Bewerkersovereenkomst

Deze bewerkersovereenkomst is van toepassing op ieder gesloten abonnement op één van de webdiensten van DifferentLab B.V..

Artikel 1. Doeleinden van verwerking

  1. Bewerker verbindt zich onder de voorwaarden van deze Bewerkersovereenkomst in opdracht van Verantwoordelijke persoonsgegevens te verwerken. verwerking zal uitsluitend plaatsvinden ten behoeve van het in de ‘cloud’ opslaan van gegevens van ouders en leerlingen en docenten van Verantwoordelijke, en bijbehorende online diensten, plus die doeleinden die daarmee redelijkerwijs samenhangen of die met nadere instemming worden bepaald.
  2. Bewerker zal de persoonsgegevens niet voor enig ander doel verwerken dan zoals door Verantwoordelijke is vastgesteld. Verantwoordelijke zal Bewerker op de hoogte stellen van de verwerkingsdoeleinden voor zover deze niet reeds in deze Bewerkersovereenkomst zijn genoemd. Bewerker mag echter de persoonsgegevens gebruiken voor kwaliteitsdoeleinden, zoals het enquêteren van de betrokkenen of het doen van wetenschappelijk of statistisch onderzoek naar de kwaliteit van haar dienstverlening.
  3. De in opdracht van Verantwoordelijke te Verwerken persoonsgegevens blijven eigendom van Verantwoordelijke en/of de betreffende betrokkenen.

Artikel 2. Verplichtingen Bewerker

  1. Ten aanzien van de in artikel 1 genoemde verwerkingen zal Bewerker zorg dragen voor de naleving van de toepasselijke wet- en regelgeving, waaronder in ieder geval begrepen de wet- en regelgeving op het gebied van de bescherming van persoonsgegevens, zoals de Wet bescherming persoonsgegevens.
  2. Bewerker zal Verantwoordelijke, op diens eerste verzoek daartoe, informeren over de door haar genomen maatregelen aangaande haar verplichtingen onder deze Bewerkersovereenkomst.
  3. De verplichtingen van de Bewerker die uit deze Bewerkersovereenkomst voortvloeien, gelden ook voor degenen die persoonsgegevens verwerken onder het gezag van Bewerker, waaronder begrepen maar niet beperkt tot werknemers, in de ruimste zin van het woord.

Artikel 3. Doorgifte van persoonsgegevens

  1. Het is Bewerker slechts toegestaan na het treffen van voldoende wettelijke/contractuele maatregelen om persoonsgegevens te bewerken of te doen bewerken in een land buiten de Europese Unie.
  2. Bewerker is vervolgens slechts gerechtigd tot het inschakelen van derden als sub­bewerker indien deze de derden aan dezelfde bepalingen als in deze Bewerkersovereenkomst bindt.
  3. Bewerker zal een lijst bijhouden van de ingeschakelde sub­bewerkers en deze op eerste verzoek ter beschikking stellen aan de Verantwoordelijke.

Artikel 4. Verdeling van verantwoordelijkheid

  1. De toegestane verwerkingen zullen door medewerkers van Bewerker worden uitgevoerd binnen een geautomatiseerde omgeving.
  2. Bewerker is louter verantwoordelijk voor de verwerking van de persoonsgegevens onder deze Bewerkersovereenkomst, overeenkomstig de instructies van Verantwoordelijke en onder de uitdrukkelijke (eind)verantwoordelijkheid van Verantwoordelijke. Voor de overige verwerkingen van persoonsgegevens, waaronder in ieder geval begrepen maar niet beperkt tot de verzameling van de persoonsgegevens door de Verantwoordelijke, verwerkingen voor doeleinden die niet door Verantwoordelijke aan Bewerker zijn gemeld, verwerkingen door derden en/of voor andere doeleinden, is Bewerker uitdrukkelijk niet verantwoordelijk.
  3. Verantwoordelijke garandeert dat de inhoud, het gebruik en de opdracht tot de verwerkingen van de persoonsgegevens zoals bedoeld in deze Overeenkomst, niet onrechtmatig is en geen inbreuk maken op enig recht van derden.

Artikel 5. Beveiliging

  1. Bewerker zal zich inspannen voldoende technische en organisatorische maatregelen te nemen met betrekking tot de te verrichten verwerkingen van persoonsgegevens, tegen verlies of tegen enige vorm van onrechtmatige verwerking (zoals onbevoegde kennisname, aantasting, wijziging of verstrekking van de persoonsgegevens).
  2. Bewerker heeft in ieder geval de volgende maatregelen genomen:
    • Logische toegangscontrole, gebruik makend van wachtwoorden
    • Encryptie (versleuteling) van wachtwoorden
    • Beperkte fysieke toegang tot de servers waar de persoonsgegevens zijn opgeslagen
    • Secured communicate met server (HTTPS/SSL)
  3. Verantwoordelijke stelt enkel persoonsgegevens aan Bewerker ter beschikking voor verwerking, indien zij zich er van heeft verzekerd dat de vereiste beveiligingsmaatregelen zijn getroffen. Verantwoordelijke is verantwoordelijk voor de naleving van de door Partijen afgesproken maatregelen.

Artikel 6. Afhandeling verzoeken van betrokkenen

  1. In het geval dat een betrokkene een verzoek tot inzage, zoals bedoeld in artikel 35 Wbp, of verbetering, aanvulling, wijziging of afscherming, zoals bedoeld in artikel 36 Wbp, richt aan Bewerker, zal Bewerker het verzoek zelf afhandelen, zonder verplicht te zijn de Verantwoordelijke van de afhandeling op de hoogte te stellen.
  2. Bewerker mag de kosten voor de afhandeling van het verzoek doorbelasten aan Verantwoordelijke.

Artikel 7. Geheimhouding en vertrouwelijkheid

  1. Op alle persoonsgegevens die Bewerker van Verantwoordelijke ontvangt en/of zelf verzamelt in het kader van deze Bewerkersovereenkomst, rust een geheimhoudingsplicht jegens derden. Bewerker zal deze informatie niet voor een ander doel gebruiken dan waarvoor zij deze heeft verkregen, zelfs niet wanneer deze in een zodanige vorm is gebracht zodat deze niet tot betrokkenen herleidbaar is.
  2. Deze geheimhoudingsplicht is niet van toepassing voor zover Verantwoordelijke uitdrukkelijke toestemming heeft gegeven om de informatie aan derden te verschaffen, indien het verstrekken van de informatie aan derden logischerwijs noodzakelijk is gezien de aard van de verstrekte opdracht en de uitvoering van deze Bewerkersovereenkomst, of indien er een wettelijke verplichting bestaat om de informatie aan een derde te verstrekken.

Artikel 8. Audit

  1. Verantwoordelijke heeft niet het recht om audits uit te voeren.

Artikel 9. Meldplicht

  1. In het geval van een beveiligingslek en/of een datalek zal Bewerker de Verantwoordelijke daarover informeren, naar aanleiding waarvan de Verantwoordelijke onverwijld de betrokkene zal informeren.
  2. Een melding moet altijd worden gedaan.
  3. De melding behelst in ieder geval het melden van het feit dat er een lek is geweest, almede:
    • Wat de (vermeende) oorzaak is van het lek
    • Wat is het (vooralsnog bekende en/of te verwachten) gevolg
    • Wat is de (voorgestelde) oplossing

Artikel 10. Aansprakelijkheid

  1. Partijen komen uitdrukkelijk overeen dat ten aanzien van aansprakelijkheid de normale wettelijke regeling geldt.

Artikel 11. Duur en beëindiging

  1. Deze Bewerkersovereenkomst is aangegaan voor onbepaalde tijd. Voor opzegging dient een opzegtermijn van een maand in acht te worden genomen.
  2. Deze Bewerkersovereenkomst eindigt van rechtswege bij de beëindiging van de Producten Dienstenovereenkomst. De beëindiging van deze Bewerkersovereenkomst zal Partijen niet ontslaan van hun verplichtingen die voortvloeien uit deze Bewerkersovereenkomst die naar hun aard worden geacht ook na beëindiging voort te duren.
  3. Deze bewerkersovereenkomst mag worden gewijzigd middels schriftelijke mededeling daarvan door Bewerker met vooraankondiging van een maand.