Recrubo verkozen tot #1 in de categorie Bots & Voice 🏆 Meer informatie >
Verwerkersovereenkomst
Deze verwerkersovereenkomst is bedoeld als onderdeel van de overeenkomst die tussen opdrachtgever en verwerker wordt gesloten ten behoeve van de verlening van diensten en richt zich specifiek op de verwerking van persoonsgegevens in de uitvoering van de overeenkomst.
Partijen
– Recrubo B.V., gevestigd aan de St. Josephstraat 135c te Tilburg, Kamer van Koophandel nummer 89402472, en rechtsgeldig vertegenwoordigd door de heer Tukker, Algemeen Directeur (hierna: “Verwerker”);
– Verwerkers Verantwoordelijke
in aanmerking nemende dat
zijn als volgt overeengekomen
ARTIKEL 1. ALGEMEEN
1.1 Verwerker verbindt zich onder de voorwaarden van deze Verwerkersovereenkomst in opdracht van Verwerkingsverantwoordelijke persoonsgegevens te verwerken. Verwerker zal de persoonsgegevens verwerken op behoorlijke en zorgvuldige wijze en in overeenstemming met de AVG.
1.2 Verwerking door Verwerker zal uitsluitend plaatsvinden voor zover noodzakelijk om de dienst zoals omschreven in de Overeenkomst aan de Verwerkingsverantwoordelijke te verlenen (hierna: “Dienst”). Voor de uitvoering van de Dienst kunnen uitsluitend de categorieën persoonsgegevens afkomstig van de categorieën betrokkenen worden verwerkt die in Bijlage B zijn gespecificeerd.
1.3 In Bijlage A staat per Dienst beschreven welke (groepen) medewerkers toegang tot de persoonsgegevens hebben en welke verwerkingen zijn toegestaan.
1.4 Verwerker zal persoonsgegevens die haar in het kader van de Overeenkomst ter beschikking zijn gesteld niet langer bewaren dan noodzakelijk is (i) voor de uitvoering van deze Overeenkomst; of (ii) om een op hem rustende wettelijke verplichting na te komen. In Bijlage B staat per (onderdeel van de) Dienst gespecificeerd hoe lang persoonsgegevens worden bewaard.
1.5 Verwerker zal de persoonsgegevens uitsluitend verwerken in opdracht en volgens de instructies van Verwerkingsverantwoordelijke. Verwerker mag de persoonsgegevens niet ten eigen nutte, ten nutte van derden, en/of andere doeleinden verwerken, behoudens op hem rustende afwijkende dwingendrechtelijke verplichtingen. De zeggenschap over persoonsgegevens verstrekt aan Verwerker in het kader van de Overeenkomst of andere overeenkomsten tussen Partijen, alsmede over de door Verwerker in dat kader verwerkte gegevens, berust bij Verwerkingsverantwoordelijke.
1.6 Verwerker is verantwoordelijk voor de verwerking van de persoonsgegevens onder deze Verwerkersovereenkomst, overeenkomstig de instructies van Verwerkingsverantwoordelijke. Verwerkingsverantwoordelijke is verantwoordelijk voor de eigen verwerkingen van persoonsgegevens, waarbij Verwerker niet is betrokken.
1.7 Verwerker is verplicht Verwerkingsverantwoordelijke onmiddellijk te informeren over toekomstige wijzigingen in de uitvoering van de Overeenkomst, zodat Verwerkingsverantwoordelijke kan toezien op de naleving van afspraken met Verwerker. Hieronder wordt mede begrepen de inschakeling van (nieuwe) sub-verwerkers, onverminderd het bepaalde in artikel 3 (Inzet van sub-verwerkers) en artikel 12 (Wijziging).
1.8 Het verwerken van gegevens door Verwerker, waaronder persoonsgegevens, zal nimmer met zich meebrengen dat de databases van Verwerker worden verrijkt met de gegevens afkomstig uit de datasets van Verwerkingsverantwoordelijke. Het zonder schriftelijke toestemming combineren van gegevens afkomstig van Verwerkingsverantwoordelijke door Verwerker is niet toegestaan.
1.9 De in deze Verwerkersovereenkomst gehanteerde definities hebben dezelfde betekenis als de overeenstemmende definities opgenomen in de AVG.
ARTIKEL 2. VERPLICHTINGEN VERWERKER
2.1 Verwerker garandeert de naleving van de toepasselijke wet- en regelgeving, waaronder in ieder geval begrepen de wet- en regelgeving op het gebied van de bescherming van persoonsgegevens, waaronder de AVG.
2.2 Verwerker zal Verwerkingsverantwoordelijke, op diens eerste verzoek daartoe, informeren over de door haar genomen maatregelen aangaande haar verplichtingen onder deze Verwerkersovereenkomst en de AVG.
2.3 De verplichtingen van de Verwerker die uit deze Verwerkersovereenkomst voortvloeien, gelden ook voor degenen die persoonsgegevens verwerken onder het gezag van verwerker, waaronder maar niet beperkt tot een op enigerlei wijze aan Verwerker verbonden (natuurlijke) persoon, zoals personeel, docenten en/of studenten. Verwerker zorgt daarbij o.a. voor de juiste autorisaties wat betreft toegang van deze personen tot de persoonsgegevens van Verwerkingsverantwoordelijke.
2.4 Verwerker zal Verwerkingsverantwoordelijke ondersteunen bij de uitvoering van een Data Protection Impact Assessment (hierna: ‘DPIA’) wanneer Verwerker dit op grond van de AVG verplicht is, of ondersteuning hierbij vanuit de Verwerkingsverantwoordelijke gewenst is. Deze ondersteuning kan zich onder andere uiten in het ter beschikking stellen van de benodigde informatie door Verwerker aan Verwerkingsverantwoordelijke, voor het correct uitvoeren van de DPIA. Uitsluitend na voorafgaand overleg hierover en instemming door Verwerkingsverantwoordelijke, kan Verwerker de redelijke kosten die ter ondersteuning van de DPIA door Verwerker worden gemaakt in rekening brengen bij Verwerkingsverantwoordelijke.
ARTIKEL 3. INZET VAN SUB-VERWERKERS
3.1 Zonder de voorafgaande schriftelijke toestemming van Verwerkingsverantwoordelijke verleent, Verwerker aan sub-verwerkers, waaronder hulpleveranciers en aan groepsmaatschappijen waartoe Verwerker behoort, zoals dochter- of zustermaatschappijen, geen toegang tot de persoonsgegevens. Verwerkingsverantwoordelijke zal deze toestemming niet op onredelijke gronden onthouden. Bij het verlenen van toestemming is Verwerkingsverantwoordelijke gerechtigd voorwaarden te verbinden of de toestemming in tijd te beperken.
3.2 Bij inschakeling van sub-verwerkers zal Verwerker schriftelijk minimaal dezelfde verplichtingen opleggen aan de sub-verwerker als die gelden jegens de Verwerker in deze Verwerkersovereenkomst. Verwerkingsverantwoordelijke heeft het recht de mogelijk hierbij betrokken overeenkomsten in te zien.
3.3 Verwerker staat in voor een correcte naleving van deze plichten door deze sub-verwerkers.
ARTIKEL 4. BEVEILIGING
4.1 Verwerker brengt passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking (zoals onbevoegde kennisname, aantasting, wijziging of verstrekking van de persoonsgegevens). Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging daarvan, een passend beveiligingsniveau gelet op de risico’s die de verwerking en de aard van de te beschermen persoonsgegevens meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking te voorkomen en voldoen aan de beveiligingseisen gesteld aan de verwerking van persoonsgegevens op grond van artikel 32 AVG. In Bijlage A zijn de concrete beveiligingsmaatregelen beschreven die de Verwerker in ieder geval zal toepassen.
4.2 Verwerker zal te allen tijde een passend en actueel beveiligingsbeleid hanteren waarin de technische en organisatorische beveiligingsmaatregelen zijn uitgewerkt.
ARTIKEL 5. VERTROUWELIJKHEID
5.1 Partijen zullen alle gegevens waarvan zij het vertrouwelijk karakter kennen of redelijkerwijs kunnen vermoeden en die hen in het kader van de uitvoering van de Overeenkomst of Verwerkersovereenkomst ter kennis of beschikking komen, geheimhouden en op geen enkele wijze (zelfs niet wanneer deze in een zodanige vorm is gebracht zodat deze niet tot betrokkenen herleidbaar is) verder intern of extern bekendmaken en/of aan derden verstrekken, behalve voor zover:
5.2 Partijen zullen voor hen werkzame personen (ongeacht of deze direct in dienst zijn), die betrokken zijn bij de verwerking van vertrouwelijke gegevens contractueel verplichten tot geheimhouding van die vertrouwelijke gegevens.
ARTIKEL 6. MELDPLICHT DATALEKKEN EN BEVEILIGINGSINBREUKEN
6.1 In het geval van een (vermoeden van) een Datalek (een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens) zal Verwerker de Verwerkingsverantwoordelijke direct, doch uiterlijk binnen vierentwintig (24) uur na de eerste ontdekking van het incident, informeren, naar aanleiding waarvan de Verwerkingsverantwoordelijke beoordeelt of zij de betrokkene(n) en/of de relevante toezichthouder(s) zal informeren of niet. De meldplicht geldt ongeacht de impact van het lek.
6.2 De meldplicht behelst in ieder geval het melden van het feit dat er een lek is geweest, als ook voor zover bekend bij Verwerker:
– wat de (vermeende) oorzaak is van het lek;
– wat het (vooralsnog bekende en/of te verwachten) gevolg is;
– wat de (voorgestelde) oplossing is;
– contactgegevens voor de opvolging van de melding;
– het aantal personen waarvan gegevens zijn gelekt (indien geen exact aantal bekend is: het minimale en maximale aantal personen waarvan gegevens zijn gelekt);
– een omschrijving van de groep personen van wie gegevens zijn gelekt;
– het soort of de soorten persoonsgegevens die gelekt zijn (zie: Bijlage B);
– de datum waarop het lek heeft plaatsgevonden (indien geen exacte datum bekend is: de periode waarbinnen het lek heeft plaatsgevonden);
– de datum en het tijdstip waarop het lek bekend is geworden bij Verwerker of bij een door hem ingeschakelde sub-verwerker;
– of de gegevens versleuteld, gehasht of op een andere manier onbegrijpelijk of ontoegankelijk zijn gemaakt voor onbevoegden;
– wat de voorgenomen en/of reeds ondernomen maatregelen zijn om het lek te dichten en om de gevolgen van het lek te beperken.
6.3 Verwerker garandeert dat de onder artikel 6.2 verstrekte informatie volledig, juist en nauwkeurig is.
6.4 Verwerker zal op eigen kosten alle redelijkerwijs benodigde maatregelen treffen om onbevoegde kennisneming, wijziging, en verstrekking dan wel anderszins onrechtmatige verwerking te voorkomen of te beperken en een schending van beveiligingsmaatregelen, schending van de geheimhoudingsplicht of verder verlies van vertrouwelijke gegevens te beëindigen en in de toekomst te voorkomen, onverminderd enig recht van Verwerkingsverantwoordelijke op schadevergoeding of andere maatregelen. Deze bepaling is van toepassing op incidenten bij de Verwerker en op door haar eventuele ingeschakelde sub-verwerkers.
6.5 Verwerker zal op verzoek van Verwerkingsverantwoordelijke, of indien de wet- en/of regelgeving dit vereist, meewerken aan het informeren van de bevoegde autoriteiten en betrokkene(n).
ARTIKEL 7. INTERNATIONAAL VERKEER
7.1 Verwerker garandeert dat iedere verwerking van persoonsgegevens welke door of namens Verwerker met inbegrip van de door haar ingeschakelde sub-verwerkers wordt verricht in verband met het uitvoeren van de Overeenkomst binnen de Europese Economische Ruimte (EER) plaats zal vinden. Het verwerken van gegevens buiten de EER is enkel toegestaan, mits aan de wettelijke voorwaarden hiervoor conform de AVG is voldaan. Verwerker zal de persoonsgegevens niet verwerken in landen buiten de EER wanneer hiervoor niet aan de wettelijke voorwaarden is voldaan, zonder voorafgaande schriftelijke toestemming van de Verwerkingsverantwoordelijke. Verwerkingsverantwoordelijke mag nadere voorwaarden verbinden aan deze toestemming.
7.1.1 WhatsApp
Meta neemt gegevensbescherming en de privacy van mensen zeer serieus en is toegewijd om te blijven voldoen aan de wetgeving op het gebied van gegevensbescherming. De Cloud API stelt klanten in staat om te blijven voldoen aan hun verplichtingen onder de Algemene Verordening Gegevensbescherming (AVG). Meta voldoet aan de toepasselijke wettelijke, industriële en regelgevende vereisten, evenals aan de beste praktijken in de industrie.
Meta en zijn dochterondernemingen, waaronder WhatsApp, voldoen allemaal aan de AVG.
De nieuwe Bedrijfsvoorwaarden van Meta omvatten de Standaard Contractuele Clausules die het EU-VS en het Zwitsers-VS Privacy Shield vervangen. Meta is verheugd met de beslissing van het Hof van Justitie van de Europese Unie om de geldigheid van Standaard Contractuele Clausules voor gegevensoverdrachten naar niet-EU-landen te bevestigen.
Bronnen: https://developers.facebook.com/docs/whatsapp/cloud-api/support/faqs
7.2 Op het moment dat er persoonsgegevens worden verwerkt buiten de EER, zal de transmissie van de persoonsgegevens uitsluitend versleuteld plaatsvinden waarbij voor de versleuteling geavanceerde (zijnde minstens zo geavanceerd als in de markt gebruikelijk) technieken zullen worden gebruikt.
7.3 Verwerker verschaft voorafgaand aan het sluiten van de Verwerkersovereenkomst inzicht in de locatie(s) waar de gegevensverwerkingen in het kader van de Overeenkomst zullen plaatsvinden. Ten tijde van het sluiten van de overeenkomst zijn de gegevens opgeslagen op servers van Leaseweb die in Nederland gebaseerd zijn.
ARTIKEL 8. OPSPORINGSVERZOEKEN
8.1 Indien Verwerker een verzoek of een bevel van een Nederlandse of buitenlandse toezichthouder, overheidsinstantie of een opsporings-, strafvorderings- of nationale veiligheidsinstantie ontvangt om (inzage in) persoonsgegevens te verschaffen, dan zal Verwerker de Verwerkingsverantwoordelijke onverwijld informeren voor zover dat wettelijk gezien is toegestaan. Bij de behandeling van het verzoek of bevel zal Verwerker alle instructies van Verwerkingsverantwoordelijke, voor zover dit wettelijk gezien is toegestaan, in acht nemen (waaronder de instructie om de behandeling van het verzoek of bevel geheel of gedeeltelijk aan Verwerkingsverantwoordelijke over te laten) en alle redelijkerwijs benodigde medewerking verlenen.
ARTIKEL 9. RECHTEN VAN BETROKKENEN
9.1 Verwerker zal haar volledige medewerking verlenen opdat Verwerkingsverantwoordelijke kan voldoen aan zijn wettelijke verplichtingen in het geval dat een betrokkene een van zijn wettelijke rechten wenst uit te oefenen.
9.2 Indien een betrokkene met betrekking tot de uitvoering van zijn rechten onder de AVG direct contact opneemt met Verwerker, dan zal Verwerker dit verzoek doorzenden aan Verwerkeringsverantwoordelijke. De Verwerker gaat hier- behoudens uitdrukkelijke andersluidende instructie van Verwerkingsverantwoordelijke – niet (inhoudelijk) op in, maar informeert de betrokkene enkel over het feit dat hij het verzoek heeft doorgezonden aan de Verwerkingsverantwoordelijke.
ARTIKEL 10. (INTELLECTUELE) EIGENDOMSRECHTEN EN ZEGGENSCHAP
10.1 Alle (intellectuele) eigendomsrechten – daaronder begrepen enig auteursrecht en databankenrecht – op (het bestand of de bestanden van) gegevens, data, informatie en enig ander materiaal of inhoud die de Verwerkingsverantwoordelijke en/of haar Gebruikers (waaronder wordt begrepen alle natuurlijke personen gerelateerd aan de Verwerkingsverantwoordelijke die door de Verwerkingsverantwoordelijke zijn geautoriseerd om toegang te krijgen tot de persoonsgegevens) invoeren, versturen, plaatsen of anderszins verwerken met behulp van de Dienst blijven te allen tijde berusten bij Verwerkingsverantwoordelijke, de betreffende Gebruiker, dan wel hun respectievelijke licentiegever(s). Voornoemde geldt ook indien er volgens de geldende wet- en regelgeving geen eigendomsrechten op de data zouden rusten.
10.2 Verwerker heeft geen zelfstandige zeggenschap over bovengenoemde informatie die door haar worden verwerkt. De zeggenschap berust bij Verwerkingsverantwoordelijke en/of de betreffende Gebruiker.
ARTIKEL 11. WIJZIGING
11.1 Partijen mogen deze Verwerkersovereenkomst alleen schriftelijk en met wederzijdse instemming wijzigen.
11.2 Indien een wijziging in de te verwerken persoonsgegevens, DPIA of een risicoanalyse van de verwerking van persoonsgegevens daartoe aanleiding geeft treden partijen op eerste verzoek van Verwerkingsverantwoordelijke in overleg over het aanpassen van de gemaakte afspraken binnen deze Verwerkersovereenkomst. De nieuw te maken afspraken dienen voorafgaand aan de toepassing daarvan schriftelijk te zijn vastgelegd en ondertekend, en deel uit te maken van deze Verwerkersovereenkomst.
11.3 De wijzigingen kunnen nooit tot gevolg hebben dat Verwerkingsverantwoordelijke niet kan voldoen aan haar verplichtingen op basis van de relevante wet- en regelgeving met betrekking tot de verwerking van persoonsgegevens.
11.4 Verwerker zal zijn volledige medewerking verlenen deze Verwerkersovereenkomst aan te passen en geschikt te maken voor eventuele nieuwe privacywetgeving.
ARTIKEL 12. AANSPRAKELIJKHEID
12.1 Voor de aansprakelijkheid van Partijen voor schade als gevolg van een toerekenbare tekortkoming in de nakoming van de Verwerkersovereenkomst, dan wel uit onrechtmatige daad of anderszins, wordt de in de Overeenkomst neergelegde regeling omtrent schadevergoeding van toepassing verklaard.
ARTIKEL 13. DUUR EN BEËINDIGING
13.1 De duur van de Verwerkersovereenkomst is gelijk aan de duur van de Overeenkomst en bij gebreke daarvan voor de duur van de verwerking van persoonsgegevens van Verwerkingsverantwoordelijke door Verwerker. De Verwerkersovereenkomst is niet los van de Overeenkomst te beëindigen.
13.2 Bij beëindiging van de Overeenkomst om welke reden ook, dan wel op eerste verzoek van Verwerkingsverantwoordelijke gedurende de looptijd van de Overeenkomst, zal Verwerker -tegen een beperkte vergoeding die de door Verwerker hiervoor redelijkerwijs en aantoonbaar gemaakte kosten niet overschrijden – ervoor zorgdragen dat naar keuze van Verwerkingsverantwoordelijke op voor Verwerkingsverantwoordelijke eenvoudige bruikbare wijze (i) alle of een door Verwerkingsverantwoordelijke bepaald gedeelte haar in het kader van de Dienst ter beschikking gestelde (persoons)gegevens worden vernietigd op alle locaties, (ii) alle of een door Verwerkingsverantwoordelijke bepaald gedeelte van haar in het kader van de Dienst ter beschikking gestelde (persoons)gegevens aan een opvolgend dienstverlener ter beschikking worden gesteld, dan wel (iii) Verwerkingsverantwoordelijke en/of Gebruikers in de gelegenheid worden gesteld om hun (Persoons)gegevens of een door Verwerkingsverantwoordelijke bepaald gedeelte van de (persoons)gegevens aan de Dienst te onttrekken. Verwerkingsverantwoordelijke kan zo nodig nadere eisen stellen aan de wijze van beschikbaarstelling, waaronder eisen aan het bestandsformaat, dan wel vernietiging.
ARTIKEL 14. TOEPASSELIJK RECHT EN GESCHILLENBESLECHTING
14.1 De Verwerkersovereenkomst en de uitvoering daarvan worden beheerst door Nederlands recht.
14.2 Alle geschillen, welke tussen Partijen mochten ontstaan in verband met de Verwerkersovereenkomst, zullen worden voorgelegd aan de bevoegde rechter in de plaats waar Verwerkingsverantwoordelijke gevestigd is.
Bijlage A: Specificatie beveiligingsmaatregelen
Beveiligingsmaatregelen
Om de beveiliging van gegevens en diensten op het verwachte en vereiste niveau te houden heeft Recrubo maatregelen getroffen op organisatorisch, technisch, fysiek en procedureel vlak. Informatiebeveiliging speelt een rol door de hele organisatie: van directiebetrokkenheid tot inbraakpreventiesystemen.
Een kleine greep uit het uitgebreide scala van beveiligingsmaatregelen op verschillende niveaus:
Personeel
Recrubo heeft medewerkers door middel van de ondertekening van een geheimhoudingsverklaring verplicht om zowel tijdens de arbeidsovereenkomst als na afloop daarvan, strikte geheimhouding te betrachten van alle bedrijfsgegevens in de ruimste zin van het woord. Deze geheimhoudingsplicht geldt ook voor alle andere informatie waarvan in het kader van de arbeidsovereenkomst kennis is verkregen en waarvan het vertrouwelijke karakter bekend is, expliciet is opgelegd of waarvan sprake is van een redelijkerwijs vermoeden.
OTAP
Voor de Recrubo-systemen is een fysieke scheiding aangebracht tussen de ontwikkel-, test-, acceptatie-, en de productieomgeving.
Doel van het OTAP-model is op de eerste plaats het waarborgen van een strikte scheiding tussen ontwikkel- en productieomgeving, waarbij integriteit en beschikbaarheid van de productieomgeving een belangrijke rol speelt. De productieomgeving is de omgeving die gebruikt wordt voor de dagelijkse gegevensverwerking.
Overzicht autorisatie rollen voor uitvoer van de betrokken diensten
De support medewerkers en een beperkt aantal developers hebben volledig toegang tot de Persoonsgegevens vanwege beheer platform en applicatieomgeving en oplossen van applicatie- en/of klant specifieke incidenten.
Bijlage B – Specificatie te verwerken gegevens
Bij het uitvoeren van de werkzaamheden, zoals aangeduid in de Hoofdovereenkomst, verwerkt de Verwerker Persoonsgegevens. Afhankelijk van de door Verwerkingsverantwoordelijke gebruikte diensten kunnen de volgende (soort) Persoonsgegevens worden verwerkt:
De Persoonsgegevens van Betrokkenen kunnen worden verwerkt:
Bijlage C – Toegestane sub-verwerkers
Lijst met activiteiten van Subverwerkers waarvoor Verwerkingsverantwoordelijke een algemene toestemming geeft:
Niet elke sub-verwerker komt in aanraking met dezelfde (hoeveelheid) persoonsgegevens. Per omgeving wordt zoveel als mogelijk gedaan aan data minimalisatie.
In gebruik zijnde sub-verwerkers:
KvK: 80480233
Pieter Vreedeplein 45
5038 BW Tilburg