Verwerkingsovereenkomst opdrachtgever | vonk
Deze verwerkingsovereenkomst is onderdeel van de Algemene Voorwaarden van Vonk
In deze Verwerkingsovereenkomst is Opdrachtgever de rechtspersoon die Vonk Competentie Expertise BV als een Verwerker opdracht geeft om ten behoeve van hem activiteiten te verrichten op het gebied van functionele mensenkennis en is hierna te noemen: “Verwerkingsverantwoordelijke”.
In deze Verwerkingsovereenkomst is Opdrachtnemer Vonk Competentie Expertise BV welke verwerkingsactiviteiten gaat uitvoeren en is hierna te noemen: “Verwerker”. Verwerkingsverantwoordelijke en Verwerker worden afzonderlijk tevens “Partij” of gezamenlijk “Partijen” genoemd.
In deze Verwerkingsovereenkomst gelden onderstaande definities:
AVG: Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de Verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (Algemene Verordening Gegevensbescherming).
Betrokkene: De natuurlijke persoon op wie een Persoonsgegeven betrekking heeft.
Datalek: Een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins Verwerkte Persoonsgegevens.
EU: De lidstaten van de Europese Unie en, vanaf het moment dat de AVG is geïncorporeerd in de overeenkomst betreffende de Europese Economische Ruimte: IJsland, Liechtenstein en Noorwegen.
Incident: Iedere redelijke kans op of vrees voor een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze kan leiden tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins Verwerkte Persoonsgegevens.
Verwerkingsovereenkomst: Deze voorwaarden tussen Verwerkingsverantwoordelijke en Verwerker, inclusief de appendices waarnaar wordt verwezen.
Persoonsgegeven(s): Alle informatie die een natuurlijke persoon identificeert. Als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon of identificeerbaar maakt.
Subverwerker: Degene die de Verwerker bijstaat in de Verwerking van Persoonsgegevens.
Vertegenwoordiger: Een in de Unie gevestigde natuurlijke persoon of rechtspersoon die uit hoofde van artikel27 AVG schriftelijk door de Verwerkingsverantwoordelijke of de Verwerker is aangewezen om de Verwerkingsverantwoordelijke of de Verwerker te vertegenwoordigen in verband met hun respectieve verplichtingen krachtens de AVG.
Verwerker: Vonk Competentie Expertise BV, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt.
Verwerking: Een bewerking of een geheel van bewerkingen met betrekking tot Persoonsgegevens of een geheel van Persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van Persoonsgegevens.
Verwerkingsverantwoordelijke: De natuurlijke- of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de Verwerking van Persoonsgegevens vaststelt.
2 Verwerking
2.1 Verwerkingsverantwoordelijke heeft aan Verwerker een opdracht verstrekt tot het verrichten van activiteiten op het gebied van functionele mensenkennis (hierna: de “Opdracht”), één en ander conform de tussen partijen gesloten overeenkomst op basis van de Algemene Voorwaarden van Vonk (hierna: het “Contract”). Deze Verwerkingsovereenkomst is onderdeel van het Contract.
2.2 Verwerkingsverantwoordelijke verstrekt in het kader van de uitvoering van de Opdracht en het Contract door Verwerker, aan Verwerker Persoonsgegevens.
2.3 Het doel van de Verwerking van Persoonsgegevens door Verwerker is de uitvoering van het Contract. Verwerker verwerkt de door of via de Verwerkingsverantwoordelijke verkregen Persoonsgegevens dan ook uitsluitend in opdracht van de Verwerkingsverantwoordelijke, in het kader van het Contract.
2.4 Het soort te verwerken Persoonsgegevens en de aard van de Verwerking zijn:
- Ontvangen en verwerken van factuurgegevens
- Ontvangen van naam en emailadres ten behoeve van het realiseren van een log in naam en wachtwoord om daarmee toegang te krijgen tot een testplatform
- Verwerken van testresultaten en deze resultaten omzetten in een gepersonifieerd automatisch gegenereerd rapport
2.5 De grondslag van de verwerking is een overeenkomst
2.6 De testuitslagen zijn gekoppeld aan een naam en worden daarmee tot gevoelige persoonsgegevens.
2.7 Soort gegevens die verwerkt worden
- Naam
- Emailadres
- Adres in geval van opstellen van een factuur in de webshop
2.8 Uitvoerder is secretariaat van Vonk
2.9 De Verwerker maakt gebruik van een CRM systeem, Infusionsoft. Deze gegevensverwerking vindt plaats in systemen in eigendom en onder beheer van EU-partijen en in de Europese Economische Ruimte (EER). De gegevens in Infusionsoft worden beheerd volgens U.S.-E.U. Safe Harbor Framework zie details; https://www.infusionsoft.com/legal/data-security
3 Verplichtingen Verwerker en Verwerkingsverantwoordelijke
3.1 Verwerker zal ervoor zorgen dat aan de op haar rustende verplichting die voortvloeien uit de AVG wordt voldaan.
3.2 Verwerkingsverantwoordelijke instrueert Verwerker hierbij de Persoonsgegevens te Verwerken voor de volgende doeleinden:
– Verwerking voortkomend uit het Contract;
– Verwerking van instructies van de Verwerkingsverantwoordelijke zoals instructies per e-mail of telefoon.
3.3 Verwerker stelt de Verwerkingsverantwoordelijke in kennis indien naar zijn mening een instructie van Verwerkingsverantwoordelijke een inbreuk oplevert op de AVG.
3.4 Het is Verwerker niet toegestaan Persoonsgegevens voor eigen doeleinden te gebruiken.
3.5 Verwerker is bevoegd om beslissingen te nemen over de middelen die hij gebruikt voor de Verwerking. Verwerker is in dit kader slechts gerechtigd om beslissingen te nemen ten aanzien van praktische zaken die geen significante impact op de bescherming van de Persoonsgegevens hebben of kunnen hebben.
4 Medewerkingsplicht
Rekening houdend met de aard van de Verwerking en de hem ter beschikking staande informatie zal Verwerker aan Verwerkingsverantwoordelijk bijstand verlenen bij het nakomen van de verplichtingen zoals opgenomen in artikel 35 en 36 AVG, meer in het bijzonder zal Verwerker Verwerkingsverantwoordelijke bijstaan in het beoordelen van de noodzaak van en het eventueel uitvoeren van een gegevensbeschermings-effectbeoordeling en de noodzaak van het aanvragen van een voorafgaande raadpleging. De kosten voor de uitvoering hiervan kunnen door Verwerker bij Verwerkingsverantwoordelijke in rekening worden gebracht.
5 Kosten
5.1 Kosten voortvloeiend uit inzageverzoeken van Betrokkene(n), onderzoeken, audits of beslagleggingen door de Autoriteit Persoonsgegevens of een andere toezichthouder met betrekking tot Persoonsgegevens, zullen worden gedragen door de Verwerkingsverantwoordelijke. Tenzij het aantoonbaar grove nalatigheid is van de Verwerker.
5.2 Verwerker verzekert hierbij dat zijn personeel, betrokken bij de Verwerking van Persoonsgegevens is geïnformeerd over de vertrouwelijke aard van de Persoonsgegevens;
6 Beveiligingsmaatregelen
6.1 Rekening houdend met de stand van de techniek, de uitvoeringskosten, de aard, de omvang, de context en de Verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van personen, treft Verwerker passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen zoals overeengekomen in bijlage II.
6.2 Verwerker zorgt dat de geïmplementeerde maatregelen, zoals genoemd in artikel 6.1 en hierna opgesomd voldoen aan hetgeen bepaald in artikel 32 AVG.
Om vertrouwelijkheid te garanderen:
- Versleuteling van Persoonsgegevens:
- Controle op fysieke toegang tot persoonsgegevens
- Controle op elektronische toegang tot persoonsgegevens
- Controle op interne toegang tot persoonsgegevens
- Autorisatiebeleid
- Communicatiebeveiliging
Om de integriteit te garanderen:
- Controle op de doorgifte van persoonsgegevens
- Controle op de invoer van gegevens
Om de beschikbaarheid van gebruikte systemen en diensten te garanderen:
- Controle op beschikbaarheid van data (b.v. door het maken van back-ups)
- Regelmatige audits
Om de beschikbaarheid van en de toegang tot de Persoonsgegevens tijdig te herstellen na een fysiek of technisch incident:
- Incident- en datalekmanagement.
Om op gezette tijdstippen de doeltreffendheid van de technische en organisatorische maatregelen te testen, beoordelen en evalueren:
- Een intern incidentenprotocol opgesteld en nageleefd
- Review & controle van instructies van de Verwerkingsverantwoordelijke(n)
6.3 Verwerker zorgt dat hij waar redelijkerwijs mogelijk kan voldoen aan de aanwijzingen van de Verwerkingsverantwoordelijke in het kader van de beveiliging van Persoonsgegevens die namens Verwerkingsverantwoordelijke worden Verwerkt door Verwerker.
6.4 Rekening houdend met de aard van de verwerking en de hem ter beschikking staande informatie, zal de Verwerker de Verwerkingsverantwoordelijke bijstand verlenen bij het doen nakomen van de verplichtingen uit hoofde van artikel 32 AVG.
7 Audits
7.1 Verwerker stelt aan Verwerkingsverantwoordelijke informatie ter beschikking die nodig is om de nakoming van de verplichtingen uit de Verwerkingsovereenkomst en de AVG aan te tonen. Verwerker stelt daarbij alle informatie aan Verwerkingsverantwoordelijke ter beschikking om audits, waaronder inspecties, door Verwerkingsverantwoordelijke of door een door Verwerkingsverantwoordelijke gemachtigde partij mogelijk te maken. De extra kosten van een audit en extra informatie aanvragen komen voor rekening van Verwerkingsverantwoordelijke.
8 Incidenten en Datalekken
8.1 Verwerker informeert de Verwerkingsverantwoordelijke zo snel mogelijk, maar in ieder geval binnen 40 uur na ontdekking hiervan, over een Incident.
8.2 Verwerker informeert de Verwerkingsverantwoordelijke zo snel mogelijk, maar in ieder geval binnen 48 uur na ontdekking hiervan, over een Datalek.
8.3 In de in artikel 8.1 artikel 8.2 bedoelde meldingen wordt in ieder geval het volgende omschreven of meegedeeld:
- De aard van het Incident of het Datalek, waar mogelijk onder vermelding van de categorieën van Betrokkenen en Persoonsgegevensregisters in kwestie en, bij benadering, het aantal Betrokkenen en Persoonsgegevensregisters in kwestie;
- het contactpunt waar meer informatie kan worden verkregen;
- de waarschijnlijke gevolgen van het Incident of het Datalek;
- de maatregelen die de Verwerker voorstelt om het Incident of het Datalek aan te pakken, waaronder, in voorkomend geval, de maatregelen ter beperking van de eventuele nadelige gevolgen daarvan.
8.4 Rekening houdend met de aard van de Verwerking en de hem ter beschikking staande informatie zal de Verwerker de Verwerkingsverantwoordelijke bijstand verlenen bij het doen nakomen van de verplichtingen uit hoofd van artikel 33 en 34 AVG.
8.5 Verwerker heeft een passend beleid ten aanzien van Incidenten en Datalekken.
8.6 Indien een situatie als bedoeld in artikel 8.1 of artikel 8.2 zich voortdoet, heeft Verwerker zich hierbij tot geheimhouding van ieder gegeven in verband met het Incident dan wel het Datalek of de inbreuk op de beveiliging te houden.
8.7 Indien de melding zoals bepaald in artikel 8.1 of artikel 8.2 plaatsvindt, houdt Verwerker zich beschikbaar en bereikbaar voor overleg met Verwerkingsverantwoordelijke. Verwerker draagt er daarnaast zorg voor dat het personeel dat betrokken is bij het vaststellen of het oplossen van het Incident of Datalek beschikbaar is voor Verwerkingsverantwoordelijke.
9 Subverwerkers
9.1 De Verwerkersverantwoordelijke geeft de Verwerker hierbij de algemene schriftelijke toestemming om Subverwerkers in te schakelen voor de Verwerking van Persoonsgegevens alsmede om deze Subverwerkers te vervangen. Gaat de Verwerker over tot het inschakelen van Subverwerkers of de vervanging van (één van deze Subverwerkers), dan zal de Verwerker:
- De Verwerkingsverantwoordelijke minimaal een maand voorafgaande aan het inschakelen van een nieuwe Subverwerker of het vervangen van een Subverwerker, op de hoogte stellen van zijn voornemen tot het inschakelen van een nieuwe of andere Subverwerker, waarbij de Verwerker de Verwerkingsverantwoordelijke op de hoogte stelt van de statutaire naam van de beoogde Subverwerker, de specifieke Verwerkingsactiviteiten die de Subverwerker zal verrichten en de reden waarom deze Subverwerker ingeschakeld zou moeten worden;
- De Verwerkingsverantwoordelijke in staat stellen om met de beoogde Subverwerker contact op te nemen om de voorgenomen Verwerking te bespreken, door de Verwerkersverantwoordelijke te voorzien van de contactgegevens van de beoogde Subverwerker
9.2 In alle gevallen waarin Verwerker, zoals beschreven in dit artikel, een Subverwerker inschakelt, zal de Verwerker een schriftelijke overeenkomst met deze Subverwerker sluiten, waarin minimaal is bepaald dat:
- de Subverwerker aan dezelfde verplichtingen inzake gegevensbescherming dient te voldoen als in deze Verwerkingsovereenkomst zijn opgenomen voor de Verwerker, met name de verplichting om afdoende garanties te geven met betrekking tot het toepassen van passende technische en organisatorische maatregelen, opdat de Verwerking aan het bepaalde in de AVG voldoet;
- Indien de ingeschakelde Subverwerker zijn verplichtingen inzake gegevensbescherming niet nakomt, de eerste Verwerker ten aanzien van de Verwerkingsverantwoordelijke volledig aansprakelijk blijft voor het nakomen van de verplichtingen van de Subverwerker;
- De Subverwerker, na het einde van de Verwerkingsovereenkomst, de Persoonsgegevens die hij onder zich heeft uit hoofde van de Verwerking van Persoonsgegevens die onderwerp is van de Verwerkingsovereenkomst, permanent zal verwijderen ofwel zal retourneren aan Verwerker ofwel Verwerkingsverantwoordelijke, zulks ter bepaling van de Verwerkingsverantwoordelijke;
- Het de Subverwerker niet toegestaan is om een Subverwerker in te schakelen;
- Mocht de Verwerkingsverantwoordelijke bezwaar willen maken, dan kan dat schriftelijk binnen vijf (5) werkdagen na ontvangst van de overeenkomst.
10 Rechten van Betrokkenen
10.1 Verwerker zal, rekening houdend met de aard van de Verwerking, de Verwerkingsverantwoordelijke door middel van passende technische en organisatorische maatregelen, voor zover mogelijk, bijstand verlenen bij het vervullen van diens plicht om verzoeken om uitoefening van de in hoofdstuk III AVG vastgestelde rechten van de Betrokkene te beantwoorden.
10.2 Verwerker zal, indien van toepassing en onverwijld na een verzoek hiertoe door Verwerkingsverantwoordelijke, een bewijs verstrekken van de tegemoetkoming aan het verzoek van de Betrokkene door Verwerker. De kosten voor het uitoefenen van de rechten van een Betrokkene komen voor rekening van Verwerkingsverantwoordelijke.
10.3 Verwerker zal, voor zover wettelijk toegestaan, Verwerkingsverantwoordelijke op de hoogte stellen indien Verwerker een verzoek van een Betrokkene ontvangt in verband met de rechten die de Privacy Wet- en Regelgeving de Betrokkene biedt. Verwerker zal niet aan enig verzoek van een Betrokkene tegemoetkomen zonder de toestemming van Verwerkingsverantwoordelijke.
11 Geheimhouding
11.1 Verwerker zorgt dat zij de Persoonsgegevens die zij van Verwerkingsverantwoordelijke onder zich heeft en ten behoeve van Verwerkingsverantwoordelijke Verwerkt vertrouwelijk behandelt.
11.2 Verwerker zorgt dat de tot de Verwerking van Persoonsgegevens gemachtigde personen zich ertoe hebben verbonden vertrouwelijkheid in acht te nemen door middel van het sluiten van schriftelijke geheimhoudingsovereenkomsten.
11.3 Verwerker mag de Persoonsgegevens alleen openbaar maken, verstrekken of op een andere manier beschikbaar stellen aan derden, indien en voor zover Verwerker hiervoor de toestemming van Verwerkingsverantwoordelijke heeft verkregen.
11.4 Verwerker behandelt de inhoud van deze Verwerkingsovereenkomst vertrouwelijk en verstrekt hierover slechts informatie aan derden met toestemming van Verwerkingsverantwoordelijke.
12 Aansprakelijkheid
De financiële aansprakelijkheid van Verwerker is geregeld in de Algemene Voorwaarden.
13 Duur en beëindiging
Deze Verwerkingsovereenkomst is van toepassing tussen beide Partijen en zijn aangegaan voor de duur van het Contract. Deze Verwerkingsovereenkomst eindigen van rechtswege wanneer het Contract eindigt, om welke reden dan ook.
Alle persoonsgegevens zullen na een jaar vernietigd zijn (zie Privacy Verklaring Vonk punt 2). Indien de Verwerkingsverantwoordelijke anders wenst dan kan dat schriftelijk kenbaar gemaakt worden.
14 Rechts- en forumkeuze
Op deze Verwerkingsovereenkomst is Nederlands recht exclusief van toepassing. Alle geschillen die voortvloeien uit of verband houden met deze Verwerkingsovereenkomst of de uitvoering daarvan worden bij uitsluiting voorgelegd aan de rechtbank te Zwolle.
EINDE