Verwerkerovereenkomst

Hoe we veilig met gegevens omgaan

Verwerkersovereenkomst 2018

 

Inhoud

  1. Definities
  2. Totstandkoming, duur en beëindiging van deze verwerkersovereenkomst
  3. Verwerken persoonsgegevens
  4. Beveiligen van persoonsgegevens
  5. Exporteren persoonsgegevens
  6. Geheimhouding
  7. Datalekken
  8. Aansprakelijkheid
  9. Teruggave persoonsgegevens en bewaartermijn
  10. Slotbepalingen.

Bijlage 1: Overzicht met verwerkingen van persoonsgegevens en verwerkingsdoelen
Bijlage 2: Overzicht met beveiligingsmaatregelen
Bijlage 3: Proces bij het melden van datalekken en de te verstrekken informatie.
 

Verwerkersovereenkomst                 

Deze verwerkersovereenkomst is van toepassing op alle vormen van verwerking van persoonsgegevens die Highbiza, merk en organisatie gekoppeld aan UWKM/Highbeat BV, ingeschreven bij de Kamer van Koophandel onder nummer 08167443, hierna te noemen ‘gegevensverwerker’, uitvoert ten behoeve van een wederpartij aan wie zij diensten levert, hierna te noemen ‘gegevensverantwoordelijke’, en maakt, evenals de algemene voorwaarden, integraal onderdeel uit van iedere overeenkomst tussen Highbiza en haar wederpartij. Gegevensverwerker en gegevensverantwoordelijke worden hierna gezamenlijk aangeduid als ‘partijen’.

Overwegende dat:

Partijen een overeenkomst met betrekking tot het leveren van digitale diensten gesloten hebben. Ter uitvoering van deze overeenkomst worden persoonsgegevens verwerkt.
Gegevensverantwoordelijke hecht grote waarde aan het beschermen van persoonsgegevens, reden waarom in deze verwerkersbijeenkomst een aantal afspraken daaromtrent is vastgelegd.

1. Definities

De hierna en hiervoor gebruikte begrippen volgen uit de Algemene Verordening Gegevensbescherming en hebben de volgende betekenis:

1.1. Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (‘de betrokkene’). 
Als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.

1.2. Verwerking: een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde processen, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.

1.3. Verwerkingsverantwoordelijke: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt. Wanneer de doelstellingen van en de middelen voor deze verwerking in het Europese unierecht of lidstatelijke recht worden vastgesteld, kan daarin worden bepaald wie de verwerkingsverantwoordelijke is of volgens welke criteria deze wordt aangewezen (‘verantwoordelijke’). 

1.4. Verwerker: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt (‘verwerker’).

1.5. Betrokkene: geïdentificeerde of identificeerbaar natuurlijk persoon op wie de verwerkte persoonsgegeven betrekking hebben.

1.6. Verwerkersovereenkomst: deze overeenkomst inclusief de bijlagen (‘verwerkersovereenkomst’).

1.7. Overeenkomst: de hoofdovereenkomst waaruit deze verwerkersovereenkomst voortvloeit.

1.8. Inbreuk in verband met persoonsgegevens: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens (‘datalek’).

1.9. Gegevensbeschermingseffectbeoordeling: het uitvoeren van een beoordeling, voorafgaand aan het uitvoeren van de verwerking, van het effect van de beoogde verwerkingsactiviteiten op de bescherming van de persoonsgegevens.

1.10. Toezichthoudende autoriteit: een onafhankelijke overheidsinstantie verantwoordelijk voor het toezicht op de naleving van de wet in verband met de verwerking van Persoonsgegevens, i.c. de Autoriteit Persoonsgegevens.

2. Totstandkoming, duur en beëindiging van deze verwerkersovereenkomst

2.1. Deze verwerkersovereenkomst is onderdeel van de overeenkomst tussen Highbiza en haar klant en zal gelden voor zolang de overeenkomst duurt.

2.2. Indien de overeenkomst eindigt, eindigt deze verwerkersovereenkomst automatisch. De verwerkersovereenkomst kan niet apart worden opgezegd.

2.3. Na beëindiging van deze verwerkersovereenkomst zullen de lopende verplichtingen voor gegevensverwerker, zoals het melden van datalekken waarbij de persoonsgegevens van gegevensverantwoordelijke betrokken zijn, en de plicht tot geheimhouding, blijven voortduren.
 

3. Verwerken persoonsgegevens

3.1.Gegevensverwerker zal alleen persoonsgegevens verwerken in opdracht van gegevensverantwoordelijke en heeft geen zeggenschap over de persoonsgegevens. Gegevensverwerker volgt de instructies van gegevensverantwoordelijke hierover op en mag de persoonsgegevens niet op een andere manier verwerken, tenzij gegevensverantwoordelijke daar vooraf toestemming of opdracht voor geeft.

3.2. In Bijlage 1 is opgenomen welke persoonsgegevens gegevensverwerker zal verwerken en voor welke verwerkingsdoeleinden.

3.3. Gegevensverwerker houdt zich aan de wet en verwerkt de gegevens op een behoorlijke, zorgvuldige en transparante wijze.

3.4. Gegevensverwerker zal zonder voorafgaande schriftelijke toestemming geen andere personen of organisaties inschakelen bij het verwerken van de persoonsgegevens van gegevensverantwoordelijke, tenzij dit voor de opdracht noodzakelijk is, zoals bijvoorbeeld ten behoeve van hosting, beheer, onderhoud en monitoring.

3.5. Wanneer gegevensverwerker met toestemming andere organisaties inschakelt, moeten deze voldoen aan de eisen die zijn opgenomen in deze verwerkersovereenkomst.

3.6. Wanneer gegevensverantwoordelijke een verzoek krijgt van een betrokkene die zijn of haar privacy-rechten wil uitoefenen, werkt gegevensverwerker daaraan mee. Deze rechten bestaan uit een verzoek om inzage, verbetering, aanvulling, verwijdering of afscherming, bezwaar maken tegen de verwerking van de persoonsgegevens en een verzoek tot overdraagbaarheid van de eigen persoonsgegevens.  

3.7. Wanneer gegevensverantwoordelijke verzoekt om informatie, dan zal gegevensverwerker de informatie verstrekken die nodig is voor het uitvoeren van een gegevensbeschermingseffectbeoordeling. Dit kan nodig zijn om in te schatten wat het risico van de verwerking is die gegevensverwerker namens gegevensverantwoordelijke uitvoert.  

4. Beveiligen van persoonsgegevens

4.1. Gegevensverwerker zorgt ervoor dat de persoonsgegevens voldoende beveiligd zijn. Om verlies en onrechtmatige verwerkingen te voorkomen neemt gegevensverwerker passende technische en organisatorische maatregelen. 

4.2. Deze maatregelen zijn afgestemd op het risico van de verwerking. Een overzicht van deze maatregelen en het beleid daarover staat in Bijlage 2.

4.3. Gegevensverantwoordelijke kan verzoeken om een rapportage waarin de genomen beveiligingsmaatregelen staan en de eventueel mogelijke aandachts- en/of verbeterpunten. De kosten hiervan komen voor rekening van gegevensverantwoordelijke.

4.4. Gegevensverantwoordelijke mag een inspectie of audit in de organisatie van gegevensverwerker laten uitvoeren om te bepalen of het verwerken van de persoonsgegevens aan de wet en de afspraken uit deze verwerkersovereenkomst voldoet. Hieraan zal gegevensverwerker medewerking verlenen, waaronder het toegang verlenen tot gebouwen en databases en het ter beschikking stellen van alle relevante informatie, voor zover dit naar redelijkheid en billijkheid passend is en niet de rechten van anderen schaadt.

4.5. Wanneer een van partijen vindt dat een wijziging in de te nemen beveiligingsmaatregelen noodzakelijk is, treden partijen in overleg over de wijziging daarvan.  

5. Exporteren persoonsgegevens

5.1. Gegevensverwerker zal geen persoonsgegevens laten verwerken door andere personen of organisaties buiten de Europese Economische Ruimte zonder voorafgaande schriftelijke toestemming te hebben verkregen van gegevensverantwoordelijke, tenzij dit voor de werkzaamheden noodzakelijk is.  

6. Geheimhouding

6.1. Gegevensverwerker zal de aan hem verstrekte persoonsgegevens geheim houden, tenzij dit op basis van een wettelijke verplichting niet mogelijk is.

6.2. Gegevensverwerker zal ervoor zorgen dat ook zijn personeel en ingeschakelde hulppersonen zich aan deze geheimhouding houden, door een geheimhoudingsplicht in de (arbeids)contracten op te nemen.  

7. Datalekken

7.1. In geval van een ontdekking van een mogelijk datalek zal gegevensverwerker hierover gegevensverantwoordelijke informeren binnen 24 uur en de informatie verstrekken die is aangegeven in Bijlage 3, zodat gegevensverantwoordelijke indien nodig een melding bij de toezichthouder kan doen.

7.2. Na de melding van een datalek zullen partijen elkaar op de hoogte houden van nieuwe ontwikkelingen rond het datalek en de maatregelen die worden getroffen om de omvang ervan te beperken en te beëindigen en een soortgelijk incident in de toekomst te trachten voorkomen.

7.3. Gegevensverwerker doet zelf geen melding van een datalek aan de toezichthouder en/of de betrokkenen, wat een verantwoordelijkheid is van gegevensverantwoordelijke.

7.4. Eventuele kosten die gemaakt worden om een datalek op te lossen en in de toekomst te kunnen voorkomen, komen voor rekening van gegevensverantwoordelijke.  

8. Aansprakelijkheid

8.1. Als een der partijen zich niet houdt aan bepalingen in deze verwerkersovereenkomst, dan kan de andere partij deze partij daarvoor aansprakelijk stellen.

8.2 Gevolgschades of boetes zijn niet verhaalbaar op gegevensverwerker.

8.3. Partijen zijn niet aansprakelijk voor aanspraken van betrokkenen of andere personen en organisaties wanneer er sprake is van overmacht.  

9. Teruggave persoonsgegevens en bewaartermijn

9.1. Na het beëindigen van deze verwerkersovereenkomst geeft   gegevensverwerker de persoonsgegevens terug, waarbij achterblijvende persoonsgegevens op een zorgvuldige en veilige manier vernietigd zullen worden.

9.2. De persoonsgegevens die worden verwerkt volgens deze verwerkersovereenkomst, zullen vernietigd worden na het verstrijken van de wettelijke bewaartermijn en/of op verzoek van gegevensverantwoordelijke. Een wettelijke bewaartermijn is er bijvoorbeeld wanneer gegevensverwerker de persoonsgegevens moet bewaren om belastingtechnische redenen.

10. Slotbepalingen

10.1. Deze verwerkersovereenkomst is onderdeel van de aangegane  overeenkomst. Alle rechten en verplichtingen uit de overeenkomst zijn daarom ook van toepassing op de verwerkersovereenkomst.

10.2. Bij eventuele tegenstrijdigheden tussen de bepalingen in de verwerkersovereenkomst en de overeenkomst gelden de bepalingen uit deze verwerkersovereenkomst.

10.3. Afwijkingen van deze verwerkersovereenkomst zijn slechts geldig wanneer partijen dit samen schriftelijk afspreken.

10.4. Op deze verwerkersovereenkomst en de werkzaamheden is het Nederlandse recht van toepassing.

Deventer, 3 juli 2018.




Bijlage 1: Overzicht verwerkingen persoonsgegevens en verwerkingsdoelen

Beschrijving verwerkingsactiviteiten door verwerker
  • Het optreden als digitale adviseur en toeleverancier voor klanten in de breedste zin des woords
  • Inclusief het bouwen van websites en apps, inclusief webapplicaties zoals configuratoren, e-learnings, e-commerce systemen, dataontsluitingssystemen, middleware enz.
  • Het hosten, beheren, onderhouden en monitoren van deze sites, apps en webapplicaties.
Verwerkingsdoelen
  • Het technisch en inhoudelijk laten functioneren van de digitale oplossingen voor klanten.
Verwerkingsverantwoordelijke
  • Highbiza, de heer Geert Jan Hoogeslag, directeur.
Verwerkte Persoonsgegevens
  • Verwerkt worden alle gegevens waarom opdrachtgever vraagt, en/of die noodzakelijk zijn voor de verwerkingsactiviteiten en/of verwerkingsdoelen.
Locatie verwerkingen
  • In de regel wordt gewerkt vanuit Deventer, of andere plaatsen van waaruit medewerkers of toeleveranciers actief zijn.
Bewaartermijn
  • De gegevens worden bewaard zolang dat noodzakelijk is voor bedrijfstechnische en/of organisatorische redenen, en/of de uitvoering van (te verwachten) werkzaamheden voor de klant.       

Bijlage 2: Overzicht met beveiligingsmaatregelen

 
Technische beveiligingsmaatregelen
  • Werken met state-of-the-art frameworks en systemen, zoals Django Python en Oscar
  • Werken vanuit repository systemen met pull requests
  • Beveiligde internetverbindingen
  • SSL-certificaten
  • Beveiligde backups: ieder uur, elke dag, met een retentie van een maand op gesepareerde omgevingen van live
  • Unieke inlogcodes en wachtwoorden (die regelmatig worden aangepast)
  • Versleutelde email 
  • Two-factor authenticatiesysteem voor toegang passwords met htaccess en of Google authenticator app
  • Ondersteuning van versleutelingsmethoden als SHA2
  • Ping systeem voor uptime (iedere 2 minuten een check) met feedbackmelding welke type downtime er is indien van toepassing, zoals ssl error, server error etc.
  • Mogelijkheden voor zowel dedicated hosting als shared hosting.  

Organisatorische beveiligingsmaatregelen
  • Clean desk policy
  • Geen onbemande computers
  • Computers vergrendeld op username en password
  • Privacybepaling in contracten van medewerkers
  • Ontzeggen toegang tot systemen bij vertrek medewerkers.

Bijlage 3: Proces van melden van datalekken en de te verstrekken informatie

Een datalek is een beveiligingsincident waarbij persoonsgegevens mogelijk verloren zijn gegaan of onbedoeld toegankelijk waren voor derden. Het gaat om gegevens die te koppelen zijn aan deze personen, zoals, maar niet beperkt tot, namen, adressen, telefoonnummers, e-mailadressen, login gegevens, cookies, IP-adressen of identificerende gegevens van computers of telefoons.
 
Waar wordt een beveiligingsincident gemeld?
Als Highbiza een beveiligingsincident ontdekt, wordt direct contact opgenomen met de betrokken functionaris van de opdrachtgever.

De informatie die hierbij zoveel als mogelijk is, zal worden gemeld, ook ten behoeve van de Autoriteit Persoonsgegevens: 
  • Een samenvatting van het beveiligingslek/beveiligingsincident/datalek (wat is er gebeurd?)
                                         Met ook de naam/namen van de betrokken systemen.
  • De typen persoonsgegevens die zijn betrokken bij het beveiligingsincident
                                         Zoals, maar niet beperkt tot, naam, adres, e-mailadres, IP-nummer, burgerservicenummer, pasfoto
                                         en ieder ander tot een persoon te herleiden gegeven.

  • Het aantal personen van wie de persoonsgegevens betrokken zijn bij het beveiligingsincident
                                         Een inschatting van het minimum en maximum aantal personen.
  • Omschrijving van de groep personen om wiens gegevens het gaat
                                         Mogelijke afbakening van de betrokken groep, met bijzondere aandacht voor gegevens van kwetsbare                                                   (groepen van) personen.
  • Het al dan niet bekend zijn van de contactgegevens van de betrokken personen
                                         De mogelijkheid om betrokkenen te informeren over het datalek.
  • De oorzaak (root cause) van het beveiligingsincident
                                         Inschatting van de oorzaak van het beveiligingsincident.
  • De datum of periode waarop/waarin het beveiligingsincident plaatsvond.