Verwerkersovereenkomst Maatos

Download hier de verwerkersovereenkomst

Maatos geregistreerd als besloten vennootschap Maatos, is statutair gevestigd te Amsterdam, aan de Amstelveenseweg 63-IV (1075VV), te dezen rechtsgeldig vertegenwoordigd door haar bestuurder A. Verkooijen, hierna te noemen: “Verwerkingsverantwoordelijke”;

en 

‘Gebruiker’, ‘Instructeur’, of ‘jij’: iedere natuurlijke persoon of rechtspersoon die met Maatos via haar platform in contractuele relatie van welke aard dan ook staat of komt te staan als ‘verwerker.

Verwerkingsverantwoordelijke en Verwerker worden gezamenlijk aangeduid met: “Partijen” 

Nemen in aanmerking dat: 

– Partijen een overeenkomst hebben gesloten of gaan sluiten betreffende de werkzaamheden op basis waarvan Verwerker in opdracht van Verwerkingsverantwoordelijke persoonsgegevens verwerkt als bedoeld in de Algemene Verordening Gegevensbescherming; 

– Partijen in deze Verwerkersovereenkomst de rechten en plichten voor de verwerking van de Persoonsgegevens door Verwerker wil vastleggen.

Komen overeen dat: 


Artikel 1: Definities

1. Hoofdovereenkomst: De overeenkomst die tijdens het aanmaken van de omgeving of het aangaan van de overeenkomst gesloten is tussen Verwerker en Verwerkingsverantwoordelijke en die betrekking heeft op o.a. het leveren van cursussen, het doceren van cursussen, beheren van het platform, leveren van extra diensten.

2. Verwerkersovereenkomst: Deze overeenkomst inclusief de bijlagen.

3. Persoonsgegevens: Persoonsgegevens als bedoeld in de Algemene Verordening Gegevensbescherming. 

4. Betrokkene: De persoon op wie de verwerkte Persoonsgegevens betrekking hebben. 

5. Datalek: Een inbreuk op de beveiliging die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van de Persoonsgegevens en/of die waarschijnlijk ongunstige gevolgen zal hebben voor de persoonlijke levenssfeer van een betrokkene. 


Artikel 2: Inhoud Verwerkersovereenkomst 

1. In deze Verwerkersovereenkomst wordt de verwerking van Persoonsgegevens door Verwerker in het kader van de Hoofdovereenkomst geregeld.

2. Verwerker garandeert de toepassing van passende technische en organisatorische maatregelen, opdat de verwerking van de Persoonsgegevens aan de vereisten van de Algemene Verordening Gegevensbescherming voldoet en de bescherming van de rechten van Betrokkene zijn gewaarborgd. 

3. Verwerker garandeert te voldoen aan de vereisten van de toepasselijke wet- en regelgeving betreffende de verwerking van Persoonsgegevens. 

4. In Bijlage 1 zijn de aard en het doel van de verwerking van de Persoonsgegevens, het soort Persoonsgegevens en de categorieën van Betrokkene nader omschreven.


Artikel 3: Inwerkingtreding en duur

1. Deze Verwerkersovereenkomst treedt in werking na aanmaken van een account en het akkoord gaan met de verwerkersovereenkomst of het aangaan van een overeenkomst met Maatos. 

2. Deze Verwerkersovereenkomst eindigt nadat en voor zover Verwerker alle Persoonsgegevens overeenkomstig artikel 9.3 heeft gewist of terugbezorgd. 

3. Tussentijdse opzegging van deze Verwerkersovereenkomst is door geen van beide Partijen mogelijk. 


Artikel 4: Verwerking 

1. Verwerker dient zorg te dragen voor de naleving van de voorwaarden die op grond van de Algemene Verordening Gegevensbescherming worden gesteld aan het verwerken van de Persoonsgegevens. 

2. Verwerker verwerkt de Persoonsgegevens ten behoeve van Verwerkingsverantwoordelijke, overeenkomstig diens schriftelijke instructies en onder diens verantwoordelijkheid.

3. Verwerker heeft geen zeggenschap over het doel en de middelen van de verwerking van de Persoonsgegevens en neemt geen beslissingen over het gebruik, de verstrekking aan derden en de duur van de opslag van de Persoonsgegevens. 

4. Bij de uitvoering van deze Verwerkersovereenkomst zal Verwerker vertrouwelijkheid in acht nemen. 

5. Verwerkingsverantwoordelijke staat er voor in dat de verwerking van de Persoonsgegevens is vrijgesteld van melding bij de Autoriteit Persoonsgegevens. 

6. Het is Verwerker niet toegestaan om zonder voorafgaande schriftelijke toestemming van Verwerkingsverantwoordelijke de Persoonsgegevens buiten de Europese Economische Ruimte (hierna: “EER”) te verwerken. Doorgifte en opslag van de Persoonsgegevens buiten de EER is zonder voorafgaande schriftelijke toestemming van Verwerkingsverantwoordelijke niet toegestaan. 

7. Verwerker en degenen die onder het gezag van Verwerker werkzaam zijn, zijn verplicht tot geheimhouding van de Persoonsgegevens die de Verwerker verwerkt en/of waarvan de Verwerker kennis heeft genomen, tenzij een wettelijk voorschrift Verwerker tot mededeling verplicht of uit de taak van Verwerker de noodzaak tot mededeling voortvloeit.

8. Verwerker dient de Verwerkingsverantwoordelijke onverwijld in kennis te stellen van alle tot de Verwerker gerichte verzoeken die betrekking hebben op de rechten van betrokkenen, zoals (maar niet per definitie beperkt tot) een verzoek om inzage, verbetering, aanvulling, verwijzing of afscherming van de Persoonsgegevens. Verwerker verleent Verwerkingsverantwoordelijke volledige medewerking om te kunnen voldoen aan de betreffende verplichtingen van Verwerkingsverantwoordelijke op grond van de Algemene Verordening Gegevensbescherming, ongeacht of het verzoek van betrokkene is gericht tot Verwerker of tot Verwerkingsverantwoordelijke. 

9. Het is Verwerker niet toegestaan om een derde in te schakelen bij de uitvoering van deze verwerkersovereenkomst, tenzij Verwerkingsverantwoordelijke hiervoor schriftelijke toestemming heeft verleend aan Verwerker. 

10. Verwerker dient Verwerkingsverantwoordelijke te ondersteunen bij de vervulling van de plicht om aan verzoeken te voldoen van Betrokkene en bij andere verplichtingen van Verwerkingsverantwoordelijke. 

11. Verwerker dient Verwerkingsverantwoordelijke de mogelijkheid te geven om te controleren of Verwerker de in deze Verwerkersovereenkomst vastgelegde afspraken nakomt.


Artikel 5: Datalekken
 

1. Als blijkt dat bij Verwerker sprake is van een Datalek, dan zal Verwerker de Verwerkingsverantwoordelijke daarover onverwijld informeren nadat Verwerker bekend is geworden met het Datalek.

2. Als blijkt dat bij Verwerker sprake is van een Datalek, dan zal Verwerker alle maatregelen treffen die nodig zijn om de (mogelijke) schade te beperken. Verwerker verplicht zich in dat geval ook tot het verlenen van alle mogelijke medewerking, zodat de Verwerkingsverantwoordelijke tijdig de Autoriteit Persoonsgegevens en eventueel de betrokkene kan informeren. 

3. Verwerker informeert Verwerkingsverantwoordelijke ook na een melding op grond van het eerste lid over ontwikkelingen betreffende de inbreuk in verband met Persoonsgegevens.

4. Partijen dragen de door henzelf in verband met de melding aan de bevoegde toezichthoudende autoriteit en de Betrokkene te maken kosten.


Artikel 6: Beveiliging 

1. Verwerker neemt alle passende technische en organisatorische maatregelen, nader omschreven in Bijlage 2, om de Persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico’s die de verwerking en de aard van te beschermen gegevens met zich meebrengen. 

2. Het waarborgen van een passend beveiligingsniveau kan voortdurend dwingen tot het treffen van aanvullende beveiligingsmaatregelen, dit erkennen Partijen. Verwerker waarborgt dan ook een op het risico afgestemd beveiligingsniveau. Verwerker zal aanvullende maatregelen treffen met betrekking tot de beveiliging van de Persoonsgegevens indien Opdrachtgever daar uitdrukkelijk en schriftelijk om verzoekt.


Artikel 7: Verplichtingen Verwerkingsverantwoordelijke 

1. Verwerkingsverantwoordelijke staat er voor in dat de verwerking van de Persoonsgegevens in overeenstemming is met de Algemene Verordening Gegevensbescherming. 


Artikel 8: Aansprakelijkheid 

1. Verwerker is aansprakelijk voor alle schade en aan Verwerkingsverantwoordelijke door de Autoriteit Persoonsgegevens (of andere bevoegde instanties) opgelegde boetes die het gevolg zijn van of verband houdend met het niet nakomen van deze verwerkersovereenkomst en/of het handelen in strijd met de Algemene Verordening Gegevensbescherming. 


Artikel 9: Slotbepalingen 

1. Op deze verwerkersovereenkomst is Nederlands recht van toepassing. 

2. Deze verwerkersovereenkomst en de rechten en plichten uit deze verwerkersovereenkomst kunnen door Verwerker niet aan derden worden overgedragen zonder de voorafgaande schriftelijke toestemming van Verwerkingsverantwoordelijke. 

3. In geval van beëindiging van deze verwerkersovereenkomst zal Verwerker onverwijld de Persoonsgegevens aan Verwerkingsverantwoordelijke retourneren en alle digitale kopieën van de Persoonsgegevens vernietigen. Verwerker zal vervolgens per omgaande aan Verwerkingsverantwoordelijke verklaren dat zij de opgelegde verplichtingen in dit artikel heeft uitgevoerd. 

4. Mocht enige bepaling in deze verwerkersovereenkomst nietig, vernietigbaar of onverbindend zijn, dan zal deze verwerkersovereenkomst voor het overige van kracht blijven. Partijen zullen over de betreffende bepaling overleg plegen, met het doel om een rechtsgeldige bepaling overeen te komen die zoveel mogelijk dezelfde inhoud en werking heeft als de nietige, vernietigbare of niet-verbindende bepaling.


Bijlage 1: Verwerking Persoonsgegevens 

In deze bijlage wordt de verwerking van Persoonsgegevens nader gespecificeerd. Het betreft de volgende onderwerpen: 

Het onderwerp en aard en doel van de verwerking van Persoonsgegevens: 

De persoonsgegevens worden door verwerker gebruikt om: aankopen te leveren, toegang te verschaffen tot het platform, cursussen te doceren, materialen te tonen en delen, vragen te beantwoorden en andere zaken die nodig zijn tijdens de uitvoering van de cursus.

Het soort Persoonsgegevens: 

NAW gegevens, e-mailadressen, gebruikersnamen, telefoonnummers, avatars, IP adressen, bestelgegevens, bedrijfsgegevens en rekeninggegevens.

Een beschrijving van de categorieën van persoonsgegevens:

De verwerking betreft persoonsgegevens uit de categorie ‘gewone persoonsgegevens’.

Een beschrijving van de categorieën betrokkenen:

De persoonsgegevens worden verzameld van bestaande of potentiële klanten.

Een beschrijving van de categorieën ontvangers van persoonsgegevens:

De Verwerker die deze gegevens verwerkt betreft o.a. instructeurs, belastingdienst, docenten, managers van de omgeving en organisaties die bij Maatos een omgeving afnemen.


Bijlage 2: Technische en organisatorische beveiligingsmaatregelen

Verwerkingsverantwoordelijke heeft passende technische en organisatorische maatregelen getroffen om de persoonsgegevens van u te beveiligen tegen verlies of onrechtmatige verwerking. De website heeft een SSL-certificaat, waardoor de gegevens over een beveiligde verbinding verstuurd worden. Tevens zit er een encryptie op wachtwoorden en wordt er dagelijks een back-up gemaakt.

Verwerkingsverantwoordelijke heeft met betrekking tot derde partijen beveiligingsmaatregelen getroffen. Zo heeft Verantwoordelijke met derden die uw persoonsgegevens verwerkt, een verwerkingsovereenkomst gesloten. In de verwerkingsovereenkomst is het doel van de verwerking vastgelegd alsmede de afspraken over het niveau van de technische en organisatorische maatregelen.

De verwerker neemt zoveel beveiligingsmaatregelen als nodig zijn om een datalek te voorkomen. Dit kan bijvoorbeeld een SSL verbinding zijn indien er op een website gewerkt wordt. Daarnaast worden wachtwoorden die nodig zijn versleuteld worden opgeslagen.


Bijlage 3: Afspraken bij een inbreuk op Persoonsgegevens

Indien sprake is van een inbreuk met de Persoonsgegevens zal de volgende procedure worden gevolgd:

1. Na constatering van een datalek zal Verwerker nagaan of dit datalek gemeld dient te worden bij de Autoriteit Persoonsgegevens.

2. Indien het datalek gemeld dient te worden, zal Verwerker dit binnen 72 uur doen.

3. Verwerker zal het datalek documenteren.

4. Verwerker zal bepalen of het datalek aan Verwerkingsverantwoordelijke gemeld dient te worden. Indien dit het geval is zal Verwerker Verwerkingsverantwoordelijk binnen (termijn) informeren over het lek.