VERWERKERSOVEREENKOMST
AAS at Work B.V.
Bestaande uit:
- Deel 1. Data Pro-verklaring
- Deel 2. Standaardclausules voor verwerking
DATA PRO-VERKLARING
Deze Data Pro Statement vormt samen met de Standaardclausules voor Verwerkingen de verwerkersovereenkomst voor het product of de diensten van AAS At Work BV.
ALGEMENE INFORMATIE
- Deze Data Pro Statement is opgesteld door AAS At Work BV, Bergen 2, 4844 EN Terheijden. Voor vragen over deze Data Pro Statement of gegevensbescherming kunt u contact opnemen met A. Hendriks, albert@aasatwork.nl
- Deze Data Pro Statement is van toepassing vanaf 1 mei 2018. Indien nodig passen wij de in deze Data Pro Statement beschreven beveiligingsmaatregelen regelmatig aan om voorbereid en up-to-date te blijven met betrekking tot gegevensbescherming. We houden je op de hoogte van nieuwe versies via onze normale kanalen.
NAViDocs OCR-service
- Deze Data Pro-verklaring is van toepassing op de NAViDocs OCR-service.
- De NAViDocs OCR Service is een Software as a Service (SAAS) applicatie gericht op automatische documentverwerking voor Microsoft Dynamics NAV en Business Central.
- De NAViDocs OCR-service is ontworpen om tekst uit aangeleverde digitale documenten/afbeeldingen te extraheren en terug te sturen naar de klant.
- Dit product/deze dienst houdt geen rekening met de verwerking van bijzondere persoonsgegevens, of gegevens met betrekking tot strafrechtelijke veroordelingen en overtredingen. Verwerking van deze gegevens met voornoemd product of dienst door de opdrachtgever geschiedt naar eigen inzicht van de opdrachtgever.
- De gegevensverwerker heeft privacy by design toegepast in het ontwerp van het product/de dienst op de volgende manier:
- Gebruikers kunnen zelf bestanden uploaden in verschillende formaten (pdf, jpeg etc.) en kunnen, indien nodig, zelf gegevens wijzigen en verwijderen binnen hun eigen Dynamics NAV / Business Central omgeving.
- Verwerker controleert de gegevens niet en zal alleen gegevens inzien op verzoek van de opdrachtgever, bijvoorbeeld indien nodig om een vraag aan de helpdesk te beantwoorden.
- Gegevensverwerker maakt gebruik van de Data Pro Standard Clauses for Processing, die te vinden zijn op www.dataprocode.nl.
- Gegevensverwerker verwerkt de persoonsgegevens van haar klanten binnen de EU/EER.
- Gegevensverwerker maakt geen gebruik van subverwerkers.
- Gegevensverwerker helpt de klant bij verzoeken van betrokkenen om tekst te extraheren uit door de klant aangeleverde documenten in pdf-formaat en afbeeldingen.
- Na beëindiging van de overeenkomst met een opdrachtgever zal de gegevensverwerker de persoonsgegevens die zij voor de opdrachtgever verwerkt in beginsel binnen 3 maanden zodanig verwijderen dat deze niet meer gebruikt kunnen worden en niet meer toegankelijk zijn.
- Na beëindiging van de overeenkomst met een opdrachtgever zal de gegevensverwerker alle persoonsgegevens die zij voor de opdrachtgever verwerkt binnen 3 maanden retourneren.
Beveiligingsbeleid
- De gegevensverwerker heeft de volgende beveiligingsmaatregelen genomen om zijn product of dienst te beschermen:
- Toegang tot de NAViDocs OCR-service via een beveiligde verbinding (SSL) met authenticatie op twee niveaus.
- Door de gebruiker te definiëren toegang.
- Gebruikers moeten hun wachtwoord regelmatig wijzigen, ten minste eenmaal per zes maanden.
- Strikte scheiding van gegevens per klant.
- Anonimisering van aangeleverde documenten/afbeeldingen.
- Verwijdering van aangeleverde documenten/afbeeldingen na een periode van 3 maanden.
- De gegevensverwerker heeft zich geconformeerd aan het volgende Information Security Management System (ISMS): • NEN 7510, NEN 7512, NEN 7513 (voor de gezondheidszorg; voor zover van toepassing).
Protocol voor datalekken
- In het geval dat er toch iets misgaat, zal de gegevensverwerker het volgende datalekprotocol gebruiken om ervoor te zorgen dat de klant op de hoogte is van incidenten:
- Er is een procedure voor het intern melden van incidenten. Indien de gegevensverwerker een datalek in haar organisatie ontdekt, zal de gegevensverwerker haar opdrachtgever hiervan zo spoedig mogelijk op de hoogte stellen door contact op te nemen met de persoon die hiervoor door de opdrachtgever is aangewezen. De gegevensverwerker zal zoveel mogelijk relevante informatie verstrekken, waaronder een beschrijving van het incident, de aard van de inbreuk, de aard van de betrokken persoonsgegevens of categorieën van betrokkenen, een schatting van het aantal betrokkenen en de mogelijk betrokken databases, een indicatie van wanneer het incident heeft plaatsgevonden en wat er is gebeurd.
- Meldingen worden indien mogelijk binnen 4 uur aan klanten gedaan. Gegevensverwerker zal zelf geen meldingen doen aan AP of Betrokkenen. Het al dan niet melden blijft de verantwoordelijkheid van de door de Opdrachtgever aangewezen persoon. De gegevensverwerker zal, indien gewenst, de opdrachtgever of de verwerkingsverantwoordelijke ondersteunen in het rapportageproces.
Deel 2: Standaardclausules voor verwerking
Artikel 1. Definities
In deze Standaardbepalingen voor Verwerking, de Data Pro Statement en de Overeenkomst wordt verstaan onder:
1.1 Gegevensbeschermingsautoriteit (GBA): de toezichthoudende autoriteit, zoals gedefinieerd in artikel 4 lid 21 van de AVG.
1.2 AVG: de Algemene Verordening Gegevensbescherming.
1.3 Gegevensverwerker: de partij die als ICT-leverancier als verwerker in het kader van de uitvoering van de Overeenkomst ten behoeve van haar Opdrachtgever Persoonsgegevens verwerkt.
1.4 Data Pro Statement: een verklaring van Verwerker waarin zij onder meer informatie verstrekt over het beoogde gebruik van haar product of dienst, genomen beveiligingsmaatregelen, subverwerkers, datalekken, certificeringen en de omgang met rechten van betrokkenen.
1.5 Betrokkene: een geïdentificeerde of identificeerbare natuurlijke persoon.
1.6 Opdrachtgever: de partij in wiens opdracht Verwerker persoonsgegevens verwerkt. Opdrachtgever kan zowel verwerkingsverantwoordelijke als een andere verwerker zijn.
1.7 Overeenkomst: de overeenkomst tussen Opdrachtgever en Verwerker, op grond waarvan de ICT-leverancier diensten en/of producten levert aan Opdrachtgever, waarvan de verwerkersovereenkomst onderdeel uitmaakt.
1.8 Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon, zoals gedefinieerd in artikel 4 lid 1 AVG, die Verwerker verwerkt in het kader van de uitvoering van haar verplichtingen uit de Overeenkomst.
1.9 Verwerkersovereenkomst: deze Standaardbepalingen voor Verwerkingen, die samen met de Data Pro Statement (of vergelijkbare informatie) van Verwerker de verwerkersovereenkomst vormen als bedoeld in artikel 28 lid 3 van de AVG.
Artikel 2. Algemeen
2.1 Deze Modelbepalingen Verwerking zijn van toepassing op alle verwerkingen van Persoonsgegevens die Verwerker uitvoert in het kader van de levering van haar producten en diensten en op alle Overeenkomsten en aanbiedingen. De toepasselijkheid van de verwerkersovereenkomsten van Opdrachtgever wordt uitdrukkelijk van de hand gewezen.
2.2 De Data Pro Statement, en in het bijzonder de daarin opgenomen beveiligingsmaatregelen, kunnen van tijd tot tijd door Data Processor worden aangepast aan veranderende omstandigheden. Verwerker zal Opdrachtgever op de hoogte stellen van belangrijke wijzigingen. Indien Opdrachtgever in redelijkheid niet kan instemmen met de wijzigingen, is Opdrachtgever gerechtigd de verwerkersovereenkomst binnen 30 dagen na kennisgeving van de wijzigingen schriftelijk te ontbinden.
2.3 Verwerker verwerkt de Persoonsgegevens namens en in overeenstemming met de met Verwerker overeengekomen schriftelijke instructies van Opdrachtgever.
2.4 Opdrachtgever, dan wel diens klant, is verwerkingsverantwoordelijke in de zin van de AVG, heeft zeggenschap over de verwerking van de Persoonsgegevens en heeft het doel en de middelen van de verwerking van de Persoonsgegevens bepaald.
2.5 Verwerker is een verwerker in de zin van de AVG en heeft derhalve geen zeggenschap over het doel en de middelen van de verwerking van de Persoonsgegevens en neemt derhalve geen besluiten over onder meer het gebruik van de Persoonsgegevens.
2.6 Verwerker zal zich houden aan de AVG zoals uiteengezet in deze Standaardbepalingen voor Verwerking, het Data Pro Statement en de Overeenkomst. Het is aan Opdrachtgever om aan de hand van deze informatie te beoordelen of Verwerker voldoende waarborgen biedt met betrekking tot de toepassing van passende technische en organisatorische maatregelen om ervoor te zorgen dat de verwerking voldoet aan de eisen van de AVG en dat de bescherming van de rechten van betrokkenen voldoende gewaarborgd is.
2.7 Opdrachtgever garandeert aan Verwerker dat hij in overeenstemming met de AVG handelt, dat hij zijn systemen en infrastructuur te allen tijde adequaat beveiligt en dat de inhoud, het gebruik en/of de verwerking van de Persoonsgegevens niet onrechtmatig is en geen inbreuk maakt op enig recht van een derde.
2.8 Een door de AP aan Opdrachtgever opgelegde bestuurlijke boete kan niet worden verhaald op Verwerker, tenzij er sprake is van opzet of bewuste roekeloosheid van de directie van Verwerker.
Artikel 3. Veiligheid
3.1 Verwerker zal de technische en organisatorische beveiligingsmaatregelen nemen zoals beschreven in haar Data Pro Statement. Verwerker heeft bij het nemen van de technische en organisatorische beveiligingsmaatregelen rekening gehouden met de stand van de techniek, de uitvoeringskosten van de beveiligingsmaatregelen, de aard, omvang en context van de verwerking, de doeleinden en het beoogde gebruik van haar producten en diensten, de verwerkingsrisico's en de risico's, in termen van waarschijnlijkheid en ernst, aan de rechten en vrijheden van de betrokkenen die zij mocht verwachten met het oog op het beoogde gebruik van haar producten en diensten.
3.2 Tenzij uitdrukkelijk anders vermeld in de Data Pro Statement, is het product of de dienst van Data Processor niet ontworpen voor de verwerking van bijzondere categorieën van Persoonsgegevens of gegevens met betrekking tot strafrechtelijke veroordelingen of strafbare feiten.
3.3 Verwerker streeft ernaar dat de door haar getroffen beveiligingsmaatregelen passend zijn voor het gebruik van het door Verwerker beoogde product of dienst.
3.4 De beschreven beveiligingsmaatregelen bieden, naar het oordeel van Opdrachtgever, rekening houdend met de in artikel 3.1 genoemde factoren, een beveiligingsniveau dat is afgestemd op het risico van de verwerking van de door hem gebruikte of verstrekte Persoonsgegevens.
3.5 Verwerker kan wijzigingen aanbrengen in de genomen beveiligingsmaatregelen indien dit naar haar oordeel noodzakelijk is om een passend beveiligingsniveau te handhaven. Verwerker zal belangrijke wijzigingen vastleggen, bijvoorbeeld in een gewijzigde Data Pro Statement, en zal Opdrachtgever waar nodig op de hoogte stellen van die wijzigingen.
3.6 Opdrachtgever kan Verwerker verzoeken aanvullende beveiligingsmaatregelen te nemen. Verwerker is niet verplicht om naar aanleiding van een dergelijk verzoek wijzigingen in zijn beveiligingsmaatregelen door te voeren. Verwerker kan de kosten die verband houden met de op verzoek van Opdrachtgever doorgevoerde wijzigingen in rekening brengen bij Opdrachtgever. Pas nadat de door Opdrachtgever gewenste gewijzigde beveiligingsmaatregelen schriftelijk zijn overeengekomen en door Partijen zijn ondertekend, heeft Verwerker de verplichting om deze beveiligingsmaatregelen ook daadwerkelijk uit te voeren.
Artikel 4. Datalekken
4.1 Verwerker garandeert niet dat de beveiligingsmaatregelen onder alle omstandigheden effectief zullen zijn. Indien Verwerker een datalek (als bedoeld in artikel 4 lid 12 AVG) constateert, zal hij Opdrachtgever hiervan onverwijld op de hoogte stellen. In de Data Pro Statement (onder het datalekprotocol) is gespecificeerd op welke wijze Verwerker Opdrachtgever informeert over datalekken.
4.2 Het is aan de verwerkingsverantwoordelijke (Opdrachtgever, of diens klant) om te beoordelen of het datalek waarover Verwerker heeft geïnformeerd gemeld moet worden aan de AP of Betrokkene. Het melden van datalekken, die op basis van de artikelen 33 en 34 van de AVG moeten worden gemeld aan de GBA en/of Betrokkenen, blijft te allen tijde de verantwoordelijkheid van de verwerkingsverantwoordelijke (Klant of zijn klant). Verwerker is niet verplicht om datalekken te melden aan de AP en/of de Betrokkene.
4.3 Verwerker zal, indien nodig, nadere informatie verstrekken over het datalek en zal met Opdrachtgever samenwerken bij het verstrekken van de benodigde informatie voor een melding als bedoeld in de artikelen 33 en 34 van de AVG.
4.4 Verwerker kan de door haar in dit kader gemaakte redelijke kosten aan Opdrachtgever in rekening brengen tegen de alsdan geldende tarieven.
Artikel 5. Vertrouwelijkheid
5.1 Verwerker garandeert dat de personen die onder haar verantwoordelijkheid Persoonsgegevens verwerken een geheimhoudingsplicht hebben.
5.2 Verwerker is bevoegd de Persoonsgegevens aan derden te verstrekken, indien en voor zover een dergelijke verstrekking noodzakelijk is op grond van een gerechtelijk bevel, een wettelijke bepaling of op grond van een geldig bevel van een overheidsinstantie.
5.3 Alle toegangs- en/of identificatiecodes, certificaten, informatie over toegangs- en/of wachtwoordbeleid en alle door Verwerker aan Opdrachtgever verstrekte informatie die invulling geeft aan de in het Data Pro Statement opgenomen technische en organisatorische beveiligingsmaatregelen zijn vertrouwelijk en zullen door Opdrachtgever als zodanig worden behandeld en uitsluitend aan bevoegde medewerkers van Opdrachtgever bekend worden gemaakt. Opdrachtgever draagt er zorg voor dat zijn medewerkers de in dit artikel genoemde verplichtingen nakomen.
Artikel 6. Duur en beëindiging
6.1 Deze verwerkersovereenkomst maakt onderdeel uit van de Overeenkomst en elke nieuwe of volgende overeenkomst, treedt in werking op het moment van het sluiten van de Overeenkomst en wordt aangegaan voor onbepaalde tijd.
6.2 Deze verwerkersovereenkomst eindigt van rechtswege bij beëindiging van de Overeenkomst of enige nieuwe of volgende overeenkomst tussen partijen.
6.3 In geval van beëindiging van de verwerkersovereenkomst zal Verwerker binnen de in het Data Pro Statement genoemde termijn alle Persoonsgegevens die in haar bezit zijn en van Opdrachtgever zijn ontvangen, op zodanige wijze verwijderen dat deze niet meer kunnen worden gebruikt en niet meer toegankelijk (ontoegankelijk maken), of, indien overeengekomen, in een machinaal leesbaar formaat aan de Klant terug te sturen.
6.4 Verwerker kan de kosten die zij maakt in het kader van het bepaalde in artikel 6.3 in rekening brengen bij Opdrachtgever. Verdere afspraken kunnen worden gemaakt in de Data Pro Statement.
6.5 Het bepaalde in artikel 6.3 is niet van toepassing indien een wettelijk voorschrift Verwerker verhindert de Persoonsgegevens geheel of gedeeltelijk te wissen of terug te geven. In een dergelijk geval zal Verwerker de Persoonsgegevens slechts verder verwerken voor zover dat nodig is om aan haar wettelijke verplichtingen te voldoen. Het bepaalde in artikel 6.3 is ook niet van toepassing indien Verwerker met betrekking tot de Persoonsgegevens verwerkingsverantwoordelijke is in de zin van de AVG.
Artikel 7. Rechten van betrokkenen, gegevensbeschermingseffectbeoordeling (DPIA) en auditrechten
7.1 Verwerker zal, waar mogelijk, Opdrachtgever bijstaan bij redelijke verzoeken met betrekking tot rechten van betrokkenen die door betrokkenen bij Opdrachtgever worden ingeroepen. Indien Verwerker rechtstreeks door een betrokkene wordt benaderd, zal hij, waar mogelijk, de betrokkene doorverwijzen naar Opdrachtgever.
7.2 Indien Opdrachtgever daartoe verplicht is, zal Verwerker, na een redelijk verzoek daartoe, meewerken aan een gegevensbeschermingseffectbeoordeling (DPIA) of een daaropvolgend voorafgaand overleg als bedoeld in de artikelen 35 en 36 van de AVG.
7.3 Verwerker kan de naleving van haar verplichtingen uit de verwerkersovereenkomst aantonen door middel van een geldig Data Pro Certificaat of een gelijkwaardig certificaat of auditrapport (Third Party Memorandum) van een onafhankelijke, deskundige auditor.
7.4 Daarnaast zal Verwerker op verzoek van Opdrachtgever alle nadere informatie verstrekken die redelijkerwijs nodig is om de naleving van de in deze verwerkersovereenkomst gemaakte afspraken aan te tonen. Indien Opdrachtgever desondanks reden heeft om aan te nemen dat de verwerking van Persoonsgegevens niet in overeenstemming met de verwerkersovereenkomst plaatsvindt, kan Opdrachtgever op eigen kosten eenmaal per jaar een audit laten uitvoeren door een onafhankelijke, gecertificeerde, externe auditor die aantoonbaar ervaring heeft met het soort verwerkingen dat op grond van de Overeenkomst wordt uitgevoerd. De audit zal zich beperken tot het controleren van de naleving van de afspraken met betrekking tot de verwerking van Persoonsgegevens zoals opgenomen in deze Verwerkersovereenkomst. De auditor heeft een geheimhoudingsplicht ten aanzien van hetgeen hij aantreft en zal aan Opdrachtgever slechts datgene rapporteren wat een tekortkoming oplevert in de nakoming van de verplichtingen die Verwerker op grond van deze verwerkersovereenkomst heeft. De auditor zal een kopie van zijn rapport aan de Gegevensverwerker verstrekken. Verwerker kan een audit of instructie van de auditor weigeren indien zij van mening is dat deze in strijd is met de AVG of andere wetgeving of een onaanvaardbare inbreuk vormt op de door haar genomen beveiligingsmaatregelen.
7.5 Partijen zullen zo spoedig mogelijk met elkaar in overleg treden over de bevindingen van het rapport. De Partijen zullen gevolg geven aan de in het verslag opgenomen voorgestelde verbeteringsmaatregelen voor zover dit redelijkerwijs van hen kan worden verwacht. Verwerker zal de voorgestelde verbetermaatregelen doorvoeren voor zover zij deze passend acht, rekening houdend met de verwerkingsrisico's die verbonden zijn aan haar product of dienst, de stand van de techniek, de implementatiekosten, de markt waarin zij opereert en het beoogde gebruik van het product of de dienst.
7.6 Verwerker heeft het recht om de door haar in het kader van dit artikel gemaakte kosten aan Opdrachtgever in rekening te brengen.
Artikel 8. Sub-verwerkers
8.1 Verwerker heeft in het Data Pro Statement aangegeven of en zo ja welke derden (subverwerkers) zij inschakelt bij de verwerking van Persoonsgegevens.
8.2 Opdrachtgever machtigt Gegevensverwerker om bij de uitvoering van zijn verplichtingen uit de Overeenkomst andere subverwerkers in te schakelen.
8.3 Verwerker zal Opdrachtgever op de hoogte stellen van elke wijziging in de door Verwerker ingeschakelde derden, bijvoorbeeld door middel van een gewijzigde Data Pro Statement. Opdrachtgever heeft het recht om bezwaar te maken tegen voornoemde wijziging door Verwerker. Verwerker draagt er zorg voor dat de door haar ingeschakelde derden zich committeren aan hetzelfde beveiligingsniveau met betrekking tot de bescherming van Persoonsgegevens als het beveiligingsniveau waartoe Verwerker jegens Opdrachtgever op grond van het Data Pro Statement is gebonden.
Artikel 9. Anders __________
Deze Standaardbepalingen voor Verwerking maken samen met de Data Pro Statement integraal deel uit van de Overeenkomst. Alle rechten en verplichtingen uit de Overeenkomst, waaronder de toepasselijke algemene voorwaarden en/of beperkingen van aansprakelijkheid, zijn derhalve ook van toepassing op de verwerkersovereenkomst.