Verwerkersovereenkomst

Verwerkersovereenkomst

Hieronder vind je de verwerkersovereenkomst van Maatos die van toepassing is als u als instructeur gebruik maakt van Maatos.

Onze identiteit

Maatos B.V.
Hommelbrink 6
8051PV, Hattem
Gelderland, Nederland
(let op, géén bezoekadres)

Contact

Telefoonnummer: 085 130 15 47
E-mailadres: info@maatos.nl
KvK-nummer: 73843938

Overeenkomst

Maatos geregistreerd als besloten vennootschap Maatos , is statutair gevestigd te
Hattem, aan de Hommelbrink 6 (8051PV), te dezen rechtsgeldig
vertegenwoordigd door haar bestuurder A.J.F.M. Verkooijen, hierna te noemen:
“Verwerkingsverantwoordelijke”;

en

‘Gebruiker’, ‘Instructeur’, of ‘jij’: iedere natuurlijke persoon of rechtspersoon die met
Maatos via haar platform in contractuele relatie van welke aard dan ook staat of komt te staan als ‘verwerker.

Verwerkingsverantwoordelijke en Verwerker worden gezamenlijk aangeduid met:
“Partijen”

Nemen in aanmerking dat:

  • Partijen een overeenkomst hebben gesloten of gaan sluiten betreffende de
    werkzaamheden op basis waarvan Verwerker in opdracht van
  • Verwerkingsverantwoordelijke persoonsgegevens verwerkt als bedoeld in de Algemene Verordening Gegevensbescherming;
  • Partijen in deze Verwerkersovereenkomst de rechten en plichten voor de verwerking
    van de Persoonsgegevens door Verwerker wil vastleggen.

Komen overeen dat:

Artikel 1 – Definities

1. Hoofdovereenkomst: De overeenkomst die tijdens het aanmaken van de omgeving of
het aangaan van de overeenkomst gesloten is tussen Verwerker en
Verwerkingsverantwoordelijke en die betrekking heeft op o.a. het leveren van cursussen,
het doceren van cursussen, beheren van het platform, leveren van extra diensten.

2. Verwerkersovereenkomst: Deze overeenkomst inclusief de bijlagen.

3. Persoonsgegevens: Persoonsgegevens als bedoeld in de Algemene Verordening
Gegevensbescherming.

4. Betrokkene: De persoon op wie de verwerkte Persoonsgegevens betrekking hebben.

5. Datalek: Een inbreuk op de beveiliging die leidt tot de aanzienlijke kans op ernstige
nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van de
Persoonsgegevens en/of die waarschijnlijk ongunstige gevolgen zal hebben voor de
persoonlijke levenssfeer van een betrokkene.

Artikel 2 - Inhoud Verwerkersovereenkomst

1. In deze Verwerkersovereenkomst wordt de verwerking van Persoonsgegevens door
Verwerker in het kader van de Hoofdovereenkomst geregeld.

2. Verwerker garandeert de toepassing van passende technische en organisatorische
maatregelen, opdat de verwerking van de Persoonsgegevens aan de vereisten van de
Algemene Verordening Gegevensbescherming voldoet en de bescherming van de
rechten van Betrokkene zijn gewaarborgd.

3. Verwerker garandeert te voldoen aan de vereisten van de toepasselijke wet- en
regelgeving betreffende de verwerking van Persoonsgegevens.

4. In Bijlage 1 zijn de aard en het doel van de verwerking van de Persoonsgegevens, het
soort Persoonsgegevens en de categorieën van Betrokkene nader omschreven.

Artikel 3 - Inwerkingtreding en duur

1. Deze Verwerkersovereenkomst treedt in werking na aanmaken van een account en
het akkoord gaan met de verwerkersovereenkomst of het aangaan van een
overeenkomst met Maatos.

2. Deze Verwerkersovereenkomst eindigt nadat en voor zover Verwerker alle
Persoonsgegevens overeenkomstig artikel 9.3 heeft gewist of terugbezorgd.

3. Tussentijdse opzegging van deze Verwerkersovereenkomst is door geen van beide
Partijen mogelijk.

Artikel 4 - Verwerking

1. Verwerker dient zorg te dragen voor de naleving van de voorwaarden die op grond
van de Algemene Verordening Gegevensbescherming worden gesteld aan het
verwerken van de Persoonsgegevens.

2. Verwerker verwerkt de Persoonsgegevens ten behoeve van
Verwerkingsverantwoordelijke, overeenkomstig diens schriftelijke instructies en onder
diens verantwoordelijkheid.

3. Verwerker heeft geen zeggenschap over het doel en de middelen van de verwerking
van de Persoonsgegevens en neemt geen beslissingen over het gebruik, de verstrekking
aan derden en de duur van de opslag van de Persoonsgegevens.

4. Bij de uitvoering van deze Verwerkersovereenkomst zal Verwerker vertrouwelijkheid
in acht nemen.

5. Verwerkingsverantwoordelijke staat er voor in dat de verwerking van de
Persoonsgegevens is vrijgesteld van melding bij de Autoriteit Persoonsgegevens.

6. Het is Verwerker niet toegestaan om zonder voorafgaande schriftelijke toestemming
van Verwerkingsverantwoordelijke de Persoonsgegevens buiten de Europese
Economische Ruimte (hierna: “EER”) te verwerken. Doorgifte en opslag van de
Persoonsgegevens buiten de EER is zonder voorafgaande schriftelijke toestemming van
Verwerkingsverantwoordelijke niet toegestaan.

7. Verwerker en degenen die onder het gezag van Verwerker werkzaam zijn, zijn
verplicht tot geheimhouding van de Persoonsgegevens die de Verwerker verwerkt en/of
waarvan de Verwerker kennis heeft genomen, tenzij een wettelijk voorschrift Verwerker
tot mededeling verplicht of uit de taak van Verwerker de noodzaak tot mededeling
voortvloeit.

8. Verwerker dient de Verwerkingsverantwoordelijke onverwijld in kennis te stellen van
alle tot de Verwerker gerichte verzoeken die betrekking hebben op de rechten van
betrokkenen, zoals (maar niet per definitie beperkt tot) een verzoek om inzage,
verbetering, aanvulling, verwijzing of afscherming van de Persoonsgegevens. Verwerker verleent Verwerkingsverantwoordelijke volledige medewerking om te kunnen voldoen aan de betreffende verplichtingen van Verwerkingsverantwoordelijke op grond van de Algemene Verordening Gegevensbescherming, ongeacht of het verzoek van betrokkene is gericht tot Verwerker of tot Verwerkingsverantwoordelijke.

9. Het is Verwerker niet toegestaan om een derde in te schakelen bij de uitvoering van
deze verwerkersovereenkomst, tenzij Verwerkingsverantwoordelijke hiervoor schriftelijke toestemming heeft verleend aan Verwerker.

10. Verwerker dient Verwerkingsverantwoordelijke te ondersteunen bij de vervulling van de plicht om aan verzoeken te voldoen van Betrokkene en bij andere verplichtingen van
Verwerkingsverantwoordelijke.

11. Verwerker dient Verwerkingsverantwoordelijke de mogelijkheid te geven om te
controleren of Verwerker de in deze Verwerkersovereenkomst vastgelegde afspraken
nakomt.

Artikel 5 - Datalekken

1. Als blijkt dat bij Verwerker sprake is van een Datalek, dan zal Verwerker de
Verwerkingsverantwoordelijke daarover onverwijld informeren nadat Verwerker bekend
is geworden met het Datalek.

2. Als blijkt dat bij Verwerker sprake is van een Datalek, dan zal Verwerker alle
maatregelen treffen die nodig zijn om de (mogelijke) schade te beperken. Verwerker
verplicht zich in dat geval ook tot het verlenen van alle mogelijke medewerking, zodat de
Verwerkingsverantwoordelijke tijdig de Autoriteit Persoonsgegevens en eventueel de betrokkene kan informeren.

3. Verwerker informeert Verwerkingsverantwoordelijke ook na een melding op grond
van het eerste lid over ontwikkelingen betreffende de inbreuk in verband met
Persoonsgegevens.

4. Partijen dragen de door henzelf in verband met de melding aan de bevoegde
toezichthoudende autoriteit en de Betrokkene te maken kosten.

Artikel 6 - Beveiliging

1. Verwerker neemt alle passende technische en organisatorische maatregelen, nader omschreven in Bijlage 2, om de Persoonsgegevens te beveiligen tegen verlies of enige
vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend
met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend
beveiligingsniveau gelet op de risico’s die de verwerking en de aard van te beschermen
gegevens met zich meebrengen.

2. Het waarborgen van een passend beveiligingsniveau kan voortdurend dwingen tot het treffen van aanvullende beveiligingsmaatregelen, dit erkennen Partijen. Verwerker
waarborgt dan ook een op het risico afgestemd beveiligingsniveau. Verwerker zal aanvullende maatregelen treffen met betrekking tot de beveiliging van de
Persoonsgegevens indien Opdrachtgever daar uitdrukkelijk en schriftelijk om verzoekt.

Artikel 7 - Verplichtingen Verwerkingsverantwoordelijke

1. Verwerkingsverantwoordelijke staat er voor in dat de verwerking van de Persoonsgegevens in overeenstemming is met de Algemene Verordening Gegevensbescherming.

Artikel 8 - Aansprakelijkheid

1. Verwerker is aansprakelijk voor alle schade en aan Verwerkingsverantwoordelijke
door de Autoriteit Persoonsgegevens (of andere bevoegde instanties) opgelegde boetes die het gevolg zijn van of verband houdend met het niet nakomen van deze
verwerkersovereenkomst en/of het handelen in strijd met de Algemene Verordening
Gegevensbescherming.

Artikel 9 - Slotbepalingen

1. Op deze verwerkersovereenkomst is Nederlands recht van toepassing.

2. Deze verwerkersovereenkomst en de rechten en plichten uit deze
verwerkersovereenkomst kunnen door Verwerker niet aan derden worden
overgedragen zonder de voorafgaande schriftelijke toestemming van
Verwerkingsverantwoordelijke.

3. In geval van beëindiging van deze verwerkersovereenkomst zal Verwerker onverwijld
de Persoonsgegevens aan Verwerkingsverantwoordelijke retourneren en alle digitale
kopieën van de Persoonsgegevens vernietigen. Verwerker zal vervolgens per omgaande aan Verwerkingsverantwoordelijke verklaren dat zij de opgelegde verplichtingen in dit
artikel heeft uitgevoerd.

4. Mocht enige bepaling in deze verwerkersovereenkomst nietig, vernietigbaar of
onverbindend zijn, dan zal deze verwerkersovereenkomst voor het overige van kracht
blijven. Partijen zullen over de betreffende bepaling overleg plegen, met het doel om
een rechtsgeldige bepaling overeen te komen die zoveel mogelijk dezelfde inhoud en
werking heeft als de nietige, vernietigbare of niet-verbindende bepaling.

Bijlage 1 - Verwerking Persoonsgegevens

Verwerkingsverantwoordelijke heeft passende technische en organisatorische maatregelen getroffen om de persoonsgegevens van u te beveiligen tegen verlies of onrechtmatige verwerking. De website heeft een SSL-certificaat, waardoor de gegevens over een beveiligde verbinding verstuurd worden. Tevens zit er een encryptie op wachtwoorden en wordt er dagelijks een back-up gemaakt.Verwerkingsverantwoordelijke heeft met betrekking tot derde partijen beveiligingsmaatregelen getroffen. Zo heeft Verantwoordelijke met derden die uw persoonsgegevens verwerkt, een verwerkingsovereenkomst gesloten. In de verwerkingsovereenkomst is het doel van de verwerking vastgelegd alsmede de afspraken over het niveau van de technische en organisatorische maatregelen.De verwerker neemt zoveel beveiligingsmaatregelen als nodig zijn om een datalek te voorkomen. Dit kan bijvoorbeeld een SSL verbinding zijn indien er op een website gewerkt wordt. Daarnaast worden wachtwoorden die nodig zijn versleuteld worden opgeslagen.

Bijlage 2 - Technische en organisatorische beveiligingsmaatregelen

In deze bijlage wordt de verwerking van Persoonsgegevens nader gespecificeerd. Het betreft de volgende onderwerpen: Het onderwerp en aard en doel van de verwerking van Persoonsgegevens: De persoonsgegevens worden door verwerker gebruikt om: aankopen te leveren, toegang te verschaffen tot het platform, cursussen te doceren, materialen te tonen en delen, vragen te beantwoorden en andere zaken die nodig zijn tijdens de uitvoering van de cursus. Het soort Persoonsgegevens: NAW gegevens, e-mailadressen, gebruikersnamen, telefoonnummers, avatars, IP adressen, bestelgegevens, bedrijfsgegevens en rekeninggegevens. Een beschrijving van de categorieën van persoonsgegevens: De verwerking betreft persoonsgegevens uit de categorie ‘gewone persoonsgegevens’. Een beschrijving van de categorieën betrokkenen: De persoonsgegevens worden verzameld van bestaande of potentiële klanten. Een beschrijving van de categorieën ontvangers van persoonsgegevens: De Verwerker die deze gegevens verwerkt betreft o.a. instructeurs, belastingdienst, docenten, managers van de omgeving en organisaties die bij Maatos een omgeving afnemen.

Bijlage 3 - Afspraken bij een inbreuk op Persoonsgegevens

Indien sprake is van een inbreuk met de Persoonsgegevens zal de volgende procedure worden gevolgd:

1. Na constatering van een datalek zal Verwerker nagaan of dit datalek gemeld dient te worden bij de Autoriteit Persoonsgegevens.

2. Indien het datalek gemeld dient te worden, zal Verwerker dit binnen 72 uur doen.

3. Verwerker zal het datalek documenteren.

4. Verwerker zal bepalen of het datalek aan Verwerkingsverantwoordelijke gemeld dient te worden. Indien dit het geval is zal Verwerker Verwerkingsverantwoordelijk binnen (termijn) informeren over het lek.