Verwerkersafspraken

Voor het verwerken van gegevens voor actieve abonnementhouders volgen wij de Nederlandse en Europese regelgeving.

Wij verwerken gegevens gerelateerd aan de ICT volwassenheid van uw organisatie. Het verrichten van deze diensten brengt met zich mee dat mogelijk persoonsgegevens worden verwerkt. Door het aangaan van een abonnement bent u in formele zin opdrachtgever (hierna “Opdrachtgever”). SpinDok BV (hierna “Opdrachtnemer”) is de verwerkingsverantwoordelijke voor deze persoonsgegevens en geldt als verwerker van deze persoonsgegevens. De onderliggende afspraken en verantwoordelijkheden zijn als volgt:

Artikel 1 Definities

1.1 In dit afspraken overzicht hebben de volgende (onderstreepte) begrippen de daaropvolgende betekenis:
a.) Aanvullende Nationale Wetgeving: elke wetgeving met betrekking tot de verwerking van persoonsgegevens in een lidstaat van de EU, waar de verwerkingsverantwoordelijke aan is onderworpen vanaf 25 mei 2018, naast de Privacy verordening.
b.) Diensten: de diensten die door Opdrachtnemer voor Opdrachtgever worden verricht voor het verwerken van gegevens.
c.) Dienstverleningsafspraken: deze afspraken tussen Opdrachtnemer en Opdrachtgever die betrekking heeft op het verrichten van Diensten.
d.) Implementatiewetgeving: de toepasselijke nationale wetgeving die in het betreffende land van toepassing is op de verwerking van persoonsgegevens in het kader van de Diensten, waaronder de wetgeving die is geïmplementeerd om uitvoering te geven aan de Privacy richtlijn.
e.) Privacy richtlijn: Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens.
f.) Privacy verordening: Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens.
g.) Inbreuk: tot 25 mei 2018 zoals gedefinieerd in de Implementatiewetgeving, althans bij gebreke daarvan de Inbreuk In Verband Met Persoonsgegevens zoals gedefinieerd in de Privacy verordening en vanaf 25 mei 2018 de Inbreuk In Verband Met Persoonsgegevens zoals gedefinieerd in de Privacy verordening . Voor Nederland wordt tot 25 mei 2018 de “inbreuk op de beveiliging” zoals bedoeld in artikel 34a Wet bescherming persoonsgegevens als Inbreuk beschouwd.
h.) Sub-Verwerker: iedere derde partij die door Opdrachtnemer is betrokken bij de verwerking van persoonsgegevens in het kader van de Diensten.
i.) Toepasselijke Privacy Wetgeving: de Privacy verordening en de Aanvullende Nationale Wetgeving van de betreffende EU landen.
1.2 Elk begrip dat hier niet is gedefinieerd, maar dat wel is gedefinieerd in de Toepasselijke Privacy Wetgeving (zoals “persoonsgegeven”, “verwerken”, etc.), heeft dezelfde betekenis als in de Toepasselijke Privacy Wetgeving.
1.3 Voor wat betreft de begrippen wordt de terminologie van de Privacy verordening gebruikt (bijv. “verwerker” i.p.v. “bewerker”). Daarmee wordt niet bedoeld af te wijken van de betekenis van de Toepasselijke Privacy Wetgeving.

Artikel 2 Algemeen

2.1 Deze afspraken vormen de overeenkomst tussen Opdrachtgever en Opdrachtnemer.
2.2 Deze afspraken hebben betrekking op de verwerking van persoonsgegevens die uit de Diensten voortvloeit, ongeacht of de betreffende Dienstverleningsafspraken wel of niet expliciet refereren aan de verwerking van persoonsgegevens.
2.3 De aard en de doeleinden van de verwerking, evenals het soort persoonsgegevens en de categorieën van betrokkenen die door Opdrachtnemer namens Opdrachtgever worden verwerkt, staan nader uitgewerkt in de bijlage, bij gebreke waarvan de verwerking is beperkt tot de werkzaamheden die strikt noodzakelijk zijn voor de uitvoering van de Dienstverleningsafspraken.

Artikel 3 Hoedanigheden en taken van partijen

3.1 Met betrekking tot de verwerking van persoonsgegevens in het kader van de Diensten, wordt Opdrachtgever beschouwd als de verwerkingsverantwoordelijke en wordt Opdrachtnemer beschouwd als de verwerker.
3.2 Opdrachtnemer zal alleen op basis van schriftelijke instructies van Opdrachtgever de persoonsgegevens verwerken.
3.3 Opdrachtgever wordt geacht de instructies aan Opdrachtnemer te hebben gegeven voor elke verwerking die strikt noodzakelijk is in het kader van het verlenen van de Diensten. Onder deze instructies zijn mede begrepen wijzigingen aan de Diensten, voor zover de Dienstverleningsafspraken zulke wijzigingen toestaat.
3.4 In afwijking van bepaling 3.2 is het Opdrachtnemer toegestaan om de persoonsgegevens te verwerken als een wettelijk voorschrift hem tot verwerking verplicht. In dat geval stelt de Opdrachtnemer, voorafgaand aan de verwerking, Opdrachtgever in kennis van dat wettelijk voorschrift, tenzij die wetgeving deze kennisgeving om gewichtige redenen van algemeen belang verbiedt.

Artikel 4 Geheimhouding

4.1 Opdrachtnemer zal de persoonsgegevens tegenover derden geheimhouden en zal deze niet openbaar maken, anders dan voor zover noodzakelijk voor het verlenen van de Diensten dan wel voor zover een wettelijk voorschrift of rechterlijk bevel Opdrachtnemer tot mededeling c.q. verstrekking verplicht.
4.2 Opdrachtnemer staat er voor in en garandeert dat werknemers en alle overige natuurlijke personen die handelen onder zijn gezag en toegang hebben tot de persoonsgegevens eveneens onder dezelfde voorwaarden geheimhouding zullen betrachten ten aanzien van voornoemde informatie.

Artikel 5 Beveiligingsmaatregelen en periodieke review daarvan

5.1 Opdrachtnemer zal technische- en organisatorische maatregelen nemen om de persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking, alsmede om een passende mate van betrouwbaarheid (beschikbaarheid, integriteit en vertrouwelijkheid) te waarborgen. Deze maatregelen zullen passend zijn, rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van natuurlijke personen.
5.2 Bij de beoordeling van een passend veiligheidsniveau zal Opdrachtnemer in het bijzonder aandacht schenken aan risico’s die zich voordoen bij persoonsgegevensverwerking, zoals in het bijzonder de vernietiging, het verlies, de wijziging, de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot de doorgezonden, opgeslagen of anderszins verwerkte gegevens, hetzij per ongeluk hetzij onrechtmatig.
5.3 Opdrachtnemer zal in het kader van de in de vorige twee leden beschreven verplichtingen, tenminste de in de bijlage gespecificeerde maatregelen treffen.
5.4 Opdrachtnemer zal periodiek de technische- en organisatorische maatregelen die genomen zijn om de verwerking te beveiligen testen, beoordelen en evalueren, al dan niet door inschakeling van een ter zake deskundige derde. Als uit deze beoordeling volgt dat de genomen maatregelen niet langer voldoende zijn, dan zal Opdrachtnemer alle redelijke stappen nemen om het beveiligingsniveau te verbeteren.

5.5 Opdrachtnemer zal al het noodzakelijke doen om te verzekeren dat enige natuurlijk persoon, die handelt onder het gezag van Opdrachtnemer en die toegang heeft tot persoonsgegevens deze gegevens niet zal verwerken tenzij op basis van instructies van Opdrachtgever, of indien hij of zij daartoe verplicht wordt op grond van wetgeving.

Artikel 6 Inbreuk

6.1 Opdrachtnemer informeert Opdrachtgever over iedere Inbreuk. Deze informatie wordt gegeven zonder onredelijke vertraging, doch in ieder geval binnen 24 uur, zodra hij daarvan kennis heeft genomen. In bijlage 3 dienen aanspreekpunten en contactgegevens te worden vastgelegd.
6.2 In de, in het vorige lid bedoelde kennisgeving wordt ten minste het volgende omschreven of meegedeeld, voor zover Opdrachtnemer deze informatie heeft:
a.) De aard van de Inbreuk, waar mogelijk onder vermelding van de categorieën van betrokkenen en persoonsgegevensregisters in kwestie en, bij benadering, het aantal betrokkenen en persoonsgegevensregisters in kwestie;
b.) De naam en de contactgegevens van de functionaris voor gegevensbescherming of een ander contactpunt waar meer informatie kan worden verkregen;
c.) De waarschijnlijke gevolgen van de Inbreuk;
d.) De maatregelen die Opdrachtnemer heeft voorgesteld of genomen om de Inbreuk aan te pakken, waaronder, in voorkomend geval, de maatregelen ter beperking van de eventuele nadelige gevolgen daarvan;
e.) Enige andere informatie die Opdrachtgever nodig heeft op basis van de Toepasselijke Privacy Wetgeving.
6.3 Indien en voor zover het niet mogelijk is om alle informatie gelijktijdig te verstrekken, kan de informatie zonder onredelijke vertraging in stappen worden verstrekt.
6.4 Opdrachtnemer zal Opdrachtgever ondersteunen bij het naleven van alle verplichtingen op basis van de Toepasselijke Privacy Wetgeving, rekening houdende met de aard van de verwerking en de informatie die beschikbaar is voor de verwerker. Deze ondersteuning houdt ook in het informeren van betrokkenen van een Inbreuk indien de Toepasselijke Privacy Wetgeving daartoe verplicht.
6.5 Opdrachtnemer documenteert alle Inbreuken, met inbegrip van de feiten omtrent de Inbreuk, de gevolgen daarvan en de genomen corrigerende maatregelen, alsmede alle andere relevante informatie omtrent de Inbreuk.

Artikel 7 Locatie van gegevens

7.1 Opdrachtnemer zal persoonsgegevens louter binnen de grenzen van de Europese Economische Ruimte (EER) verwerken (of doen verwerken), tenzij
a.) Het overdragen van persoonsgegeven naar buiten de EER door Opdrachtgever wordt geautoriseerd of geïnstrueerd; of
b.) Wetgeving waar Opdrachtnemer aan is onderworpen, Opdrachtnemer verplicht tot overdracht naar buiten de EER. Indien Opdrachtnemer hiertoe verplicht wordt, zal Opdrachtnemer Opdrachtgever terstond informeren, tenzij deze wetgeving Opdrachtnemer dit verbiedt.

Artikel 8 Sub-Verwerker

8.1 Opdrachtnemer is gerechtigd voor bepaalde taken en activiteiten Sub-Verwerkers aan te stellen welke expliciet worden geautoriseerd door Opdrachtgever.
8.2 Indien er een Sub-Verwerker wordt aangesteld, dan:
a.) Blijft Opdrachtnemer onverkort aansprakelijk voor de nakoming van de verplichtingen uit onderhavige overeenkomst;
b.) Zal Opdrachtnemer de aanstelling van een Sub-Verwerker in een schriftelijke overeenkomst vastleggen;
c.) Staat Opdrachtnemer ervoor in dat alle verplichtingen die op grond van deze Dienstverleningsafspraken rusten op Opdrachtnemer mede komen te rusten op deze Sub-Verwerker;
d.) Staat Opdrachtnemer er voor in dat de betreffende Sub-Verwerker ook de schriftelijke instructies van Opdrachtgever opvolgt.

Artikel 9 Rechten van betrokkenen

9.1 De Toepasselijke Privacy Wetgeving geeft de betrokkene bepaalde rechten. De verantwoordelijkheid voor het omgaan met (de uitvoering van) deze rechten rust bij Opdrachtgever.
9.2 Opdrachtnemer zal, indien Opdrachtgever daar om verzoekt, aan Opdrachtgever alle noodzakelijke medewerking verlenen bij de nakoming van de verplichtingen van Opdrachtgever verplichtingen op grond van de rechten genoemd in het vorige lid.

Artikel 10 Informatie, samenwerking, controle en naleving

10.1 Opdrachtnemer zal aan Opdrachtgever alle informatie verstrekken met betrekking tot enige gedragscode of goedgekeurd certificeringsmechanisme waar zij aan gebonden is, zoals bedoeld in respectievelijk artikel 40 en artikel 42 van de Privacy verordening.
10.2 Op het eerste daartoe strekkende verzoek zal Opdrachtnemer aan Opdrachtgever alle relevante informatie verstrekken betreffende de aspecten van de door hem verrichte verwerking van persoonsgegevens zodat Opdrachtgever, mede aan de hand van die informatie, aan kan tonen dat zij de Toepasselijke Privacy Wetgeving naleeft.
10.3 Opdrachtgever is gerechtigd om, middels een betrouwbare derde (gebonden aan geheimhouding), te controleren in hoeverre Opdrachtnemer de verplichtingen uit deze Dienstverleningsafspraken naleeft. Opdrachtnemer zal aan een dergelijke controle kosteloos haar volledige medewerking verlenen.
10.4 De leden 2 en 3 zijn niet van toepassing voor zover een dergelijk verzoek of instructie:
a.) Een disproportionele last voor Opdrachtnemer met zich mee brengt;
b.) Niet is gerelateerd aan de verwerking van persoonsgegevens;
c.) Zou leiden tot het openbaren van bedrijfsgeheimen van Opdrachtnemer;
d.) Voor Opdrachtgever niet zou leiden tot extra informatie bovenop de informatie die haar al is verstrekt in het kader van lid 1;
e.) In strijd zou zijn met wetgeving.
10.5 Indien een van de uitzonderingen uit het vorige lid zich voordoet zal Opdrachtnemer daar Opdrachtgever onmiddellijk over informeren.

Artikel 11 Kosten

11.1 De kosten voor de verwerking van gegevens die inherent zijn aan de normale uitvoering van de Diensten, worden geacht besloten te liggen in de Dienstverleningsafspraken gespecificeerde (reeds verschuldigde) vergoeding(en) voor de Diensten.
11.2 Enige ondersteuning of enige andere aanvullende dienstverlening die Opdrachtnemer op grond van deze Dienstverleningsafspraken dient te verlenen (bijv. op grond van artikel 6.4), of die wordt verzocht door Opdrachtgever, inclusief alle verzoeken tot aanvullende informatie, zullen in rekening worden gebracht bij Opdrachtgever overeenkomstig de in de Dienstverleningsafspraken gespecificeerde tarieven. Voor betreffende werkzaamheden gelden de tarieven “Technische consultancy” zoals overeengekomen in de Dienstverleningsafspraken tussen Opdrachtgever en Opdrachtnemer.
11.3 De voorgaande bepaling is niet van toepassing indien de werkzaamheden verband houden met een tekortkoming van Opdrachtnemer onder deze Dienstverleningsafspraken. De werkzaamheden zullen in dat geval kosteloos worden verricht (onverminderd het recht van Opdrachtgever de daadwerkelijk geleden schade op Opdrachtnemer te verhalen). De bewijslast dat de betreffende tekortkoming niet toerekenbaar is ligt bij Opdrachtnemer.

Artikel 12 Aansprakelijkheid

12.1 Enige beperking van de aansprakelijkheid in de Dienstverleningsafspraken is mutatis mutandis ook van toepassing op deze Dienstverleningsafspraken.
12.2 Indien en voor zover in de Dienstverleningsafspraken de aansprakelijkheid voor verlies en/of verminking van persoonsgegevens geheel is uitgesloten, is deze beperking – in afwijking van het vorige lid – niet van toepassing.
12.3 Indien er als gevolg van een toerekenbare tekortkoming van Opdrachtnemer, of een aan Opdrachtnemer toerekenbaar gedragen of nalaten, door een overheidstoezichthouder aan Opdrachtgever een boete wordt opgelegd, welke boete (deels) rechtstreeks verband houdt met voornoemde tekortkoming, gedragen of nalaten, vrijwaart Opdrachtnemer Opdrachtgever voor (dat deel van) die boete. De vrijwaring geldt niet voor zover de boete (mede) verband houdt met gedrag van Opdrachtgever zelf. Op deze vrijwaring zijn geen beperkingen van aansprakelijkheid van toepassing.
12.4 Iedere beperking van aansprakelijkheid komt voorts te vervallen in geval van opzet of grove schuld aan de zijde van Opdrachtnemer.

Artikel 13 Gevolgen van de Toepasselijke Privacy Wetgeving

13.1 De verantwoordelijkheid voor naleving van de Toepasselijke Privacy Wetgeving bij het verwerken van persoonsgegevens in het kader van de Dienstverleningsafspraken ligt bij Opdrachtgever.
13.2 Opdrachtnemer garandeert dat de Diensten gebruikt kunnen worden in overeenstemming met de Toepasselijke Privacy Wetgeving. Deze garantie geldt alleen voor de Toepasselijke Privacy Wetgeving in in relevante EU landen, bij gebreke waarvan het land van vestiging van Opdrachtgever gelezen wordt. Opdrachtnemer heeft geen kennis van andere Aanvullende Nationale Wetgeving of Implementatiewetgeving.

13.3 Opdrachtgever moet Opdrachtnemer informeren over enige Aanvullende Nationale Wetgeving of Implementatiewetgeving, voor zover van belang voor de uitvoering van de Diensten, indien Opdrachtgever wil dat Opdrachtnemer ook persoonsgegevens verwerkt met betrekking tot de activiteiten van Opdrachtgever in andere landen van de EU.
13.4 Opdrachtnemer zal Opdrachtgever informeren indien zij, op basis van de informatie door Opdrachtgever verstrekt in overeenstemming met het vorige lid, vermoedt dat het uitvoeren van de Diensten (gedeeltelijk) in strijd is met enige Aanvullende Nationale Wetgeving of Implementatiewetgeving.

Artikel 14 Duur, beëindiging en gevolgen van beëindiging

14.1 Deze Dienstverleningsafspraken worden aangegaan voor onbepaalde tijd en gelden zolang de verwerking van de gegevens plaats vindt.
14.2 Deze Dienstverleningsafspraken worden automatisch beëindigd indien de gegevensverwerking is beëindigd.
14.3 Verplichtingen welke naar hun aard bestemd zijn om ook na beëindiging of ontbinding van de Dienstverleningsafspraken voort te duren, blijven na beëindiging c.q. ontbinding van deze dienstverlening bestaan. Tot deze verplichtingen behoren onder meer:
a.) Geheimhouding;
b.) Geschillenbeslechting, toepasselijk recht.
14.4 In het geval dat een de dienstverlening is beëindigd zal Opdrachtnemer, ter vrije keuze van Opdrachtgever, de in het kader van de Diensten verwerkte persoonsgegevens vernietigen of terug leveren.
14.5 Opdrachtnemer zal hangende de keuze van Opdrachtgever de persoonsgegevens blijven bewaren. Opdrachtnemer is niet gerechtigd de persoonsgegevens zonder uitdrukkelijke instructie daartoe van Opdrachtnemer te vernietigen.
14.6 Het terug leveren van de persoonsgegevens geschiedt in een algemeen leesbaar en deugdelijk gedocumenteerd bestandsformaat.
14.7 Ongeacht het voorgaande:
a.) Is Opdrachtnemer gerechtigd om de gegevens te bewaren indien wetgeving haar daartoe verplicht.
b.) Zal Opdrachtnemer informatie met betrekking tot Inbreuken, zoals bedoeld in artikel 6.5, tenminste tot een jaar na beëindiging van de dienstverlening bewaren.

Artikel 15 Overige bepalingen

15.1 Voor alle onderwerpen die niet in deze Dienstverleningsafspraken zijn geregeld geldt dat de bepalingen van de relevante Dienstverleningsafspraken mutatis mutandis van toepassing zijn op de verwerking van persoonsgegevens in het kader van die specifieke Dienst.
15.2 Wijzigingen op deze Dienstverleningsafspraken en/of de bijlage zijn alleen geldig voor zover deze schriftelijk zijn vastgelegd en zijn ondertekend door beide partijen.
15.3 Deze Dienstverleningsafspraken kunnen (gedeeltelijk) worden vervangen door standaard contracts-bepalingen als bedoeld in artikel 28 lid 6 van de Privacy verordening, indien zulke bepalingen voor beide partijen wederzijds acceptabel zijn.

Artikel 16 Toepasselijk recht en bevoegde rechter

16.1 Op deze Dienstverleningsafspraken is Nederlands recht van toepassing. Behoudens voor zover de overeenkomst(en) met betrekking tot de Diensten een exclusief bevoegde rechter aanwijzen, is de rechter gevestigd in het arrondissement waar Opdrachtgever vestigingsplaats heeft exclusief bevoegd.

Primaire melding Opdrachtgever: Via de door u verstrekte contactgegevens.

Primaire melding Opdrachtnemer: per email, via info@ictladder.nl.

Dienstverlening: Het digitaal verwerken, opslaan en presenteren van confidentiële informatie waaronder persoons- en organisatie gegevens.

Persoonsgegevens

De door ons vast te leggen persoonsgegevens kunnen onder andere bestaan uit namen, adressen en telefoonnummers. Wij stellen geen expliciete beperking aan het soort informatie wat wordt opgeslagen, daardoor kan elk type persoonsgegeven worden vastgelegd.