Verwerkersovereenkomst

                                               


Verwerkersovereenkomst 

DE ONDERGETEKENDEN:

1. …………………………………………..<clubnaam>

 

    rechtsgeldig vertegenwoordigd door

 

    …………………………………………..<contactpersoon>

 

    …………………………………………...<functie>; hierna: “Opdrachtgever”, en

 

  1. club-assistent BV , gevestigd te Joost van den Vondellaan 2, 5152 LE Drunen, te dezen rechtsgeldig vertegenwoordigd door Corné van Hooren, Eigenaar; hierna: “Verwerker”; hierna gezamenlijk te noemen: Partijen,

OVERWEGENDE DAT:

  1. Partijen op ___________<datum> een overeenkomst, gekoppeld aan de afname van het product Club-assistent, zijn aangegaan (“Overeenkomst”) in het kader waarvan persoonsgegevens door Verwerker (kunnen) worden verwerkt;
  2. te dien aanzien Opdrachtgever als “verantwoordelijke”, en Verwerker als “verwerker” moet worden aangemerkt in de zin van Artikel 1 Wet bescherming persoonsgegevens (“Wbp”); c) Partijen in deze overeenkomst (“Verwerkersovereenkomst”) de gemaakte afspraken neerleggen die gelden voor het verwerken van Persoonsgegevens (zoals nader omschreven in Artikel 1) door Verwerker ten behoeve van Opdrachtgever;

1. KOMEN ALS VOLGT OVEREEN:

  1. Verwerker is gerechtigd om persoonsgegevens van leden van Opdrachtgever te verwerken in Club-assistent.
    1. Verwerker zal de categorieën persoonsgegevens die omschreven zijn in Bijlage 1 (“Persoonsgegevens”) uitsluitend geautomatiseerd verwerken ten behoeve en in opdracht van Opdrachtgever in overeenstemming met de bepalingen van deze

Verwerkersovereenkomst, in het bijzonder de verwerking doeleinden die eveneens zijn omschreven in Bijlage 1.

    1. Verwerker heeft geen zelfstandige zeggenschap over de doeleinden van verwerking van de Persoonsgegevens en de daartoe gebruikte middelen.       
  1. ALGEMENE VERPLICHTINGEN BEWERKER

2.1 Verwerker verplicht zich om alle instructies van Opdrachtgever op te volgen ten aanzien van de verwerking van de 

Persoonsgegevens in het kader van deze Verwerkersovereenkomst.

2.2 Verwerker zal zich houden aan alle toepasselijke wet- en regelgeving en gedragscodes betreffende de bescherming en beveiliging van persoonsgegevens. Verwerker verklaart met deze regelgeving bekend te zijn.

2.3 Het is Verwerker niet toegestaan om de Persoonsgegevens voor eigen doeleinden of enig ander doel dan de in deze Verwerkersovereenkomst genoemde doelen te verwerken en/of aan derden te verstrekken.

2.4 De Opdrachtgever heeft ten alle tijden toegang tot de Persoonsgegevens via het CMS (Content Management Systeem) van de webapplicatie.

  1. SUB-BEWERKERS EN DOORGIFTE

3.1 Verwerker mag voor de verwerking van Persoonsgegevens binnen het kader van de Verwerkersovereenkomst uitsluitend derden inschakelen indien die zijn goedgekeurd door Opdrachtgever.

3.2 Indien (een deel van) de verwerking van de Persoonsgegevens wordt uitbesteed aan een Sub-verwerker, is Verwerker jegens Opdrachtgever volledig aansprakelijk voor de uitvoering door Sub-verwerker conform de plichten die uit hoofde van deze

Verwerkersovereenkomst op Verwerker rusten. Verwerker staat er jegens Opdrachtgever voor in dat de verwerking van de Persoonsgegevens door een Sub-verwerker slechts plaatsvindt binnen de reikwijdte van deze Overeenkomst.

3.3 Verwerker en eventuele Sub-verwerkers mogen Persoonsgegevens uitsluitend (laten) verwerken binnen de Europees Economische Ruimte.

3.4 Verwerker zorgt ervoor dat aan Sub-verwerkers, voor zover het door hen uitgevoerde verwerking(en) van Persoonsgegevens betreft, middels een schriftelijke verwerkersovereenkomst (“Sub-verwerkersovereenkomst”) dezelfde verantwoordelijkheden en verplichtingen worden opgelegd als de bepalingen uit deze overeenkomst. Op eerste verzoek van Opdrachtgever verstrekt Verwerker aan Opdrachtgever een kopie van deze Sub-verwerkersovereenkomst(en).

3.5 Voor de Hosting van Club-assistent wordt momenteel TransIp ingeschakeld als leverancier. TransIp host de gegevens op een server, beheerd door Verwerker, maar bewerkt de gegevens niet.

  1. GEHEIMHOUDING

4.1 Verwerker mag geen Persoonsgegevens aan derden kenbaar maken of derden daartoe toegang geven, tenzij Opdrachtgever daar vooraf uitdrukkelijk schriftelijk toestemming voor heeft gegeven. Onder derden wordt ook personeel van Verwerker begrepen voor zover het niet noodzakelijk is dat dergelijk personeel voor het uitvoeren van de Overeenkomst kennis neemt van de Persoonsgegevens. Deze geheimhoudingsplicht blijft onverminderd van kracht na het einde van deze Verwerkersovereenkomst.

4.2 Verwerker verplicht zich om medewerkers die werkzaamheden verrichten in het kader van de uitvoering van de Overeenkomst, dezelfde verplichtingen op te leggen ten aanzien van het geheimhouden en vertrouwelijk behandelen van Persoonsgegevens als bedoeld in dit artikel.

  1. BEVEILIGING

5.1 Verwerker zal uit eigen beweging zodanige technische en organisatorische beveiligingsmaatregelen treffen dat de Persoonsgegevens adequaat beveiligd zijn tegen verlies of enige vorm van onzorgvuldige, ondeskundige of onrechtmatige verwerking en dat ten aanzien van de Persoonsgegevens steeds sprake is van een adequate bescherming die, gelet op de stand van de techniek, passend is. Daarnaast treft Verwerker in ieder geval de in Bijlage 2 opgenomen beveiligingsmaatregelen.

5.2 Verwerker zorgt ervoor dat het bij de verwerking van Persoonsgegevens betrokken medewerkers de in deze overeenkomst opgenomen verplichtingen van Verwerker kennen en dit deze zich aan die verplichtingen houden.

5.3 Partijen evalueren periodiek de in Artikel 5.1 genoemde maatregelen. Zodra Opdrachtgever ten aanzien van de beveiliging van de Persoonsgegevens nieuwe of gewijzigde afspraken wenselijk acht, dan zal Verwerker de beveiligingsnormen aanpassen overeenkomstig de wensen van Opdrachtgever. Dit gebeurt op initiatief van de ligt Opdrachtgever.

  1. CONTROLE

6.1 Verwerker stelt Opdrachtgever in staat om op verzoek van Opdrachtgever, onder aanzegging van een redelijke termijn, de naleving door Verwerker van deze

Verwerkersovereenkomst door Opdrachtgever te laten controleren. Daartoe zal Verwerker aan een onafhankelijke auditor, ingehuurd door Opdrachtgever, toegang verschaffen tot (relevante delen van) de ruimtes, systemen en/of servers waarin/waarmee de verwerking van de Persoonsgegevens op enig moment plaatsvindt. Verwerker zal aan de auditor alle informatie verstrekken die redelijkerwijs nodig is voor het uitvoeren van de controle.

Eventuele kosten zijn voor de Opdrachtgever.

6.2 Verwerker verstrekt op eerste verzoek van Opdrachtgever een rapportage aan Opdrachtgever waarin Verwerker informatie verstrekt over de stand van de beveiligingsmaatregelen zoals omschreven in artikel 5 en Bijlage 2, beveiligingsincidenten en mogelijke beveiligingsrisico’s ten aanzien van de Persoonsgegevens.

  1. INFORMEERPLICHT BEWERKER

7.1 Zodra Verwerker kennisneemt van een incident of dreigend incident inzake diefstal, verlies of ontoegankelijkheid van gegevens of enige inbreuk of dreigende inbreuk op de beveiliging in de zin van art. 34a Wbp (hierna: “Beveiligingsincident”), stelt Verwerker Opdrachtgever hiervan onverwijld, doch uiterlijk op de eerstvolgende werkdag, op de hoogte en zal Verwerker daarbij in ieder geval informatie verstrekken over:

  1. de aard van het Beveiligingsincident en de feitelijke toedracht voor zover bekend of vermoed;

(ii) de (mogelijk) getroffen Persoonsgegevens;

(iii)de vastgestelde en verwachte gevolgen van het Beveiligingsincident voor de verwerking van de Persoonsgegevens en de daarbij betrokken personen; en

(iv)de maatregelen die Verwerker heeft getroffen en zal treffen om de negatieve gevolgen van het Beveiligingsincident te verhelpen of beperken.

    1. Verwerker verleent op verzoek van Opdrachtgever de gevraagde medewerking die Opdrachtgever nodig acht om een inbreuk op de beveiliging te melden bij de Autoriteit Persoonsgegevens en/of de betrokkenen. Verwerker mag een dergelijke melding niet doen zonder uitdrukkelijke voorafgaande toestemming van Opdrachtgever.
    2. Verwerker zal Opdrachtgever van eventuele nieuwe ontwikkelingen inzake een Beveiligingsincident in de zin van artikel 7.1 steeds op de hoogte stellen en informeren over de in art. 7.1 genoemde aspecten alsmede getroffen maatregelen om in de toekomst herhaling te voorkomen. Eventuele kosten die gepaard gaan met de uitvoering van verplichtingen voor Verwerker zoals genoemd in artikel 7.1, 7.2 en komen voor rekening van Verwerker.
    3. Verwerker zal Opdrachtgever onverwijld informeren over enig verzoek of onderzoek van enige overheids- of vergelijkbare instantie met betrekking tot de verstrekking of verwerking van de Persoonsgegevens.
  1. AANSPRAKELIJKHEID EN VRIJWARING

8.1 Onverminderd het bepaalde in art. 3.1, is Verwerker aansprakelijk voor alle schade die voor Opdrachtgever voortvloeit uit een aan Verwerker en/of Sub-verwerker toerekenbare schending van de wet- en regelgeving betreffende de verwerking van Persoonsgegevens of niet-nakoming van verplichtingen ingevolge deze Verwerkersovereenkomst. 8.2 Verwerker zal Opdrachtgever vrijwaren van enigerlei boete of schade die door Opdrachtgever verschuldigd c.q. geleden wordt als gevolg van toerekenbare niet-nakoming door Verwerker van deze Verwerkersovereenkomst.

  1. OMGANG MET RECHTEN VAN BETROKKENEN

9.1 Verwerker zal desverzocht aan Opdrachtgever alle benodigde medewerking verlenen om uitvoering te geven aan inzageverzoeken van betrokkenen of het verzoek om verbetering, aanvulling, verwijdering of afscherming van Persoonsgegevens. Indien dergelijke verzoeken binnenkomen bij Verwerker leidt hij deze door naar Opdrachtgever en geeft hij daaraan niet zelfstandig uitvoering.

  1. OMGANG MET PERSOONSGEGEVENS BIJ BEËINDIGING

10.1 Bij het eindigen van de Overeenkomst op welke grond en op welke wijze dan ook – moet Verwerker kosteloos op eerste verzoek van Opdrachtgever:

  1. aan Opdrachtgever alle Persoonsgegevens ter beschikking stellen.
  2. onmiddellijk de verwerking van Persoonsgegevens staken en zorgen dat eventuele Sub-verwerkers hetzelfde doen;

(iii) alle documenten waarin Persoonsgegevens zijn vastgelegd aan Opdrachtgever ter beschikking stellen, en

(iv) nadat Opdrachtgever daartoe uitdrukkelijk opdracht heeft gegeven, alle

Persoonsgegevens die elektronisch zijn opgeslagen permanent verwijderen of, voor zover permanente verwijdering van de gegevensdrager niet mogelijk is, de gegevensdrager vernietigen, en desgevraagd schriftelijk aan Opdrachtgever bevestigen dat aan alle verplichtingen uit hoofde van dit artikel 10.1 is voldaan.

  1. INWERKINGTREDING EN DUUR VAN DE OVEREENKOMST

11.1 Deze Verwerkersovereenkomst treedt in werking op de datum dat Partijen de Verwerkersovereenkomst hebben ondertekend.

11.2 Deze Verwerkersovereenkomst geldt voor de duur dat Verwerker Persoonsgegevens verwerkt in het kader van de uitvoering van de Overeenkomst.

11.3 Verwerker kan deze Verwerkersovereenkomst niet tussentijds opzeggen.

11.4 De bepalingen in deze Verwerkersovereenkomst blijven ook na het einde van de overeenkomst onverminderd van kracht zolang Verwerker Persoonsgegevens onder zich heeft.

  1. TOEPASSELIJK RECHT EN BEVOEGDE RECHTER

12.1 Deze Verwerkersovereenkomst en de uitvoering ervan worden uitsluitend beheerst door Nederlands recht.

12.2 Alle geschillen in verband met deze Verwerkersovereenkomst of de uitvoering ervan worden uitsluitend voorgelegd aan de bevoegde rechter te Amsterdam.

 

 

Aldus overeengekomen en ondertekend te Drunen op ……………..

Opdrachtgever

[BEWERKER]

Naam: 

Naam: Corné van Hooren

Functie:

Functie: directeur club-assistent BV

 

 

 

 

 

 

 

 

 

Bijlage 1 Persoonsgegevens;

De volgende gegevens worden door Verwerker opgeslagen tbv correcte werking van de applicatie;

 

  • Volledige naam
  • Volledig adres
  • Geboortedatum
  • Telefoonnummer(s)
  • E-mailadres(sen)
  • Pasfoto
  • Geslacht
  • Geboorteplaats
  • Nationaliteit
  • IBAN
  • Akkoord incasso
  • Relatienummer / lidmaatschap van de bond (indien van toepassing)
  • Functie(s) bij de vereniging
  • Persoonlijke prestaties en/of beoordeling door gedelegeerde binnen de vereniging

 

  • Mutaties aan persoonsgegevens

 

  • Login momenten
  • IP-adressen waarmee het lid inlogt
  • Browser informatie waarmee het lid inlogt
  • Nieuwsbrief lees momenten
  • IP-adressen waarmee het lid de nieuwsbrief bekijkt
  • Browser informatie waarmee het lid de nieuwsbrief bekijkt

 

 

             

Bijlage 2 Beveiligingsmaatregelen;

 

direct-effect heeft een aantal technische maatregelen getroffen om het lekken van persoonsgegevens te voorkomen;

 

  • Server voorzien van bijgewerkt software

                        ○    PHP versie met beveiligings support

                        ○    MySQL versie met beveiligings support

                        ○    Overige toegepast firmware

  • Wachtwoorden worden nooit leesbaar getoond/gecommuniceerd
  • Wachtwoorden worden versleuteld opgeslagen
  • Gegevens die door gebruikers worden ingevoerd worden versleuteld verstuurd (SSL)
  • CMS wachtwoorden zijn 6 maanden geldig
  • CMS wachtwoorden moeten sterk zijn
  • De gebruiker is zelf verantwoordelijk een ander wachtwoord dan voor zijn of haar andere systemen te gebruiken