (3) de getroffen en te treffen maatregelen om de negatieve gevolgen van het datalek te beperken en te verhelpen.
• TERMIJN VAN INFORMEREN
De AVG geeft aan dat er ‘onverwijld’ gemeld moet worden. Dit is volgens de gegevensbeschermingsautoriteit zonder onnodige vertraging en zo mogelijk niet later dan 72 uur na ontdekking. DOT SYS informeert de klant daarom zo snel mogelijk, uiterlijk 48 uur na het ontdekken van een datalek, zodat de klant tijdig de melding kan doen bij de gegevensbeschermingsautoriteit.
• VOORTGANG EN MAATREGELEN
DOT SYS zal de klant op de hoogte houden over de voortgang en de maatregelen die getroffen worden. DOT SYS maakt hierover afspraken met de primaire contactpersoon bij de initiële melding. In ieder geval houdt DOT SYS de klant op de hoogte over een wijziging van de situatie, het bekend worden van nadere informatie en de maatregelen die getroffen worden.
• JUIST, TIJDIG EN VOLLEDIG
DOT SYS registreert alle security incidenten en handelt deze volgens een vaste procedure (workflow) af.
AANSPRAKELIJKHEID
DOT SYS garandeert dat TimeManager voldoet aan alle specificaties die zij opgeeft. In geval van fouten zal DOT SYS deze altijd zo snel mogelijk herstellen. DOT SYS besteedt grote zorg aan een juiste werking van TimeManager en een correcte uitvoering van zijn dienstverlening. Ondanks deze inspanningen kunnen er toch dingen verkeerd gaan die voor de klant tot schade kunnen leiden. DOT SYS streeft daarbij in overleg met de klant steeds naar een passende oplossing.
DOT SYS sluit haar aansprakelijkheid uit voor indirecte schade (dit is onder andere, maar niet beperkt tot: gederfde omzet, gederfde winst en gemiste kansen). De aansprakelijkheid van DOT SYS is ook uitgesloten als de klant of door de klant ingeschakelde derden wijzigingen in producten van DOT SYS hebben aangebracht, wat niet is toegestaan.
DOT SYS en de klant zijn niet aansprakelijk ten opzichte van elkaar als er sprake is van overmacht. Onder overmacht wordt verstaan: Overmacht in de zin van de wet, ook bij toeleveranciers van partijen, ondeugdelijke nakoming van verplichtingen van toeleveranciers die door de klant aan DOT SYS zijn voorgeschreven, storingen in het elektriciteitsnet en storingen die dataverkeer belemmeren voor zover de oorzaak daarvan niet te wijten is aan de partijen zelf.
DOT SYS leeft de toepasselijke wet- en regelgeving inzake de bescherming van persoonsgegevens na. DOT SYS is daarbij enkel aansprakelijk voor de schade die door verwerking is veroorzaakt wanneer (1) bij de verwerking niet is voldaan aan de specifieke tot verwerkers gerichte verplichting van de AVG of
(2) buiten dan wel in strijd met de rechtmatige instructies van de klant is gehandeld.
DOT SYS vrijwaart de klant van enige vordering door een derde partij op grond van een schending van de toepasselijke regelgeving en/of deze overeenkomst waarvoor DOT SYS verantwoordelijk is.
.
DUUR
Deze overeenkomst neemt een aanvang op 25/05/2018 en blijft van kracht voor onbepaalde duur, behoudens beëindiging van deze overeenkomst.
Elke partij mag deze overeenkomst beëindigen door aan de andere partij een schriftelijke kennisgeving daartoe te bezorgen. Daarbij moet rekening worden gehouden met een opzeggingstermijn die niet minder dan 30 dagen mag bedragen. De kennisgeving begint te lopen op de eerste dag van de maand volgend op die waarin ze is gegeven.
De klant mag deze overeenkomst onmiddellijk beëindigen, zonder zich te wenden tot een rechtbank, door aan DOT SYS een schriftelijke kennisgeving van beëindiging te overhandigen, als:
• DOT SYS een inbreuk pleegt op deze overeenkomst en deze inbreuk niet kan worden ongedaan gemaakt.
• DOT SYS een inbreuk pleegt op deze overeenkomst en deze inbreuk weliswaar ongedaan kan worden gemaakt, maar DOT SYS er niet in slaagt de inbreuk ongedaan te maken binnen een periode van een redelijke termijn na overhandiging van een schriftelijke ingebrekestelling aan DOT SYS om de inbreuk ongedaan te maken.
• DOT SYS failliet gaat of betrokken is in een vereffening of ontbinding.
DOT SYS bewaart de persoonsgegevens niet langer dan noodzakelijk voor de uitvoering van deze overeenkomst. Na afloop van de verwerkingsdiensten zal DOT SYS de persoonsgegevens wissen of aan de klant terugbezorgen, naargelang de keuze van de klant.
Tevens zal DOT SYS ook bestaande kopieën van de persoonsgegevens vernietigen. Op verzoek van de klant zal DOT SYS het uitwissen van alle kopieën van de persoonsgegevens bevestigen.
Indien de opslag van persoonsgegevens verplicht is op basis van de toepasselijke wet- en regelgeving zal DOT SYS de klant hiervan informeren, tenzij die wet- en regelgeving deze informatie verbiedt.
DIVERSEN
Deze overeenkomst omvat de volledige overeenkomst tussen de partijen en houdt geenszins een verplichting in tot het ter beschikking stellen van persoonsgegevens aan DOT SYS.
Als één of meerdere bepalingen van deze overeenkomst nietig of onhaalbaar worden verklaard, dan vervangen de partijen de genoemde bepalingen door geldige en haalbare bepalingen die zoveel mogelijk de economische, commerciële of andere beoogde doelstellingen van de nietig of onhaalbaar verklaarde bepalingen realiseren. De overige bepalingen van deze overeenkomst blijven onverminderd van kracht.
Het loutere feit dat een partij niet aandringt op strikte naleving van een bepaling van de overeenkomst of dat niet afdwingt, kan niet worden geïnterpreteerd als afstand of opgave van de rechten van die partij, tenzij zulks schriftelijk wordt bevestigd.
Klant Handtekening, | DOT SYS NV Xxxxxx Xxxxxxxxx Managing Director Handtekening, |