For English, please contact info@8vance.com

 

VERWERKERSOVEREENKOMST

 

PARTIJEN

1. [NAAM Verantwoordelijke], een [besloten vennootschap / naamloze vennootschap / stichting / vereniging] statutair gevestigd te [PLAATS], ingeschreven in het handelsregister van de Kamer van Koophandel onder nummer [NUMMER] (“Verantwoordelijke”);

 

en

 

2. 8vance Matching Technologies BV, statutair gevestigd aan de Kazernestraat 15a te 5928 NL Venlo, ingeschreven in het handelsregister van de Kamer van Koophandel onder nummer 55679218, (“Verwerker”);

 

Verantwoordelijke en Verwerker worden gezamenlijk ook aangeduid als “Partijen” en elk afzonderlijk tevens een “Partij“.

 

OVERWEGENDE:

1. Dat Verwerker en Verantwoordelijke een overeenkomst (zoals gedefinieerd onder artikel 1 van deze Verwerkersovereenkomst) hebben gesloten waaronder Verwerker diensten levert aan Verantwoordelijke. Deze diensten bestaan uit software en bijbehorende ondersteuning. Deze verwerkersovereenkomst maakt hier onderdeel van uit.

 

1. Dat Verwerker onder deze Overeenkomst de persoonsgegevens zal verwerken die zijn uiteengezet in Bijlage 1.

 

1. Dat de AVG (zoals gedefinieerd onder artikel 1 van deze Verwerkersovereenkomst) vanaf 24 mei 2016 in werking is getreden en Partijen vanaf 25 mei 2018 op grond van artikel 28 AVG verplicht zijn om een Verwerkersovereenkomst te sluiten voor de verwerking van persoonsgegevens; en

 

1. Dat Partijen deze Verwerkersovereenkomst sluiten zodat (i) Verantwoordelijke aan haar verplichtingen op grond van de AVG kan voldoen; en (ii) Partijen persoonsgegevens in overeenstemming met de AVG verwerken.

 

KOMEN OVEREEN ALS VOLGT:

1. DEFINITIES

In deze Verwerkersovereenkomst worden de volgende termen in de navolgende betekenis gebruikt, tenzij uitdrukkelijk anders is aangegeven.

“AVG”                                      de Algemene Verordening Gegevensbescherming (EU) 2016/679.

“Datalek”                                iedere inbreuk op de beveiliging van Persoonsgegevens voor zover deze gemeld moet worden aan de Autoriteit Persoonsgegevens en/of betrokkenen onder Wbp en vanaf 25 mei 2018, onder de AVG;

“Overeenkomst”                     de (ondertekende) overeenkomst inclusief wijzigingen en aanvullende overeenkomsten, zoals die ter zake tussen Verantwoordelijke en Verwerker bestaan;

“Persoonsgegevens”             de gegevens betreffende een geïdentificeerde of identificeerbare natuurlijke persoon die Verwerkt worden door de Verwerker onder de Overeenkomst, zoals opgenomen in Bijlage 1;

“Subverwerker”                       een verwerker, zoals gedefinieerd in de AVG, die in opdracht van de Verwerker Persoonsgegevens zal verwerken ten behoeve van de Verantwoordelijke;

“Verwerken” of “Verwerking” elke handeling of elk geheel van handelingen met betrekking tot Persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens; en

“Verwerkersovereenkomst”   deze Verwerkersovereenkomst, inclusief eventuele bijlagen.

 

 

2. VERPLICHTINGEN VAN DE VERWERKER
   • Behoudens afwijkende wettelijke verplichtingen, zal Verwerker:

 

1. Uitsluitend Persoonsgegevens Verwerken conform Overeenkomst en instructies van de Verantwoordelijke;
2. Persoonsgegevens alleen bewaren zolang de Verantwoordelijke dat verlangt en de Persoonsgegevens wijzigen, anonimiseren, blokken of verwijderen zodra de Verantwoordelijke daartoe instructies geeft;
3. De Verantwoordelijke bijstand verlenen bij het doen nakomen van de verplichtingen uit hoofde van de artikelen 35 en 36 AVG tegen het overeengekomen uurtarief;
4. Rekening houdend met de aard van de verwerking, de Verantwoordelijke door middel van passende technische en organisatorische maatregelen, voor zover mogelijk, bijstand verlenen bij het vervullen van de plicht van Verantwoordelijke om verzoeken om uitoefening van de rechten van de betrokkene onder de AVG te beantwoorden; en
5. Ervoor zorgen dat alleen (i) haar werknemers; en (ii) Subverwerkers toegang krijgen tot Persoonsgegevens en slechts zolang dit noodzakelijk is in het kader van de uitvoering van de verplichtingen van de Verwerker onder de Overeenkomst, en dat deze bij de verwerking de vertrouwelijkheid in acht nemen;
6. Desgevraagd samenwerken met de toezichthoudende autoriteit bij het vervullen van haar taken.

 

 

 

3. TECHNISCHE EN ORGANISATORISCHE MAATREGELEN
   • De Verwerker zal rekening houdend met de aard van de verwerking en de hem ter beschikking staande informatie de technische en organisatorische maatregelen treffen en in stand houden, zoals uiteengezet in Bijlage 2;
   • De Verantwoordelijke heeft nadrukkelijk kennisgenomen van deze in Bijlage 2 opgenomen maatregelen.

 

4. SUBVERWERKERS
   • Het is de Verwerker toegestaan om in het kader van deze Verwerkersovereenkomst gebruik te maken van een Subverwerkers. De Subverwerkers zijn opgenomen in Bijlage 3 van de Verwerkersovereenkomst.
   • In het geval van beoogde veranderingen inzake de toevoeging of vervanging van Subverwerkers wordt de Verantwoordelijke hierover door de Verwerker op de hoogte gesteld. Verantwoordelijke is gerechtigd om binnen vier weken na ontvangst van dit bericht bezwaar te maken tegen deze verandering. Partijen zullen over dit bezwaar in overleg treden. Indien dit overleg niet leidt tot het wegnemen van het bezwaar dan kan de Verantwoordelijke de Overeenkomst met Verwerker op zeggen tegen de datum waarop de Subverwerker zal starten met het Verwerken van de Persoonsgegevens.
   • De Verwerker zal de Subverwerker dezelfde verplichtingen opleggen als die voor hem uit deze Verwerkersovereenkomst voortvloeien.

 

5. DOORGIFTE PERSOONSGEGEVENS

 

• De Verwerker mag Persoonsgegevens doorgeven en Verwerken in een land buiten de Europese Economische Ruimte (EER), indien Verwerker:

1. Hiertoe verplicht is op grond van een wettelijk voorschrift; of

 

1. Dat land een passend beschermingsniveau waarborgt en welke is goedgekeurd door (plaatsing op de ‘witte lijst’ van) de Europese Commissie; of

 

1. Gebruik maakt van een modelcontract als bedoeld in artikel 46, tweede lid, sub c en d van de AVG; of

 

1. De doorgifte is toegestaan op basis van een andere grondslag onder Toepasselijke Wetgeving.

 

• Indien Verwerker verplicht is persoonsgegevens op grond van een wettelijk voorschrift door te geven, zoals is bepaald in artikel 5.1.a, zal Verwerker de Verantwoordelijke hierover informeren, tenzij het wettelijk voorschrift deze kennisgeving om gewichtige redenen van algemeen belang verbiedt.

 

6. GEHEIMHOUDING
   • Op alle informatie die de Verwerker van de Verantwoordelijke ontvangt, rust een geheimhoudingsplicht jegens derden. Verwerker zal de Persoonsgegevens geheimhouden en zal haar werknemers en Subverwerkers voordat zij toegang verkrijgen tot de Persoonsgegevens, contractueel verplichten tot geheimhouding van de Persoonsgegevens waarvan zij met betrekking tot de uitvoering van de Overeenkomst kennis kunnen nemen.
   • Deze geheimhoudingsplicht is niet van toepassing voor zover de Verantwoordelijke zijn voorafgaande uitdrukkelijke toestemming heeft gegeven om informatie aan derden te verstrekken of indien het verstrekken van informatie aan derden logischerwijs noodzakelijk is gezien de aard van de door de Verantwoordelijke aan de Verwerker verstrekte opdracht. De geheimhoudingsplicht is niet van toepassing indien de Verwerker op grond van een wettelijke verplichting de informatie aan een derde dient te verstrekken.
   • Na beëindiging van deze Verwerkersovereenkomst blijft deze geheimhoudingsplicht bestaan.

 

 

7. MELDPLICHT

7.1       Verwerker zal Verantwoordelijke volledig en zonder onredelijke vertraging informeren over
ieder Datalek zodra zij met het bestaan van de Datalek bekend is geworden, onder andere
over:

1. Het tijdstip van aanvang van de Datalek;
2. De aard en de omvang en gevolgen van de Datalek;
3. De verwachte hersteltijd; en
4. Welke maatregelen zijn genomen of worden voorgesteld om te nemen om de Datalek te beëindigen.

 

7.2       De informatie onder 7.1. zal door Verwerker verstrekt worden aan de contactpersoon die bij
haar bekend is. Indien deze informatie aan een andere contactpersoon moet worden
doorgegeven verstrekt Verantwoordelijke aan Verwerker naam, functie en contactgegevens.

7.3       Verwerker zal maatregelen nemen die redelijkerwijs van haar kunnen worden verwacht om de
nadelige gevolgen van de Datalek in voorkomend geval te herstellen, dan wel zoveel mogelijk
te beperken. Deze maatregelen zal de Verwerker voorts ook zo snel mogelijk aan de
Verantwoordelijke melden.

 

8. AUDITS
   
   8.1 Verwerker zal Verantwoordelijke alle informatie ter beschikking stellen die nodig is om de
   nakoming van de in de Verwerkersovereenkomst neergelegde verplichtingen aan te tonen.

8.2       Als Verwerker genoodzaakt is of het noodzakelijk vindt een audit te laten verrichten,
waaronder een inspectie, naar de naleving door de Verwerker van artikel 28 AVG en de technische en organisatorische maatregelen die in Bijlage 2 zijn genomen, zal ze de kosten vooraf met Verantwoordelijke afstemmen en zullen de kosten naar billijkheid tussen Verwerker en Verantwoordelijke worden gedeeld. De Verwerker zal de uitkomst van deze audit in de vorm van een Third Party Inspection Memorandum delen met Verantwoordelijke. Verantwoordelijke is hiervoor een vergoeding aan Verwerker verschuldigd die afhankelijk is van het aantal gebruikers conform onderstaand schema.

Aantal gebruikers          Vergoeding

< 5                               150 EUR

> 5 EN < 50                  275 EUR

> 50                              500 EUR

 

8.3       Verantwoordelijke is voorts gerechtigd om een aanvullende audit, waaronder inspecties, te
(laten) doen naar de naleving door de Verwerker van artikel 28 AVG en de technische en
organisatorische maatregelen in Bijlage 2. Partijen zullen hierover in overleg afspraken
maken. Verantwoordelijke zal Verwerker minimaal 3 weken voorafgaand van de audit hiervan
op de hoogte stellen.

8.4       De redelijke kosten van de uitvoering van artikel 8.1 en 8.3 zijn voor Verantwoordelijke.

 

9            AANSPRAKELIJKHEID

9.1       Met betrekking tot de (beperking van) aansprakelijkheid van Verwerker, geldt hetgeen tussen
Partijen is overeengekomen onder de Overeenkomst.

9.2       Verantwoordelijke vrijwaart en stelt de Verwerker schadeloos met betrekking tot de Verwerking
van de Persoonsgegevens onder deze Verwerkersovereenkomst ter zake van (I) alle schade;
en (II) aan Verwerker of Verantwoordelijke opgelegde boetes door toezichthouders in verband
met een tekortkoming in de nakoming van één of meer verplichtingen van de
Verantwoordelijke uit de Verwerkersovereenkomst of uit hoofde van toepasselijke wetgeving,
waaronder de AVG.

9.3       Indien er inzake de aansprakelijkheid geen nadere afspraken onder de Overeenkomst zijn overeengekomen geldt hetgeen is opgenomen in de Nederland ICT Voorwaarden zoals gedeponeerd bij de Kamer van Koophandel onder nummer 30174840.

 

 

10        DUUR EN BEËINDIGING VERWERKERSOVEREENKOMST

10.1     Deze Verwerkersovereenkomst wordt gesloten op het moment dat Partijen deze hebben
ondertekend en loopt door tot beëindiging van de Overeenkomst.

10.2     Verwerker draagt er zorg voor dat de hiervoor bedoelde Persoonsgegevens onverwijld na
beëindiging van de Overeenkomst, of zoveel eerder als dat mogelijk is, middels een zgn standaard data export (excel / json) worden overgedragen aan Verantwoordelijke. De Verantwoordelijke heeft de mogelijkheid tot een date export middels een zelf te kiezen een medium / indeling, waarbij alle kosten voor rekening van de Verantwoordelijke komen. De Verantwoordelijke ontvangt hiervan vooraf een kostenoverzicht.

10.3     Na overdracht, schriftelijke afwijzing van overdracht door Verantwoordelijke, of indien de Verantwoordelijke niet reageert, na één maand na het aanbod tot overdracht, dient de Verwerker de Persoonsgegevens onverwijld te vernietigen. Op eerste verzoek van Verantwoordelijke zal Verwerker schriftelijk bevestigen dat dit daadwerkelijk gebeurd is.

11. OVERIGE BEPALINGEN

11.1     Op deze Verwerkersovereenkomst is Nederlands recht van toepassing.

11.2     Wijzigingen en aanvullingen van deze Verwerkersovereenkomst kunnen slechts schriftelijk, bij
akte ondertekend door beide partijen, worden overeengekomen.

 

Aldus overeengekomen en ondertekend namens,

 

Verantwoordelijke:	Verwerker:
Datum: ………………………………………………	Datum: ………………………………………………
Naam: ………………………………..……………..	Naam: ………………………………..……………..
Handtekening: ………………………………………	Handtekening: ………………………………………

 

BIJLAGE 1

BESCHRIJVING VERWERKING PERSOONSGEGEVENS

Categorieën persoonsgegevens

Verwerker zal van sollicitanten, flexwerkers, inleners, ZZP’ers, leveranciers en medewerkers van Verantwoordelijke persoonsgegevens verwerken.

Het betreft hier met name de onderstaande gegevens:

Sollicitanten / Cliënten:

• NAWTE;
• Administratienummer;
• Geslacht;
• Functie;
• Geboortedatum en geboorteplaats;
• CV, inclusief werkervaring en opleiding;
• Diploma’s en certificaten;
• Kopie paspoort/ID;
• Burgerservicenummer;
• Nationaliteit en taal;
• Pasfoto;
• Beschikbaarheidsgegevens;
• Verblijfsvergunning en werkvergunning;
• Verklaring omtrent gedrag (VOG).

 

Flexwerkers / gedetacheerden / uitzendkrachten (aanvullend):

• Correspondentie met uitzendkrachten;
• Beoordelingen en evaluaties;
• Uitzendovereenkomst (met verschillende bijlagen en addenda) inclusief fase-indeling;
• Financiële gegevens, waaronder bankrekeningnummer, salaris-afspraken, inhoudingen daarop en vergoedingen, loonafrekeningen, jaaropgaves, loonheffingsformulieren;
• Burgerservicenummer;
• Kopie rijbewijs;
• Gegevens over bruikleen of lease;
• Handtekening;
• Gegevens ziekmeldingen;
• Burgerlijke staat;
• Verlofgegevens;

 

Opdrachtgevers/inleners:

• NAWTE contactpersoon;
• factuurgegevens;

 

 

 

 

 

 

ZZP:

• NAWTE;
• BTW-nummer;
• KVK;

 

Eigen medewerkers:

• Inloggegevens en namen gebruikers.

 

 

Verwerking persoonsgegevens

Verwerker levert software en support aan Verantwoordelijke welke door Verantwoordelijke wordt gebruikt om de bovengenoemde gegevens mee te verwerken en/of op te slaan in de daarvoor door Verwerker opgezette databases.

 

BIJLAGE 2

BESCHRIJVING TECHNISCHE EN ORGANISATORISCHE MAATREGELEN

 

Deze Bijlage beschrijft de technische en organisatorische maatregelen en procedures die Verwerker zal nemen om de verwerking van Persoonsgegevens passend te beveiligen. Verwerker zal documentatie van de technische en organisatorische maatregelen bewaren als bewijs.

 

Flexwerkers / gedetacheerden / uitzendkrachten (aanvullend)

• Correspondentie met uitzendkrachten;
• Beoordelingen en evaluaties;
• Uitzendovereenkomst (met verschillende bijlagen en addenda) inclusief fase-indeling;

 

Informatiebeveiligingsbeleid

• Wij werken conform informatiebeveiligingsbeleid waarin rollen en verantwoordelijkheden zijn vastgelegd.

 

Medewerkers

• Medewerkers en ingehuurde externen krijgen, voor zover relevant voor hun functie, terzake doende instructies en training. Ook stimuleren wij privacy en security bewustzijn.
• Medewerkers tekenen voor geheimhouding en vertrouwelijkheid en weten dat ze gegevens alleen in opdracht van onze klanten mogen verwerken.
• We voeren functiescheiding door in beheer en gebruik.

 

Toegangsbeveiliging

• We hanteren een autorisatiebeleid op basis waarvan alleen bevoegde gebruikers toegang tot de informatiesystemen hebben en alleen tot data die noodzakelijk voor hun functie zijn.

 

Logging en controle

• Activiteiten van werknemers alsmede verstoringen en pogingen tot ongeautoriseerd toegang worden gelogd en gecontroleerd.
• Jaarlijks vindt er een onafhankelijke externe toetsing plaats op naleving van in deze bijlage genoemde maatregelen. De uitkomst hiervan wordt in de vorm van een Third Party Inspection Memorandum met Verantwoordelijke gedeeld.

 

Netwerk-, server- en applicatiebeveiliging en onderhoud

• We zorgen ervoor dat gebruikte soft- en hardware en patches up to date zijn.
• We nemen alle relevante maatregelen om virusbesmetting tegen te gaan.
• Onze netwerkomgeving is beveiligd; verkeersstromen zijn gescheiden en er zijn maatregelen geïmplementeerd tegen misbruik en aanvallen.
• We hanteren een up-to-date wachtwoordbeleid en voor het inloggen worden versleutelde verbindingen gebruikt.
• Wij passen versleuteling toe bij de verwerking van (gevoelige) persoonsgegevens bij opslag en verkeer.

 

Incidentenbeheer

• We hebben procedures voor het tijdig en doeltreffend signaleren (security monitoring) en behandelen van informatiebeveiligingsincidenten en- zwakten, het melden van ‘datalekken’ en het doorvoeren van verbetermaatregelen.

 

Continuïteitsbeheer

• IT-voorzieningen en apparatuur zijn fysiek beschermd tegen toegang door onbevoegden en tegen schade en storingen.
• We hebben beleid t.a.v. het borgen van de continuïteit van dienstverlening.
• Om continuïteit van dienstverlening te verzekeren maken we periodieke back-ups.

 

Apparatuur

• We hanteren een goedkeuringsproces voor de aanschaf van nieuwe apparatuur.
• Afgedankte apparatuur en media worden vernietigd of de persoonsgegevens worden zodanig bewerkt dat ze niet meer terug te halen zijn.

 

Nieuwe systemen

• In alle systemen zijn beveiligingsmaatregelen ingebouwd om ervoor te zorgen dat de verwerking aan de vooraf gestelde eisen voldoet.
• Bij de ontwikkeling van nieuwe systemen laten we ons leiden door de uitgangspunten van privacy by design & default.
• We scheiden de test- van de productieomgeving.

 

Hosting

• Voor hosting van data wordt gebruik gemaakt van Subverwerker waarmee een verwerkersovereenkomst is afgesloten.

 

Verwerkingsregister

• Vóór het van kracht worden van de AVG hebben we onze verwerkingen in een register opgenomen.

 

BIJLAGE 3

SUBVERWERKER

 

Verwerker schakelt de navolgende Subverwerker in bij de uitvoering van deze verwerkersovereenkomst:

• AppComm
• Actonomy
• Vazquez
• Textkernel
• Broadbean
• Spyhce srl
• Amazon AWS Ireland