Verwerkersovereenkomst

1. Partijen

Deze Verwerkersovereenkomst is van toepassing op iedere overeenkomst tussen:

i2o Consultancy B.V., gevestigd te Ouderkerk aan den IJssel, KvK 56638507, hierna te noemen: Verwerker,

en

de opdrachtgever, hierna te noemen: Verwerkingsverantwoordelijke.

Deze verwerkersovereenkomst maakt integraal onderdeel uit van de overeenkomst tussen partijen, voor zover Verwerker in het kader van de uitvoering daarvan persoonsgegevens verwerkt namens Verwerkingsverantwoordelijke.

2. Doel van de verwerking

Verwerker verwerkt persoonsgegevens uitsluitend voor zover noodzakelijk voor de uitvoering van de overeengekomen dienstverlening, waaronder onder meer:

  • Business Intelligence;
  • Data-analyse;
  • Dashboardontwikkeling;
  • Datamodellering;
  • Datawarehousing;
  • Data-integratie;
  • Organisatieadvies/Business Consulting;
  • Ondersteuning en beheer.

Verwerker verwerkt persoonsgegevens uitsluitend op basis van schriftelijke of elektronische instructies van Verwerkingsverantwoordelijke.

3. Soorten persoonsgegevens

Afhankelijk van de opdracht kunnen onder meer worden verwerkt:

  • naam- en contactgegevens;
  • personeelsgegevens;
  • HR-gerelateerde gegevens;
  • financiële gegevens;
  • salarisgegevens;
  • verzuimgegevens;
  • gebruikersgegevens;
  • overige persoonsgegevens die onderdeel uitmaken van de aan Verwerker beschikbaar gestelde datasets.

Voor zover bijzondere persoonsgegevens worden verwerkt, beperkt Verwerker de verwerking tot hetgeen noodzakelijk is voor de uitvoering van de opdracht.

4. Verplichtingen van Verwerker

Verwerker zal:

  • persoonsgegevens uitsluitend verwerken voor de overeengekomen doeleinden;
  • passende technische en organisatorische maatregelen treffen om persoonsgegevens te beschermen tegen verlies, onbevoegde toegang of onrechtmatige verwerking;
  • geheimhouding betrachten ten aanzien van alle persoonsgegevens;
  • ervoor zorgdragen dat personen die toegang hebben tot persoonsgegevens gebonden zijn aan een geheimhoudingsplicht;
  • persoonsgegevens niet gebruiken voor eigen doeleinden;
  • persoonsgegevens niet verkopen, verhuren of anderszins aan derden verstrekken tenzij dit noodzakelijk is voor de uitvoering van de opdracht of wettelijk verplicht is.

5. Beveiligingsmaatregelen

Verwerker hanteert onder meer de volgende beveiligingsmaatregelen:

  • toepassing van multi-factor authenticatie waar technisch mogelijk;
  • versleuteling van bedrijfslaptops en andere mobiele apparatuur;
  • actuele beveiligingssoftware;
  • periodieke beveiligingsupdates;
  • toegangsbeperking op basis van noodzaak;
  • beveiligde cloudomgevingen voor opslag en verwerking;
  • geheimhoudingsverplichtingen voor medewerkers en ingehuurde derden.

Verwerker mag deze maatregelen aanpassen indien dit naar zijn oordeel leidt tot een gelijkwaardig of hoger beveiligingsniveau.

6. Subverwerkers

Verwerkingsverantwoordelijke verleent hierbij algemene toestemming aan Verwerker voor het inschakelen van derden bij de uitvoering van de dienstverlening.

Verwerker zal ervoor zorgen dat dergelijke derden ten minste dezelfde verplichtingen opgelegd krijgen als opgenomen in deze verwerkersovereenkomst.

Onder subverwerkers vallen onder meer:

  • ingehuurde zelfstandige professionals;
  • cloudleveranciers;
  • hostingproviders;
  • softwareleveranciers die noodzakelijk zijn voor de uitvoering van de dienstverlening.

7. Datalekken

Verwerker informeert Verwerkingsverantwoordelijke zonder onredelijke vertraging nadat hij kennis heeft genomen van een inbreuk op de beveiliging van persoonsgegevens die gevolgen kan hebben voor Verwerkingsverantwoordelijke.

De melding bevat voor zover beschikbaar:

  • aard van het incident;
  • betrokken persoonsgegevens;
  • vermoedelijke gevolgen;
  • reeds genomen of voorgestelde maatregelen.

Partijen zullen vervolgens gezamenlijk beoordelen welke vervolgstappen noodzakelijk zijn.

8. Verzoeken van betrokkenen

Indien Verwerker rechtstreeks een verzoek ontvangt van een betrokkene met betrekking tot diens persoonsgegevens, zal Verwerker dit verzoek zo spoedig mogelijk doorsturen aan Verwerkingsverantwoordelijke.

Verwerkingsverantwoordelijke blijft verantwoordelijk voor de afhandeling van dergelijke verzoeken.

9. Audits

Verwerkingsverantwoordelijke mag eenmaal per kalenderjaar redelijke informatie opvragen over de door Verwerker getroffen beveiligingsmaatregelen.

Eventuele audits vinden uitsluitend plaats na voorafgaand overleg en voor rekening van Verwerkingsverantwoordelijke.

Verwerker is niet verplicht bedrijfsvertrouwelijke informatie, broncode of beveiligingsinformatie te verstrekken voor zover dit de veiligheid van systemen of andere klanten in gevaar kan brengen.

10. Doorgifte buiten de Europese Economische Ruimte

Verwerker zal persoonsgegevens uitsluitend buiten de Europese Economische Ruimte verwerken indien dit plaatsvindt overeenkomstig de AVG en passende waarborgen aanwezig zijn.

11. Bewaartermijnen en verwijdering

Na beëindiging van de dienstverlening zal Verwerker persoonsgegevens verwijderen of retourneren, tenzij:

  • wettelijke bewaarplichten anders bepalen;
  • partijen schriftelijk anders overeenkomen;
  • technische back-ups tijdelijk behouden moeten blijven.

12. Aansprakelijkheid

De aansprakelijkheid van partijen voortvloeiende uit deze verwerkersovereenkomst is beperkt overeenkomstig hetgeen in de overeenkomst en algemene voorwaarden van i2o Consultancy B.V. is bepaald.

13. Duur

Deze verwerkersovereenkomst treedt in werking zodra Verwerker persoonsgegevens verwerkt namens Verwerkingsverantwoordelijke en eindigt zodra dergelijke verwerkingen definitief zijn beëindigd.

14. Toepasselijk recht

Op deze verwerkersovereenkomst is Nederlands recht van toepassing.

Geschillen worden voorgelegd aan de bevoegde rechter overeenkomstig de tussen partijen gesloten overeenkomst.