Verwerkersovereenkomst

Verwerkersovereenkomst

Deze Verwerkersovereenkomst is van toepassing op alle vormen van Verwerking van Persoonsgegevens die MediaSoep uitvoert ten behoeve van een wederpartij aan wie zij diensten levert (hierna:

Verwerkingsverantwoordelijke). Verwerkingsverantwoordelijke en Verwerker worden hieronder gezamenlijk aangeduid als Partijen.

Partijen:

Verwerkingsverantwoordelijke,

en

MediaSoep Actief Online B.V., ingeschreven bij de Kamer van Koophandel onder nummer 69087733 en/of

MediaSoep Producties B.V., ingeschreven bij de Kamer van Koophandel onder nummer 83315012, (hierna: Verwerker),

overwegende, dat

de Verwerkingsverantwoordelijke beschikt over persoonsgegevens van diverse betrokkenen, waarvan de verwerking door Verwerkingsverantwoordelijke is aangemeld bij de Autoriteit Persoonsgegevens

de Verwerkingsverantwoordelijke bepaalde vormen van verwerking wil laten verrichten door de Verwerker, waarbij de Verwerkingsverantwoordelijke het doel en de middelen aanwijst,

de Verwerker hiertoe bereid is en tevens bereid is verplichtingen omtrent beveiliging en andere aspecten van de Wet bescherming persoonsgegevens (hierna: Wbp) na te komen, voor zover dit binnen zijn macht ligt,

Partijen, mede gelet op het vereiste uit artikel 14 lid 5 van de Wet bescherming persoonsgegevens, hun rechten en plichten schriftelijk wensen vast te leggen,

waar in deze Verwerkersovereenkomst gerefereerd wordt aan bepalingen uit de Wbp, per 25 mei 2018 de corresponderende bepalingen uit de Algemene Verordening Gegevensbescherming worden bedoeld.

Definities

Betrokkene: Degene op wie een Persoonsgegeven betrekking heeft.

Verwerker: Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/ dat ten behoeve van de Verwerkingsverantwoordelijke persoonsgegevens verwerkt , zonder aan zijn rechtstreeks gezag te zijn onderworpen.

Sub-verwerker: Een andere verwerker die door de Verwerker wordt ingezet om ten

behoeve van de Verwerkingsverantwoordelijke specifieke verwerkingsactiviteiten te verrichten.

Verwerkingsverantwoordelijke/ Verantwoordelijke:

Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt.

Bijzondere Persoonsgegevens: Gegevens waaruit ras of etnische afkomst, politieke opvattingen,

religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken, en genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid. Alsmede persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende veiligheidsmaatregelen.

Datalek / Inbreuk in verband met persoonsgegevens:

Een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot - of waarbij redelijkerwijs niet uit te sluiten valt dat die kan leiden tot - de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens.

Derden: Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan, niet zijnde de betrokkene, noch de verwerkingsverantwoordelijke, noch de verwerker, noch de personen die onder rechtstreeks gezag van de verwerkingsverantwoordelijke of de verwerker gemachtigd zijn om de persoonsgegevens te verwerken.

Meldplicht Datalekken: De verplichting tot het melden van Datalekken aan de Autoriteit

Persoonsgegevens en (in sommige gevallen) aan Betrokkene(n).

Medewerkers Personen die werkzaam zijn bij U of bij Ons, ofwel in dienstbetrekking dan wel tijdelijk ingehuurd.

Onderliggende opdracht: De opdracht zoals hierboven bedoeld in de overwegingen onder A.

Overeenkomst: Deze verwerkersovereenkomst.

Persoonsgegevens van gevoelige aard:

Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon („de Betrokkene”) die in het kader van de “Onderliggende opdracht” worden verwerkt; als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.

Verwerking van persoonsgegevens Persoonsgegevens waarbij verlies of onrechtmatige Verwerking kunnen leiden tot (onder meer) stigmatisering of uitsluiting van Betrokkene , schade aan de gezondheid, financiële schade of tot (identiteits)fraude.

Tot deze categorieën van persoonsgegevens moeten in ieder geval worden gerekend:

• Bijzondere persoonsgegevens

• Gegevens over de financiële of economische situatie van de Betrokkene

• (Andere) gegevens die kunnen leiden tot stigmatisering of uitsluiting van de Betrokkene

• Gebruikersnamen,wachtwoorden en andere inloggegevens Gegevens die kunnen worden misbruikt voor (identiteits)fraude Van gevoelige aard.

Verwerken / Verwerking: Een bewerking of een geheel van bewerkingen met betrekking tot

persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.

AVG Algemene Verordening Gegevensbescherming, inclusief de uitvoeringswet van deze verordening.

zijn het volgende overeengekomen:

Artikel 1. Doeleinden van verwerking

1.1 Verwerker verbindt zich onder de voorwaarden van deze Verwerkersovereenkomst in opdracht van Verwerkingsverantwoordelijke persoonsgegevens te verwerken. Verwerking zal uitsluitend plaatsvinden in het kader zoals in de Overeenkomst zijn overeengekomen, plus die doeleinden die daarmee redelijkerwijs samenhangen of die met nadere instemming worden bepaald.

1.2 De persoonsgegevens die door Verwerker in het kader van de werkzaamheden als bedoeld in het vorige lid worden verwerkt en de categorieën van de betrokkenen van wie deze afkomstig zijn, zijn opgenomen in Bijlage 1.

1.3 Verwerker zal de persoonsgegevens niet voor enig ander doel verwerken dan zoals door Verwerkingsverantwoordelijke is vastgesteld. Verwerkingsverantwoordelijke zal Verwerker op de hoogte stellen van de verwerkingsdoeleinden voor zover deze niet reeds in deze Verwerkersovereenkomst zijn genoemd.

1.4 De in opdracht van Verwerkingsverantwoordelijke te Verwerken persoonsgegevens

blijven eigendom van Verwerkingsverantwoordelijke en/of de betreffende betrokkenen.

Artikel 2. Verplichtingen Verwerker

2.1 Ten aanzien van de in artikel 1 genoemde verwerkingen zal Verwerker zorg dragen voor de naleving van de toepasselijke wet- en regelgeving, waaronder in ieder geval begrepen de wet- en regelgeving op het gebied van de bescherming van persoonsgegevens, zoals de Algemene

Verordening Gegevensbescherming.

2.2 Verwerker zal Verwerkingsverantwoordelijke, op diens eerste verzoek daartoe, informeren over de door haar genomen maatregelen aangaande haar verplichtingen onder deze Verwerkersovereenkomst.

2.3 De verplichtingen van de Verwerker die uit deze Verwerkersovereenkomst voortvloeien, gelden ook voor degenen die persoonsgegevens verwerken onder het gezag van Verwerker, waaronder begrepen maar niet beperkt tot werknemers, in de ruimste zin van het woord.

2.4 Verwerker zal de Verwerkingsverantwoordelijke onmiddellijk in kennis stellen indien naar zijn mening een instructie van de Verwerkingsverantwoordelijke in strijd is met de in lid 1

bedoelde wetgeving.

2.5 Verwerker zal, voor zover dat binnen haar macht ligt, redelijkerwijs bijstand verlenen aan Verwerkingsverantwoordelijke ten behoeve van het uitvoeren van

gegevensbeschermingseffectbeoordelingen (PIA’s). De tijd die hieraan wordt besteed, wordt door Verwerker bij Verwerkingsverantwoordelijke in rekening gebracht.

Artikel 3. Doorgifte van persoonsgegevens

3.1 Verwerker mag de persoonsgegevens verwerken in landen binnen de Europese Unie. Daarnaast mag Verwerker de persoonsgegevens ook doorgeven naar een land buiten de Europese Unie, mits dat land een passend beschermingsniveau waarborgt en ze voldoet aan de overige verplichtingen die op haar rusten op grond van deze Verwerkersovereenkomst en de Wet bescherming

persoonsgegevens.

3.2 Verwerker zal Verwerkingsverantwoordelijke melden om welk land of welke landen het gaat.

3.3 In het bijzonder zal Verwerker bij het bepalen van een passend beschermingsniveau rekening houden met de duur van de voorgenomen verwerking, het land van herkomst en het land van eindbestemming, de algemene en sectoriële rechtsregels die in het betreffende land gelden,

alsmede de regels van het beroepsleven en de veiligheidsmaatregelen die in die landen worden nageleefd.

Artikel 4. Verdeling van verantwoordelijkheid

4.1 De toegestane verwerkingen zullen door medewerkers van Verwerker worden uitgevoerd binnen een (deels) geautomatiseerde omgeving.

4.2 Verwerker is louter verantwoordelijk voor de verwerking van de persoonsgegevens onder deze Verwerkersovereenkomst, overeenkomstig de instructies van Verwerkingsverantwoordelijke en onder de uitdrukkelijke (eind-)verantwoordelijkheid van Verwerkingsverantwoordelijke. Voor

de overige verwerkingen van persoonsgegevens, waaronder in ieder geval begrepen, maar niet beperkt tot, de verzameling van de persoonsgegevens door de

Verwerkingsverantwoordelijke, verwerkingen voor doeleinden die niet door Verwerkingsverantwoordelijke aan Verwerker zijn gemeld, verwerkingen door derden en/of voor andere doeleinden, is Verwerker uitdrukkelijk niet verantwoordelijk.

4.3 Verwerkingsverantwoordelijke zal Verwerker op de hoogte stellen van de identiteit van haar functionaris voor de gegevensbescherming en/of vertegenwoordiger, voor zover zij die heeft aangesteld. Wijzigingen dienen onverwijld te worden doorgegeven aan Verwerker. Indien Verwerkingsverantwoordelijke geen functionaris of vertegenwoordiger opgeeft, zal Verwerker ervan uitgaan dat Verwerkingsverantwoordelijke die niet heeft aangesteld.

4.4 Verwerkingsverantwoordelijke garandeert dat de inhoud, het gebruik en de opdracht tot de verwerkingen van de persoonsgegevens zoals bedoeld in deze verwerkersovereenkomst niet onrechtmatig zijn en geen inbreuk maken op enig recht van derden.

Artikel 5. Inschakelen van derden of onderaannemers

5.1 Verwerker mag in het kader van deze Verwerkersovereenkomst gebruik maken van derden. Een actuele lijst van onderaannemers die door Verwerker worden ingeschakeld bij de Verwerking van Persoonsgegevens onder deze Overeenkomst wordt door Verwerker beschikbaar gesteld.

Verwerkingsverantwoordelijke verklaart kennis te hebben genomen van de huidige lijst van onderaannemers en daarmee akkoord te zijn.

Artikel 6. Beveiliging

6.1 Verwerker zal, rekening houdend met de stand van de techniek, de uitvoeringskosten en aard van de verwerkingsdoeleinden, passende technische en organisatorische maatregelen nemen met

betrekking tot de te verrichten Verwerkingen van Persoonsgegevens, tegen verlies of tegen enige vorm van onrechtmatige Verwerking (zoals onbevoegde toegang tot of ongeoorloofde aantasting, wijziging of verstrekking van de Persoonsgegevens).

6.2 Verwerker heeft in ieder geval de maatregelen genomen zoals genoemd in het Beveiligingsprotocol, waarvan de actuele versie is aangehecht (Bijlage 2). Onverminderd haar

verplichting uit hoofde van het voorgaande artikellid, mag Verwerker het Beveiligingsprotocol op ieder moment eenzijdig aanpassen. Zij zal Verwerkingsverantwoordelijke op de hoogte stellen van zulke aanpassingen. De actuele versie van het Beveiligingsprotocol is beschikbaar via de website van de verwerker. Verwerkingsverantwoordelijke zal ten aanzien van het Beveiligingsprotocol

geheimhouding betrachten conform Artikel 9.

6.3 Verwerker staat er niet voor in dat de beveiliging onder alle omstandigheden doeltreffend is. Indien een uitdrukkelijk omschreven beveiliging in de Verwerkersovereenkomst ontbreekt, zal

Verwerker zich inspannen de beveiliging te laten voldoen aan een niveau dat, gelet op de stand van de techniek, de gevoeligheid van de persoonsgegevens en de aan het treffen van de

beveiliging verbonden kosten, niet onredelijk is.

6.4 Verwerkingsverantwoordelijke stelt enkel persoonsgegevens aan Verwerker ter beschikking voor verwerking, indien zij zich ervan heeft verzekerd dat de vereiste beveiligingsmaatregelen zijn

getroffen. Verwerkingsverantwoordelijke is verantwoordelijk voor de naleving van de door Partijen afgesproken maatregelen.

Artikel 7. Meldplicht

7.1 Verwerkingsverantwoordelijke is te allen tijde verantwoordelijk voor het melden van een

beveiligingslek en/of datalek (waaronder wordt verstaan: een inbreuk op de beveiliging van persoonsgegevens die leidt tot een kans op nadelige gevolgen, dan wel nadelige gevolgen

heeft, voor de bescherming van persoonsgegevens) aan de toezichthouder en/of betrokkenen. Om Verwerkingsverantwoordelijke in staat te stellen aan deze wettelijke plicht te voldoen, stelt Verwerker de Verwerkingsverantwoordelijke binnen 48 uur nadat het lek voor het eerst bij hem bekend is geworden op de hoogte van het beveiligingslek en/of het datalek.

7.2 Een melding moet altijd worden gedaan, maar alleen als de gebeurtenis zich daadwerkelijk voorgedaan heeft.

7.3 De meldplicht behelst in ieder geval het melden van het feit dat er een lek is geweest. Daarnaast behelst de meldplicht:

• de aard van de inbreuk in verband met persoonsgegevens, waar mogelijk onder vermelding van de categorieën van betrokkenen en persoonsgegevensregisters in

kwestie en, bij benadering, het aantal betrokkenen en persoonsgegevensregisters in kwestie;

• de naam en de contactgegevens van de functionaris voor gegevensbescherming of een ander contactpunt waar meer informatie kan worden verkregen;

• de waarschijnlijke gevolgen van de inbreuk in verband met persoonsgegevens;

• de maatregelen die de Verwerker heeft voorgesteld of genomen om de inbreuk in verband met persoonsgegevens aan te pakken, waaronder, in voorkomend geval, de maatregelen ter beperking van de eventuele nadelige gevolgen daarvan.

Artikel 8. Afhandeling verzoeken van betrokkenen

8.1 In het geval dat een betrokkene een verzoek tot uitoefening van zijn/haar wettelijke rechten

richt aan Verwerker, zal Xxxxxxxxx het verzoek doorsturen aan Verwerkingsverantwoordelijke, en zal Verwerkingsverantwoordelijke het verzoek verder afhandelen. Verwerker mag de

betrokkene daarvan op de hoogte stellen.

8.2 Verwerker verleent Verwerkingsverantwoordelijke alle redelijke medewerking om ervoor te zorgen dat Verwerkingsverantwoordelijke binnen de wettelijke termijnen kan voldoen aan de verplichtingen op grond van de geldende wet- en regelgeving. De redelijke kosten voor deze medewerking zullen door Verwerkingsverantwoordelijke aan Verwerker worden vergoed.

Artikel 9. Geheimhouding en vertrouwelijkheid

9.1 In het kader van geheimhouding en vertrouwelijkheid wordt verwezen naar de Algemene Voorwaarden van Verwerker, artikel 11.

9.2. In aanvulling op hetgeen in artikel 11 van de Algemene Voorwaarden van Verwerker houdt de Verwerker de Persoonsgegevens die zij verwerkt in het kader van de uitvoering van de

Overeenkomst geheim en zal alle nodige maatregelen treffen om geheimhouding van de Persoonsgegevens te verzekeren. Verwerker zal de verplichting tot geheimhouding tevens opleggen aan haar personeel en alle door haar ingeschakelde personen.

9.3 De in dit artikel bedoelde geheimhoudingsplicht geldt niet indien

Verwerkingsverantwoordelijke uitdrukkelijk schriftelijk toestemming heeft gegeven om de

Persoonsgegevens aan een Derde te verstrekken, of een wettelijke verplichting bestaat om de Persoonsgegevens aan een Derde te verstrekken.

Artikel 10. Audit

10.1 Verwerkingsverantwoordelijke heeft het recht om een audit rapport op te vragen. Indien het in het kader van haar verantwoordingsplicht voor Verwerkingsverantwoordelijke redelijkerwijs noodzakelijk is om, in aanvulling op dit audit rapport, nadere zekerheden te verkrijgen dan zal Verwerker dit faciliteren en zullen Partijen in overleg treden over de nadere invulling en uitwerking daarvan. Verwerker is gerechtigd alle daaraan verbonden kosten in rekening te

brengen bij Verwerkingsverantwoordelijke.

10.2 Deze audit mag eens per jaar plaatsvinden alsook bij een concreet vermoeden van misbruik van persoonsgegevens.

10.3 Verwerkingsverantwoordelijke heeft het recht om audits uit te laten voeren op de naleving van deze Verwerkersovereenkomst indien dit gebeurt door of namens een wettelijke toezichthouder (“right to examine/right to audit”) op grond van een wettelijke bevoegdheid tot controle van naleving van de AVG of andere op Verwerkingsverantwoordelijke toepasselijke wet- en

regelgeving. Op verzoek van Verwerker toont Verwerkingsverantwoordelijke aan dat sprake is van een dergelijke wettelijke bevoegdheid.

10.4 Verwerker zal aan de in het vorige artikellid genoemde audit meewerken en alle voor de audit redelijkerwijs relevante gegevens en medewerkers tijdig ter beschikking stellen.

10.5 De bevindingen naar aanleiding van de uitgevoerde audit zullen aan Verwerker beschikbaar worden gesteld en door Verwerker worden beoordeeld en kunnen, naar eigen goeddunken van Verwerker en op de wijze zoals Verwerker zelf bepaalt, worden doorgevoerd door Verwerker.

10.6 Alle kosten in verband met de audit worden door Verwerkingsverantwoordelijke gedragen. Eventuele kosten verbonden aan de medewerking door Verwerker zijn niet in de overeengekomen prijzen en vergoedingen van Verwerker begrepen. Verwerker is gerechtigd redelijke kosten voor het verlenen van deze bijstand aan Verwerkingsverantwoordelijke door te belasten. Indien sprake is van dergelijke kosten, zal Verwerker dit zo mogelijk tevoren

aangeven.

Artikel 11. Aansprakelijkheid

11.1 In het kader van aansprakelijkheid wordt verwezen naar de Algemene Voorwaarden van Verwerker, Artikel 12, met onderstaande aanvullende paragrafen:

11.2 De aansprakelijkheid van Verwerker voor indirecte schade is uitgesloten. Onder indirecte schade wordt verstaan alle schade die geen directe schade is en daarmee in ieder geval, maar niet

beperkt tot, gevolgschade, gederfde winst, gemiste besparingen, verminderde goodwill, schade door bedrijfsstagnatie, schade door het niet bepalen van marketingdoeleinden, schade verbandhoudende met het gebruik van door Verwerkingsverantwoordelijke voorgeschreven

gegevens of databestanden, of verlies, verminking of vernietiging van gegevens of databestanden.

11.3 Verwerkingsverantwoordelijke vrijwaart Verwerker voor schade (waaronder schade als gevolg van eventuele aanspraken van de AP en/of Betrokkenen, en alle daarmee verband houdende kosten), indien deze aanspraak een toerekenbare tekortkoming betreft van Verwerkingsverantwoordelijke van zijn verplichtingen onder deze Verwerkersovereenkomst of de AVG.

11.4 De in dit artikel bedoelde uitsluitingen en beperkingen komen te vervallen indien en voor zover de schade het gevolg is van opzet of bewuste roekeloosheid van de bedrijfsleiding van Verwerker.

Artikel 12. Duur en beëindiging

12.1 Deze Verwerkersovereenkomst komt tot stand door (digitale) ondertekening van Partijen van de Verwerkersovereenkomst en start op de datum van de laatste ondertekening.

12.2 Deze Verwerkersovereenkomst is aangegaan voor de duur zoals bepaald in de hoofdovereenkomst tussen Partijen en bij gebreke daarvan in ieder geval voor de duur van de samenwerking, dat wil zeggen: zo lang als Verwerkingsverantwoordelijke gebruik maakt van dienstverlening van Verwerker waarbij Verwerker ten behoeve van

Verwerkingsverantwoordelijke Persoonsgegevens Verwerkt.

12.3 Deze Verwerkersovereenkomst eindigt van rechtswege bij beëindiging van de

(hoofd)overeenkomst (van opdracht) tussen Verwerkingsverantwoordelijke en Verwerker.

12.3 Bij beëindiging van de Verwerkersovereenkomst, om welke reden en op welke wijze dan ook, zal Verwerker Verwerkingsverantwoordelijke een redelijke gelegenheid bieden om een elektronische kopie te maken van alle persoonsgegevens die bij haar aanwezig zijn, en zal zij zo spoedig mogelijk na het einde van de Verwerkersovereenkomst eventuele resterende kopieën daarvan wissen.

12.4 Verwerker is gerechtigd deze Verwerkersovereenkomst van tijd tot tijd te herzien. Zij zal minimaal twee maanden van tevoren mededeling doen van de wijzigingen aan Verwerkingsverantwoordelijke. Verwerkingsverantwoordelijke mag opzeggen tegen het einde van deze twee maanden indien zij niet akkoord kan gaan met de wijzigingen. Anders worden de wijzigingen geacht te zijn goedgekeurd door Verwerkingsverantwoordelijke.

Artikel 13. Toepasselijk recht en geschillenbeslechting

13.1 De Verwerkersovereenkomst en de uitvoering daarvan worden beheerst door Nederlands recht.

13.2 Alle geschillen, welke tussen Partijen mochten ontstaan in verband met de Verwerkersovereenkomst, zullen worden voorgelegd aan de bevoegde rechter voor het arrondissement waarin Verwerker gevestigd is.

Artikel 14. Overige bepalingen

14.1 Deze Verwerkersovereenkomst AVG is opgesteld op basis van de Verwerkersovereenkomst van ICTRecht en is een addendum op het lopende contract c.q. de met Verwerker aangegane overeenkomst, waarin voor akkoord van deze Verwerkersovereenkomst wordt ondertekend.

14.2 In geval van strijdigheid van verschillende documenten of de bijlagen daarvan, geldt de volgende rangorde:

• de Overeenkomst; (Belangrijkst)

• de Algemene Voorwaarden;

• eventueel aanvullende voorwaarden;

• de Verwerkersovereenkomst

Contactgegevens:

Naam: J.N.J. (Jorrit) Miedema Email: Xxxxxx@xxxxxxxxx.xx Telefoon: 0513 - 41711335 Functie: Vennoot

Bijlage 1: Specificatie persoonsgegevens en betrokkenen

Persoonsgegevens

Verwerker zal in het kader van artikel 1.1 van de Verwerkersovereenkomst, de volgende (bijzondere) persoonsgegevens verwerken in opdracht van Verwerkingsverantwoordelijke:

● NAW-gegevens

● Telefoonnumer

● E-mailadres

● Website bezoekgedrag

● (Pas)foto's (zogeheten avatars) Van de categorieën betrokkenen:

● Mogelijke klanten

● Accounthouders

Verwerkingsverantwoordelijke staat ervoor in dat de in deze Bijlage 1 omschreven persoonsgegevens en categorieën betrokkenen volledig en correct zijn, en vrijwaart Verwerker voor enige gebreken en

aanspraken die resulteren uit een incorrecte weergave door Verwerkingsverantwoordelijke.

Verwerker gaat niet na op klantomgevingen welke (persoons)gegevens verwerkt worden. Daarom gaat Verwerker er standaard vanuit dat zij verwerker zijn van de categorie standaard persoonsgegevens (zoals naam, adres, etc.) en heeft daar de standaard beheersmaatregelen voor doorgevoerd.

Indien de Verwerkingsverantwoordelijke de categorie bijzondere persoonsgegevens (zoals burger service nummer, ras/ etnische afkomst, gezondheidsgegevens, geloofs-/ levensovertuiging, “afwijkende”

geaardheid, politieke voorkeur/ -opvatting, seksuele geaardheid/ -gedrag, lidmaatschap vakbond, juridische gegevens, genetische-/ biometrische gegevens) laat verwerken door de Verwerker en daar specifieke

beheersmaatregelen aan stelt, dient dit specifiek door de verwerkingsverantwoordelijke gemeld te worden aan de Verwerker.

De Verwerkingsverantwoordelijke dient de categorie bijzondere persoonsgegevens met eventuele specifieke beheersmaatregelen en naam functionaris gegevensbescherming (FG) aan te leveren in een “Register

persoonsgegevens” die voldoet aan de eisen zoals gesteld in de Algemene Verordening Gegevensbescherming (AVG). De Verwerkingsverantwoordelijke is tevens verantwoordelijk voor het up-to- date houden van de aangeleverde ‘Register persoonsgegevens”.

Indien Verwerker geen “register persoonsgegevens” met (eventueel) aanvullende beheersmaatregelen ontvangt van de Verwerkingsverantwoordelijke kan ervan uitgegaan worden dat er geen of standaard

persoonsgegevens verwerkt worden en de standaard beheersmaatregelen afdoende zijn voor het doel van de Overeenkomst.

Verwerkingsverantwoordelijke staat ervoor in dat de in deze Bijlage 1 omschreven categorieën betrokkenen volledig en correct zijn, en vrijwaart Verwerker voor enige gebreken en aanspraken die resulteren uit een incorrecte weergave door Verwerkingsverantwoordelijke.

Bijlage 2: Technische en organisatorische beveiligingsmaatregelen

Zoals opgenomen in de overeenkomst van opdracht worden de afspraken tussen Partijen vastgelegd. Hierin staan de concrete technische en organisatorische beveiligingsmaatregelen. De getroffen maatregelen zijn

opgenomen in Bijlage 2 en worden aangevuld of gewijzigd indien dat nodig is.

Verwerkingsverantwoordelijke acht genoemde maatregelen passend voor de Verwerking van de Persoonsgegevens.

A. Maatregelen van verwerker om te zorgen dat uitsluitend bevoegd personeel van Verwerker toegang heeft tot de Persoonsgegevens:

Toegang tot persoonsgegevens is beperkt tot medewerkers van Verwerker waarvoor autorisatie benodigd is voor uitvoering van de werkzaamheden. Medewerkers committeren zich aan de geheimhoudingsplicht zoals vastgelegd in de arbeidsovereenkomst.

B. Maatregelen om de Persoonsgegevens te beschermen tegen verlies of wijziging en tegen onbevoegde of onrechtmatige verwerking, toegang of openbaarmaking:

Opslag, back-up en retentie van de data is vastgelegd in de Service Level Agreement tussen Verwerker en Verwerkingsverantwoordelijke.

Verwerker voorziet in beveiligde toegang tot persoonsgegevens van Verwerkingsverantwoordelijke d.m.v. zgn. versleutelde verbindingen en authenticatie.

C. Maatregelen voor opsporen van zwakke plekken en incidentenbeheer: De dienstverlening van Verwerker voorziet in incidentenbeheer.