Verwerkingsovereenkomst
Inleiding
Sneekernet ict verwerkt persoonsgegevens voor en in opdracht van de Klant. Sneekernet ict en de klant zijn daarom verplicht volgens de Nederlandse Wet Algemene Verordening Gegevensbescherming (AVG) om een verwerkersovereenkomst te sluiten.
ARTIKEL 1. DEFINITIES
In deze Verwerkersovereenkomst wordt verstaan onder:
- ‘Persoonsgegeven’: Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon;
- Betrokkene: de persoon waarop de verwerkte informatie betrekking heeft.
- ‘Verwerking’: een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens;
- ‘Verwerkingsverantwoordelijke’: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt; wanneer de doelstellingen van en de middelen voor deze verwerking in het Unierecht of het lidstatelijke recht worden vastgesteld, kan daarin worden bepaald wie de verwerkingsverantwoordelijke is of volgens welke criteria deze wordt aangewezen;
- ‘Verwerker’: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt; Als voorbeeld noemen we een administratiekantoor die in opdracht van administratieve handelingen verricht waarmee persoonsgegevens gemoeid zijn, een ander voorbeeld is een salaris administratiekantoor.
- ‘Verwerkersovereenkomst’: de overeenkomst tussen verantwoordelijke en verwerker, waarin wordt vastgelegd hoe de verwerker met de persoonsgegevens moet omgaan. In bovengenoemd voorbeelden moeten het verwerkingsverantwoordelijke bedrijf en het administratiekantoor een verwerkingsovereenkomst met elkaar zijn aangaan.
- AP: De Autoriteit Persoonsgegevens, de toezichthoudende autoriteit in Nederland.
ARTIKEL 2. IN OVEREENSTEMMING MET INSTRUCTIES VERANTWOORDELIJKE
- Sneekernet ict zal de persoonsgegevens uitsluitend ten behoeve van de klant verwerken, en slechts voor zover noodzakelijk ten behoeve van de ict dienstverlening van Sneekernet ict aan de klant.
- Sneekernet ict zal de verwerkte persoonsgegevens niet voor eigen doeleinden gebruiken, maar alleen om uitvoering te geven aan de instructies van de klant.
ARTIKEL 3. ONDERAANNEMERS / SUB-VERWERKERS
- De klant stemt in tot het gebruik door de Sneekernet ict van sub-verwerkers tijdens het uitvoeren van haar ict dienstverlenende taken, zolang
- deze sub-verwerkers gebonden zijn aan soortgelijke verplichtingen als Verwerker onder deze verwerkingsovereenkomst,
- de sub-verwerkers zijn gevestigd in de EU **
- de diensten zijn uitgevoerd in de EU. Sub-verwerkers die betrokken kunnen zijn, zijn Copaco 2TCloud en Microsoft Nederland en Jan Schenk Automatisering. In het geval dat andere sub-verwerkers betrokken zijn, zal Sneekernet ict hiervan op de hoogte zijn voor de betrokkenheid.
** EU voor dit doel omvat landen die een adequaat beschermingsniveau bieden volgens de EU-lijst van landen die adequate gegevensbeschermingsnormen bieden.
ARTIKEL 4. DATALOCATIE
- In principe zal de persoonsgebonden gegevens alleen in de EU worden opgeslagen. De betrokkenheid van een sub-bewerker buiten de EU of het uitvoeren van relevante diensten buiten de EU vereist voorafgaande toestemming van de klant die niet onredelijk wordt ingehouden, zolang er voldoende waarborgen zijn, zoals standaard contractuele clausules (EU-modelclausules). De klant zal samenwerken met gesloten standaardcontracten en machtigt Sneekernet ict en de sub-verwerker om modelclausules in zijn naam en namens haar te ondertekenen in geval van gegevensoverdracht naar landen buiten de EU.
ARTIKEL 5. PRIVACY EN GEHEIMHOUDING
- Sneekernet ict zal alle persoonsgebonden gegevens strikt vertrouwelijk behandelen. Sneekernet ict is zich bewust dat de informatie die de klant met Sneekernet ict deelt en opslaat binnen de ict dienstverlenende omgeving een geheim en bedrijfsgevoelig karakter heeft.
- De klant en Sneekernet ict bevestigen dat de opgeslagen data binnen de ict dienstverlenende omgeving het mogelijk is dat persoonlijke gegevens kunnen worden opgeslagen zoals:
- Bedrijfsnaam(en)
- Burgerservicenummers (BSN)
- Bedrijfsadressen, Plaatsnamen, postcodes, email adressen, telefoonnummers, faxnummers
- Administratieve contact informatie: voor, midden en achternamen, e-mail, telefoonnummers, faxnummers
- Factuur informatie: voor, midden en achternamen, e-mail, telefoonnummers, faxnummers
- Technisch contact informatie: voor, midden en achternamen, e-mail, telefoonnummers, faxnummers
- Blind Carbon Copy e-mail (BCC)
- Bank accountgegevens: BIC, IBAN nummers
- Kamer van Koophandel gegevens
- Gebruikersgegevens voor klant beheer paneel, zoals Naam, e-mail adres, woonplaats, Land, telefoonnummer, faxnummer
- Domein namen en domein registratie gegevens
- IP-adressen
- Overige bijzondere persoonsgegevens.
- De klant bepaald het doel van de verwerking van bovengenoemde onderdelen en heeft ingestemd voor het uitvoeren van de ict dienstverlenende taken door Sneekernet ict als een ict dienstverlenende organisatie.
- Sneekernet ict is niet gebonden aan deze geheimhoudingsverplichtingen indien de openbaarmaking van persoonsgebonden gegevens wettelijk verplicht is. In dat geval zal de Sneekernet ict de klant informeren over de openbaarmaking voor zover en zo spoedig wettelijk toegelaten en redelijkerwijs mogelijk is.
ARTIKEL 6. BEVEILIGINGSINBREUK
- Sneekernet ict zal de klant inlichten na het moment zich een beveiligingsinbreuk heeft voorgedaan, waarbij persoonsgebonden informatie van haar klant betrokken is geweest, behalve wanneer dit door een relevante wet verboden wordt. Een beveiligingsinbreuk (waarbij een aanzienlijke hoeveelheid gegevens of gegevens met een gevoelige aard) zijn vrijgekomen zal binnen 36 uur gemeld worden aan de klant, nadat Sneekernet ict zelf bewust is geworden van de beveiligingsinbreuk. De kennisgeving bevat tenminste
- de aard van de overtreding,
- de persoonsgebonden informatie die zijn blootgesteld of verloren (voor zover dit redelijkerwijs kan worden geïdentificeerd)
- de maatregelen die zijn genomen om de beveiligingsinbreuk te beëindigen en Sneekernet ict houdt de klant volledig op de hoogte van alle relevante ontwikkelingen rondom de beveiligingsinbreuk.
ARTIKEL 7. DATAVERLIES (geldt alleen voor lokale servers/werkstations)
- Voor zover de klant heeft ingestemd met een back-up voorziening heeft Sneekernet ict maatregelen genomen om permanent dataverlies als gevolg van een technische storing te voorkomen.
- De back-up procedure wordt periodiek door Sneekernet ict
ARTIKEL 8. BEVEILIGING
- Sneekernet ict neemt passende technische en organisatorische maatregelen om de persoonsgegevens van de klant te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking. Deze maatregelen worden aangemerkt als een passend beveiligingsniveau volgens de AVG.
- Verwerkingsverantwoordelijke of de klant zal ten aanzien van het Beveiligingsprotocol geheimhouding betrachten conform Artikel 5.
ARTIKEL 9. BEWAARTERMIJN / VERWIJDEREN
- Deze verwerkingsovereenkomst zal van kracht zijn zolang Sneekernet ict gerelateerde diensten voor de klant uitvoert.
- Na beëindiging van het contract zal de Sneekernet ict de persoonsgegevens retourneren en/of verwijderen. Bij contract beëindiging wordt ernaar gestreefd de gegevens binnen 30 dagen te retourneren en te verwijderen. Het bewaartermijn na contract beëindiging bij een clouddiensten kan tot maximaal 90 dagen oplopen.
- Na intrekking van de verwerkingstoestemming van de klant zullen de persoonsgegevens worden verwijderd behalve als er een in een het Unierecht of het lidstatelijke recht neergelegde wettelijke verwerkingsverplichting rust die dat verbiedt.
ARTIKEL 10. AUDITS
- De klant is gerechtigd om in overleg met Sneekernet ict tijdens de looptijd van de overeenkomst door een onafhankelijke deskundige de naleving hiervan te controleren, bijvoorbeeld door middel van het uitvoeren van een audit. De klant zal alle kosten in verband met deze controle dragen. De Sneekernet ict is gerechtigd redelijke kosten voor het verlenen van deze bijstand aan Verwerkingsverantwoordelijke door te belasten. Indien sprake is van dergelijke kosten, zal Sneekernet ict dit zo mogelijk tevoren aangeven.
Artikel 11. Aansprakelijkheid
- De aansprakelijkheid van Sneekernet ict jegens de klant voor schade (waaronder schade als gevolg van eventuele aanspraken van de AP en/of Betrokkenen, en alle daarmee verband houdende kosten) als gevolg van een toerekenbare tekortkoming door Sneekernet ict in de nakoming van zijn verplichtingen onder deze Verwerkersovereenkomst, de AVG, dan wel uit onrechtmatige daad of anderszins, is per gebeurtenis (waarbij een reeks van opeenvolgende gebeurtenissen geldt als één gebeurtenis) beperkt.
- Verwerkingsverantwoordelijke vrijwaart Sneekernet ict voor schade (waaronder schade als gevolg van eventuele aanspraken van de AP en/of Betrokkenen, en alle daarmee verband houdende kosten), indien deze aanspraak een toerekenbare tekortkoming betreft van Verwerkingsverantwoordelijke van zijn verplichtingen onder deze Verwerkersovereenkomst of de AVG.
ARTIKEL 12. DIVERSEN
- Deze verwerkingsovereenkomst is onder de Nederlandse wetgeving geregeld. In geval van een conflict met andere contractuele documenten zal deze verwerkingsovereenkomst voorrang genieten.