Gegevensverwerkingsovereenkomst
Ingaande 29 september 2023 | Een vorige versie van de Gegevensverwerkingsovereenkomst bekijken | Wijzigingen vergelijken
Overeenkomstig de vereisten van Verordening (EU) nr. 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens, en tot intrekking van Richtlijn 95/46/EG (hierna de 'AVG' genoemd) gaan de Aanbieder (hierna 'Verwerker' genoemd) en U (hierna 'Verwerkingsverantwoordelijke' genoemd) de gegevensverwerkingsovereenkomst aan om de voorwaarden en bepalingen voor de verwerking van persoonsgegevens en de wijze van bescherming daarvan vast te leggen en om andere rechten en plichten van beide partijen bij de verwerking van persoonsgegevens van betrokkenen in opdracht van de Verwerker in het kader van de uitvoering van het voorwerp van deze Voorwaarden als hoofdovereenkomst te definiëren.
1. Verwerking van persoonsgegevens. De services die in overeenstemming met deze Voorwaarden worden geleverd, kunnen de verwerking van informatie omvatten met betrekking tot een geïdentificeerde of identificeerbare natuurlijke persoon die wordt vermeld in het Privacybeleid (hierna 'Persoonsgegevens' genoemd).
2. Autorisatie. De Verwerkingsverantwoordelijke machtigt de Verwerker om Persoonsgegevens te verwerken, met inbegrip van de volgende instructies:
(i) Doel van de verwerking: het verlenen van services in overeenstemming met deze Voorwaarden, De Verwerker mag alleen Persoonsgegevens verwerken namens de Verwerkingsverantwoordelijke met betrekking tot de levering van de door de Verwerkingsverantwoordelijke gevraagde services. Alle informatie die voor aanvullende doeleinden wordt verzameld, wordt verwerkt buiten de contractuele relatie tussen Verwerkingsverantwoordelijke en Verwerker.
(ii) Verwerkingsperiode: periode vanaf het aangaan van de wederzijdse samenwerking op grond van deze Voorwaarden tot de beëindiging van de services,
(iii) Reikwijdte en categorieën van Persoonsgegevens. De Services zijn uitsluitend bedoeld voor de verwerking van algemene persoonsgegevens. De Verwerkingsverantwoordelijke is er echter als enige verantwoordelijk voor om de reikwijdte van de persoonsgegevens te bepalen.
(iv) Betrokkene: een natuurlijke persoon als gemachtigde gebruiker van de apparaten van de Verantwoordelijke voor de verwerking,
v) Verwerkingsactiviteiten: alle handelingen die voor de verwerking noodzakelijk zijn,
(vi) Gedocumenteerde instructies: instructies die in deze Voorwaarden, de Bijlagen, het Privacybeleid en de documentatie van de serviceverlening worden beschreven. De Verwerkingsverantwoordelijke is verantwoordelijk voor de wettelijke toelaatbaarheid van de verwerking van Persoonsgegevens door de Verwerker met betrekking tot de respectievelijk toepasselijke bepalingen van de wetgeving inzake gegevensbescherming.
3. Verplichtingen van Verwerker. De Verwerker verplicht zich tot het volgende:
(i) Persoonsgegevens alleen verwerken op basis van Gedocumenteerde instructies en voor het doel dat is gedefinieerd in de Voorwaarden, de Bijlagen, het Privacybeleid en de documentatie van de serviceverlening,
(ii) instructies geven aan de personen die gemachtigd zijn om de Persoonsgegevens te verwerken (hierna 'Geautoriseerde personen' genoemd), in verband met hun rechten en plichten volgens de AVG en over hun aansprakelijkheid in geval van inbreuk, en waarborgen dat Geautoriseerde personen zich hebben verplicht tot vertrouwelijkheid en naleving van de Gedocumenteerde instructies,
(iii) de maatregelen implementeren en volgen die worden beschreven in de Voorwaarden, de Bijlagen, het Privacybeleid en de documentatie van de serviceverlening,
(iv) de Verwerkingsverantwoordelijke helpen om te reageren op verzoeken van Betrokkenen met betrekking tot hun rechten. De Verwerker zal de verwerking van Persoonsgegevens niet corrigeren, verwijderen of beperken zonder de instructie van de Verwerkingsverantwoordelijke. Alle verzoeken van Betrokkenen met betrekking tot Persoonsgegevens die namens de Verwerkingsverantwoordelijke worden verwerkt, worden onverwijld doorgestuurd naar de Verwerkingsverantwoordelijke.
(v) de Verwerkingsverantwoordelijke bijstaan bij de melding van een inbreuk op persoonsgegevens aan de toezichthoudende autoriteit en de Betrokkene. De Verwerker zal Verwerkingsverantwoordelijke onmiddellijk na ontdekking op de hoogte stellen van een inbreuk op de verwerking van persoonsgegevens of de beveiliging van persoonsgegevens. De Verwerker zal in redelijke mate meewerken aan een onderzoek naar en verhelpen van een dergelijke inbreuk, en redelijke maatregelen nemen om verdere negatieve gevolgen te beperken.
(vi) naar keuze van de Verwerkingsverantwoordelijke, alle Persoonsgegevens verwijderen of teruggeven aan de Verwerkingsverantwoordelijke na het einde van de Verwerkingsperiode. De Verwerkingsverantwoordelijke verbindt zich ertoe de Verwerker binnen tien (10) dagen na het einde van de Verwerkingsperiode op de hoogte te stellen van de keuze. Deze bepaling doet geen afbreuk aan het recht van de Verwerker om de Persoonsgegevens te bewaren voor zover nodig voor archiveringsdoeleinden in het algemeen belang, wetenschappelijk onderzoek, statistische doeleinden of voor het instellen, uitoefenen of verdedigen van juridische claims.
(vii) een register bijhouden van alle categorieën Verwerkingsactiviteiten die zijn uitgevoerd namens de Verwerkingsverantwoordelijke,
(viii) alle informatie die nodig is om naleving aan te tonen als onderdeel van de Voorwaarden, de Bijlagen, het Privacybeleid en de documentatie van de serviceverlening, beschikbaar stellen aan de Verwerkingsverantwoordelijke. In geval van audit of controle van de verwerking van Persoonsgegevens door Verwerkingsverantwoordelijke is de Verwerkingsverantwoordelijke verplicht de Verwerker hiervan minimaal tien (30) dagen vóór de geplande audit of controle schriftelijk op de hoogte te stellen.
4. Een andere Verwerker inschakelen. De Verwerker heeft het recht om een andere verwerker in te schakelen voor de uitvoering van specifieke verwerkingsactiviteiten, zoals het aanbieden van cloudopslag en infrastructuur voor de service in overeenstemming met de Voorwaarden, de Bijlagen, het Privacybeleid en de documentatie van de serviceverlening. Microsoft biedt momenteel cloudopslag en infrastructuur als onderdeel van Azure-cloudservice. In dat geval blijft de Verwerker het enige aanspreekpunt en de partij die verantwoordelijk is voor naleving. De Verwerker verbindt zich er hierbij toe de Verwerkingsverantwoordelijke te informeren over elke toevoeging of vervanging van een andere verwerker om de mogelijkheid te bieden om tegen een dergelijke wijziging bezwaar te maken.
5. Gebied van Verwerking. De Verwerker zorgt ervoor dat de verwerking plaatsvindt in de Europese Economische Ruimte of in een land dat bij besluit van de Europese Commissie op basis van het besluit van de Verwerkingsverantwoordelijke als veilig is aangemerkt. Modelcontractbepalingen zijn van toepassing in geval van doorgifte en verwerking buiten de Europese Economische Ruimte of een land dat bij besluit van de Europese Commissie op verzoek van de Verwerkingsverantwoordelijke als veilig is aangemerkt.
6. Beveiliging. De Verwerker is ISO 27001:2013-gecertificeerd en gebruikt het ISO 27001-raamwerk om een gelaagde verdediging als beveiligingsstrategie te implementeren bij het toepassen van beveiligingscontroles bij de laag van het netwerk, de besturingssystemen, databases, toepassingen, het personeel en de bedrijfsprocessen. Naleving van de reglementaire en contractuele vereisten wordt regelmatig beoordeeld en geëvalueerd, net als andere infrastructuur en bewerkingen van Verwerker, en de nodige stappen worden genomen om naleving ervan op een continue basis te waarborgen. De Verwerker heeft de beveiliging van de gegevens georganiseerd met behulp van ISMS op basis van ISO 27001. De beveiligingsdocumentatie omvat voornamelijk beleidsdocumenten voor informatiebeveiliging, fysieke veiligheid, beveiliging van apparatuur, incidentmanagement, behandeling van datalekken en veiligheidsincidenten, enz.
7. Technische en organisatorische maatregelen. Verwerker zal de Persoonsgegevens beschermen tegen onopzettelijke en onrechtmatige beschadiging en vernietiging, onopzettelijk verlies, wijziging, ongeoorloofde toegang en openbaarmaking. Hiertoe neemt de Verwerker passende technische en organisatorische maatregelen die overeenkomen met de wijze van verwerking en het risico dat de verwerking vormt voor de rechten van de Betrokkenen, in overeenstemming met de vereisten van de AVG. Een uitgebreide beschrijving van de technische en organisatorische maatregelen is te vinden in het Beveiligingsbeleid.
8. Contactinformatie van Verwerker. Alle kennisgevingen, verzoeken, eisen en andere mededelingen betreffende de bescherming van persoonlijke gegevens moeten worden gericht aan ESET, spol. s.r.o., ter attentie van: Data Protection Officer, Einsteinova 24, 85101 Bratislava, Slovak Republic, email: dpo@eset.sk.