Verwerkersovereenkomst
Verwerkersovereenkomst
ISO Groep Automatisering B.V.
Auteur Xxxxxxxx xxx Xxxxx
Organisatie ISO Groep Automatisering B.V.
Versiedatum 3-11-2022
Versie Versie 3.6
Classificatie Publiek
Zo werkt
het gewoon
ISO Groep
Rijthoek 15
4175 LM Haaften
0418 - 65 50 50
xxxx@xxxxxxxx.xx xxx.xxxxxxxx.xx
KvK 30282911
IBAN nr. NL34RABO015377237 BTW nr. NL822025292B01
Partijen:
Verantwoordelijke , gevestigd en kantoorhoudende aan
…………………………………………...., te , te dezen rechtsgeldig
vertegenwoordigd door , hierna te noemen: “Verantwoordelijke”.
en
ISO Groep Automatisering BV, gevestigd en kantoorhoudende aan Xxxxxxxx 00 xx 0000XX Xxxxxxx, ingeschreven bij de Kamer van Koophandel onder nummer 30282911 (hierna: “Verwerker”).
Hierna gezamenlijk te noemen: “Partijen”, of afzonderlijk: “Partij”.
Overwegen het volgende:
a. Verantwoordelijke en Verwerker zijn een overeenkomst aangegaan waarbij de uitvoering van beheertaken geheel of gedeeltelijk zijn uitbesteed aan de Verwerker. Deze dienstverlening kan ertoe leiden dat Verwerker in opdracht van Verantwoordelijke Persoonsgegevens verwerkt.
b. Partijen wensen, mede gelet op het bepaalde in artikel 28 lid 3 Algemene Verordening Gegevensbescherming, in deze Verwerkersovereenkomst hun wederzijdse rechten en verplichtingen voor de Verwerking van Persoonsgegevens vast te leggen
Komen het volgende overeen:
Artikel 1: Opvolgen van opdracht en instructies door Xxxxxxxxx
a. Verwerker verwerkt de persoonsgegevens slechts in opdracht van Verantwoordelijke, behoudens afwijkende wettelijke verplichtingen;
b. Verwerker verwerkt gegevens ten behoeve van Verantwoordelijke, overeenkomstig diens instructies en onder dienst verantwoordelijkheid;
c. Verwerker zal de gegevens uitsluitend verwerken voor het uitvoeren van de taken. Het is Verwerker niet toegestaan deze voor enig ander doel te gebruiken of aan een derde ter beschikking te stellen;
d. Onder het verwerken van gegevens wordt tevens verstaan het ontvangen van gegevens van Verantwoordelijke ten behoeve van de uitvoering van de wettelijke taken;
e. Verwerker heeft geen zeggenschap over het doel en de middelen voor de verwerking van persoonsgegevens. Zo neemt hij geen beslissingen over de ontvangst en het gebruik van de gegevens, de verstrekking aan derden en de duur van de opslag van gegevens. De zeggenschap over de persoonsgegevens verstrekt onder deze overeenkomst komt niet bij
Verwerker te rusten, naast de verplichting van Verwerker om de instructies
van Verantwoordelijke op te volgen;
f. Verwerker dient zorg te dragen voor de naleving van de voorwaarden met betrekking tot het verwerken van persoonsgegevens en de naleving van de van toepassing zijnde wet- en regelgeving met betrekking tot de bescherming van persoonsgegevens, met name op grond van de AVG.
Artikel 2: Taken verantwoordelijke
a. Verantwoordelijke verstrekt Verwerker, ten behoeve van de uitvoering van de taken, de benodigde gegevens. Verantwoordelijke zal Verwerker uitsluitend die gegevens verstrekken die voor de taken noodzakelijk zijn en door Verantwoordelijke voor dat doel mogen worden verstrekt doordat daarvoor een wettelijke grondslag aanwezig is.
Artikel 3: Geheimhoudingsplicht
a. Een ieder die betrokken is bij de uitvoering van deze overeenkomst en daarbij de beschikking krijgt over gegevens waarvan hij het vertrouwelijke karakter kent of redelijkerwijs moet vermoeden, en voor wie niet reeds uit hoofde van ambt, beroep of wettelijk voorschrift een geheimhoudingsplicht geldt, is verplicht tot geheimhouding daarvan, behoudens voor zover enig wettelijk voorschrift hem tot bekendmaking verplicht of uit zijn taak bij de uitvoering van deze regeling de noodzaak tot bekendmaking voortvloeit.
Artikel 4: Beveiligingsmaatregelen
a. Xxxxxxxxx neemt alle passende technische en organisatorische maatregelen om persoons- gegevens te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen een passend beveiligingsniveau gelet op de aard van de persoons- gegevens die Verwerker verwerkt. Zie ook bijlage 2.
Informatietransport, zowel fysiek al digitaal, zal op een veilige manier geschieden volgens het informatiebeveiligingsbeleid van Verwerker.
Artikel 5: Verantwoordingsplicht
a. Op verzoek van Verantwoordelijke voorziet Verwerker Verantwoordelijke van de noodzakelijke informatie waardoor Verantwoordelijke een oordeel kan vormen over de naleving door Verwerker van deze overeenkomst.
b. Op verzoek van Verantwoordelijke rapporteert Verwerker over de opzet en werking van het stelsel van maatregelen en procedures, gericht op de naleving van deze overeenkomst.
c. Verantwoordelijke heeft eenmaal per jaar en voor eigen rekening het recht om een door Verantwoordelijke en Verwerker gezamenlijk aan te wijzen onafhankelijke een inspectie te laten uitvoeren om te verifiëren of Verwerker de verplichtingen onder de AVG en deze verwerkersovereenkomst nakomt. Verwerker zal daaraan alle redelijkerwijs noodzakelijke medewerking verlenen. Verwerker heeft het recht om haar kosten die gepaard gaan met de inspectie in rekening te brengen bij de Verantwoordelijke.
Artikel 6: Medewerkers van Verwerker
a. De verplichtingen van Verwerker die uit deze overeenkomst voortvloeien, gelden ook voor degenen die persoonsgegevens verwerken onder het gezag van Verwerker.
Artikel 7: Meldplicht bij datalekken
a. In het geval van een beveiligingslek en/of een datalek bij Verwerker (waaronder wordt verstaan: ongeautoriseerde toegang tot persoonsgegevens die leidt tot een aanzienlijke kans op nadelige gevolgen voor de bescherming van persoonsgegevens) zal Verwerker zich naar beste kunnen inspannen om Verantwoordelijke daarover onmiddellijk te informeren. Verwerker spant zich naar beste kunnen in om de verstrekte informatie volledig, correct en accuraat te maken. De meldplicht geldt ongeacht de impact van het lek.
b. Indien de wet- en/of regelgeving dit vereist zal Verwerker meewerken aan het informeren van relevante autoriteiten en/of betrokkenen.
c. De meldplicht behelst in ieder geval het melden van het feit dat er een lek is geweest, alsmede:
i. Wat de (vermeende) oorzaak is van het lek;
ii. Wat het (vooralsnog bekende en/of te verwachten) gevolg is;
iii. Wat de (voorgestelde) oplossing is;
iv. Wat de reeds ondernomen maatregelen zijn.
d. Verwerker zal ieder geconstateerd datalek onverwijld, doch uiterlijk binnen 36 uur na ontdekking, melden bij de verantwoordelijke. De beslissing of het datalek bij de toezichthouder en/of bij betrokkenen moet worden gemeld, is uitsluitend die van de verantwoordelijke. Verwerker zal nimmer een datalek zonder toestemming melden.
e. Verwerker zal correspondentie inzake een datalek richten aan het ingevulde e-mailadres onder aan deze overeenkomst.
f. Verwerker spant zich naar beste kunnen in om zo spoedig mogelijk het lek te dichten en de schade voor Verantwoordelijke en betrokkene te beperken.
Artikel 8: Inschakelen van andere verwerkers en doorgifte door Xxxxxxxxx
a. Verwerker zal uitsluiten sub-verwerkers inschakelen met voorafgaande toestemming van verantwoordelijke. Verwerker zal hierom tijdig verzoeken en alle benodigde informatie verschaffen.
b. Bij het inschakelen van een andere verwerker door Verwerker, worden aan deze andere verwerker bij overeenkomst dezelfde verplichtingen opgelegd als die ook voortvloeien uit deze overeenkomst, zodat er voldoende garanties zijn tot het toepassen van passende technische en organisatorische maatregelen. Verwerker blijft verantwoordelijk jegens Verwerkingsverantwoordelijke voor het nakomen van
verplichtingen van die andere verwerker, wanneer de laatste haar verplichtingen niet nakomt.
c. Verwerker zal nimmer zonder schriftelijke instructie van de Verantwoordelijke Persoonsgegevens doorgeven aan landen buiten de EER (Europese Economische Ruimte) of aan een internationale organisatie, tenzij Europees of Nederlands recht Verwerker daartoe
verplicht. In dat geval stelt Verwerker de Verantwoordelijke voorafgaand aan de doorgifte hiervan op de hoogte, tenzij de betreffende wet- of regelgeving deze kennisgeving verbiedt.
Artikel 9: Medewerkingsplichten en rechten van betrokkenen
a. Als Xxxxxxxxx rechtstreeks van een betrokkene een verzoek om inzage, correctie of verwijdering van zijn of haar gegevens ontvangt, informeert de Verwerker Verantwoordelijke binnen twee werkdagen na ontvangst van het verzoek via het opgegeven e-mailadres. Verwerker voert zo snel mogelijk alle instructies uit die Verantwoordelijke schriftelijk aan Verwerker geeft als gevolg van zodanig verzoek van betrokkene. Verwerker zal tevens medewerking verlenen op verzoek van en aan de verantwoordelijke in het geval dat een betrokkene een wettelijk recht uitoefent zoals gesteld in art 15 tot 21 van de AVG.
b. Verwerker zal na het ontvangen van de schriftelijke instructies, deze zo snel mogelijk maar uiterlijk binnen 2 weken uitvoeren.
Artikel 10: Aansprakelijkheid
a. Inzake de aansprakelijkheid van Verwerker verwijzen wij u naar Artikel 16 van onze Algemene Voorwaarden. Namelijk de “NLDigital voorwaarden”, gedeponeerd bij de Rechtbank Midden Nederland. Deze voorwaarden zijn tevens te raadplegen via de website van de Verwerker.
Artikel 11: (Gedeeltelijke) opzegging, beëindiging overeenkomst
a. Elk van de Partijen is gerechtigd de overeenkomst met inachtneming van een opzegtermijn van drie maanden schriftelijk op te zeggen, tenzij in de hoofdovereenkomst een andere termijn is vastgelegd.
b. Verantwoordelijke is gerechtigd deze overeenkomst met onmiddellijke ingang op te zeggen ingeval Verwerker zich niet houdt aan de in deze overeenkomst aangegane verplichtingen.
c. Elk van de Partijen is gerechtigd de overeenkomst met onmiddellijke ingang te beëindigen ingeval van overmacht, waaronder mede wordt begrepen een zodanige wijziging van de wettelijke regels dat een verdere voortzetting van de overeenkomst niet kan worden verlangd.
d. Bij het beëindigen van de overeenkomst met onmiddellijke ingang wordt in de brief de reden van beëindiging vermeld. Bij beëindiging, ontbinding of opzegging van deze overeenkomst, op welke grond of wijze dan ook, zal Verwerker op eigen kosten en uit eigen beweging (i) aan Verantwoordelijke alle Persoonsgegevens ter beschikking stellen op de wijze en in het format dat Verantwoordelijke wenst, (ii) per direct de verwerking van de Persoonsgegevens staken, (iii) alle documenten waarin de Persoonsgegevens zijn vastgelegd aan Verantwoordelijke ter beschikking stellen, en (iv) alle Persoonsgegevens die elektronisch zijn opgeslagen permanent van de gegevensdrager verwijderen, of voor zover permanente verwijdering van de gegevensdrager niet mogelijk is, de gegevensdrager vernietigen. Verwerker zal op verzoek van Verantwoordelijke schriftelijk bevestigen aan Verantwoordelijke dat Verwerker aan alle verplichtingen uit hoofde van dit artikel heeft voldaan.
Artikel 12: Duur en beëindiging van de overeenkomst
a. De looptijd van deze Verwerkersovereenkomst is gelijk aan de looptijd van de tussen Partijen gesloten Product- en Dienstenovereenkomst, inclusief eventuele verlengingen daarvan.
b. Deze Verwerkersovereenkomst eindigt van rechtswege bij de beëindiging van de Producten Dienstenovereenkomst. De beëindiging van deze Verwerkersovereenkomst zal Partijen niet ontslaan van hun verplichtingen die voortvloeien uit deze Verwerkersovereenkomst die naar hun aard worden geacht ook na beëindiging voort te duren.
Aldus overeengekomen, in tweevoud opgemaakt en ondertekend,
Verantwoordelijke:
Organisatie: | ………………………………………… | Plaats: ………………………………………… |
Naam: | ………………………………………… | Handtekening: |
Functie: | ………………………………………… | |
Datum: | ………………………………………… |
E-mail adres voor melden datalekken: ……………………………………………………….
………………………………………………………………….
Verwerker:
Handtekening:
Organisatie: ISO Groep Automatisering B.V. Plaats: Haaften Naam: C.T. Thoutenhoofd
Functie: Algemeen Directeur
Datum: 20-04-2018
………………………………………………………
Gegevens:
De verantwoordelijke laat de Verwerker de volgende gegevens door Verwerker verwerken in het kader van de opdracht, waaronder maar niet uitsluitend kunnen vallen:
▪ Contactgegevens (naam, adres, aanspreektitel, telefoonnummer, e-mailadres, etc.
▪ Financiële informatie (rekeninggegevens, betaalgegevens)
▪ Gegevens over dienstverband (werkgever, functie, standplaats, taken)
▪ IT-informatie (IP-adres, apparaat gegevens, gebruikersgegevens, wachtwoorden)
▪ Telefonie-informatie (belspecificaties, telefoonnummers, tijdsduur, locaties)
Doeleinden:
De werkzaamheden waarvoor bovengenoemde gegevens mogen worden verwerkt, uitsluiten indien noodzakelijk, zijn in ieder geval:
▪ De werkzaamheden, te beschouwen als de primaire dienstverlening, in het kader waarvan Verantwoordelijke een opdracht heeft verstrekt aan Verwerker m.b.t. het implementeren, realiseren en onderhouden van, en dienstverlening in relatie tot ICT- en Telefonie beheer.
▪ Het onderhoud, waaronder updates en releases van het door Verwerker dan wel sub- verwerkers aan Verantwoordelijke ter beschikking gestelde en ontwikkelde applicaties.
▪ Het gegevens- en technisch beheer.
Categorieën van de betrokkenen:
▪ Werknemers / Stagiaires
▪ Klanten / Leden / Donateurs / Bestuurders
▪ Zakelijke contactpersonen
Duur
Zolang de duur van de samenwerkingsovereenkomst voortduurt.
Verwerkingsregister
Beveiligingsmaatregelen bij verwerkersovereenkomst
Gezien de gevoelige aard van de verwerkte gegevens, welke onlosmakelijk verbonden zijn aan de dienstverlening van de Verwerker, zijn er diverse beveiligingsmaatregelen getroffen om zowel verlies, diefstal, beschadiging alsmede ongeoorloofd bezit van gegevens tegen te gaan. Naast de door de AVG opgelegde verplichting dergelijke maatregelen te treffen, ziet de Verwerker deze beveiligingsmaatregelen als noodzakelijk om naast persoonlijke gegevens, tevens de technische gegevens van de Verantwoordelijke te beschermen en beveiligen. Tevens is Verwerker ISO27001 en NEN7510 gecertificeerd.
ISO Groep Automatisering B.V. heeft in ieder geval de volgende maatregelen getroffen: Technische en organisatorische maatregelen
▪ Toewijzing gebruiksrechten behorend bij functie
▪ Interne omgeving en beheer omgevingen zijn beveiligd middels 2-weg-verificatie.
▪ De netwerkomgeving waarbinnen gegevens worden verwerkt is strikt beveiligd.
▪ De omgeving waarbinnen gegevens worden verwerkt wordt gemonitord.
▪ Op alle interne systemen van is er een actief patchmanagement beleid actief. Op de omgevingen van klanten worden in opdracht of volgens geldend SLA updates geïnstalleerd.
▪ Op interne systemen wordt gebruikt gemaakt van antivirus- en malware software.
▪ Dagelijks worden er back-ups gemaakt, periodiek vindt een recovery test plaats.
▪ Laptops zijn encrypted middels Bitlocker.
▪ Gebruik van hardware- en softwarematige firewalls
▪ Periodieke verwijdering gegevens conform bewaar- en vernietigingstermijnen.
▪ Alarmsysteem en toegangscontrole kantoor en datacentra
▪ Geheimhoudingsverklaring in contracten medewerkers
▪ Formele procedure Melding datalekken.