Verwerkersovereenkomst
Versie 1.2 november 2023
Deze verwerkersovereenkomst is onderdeel van de overeenkomst tussen Pluvo B.V. (“Verwerker”) en de klant (“Verwerkingsverantwoordelijke”), en zal ingaan op de datum dat u deze verwerkersovereenkomst heeft aanvaard. U staat ervoor in dat u deze verwerkersovereenkomst mag sluiten. Als u deze bevoegdheid niet heeft verzoeken wij u om deze overeenkomst niet te aanvaarden.”
Partijen nemen het volgende in overweging:
- Verwerkingsverantwoordelijke is werkzaam op het gebied van trainingen/opleidingen en maakt in dat kader gebruik van Verwerker;
- Verwerker levert aan Verwerkingsverantwoordelijke de Dienst zoals omschreven in de Overeenkomst, en verwerkt in die hoedanigheid (bijzondere) persoonsgegevens voor Verwerkingsverantwoordelijke;
- Verwerkingsverantwoordelijke is ten aanzien van de verwerking van persoonsgegevens als verwerkingsverantwoordelijke in de zin van artikel 4 aanhef en onder 7 van de Algemene verordening gegevensbescherming (“AVG”) aan te merken;
- Partijen wensen – mede ter uitvoering van het bepaalde in artikel 28, derde lid van de AVG – in de onderhavige Verwerkersovereenkomst een aantal voorwaarden vast te leggen die van toepassing zijn op hun relatie in verband met de (verwerking van persoonsgegevens in het kader van) genoemde activiteiten voor en in opdracht van Verwerkingsverantwoordelijke.
- Verwerker is ten aanzien van het voor Verwerkingsverantwoordelijke opslaan en verwerken van de persoonsgegevens als verwerker in de zin van artikel 4 aanhef en onder 8 AVG aan te merken;
Komen als volgt overeen:
Artikel 1. Definities
- In deze Verwerkersovereenkomst hebben de volgende begrippen, steeds met een hoofdletter geschreven, de volgende betekenis ongeacht of deze in meervoud of enkelvoud worden gebruikt:
Annex: aanhangsel bij de Verwerkersovereenkomst, dat onlosmakelijk deel uitmaakt van de Verwerkersovereenkomst.
Overeenkomst: het Pluvo Klantcontract gesloten op tussen Verwerkingsverantwoordelijke en Verwerker;
Persoonsgegevens: alle gegevens die direct of indirect herleidbaar zijn tot een natuurlijk persoon als bedoeld in artikel 4 aanhef en onder 1 AVG;
Subverwerker: de door Verwerker ingeschakelde onderaannemer, die in het kader van deze Verwerkersovereenkomst Persoonsgegevens Verwerkt voor rekening van Verwerkingsverantwoordelijke als bedoeld in artikel 28 lid 4 AVG;
Verwerken: het verwerken van Persoonsgegevens als bedoeld in artikel 4 aanhef en onder 2 AVG;
Verwerkersovereenkomst: de onderhavige overeenkomst welke deel uitmaakt van de Overeenkomst. - De bepalingen uit de Overeenkomst zijn onverkort van toepassing op de Verwerkersovereenkomst. Voor zover er in de Overeenkomst bepalingen omtrent de verwerking van persoonsgegevens zijn opgenomen, prevaleren de bepalingen uit deze Verwerkersovereenkomst.
Artikel 2. Verwerkingsverantwoordelijke voor en Verwerker van de gegevens
- Verwerker verbindt zich in het kader van deze Verwerkersovereenkomst in opdracht van Verwerkingsverantwoordelijke om Persoonsgegevens te Verwerken. Een overzicht van het soort Persoonsgegevens, de categorieën van betrokkenen en de doelen waarvoor de Verwerking van Persoonsgegevens plaatsvindt, is opgenomen in Annex 1.
- Verwerkingsverantwoordelijke is aansprakelijk voor de Verwerking van Persoonsgegevens in het kader van de Overeenkomst en garandeert dat de opdracht tot Verwerking van die Persoonsgegevens in overeenstemming is met alle toepasselijke wet- en regelgeving. Verwerkingsverantwoordelijke vrijwaart Verwerker tegen alle aanspraken van derden, in het bijzonder van de toezichthouder, welke op enigerlei wijze voortvloeien uit het niet naleven van deze garantie.
- Verwerker verbindt zich uitsluitend persoonsgegevens te Verwerken ten behoeve van de in deze Verwerkersovereenkomst en/of de Overeenkomst genoemde activiteiten. Verwerker garandeert dat zij, zonder uitdrukkelijke en schriftelijke toestemming van Verwerkingsverantwoordelijke, geen gebruik zal maken van de Persoonsgegevens die in het kader van deze Verwerkersovereenkomst worden Verwerkt, tenzij een op de Verwerker van toepassing zijnde wettelijke bepaling hem tot verwerking verplicht. In dat geval stelt de Verwerker de Verwerkingsverantwoordelijke, voorafgaand aan de Verwerking, in kennis van dat wettelijk voorschrift, tenzij die wetgeving deze kennisgeving om gewichtige redenen van algemeen belang verbiedt.
Artikel 3. Technische en organisatorische voorzieningen
- Verwerker zal Verwerkingsverantwoordelijke, rekening houdend met de aard van de verwerking en voor zover redelijkerwijs mogelijk, bijstand verlenen bij het doen nakomen van diens plicht onder de AVG om passende technische en organisatorische maatregelen te treffen om een op het risico afgestemd beveiligingsniveau te waarborgen. Deze maatregelen zullen, rekening houdend met de stand der techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau garanderen, gelet op de risico’s die de Verwerking en de aard van de te beschermen gegevens met zich meebrengen. Verwerker zal in ieder geval maatregelen nemen om Persoonsgegevens te beveiligen tegen vernietiging, hetzij per ongeluk hetzij onrechtmatig, tegen toevallig en opzettelijk verlies, vervalsing, niet toegelaten verspreiding of toegang, dan wel tegen enige andere vorm van onrechtmatige Verwerking.
- De door Verwerker genomen technische en organisatorische maatregelen staan beschreven in Annex 2. Verwerkingsverantwoordelijke erkent kennis te hebben genomen van de betreffende maatregelen en door ondertekening van deze Verwerkersovereenkomst gaat Verwerkingsverantwoordelijke akkoord met de door Verwerker genomen maatregelen.
Artikel 4. Vertrouwelijkheid
- Verwerker zal haar medewerkers, die betrokken zijn bij de uitvoering van de Overeenkomst, een geheimhoudingsverklaring – al dan niet opgenomen in de arbeidsovereenkomst met die medewerkers – laten tekenen waarin in ieder geval is opgenomen dat deze medewerkers geheimhouding moeten betrachten ten aanzien van de Persoonsgegevens.
Artikel 5. Gegevensverwerking buiten Nederland
- Het overbrengen van Persoonsgegevens door Verwerker buiten de Europese Economische Ruimte is alleen toegestaan met inachtneming van de daarvoor geldende wettelijke verplichtingen.
Artikel 6. Derden en onderaannemers
- Het is Verwerker toegestaan om in het kader van deze Verwerkersovereenkomst en de Overeenkomst gebruik te maken Sub Verwerkers , zoals opgenomen in Annex 3. Indien Verwerker een andere Sub Verwerker wenst in te schakelen, zal Verwerker de Verwerkingsverantwoordelijke inlichten over de beoogde veranderingen. Verwerkingsverantwoordelijke dient binnen 5 werkdagen bezwaar te maken tegen deze veranderingen. Verwerker zal binnen 4 werkdagen reageren op het bezwaar van Verwerkingsverantwoordelijke.
- Verwerker verplicht iedere Sub Verwerker contractueel de geheimhoudingsverplichtingen, meldingsverplichtingen en beveiligingsmaatregelen na te leven met betrekking tot de Verwerking van Persoonsgegevens welke verplichtingen en maatregelen minimaal dienen te voldoen aan het bepaalde in deze Verwerkersovereenkomst.
Artikel 7. Aansprakelijkheid
- Ten aanzien van de aansprakelijkheid van Verwerker onder de Verwerkersovereenkomst alsmede ten aanzien van de in de Verwerkersovereenkomst opgenomen vrijwaringsverplichtingen voor Verwerker, geldt onverkort de in onder meer artikel 9 van de Overeenkomst opgenomen regeling inzake de beperking van aansprakelijkheid.
- Onverminderd artikel 7.1 van deze Verwerkersovereenkomst, is Verwerker slechts aansprakelijk voor de schade die door de Verwerking is veroorzaakt wanneer bij deze Verwerking niet is voldaan aan specifiek tot Verwerker gerichte verplichtingen op grond van de AVG of indien in strijd met de rechtmatige instructies van Verwerkingsverantwoordelijke is gehandeld.
Artikel 8. Incidenten
- Indien Verwerker kennis krijgt van een incident dat een (wezenlijke) impact kan hebben op de beveiliging van Persoonsgegevens, zal zij i) Verwerkingsverantwoordelijke daarvan zonder onredelijke vertraging op de hoogte stellen en ii) alle redelijke maatregelen nemen om (verdere) schending van de AVG te voorkomen of te beperken.
- Verwerker zal, voor zover redelijk, haar medewerking verlenen aan Verwerkingsverantwoordelijke en Verwerkingsverantwoordelijke ondersteunen in het uitvoeren van haar wettelijke verplichtingen ten aanzien van het geconstateerde incident.
- Verwerker zal, voor zover redelijk, Verwerkingsverantwoordelijke ondersteunen bij de op Verwerkingsverantwoordelijke rustende meldplicht ten aanzien van de inbreuk in verband met persoonsgegevens bij de Autoriteit Persoonsgegevens (“AP”) en/of de betrokkene, zoals bedoeld in artikel 33, lid 3 en 34, lid 1 AVG. Verwerker is nimmer gehouden tot het zelfstandig verrichten van een melding van een inbreuk in verband met persoonsgegevens bij de AP en/of de betrokkene.
- Verwerker is nimmer aansprakelijk voor de (correcte en/of tijdige uitvoering van de) op Verwerkingsverantwoordelijke rustende meldplicht zoals bedoeld in artikel 33 en 34 AVG.
Artikel 9. Bijstand aan Verwerkingsverantwoordelijke
- Verwerker zal Verwerkingsverantwoordelijke, voor zover redelijkerwijs mogelijk, bijstand verlenen bij het vervullen van diens plicht onder de AVG om verzoeken om uitoefening van de rechten van een betrokkene te beantwoorden, in het bijzonder het recht op inzage (art. 15 AVG), rectificatie (art. 16 AVG), gegevenswissing (art. 17 AVG), beperking (art. 18 AVG), overdraagbaarheid (art. 20 AVG) en het recht van bezwaar (art. 21 en 22 AVG). Verwerker zal een klacht of een verzoek van een betrokkene met betrekking tot de Verwerking van Persoonsgegevens zo snel mogelijk doorsturen naar de Verwerkingsverantwoordelijke, die verantwoordelijk is voor de afhandeling van het verzoek. Verwerker is gerechtigd de eventuele kosten die gemoeid zijn met de medewerking, in rekening te brengen bij Verwerkingsverantwoordelijke.
- Verwerker zal Verwerkingsverantwoordelijke, voor zover redelijkerwijs mogelijk, bijstand verlenen bij het doen nakomen van diens plicht onder de AVG om een gegevensbeschermingseffectbeoordeling (art. 35 en 36 AVG) uit te voeren.
- Verwerker zal de Verwerkingsverantwoordelijke alle informatie ter beschikking stellen die redelijkerwijs nodig is om aan te tonen dat Verwerker voldoet aan haar verplichtingen onder de AVG. Voorts zal Verwerker op verzoek van Verwerkingsverantwoordelijke audits, waaronder inspecties, door Verwerkingsverantwoordelijke of een door Verwerkingsverantwoordelijke gemachtigde controleur mogelijk maken en eraan bijdragen. Indien de Verwerker van mening is dat een instructie in verband met het bepaalde in dit artikellid een inbreuk oplevert op de AVG of op andere op haar van toepassing zijnde privacywetgeving, stelt de Verwerker de Verwerkingsverantwoordelijke daarvan onmiddellijk in kennis.
- Verwerker is gerechtigd de eventuele kosten die met het bepaalde uit artikel 9.3 gemoeid zijn, in rekening te brengen bij Verwerkingsverantwoordelijke.
Artikel 10. Beëindiging & Varia
- Ten aanzien van opzegging en/of ontbinding van deze Verwerkersovereenkomst, gelden de specifieke bepalingen uit de Overeenkomst. Onverminderd de specifieke bepalingen uit de Overeenkomst, zal de Verwerker op eerste verzoek van de Verwerkingsverantwoordelijke alle Persoonsgegevens wissen of deze aan hem terugbezorgen, en bestaande kopieën verwijderen, tenzij Verwerker wettelijk verplicht is (delen van) de Persoonsgegevens op te blijven slaan.
- Verwerkingsverantwoordelijke zal Verwerker adequaat informeren over (wettelijke) bewaartermijnen die van toepassing zijn op de Verwerking van Persoonsgegevens voor Verwerker.
- Verwerkingsverantwoordelijke verklaart dat hij bevoegd is deze Verwerkersovereenkomst te sluiten.
- De verplichtingen uit deze Verwerkersovereenkomst die naar hun aard bestemd zijn om beëindiging te overleven, blijven ook na beëindiging van deze Verwerkersovereenkomst van kracht.
- De rechtskeuze en bevoegde rechter komen overeen met het bepaalde in de Overeenkomst.
----------------------------
Annex 1. Overzicht Persoonsgegevens
Soort persoonsgegevens
De volgende categorieën persoonsgegevens kunnen door de Verwerker worden verwerkt namens de Verwerkingsverantwoordelijke:
- Basisidentificatie-Informatie:
Naam
E-mailadres
Profielafbeelding - Aangepaste Gebruikersvelden:
Velden toegevoegd door de Verwerkingsverantwoordelijke, specifiek voor hun operationele behoeften. Deze kunnen variëren en omvatten, maar zijn niet beperkt tot, beroep, organisatie, contactgegevens, en andere relevante informatie. - Educatieve Gegevens:
Voortgang in cursusmateriaal
Scores en resultaten van evaluaties en tests
Dynamische Aard van Gegevens
- De Verwerkingsverantwoordelijke behoudt de autonomie om te bepalen welke persoonsgegevens worden verwerkt via de software van de Verwerker. Dit omvat zowel de basisidentificatie-informatie als de specifieke aangepaste velden die relevant zijn voor hun doeleinden.
- Gegeven de mogelijkheid voor de Verwerkingsverantwoordelijke om aangepaste velden toe te voegen, is er een inherent dynamisch aspect aan de soorten verwerkte persoonsgegevens.
Toegang tot Gegevens
- Een actueel en compleet overzicht van de verwerkte persoonsgegevens is toegankelijk voor de Verwerkingsverantwoordelijke na inloggen in hun account binnen de geleverde software van de Verwerker.
- Deze toegang stelt de Verwerkingsverantwoordelijke in staat om de soorten verzamelde gegevens regelmatig te beoordelen en indien nodig bij te werken om te zorgen voor nauwkeurigheid en relevantie.
Transparantie en Naleving
- Deze specificatie van persoonsgegevens wordt gemaakt in de geest van transparantie en naleving van de AVG, waarbij de privacy en bescherming van gebruikersgegevens voorop staan.
Doeleinden van Verwerking
De verwerking van persoonsgegevens door de Verwerker vindt plaats voor specifieke doeleinden zoals bepaald door de Verwerkingsverantwoordelijke. Deze doeleinden betreffen de gegevens van natuurlijke personen (betrokkenen) die:
- Relatie met Verwerkingsverantwoordelijke: Dit omvat, maar is niet beperkt tot, klanten, leden, leerlingen, prospects, donateurs, gasten, medewerkers, consumenten en burgers die een relatie hebben met de Verwerkingsverantwoordelijke.
- Deelname aan Trainingen: Personen die zich hebben ingeschreven voor trainingen of cursussen aangeboden door de Verwerkingsverantwoordelijke.
Deze doeleinden omvatten onder andere:
- Communicatie met betrokkenen.
- Uitvoeren van onderzoek.
- Nakomen van wettelijke verplichtingen.
- Uitvoering van overeenkomsten met betrokkenen.
Verwerkingsactiviteiten
De verwerkingen worden zelfstandig uitgevoerd door de Verwerkingsverantwoordelijke of de betrokkene, gebruikmakend van de systemen van de Verwerker. Deze verwerkingsactiviteiten omvatten, maar zijn niet beperkt tot:
- Verzamelen, vastleggen, ordenen, segmenteren, filteren en structureren van gegevens.
- Opslaan van gegevens, inclusief e-mailcommunicatie en chatlogs.
- Bijwerken, wijzigen, synchroniseren, verrijken en analyseren van gegevens.
- Opvragen, raadplegen, gebruiken, delen, verspreiden of op andere wijze ter beschikking stellen van gegevens.
- Aligneren, combineren, afschermen, wissen of vernietigen van gegevens.
Deze opsomming van verwerkingsactiviteiten geeft een breder beeld van de mogelijke interacties met persoonsgegevens binnen de systemen van de Verwerker en de diversiteit van de verwerkingshandelingen.
----------------------------
Annex 2. Specificatie van Beveiliging
Algemene Verplichtingen
De Verwerker verbindt zich ertoe alle noodzakelijke technische en organisatorische beveiligingsmaatregelen te nemen zoals vereist door de Algemene Verordening Gegevensbescherming (AVG), met bijzondere aandacht voor de vereisten zoals uiteengezet in Artikel 32 van de AVG. Deze maatregelen zijn ontworpen om een beveiligingsniveau te garanderen dat past bij het risico, rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook de aard, omvang, context en doeleinden van de verwerking en de risico's van verschillende waarschijnlijkheid en ernst voor de rechten en vrijheden van natuurlijke personen.
Naleving van ISO 27001:2017
In aanvulling op de AVG-vereisten, zal de Verwerker handelen in overeenstemming met de normen en best practices die zijn vastgesteld in de ISO/IEC 27001:2017 standaard voor informatiebeveiligingsbeheer. Dit houdt in:
- Risicobeheer: Regelmatige identificatie, evaluatie en behandeling van informatiebeveiligingsrisico's.
- Beveiligingsbeleid: Implementatie en onderhoud van een gedocumenteerd informatiebeveiligingsbeleid.
- Organisatie van Informatiebeveiliging: Vaststellen van een beheerstructuur voor informatiebeveiliging en het definiëren van rollen en verantwoordelijkheden.
- Human Resource Security: Zorgen voor dat medewerkers zich bewust zijn van hun beveiligingsverantwoordelijkheden.
- Asset Management: Identificatie en classificatie van informatie-assets.
- Toegangsbeheer: Beperking van toegang tot informatie en verwerkingssystemen.
- Cryptography: Het gebruik van cryptografie om de vertrouwelijkheid en integriteit van informatie te beschermen.
- Fysieke en Omgevingsbeveiliging: Bescherming van de fysieke locaties en apparatuur.
- Operatiesbeveiliging: Beveiliging van operationele processen en procedures.
- Communicatiebeveiliging: Bescherming van informatie in netwerken.
- Systeemverwerving, Ontwikkeling en Onderhoud: Zorgen dat informatiebeveiliging een integraal onderdeel is van IT-systemen.
- Leveranciersrelaties: Beveiliging van de data in relatie tot externe leveranciers.
- Informatiebeveiligingsincidentenbeheer: Effectieve respons op informatiebeveiligingsincidenten.
- Continuïteitsbeheer: Bescherming van de continuïteit van bedrijfsprocessen.
- Naleving: Toetsing aan wettelijke, statutaire, reglementaire en contractuele vereisten.
----------------------------
Annex 3. Specificatie Subverwerkers
Verwerker kan bij de Verwerking gebruik maken van de volgende categorieën en partijen van subverwerkers:
Messagebird
- Identiteit:
https://messagebird.com - Verwerkte Gegevens:
Voor- en Achternaam
E-mailadres
E-mail inhoudelijke gegevens - Doel van de Verwerking: Messagebird wordt ingezet voor het versturen van e-mailcommunicatie. Dit omvat transactionele e-mails, en andere vormen van communicatie via e-mail.
- Verwerkingsactiviteiten: Verzenden van e-mails naar gebruikers op basis van de verstrekte lijsten.
Het verwerken van responsgegevens zoals e-mail open- en klikratio's.
Onderhoud van e-maillijsten en uitschrijfverzoeken. - Locatie van Verwerking: De gegevens worden verwerkt in datacenters van SparkPost, gelegen in Europa.
- Beveiligingsmaatregelen: Messagebird implementeert industriestandaard beveiligingsprotocollen en encryptietechnieken om de integriteit en vertrouwelijkheid van gegevens te waarborgen.
- Duur van de Verwerking: De gegevens worden verwerkt zolang als nodig is voor het uitvoeren van de e-maildiensten, of totdat een gebruiker zich uitschrijft of verzoekt om verwijdering van zijn/haar gegevens.
- Naleving van Wet- en Regelgeving: Messagebird voldoet aan de GDPR en andere relevante privacywetten voor de bescherming van persoonsgegevens.
Amazon AWS
- Identiteit:
https://aws.amazon.com - Verwerkte Gegevens: Namen en e-mailadressen van gebruikers.Profielafbeeldingen van gebruikers.Door de verwerkingsverantwoordelijke toegevoegde extra velden, die kunnen variëren afhankelijk van de gebruikersvereisten.Voortgang en scores van gebruikers in cursusmateriaal en evaluaties.Logbestanden die wijzigingen in de database registreren.Bestanden opgeslagen op AWS S3, inclusief eventuele gebruikersgegevens of cursusmaterialen.
- Doel van de Verwerking: AWS wordt gebruikt voor het hosten en beheren van deze gegevens, met als doel het leveren van een schaalbare, betrouwbare en veilige infrastructuur voor onze diensten.
- Verwerkingsactiviteiten:
Opslag en beheer van persoonsgegevens en gebruikersprofielen.
Hosting van educatieve content en bijhouden van gebruikersprestaties.
Onderhoud en beheer van logbestanden voor beveiliging en monitoring.
Opslag en beheer van bestanden op AWS S3. - Locatie van Verwerking: De gegevens worden verwerkt en opgeslagen in AWS datacenters gelegen in Frankfurt, Duitsland.
- Beveiligingsmaatregelen: AWS implementeert uitgebreide beveiligingsmaatregelen inclusief netwerkbeveiliging, encryptie, toegangscontrole, en regelmatige beveiligingsaudits. Naleving van relevante industriestandaarden en certificeringen zoals ISO 27001, SOC 1, SOC 2, en GDPR.
- Duur van de Verwerking: Gegevens worden opgeslagen en verwerkt zolang als nodig is voor het leveren van de diensten.
- Naleving van Wet- en Regelgeving: AWS voldoet aan de GDPR en andere relevante Europese en internationale privacywetten voor de bescherming van persoonsgegevens.
Rechten en Verplichtingen
- Auditrechten: Wij behouden ons het recht voor om de naleving met betrekking tot gegevensbeveiliging en privacy te inspecteren.
- Melding van Datalekken: De subverwerker dient ons direct op de hoogte te stellen van enige datalekken of beveiligingsincidenten die zich voordoen.
- Subverwerkers: De subverwerker is verplicht om duidelijkheid te verschaffen over eventuele aanvullende subverwerkers, en moet bevestigen of de gegevensverwerking binnen de Europese Unie plaatsvindt.