Verwerkersovereenkomst

Croan Consult B.V.

Verwerkersovereenkomst

In het kader van de Algemene Verordening Persoonsgegeven (AVG) is het vanaf 25 mei 2018 verplicht om een verwerkersovereenkomst op te stellen tussen Croan Consult en al haar opdrachtgevers. In deze overeenkomst is beschreven hoe om te gaan met persoonsgegevens en datalekken. De AVG stelt dat Croan Consult zich met betrekking tot verwerking van Persoonsgegevens opstelt als “Verwerker”. De Opdrachtgever stelt zich op als “Verantwoordelijke”. De Persoonsgegevens hebben in deze overeenkomst betrekking op contactpersonen en/of deelnemers met deelname aan de diensten aangeboden door Croan Consult. In de bijlagen van dit document zijn verdere definities, maatregelen en het proces van melding van datalekken opgenomen.

1. Duur van deze overeenkomst

1.1 Deze Verwerkersovereenkomst is van kracht zolang er sprake is van een samenwerking tussen Opdrachtgever en Croan Consult.
1.2 Na beëindiging van uitvoering van een opdracht zullen de lopende verplichtingen voor Croan Consult, zoals het melden van Datalekken, waarbij Persoonsgegevens betrokken zijn, en de plicht tot geheimhouding blijven voortduren.

2. Verwerken Persoonsgegevens

2.1 Croan Consult houdt zich aan de wet en verwerkt Persoonsgegevens op zorgvuldige en transparant wijze. In bijlage B wordt nader toegelicht welke maatregelen hierop van toepassing zijn.
2.2 Croan Consult heeft met haar medewerkers, trainers en acteurs die in opdracht van Croan Consult een dienst leveren afspraken gemaakt om deze verwerkersovereenkomst na te kunnen leven.
2.3 Bij bevestiging van een opdracht geeft Opdrachtgever toestemming om Persoonsgegevens van contactpersonen en deelnemers te bewaren.
2.4 Wanneer een deelnemer of contactpersoon zijn/haar rechten op privacy uitoefent werkt Croan Consult daar binnen een termijn van 14 dagen aan mee. Deze rechten bestaan uit een verzoek om inzage, verbetering, aanvulling, verwijdering of afscherming, bezwaar maken tegen de verwerking van de persoonsgegevens en een verzoek tot overdraagbaarheid van de eigen Persoonsgegevens.
2.5 Persoonsgegevens van Deelnemers worden uiterlijk binnen één jaar na deelname op zorgvuldige wijze verwijderd, tenzij anders overeengekomen met de Opdrachtgever. Persoonsgegevens van Contactpersonen worden uiterlijk twee jaar na het laatste contactmoment verwijderd.

3. Beveiliging van Persoonsgegevens

3.1 Croan Consult zorgt ervoor dat de Persoonsgegevens voldoende beveiligd zijn. Om verlies en onrechtmatige verwerkingen te voorkomen neemt Croan Consult passende technische en organisatorische maatregelen zoals omschreven in bijlagen B en C.
3.2 In het geval dat een toezichthouder een audit uitvoert bij Croan Consult verleent Croan Consult medewerking en mag een inspectie of audit plaatsvinden om te bepalen of het verwerken van de Persoonsgegevens aan de wet en de afspraken uit deze Verwerkersovereenkomst voldoet.

4. Exporteren gegevens

4.1 Croan Consult zal geen Persoonsgegevens laten verwerken door andere personen of organisaties buiten de Europese Economische Ruimte (EER), anders dan in 2.2 genoemd, zonder daarvoor voorafgaande schriftelijke toestemming te hebben verkregen van Opdrachtgever

5. Geheimhouding

5.1 Croan Consult zal verstrekte Persoonsgegevens geheimhouden, tenzij dit op basis van een wettelijke verplichting niet mogelijk is.

6. Datalekken

6.1 In geval van een ontdekking van een mogelijk Datalek wordt Croan Consult binnen 24 uur ingelicht en wordt het proces doorlopen zoals aangegeven in bijlage C. Croan Consult zal indien nodig een melding bij de Toezichthouder doen.
6.2 Na de melding van een Datalek zal Croan Consult Opdrachtgever op de hoogte houden van nieuwe ontwikkelingen rondom het Datalek, de omvang van het Datalek proberen te beperken en te beëindigen om een soortgelijk incident in de toekomst te kunnen voorkomen.

7. Aansprakelijkheid

7.1 Wanneer Opdrachtgever onterecht toezeggingen (2.3) doet ten aanzien van Persoongegevens stelt Croan Consult opdrachtgever aansprakelijk.
7.2 Indien Croan Consult de verplichtingen in deze Verwerkersovereenkomst overtreedt, is Croan consult aansprakelijk voor de opgelegde boetes en/of schadevergoedingen door de toezichthouder, deelnemer(s) en/of contactpersonen opgelegd aan Croan Consult.
7.3 Indien een trainer of acteur die in opdracht van Croan Consult diensten levert de verplichtingen in de opgestelde Verwerkersovereenkomst tussen deze twee partijen niet nakomt is trainer of acteur aansprakelijk te stellen door Croan Consult.
7.4 Croan Consult is niet aansprakelijk voor aanspraken van andere personen en organisaties waar de Opdrachtgever een samenwerking mee is aangegaan.

9. Eigen Persoonsgegevens

9.1 Opdrachtgever zal eveneens zorgvuldig omgaan met Persoonsgegevens van medewerkers, trainers, acteurs en ervaringsdeskundigen in dienst bij, of in uitvoering van opdrachten van Croan Consult.

9.2 Opdrachtgever zorgt in dit kader eveneens voor het voldoen aan de verplichtingen gesteld in de AVG.

10. Slotbepalingen

10.1 Op deze Verwerkersovereenkomst is het Nederlandse recht van toepassing.

10.2 Over eventuele geschillen tussen ons bepaald de rechter in de rechtbank.

Bijlagen

A. Begrippen

i. Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon („de betrokkene”); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon

ii. Verwerking: een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens;

iii. Verwerkingsverantwoordelijke: een instantie dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt; wanneer de doelstellingen van en de middelen voor deze verwerking worden vastgesteld, kan daarin worden bepaald wie de verwerkingsverantwoordelijke is of volgens welke criteria deze wordt aangewezen (“Verantwoordelijke”);
iv. Verwerker: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt (“Verwerker”);
v. Verwerkersovereenkomst: deze overeenkomst inclusief de bijlagen (“Verwerkersovereenkomst”);
vi. Inbreuk in verband het beveiliging persoonsgegevens: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens (“Datalek”);
vii. Deelnemer: de natuurlijke personen op wie de Persoonsgegevens betrekking hebben, namelijk de deelnemers aan (E-learning, trainingen, advies- en coaching-trajecten of andersoortige diensten in opdracht van Opdrachtgever. Persoonsgegevens van Deelnemers dienen door Croan Consult tot één jaar bewaard te worden om evaluaties en follow-ups van diensten te kunnen uitvoeren.
viii. Contactpersoon: de natuurlijke personen op wie de Persoonsgegevens betrekking hebben. Persoonsgegevens van Contactpersonen dienen door Croan Consult tot twee jaar na het laatste contactmoment bewaard te worden voor relatiebeheer en acquisitie doeleinden.

B. Overzicht Beveiligingsmaatregelen

Technische beveiligingsmaatregelen

☐ Up-to-date virusscan
☐ Beveiligde USB-sticks
☐ Accurate beveiliging opdrachtgeverstelefoon
☐ Unieke inlogcode en wachtwoord (regelmatig aanpassen)
☐ Versleutelde email
☐ Geen onbeveiligde externe harde schijven
☐ Geen onbeveiligde back-ups maken
☐ Uitsluitend gebruik van software pakketten en databases die aantoonbaar voldoen aan de vereisten van de AVG

Organisatorisch beveiligingsmaatregelen

☐ Clean desk policy
☐ Laptop niet onbemand achterlaten
☐ Laptop nooit achterlaten in de auto
☐ Oude documenten op juiste manier vernietigen
☐ Zorgvuldig gebruik van USB-sticks

C. Proces Melding van Datalekken

1. Geef een samenvatting van het beveiligingslek/beveiligingsincident/datalek: wat is er gebeurd? Vermeld hier ook de naam van het betrokken systeem.
2. Welke typen persoonsgegevens zijn betrokken bij het beveiligingsincident? Zoals, maar niet beperkt tot, naam, adres, e-mailadres, IP-nummer, Burgerservicenummer, pasfoto en ieder ander tot een persoon te herleiden gegeven.

3. Van hoeveel personen zijn de persoonsgegevens betrokken bij het beveiligingsincident? Geef a.u.b. een minimum -en maximumaantal personen. 4. Omschrijving groep personen om wiens gegevens het gaat. Geef aan of het gaat om opdrachtgeversgegevens, gegevens van internetgebruikers. Bijzondere aandacht verdienen gegevens van een kwetsbare groepen personen, zoals kinderen.
5.Zijn de contactgegevens van de betrokken personen bekend? Het kan zijn dat betrokkenen geïnformeerd moeten worden over het datalek, kunnen we deze personen in dat geval bereiken?
6. Wat is de oorzaak (root cause) van het beveiligingsincident?
Heeft u een idee hoe het beveiligingsincident heeft kunnen ontstaan?
7. Op welke datum of in welke periode heeft het beveiligingsincident plaats kunnen vinden? Geef dit a.u.b. zo specifiek mogelijk aan.

Scholing door professionals. Klantgericht, deskundig maatwerk. Training en Coaching Bureau, Croan Consult.