Verwerkersovereenkomst
Volgens de richtlijnen van de Algemene verordening gegevensbescherming (AVG) 2018
Dit document is met zorg samengesteld, maar fouten zijn mogelijk. Er kunnen geen rechten aan deze publicatie worden ontleend. Meest recente versie beschikbaar op xxx.xxxxxxxx.xx
Versie 1.1
Verwerkersovereenkomst Catapult creëert
Contractspartijen:
1 Verantwoordelijke te weten ,
statutair gevestigd aan de ,
vertegenwoordigd door .........................................................................................................
hierna te noemen: ”Opdrachtgever”,
en
2 Verwerker te weten Catapult Creatieve Communicatie B.V., statutair gevestigd aan de Reggeweg 5, 7447 AN te Hellendoorn, vertegenwoordigd door Xxxx Xxxxx - xxx xxx Xxxx
hierna te noemen: ”Opdrachtnemer”, gezamenlijk aan te duiden als: ”Partijen”;
Overwegende dat:
Partijen hebben op ........................................................................ een Overeenkomst met betrekking tot uit te voeren opdracht(en) gesloten. Ter uitvoering van onze Overeenkomst worden Persoonsgegevens verwerkt.
Opdrachtgever is verantwoordelijk voor de gegevens die de Opdrachtnemer gaat verwerken en leggen daarom de Partijen in deze Verwerkersovereenkomst en de daarbij behorende bijlagen:
A Overzicht met verwerkingen van Persoonsgegevens en verwerkingsdoelen B Overzicht met beveiligingsmaatregelen
vast hoe de Opdrachtnemer dient om te gaan met de Persoonsgegevens.
1 Definities
De hierna en hiervoor gebruikte begrippen volgen uit de Algemene Verordening Gegevensbescherming en hebben de volgende betekenis:
1.1 Persoonsgegevens:
alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon („de betrokkene”); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke,
fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon;
1.2 Verwerking: een bewerking of een geheel van bewerkingen met betrekking tot Persoonsgegevens of een geheel van Persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens;
Paraaf
Opdrachtgever
1.3 Verwerkingsverantwoordelijke: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van Persoonsgegevens vaststelt; wanneer de doelstellingen van en de middelen voor deze verwerking in het Unierecht of het lidstatelijke recht worden vastgesteld, kan daarin worden bepaald wie de verwerkingsverantwoordelijke is of volgens welke criteria deze wordt aangewezen (“Verantwoordelijke”);
1.4 Verwerker: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de verwerkings- verantwoordelijke Persoonsgegevens verwerkt (“Bewerker”);
1.5 Betrokkene: geïdentificeerde of identificeerbaar natuurlijk persoon op wie de verwerkte Persoonsgegeven betrekking hebben;
1.6 Verwerkersovereenkomst: deze overeenkomst inclusief de bijlagen (“Bewerkersovereenkomst”);
1.7 Overeenkomst: de hoofdovereenkomst waar deze Verwerkersovereenkomst uit voortvloeit;
1.8 Inbreuk in verband met Persoonsgegevens: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging
of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens (“Datalek”);
1.9 Gegevensbeschermingseffectbeoordeling: het uitvoeren van een beoordeling, voorafgaand aan het uitvoeren van de verwerking, van het effect van de beoogde verwerkingsactiviteiten op de bescherming van de Persoonsgegevens.
1.10 Toezichthoudende autoriteit: een onafhankelijke overheidsinstantie verantwoordelijk voor het toezicht op de naleving van de wet in verband met de verwerking van Persoonsgegevens. In Nederland is dit de Autoriteit Persoonsgegevens;
2 Onderwerp van deze Verwerkersovereenkomst
2.1 Opdrachtnemer kan gedurende de uitvoering van deze Verwerkersovereenkomst ten behoeve van Opdrachtgever en ter voldoening aan enige wettelijke verplichting Persoonsgegevens verwerken. Een overzicht van de categorieën Persoonsgegevens en de doeleinden waarvoor de Persoonsgegevens ten behoeve van Opdrachtgever worden verwerkt is opgenomen in Bijlage A bij de Verwerkersovereenkomst.
3 Verwerken Persoonsgegevens
3.1 Opdrachtnemer zal optreden als verwerker en Opdrachtgever als verantwoordelijke in de zin van de AVG.
3.2 Opdrachtnemer garandeert dat hij ten behoeve van Opdrachtgever uitsluitend Persoonsgegevens zal verwerken voor zover dit noodzakelijk is voor de levering
van de Prestaties zoals beschreven in Bijlage A van deze Verwerkersovereenkomst. Overige verwerkingen zullen uitsluitend worden uitgevoerd volgens schriftelijke instructies in expliciete opdracht en van Opdrachtgever of als daartoe een wettelijke verplichting bestaat na informeren van en onder verantwoordelijkheid van Opdrachtgever. In geen geval zal Opdrachtnemer Persoonsgegevens verwerken voor eigen doeleinden.
3.3 Opdrachtnemer zal alle redelijke instructies van Opdrachtgever in verband met
de verwerking van de Persoonsgegevens opvolgen. Opdrachtnemer stelt Opdracht- gever onmiddellijk op de hoogte indien naar zijn oordeel instructies in strijd zijn met de toepasselijke wetgeving met betrekking tot de verwerking van Persoonsgegevens dan wel in strijd komen met het veiligheidsbeleid van Opdrachtnemer met betrekking tot de te bewerken Persoonsgegevens.
Paraaf
Opdrachtgever
3.4 Opdrachtnemer zal de Persoonsgegevens aantoonbaar, op behoorlijke en zorgvuldige wijze en in overeenstemming met de op hem als verwerker op grond
van de AVG en overige wetgeving rustende verplichtingen verwerken. Partijen sluiten de overeenkomst om de expertise die Opdrachtnemer heeft als het gaat om het beveiligen en het verwerken van Persoonsgegevens te gebruiken voor de doeleinden die uiteengezet zijn in Bijlage A bij deze Verwerkersovereenkomst. Opdrachtnemer
is gehouden om, met inachtneming van hetgeen in deze Verwerkersovereenkomst is bepaald, naar eigen inzicht de middelen aan te wenden die hij noodzakelijk acht om die doeleinden na te streven.
3.5 Opdrachtnemer zal, tenzij hij hiervoor uitdrukkelijke voorafgaande schriftelijke toestemming heeft verkregen van Opdrachtgever, geen Persoonsgegevens verwerken of laten verwerken door hemzelf of door derden in landen buiten de Europese Econo- mische Ruimte (“EER”) zonder een passend beschermingsniveau. Opdrachtnemer stelt de Opdrachtgever onmiddellijk schriftelijk op de hoogte van alle (geplande) perma-nente of tijdelijke doorgiftes van Persoonsgegevens naar een land buiten de Europese Economische Ruimte en zal pas uitvoering geven aan dergelijke (geplande) doorgiftes na schriftelijke toestemming van Opdrachtgever. Opdrachtgever heeft te allen tijde het recht om aanvullende voorwaarden te verbinden aan haar toestemming voor een dergelijke verwerking.
3.6 Onverminderd enige andere contractuele geheimhoudingverplichting die op Opdrachtnemer rust, garandeert Opdrachtnemer dat hij alle Persoonsgegevens als strikt vertrouwelijk zal behandelen en dat hij al zijn werknemers, vertegenwoordigers en/of onderaannemers die betrokken zijn bij de verwerking van de Persoonsgegevens van de vertrouwelijke aard van dergelijke (Persoons)gegevens op de hoogte zal stellen.
3.7 Opdrachtnemer zal zijn volledige en tijdige medewerking verlenen aan Opdrachtgever om (i) na goedkeuring van en in opdracht van Opdrachtgever betrokkenen toegang
te laten krijgen tot de hun betreffende Persoonsgegevens, (ii) Persoonsgegevens te verwijderen of te corrigeren, (iii) aan te tonen dat Persoonsgegevens verwijderd of gecorrigeerd zijn indien zij incorrect zijn (of, ingeval Opdrachtgever het er niet mee eens is dat Persoonsgegevens incorrect zijn, het feit vast te leggen dat de betrokkene zijn Persoonsgegevens als incorrect beschouwt) en (iv) Opdrachtgever anderszins in de gelegenheid te stellen om aan zijn verplichtingen onder de AVG of andere toe- passelijke wetgeving op het gebied van verwerking van Persoonsgegevens te voldoen.
3.8 Opdrachtnemer zal de Persoonsgegevens betreffende Opdrachtgever strikt gescheiden opslaan en verwerken van de Persoonsgegevens die hij voor zichzelf of namens derde Partijen verwerkt. Opdrachtnemer verleent bijstand aan de opdrachtgever bij het
doen nakomen van de verplichtingen uit hoofde van de artikelen 32 tot en met 36 AVG, rekening houdend met de aard van de verwerking en de hem ter beschikking staande informatie.
4 Beveiligen van Persoonsgegevens
4.1 De Opdrachtnemer zorgt ervoor dat de Persoonsgegevens voldoende worden beveiligd. Om verlies en onrechtmatige verwerkingen te voorkomen neem de Opdrachtnemer passende technische en organisatorische maatregelen.
4.2 Deze maatregelen zijn afgestemd op het risico van de verwerking. Een overzicht van deze maatregelen en het beleid daarover neem is opgenomen in Bijlage B.
4.4 De Opdrachtgever mag een inspectie of audit in de organisatie laten uitvoeren om te bepalen of het verwerken van de Persoonsgegevens aan de wet en de afspraken uit deze Verwerkersovereenkomst voldoet. Hierbij zal de Opdrachtnemer de mede- werking verlenen, waaronder het toegang verlenen waar nodig en/of relevant is. Wanneer nodig stelt de Opdrachtnemer alle relevante informatie ter beschikking.
4.5 De kosten voor de uitvoering van deze audit komen voor rekening van de opdracht- gever blijkt dat deze zich niet aan de verplichtingen in deze Verwerkersovereenkomst
Paraaf
Opdrachtgever
Opdrachtnemer
4.6 De controle op de algehele verwerking van Persoonsgegevens door de Opdrachtgever kan, naast de audit mogelijkheid, ook gebeuren via zelfevaluatie. De Opdrachtnemer zal hierbij aan de Opdrachtgever een rapport verstrekken waarin de Opdrachtnemer aantoont dat hij voldoet aan de wet en de afspraken uit deze Verwerkersovereenkomst. Deze rapportage dient te worden ondertekend door de verantwoordelijke binnen de organisatie binnen de organisatie van Catapult.
4.7 Wanneer een van de Partijen vindt dat een wijziging in de te nemen beveiligings- maatregelen noodzakelijk is, treed de Opdrachtgever in overleg met de Opdrachtnemer over de wijziging daarvan. De kosten voor het wijzigen van de beveiligingsmaatregelen komen voor de rekening van de Opdrachtgever.
5 Geheimhouding
5.1 De Opdrachtnemer zal de verstrekte Persoonsgegevens geheim houden, tenzij dit op basis van een wettelijke verplichting niet mogelijk is.
5.2 De Opdrachtnemer zal ervoor zorgen dat ook de medewerkers en ingeschakelde hulppersonen zich aan deze geheimhouding houden, door een geheimhoudingsplicht in de (arbeids-) contracten op te nemen.
6 Gebruik onderaannemers
6.1 Opdrachtgever geeft Opdrachtnemer toestemming om in het kader van de uitvoering van de overeenkomst derden in te schakelen, slechts nadat hiervoor toestemming is verleend door Opdrachtgever.
6.2 Opdrachtnemer zal aan de door hem ingeschakelde derde dezelfde of strengere verplichtingen opleggen als voor hemzelf uit deze Verwerkersovereenkomst en de wet voortvloeien. De betreffende afspraken met de derde zullen schriftelijk worden vastgelegd. Opdrachtnemer zal Opdrachtgever op verzoek afschrift verstrekken van deze overeenkomst(en).
6.3 Niet tegenstaande de toestemming van Opdrachtgever voor het inschakelen van een derde Partij blijft Opdrachtnemer volledig aansprakelijk jegens Opdrachtgever voor de gevolgen van het uitbesteden van werkzaamheden aan een derde. De toe- stemming van Opdrachtgever voor het uitbesteden van werkzaamheden aan een derde Partij laat onverlet dat voor de inzet van subverwerkers in een land buiten de Europese Economische Ruimte zonder een passend beschermingsniveau toestemming vereist is in overeenstemming met artikel 3.5 van deze
Verwerkersovereenkomst.
7 Aansprakelijkheid
7.1 Opdrachtnemer is slechts aansprakelijk voor schade die door verwerking is veroorzaakt wanneer bij de verwerking niet is voldaan aan de specifiek tot verwerkers gerichte verplichtingen van de AVG of indien buiten of in strijd met de rechtmatige instructies van de verwerkingsverantwoordelijke is gehandeld.
7.2 Partijen zullen zich gedurende de Verwerkersovereenkomst zorgen voor afdoende dekking van de aansprakelijkheid
7.3 Voor zover Opdrachtnemer aansprakelijk is voor de schade of nadeel voortvloeiend uit de niet nakoming van deze Verwerkingsovereenkomst of uit onrechtmatige daad of anderszins, dan is deze aansprakelijkheid beperkt tot het maximale bedrag
waarvoor de bedrijfs- en of beroepsaansprakelijkheidsverzekering schade uitkeert.
Paraaf
Opdrachtgever
8 Duur en beëindiging
8.1 De Verwerkersovereenkomst komt tot stand door ondertekening van de Partijen op de datum van de laatste ondertekening.
8.2 De Verwerkersovereenkomst eindigt in principe een maand na op de door opdracht- gever en Opdrachtnemer overeengekomen afrondingsdatum van het Project.
8.3 Verplichtingen welke naar hun aard bestemd zijn om ook na beëindiging van deze Verwerkersovereenkomst voort te duren, blijven na beëindiging van de Verwerkers-
overeenkomst gelden. Tot deze bepalingen behoren onder meer die welke voortvloeien uit de bepalingen betreffende geheimhouding, aansprakelijkheid en toepasselijk recht.
8.4 Ieder der Partijen is gerechtigd de uitvoering van deze Verwerkersovereenkomst op te schorten, dan wel zonder rechterlijke tussenkomst met onmiddellijke ingang te ontbinden, indien:
(a) de andere Partij wordt ontbonden of anderszins ophoudt te bestaan;
(b) de andere Partij aantoonbaar tekortschiet in de nakoming van de verplichtingen die voortvloeien uit deze Verwerkersovereenkomst en die ernstige toerekenbare tekortkoming niet binnen 30 dagen is hersteld na een daartoe strekkende schriftelijke ingebrekestelling;
(c) een Partij in staat van faillissement wordt verklaard of surséance van betaling aanvraagt.
8.5 Opdrachtgever is gerechtigd deze Verwerkersovereenkomst per direct te ontbinden indien Opdrachtnemer te kennen geeft niet (langer) te kunnen voldoen aan de betrouw- baarheidseisen die op grond van ontwikkelingen in de wet en/of de rechtspraak aan de verwerking van de Persoonsgegevens worden gesteld. Sectie 9.2 is van overeenkom- stige toepassing.
9 Bewaartermijnen, teruggave en vernietiging van Persoonsgegevens
9.1 Opdrachtnemer bewaart de Persoonsgegevens niet langer dan strikt noodzakelijk en in geen geval langer dan een maand na beëindiging van deze Verwerkersovereenkomst of, indien tussen Partijen een bewaartermijn is overeengekomen, niet langer dan deze termijn.
9.2 Een maand na beëindiging van de Verwerkersovereenkomst, of indien van toepassing aan het einde van de overeengekomen bewaartermijnen, of op schriftelijk verzoek van Opdrachtgever zal Opdrachtnemer, kosteloos, naar keuze van Opdrachtgever,
de Persoonsgegevens vernietigen. Op verzoek van Opdrachtgever verstrekt opdracht- nemer bewijs van het feit dat de gegevens vernietigd of verwijderd zijn. Indien terug- gave, vernietiging of verwijdering niet mogelijk zijn, stelt Opdrachtnemer Opdracht- gever daarvan onmiddellijk op de hoogte. In dat geval garandeert Opdrachtnemer dat hij de Persoonsgegevens vertrouwelijk zal behandelen en niet langer zal verwerken.
9.3 Bij het einde van de Verwerkersovereenkomst zal Opdrachtnemer alle derden die betrokken zijn bij het verwerken van Persoonsgegevens, indien nodig, op de hoogte stellen van de beëindiging van de Verwerkersovereenkomst. De verplichtingen uit artikel 9.2 zijn van overeenkomstige toepassing op deze derden. Opdrachtnemer zal waarborgen dat alle betrokken derden hieraan uitvoering zullen geven.
Paraaf
Opdrachtgever
10 Datalekken
10.1 Wanneer er sprake is van een datalek*) aangaande de betreffende persoonsgegevens dan stellen wij u daarvan onverwijld op de hoogte (ook als wij hiervan zelf een melding hebben gedaan bij de Autoriteit Persoonsgegevens en eventuele betrokken personen**). Wij streven ernaar dit te doen binnen 48 uur nadat wij dit datalek hebben ontdekt of daarover door onze sub-verwerkers zijn geïnformeerd. Wij zullen u daarbij voorzien van de informatie die voor u (indien niet wij maar u formeel de verantwoordelijke bent voor de juiste bewaring en verwerking van de gegevens) redelijkerwijs nodig is om - indien nodig - een juiste en volledige melding te doen aan de Autoriteit Persoonsgegevens en eventueel de betrokkene(n) in het kader van de Meldplicht Datalekken. Het inlichten kan om redenen van snelheid eerst mondeling gebeuren, maar zal door ons daarna direct ook schriftelijk of per e-mail worden bevestigd. Ook van de door ons naar aanleiding van het datalek genomen maatregelen houden wij u op de hoogte, en verder van eventuele nieuwe ontwikkelingen rond het incident;
11 Slotbepalingen
11.1 De Verwerkersovereenkomst en de uitvoering daarvan worden beheerst door Nederlands recht.
11.2 Eventuele conflicten zullen eerst met elkaar besproken worden waarbij beide Partijen zich inspannen om deze in goed overleg met elkaar op te lossen.
11.3 Alle geschillen, die tussen Partijen mochten ontstaan in verband met de
Verwerkersovereenkomst, zullen worden voorgelegd aan de bevoegde rechter in het arrondissement waar Opdrachtnemer is gevestigd.
1.4 In alle gevallen waarin deze Verwerkersovereenkomst niet voorziet beslissen Partijen in onderling overleg.
Paraaf
Opdrachtgever
Aldus door ons overeengekomen en ondertekend:
Verantwoordelijke
Ondertekend voor en namens: Naam:
Functie: Datum en plaats:
Handtekening
Bewerker
Ondertekend voor en namens: Naam:
Functie: Datum en plaats:
Handtekening
Paraaf
Opdrachtgever
Bijlage A: Te verwerken Persoonsgegevens en doeleinden
A Mogelijke (Bijzondere) Persoonsgegevens die verwerkt worden zijn voor-
en achternaam, geboortedag, e-mailadres, adres, telefoonnummer, (pas)foto, ip-adres, locatiegegevens, gegevens over de activiteiten van de betrokkene op
de website van de gegevensverantwoordelijke, internetbrowser en apparaat type.
B Data die opgeslagen en verwerkt wordt voor de Opdrachtgever in de omgeving
van Opdrachtnemer met mogelijke (bijzondere) Persoonsgegevens, worden gebruikt voor marketingcommunicatie doeleinden zoals verzenden van (gepersonaliseerd) nieuwsbrief, reclamefolder, informatiefolder/-brochure, contacten via telefoon, brief of e-mail indien dit nodig is om dienstverlening uit te kunnen voeren, informeren over wijzigingen van onze diensten en producten, om goederen en diensten bij af te leveren, analyseren om gedrag op de website om daarmee de website te verbeteren
en het aanbod van producten en diensten af te stemmen op de gebruiker. Data die op- geslagen en verwerkt wordt voor de Opdrachtgever in online platforms en media met mogelijke (bijzondere) Persoonsgegevens, wel of niet geanonimiseerd gebruikt voor analyse, rapportering en verbetering van in online platforms en media.
Bijlage B: Beveiligingsmaatregelen IT- infrastructuur
De complete IT-infrastructuur wordt beheerd en onderhouden door het ISO 27001 gecertificeerde leverancier Connectworks IT professionals. Het managementsysteem voor informatiebeveiliging van Connectworks wordt periodiek gecontroleerd door
de gecertificeerde instelling Dekra.
Opslag gegevens
Catapult creëert heeft een gescheiden beleid met betrekking tot de opslaggegevens. Persoonlijksgegevens die verwerkt moeten worden, worden versleuteld opgeslagen. Bestanden worden direct na gebruik en/of verwerking verwijderd. Via een ingesteld protocol worden na 1 maand de bestanden definitief verwijderd en zijn dan ook niet via back-up terug te halen.
Remote Monitoring & Management
Bedrijfsmiddelen van Catapult creëert worden constant gecontroleerd op afstand middels Remote Monitoring & Management op bereikbaarheid en worden automatisch voorzien van de laatste (beveiligings)updates.
Back-up beleid
Om risico’s van dataverlies af te dekken wordt er gebruik gemaakt van online-backups.
UTM Firewall
Voor het beveiligen van netwerkverbindingen wordt uitsluitend gebruik gemaakt van een firewall met UTM functionaliteit.
Beveiliging toegang gegevens en/of accounts
Voor gebruik van PC’s die toegang hebben tot data die eventueel persoonlijke gegevens kunnen bevatten en gebruikt worden voor verwerking van deze data zijn voorzien van een versleuteling d.m.v. Bitlocker. Om een account op een device te kunnen gebruiken moet deze eerst geverifieerd worden via dubbele authenticatie.
Inloggegevens worden opgeslagen in een wachtwoordmanager, deze is gekoppeld aan de organisatie en gegevens kunnen daar buiten niet gedeeld worden. Deze is voorzien
Paraaf
Opdrachtgever
Opdrachtnemer
Protocol behandeling Persoonsgegevens
Om de beveiliging en beheersing van persoonlijke data te kunnen garanderen is door Catapult creëert een protocol opgesteld. Persoonlijke data wordt centraal beheerd en gecontroleerd.
Ontvangen van bestanden met persoonlijksgegevens door Catapult creëert Aanleveren van bestanden die persoonlijksgegevens bevatten gebeurd via de Dropzone van Catapult creëert. Hiermee wordt een bestand rechtstreeks en versleuteld aan de juiste persoon binnen Catapult creëert. Via een eenmalig te gebruiken downloadlink, die gekoppeld is aan het e-mailadres van de ontvanger, en een eenmalige unieke code die de gebruiker beide in een separate e-mail ontvangt, is het bestand te downloaden. Na gebruik van de link is deze onbruikbaar en is het bestand verwijderd.
Mocht data op andere wijze aangeleverd worden, kan Catapult creëert de beveiliging bij het ontvangen niet garanderen en vervalt alle verantwoordelijkheid.
Aanleveren van bestanden met persoonlijksgegevens aan derden
Wanneer persoonlijke gegevens verder verwerkt moeten worden gebeurd dat door voorgeselecteerde en geautoriseerde leveranciers die aan voorgestelde voorwaarden voldoen en waarmee een verwerkersovereenkomst is gesloten met Catapult creëert en/of de klant zelf. Catapult levert de benodigde gegevens of bestanden aan via eenzelfde workflow.
Compliance
Door middel van een audit en risico-analyse is Catapult creëert gecontroleerd op interne code. Hierbij zijn geen afwijkingen gevonden. Catapult is daardoor compliant aan de AVG.
Verzamelen gegevens via websites
In geval dat Catapult creëert de hosting verzorgt van een website gebeurt dit bij Oxilion en/of Transip, die met ISO-gecertificeerde datacenters werken en in compliance zijn met AVG, waarmee voor 25 mei 2018 een verwerkersovereenkomst is/wordt afgesloten. Wanneer nodig kunnen deze Partijen de certificaten tonen en aanleveren als bewijs.
Verzamelen gegevens d.m.v. mailings
Wanneer Catapult creëert e-mailing(campagnes) verzorgt, gebruikt zij daarvoor het platform Mailchimp. Mailchimp is in compliance met GDPR (AVG). Catapult creëert heeft een verwerkersovereenkomst met Mailchimp afgesloten.
Paraaf
Opdrachtgever
Opdrachtnemer