Verwerkersovereenkomst
Deze verwerkersovereenkomst is relevant voor organisaties die persoonsgegevens verwerken via Checkmaster. Hieronder leggen we eerst in gewone taal uit wanneer dit document geldt. Daaronder staat de formele juridische tekst.
Wanneer dit van toepassing is
Als je persoonsgegevens verwerkt in Checkmaster, zijn duidelijke afspraken nodig over rollen, beveiliging en verantwoordelijkheden.
In de meeste gevallen is de klant verwerkingsverantwoordelijke en treedt Mevec op als verwerker voor de softwaredienst.
Dit document gaat over beveiliging, subverwerkers, datalekmeldingen, rechten van betrokkenen en verwijdering van gegevens.
De verwerkersovereenkomst is een contractueel document voor klanten die persoonsgegevens in de software verwerken.
De privacyverklaring is bedoeld voor websitebezoekers en algemene contactmomenten. Deze verwerkersovereenkomst is bedoeld voor klanten die persoonsgegevens verwerken in Checkmaster.
Formele tekst
A.1 Partijen
Deze verwerkersovereenkomst (DPA) is een bijlage bij de algemene voorwaarden van Mevec en is gesloten tussen de verwerkingsverantwoordelijke, zijnde Opdrachtgever, en Verwerker, zijnde Mevec.
A.2 Definities
Tenzij anders bepaald, hebben begrippen in deze DPA de betekenis zoals in artikel 1 van de AVG en de algemene voorwaarden.
Persoonsgegevens: alle gegevens over een geïdentificeerde of identificeerbare natuurlijke persoon. Verwerking: elke bewerking van Persoonsgegevens, zoals verzameling, opslag, wijziging, raadpleging, verstrekking of verwijdering. Subverwerker: elke derde partij die door Verwerker wordt ingeschakeld voor (onder)verwerking van Persoonsgegevens.
A.3 Doeleinden en duur van de verwerking
Verwerker verwerkt Persoonsgegevens uitsluitend ten behoeve van het uitvoeren van de SaaS-dienst en de verlening van consultancydiensten, zoals omschreven in de hoofdovereenkomst. De verwerking start bij de eerste inlog van gebruikers of de ingangsdatum van de overeenkomst en eindigt 30 dagen na beëindiging, waarna Persoonsgegevens worden verwijderd, behoudens voor zover een langere bewaartermijn wettelijk is voorgeschreven.
A.4 Verplichtingen Verwerker
Verwerker verwerkt Persoonsgegevens uitsluitend op schriftelijke instructies van Verantwoordelijke. In geval van aanvullende of afwijkende instructies dient Verwerkingsverantwoordelijke deze vooraf schriftelijk te bevestigen.
A.5 Beveiligingsmaatregelen
Verwerker treft passende technische en organisatorische maatregelen conform artikel 32 AVG, waaronder pseudonimisering en encryptie van Persoonsgegevens, periodieke back-ups en herstelprocedures, toegangscontrole op basis van rollen en rechten en beveiligde netwerkverbindingen zoals SSL/TLS.
A.6 Meldplicht datalekken
Verwerker meldt een beveiligingsincident of datalek zonder onredelijke vertraging, doch uiterlijk binnen 48 uur na ontdekking, aan Verantwoordelijke.
A.7 Subverwerkers
Verwerker mag subverwerkers inschakelen na voorafgaande schriftelijke melding aan Verantwoordelijke. Verwerker legt met elke subverwerker dezelfde DPA-verplichtingen vast.
A.8 Ondersteuning bij rechten van betrokkenen
Verwerker ondersteunt Verantwoordelijke, voor zover redelijkerwijs mogelijk, bij het beantwoorden van inzage-, correctie- of verwijderverzoeken en bij het voldoen aan meld- en verantwoordingsplichten volgens de AVG.
A.9 Audit- en controle
Verantwoordelijke heeft het recht eenmaal per kalenderjaar een audit of controle uit te voeren middels een onafhankelijke auditor. De kosten van een door Verantwoordelijke geïnitieerde audit komen volledig voor rekening van Verantwoordelijke. Verwerker werkt mee en verstrekt relevante documentatie en toegang tot systemen.
A.10 Gegevensretentie en verwijdering
Na afloop van de verwerkersovereenkomst wist Verwerker alle Persoonsgegevens binnen 30 dagen, tenzij wetgeving een langere bewaartermijn voorschrijft.
A.11 Vertrouwelijkheid
Medewerkers en derden van Verwerker zijn gehouden tot geheimhouding van Persoonsgegevens.
A.12 Aansprakelijkheid
Eventuele aansprakelijkheid omtrent inbreuken op deze DPA is geregeld in de hoofdovereenkomst.