Deze Verwerkersovereenkomst regelt
de verwerking van persoonsgegevens door Evelien Verkade, werkend onder de
handelsnamen ‘Yes! Creation BV’ en ‘YES!', hierna te noemen Yes!, gevestigd aan de
Rietdekkerslaan 13, 3781 WB, Voorthuizen, ingeschreven in het Handelsregister
onder respectievelijk de nummers 08134239 en 82656770,
e-mail
evelien@yes-improve.nl, URL
https://www.yes-improve.nlTenzij anders vermeld, is Evelien Verkade verwerkingsverantwoordelijke voor de persoonsgegevens die we verzamelen en waarop deze Privacyverklaring van toepassing is.
Deze overeenkomst legt uit welke persoonsgegevens wij verzamelen en hoe wij die gebruiken in het kader van het gebruiken van het digitale portaal.
Deze verwerkersovereenkomst sluit aan op onze privacyverklaring.
We respecteren hierbij uw privacy en die van iedereen die ook bij het Portaal betrokken is en uw en hun recht om uw persoonsgegevens te controleren.
Onze uitgangspunten zijn hierbij:
- Persoonlijke gegevens beschermen we alsof die van onszelf zijn.
- Persoonlijke gegevens gebruiken we alleen voor de in deze privacyverklaring omschreven doeleinden.
- Gegevens bewaren we niet langer dan noodzakelijk is om de in deze privacyverklaring genoemde doeleinden te bereiken.
- Persoonlijke gegevens delen we nooit zonder gegronde reden met andere partijen.
- Onze digitale hulpmiddelen zijn gebouwd in state-of-the-art technologie, en worden maximaal beveiligd met allerlei voorzieningen.
2.1. Deze verwerkersovereenkomst treedt in werking op de datum waarop de overeenkomst waar deze verwerkersovereenkomst onderdeel van uit maakt, ondertekend is.
2.2. Deze verwerkersovereenkomst is integraal onderdeel van de (licentie)overeenkomst met de klant en zal gelden voor zolang de overeenkomst duurt.
2.3. Indien de overeenkomst eindigt, eindigt deze verwerkersovereenkomst automatisch. De verwerkersovereenkomst kan niet apart worden opgezegd.
2.4. Na beëindiging van deze verwerkersovereenkomst zullen de lopende verplichtingen voor gegevensverwerker, zoals het melden van datalekken waarbij de persoonsgegevens van gegevensverantwoordelijke betrokken zijn, en de plicht tot geheimhouding, blijven voortduren.
2.1. Gegevensverwerker zal alleen persoonsgegevens verwerken in opdracht van gegevensverantwoordelijke en heeft geen zeggenschap over de persoonsgegevens. Gegevensverwerker volgt de instructies van gegevensverantwoordelijke hierover op en zal de persoonsgegevens niet op een andere manier verwerken, tenzij gegevensverantwoordelijke daar vooraf toestemming of opdracht voor geeft.
2.2. In Bijlage 1 is opgenomen welke persoonsgegevens gegevensverwerker zal verwerken en voor welke verwerkingsdoeleinden.
2.3. Gegevensverwerker houdt zich aan de wet en verwerkt de gegevens op een behoorlijke, zorgvuldige en transparante wijze.
2.4. Gegevensverwerker zal zonder voorafgaande schriftelijke toestemming geen andere personen of organisaties inschakelen bij het verwerken van de persoonsgegevens van gegevensverantwoordelijke, tenzij dit voor de opdracht noodzakelijk is, zoals bijvoorbeeld ten behoeve van hosting, beheer, onderhoud en monitoring.
2.5. Wanneer gegevensverwerker met toestemming andere organisaties inschakelt, moeten deze voldoen aan de eisen die zijn opgenomen in deze verwerkersovereenkomst.
2.6. Wanneer gegevensverantwoordelijke een verzoek krijgt van een betrokkene die zijn of haar privacy-rechten wil uitoefenen, werkt gegevensverwerker daaraan mee. Deze rechten bestaan uit een verzoek om inzage, verbetering, aanvulling, verwijdering of afscherming, bezwaar maken tegen de verwerking van de persoonsgegevens en een verzoek tot overdraagbaarheid van de eigen persoonsgegevens.
2.7. Wanneer gegevensverantwoordelijke verzoekt om informatie, dan zal gegevensverwerker de informatie verstrekken die nodig is voor het uitvoeren van een gegevensbeschermingseffectbeoordeling. Dit kan nodig zijn om in te schatten wat het risico van de verwerking is die gegevensverwerker namens gegevensverantwoordelijke uitvoert.
3.1. Gegevensverwerker zorgt ervoor dat de persoonsgegevens voldoende beveiligd zijn. Om verlies en onrechtmatige verwerkingen te voorkomen neemt gegevensverwerker passende technische en organisatorische maatregelen.
3.2. Deze maatregelen zijn afgestemd op het risico van de verwerking. Een overzicht van deze maatregelen en het beleid daarover staat in Bijlage genummerd 2.
3.3. Gegevensverantwoordelijke kan verzoeken om een rapportage waarin de genomen beveiligingsmaatregelen staan en de eventueel mogelijke aandachts- en/of verbeterpunten. De kosten hiervan komen voor rekening van gegevensverantwoordelijke.
3.4. Gegevensverantwoordelijke mag een inspectie of audit in de organisatie van gegevensverwerker laten uitvoeren om te bepalen of het verwerken van de persoonsgegevens aan de wet en de afspraken uit deze verwerkersovereenkomst voldoet. Hieraan zal gegevensverwerker medewerking verlenen, waaronder het toegang verlenen tot gebouwen en databases en het ter beschikking stellen van alle relevante informatie, voor zover dit naar redelijkheid en billijkheid passend is en niet de rechten van anderen schaadt.
3.5. Wanneer een van partijen vindt dat een wijziging in de te nemen beveiligingsmaatregelen noodzakelijk is, treden partijen in overleg over de wijziging daarvan.
4.1. Gegevensverwerker zal geen persoonsgegevens laten verwerken door andere personen of organisaties buiten de Europese Economische Ruimte (EER), zonder daarvoor voorafgaande schriftelijke toestemming te hebben verkregen van gegevensverantwoordelijke, tenzij dit voor de werkzaamheden noodzakelijk is
5.1. Gegevensverwerker zal de aan hem verstrekte persoonsgegevens geheim houden, tenzij dit op basis van een wettelijke verplichting niet mogelijk is.
5.2. Gegevensverwerker zal ervoor zorgen dat ook zijn personeel en ingeschakelde hulppersonen zich aan deze geheimhouding houden, door een geheimhoudingsplicht in de (arbeids)contracten op te nemen.
6.1. In geval van een ontdekking van een mogelijk datalek zal gegevensverwerker hierover gegevensverantwoordelijke informeren binnen 24 uur en de informatie verstrekken die is aangegeven in Bijlage 3, zodat gegevensverantwoordelijke indien nodig een melding bij de toezichthouder kan doen.
762. Na de melding van een datalek zullen partijen elkaar op de hoogte houden van nieuwe ontwikkelingen rond het datalek en de maatregelen die worden getroffen om de omvang ervan te beperken en te beëindigen en een soortgelijk incident in de toekomst te trachten voorkomen.
7.3. Gegevensverwerker doet zelf geen melding van een datalek aan de toezichthouder en/of de betrokkenen, wat een verantwoordelijkheid is van gegevensverantwoordelijke.
7.4. Eventuele kosten die gemaakt worden om een datalek op te lossen en in de toekomst te kunnen voorkomen, komen voor rekening van gegevensverantwoordelijke.
7.1. Als een der partijen zich niet houdt aan bepalingen in deze verwerkersovereenkomst, dan kan de andere partij deze partij daarvoor aansprakelijk stellen.
7.2. Gevolgschades of boetes zijn niet verhaalbaar op gegevensverwerker.
7.3. Partijen zijn niet aansprakelijk voor aanspraken van betrokkenen of andere personen en organisaties wanneer er sprake is van overmacht.
8.1. Na het beëindigen van deze verwerkersovereenkomst geeft gegevensverwerker de persoonsgegevens terug, waarbij achterblijvende persoonsgegevens op een zorgvuldige en veilige manier vernietigd zullen worden.
8.2. De persoonsgegevens die worden verwerkt volgens deze verwerkersovereenkomst, zullen vernietigd worden na het verstrijken van de wettelijke bewaartermijn en/of op verzoek van gegevensverantwoordelijke. Een wettelijke bewaartermijn is er bijvoorbeeld wanneer gegevensverwerker de persoonsgegevens moet bewaren om belastingtechnische redenen.
9.1 Deze verwerkersovereenkomst is onderdeel van de aangegane (licentie)overeenkomst. Alle rechten en verplichtingen uit de overeenkomst zijn daarom ook van toepassing op de verwerkersovereenkomst.
9.2. Bij eventuele tegenstrijdigheden tussen de bepalingen in de verwerkersovereenkomst en de overeenkomst gelden de bepalingen uit deze verwerkersovereenkomst.
9.3. Afwijkingen van deze verwerkersovereenkomst zijn slechts geldig wanneer partijen dit samen schriftelijk afspreken.
9.4. Op deze verwerkersovereenkomst en de werkzaamheden is het Nederlandse recht van toepassing.
Bijlage 1 | Overzicht verwerkingen persoonsgegevens en verwerkingsdoelen
Beschrijving verwerkingsactiviteiten door verwerker- Het optreden als ondersteuner en adviseur bij zorgprocessen voor klanten in de breedste zin des woords
- Inclusief het bieden (ontwikkelen, managen, beheren, onderhouden enz.) van online en offline tools bij deze zorgprocessen
- En inbegrepen het (laten) ontwikkelen, produceren en uitgeven van software.
Verwerkingsdoelen- Het technisch en inhoudelijk laten functioneren van de digitale en andersoortige oplossingen voor klanten.
Verwerkte Persoonsgegevens- Verwerkt worden alle gegevens waarom opdrachtgever vraagt, en/of die noodzakelijk zijn voor de verwerkingsactiviteiten en/of verwerkingsdoelen.
Locatie verwerkingen- Er wordt gewerkt vanuit Voorthuizen of op locatie bij de klant.
Bewaartermijn
- De gegevens worden bewaard zolang dat noodzakelijk is voor bedrijfstechnische en/of organisatorische redenen, en/of de uitvoering van (te verwachten) werkzaamheden voor de klant.
Bijlage 2 | Overzicht met beveiligingsmaatregelen
Technische beveiligingsmaatregelen- Het werken met state-of-the-art programmeertalen, zoals Django Python
- Beveiligde internetverbindingen
- SSL-certificaten
- Beveiligde backups: ieder uur, elke dag, met een retentie van een maand op gesepareerde omgevingen
- Unieke inlogcodes en wachtwoorden (die regelmatig worden aangepast)
- Versleutelde e-mail
- Two-factor authenticatiesysteem voor toegang tot eigen systeem
- Ping systeem voor uptime (iedere 2 minuten een check) met eventuele feedbackmelding van type downtime.
Organisatorische beveiligingsmaatregelen- Clean desk policy
- Geen onbemande computers
- Computers vergrendeld op username en password
- Privacybepaling in contracten van medewerkers
- Ontzeggen toegang tot systemen bij vertrek medewerkers.
Bijlage 3 | Proces van melden van datalekken en de te verstrekken informatieEen datalek is een beveiligingsincident waarbij persoonsgegevens mogelijk verloren zijn gegaan of onbedoeld toegankelijk waren voor derden. Het gaat om gegevens die te koppelen zijn aan deze personen, zoals, maar niet beperkt tot, namen, adressen, telefoonnummers, e-mailadressen, login gegevens, cookies, IP-adressen of identificerende gegevens van computers of telefoons.
Waar wordt een beveiligingsincident gemeld?
Als Yes! een beveiligingsincident ontdekt, wordt direct contact opgenomen met de betrokken functionaris van de opdrachtgever.
Zoveel als mogelijk is, zal de navolgende informatie worden gemeld, ook ten behoeve van de Autoriteit Persoonsgegevens:
- Een samenvatting van het beveiligingslek/beveiligingsincident/datalek (wat is er gebeurd). Met ook de naam/namen van de betrokken systemen.
- De typen persoonsgegevens die zijn betrokken bij het beveiligingsincident. Zoals, maar niet beperkt tot, naam, adres, e-mailadres, IP-nummer, burgerservicenummer, pasfoto en ieder ander tot een persoon te herleiden gegeven.
- Het aantal personen van wie de persoonsgegevens betrokken zijn bij het beveiligingsincident. Met een inschatting van het minimum en maximum aantal personen.
- Omschrijving van de groep personen om wiens gegevens het gaat. Met een mogelijke afbakening van de betrokken groep, met bijzondere aandacht voor gegevens van kwetsbare (groepen van) personen.
- Het al dan niet bekend zijn van de contactgegevens van de betrokken personen. Met de mogelijkheid om betrokkenen te informeren over het datalek.
- De oorzaak (root cause) of de inschatting daarvan betreffende het beveiligingsincident.
- De datum of periode waarop/waarin het beveiligingsincident plaatsvond.