Verwerkersovereenkomst
Verwerkersovereenkomst
ActaBlue wordt aangemerkt als verwerker, omdat wij de persoonsgegevens verwerken in ons systeem namens de verwerkingsverantwoordelijke. In deze overeenkomst lees je wat onze taken zijn als verwerker tegenover de verwerkingsverantwoordelijke. Op de Verwerking van deze persoonsgegevens is de wet AVG van toepassing. Op grond van de AVG is de Verwerkingsverantwoordelijke verplicht om ervoor zorg te dragen dat de Verwerker de persoonsgegevens zorgvuldig verwerkt en voldoende technische- en organisatorische beveiligingsmaatregelen treft.
De verwerkersovereenkomst komt tot stand op het moment dat je akkoord gaat met onze Eindgebruikers Licentieovereenkomst. Deze verwerkersovereenkomst is een onderdeel van de overeenkomst die we met elkaar aangaan zodra je gebruikmaakt van één van de onze producten. Op het moment dat je geen gebruik meer maakt van onze producten, zal de overeenkomst beëindigd worden en daarmee ook de verwerkersovereenkomst.
Persoonsgegevens
Onder Persoonsgegevens verstaat de Verwerker alle informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon.
Onder ‘gevoelige persoonsgegevens’ verstaat de Verwerker: wachtwoorden en inloggegevens.
Wachtwoorden en inloggegevens zullen met uiterste zorgvuldigheid behandeld worden door de Verwerker. Deze gegevens zijn inzichtelijk voor de helpdeskmedewerker zodat deze medewerker bij calamiteiten toegang heeft tot de gegevens van de Verwerkingsverantwoordelijke. De gevoelige persoonsgegevens van de Verwerkingsverantwoordelijke staan in het POS-systeem van de Verwerker en zijn daarom beveiligd.
Doeleinden van verwerking
Verwerking zal uitsluitend plaatsvinden in het kader van de werkzaamheden van de Verwerker, zoals vastgelegd in de overeenkomst. De Verwerker zal de persoonsgegevens niet voor enig ander doel verwerken dan zoals door Verwerker en Verwerkingsverantwoordelijke is vastgesteld.
De verantwoordelijkheid voor de verwerking van gegevens ligt bij de Verwerkingsverantwoordelijke. De Verwerker heeft geen zeggenschap over het doel en de middelen van de verwerking en neemt geen beslissingen over zaken als het gebruik van Persoonsgegevens, de bewaartermijn van de voor de Verwerkingsverantwoordelijke verwerkte Persoonsgegevens en het verstrekken van Persoonsgegevens aan Derden. De Verwerkingsverantwoordelijke moet er voor zorgen dat hij het doel en de middelen van de verwerking van de Persoonsgegevens duidelijk heeft vastgesteld. De zeggenschap over de Persoonsgegevens berust nooit bij de Verwerker.
Opslag data
De Verwerker heeft de data van de Verwerkingsverantwoordelijke opgeslagen op eigen Servers in Nederland.
De systemen van de Verwerker zijn beveiligt middels SSL en wachtwoordbeveiliging. Wanneer de Verwerkingsverantwoordelijke inlogt gebeurt dit ook via een gebruikersnaam en wachtwoord. In het geval van verlies van gebruikersnaam en wachtwoord kan de Verwerkingsverantwoordelijke besluiten om de gegevens voortaan aan de Verwerker door te geven zodat de Verwerker nog toegang heeft tot de inloggegevens.
Verwerker zal zich inspannen passende technische en organisatorische maatregelen te nemen met betrekking tot de te verrichten verwerkingen van persoonsgegevens, tegen verlies of tegen enige vorm van onrechtmatige verwerking (zoals onbevoegde kennisname, aantasting, wijziging of verstrekking van de persoonsgegevens).
De Verwerker zal zich inspannen de beveiliging te laten voldoen aan een niveau dat, gelet op de stand van de techniek, de gevoeligheid van de persoonsgegevens en de aan het treffen van de beveiliging verbonden kosten, niet onredelijk is.
De Verwerkingsverantwoordelijke stelt enkel persoonsgegevens aan Verwerker ter beschikking voor verwerking, indien hij zich er van heeft verzekerd dat de vereiste beveiligingsmaatregelen zijn getroffen. Verwerkingsverantwoordelijke is verantwoordelijk voor de naleving van de door Partijen afgesproken maatregelen.
Beveiligingsincidenten
Als zich een beveiligingsincident heeft voorgedaan wordt er gerapporteerd aan de Verwerkingsverantwoordelijke en – eventueel – de betrokkenen. Dit gebeurt binnen enkele minuten. Wanneer er een beveiligingsincident in het datacentrum voordoet dan is de Verwerker daarvoor verantwoordelijk.
Wanneer er een datalek ontstaat doordat de Verwerkingsverantwoordelijke een verdachte mail heeft geopend en daarbij zijn eigen data op de servers infecteert, is de Verwerkingsverantwoordelijke verantwoordelijk.
De Verwerker doet er alles aan, middels spamfilters, virusscanners en firewalls om veilig werken te garanderen. De Verwerkingsverantwoordelijke heeft de verantwoordelijkheid om zijn mail met gezond verstand te scannen.
Wanneer er een datalek ontstaat door onvoldoende bescherming door de spamfilters, virusscanner en firewalls is de Verwerker verantwoordelijk. De Verwerker zal direct contact opnemen met de slachtoffers en er alles aan doen om de data te beschermen.
Verzoeken van betrokkenen
De Verwerker zal bijstand verlenen aan de Verwerkingsverantwoordelijke bij het vervullen van diens plicht om verzoeken van betrokkenen te beantwoorden. Dit betreft onder meer verzoeken om inzage, correctie, verwijdering en dataportabiliteit.
Audits
De Verwerker heeft het recht om audits uit te laten voeren door een onafhankelijke ICT-deskundige die aan geheimhouding is gebonden ter controle van naleving van alle punten uit deze bewerkersovereenkomst.
De Verwerker zal audits, waaronder inspecties, door (een door) Verwerkingsverantwoordelijke (gemachtigde controleur) mogelijk moeten maken en eraan moeten bijdragen.
Meldplicht
In het geval van een beveiligingslek en/of een datalek (waaronder wordt verstaan: een inbreuk op de beveiliging van persoonsgegevens die leidt tot een aanzienlijke kans op nadelige gevolgen, dan wel nadelige gevolgen heeft, voor de bescherming van persoonsgegevens) zal de Verwerker, zich naar beste kunnen inspannen om de Verwerkingsverantwoordelijke daarover onmiddellijk te infomeren.
De Verwerker spant zich naar beste kunnen in om de verstrekte informatie volledig, correct en accuraat te maken. De meldplicht geldt ongeachte de impact van het lek.
Indien de wet- en/of regelgeving dit vereist zal de Verwerker meewerken aan het informeren van de ter zake relevante autoriteiten en eventueel betrokkenen. De meldplicht behelst in ieder geval het melden van het feit dat er een lek is geweest, alsmede:
- wat de (vermeende) oorzaak is van het lek;
- wat het (vooralsnog bekende en/of te verwachten) gevolg is;
- wat de (voorgestelde) oplossing is;
- wat de reeds ondernomen maatregelen zijn.
Beëindiging van de overeenkomst
Wanneer de Verwerkingsverantwoordelijke de overeenkomst wil beëindigen zal de Verwerker alle gegevens maximaal 6 maanden bewaren en daarna permanent verwijderen. De Verwerkingsverantwoordelijke heeft de mogelijkheid om de gegevens op te vragen binnen de termijn van 6 maanden.
Aansprakelijkheid
De Verwerkingsverantwoordelijke staat ervoor in dat de Verwerking van Persoonsgegevens op basis van deze Overeenkomst niet onrechtmatig is en geen inbreuk maakt op de rechten van betrokkene(n).
De Verwerker is niet aansprakelijk voor schade die het gevolg is van het door de Verwerkingsverantwoordelijke niet naleven van de AVG of andere wet- of regelgeving. De Verwerkingsverantwoordelijke vrijwaart de Verwerker ook voor aanspraken van Derden op grond van zulke schade. De vrijwaring geldt niet alleen voor de schade die Derden hebben geleden (materieel maar ook immaterieel), maar ook voor de kosten die de Verwerker in verband daarmee moet maken, bijvoorbeeld in een eventuele juridische procedure, en de kosten van eventuele boetes die aan de Verwerker worden opgelegd ten gevolge van handelen van de Verwerkingsverantwoordelijke.
Ceintuurbaan Noord 126
9301 NZ Roden
Nederland