Verwerkersovereenkomst
PMC B.V.
Verwerkersovereenkomst
In het kader van de Algemene Verordening Persoonsgegeven (AVG) is het vanaf 25 mei 2018 verplicht om een verwerkersovereenkomst op te stellen tussen PMC en al haar opdrachtgevers. In deze overeenkomst is beschreven hoe om te gaan met persoonsgegevens en datalekken. De AVG stelt dat PMC zich met betrekking tot verwerking van Persoonsgegevens opstelt als “Verwerker”. De Opdrachtgever stelt zich op als “Verantwoordelijke”. De Persoonsgegevens hebben in deze overeenkomst betrekking op contactpersonen en/of deelnemers met deelname aan de diensten aangeboden door PMC. In de bijlagen van dit document zijn verdere definities, maatregelen en het proces van melding van datalekken opgenomen.


1. Duur van deze overeenkomst
1.1 Deze Verwerkersovereenkomst is van kracht zolang er sprake is van een samenwerking tussen Opdrachtgever en PMC. 1.2 Na beëindiging van uitvoering van een opdracht zullen de lopende verplichtingen voor PMC, zoals het melden van Datalekken, waarbij Persoonsgegevens betrokken zijn, en de plicht tot geheimhouding blijven voortduren.


2. Verwerken Persoonsgegevens
2.1 PMC houdt zich aan de wet en verwerkt Persoonsgegevens op zorgvuldige en transparant wijze. In bijlage B wordt nader toegelicht welke maatregelen hierop van toepassing zijn. 2.2 PMC heeft met haar medewerkers, trainers en acteurs die in opdracht van PMC een dienst leveren afspraken gemaakt om deze verwerkersovereenkomst na te kunnen leven. 2.3 Bij bevestiging van een opdracht geeft Opdrachtgever toestemming om Persoonsgegevens van contactpersonen en deelnemers te bewaren. 2.4 Wanneer een deelnemer of contactpersoon zijn/haar rechten op privacy uitoefent werkt PMC daar binnen een termijn van 14 dagen aan mee. Deze rechten bestaan uit een verzoek om inzage, verbetering, aanvulling, verwijdering of afscherming, bezwaar maken tegen de verwerking van de persoonsgegevens en een verzoek tot overdraagbaarheid van de eigen Persoonsgegevens. 2.5 Persoonsgegevens van Deelnemers worden uiterlijk binnen één jaar na deelname op zorgvuldige wijze verwijderd, tenzij anders overeengekomen met de Opdrachtgever. Persoonsgegevens van Contactpersonen worden uiterlijk twee jaar na het laatste contactmoment verwijderd.

3. Beveiliging van Persoonsgegevens
3.1 PMC zorgt ervoor dat de Persoonsgegevens voldoende beveiligd zijn. Om verlies en onrechtmatige verwerkingen te voorkomen neemt PMC passende technische en organisatorische maatregelen zoals omschreven in bijlagen B en C. 3.2 In het geval dat een toezichthouder een audit uitvoert bij PMC verleent PMC medewerking en mag een inspectie of audit plaatsvinden om te bepalen of het verwerken van de Persoonsgegevens aan de wet en de afspraken uit deze Verwerkersovereenkomst voldoet.

4. Exporteren gegevens
4.1 PMC zal geen Persoonsgegevens laten verwerken door andere personen of organisaties binnen of buiten de Europese Economische Ruimte (EER), anders dan in 2.2 genoemd, zonder daarvoor voorafgaande schriftelijke toestemming te hebben verkregen van Opdrachtgever.

5. Geheimhouding
5.1 PMC zal verstrekte Persoonsgegevens geheimhouden, tenzij dit op basis van een wettelijke verplichting niet mogelijk is.

6. Datalekken
6.1 In geval van een ontdekking van een mogelijk Datalek wordt Verantwoordelijke binnen 24 uur ingelicht en wordt het proces doorlopen zoals aangegeven in bijlage C. Verantwoordelijke zal indien nodig een melding bij de Toezichthouder doen. 6.2 Na de melding van een Datalek zal PMC Opdrachtgever op de hoogte houden van nieuwe ontwikkelingen rondom het Datalek, de omvang van het Datalek proberen te beperken en te beëindigen om een soortgelijk incident in de toekomst te kunnen voorkomen.

7. Aansprakelijkheid
7.1 Wanneer Opdrachtgever onterecht toezeggingen (2.3) doet ten aanzien van Persoongegevens stelt PMC opdrachtgever aansprakelijk. 7.2 Indien PMC de verplichtingen in deze Verwerkersovereenkomst overtreedt, is PMC consult aansprakelijk voor de opgelegde boetes en/of schadevergoedingen door de toezichthouder, deelnemer(s) en/of contactpersonen opgelegd aan PMC. 7.3 Indien een trainer of acteur die in opdracht van PMC diensten levert de verplichtingen in de opgestelde Verwerkersovereenkomst tussen deze twee partijen niet nakomt is trainer of acteur aansprakelijk te stellen door PMC. 7.4 PMC is niet aansprakelijk voor aanspraken van andere personen en organisaties waar de Opdrachtgever een samenwerking mee is aangegaan.

8. Eigen Persoonsgegevens
8.1 Opdrachtgever zal eveneens zorgvuldig omgaan met Persoonsgegevens van medewerkers, trainers, acteurs en ervaringsdeskundigen in dienst bij, of in uitvoering van opdrachten van PMC.
8.2 Opdrachtgever zorgt in dit kader eveneens voor het voldoen aan de verplichtingen gesteld in de AVG.

9. Slotbepalingen
9.1 Op deze Verwerkersovereenkomst is het Nederlandse recht van toepassing.
9.2 Over eventuele geschillen tussen ons bepaald de rechter in de rechtbank.

Bijlagen
A. Begrippen
i. Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon („de betrokkene”); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon
ii. Verwerking: een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens;
iii. Verwerkingsverantwoordelijke: de organisatie die opdracht geeft en het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt;
iv. Verwerker: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt (“Verwerker”); v. Verwerkersovereenkomst: deze overeenkomst inclusief de bijlagen (“Verwerkersovereenkomst”);
vi. Inbreuk in verband het beveiliging persoonsgegevens: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens (“Datalek”);
vii. Deelnemer: de natuurlijke personen op wie de Persoonsgegevens betrekking hebben, namelijk de deelnemers aan (E-learning, trainingen, advies- en coaching-trajecten of andersoortige diensten in opdracht van Opdrachtgever. Persoonsgegevens van Deelnemers dienen door PMC tot één jaar bewaard te worden om evaluaties en follow-ups van diensten te kunnen uitvoeren.
viii. Contactpersoon: de natuurlijk persoon die namens Opdrachtgever de opdracht geeft aan PMC om trainingen te geven aan de deelnemers. Persoonsgegevens van Contactpersonen dienen door PMC tot twee jaar na het laatste contactmoment bewaard te worden voor relatiebeheer en acquisitie doeleinden.

B. Overzicht Beveiligingsmaatregelen
Technische beveiligingsmaatregelen
☐ Up-to-date virusscan ☐ Beveiligde USB-sticks ☐ Accurate beveiliging opdrachtgeverstelefoon ☐ Unieke inlogcode en wachtwoord (regelmatig aanpassen) ☐ Versleutelde email ☐ Geen onbeveiligde externe harde schijven ☐ Geen onbeveiligde back-ups maken ☐ Uitsluitend gebruik van software pakketten en databases die aantoonbaar voldoen aan de vereisten van de AVG
Organisatorisch beveiligingsmaatregelen
☐ Clean desk policy ☐ Laptop niet onbemand achterlaten ☐ Laptop nooit achterlaten in de auto ☐ Oude documenten op juiste manier vernietigen ☐ Zorgvuldig gebruik van USB-sticks

C. Proces Melding van Datalekken
1. Geef een samenvatting van het beveiligingslek/beveiligingsincident/datalek: wat is er gebeurd? Vermeld hier ook de naam van het betrokken systeem.

2. Welke typen persoonsgegevens zijn betrokken bij het beveiligingsincident? Zoals, maar niet beperkt tot, naam, adres, e-mailadres, IP-nummer, Burgerservicenummer, pasfoto en ieder ander tot een persoon te herleiden gegeven.

3. Van hoeveel personen zijn de persoonsgegevens betrokken bij het beveiligingsincident? Geef a.u.b. een minimum -en maximumaantal personen.

4. Omschrijving groep personen om wiens gegevens het gaat. Geef aan of het gaat om opdrachtgeversgegevens, gegevens van internetgebruikers. Bijzondere aandacht verdienen gegevens van een kwetsbare groepen personen, zoals kinderen.

5.Zijn de contactgegevens van de betrokken personen bekend? Het kan zijn dat betrokkenen geïnformeerd moeten worden over het datalek, kunnen we deze personen in dat geval bereiken?

6. Wat is de oorzaak (root cause) van het beveiligingsincident? Heeft u een idee hoe het beveiligingsincident heeft kunnen ontstaan?

7. Op welke datum of in welke periode heeft het beveiligingsincident plaats kunnen vinden? Geef dit a.u.b. zo specifiek mogelijk aan.

Scroll naar boven
Scroll naar top