VERWERKERSOVEREENKOMST
Verwerkingsverantwoordelijke — Verwerker binnen Nederland
DE ONDERGETEKENDEN:
Scholen Groep gevestigd te (……….) te……… aan het adres ……., ingeschreven in het Handelsregister onder nummer ……, in deze rechtsgeldig vertegenwoordigd door haar voorzitter van het College van Bestuur ……., hierna te noemen ‘Verwerkingsverantwoordelijke’
en
FotograafRuud gevestigd te (7231ER) Warnsveld aan het adres Prunuslaan 7, ingeschreven in het Handelsregister onder nummer 08068334, in deze rechtsgeldig vertegenwoordigd door Dhr. R. Kronenburg, hierna te noemen: ‘Verwerker’
Verwerkingsverantwoordelijke en Verwerker worden afzonderlijk tevens genoemd ‘Partij’ of gezamenlijk ‘Partijen’
OVERWEGENDE DAT:
Verwerkingsverantwoordelijke aan Verwerker de opdracht heeft verstrekt tot het fotograferen van haar leerlingen (hierna: ‘de Opdracht’), een en ander conform de reeds tussen Partijen gesloten overeenkomst en/of opdrachtbevestiging (hierna: “Contract”).
Verwerkingsverantwoordelijke in het kader van de uitvoering van de Opdracht aan Verwerker direct of indirect gegevens zal verstrekken die privacygevoelig zijn, welke gegevens Verwerker in opdracht van Verwerkingsverantwoordelijke zal Verwerken;
De te Verwerken gegevens van Verwerkingsverantwoordelijke onder meer Persoonsgegevens bevatten in de zin van Privacy Wet- en Regelgeving;
Verwerkingsverantwoordelijke kwalificeert als Verwerkingsverantwoordelijke in de zin van de Privacy Wet- en Regelgeving, nu zij het doel en de middelen voor de Verwerking van Persoonsgegevens vaststelt;
Verwerker kwalificeert als een verwerker in de zin van de Privacy Wet- en Regelgeving omdat Verwerker ten behoeve van Verwerkingsverantwoordelijke Persoonsgegevens Verwerkt, zonder aan diens rechtstreeks gezag onderworpen te zijn en Verwerkingsverantwoordelijke het doel van en de middelen voor de Verwerking van de Persoonsgegevens vaststelt;
Privacy Wet- en Regelgeving aan Verwerkingsverantwoordelijke de plicht oplegt om ervoor zorg te dragen dat Verwerker voldoende waarborgen biedt ten aanzien van de technische en organisatorische beveiligingsmaatregelen met betrekking tot de te verrichten bewerkingen;
Dat Verwerkingsverantwoordelijke en Verwerker groot belang hechten aan het beschermen van de Persoonsgegevens van de Betrokkenen;
Verwerkingsverantwoordelijke en Verwerker in aanvulling op de reeds tussen partijen gesloten overeenkomsten middels deze Overeenkomst een Verwerkersovereenkomst zoals bedoeld in artikel 28 lid 3 AVG wensen te sluiten.
VERKLAREN TE ZIJN OVEREENGEKOMEN ALS VOLGT:
1 Definities
1.1 Partijen hanteren in deze Overeenkomst de onderstaande duidingen, afkortingen en definities (in alfabetische volgorde):
AVG:
Verordening (EU) 2016/679 Van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de Verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (Algemene Verordening Gegevensbescherming);
Betrokkene(n)
Degene(n) op wie een Persoonsgegeven betrekking heeft;
Datalek
ledere daadwerkelijke of redelijkerwijs te vermoeden ongeautoriseerde openbaring van Persoonsgegevens door Verwerker of door Verwerker ingeschakelde derden, zoals maar niet beperkt tot Subverwerkers, als bedoeld in artikel 4 lid 12 AVG;
EER
Europese Economische Ruimte;
Overeenkomst
Onderhavige overeenkomst tussen Verwerkingsverant-woordelijke enerzijds en Verwerker anderzijds, inclusief bijlagen en documenten waarnaar wordt verwezen;
Privacy Wet- en Regelgeving
Alle wetten en regelingen, inclusief de wetten en regelingen zoals afkomstig van (enig orgaan of institutie van) de Europese Unie, de Europese Economische Ruimte en hun lidstaten, zoals van toepassing op de Verwerking van Persoonsgegevens onder het Contract, , zoals, maar niet beperkt tot, de AVG;
Subverwerker
Degene die – in opdracht van de Verwerker – de Verwerker bijstaat in de Verwerking van Persoonsgegevens;
Verwerker
Fotograafruud
Verwerking
Elke handeling of elk geheel van handelingen met betrekking tot Persoonsgegevens, al dan niet geautomatiseerd, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens;
Verwerkingsverantwoordelijke
…… Scholen Groep
2. Doel Verwerking Persoonsgegevens
Partijen erkennen en komen hierbij overeen dat voor de Verwerking van Persoonsgegevens, Verwerker zal optreden als verwerker en dat Verwerkingsverantwoordelijke zal optreden als Verwerkingsverantwoordelijke, een en ander in de zin van de AVG.
Verwerkingsverantwoordelijke zal de Persoonsgegevens Verwerken in overeenstemming met de vereisten van de Privacy Wet- en Regelgeving. De instructies van Verwerkingsverantwoordelijke voor de Verwerking van Persoonsgegevens zullen overeenkomen met de Privacy Wet- en Regelgeving. Verwerkingsverantwoordelijke draagt, met uitsluiting van ieder ander, de verantwoordelijkheid voor de juistheid, kwaliteit en rechtmatigheid van de Verwerking van Persoonsgegevens en de middelen waarmee de Verwerkingsverantwoordelijke de Persoonsgegevens verzamelt en heeft verzameld.
Verwerker verwerkt de Persoonsgegevens slechts ten behoeve van Verwerkingsverantwoordelijke, overeenkomstig de instructies en onder de verantwoordelijkheid van Verwerkingsverantwoordelijke. Verwerker behandelt de Persoonsgegevens als confidentiële informatie. Verwerker heeft geen zeggenschap over het doel en de middelen voor de Verwerking van de Persoonsgegevens. Verantwoordelijke instrueert Verwerker hierbij de Persoonsgegevens te Verwerken voor de volgende doeleinden: (i) Verwerking zoals voortvloeit uit het Contract; (ii) Verwerking om eventuele verdere redelijke instructies van de Verwerkingsverantwoordelijke na te komen als deze instructies consistent zijn met de bepalingen van het Contract mits Verwerkingsverantwoordelijke vooraf aan die Verwerking op de hoogte is gesteld.
Het is Verwerker niet toegestaan Persoonsgegevens voor eigen doeleinden te gebruiken.
Verwerker is bevoegd om beslissingen te nemen over welke middelen hij gebruikt voor de Verwerking(en). Dit mag alleen als het gaat om praktische zaken die geen significante impact op de bescherming van de Persoonsgegevens hebben.
Als naar het oordeel van de Verwerker een instructie van de Verwerkingsverantwoordelijke in strijd is met deze Verwerkersovereenkomst of Privacy Wet- en Regelgeving is zij gehouden de Verwerkingsverantwoordelijke hierover te informeren.
Verwerker heeft afspraken met school dat de pasfotobestanden met uitsluitend leerling nummer verstrekt worden voor gebruik in hun leerling systeem. (ParnasSys) of dergelijk leerling systeem.
Medewerkingsplicht
Verwerker zal de naar redelijkheid gevraagde medewerking verlenen aan Verwerkingsverantwoordelijke bij door of namens Verwerkingsverantwoordelijke uit te voeren Privacy Impact Assessment (PIA) voorgeschreven door de wet, alsmede bij een klacht of inzageverzoek vanuit een Betrokkene.
Indien en voor zover Verwerkingsverantwoordelijke, in de uitvoering van het Contract, niet de mogelijkheid heeft tot inzage, rectificatie, gegevenswissing, beperking van de Verwerking of overdracht van Persoonsgegevens, zoals vereist op basis van de Privacy Wet- en Regelgeving, zal Verwerker rekening houdend met de bepalingen inzake de toegang tot persoonsgegevens en de verzoeken hiertoe in de toepasselijke Privacy Wet- en Regelgeving en gelimiteerd tot de kosten zoals in deze bepalingen bepaald, conformeren aan redelijke verzoeken van Verwerkingsverantwoordelijke om dergelijke toegang te faciliteren.
Verwerker zal, voor zover wettelijk toegestaan, Verwerkingsverantwoordelijke prompt op de hoogte stellen indien Verwerker een verzoek van een Betrokkene ontvangt in verband met de inzage, rectificatie, gegevenswissing, beperking van de Verwerking of overdracht van Persoonsgegevens van deze Betrokkene. Verwerker zal aan Verwerkingsverantwoordelijke alle redelijke medewerking en bijstand verlenen in verband met de afhandeling van verzoeken van Betrokkenen in verband met de toegang tot Persoonsgegevens, voor zover wettelijk toegestaan en voor zover Verwerkingsverantwoordelijke geen toegang tot de Persoonsgegevens heeft.
Indien en voor zover hiertoe een wettelijke verplichting bestaat, en eerst nadat Verwerkingsverantwoordelijke hierover prompt althans op het eerste wettelijk of van overheidswege toegestane moment is geïnformeerd, werkt Verwerker mee aan een onderzoek audit of beslaglegging door de Autoriteit Persoonsgegevens of een andere toezichthouder. Verwerker waarborgt hierbij de veiligheid en vertrouwelijkheid van de Persoonsgegevens en verzekert dat niet meer Persoonsgegevens worden geopenbaard dan strikt noodzakelijk. Waar mogelijk worden Persoonsgegevens geanonimiseerd.
Partijen brengen elkaar voor in redelijkheid verleende bijstand geen kosten in rekening. In het geval dat één van de Partijen kosten in rekening wil brengen, brengt deze partij de andere Partij hiervan vooraf op de hoogte.
Personeel van Verwerker
Verwerker verzekert hierbij dat zijn personeel, betrokken bij de Verwerking van Persoonsgegevens, is geïnformeerd over de confidentiële aard van de Persoonsgegevens, en dat zij zich ertoe hebben verbonden geheimhouding in acht te nemen via een geheimhoudingsverklaring zoals genoemd in 5.6.
Verwerker onderneemt, in commercieel opzicht redelijke, stappen om de betrouwbaarheid van elk personeelslid van Verwerker die betrokken is bij de Verwerking van Persoonsgegevens te verzekeren.
Verwerker verzekert hierbij dat de toegang van Verwerker tot de Persoonsgegevens beperkt is tot personeel wiens toegang noodzakelijk is voor de uitvoering van het Contract.
Beveiligingsmaatregelen
Verwerker zal alle passende technische en organisatorische maatregelen nemen om de Persoonsgegevens beveiligen tegen verlies, of enige vorm van onrechtmatige Verwerking. De betreffende maatregelen zijn nader omschreven in bijlage 2 bij deze Overeenkomst. Verwerker zal zich daartoe houden aan het binnen Verwerker geldende(standaard) niveau van beveiliging. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico’s die de Verwerking en de aard van te beschermen gegevens met zich meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere Verwerking van persoonsgegevens te voorkomen.
Verwerker stelt Verwerkingsverantwoordelijke in de gelegenheid te controleren dat de Verwerking van Persoonsgegevens plaatsvindt zoals overeengekomen in deze Overeenkomst en de beveiligingsprotocollen van Verwerker
Partijen erkennen dat regelmatige aanpassing van de beveiligingsmaatregelen nodig is om te voldoen aan de Privacy Wet- en Regelgeving. Verwerker zal de maatregelen regelmatig evalueren en deze waar nodig aanvullen en verbeteren om aan de Privacy Wet- en Regelgeving te voldoen.
De Verwerker zal Verwerkings verantwoordelijke tijdig informeren over de uitkomst van iedere evaluatie en waar nodig aanvullingen en verbeteringen voorstellen. De Verwerker zal Verwerkingsverantwoordelijke voldoende tijd geven om te reageren op de voorgestelde aanvullingen en verbeteringen.
Indien Verwerker relevante, door derden verstrekte, certificaten of beoordelingen heeft ontvangen in verband met de beveiliging van data, zal Verwerker deze certificaten of beoordelingen op eerste verzoek van Verwerkingsverantwoordelijke aan Verwerkingsverantwoordelijke verstrekken. Op verzoek van Verwerkingsverantwoordelijke, zoals met redelijke tussenpozen gedaan, zal Verwerker een kopie van de meest recente certificaten of beoordelingen aan Verwerkingsverantwoordelijke verstrekken, indien van toepassing, dan wel indien verzocht een samenvatting van het voorgaande, welke Verwerkingsverantwoordelijke ter beschikking zou kunnen stellen aan haar klanten via de website.
Verwerker heeft op haar locatie(s) van waaruit de dienstverlening geschiedt, in ieder geval de volgende maatregelen genomen:
Logische toegangscontrole, gebruikmakend van: wachtwoorden, persoonsgebonden toegangstags, biometrische verificatie;
Fysieke maatregelen voor toegangsbeveiliging;
`Encryptie (versleuteling) van digitale back-up bestanden met persoonsgegevens;
Organisatorische maatregelen voor toegangsbeveiliging;
Steekproefsgewijze controle op naleving beleid;
Beveiliging van netwerkverbindingen via Secure Socket Layer (SSL) technologie;
Een beveiligd intern netwerk; Doelgebonden toegangsbeperkingen;
Controle op toegekende bevoegdheden;
Geheimhoudingsverklaring in de individuele arbeidsovereenkomsten van werknemers; Verwerkersovereenkomsten met Subverwerkers.
Datalekken
Verwerker verplicht zich hierbij tot een passend beleid ten aanzien van incidenten en Datalekken, zoals maar niet beperkt tot protocollen die conformeren met Privacy Wet- en Regelgeving.
Verwerker stelt de Verwerkingsverantwoordelijke onverwijld, maar in ieder geval binnen vierentwintig uur na ontdekking hiervan, in kennis van een Datalek, of een inbreuk op de beveiliging zoals bedoeld in artikel 5.1 , die leidt tot de aanzienlijke kans op nadelige gevolgen dan wel nadelige gevolgen heeft voor de bescherming van Persoonsgegevens en verleent Verwerkingsverantwoordelijke voorts alle medewerking in de afhandeling van een dergelijke inbreuk, waaronder mede verstaan, doch niet beperkt tot de (medewerking aan) de tijdige melding van een inbreuk bij de Autoriteit Persoonsgegevens en (voor zover vereist) het tijdig inlichten van Betrokkenen.
Indien een situatie als bedoeld in artikel 6.2 zich voortdoet, verplicht Verwerker zich hierbij tot geheimhouding van ieder gegeven in verband met het Datalek of de inbreuk op de beveiliging. Verwerker zal in geen enkele omstandigheid informatie naar buiten brengen over dit Datalek of de inbreuk op de beveiliging zonder de voorafgaande schriftelijke toestemming van Verwerkingsverantwoordelijke.
De melding die Verwerker aan Verwerkingsverantwoordelijke doet zoals bepaald in artikel 6.2, omvat in ieder geval:
De mogelijke oorzaak en de mogelijke gevolgen van het Datalek of het incident;
De (categorieën van) de betrokken Persoonsgegevens;
Een weergave van de mogelijke gevolgen voor Betrokkenen;
Een opgave van de mogelijke (ongeautoriseerde) ontvangers van Persoonsgegevens;
De door Verwerker aanbevolen maatregelen ter beperking van de schade, voor zover relevant;
Indien de melding zoals bepaald in artikel 6.2 plaatsvindt, houdt Verwerker zich beschikbaar en bereikbaar voor overleg met Verwerkingsverantwoordelijke.
Verwerker zal de melding aan de Functionaris Gegevensbescherming van de Verwerkingsverantwoordelijke via e-mail en telefoon uitvoeren (contactgegevens zie bijlage 2), zich ervan verzekerend dat de melding de Verwerkingsverantwoordelijke tijdig bereikt.
7. Subverwerkers
Verwerkingsverantwoordelijke geeft door ondertekening van deze Overeenkomst specifieke toestemming tot het inschakelen van Subverwerkers, van wie de identiteit, doeleinden en vestigingsgegevens zijn opgenomen in bijlage 3. Ten minste 14 dagen voordat een nieuwe Subverwerker toestemming krijgt om persoonsgegevens te verwerken, zal Verwerker Verwerkingsverantwoordelijke op de hoogte te stellen van de wijziging.
Verwerker draagt er zorg voor dat de Subverwerker via een overeenkomst of andere rechtshandeling minimaal is onderworpen aan dezelfde plichten inzake gegevensbescherming als deze Overeenkomst.
Verwerkingsverantwoordelijke kan zonder kosten bezwaar maken tegen de door Verwerker ingeschakelde Subverwerker(s), door haar binnen een termijn van 7 dagen na ontvangst van de kennisgeving schriftelijk op de hoogte te stellen van het bezwaar. Verwerker zal zich redelijkerwijs inspannen om haar dienstverlening dusdanig aan te passen om verwerking van Persoonsgegevens door een dergelijke nieuwe Subverwerker waartegen Verwerkingsverantwoordelijke bezwaar maakt, te vermijden.
Indien Verwerker geen mogelijkheden heeft om de overeengekomen werkzaamheden te kunnen uitvoeren, zonder dat de Persoonsgegevens worden verwerkt door de Subverwerker waartegen Verwerkingsverantwoordelijke bezwaar heeft gemaakt, dan zal Verwerker dit binnen een termijn van 14 dagen schriftelijk kenbaar maken aan Verwerkingsverantwoordelijke.
Doorgifte Persoonsgegevens
Zonder de voorafgaande schriftelijke toestemming van Verwerkingsverantwoordelijke is Verwerker niet gerechtigd om Persoonsgegevens uit de EER te transporteren, noch is Verwerker gerechtigd Persoonsgegevens naar Subverwerkers buiten Nederland te transporteren of anderszins buiten de EER te Verwerken. Voor de interpretatie van dit artikel wordt onder ‘Verwerken’ tevens uitdrukkelijk verstaan de opslag en kennisname van Persoonsgegevens dan wel het gebruik van middelen voor Verwerken anders dan louter voor de doorvoer van Persoonsgegevens.
In het geval Verwerkingsverantwoordelijke heeft toegestemd in het transport van Persoonsgegevens door Verwerker naar een Subverwerker die buiten Nederland bevindt, zal Verwerker slechts Persoonsgegevens naar deze Subverwerker transporteren indien deze Subverwerker zich bevindt binnen de EER of een internationale organisatie buiten de EER indien deze een passend beschermingsniveau kan bieden.
Geheimhouding
De Verwerker garandeert dat zij alle Persoonsgegevens vertrouwelijk zal behandelen.
De Verwerker zal haar werknemers, adviseurs en onderaannemers die zich bezighouden met de Verwerking van Persoonsgegevens op de hoogte stellen van de vertrouwelijke aard van die Persoonsgegevens en de overige gegevens. Daarnaast garandeert de Verwerker dat deze werknemers, adviseurs en onderaannemers tegenover de Verwerker gebonden zijn aan dezelfde geheimhoudingsverplichtingen als de Verwerker volgens deze Verwerkersovereenkomst en dat de Persoonsgegevens uitsluitend aan deze personen en partijen worden verstrekt voor zover dit noodzakelijk is uit hoofde van het Contract.
De Verwerker mag de Persoonsgegevens alleen openbaar maken, verstrekken of op een andere manier beschikbaar stellen aan Derden, met voorafgaande en specifieke schriftelijke toestemming van de Verwerkingsverantwoordelijke.
De Verwerker mag de inhoud van deze Verwerkersovereenkomst alleen openbaar maken met voorafgaande schriftelijke toestemming van de Verwerkingsverantwoordelijke.
Verwerker implementeert procedures en protocollen om aan haar verplichtingen uit hoofde van dit artikel te voldoen en verstrekt Verwerkingsverantwoordelijke hiervan op eerste verzoek een kopie.
Aansprakelijkheid
Een Partij kan geen beroep doen op een aansprakelijkheidsbeperking, die is opgenomen in de Opdracht of Contract of andere tussen Partijen bestaande overeenkomst of regeling, ten aanzien van een door de andere Partij ingestelde:
a. verhaalsactie op grond van artikel 82 AVG; of
b. schadevergoedingsactie uit hoofde van deze Overeenkomst, indien en voor zover de actie bestaat uit verhaal van een aan de Toezichthouder betaalde geldboete die geheel of gedeeltelijk toerekenbaar is aan de andere Partij.
Het bepaalde in dit artikel laat onverlet de rechtsmiddelen die de aangesproken partij op grond van de geldende wet- of regelgeving ter beschikking staat.
Iedere Partij is verplicht de andere Partij zonder onnodige vertraging op de hoogte te stellen van een (mogelijke) aansprakelijkstelling of het (mogelijk) opleggen van een boete door de Toezichthouder, beiden in verband met deze Overeenkomst. Iedere Partij is in redelijkheid verplicht de andere Partij informatie te verstrekken en/of ondersteuning te verlenen ten behoeve van het voeren van verweer tegen een (mogelijke) aansprakelijkstelling of boete, zoals bedoeld in de vorige volzin. De Partij die informatie verstrekt en/of ondersteuning verleent, is gerechtigd om eventuele redelijke kosten dienaangaande in rekening te brengen bij de andere Partij, Partijen informeren elkaar zo veel mogelijk vooraf over deze kosten.
Duur en beëindiging
11.1.Overeenkomst treedt in werking na ondertekening door beide partijen en wordt aangegaan voor de duur van het Contract. Deze Overeenkomst eindigt van rechtswege op het moment van beëindiging c.q. ontbinding van het Contract.
11.2.Artikel 3 (Medewerkingsplicht), Artikel 9 (Geheimhouding), en Artikel 12 (Toepasselijk recht en forumkeuze) zullen ook na de beëindiging of ontbinding van deze Overeenkomst voor onbepaalde tijd tussen partijen voortduren.
11.3.Voor zover Verwerker na de beëindiging van het Contract nog Persoonsgegevens zoals ontvangen van Verwerkingsverantwoordelijke in haar bezit heeft, zal zij deze Persoonsgegevens bij beëindiging van de Overeenkomst vernietigen, dan wel – in overleg met Verwerkingsverantwoordelijke – aan Verwerkingsverantwoordelijke retourneren, tenzij Verwerker op grond van geldende wet-of regelgeving gehouden is de Persoonsgegevens te bewaren, dan wel op verzoek van Verwerkingsverantwoordelijke. Voor de interpretatie van dit artikel wordt onder het bezitten van Persoonsgegevens onder andere, maar niet slechts, verstaan de Persoonsgegevens die zich bevinden op gegevensdragers, door Verwerker ingehuurde of ingekochte serverruimte, waar dan ook ter wereld, in sandboxes, op memorysticks, SSD-kaarten of andere middelen gebruikt ter opslag of bewaring van Persoonsgegevens.
11.4.Als de Verwerker om technische redenen niet in staat is tot teruggave, vernietiging of verwijdering van de Persoonsgegevens, of als het toepasselijk recht langere opslag van de Persoonsgegevens voorschrijft, zal de Verwerker de Verwerkingsverantwoordelijke daarvan onmiddellijk op de hoogte stellen. In dat geval neemt de Verwerker alle noodzakelijke maatregelen om zo dicht mogelijk bij een volledige en blijvende teruggave, vernietiging of verwijdering van de Persoonsgegevens te komen, en de Persoonsgegevens ongeschikt te maken voor verdere Verwerking. Het risico dat de Persoonsgegevens niet worden teruggegeven, vernietigd of verwijderd blijft bij de Verwerker en de Verwerker blijft gebonden aan die artikelen die gezien hun aard bedoeld zijn om ook na afloop of beëindiging van deze Verwerkersovereenkomst te blijven gelden.
11.5.De Verwerker zal alle derden die betrokken zijn bij de Verwerking van Persoonsgegevens op de hoogte stellen van de afloop of beëindiging van deze Verwerkersovereenkomst, en garandeert dat alle derden de Persoonsgegevens zullen vernietigen, verwijderen of teruggeven aan Verwerkingsverantwoordelijke op dezelfde wijze als de Verwerker.
11.6.Verwerker zal Verwerkingsverantwoordelijke (schriftelijk of elektronisch) bevestigen dat vernietiging van de Verwerkte Persoonsgegevens heeft plaatsgevonden.
Toepasselijk recht en forumkeuze
Op deze rechtsverhouding is Nederlands recht van toepassing.
Alle geschillen tussen partijen worden beslecht door de bevoegde rechter in het arrondissement waar Verwerker gevestigd is.
Op alle geleverde diensten zijn de Algemene Voorwaarden van Fotograafruud van toepassing. Een kopie wordt op aanvraag toegezonden.
Aldus overeengekomen en ondertekend
Datum:
Plaats:
Verwerkingsverantwoordelijke: Verwerker:
De heer/mevrouw …………… De heer R Kronenburg
BIJLAGE 1
GEGEVENS, DOELEINDEN EN CATEGORIEËN VAN BETROKKENEN
GEGEVENS
De Verwerkingsverantwoordelijke laat de Verwerker de volgende Persoonsgegevens door Verwerker verwerken in het kader van de fotografieopdracht:
Naam (initialen, achternaam)
Leerlingnummer
Groep van de leerling
Gegevens van personen jonger dan 16 jaar
DOELEINDEN
De werkzaamheden waarvoor bovengenoemde Gegevens mogen worden verwerkt, uitsluitend indien noodzakelijk, zijn in ieder geval:
De werkzaamheden, te beschouwen als de primaire dienstverlening, in het kader waarvan Verwerkingsverantwoordelijke een opdracht heeft verstrekt aan Verwerker;
het onderhoud, waaronder updates en releases van het door Verwerker dan wel Subverwerker aan Verwerkingsverantwoordelijke ter beschikking gestelde systeem;
het gegevens- en technische beheer, ook door Subverwerker;
de hosting, ook door Subverwerker.
CATEGORIEËN VAN PERSOONSGEGEVENS
De gegevens die verwerkt worden betreffende volgende categorieën persoonsgegevens:
Gewone persoonsgegevens (leerlingnaam, nummer en klas)
Bijzondere persoonsgegevens (Godsdienst of levensovertuiging, ras en gezondheid), welke mogelijk door interpretatie
CATEGORIEËN VAN BETROKKENEN
De gegevens die verwerkt worden betreffende volgende categorieën van betrokkenen:
Leerlingen
Familieleden van leerlingen
Leerkrachten
BIJLAGE 2
TECHNISCHE EN ORGANISATORISCHE BEVEILIGINGSMAATREGELEN
Verwerker verklaart de volgende technische en/of organisatorische maatregelen te hebben getroffen om te kunnen voldoen aan hetgeen is bepaald in artikel 5 van deze Overeenkomst.
Om vertrouwelijkheid te garanderen:
Controle op fysieke toegang tot Persoonsgegevens
Toegangsbeperking tot opslag/ data ruimte
Controle op elektronische toegang tot Persoonsgegevens
Wachtwoorden
Beveiligingssoftware
Firewall
Autorisatie beleid
Om de integriteit te garanderen:
Controle op de doorgifte van Persoonsgegevens
Handmatige controle op de invoer van gegevens
Automatische synchronisatie
Om de beschikbaarheid en veerkracht van gebruikte systemen te garanderen:
Controle op beschikbaarheid van data (b.v. door het maken van back-ups)
Multi versie backup (Time Machine)
Backup op externe locatie (subverwerker)
Backup op interne locatie
Om op gezette tijdstippen de doeltreffendheid van de technische en organisatorische maatregelen te testen, beoordelen en evalueren:
Controle van instructies van de Verwerkingsverantwoordelijke(n)
Herstelmogelijkheden (middelen die de Verwerker in staat stellen om snel Persoonsgegevens te kunnen herstellen na een incident)
Automatische updates van beveiligingssoftware
Beveiligingsincidenten en/of datalekken
In geval van een (vermoeden van) beveiligingsincident en/of datalek, kan Verwerkingsverantwoordelijke contact opnemen met:
Ruud Kronenburg 0625485898, e-mail info@FotograafRuud.nl
De contactpersoon voor Verwerker is: ………………………………..
BIJLAGE 3
SUBVERWERKERS
Verwerker maakt voor het uitvoeren van de opdracht gebruik van volgende Subverwerkers:
Subverwerker
Doel
Vestiging
FUJI FILM IMAGING PRODUCTS & SOLUTIONS B.V., h.o.d.n. Oypo,
Afdrukken en leveren van foto’s
Hosting van de verkoop website voor Fotograafruud
Gevestigd aan de Franseweg 65 (4651 GE) te Steenbergen,