•  

    Knowdis verwerkersovereenkomst

    Verwerkersovereenkomst conform artikel 28, lid 3 van de AVG

     

    Knowdis BV, een besloten vennootschap opgericht naar Nederlands recht, statutair gevestigd te Rotterdam, aan de Uitweg 62 (3051 JR) ingeschreven bij de Kamer van Koophandel onder nummer 58028501, hierna te noemen “Opdrachtnemer”, in deze rechtsgeldig vertegenwoordigd door haar directeur Arnold Einhaus

     

    en

     

    Elke organisatie die middels ondertekening van een gebruiksovereenkomst met Knowdis of aanschaf van een licentie van Knowdis gebruiker wordt van de Knowdis leeromgeving, hierna te noemen “Opdrachtgever”

     

    hierna ook gezamenlijk te noemen “Partijen”

     

     

    in aanmerking nemende het volgende:

    • Partijen hebben een overeenkomst gesloten met betrekking tot het systeembeheer van een digitale werkomgeving zoals beschreven in de Samenwerkingsovereenkomst die Partijen aangegaan zijn;
    • Opdrachtnemer krijgt in het kader van de uitvoering van haar verplichtingen voortvloeiende uit de Samenwerkingsovereenkomst van Opdrachtgever de beschikking over persoonsgegevens, zoals bedoeld in de Algemene verordening gegevensbescherming, hierna: ‘Persoonsgegevens’ en de ‘AVG’ en zal deze voor Opdrachtgever verwerken, zoals bedoeld in artikel 4 AVG;
    • op Opdrachtgever rust ingevolge artikel 5 AVG de verplichting passende technische en organisatorische beveiligingsmaatregelen ten uitvoer te leggen tegen verlies of tegen enige vorm van onrechtmatige verwerking van de Persoonsgegevens;
    • op Opdrachtgever rust ingevolge artikel 24 lid 1 AVG door inschakeling van Opdrachtnemer ter verwerking van de Persoonsgegevens ten behoeve van Opdrachtgever, tevens de verplichting om zorg te dragen dat Opdrachtnemer voldoende waarborgen biedt ten aanzien van technische en organisatorische beveiligingsmaatregelen ter bescherming van de Persoonsgegevens tegen verlies of tegen enige vorm van onrechtmatige verwerking;
    • op Opdrachtgever rust ingevolge artikel 33 en 34 AVG een verplichting tot het melden van inbreuken op de beveiliging zoals bedoeld in artikel 5 AVG (hierna: Datalekken) aan de Autoriteit Persoonsgegevens (hierna: de AP) en aan de ‘betrokkene’ in de zin van de AVG (hierna: Betrokkene);
    • Partijen wensen al hun afspraken omtrent de verwerking van Persoonsgegevens door Opdrachtnemer en het melden van Datalekken conform artikel 28 lid 3 AVG vast te leggen in deze overeenkomst, hierna: de ‘Verwerkersovereenkomst’

     

    komen overeen als volgt.

    Artikel 1 Algemeen

    1.1 Opdrachtnemer verwerkt Persoonsgegevens voor Opdrachtgever overeenkomstig mondelinge en/ of schriftelijke instructies van Opdrachtgever en onder de uitdrukkelijke verantwoordelijkheid van Opdrachtgever.

    1.2 Met betrekking tot de Persoonsgegevens is Opdrachtgever ‘verantwoordelijke’ en is Opdrachtnemer ‘verwerker’ in de zin van de AVG.

    1.3 Opdrachtgever heeft de zeggenschap over de verwerking van de Persoonsgegevens en heeft het doel van en de middelen voor de verwerking van de Persoonsgegevens vastgesteld.

    1.4 Opdrachtnemer heeft geen zeggenschap over het doel van en de middelen voor de verwerking van de Persoonsgegevens en neemt derhalve geen beslissingen over onder meer het gebruik van de Persoonsgegevens, de verstrekking aan derden en de duur van de opslag van de Persoonsgegevens. De zeggenschap over de Persoonsgegevens komt nimmer bij Opdrachtnemer te rusten.

    1.5 Partijen verplichten zich over en weer conform de AVG te handelen.

    1.6 Opdrachtgever staat er jegens Opdrachtnemer voor in dat de inhoud, het gebruik en/of de verwerking van de Persoonsgegevens niet onrechtmatig zijn en geen inbreuk maken op enig recht van een derde.

    1.7 Opdrachtgever vrijwaart Opdrachtnemer voor aanspraken van de AP en/of Betrokkenen in de zin van de AVG van wie Persoonsgegevens door Opdrachtnemer worden verwerkt in het kader van de uitvoering van artikel 1.1 hierboven, tenzij Opdrachtgever bewijst dat de feiten die aan de aanspraak ten grondslag liggen aan Opdrachtnemer toerekenbaar zijn.

     

    Artikel 2 Beveiliging

    2.1 Opdrachtnemer treft technische en organisatorische beveiligingsmaatregelen om de Persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. De tussen partijen overeengekomen, door Opdrachtnemer te treffen, technische en organisatorische beveiligingsmaatregelen, zijn opgenomen in ‘Bijlage 1: Beveiligingsmaatregelen en melding van beveiligings-incidenten’ van deze Verwerkersovereenkomst.

    2.2 De beveiligingsmaatregelen bieden, naar het oordeel van Opdrachtgever, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging van de beveiligingsmaatregelen een passend beveiligingsniveau, gelet op de risico’s die de verwerking en de aard van de Persoonsgegevens met zich meebrengen.

    2.3 Opdrachtnemer zal zich ervoor inspannen dat de beveiligingsmaatregelen voldoen aan een niveau dat, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging van de beveiligingsmaatregelen, ten minste gebruikelijk is in de branche gezien de door Opdrachtnemer geboden dienstverlening.

    2.4 Opdrachtnemer staat er niet voor in dat de beveiligingsmaatregelen onder alle omstandigheden doeltreffend zijn.

    2.5 Opdrachtgever heeft het recht toe te zien op de naleving van Opdrachtnemer van de in deze Verwerkersovereenkomst overeengekomen beveiligingsmaatregelen, conform de afspraken die hierover zijn gemaakt in Bijlage 1.

    2.6 Indien Opdrachtnemer of Opdrachtgever van oordeel is dat een wijziging in de door Opdrachtnemer te treffen beveiligingsmaatregelen noodzakelijk is om een passend beveiligingsniveau te (blijven) bieden, dan treden Opdrachtgever en Opdrachtnemer in overleg over de door Opdrachtgever gewenste wijziging in de beveiligingsmaatregelen, en over de vraag of voornoemde wijziging in de macht van Opdrachtnemer ligt. Opdrachtnemer heeft het recht de kosten die verband houden met de wijziging in de beveiligingsmaatregelen in rekening te brengen bij Opdrachtgever. Pas nadat de gewijzigde beveiligingsmaatregelen schriftelijk zijn overeengekomen door Partijen, heeft Opdrachtnemer de verplichting deze beveiligingsmaatregelen daadwerkelijk te implementeren.

     

    Artikel 3 Beveiligingsincidenten en datalekken

    3.1 Opdrachtgever heeft de verplichting als verantwoordelijke in de zin van de AVG tot het melden van Datalekken bij de AP, en in bepaalde gevallen, de Betrokkene op grond van artikel 33 en 34 AVG.

    3.2 Om Opdrachtgever te ondersteunen in het voldoen aan zijn verplichting tot het melden van Datalekken, komen Partijen hierbij overeen dat Opdrachtnemer zich zal inspannen om Opdrachtgever zo snel mogelijk te informeren over beveiligingsincidenten, nadat Opdrachtnemer voornoemde beveiligingsincidenten heeft ontdekt.

    3.3 De wijze van melden van beveiligingsincidenten door Opdrachtnemer aan Opdrachtgever, zoals omschreven in lid 2 van dit artikel, zal door Opdrachtnemer worden gedaan conform de tussen Opdrachtgever en Opdrachtnemer opgenomen afspraken hieromtrent in Bijlage 1.

    3.4 Melding van Datalekken, zoals bedoeld in artikel 33 en 34 AVG, blijft te allen tijde de verantwoordelijkheid van Opdrachtgever. Opdrachtnemer is nimmer verplicht tot het melden van Datalekken aan de AP en/of de Betrokkene.

    3.5 Opdrachtnemer zal, waar mogelijk en nodig, zijn medewerking verlenen aan noodzakelijke informatievoorziening aan Opdrachtgever in het kader van door Opdrachtnemer gemelde beveiligingsincidenten aan Opdrachtgever.

    3.6 Een aan Opdrachtgever door de AP opgelegde bestuurlijke boete kan niet worden verhaald op Opdrachtnemer, tenzij er sprake is van opzet of bewuste roekeloosheid aan de zijde van de bedrijfsleiding van Opdrachtnemer.

     

    Artikel 4 Geheimhouding

    4.1 Alle medewerkers van Opdrachtgever en alle medewerkers van Opdrachtnemer, voor zover deze laatste toegang hebben tot de Persoonsgegevens, zijn verplicht tot geheimhouding van de Persoonsgegevens waarvan zij kennis nemen.

    4.2 Het bepaalde in het eerste lid van dit artikel geldt niet indien en voor zover verstrekking van de desbetreffende Persoonsgegevens aan een derde noodzakelijk is ingevolge een rechterlijke uitspraak, een wettelijk voorschrift of op basis van een bevoegd gegeven bevel van een overheidsinstantie.

    4.3 Bijlage 1, evenals alle door Opdrachtnemer aan Opdrachtgever verstrekte toegangs- en/of identificatiecodes, certificaten, informatie omtrent toegangs- en/of wachtwoordenbeleid en alle door Opdrachtnemer aan Opdrachtgever verstrekte informatie die invulling geeft aan de in Bijlage 1 opgenomen technische en organisatorische beveiligingsmaatregelen zijn vertrouwelijk en zullen door Opdrachtgever als zodanig worden behandeld en slechts aan geautoriseerde medewerkers van Opdrachtgever kenbaar worden gemaakt. Opdrachtgever ziet erop toe dat zijn medewerkers de verplichtingen uit dit artikel naleven.

    4.4 Opdrachtgever zal zijn systemen en infrastructuur te allen tijde adequaat beveiligen.

     

    Artikel 5 Looptijd en beëindiging

    5.1 Deze Verwerkingsovereenkomst treedt in werking op de datum van laatste ondertekening van deze Verwerkersovereenkomst door Partijen en wordt gesloten voor onbepaalde tijd.

    5.2 Deze Verwerkersovereenkomst eindigt van rechtswege bij beëindiging van de Samenwerkingsovereenkomst tussen Partijen. Eventuele postcontractuele verplichtingen uit hoofde van deze overeenkomst – zoals o.a. de geheimhouding en vrijwaring - blijven ook na beëindiging gelden.

    5.3 Opdrachtnemer zal, in geval van einde van deze Verwerkersovereenkomst, alle onder zich zijnde en van Opdrachtgever ontvangen Persoonsgegevens, retourneren aan Opdrachtgever of, indien door Partijen overeengekomen, vernietigen.

    5.4 Het bepaalde in artikel 5.3 geldt niet indien een wettelijke regeling het geheel of gedeeltelijk retourneren of vernietigen van de Persoonsgegevens door Opdrachtnemer belet. In een dergelijk geval zal Opdrachtnemer de Persoonsgegevens enkel blijven verwerken voor zover noodzakelijk uit hoofde van zijn wettelijke verplichtingen. Het bepaalde in artikel 5.3 geldt eveneens niet indien Opdrachtnemer ‘verantwoordelijke’ in de zin van de AVG is ten aanzien van de Persoonsgegevens.

     

    Artikel 6 Overig

    6.1 Deze Verwerkersovereenkomst vormt een integraal onderdeel van de Samenwerkingsovereenkomst. Alle rechten en verplichtingen die voortvloeien uit de Samenwerkingsovereenkomst, inclusief beperkingen van aansprakelijkheid, zijn derhalve ook van toepassing op deze Verwerkersovereenkomst.

    6.2 Opdrachtnemer is gerechtigd één of meer externe partijen in te schakelen ter uitvoering van zijn verplichtingen voortvloeiende uit deze Verwerkersovereenkomst. Opdrachtnemer blijft onverminderd verantwoordelijk jegens Opdrachtgever voor de uitvoering van zijn verplichtingen.

    6.3 Opdrachtnemer moet, rekening houdend met de aard van de verwerking, Opdrachtgever door middel van passende technische en organisatorische maatregelen, bijstand verlenen bij het vervullen van diens plicht om verzoeken uit de vastgestelde rechten van een Betrokkene te beantwoorden. De rechten van de Betrokkene staan beschreven in artikelen 15, 16, 17, 19, 20 en 21 AVG.

    6.4 Opdrachtnemer draagt bij en werkt mee aan audits uitgevoerd door Opdrachtgever of diens gemachtigde controleur voor zover de audits in redelijkheid en binnen de regels van de wet plaatsvinden.

    6.5 Opdrachtnemer stelt alle informatie ter beschikking die nodig is om aan naleving van de eisen genoemd in deze Verwerkersovereenkomst te voldoen.

    Bijlage 1: Beveiligingsmaatregelen en melding van beveiligingsincidenten

     

    A. Omschrijving verwerking

    Opdrachtnemer verricht de volgende verwerkingen van Persoonsgegevens voor Opdrachtgever:

    • het beheer, waaronder monitoringsbeheer, preventief beheer, gebruikersvragen beheer, verstoringenbeheer, wijzigingenbeheer en crisisbeheer;
    • het maken en beheren van back-ups, zowel ten behoeve van archieffunctie en het beheren van (een kopie van) de virtuele server;
    • onderhoud van software en controle op logboeken;
    • alle werkzaamheden als beschreven in de Overeenkomst;

    B. Aard van de Persoonsgegevens

    Opdrachtgever heeft aangegeven dat Opdrachtnemer de volgende gegevens ten behoeve van Opdrachtgever zal verwerken:

    • alle door Opdrachtgever digitaal verzamelde/bewaarde gegevens van geïdentificeerde of identificeerbare natuurlijke personen.

    Het betreft hier niet ‘gevoelige gegevens’ in de zin van de AVG.

     

    C. Verwerking binnen/buiten de EU

    De door Opdrachtnemer te verwerken Persoonsgegevens zullen louter worden verwerkt binnen de EU.

     

    D. Technische en organisatorische beveiligingsmaatregelen

    Onverminderd de beveiligingsnormen die Partijen op mogelijk andere wijze zijn overeengekomen zal Opdrachtnemer alle noodzakelijke technische en organisatorische beveiligingsmaatregelen implementeren overeenkomstig de voorschriften gesteld bij of krachtens de AVG en bij deze of krachtens overige (bijzondere) wetgeving en Europese regelgeving ten aanzien van het verwerken van Persoonsgegevens. Opdrachtnemer zal daarbij zorgdragen dat het beveiligingsbeleid en de uitvoering van het beveiligingsbeleid tenminste voldoen aan het criterium van een (passend) beveiligingsniveau als bedoeld in artikel 5 van de AVG. Deze maatregelen omvatten in ieder geval:

    • maatregelen om te waarborgen dat enkel bevoegd personeel toegang heeft tot de persoonsgegevens voor de doeleinden van de genoemde verwerking;
    • maatregelen waarbij Opdrachtnemer zijn medewerkers en/of subverwerkers uitsluitend toegang geeft tot persoonsgegevens via op naam gestelde accounts, waarbij het gebruik van die accounts adequaat gelogd wordt en waarbij de betreffende accounts alleen toegang geven tot die persoonsgegevens waartoe de toegang voor de betreffende persoon noodzakelijk is;
    • maatregelen om de persoonsgegevens te beschermen tegen onopzettelijke of onrechtmatige vernietiging, onopzettelijk verlies of wijziging, onbevoegde of onrechtmatige opslagverwerking, toegang of openbaarmaking;
    • maatregelen om zwakke plekken te identificeren ten aanzien van de verwerking van persoonsgegevens in de systemen die worden ingezet voor het verlenen van de diensten aan Opdrachtgever.

    Opdrachtnemer zal de persoonsgegevens betreffende Opdrachtgever strikt gescheiden opslaan en verwerken van de persoonsgegevens die hij voor zichzelf of namens derde partijen verwerkt.

     

    E. Melding beveiligingsincidenten

    Ingeval van een beveiligingsincident zal Opdrachtnemer de volgende gegevens verstrekken aan Opdrachtgever:

    • datum melding en de datum waarop Opdrachtnemer op de hoogte is geraakt van het beveiligingsincident.
    • samenvatting van het beveiligingsincident
    • op welke beveiligingsmaatregel zich het beveiligingsincident heeft
    • voorgedaan.
    • op welke manier het beveiligingsincident zich heeft voorgedaan.
    • de aard van het beveiligingsincident: lezen, kopiëren, veranderen, verwijderen/vernietigen en/of diefstal van persoonsgegevens.
    • de (mogelijke) oorzaak van het beveiligingsincident.

    Indien bekend:

    • omschrijving van de groep mensen van wie Persoonsgegevens zijn betrokken bij het beveiligingsincident
    • aantal personen getroffen door het beveiligingsincident
    • type Persoonsgegevens (Namen, toegangs- of identificatiegegevens, financiële gegevens, bijzondere gegevens etc.)
    • genomen en/of aanbevolen vervolgacties ter voorkoming en reparatie van het beveiligingsincident
    • incidenten worden (zowel telefonisch als per email) gemeld bij de door Opdrachtgever op de te geven contactpersoon

     

    F. Einde van de verwerkersovereenkomst

    Bij beëindiging van de verwerkersovereenkomst om welke reden ook, dan wel op eerste verzoek van Opdrachtgever gedurende de looptijd van de verwerkersovereenkomst, zal Opdrachtnemer - tegen een beperkte vergoeding die door Opdrachtnemer hiervoor redelijkerwijs en aantoonbaar gemaakte kosten niet zal overschrijden - ervoor zorgdragen dat naar keuze van Opdrachtgever op voor Opdrachtgever eenvoudige bruikbare wijze

    1. alle of een door Opdrachtgever bepaald gedeelte haar in het kader van de Overeenkomst ter beschikking gestelde persoonsgegevens worden vernietigd op alle locaties

    of

    1. alle of een door Opdrachtgever bepaald gedeelte van haar in het kader van de Overeenkomst ter beschikking gestelde persoonsgegevens aan een opvolgend opdrachtnemer ter beschikking worden gesteld

    of

    1. Opdrachtgever in de gelegenheid worden gesteld om de persoonsgegevens of een door Opdrachtgever bepaald gedeelte van de persoonsgegevens aan de door de Opdrachtnemer te leveren diensten te onttrekken.

     

    Opdrachtgever zal zo nodig nadere eisen stellen aan de wijze van beschikbaarstelling, waaronder eisen aan het bestandsformaat, dan wel vernietiging.

Cookie Gebruik
We gebruiken cookies om een vlotte browse-ervaring te garanderen. Door verder te gaan gaan gaan we ervan uit dat u het gebruik van cookies accepteert.
Leer meer