VERWERKERSOVEREENKOMST
VERWERKERSOVEREENKOMST
DE ONDERGETEKENDEN:
1. (statutaire naam), statutair gevestigd te (statutaire vestigingsplaats), en kantoorhoudende aan de (adres),
(postcode) te (vestigingsplaats), en ingeschreven in het handelsregister van de Nederlandse Kamer van Koophandel onder nummer (kvknr), in deze rechtsgeldig vertegenwoordigd door
(naam), (functie), hierna aan te duiden als: “Verwerkingsverantwoordelijke”;
en
2. Xxxx Stafleu van Loghum, onderdeel van SPRINGER MEDIA B.V. statutair gevestigd en kantoorhoudende te Houten aan het adres (0000 XX) Xxxxxxxx 0, ingeschreven in het Handelsregister van de Nederlandse Kamer van Koophandel onder registratienummer 32107635 hierbij rechtsgeldig vertegenwoordigd door de xxxx Xxxx Xxxxx, directeur, hierna te noemen “Verwerker”;
Verwerkingsverantwoordelijke en Verwerker hierna gezamenlijk ook aan te duiden als: “Partijen” en
afzonderlijk als: “Partij”.
OVERWEGENDE DAT:
(a) Verwerker diensten verricht ten behoeve van Verwerkingsverantwoordelijke op basis van de in Bijlage 1 omschreven overeenkomst(en);
(b) De diensten meebrengen dat Persoonsgegevens worden verwerkt;
(c) Verwerker de betreffende Persoonsgegevens louter in opdracht van Verwerkingsverantwoordelijke verwerkt en niet voor eigen doeleinden;
(d) Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 (de “Algemene Verordening Gegevensbescherming” of “AVG”) op de verwerking van Persoonsgegevens van toepassing is;
(e) Partijen in deze Verwerkersovereenkomst de afspraken met betrekking tot de verwerking van Persoonsgegevens in het kader van de diensten wensen vast te leggen conform artikel 28 AVG;
(f) Deze Verwerkersovereenkomst alle eventueel eerder gesloten verwerkersovereenkomsten tussen Partijen vervangt.
VERKLAREN TE ZIJN OVEREENGEKOMEN ALS VOLGT:
Artikel 1. Definities
1.1. In deze Verwerkersovereenkomst wordt onder de volgende met een hoofdletter aangeduide begrippen het volgende verstaan:
b) | Betrokkene/Client | een geïdentificeerde of identificeerbare natuurlijke persoon als bedoeld in artikel 4 sub 1 AVG. |
c) | Derde | een derde als bedoeld in artikel 4 sub 10 AVG. |
d) | Functionaris voor de Gegevensbescherming | een functionaris als bedoeld in afdeling 4 van de AVG. |
e) | Incident | een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte Persoonsgegevens |
f) | Medewerker | de door Partijen voor de uitvoering van deze Verwerkersovereenkomst betrokken natuurlijke persoon die werkzaam is bij of voor een van de Partijen. |
g) | Overeenkomst(en) | de in Bijlage 1 omschreven overeenkomst(en) betreffende de levering van producten en/of diensten. |
j) | Persoonsgegevens | alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon in de zin van artikel 4 onder 1 AVG. |
m) | de onderhavige verwerkersovereenkomst inclusief Bijlagen. |
Artikel 2. Onderwerp van deze Verwerkersovereenkomst
2.1. Deze Verwerkersovereenkomst heeft betrekking op de verwerking van Persoonsgegevens door Verwerker in opdracht van de Verwerkingsverantwoordelijke in het kader van de uitvoering van de Overeenkomst(en).
2.2. Deze Verwerkersovereenkomst maakt onverbrekelijk deel uit van de Overeenkomst(en). Voor zover het bepaalde in de Verwerkersovereenkomst strijdig is met het bepaalde in de Overeenkomst(en), prevaleert het bepaalde in de Verwerkersovereenkomst.
Artikel 3. Uitvoering verwerking
3.1. Verwerker zal uitsluitend de in Bijlage 1 gespecificeerde Persoonsgegevens verwerken in het kader van de in die bijlage beschreven aard en doeleinden van de verwerking.
3.2. De Verwerkingsverantwoordelijke waarborgt dat de te verwerken Persoonsgegevens zorgvuldig zijn ingevoerd, actueel en juist zijn.
3.3. Verwerker zal uitsluitend Persoonsgegevens verwerken op basis van schriftelijke instructies van
de Verwerkingsverantwoordelijke, onder meer met betrekking tot doorgiften van persoonsgegevens aan een derde land of een internationale organisatie, tenzij een op de Verwerker van toepassing zijnde Unierechtelijke of lidstaatrechtelijke bepaling hem tot verwerking verplicht; in dat geval stelt de Verwerker de Verwerkingsverantwoordelijke, voorafgaand aan de verwerking, in kennis van dat wettelijk voorschrift, tenzij die wetgeving deze kennisgeving om gewichtige redenen van algemeen belang verbiedt.
3.4. Verwerker zal de Persoonsgegevens op zorgvuldige wijze verwerken en in overeenstemming met de op hem als Verwerker rustende verplichtingen op grond van de AVG. Verwerker zal in dat kader ten minste een register van verwerkingen aanleggen als bedoeld in artikel 30 lid 2 AVG.
3.5. Verwerker zal, tenzij hij hiervoor uitdrukkelijke voorafgaande schriftelijke toestemming heeft verkregen van Verwerkingsverantwoordelijke, geen Persoonsgegevens verwerken of laten verwerken door hemzelf of door derden in landen buiten de Europese Economische Ruimte (“EER”).
3.6. Verwerker waarborgt dat de tot het verwerken van de Persoonsgegevens gemachtigde personen zich ertoe hebben verbonden vertrouwelijkheid in acht te nemen of door een passende wettelijke verplichting van vertrouwelijkheid zijn gebonden.
Artikel 4. Beveiliging Persoonsgegevens en controle
4.1. Verwerker zal passende en doeltreffende technische en organisatorische beveiligingsmaatregelen nemen, opdat de verwerking aan de vereisten van de AVG voldoet en de bescherming van de rechten van de Betrokkene(n) is gewaarborgd en die gezien de huidige stand der techniek en de daarmee gemoeide kosten overeenstemmen met de (in Bijlage 2 gespecificeerde) aard van de te verwerken Persoonsgegevens, ter bescherming van de Persoonsgegevens tegen verlies, onbevoegde kennisname, verminking of enige vorm van onrechtmatige verwerking, alsmede om de beschikbaarheid van de gegevens te garanderen.
4.2. Verwerker voldoet aan artikel 32 AVG. Bijlage 2 bevat een weergave van de als uitwerking hiervan getroffen maatregelen. Verwerkingsverantwoordelijke bevestigt hierbij dat zij akkoord is met het in Bijlage 2 vastgestelde beveiligingsniveau en dat dit beantwoordt aan artikel 32 AVG.
Artikel 5. Monitoring, informatieplichten en incidentenmanagement
5.1. Xxxxxxxxx zal actief monitoren op inbreuken op de beveiligingsmaatregelen en over de resultaten van de monitoring in overeenstemming met dit artikel rapporteren aan Verwerkingsverantwoordelijke, voor zover deze betrekking hebben op de verwerking van Persoonsgegevens waar deze Verwerkersovereenkomst op ziet.
5.2. Zodra zich een Incident voordoet of heeft voorgedaan is Verwerker verplicht Verwerkingsverantwoordelijke daarvan binnen 48 uur in kennis te stellen en daarbij alle relevante informatie te verstrekken over:
1) de aard van het Incident;
2) de (mogelijk) getroffen Persoonsgegevens;
3) de geconstateerde en de vermoedelijke gevolgen van het Incident; en
4) de maatregelen die getroffen zijn of zullen worden getroffen om het Incident op te lossen dan wel de gevolgen/schade zoveel mogelijk te beperken.
5.3. Verwerker is, onverminderd de overige verplichtingen uit dit artikel, verplicht om maatregelen te treffen die redelijkerwijs van hem kunnen worden verwacht om het Incident zo snel mogelijk te herstellen dan wel de verdere gevolgen zoveel mogelijk te beperken. Verwerker treedt zonder uitstel in overleg met Verwerkingsverantwoordelijke teneinde hierover nadere afspraken te maken.
5.4. Verwerker stelt Verwerkingsverantwoordelijke waar mogelijk in staat een deugdelijk onderzoek te verrichten naar het Incident, een correcte respons te formuleren en passende vervolgstappen te nemen ten aanzien van het Incident, waaronder begrepen het informeren van de Autoriteit Persoonsgegevens en/of de Betrokkene.
5.5. Verwerker zal te allen tijde geschreven procedures voorhanden hebben die hem in staat stellen om Verwerkingsverantwoordelijke van een voortvarende reactie over een Incident te voorzien, en om effectief samen te werken met Verwerkingsverantwoordelijke om het Incident af te handelen. Verwerker zal Verwerkingsverantwoordelijke voorzien van een afschrift van dergelijke procedures indien Verwerkingsverantwoordelijke daarom verzoekt.
5.6. Meldingen die worden gedaan op grond van artikel 5.2 worden gericht aan Verwerkingsverantwoordelijke of, indien relevant, aan een door Verwerkingsverantwoordelijke tijdens de duur van deze Verwerkersovereenkomst schriftelijk bekendgemaakte Medewerker van Verwerkingsverantwoordelijke. Indien Verwerkingsverantwoordelijke een Functionaris voor de Gegevensbescherming heeft aangesteld, worden de meldingen gericht aan deze Functionaris Gegevensbescherming.
5.7. Indien en voor zover Partijen zijn overeengekomen dat Xxxxxxxxx in relatie tot een Incident rechtstreeks contact onderhoudt met autoriteiten of andere derde partijen, dan houdt de Verwerker de Verwerkingsverantwoordelijke daarvan op te hoogte.
Artikel 6. Medewerkingsverplichtingen
6.1. Een door Verwerker ontvangen klacht of een verzoek van een Betrokkene met betrekking tot verwerking van Persoonsgegevens wordt door Verwerker binnen 48 uur doorgestuurd naar Verwerkingsverantwoordelijke.
6.2. Op het eerste daartoe strekkende verzoek van Verwerkingsverantwoordelijke zal Verwerker aan Verwerkingsverantwoordelijke alle relevante informatie verstrekken betreffende de aspecten van de door hem verrichte verwerking van Persoonsgegevens zodat Verwerkingsverantwoordelijke, mede aan de hand van die informatie, kan controleren of artikel
28 AVG na wordt geleefd. Verwerker maakt audits, waaronder inspecties, door de Verwerkingsverantwoordelijke of een door de Verwerkingsverantwoordelijke gemachtigde controleur mogelijk en draagt hier waar nodig aan bij.
6.3. Rekening houdend met de aard van de verwerking, zal Verwerker de
Verwerkingsverantwoordelijke door middel van passende technische en organisatorische
maatregelen, voor zover mogelijk, bijstand verlenen bij het vervullen van diens plicht om verzoeken om uitoefening van de in hoofdstuk III van de AVG vastgestelde rechten van de Betrokkene te beantwoorden.
6.4. Rekening houdend met de aard van de verwerking en de hem ter beschikking staande informatie verleent de Verwerker aan Verwerkingsverantwoordelijke bijstand bij het doen nakomen van de verplichtingen uit hoofde van de artikelen 32 tot en met 36 AVG.
Artikel 7. Inschakeling Sub-verwerkers
7.1. Verwerkingsverantwoordelijke stemt in met de inschakeling van de in Bijlage 3 genoemde Sub- verwerkers door Verwerker. Verwerkersverantwoordelijke geeft Xxxxxxxxx daarnaast hierbij de algemene schriftelijke toestemming om nieuwe Sub-verwerkers in te schakelen voor de Verwerking van Persoonsgegevens alsmede om Sub-verwerkers te vervangen. Gaat de Verwerker over tot het inschakelen van nieuwe Sub-verwerkers of de vervanging van (één van deze Sub-verwerkers), dan zal de Verwerker:
a. De Verwerkingsverantwoordelijke op de hoogte stellen via email en/of via Testweb, van zijn voornemen tot het inschakelen van een nieuwe of andere Sub-verwerker, waarbij de Verwerker de Verwerkingsverantwoordelijke op de hoogte stelt van de relevante informatie omtrent de beoogde Sub-verwerker;
b. De Verwerkingsverantwoordelijke de mogelijkheid geeft om bezwaar te maken tegen de veranderingen. Gaat de Verwerkingsverantwoordelijke niet binnen de in de aankondiging gestelde termijn over tot bezwaar, dan staat het Verwerker vrij om de Sub-verwerker in te schakelen. Gaat de Verwerkingsverantwoordelijke echter over tot bezwaar en stelt Verwerkingsverantwoordelijke zich op het standpunt dat de beoogde Sub-verwerker niet door Verwerker ingeschakeld mag worden, dan is Verwerker gerechtigd de Overeenkomst(en) en Verwerkersovereenkomst per direct buitengerechtelijk te ontbinden.
7.2. Verwerkingsverantwoordelijke zal niet op onredelijke gronden bezwaar maken tegen het vervangen of inschakelen van Sub-verwerkers.
7.3. Voor zover Verwerkingsverantwoordelijke instemt met de inschakeling van een Sub-verwerker, zal Verwerker aan deze Sub-verwerker dezelfde of strengere verplichtingen opleggen als voor hemzelf uit deze Verwerkersovereenkomst voortvloeien, met name de verplichting afdoende garanties met betrekking tot het toepassen van passende technische en organisatorische maatregelen te bieden opdat de verwerking aan het bepaalde in de AVG voldoet. Verwerker zal deze afspraken schriftelijk vastleggen.
8. Aansprakelijkheid
8.1. De totale aansprakelijkheid van Partijen wegens een toerekenbare tekortkoming in de nakoming van de Overeenkomst(en), op welke rechtsgrond dan ook, is beperkt tot het vergoeden van directe schade tot maximaal het bedrag van de voor de Overeenkomst(en) bedongen prijs (exclusief BTW). In geen geval zal de aansprakelijkheid van Verwerker, in alle gevallen beperkt tot vergoeding van directe schade, op welke rechtsgrond dan ook, meer bedragen dan EUR 100.000,-. De onder dit artikel voor vergoeding in aanmerking komende
directe schade betreft uitsluitend i) de redelijke kosten ter voorkoming of beperking van de schade die als gevolg van de gebeurtenis waarop de aansprakelijkheid berust mag worden verwacht en ii) de redelijke kosten ter vaststelling van de schade en aansprakelijkheid.
9. Kosten
9.1. De kosten voor de verwerking van gegevens die inherent zijn aan de normale uitvoering van de Overeenkomst(en), worden geacht besloten te liggen in de op grond van de Overeenkomst(en) reeds verschuldigde vergoedingen.
9.2. Enige ondersteuning of enige andere aanvullende dienstverlening die Verwerker op grond van deze Verwerkersovereenkomst dient te verlenen, of die wordt verzocht door Verwerkingsverantwoordelijke, inclusief alle verzoeken tot aanvullende informatie, zullen in rekening worden gebracht bij Verwerkingsverantwoordelijke overeenkomstig de in Bijlage 3 of eventueel later door Verwerker gespecificeerde tarieven.
10. Duur en beëindiging
10.1. Deze Verwerkersovereenkomst gaat in op de datum van ondertekening en de duur van deze Verwerkersovereenkomst is gelijk aan de duur van de in Bijlage 1 genoemde Overeenkomst(en), inclusief eventuele verlengingen daarvan. De duur van de verwerking van Persoonsgegevens is gelijk aan de duur van de Verwerkersovereenkomst.
10.2. De Verwerkersovereenkomst maakt na ondertekening ervan door beide Partijen integraal en onlosmakelijk deel uit van de Overeenkomst(en). Beëindiging van de Overeenkomst(en), op welke grond dan ook, heeft tot gevolg dat de Verwerkersovereenkomst eveneens op dezelfde grond beëindigd wordt en vice versa, tenzij Partijen in voorkomend geval anders schriftelijk overeenkomen.
10.3. Verplichtingen die naar hun aard bestemd zijn om ook na beëindiging van deze Verwerkersovereenkomst voort te duren, blijven na beëindiging van deze Verwerkersovereenkomst gelden. Tot deze bepalingen behoren bijvoorbeeld de verplichtingen die welke voortvloeien uit de bepalingen over geheimhouding, aansprakelijkheid, geschillenbeslechting en toepasselijk recht.
10.4. Ieder der Partijen is gerechtigd, onverminderd hetgeen daartoe bepaald is in de Overeenkomst(en), de uitvoering van deze Verwerkersovereenkomst en de daarmee samenhangende Overeenkomst(en) op te schorten, dan wel zonder rechterlijke tussenkomst met onmiddellijke ingang te ontbinden, indien:
a. de andere Partij wordt ontbonden of anderszins ophoudt te bestaan;
b. de andere Partij aantoonbaar tekortschiet in de nakoming van de verplichtingen die voortvloeien uit deze Verwerkersovereenkomst en die toerekenbare tekortkoming niet binnen 30 dagen is hersteld na een daartoe strekkende schriftelijke ingebrekestelling;
c. een Partij in staat van faillissement wordt verklaard of surséance van xxxxxxxx aanvraagt.
10.5. Gelet op de grote afhankelijkheid van Verwerkingsverantwoordelijke van Verwerker alsmede het continuïteitsrisico bij incidenten en calamiteiten, verklaart Xxxxxxxxx zich reeds nu voor alsdan bereid op eerste verzoek van Verwerkingsverantwoordelijke in gesprek te treden om aanvullende afspraken met Verwerkingsverantwoordelijke te maken, waaronder:
a. het maken van afspraken over het periodiek terug of aan een derde partij leveren van de door Verwerker verwerkte gegevens; en/of
b. het met een derde partij sluiten van een overeenkomst die ertoe strekt dat de betreffende derde partij zich hoofdelijk verbindt tot of borg staat voor de nakoming van de Overeenkomst; en/of
c. het met een derde partij sluiten van een drie-partijen overeenkomst die ertoe strekt dat de betreffende derde partij (voortdurend) over alle benodigde gegevens komt te beschikken om in voorkomend geval (een deel van) de op grond van de Overeenkomst(en) te verrichten prestaties – al dan niet op basis van een nieuwe overeenkomst – in plaats van of parallel aan Verwerker te kunnen (gaan) verrichten.
11. Beëindiging Overeenkomst
11.1. Het account kan op verzoek van de Verwerkingsverantwoordelijke worden beëindigd door de Verwerker. Het account wordt na het verzoek eerst inactief gemaakt en na 6 maanden worden de gegevens permanent verwijderd.
11.2. Is een account tenminste een jaar niet actief en bevat het afnamegegevens, dan wordt contact opgenomen met de Verwerkingsverantwoordelijke. Afhankelijk van de reactie van de Verwerkersverantwoordelijke zal het account worden gecontinueerd of inactief gemaakt. Is er geen reactie van de Verwerkersverantwoordelijke dan wordt het account inactief gemaakt. 6 maanden na inactief maken van het account wordt het account en alle bijhorende gegevens permanent verwijderd uit de Testweb database.
11.3. Is een account gedurende het eerste jaar na de startdatum niet actief en bevat het geen afnames, dan wordt het account automatisch verwijderd.
12. Bewaartermijnen, teruggave en vernietiging van Persoonsgegevens
12.1. De Verwerkingsverantwoordelijke is te allen tijde eindverantwoordelijk voor de gegevens in de eigen Testweb omgeving en bepaalt hoe lang de gegevens bewaard blijven. De Verwerkingsverantwoordelijke kan zelf de gegevens verwijderen eventueel na het opslaan van een kopie buiten Testweb. De Verwerkingsverantwoordelijke kan de Verwerker verzoeken om tegen redelijke vergoeding de gegevens te verwijderen.
12.2. In geval er 6 maanden na beëindiging van de Verwerkersovereenkomst er geen verzoek door Verwerker zoals bedoeld in artikel 12.1 is ontvangen zal Verwerker overgaan tot het permanent (laten) vernietigen van de Persoonsgegevens.
12.3. Bij beëindiging van de Overeenkomst worden de gegevens automatisch na 6 maanden permanent verwijderd, tenzij opslag van de Persoonsgegevens Unierechtelijk of lidstaatrechtelijk verplicht is.
13. Slotbepalingen
13.1. In geval van nietigheid of vernietigbaarheid van een of meer bepalingen uit deze Verwerkersovereenkomst, blijven de overige bepalingen onverkort van kracht.
13.2. Op deze Verwerkersovereenkomst is uitsluitend Nederlands recht van toepassing.
13.3. Elk geschil dat voortvloeit uit deze Verwerkersovereenkomst of daarmee verband houdt wordt uitsluitend voorgelegd aan de rechtbank Midden-Nederland, locatie Utrecht, waarbij wordt opgemerkt dat Partijen te allen tijde nastreven een eventueel geschil eerst in onderling overleg op passende wijze op te lossen.
Aldus in tweevoud digitaal opgemaakt op de ondertekeningsdatum, waarvan iedere Partij hierbij verklaart één exemplaar digitaal te hebben ontvangen:
[naam Verwerkingsverantwoordelijke] | Xxxx Stafleu van Loghum, onderdeel van Springer Media B.V. | |
[handtekening] | ||
[Naam vertegenwoordiger] | Xxx. Xxxx Xxxxx | |
[Functie] | Directeur | |
Plaats: | Plaats: | |
Datum: | Datum: |
Bijlage 1: Beschrijving van product, Overeenkomst, diensten en verwerkingen
1. Beschrijving Testweb
Testweb is een product waarmee gekwalificeerde specialisten, zoals (GZ-) psychologen, orthopedagogen of logopedisten die werkzaam zijn in bijvoorbeeld de (geestelijke-) gezondheidszorg, logopedie en het speciaalonderwijs, (hierna gezamenlijk: “Klant”) op geautomatiseerde wijze vragenlijsten en/of tests afnemen bij natuurlijke personen (hierna: “Cliënten”) en deze scoren voor analyse en interpretatie.
Om van Testweb gebruik te maken dient de Klant een account aan te maken. Via Testweb registreert de Klant zich voor een account dat toegang geeft tot een eigen en afgeschermde omgeving in Testweb. Aan dit account worden diverse rollen toegekend:
Beheerder
De Beheerder is eindverantwoordelijk voor het account en is tevens contactpersoon voor Verwerker en medewerkers van de Verwerkingsverantwoordelijke. De beheerder ziet er op toe dat de algemene organisatie en facturatiegegevens van de Klant actueel en juist zijn. De Beheerder kan andere medewerkers van de Klant toegang geven tot de eigen Testweb omgeving of de toegang beëindigen. De Beheerder kan naar eigen inzicht rechten toekennen zoals een tweede beheerder of behandelaar door in Testweb een persoonsgebonden account aan te maken. De Beheerder behoudt tevens dezelfde rechten als Behandelaar en aanvullend heeft de Beheerder de mogelijkheid gegevens te verwijderen.
Behandelaar:
De Behandelaar kan Clientgegevens en Informantgegevens toevoegen. Vervolgens vragenlijsten en/of tests selecteren en koppelen aan Cliënten. Indien een andere persoon zoals bijvoorbeeld een ouder, verzorger of leerkracht een vragenlijst over een client invult kan de behandelaar de vragenlijst of test selecteren en koppelen aan Informanten. Via een email en link nodigt Behandelaar de Cliënt en/of een Informant uit de vragenlijst of test in te vullen en/of te beoordelen.
Volledig ingevulde vragenlijsten worden in Testweb in het dossier van de Cliënt opgeslagen, “de afname”. Het resultaat van de afname kan door de Behandelaar worden ingezien, geanalyseerd en de rapportage kan worden gedownload.
2. Overeenkomst
Indien de Klant zich registreert voor een account dan gaat de Klant akkoord met de leveringsvoorwaarden van Testweb.
De registratie wordt door Xxxx Stafleu van Loghum gecontroleerd en na akkoord wordt het account verstrekt en de Testweb omgeving gecreëerd. De registratie wordt vastgelegd als Overeenkomst en is de basis voor de facturatie van afnames. De Overeenkomst is beschikbaar op de pagina “Organisatie” in de eigen Testweb omgeving.
3. Beschrijving van de primaire verwerkingen van Persoonsgegevens
Verwerkingsdienst | Aard van de Verwerking | Soort Persoonsgegevens | Categorieën van Betrokkenen |
Accountregistratie | Om toegang te krijgen tot Testweb registreert de Klant zich voor een account. De gegevens die de Klant bij de registratie verstrekt worden vastgelegd in Testweb. De klant wordt hierdoor de contactpersoon en de beheerder van het Testwebaccount. | - Praktijkgegevens - Contactgegevens van Klant | Klant |
Inloggen in eigen Testweb omgeving | Toegang geven tot de Testweb omgeving van de Klant | - Emailadres | Klant |
Clientdossier | Het aanmaken en onderhouden van clientdata in een digitale dossier door de Klant in de rol van beheerder en/of behandelaar. De client heeft geen toegang tot het account. Het verwijderen van clientdata is alleen mogelijk door de klant met de rol beheerder. | - Client gegevens zoals naam, geboortedatum, geslacht - Client email (optioneel) | Client |
Accounts van Behandelaren beheren | De Beheerder maakt een account aan en registreert, beheert en verwijdert de gegevens van Behandelaren. | - Emailadres - Naam | - Behandelaar |
Registratie informanten | Xxxxxxxxx en behandelaar registreert en beheert de gegevens van de informant. De informant heeft geen toegang tot het account. De beheerder kan de informant verwijderen. | - E-mailadres - Naam | - Informant |
Per email Client en/of Informant uitnodigen om vragenlijst in te vullen | De Client/Informant ontvangen een link waarmee ze toegang krijgen tot de vragenlijst die zij kunnen invullen. | - Client email - Emailadres Informant - Emailadres Behandelaar | - Client - Informant |
Afname | Client en/of Informant krijgt toegang tot de vragenlijst om die in te vullen | - Clientnaam - Naam van de test | Client, informant |
Genereren en opslag Afname resultaat in Clientdossier | Door de Client/Informant ingevulde vragenlijst wordt opgeslagen in het dossier van de betreffende Client | - Clientnaam - Ingevulde vragenlijst en de testresultaten | Cliënt |
Ondersteuning door Verwerker | Voor het oplossen van problemen bij het gebruik van Testweb doet uitsluitend de Beheerder een verzoek aan de Verwerker om mee te kijken in zijn Testweb account en geeft hiervoor akkoord tot tijdelijke toegang | - Klantgegevens - Clientgegevens | - Client - Klant |
Bijlage 2: Omschrijving nadere beveiligingsmaatregelen
Verwerker verklaart de volgende maatregelen te hebben getroffen om te kunnen voldoen aan hetgeen is bepaald in de Overeenkomst:
Om vertrouwelijkheid te garanderen:1
[ X ] De pseudonimisering en versleuteling van Persoonsgegevens 2
[ X ] Controle op fysieke toegang tot persoonsgegevens
[ X ] Controle op elektronische toegang tot persoonsgegevens [ X ] Controle op interne toegang tot persoonsgegevens
[ X ] Isoleren van persoonsgegevens (het separaat opslaan van persoonsgegevens van verschillende partijen).
Om de integriteit te garanderen:3
[ X ] Controle op de doorgifte van persoonsgegevens [ X ] Controle op de invoer van gegevens
[ X ] Controle op de wijziging van gegevens
Om de beschikbaarheid en veerkracht van gebruikte systemen en diensten te garanderen:4 [ X ] Controle op beschikbaarheid van data (o.a. door het maken van back-ups)
[ X ] Toegang tot persoonsgegevens kunnen herstellen
Om de beschikbaarheid van en de toegang tot de Persoonsgegevens tijdig te herstellen na een fysiek of technisch incident:5
[ X ] Een noodplan om de beschikbaarheid direct na een incident te controleren [ X ] Een noodplan om direct toegang te krijgen na een incident
Om op gezette tijdstippen de doeltreffendheid van de technische en organisatorische maatregelen te
testen, beoordelen en evalueren:
[ X ] Een intern incidentenprotocol opgesteld en nageleefd
[ X ] Controle van instructies van de Verwerkingsverantwoordelijke(n) [ X ] Maatregelen om privacy by design te bewerkstelligen
[ X ] Maatregelen om privacy by default te bewerkstelligen
[ X ] Herstelmogelijkheden (middelen die de Verwerker in staat stellen om snel persoonsgegevens te kunnen herstellen na een incident)
1 Zie artikel 32, eerder lid onder b AVG. 2 Zie artikel 32, eerste lid onder a AVG. 3 Zie artikel 32, eerste lid onder b AVG. 4 Zie artikel 32, eerste lid onder b AVG. 5 Zie artikel 32, eerste lid onder c AVG.
Bijlage 3: Sub-Verwerkers
Verwerkingsverantwoordelijke gaat akkoord met het inschakelen van de volgende Sub-Verwerkers:
• Het datacenter waar de Testweb verwerkingen plaatsvinden is Interconnect te Den Bosch. Interconnect is o.a. ISO27001 gecertificeerd. Zie ook: xxxxx://xxx.xxxxxxxxxxxx.xx/xxxxxxxxxxxxxxx/
• Stipp B.V., geregistreerd in het register van de Nederlandse Kamer van Koophandel onder nummer 08083427, als ontwikkelaar van de Testweb.
Bijlage 4: Specificatie facturatie en tarieven
• Met de registratie van een Testweb-account gaat de verwerkersverantwoordelijke akkoord met de betalingsprocedure voor het gebruik van Testweb. Dit houdt in dat er na afloop van ieder kwartaal een factuur verstuurd wordt voor het werkelijk aantal afgeronde testafnames na afloop van dat kwartaal. Hiervoor worden de facturatiegegevens gebruikt die de verwerkersverantwoordelijke heeft ingevuld in Testweb bij ‘organisatie’.
• De verwerkersverantwoordelijke kan het eigen gebruik inzien in Testweb en is verantwoordelijk voor het actualiseren van de juiste factuurgegevens in Testweb bij ‘organisatie’.
• Facturatie vindt plaats volgens de actuele tarieven die gepubliceerd staan op xxxxx://xxxxxxx.xxx.xx/xxxxxxxx-xxx/