Deze Verwerkersovereenkomst is van toepassing op ieder gesloten abonnement op één van de diensten van DifferentLab B.V..

Versie: 20 mei 2018

Overwegingen

  • DifferentLab B.V. verwerkt onder meer onder de naam ‘PersoneelsSysteem’, ‘HorecaSysteem’, ‘ShiftTime’, ‘ZorgSysteem’, alsmede enkele white-labeldiensten onder andere persoonsgegevens voor en in opdracht van haar klant omdat de klant (direct of indirect) een software abonnement (gebruikersovereenkomst) met DifferentLab B.V. heeft.
  • De dienstverlening van DifferentLab B.V. betreft een standaard applicatie met de daarbij behorende standaard dienstverlening (software as a service), hierna: ‘de applicatie’. DifferentLab B.V. heeft in dat kader een verwerkingsovereenkomst onderdeel gemaakt van de voorwaarden van de applicatie.
  • DifferentLab B.V. wordt als verwerker van persoonsgegevens aangemerkt in de zin van de Algemene Verordening Gegevensbescherming (hierna: ”AVG”) en klant is verwerkingsverantwoordelijke van de persoonsgegevens in de zin van de AVG.
  • In deze verwerkersovereenkomst (hierna: ‘Verwerkersovereenkomst’) liggen de afspraken tussen DifferentLab B.V. en haar klant vast met betrekking tot de handelingen die DifferentLab B.V als verwerker van persoonsgegevens zal verrichten in de uitvoering van de overeengekomen diensten, zijnde het gebruik van de applicatie en de bijbehorende diensten.
  • DifferentLab B.V. (hierna: ‘Verwerker’) en de klant (hierna: ‘Verantwoordelijke’) verplichten zich over en weer om de Algemene Verordening Gegevensbescherming (AVG) na te leven. Voor de definities van begrippen wordt aangesloten bij de AVG.

Artikel 1. Doeleinden van verwerking

  1. Verwerker verbindt zich onder de voorwaarden van deze Verwerkersovereenkomst in opdracht van Verantwoordelijke de door Verantwoordelijke ingevoerde persoonsgegevens te verwerken. Verwerker zal de door Verantwoordelijke ingevoerde persoonsgegevens alleen verwerken voor en in opdracht van Verantwoordelijke en om uitvoering te geven aan de overeenkomst: verwerking zal uitsluitend plaatsvinden ten behoeve van het verwerken van gegevens van medewerkers van Verantwoordelijke en/of andere door Verantwoordelijke ingevoerde persoonsgegevens in de applicatie en bijbehorende (online) diensten, plus die doeleinden die daarmee redelijkerwijs samenhangen of die met nadere instemming met Verantwoordelijke worden bepaald. De werkzaamheden van Verwerker betreffen onder meer applicatiebeheer in de breedste zin des woord (technisch beheer, databasebeheer, back-ups maken), hosting, berichtenverkeer en helpdeskdiensten.Het type persoonsgegevens welke noodzakelijk zijn om gebruik te kunnen maken van de applicatie zijn:
    – voor en achternaam van personen
    – e-mailadressen van personenBinnen de applicatie zijn verschillende mogelijkheden om andere soorten persoonsgegevens, waaronder ook gegevens van gevoelige aard, vast te leggen. Verantwoordelijke is zich ervan bewust dat dat Verwerker deze dan zal verwerken. Verantwoordelijke is zelf uitdrukkelijk verantwoordelijk voor de beoordeling of het doel en aard van de verwerking past bij de dienstverlening van Verwerker alsmede het informeren en verkrijgen van eventuele toestemming van de betrokkenen om die gegevens te (laten) verwerken.Voor de verwerkingen van persoonsgegevens, waaronder in ieder geval begrepen maar niet beperkt tot de verzameling van de persoonsgegevens door Verantwoordelijke, verwerkingen voor doeleinden die niet door Verantwoordelijke aan Verwerker zijn gemeld, verwerkingen door derden en/of voor andere doeleinden dan waarvoor de applicatie is bedoeld, is Verwerker uitdrukkelijk niet verantwoordelijk noch aansprakelijk
  2. Verantwoordelijke garandeert dat de inhoud, het gebruik en de opdracht tot de verwerkingen van de persoonsgegevens zoals bedoeld in deze Verwerkersovereenkomst, niet onrechtmatig is en geen inbreuk maken op enig recht van derden. Verantwoordelijke garandeert dat de persoonsgegevens verwerkt mogen worden op basis van een in de AVG genoemde grondslag.
  3. Verwerker zal de persoonsgegevens niet voor enig ander doel verwerken dan zoals door Verantwoordelijke is vastgesteld. Verantwoordelijke zal Verwerker op de hoogte stellen van de verwerkingsdoeleinden voor zover deze niet reeds in deze Verwerkersovereenkomst zijn genoemd. Verwerker zal geen gegevens toevoegen, aanpassen of verwijderen zonder dat Verantwoordelijke daar specifieke instructie voor gegeven heeft. Die instructie kan via een verzoek of via de applicatie worden gegeven.
  4. Verwerker verzamelt geanonimiseerde gegevens over het gebruik van applicatie. De geanonimiseerde gegevens zullen uitsluitend gebruikt worden om de applicatie te verbeteren. Verwerker gebruikt de verzamelde statistieken niet voor commerciële doeleinden.
  5. De in opdracht van Verantwoordelijke te verwerken persoonsgegevens blijven eigendom van Verantwoordelijke en/of de betreffende betrokkenen.

Artikel 2. Verplichtingen Verwerker

  1. Ten aanzien van de in artikel 1 genoemde verwerkingen zal Verwerker zorg dragen voor de naleving van de toepasselijke wet- en regelgeving, waaronder in ieder geval begrepen de wet- en regelgeving op het gebied van de bescherming van persoonsgegevens met inachtneming van de bepalingen van deze Verwerkersovereenkomst.
  2. Verwerker heeft geen zeggenschap over het doel en de middelen voor de verwerking en is dan ook onbevoegd te besluiten over het gebruik van de persoonsgegevens, de verstrekking van persoonsgegevens aan derden en de duur van de opslag van de persoonsgegevens. Verwerker zal de gegevens niet aan derden verstrekken of voor andere doeleinden verwerken, behoudens andersluidende wettelijke verplichtingen.
  3. Verwerker zal Verantwoordelijke, op diens eerste verzoek daartoe, informeren over de door haar genomen maatregelen aangaande haar verplichtingen onder deze Verwerkersovereenkomst.
  4. De verplichtingen van Verwerker die uit deze Verwerkersovereenkomst voortvloeien, gelden ook voor degenen die persoonsgegevens verwerken onder het gezag van Verwerker, waaronder begrepen maar niet beperkt tot werknemers, in de ruimste zin van het woord.

Artikel 3. Doorgifte van persoonsgegevens

  1. Het is Verwerker slechts toegestaan na het treffen van voldoende wettelijke/contractuele maatregelen om persoonsgegevens te bewerken of te doen bewerken in een land buiten de Europese Unie. Verwerker zal uitsluitend derde partijen inschakelen welke aantoonbaar volledig en zonder uitzondering voldoen aan de AVG en eventuele andere toepasselijke wet en regelgeving. Het is Verwerker niet toegestaan Gegevens in een derde land buiten de Europese Economische Ruimte (EER), die geen passend beschermingsniveau biedt zoals bedoeld in de AVG, te verwerken.
  2. Verwerker zal slechts derden als sub­bewerker inschakelen indien deze de derden aan soortgelijke bepalingen als in deze Verwerkersovereenkomst bindt. Verwerker verzekert in ieder geval dat de derde zich richt naar de instructies van Verantwoordelijke, tot geheimhouding verplicht is en de nodige beveiligingsmaatregelen ten opzichte van de gegevensverwerking neemt.
  3. Verwerker houdt een lijst van de ingeschakelde sub­verwerkers (wachtwoord op aanvraag) bij.
  4. Verwerker zal geen nieuwe subverwerkers gegevens laten verwerken zonder de klant daarover tijdig te informeren. Verantwoordelijke kan bezwaar maken bij Verwerker tegen de subverwerker. Verwerker zal deze bezwaren op directieniveau afhandelen. Mocht Verwerker toch gegevens willen laten verwerken door de nieuwe subverwerker, dan heeft Verantwoordelijke de mogelijkheid om de gebruikersovereenkomst voor de applicatie per ommegaande te beëindigen.

Artikel 4. Beveiliging

  1. Verwerker zal zich inspannen voldoende technische en organisatorische maatregelen te nemen met betrekking tot de te verrichten verwerkingen van persoonsgegevens, tegen verlies of tegen enige vorm van onrechtmatige verwerking (zoals onbevoegde kennisname, aantasting, wijziging of verstrekking van de persoonsgegevens).
  2. De toegestane verwerkingen zullen door medewerkers van Verwerker worden uitgevoerd binnen een geautomatiseerde omgeving.
  3. Verwerker zorgt er te allen tijde voor dat:
    i. Onbevoegden en medewerkers van Verwerker, die niet door Verwerker zijn aangewezen als de personen voor de verwerking van de persoonsgegevens (hierna gezamenlijk te noemen “Onbevoegden”), geen toegang krijgen tot de apparatuur benodigd voor de verwerking van persoonsgegevens;
    ii. Onbevoegden de apparatuur(systemen) en andere dragers van de persoonsgegevens niet lezen, kopiëren, wijzigen of verwijderen;
    iii. Onbevoegden geen gebruik maken van de systemen waarmee de persoonsgegevens worden verwerkt door middel van datatransmissieapparatuur;
    iv. Achteraf door verwerker kan worden nagegaan en vastgesteld aan welke ontvangerspersoonsgegevens zijn verstrekt of beschikbaar gesteld.Verwerker heeft in ieder geval de volgende maatregelen genomen:

      • Logische toegangscontrole tot de applicatie in algemene zin, gebruik makend van wachtwoorden. Indien ingesteld in het account is multifactorauthenticatie mogelijk voor (alle) gebruikers als opgegeven door Verantwoordelijke in de applicatie.
      • Encryptie (versleuteling) van wachtwoorden.
      • Beperkte (digitale) toegang van medewerkers van Verwerker tot de servers (database) waar de persoonsgegevens zijn opgeslagen. Fysieke toegang van medewerkers van Verwerker is niet mogelijk
      • Secured communicate met server (HTTPS/SSL).
      • De systemen zijn geïnstalleerd met het ‘Least privilege principe’. Medewerkers (m.u.v. Administrators) van Verwerker hebben geen toegang tot de persoonsgegevens dan na de expliciete toestemming van Verantwoordelijke (vastgelegd in de applicatie) en alsdan uitsluitend in het kader van beheer- en helpdeskdiensten. Toegang tot de persoonsgegevens zonder toestemming van Verantwoordelijke wordt uitsluitend toegestaan in geval van noodzakelijk technisch beheer of storingen onder logging van de toegang.
      • Verschillende anti-virus en anti-malware maatregelen.
      • Waarschuwingsmechanismes op basis van verdachte log-gebeurtenissen.