Verwerkersovereenkomst
Verwerkersovereenkomst
De ondergetekenden:
De betreffende klant hierna te noemen: “Opdrachtgever” / Verwerkingsverantwoordelijke (in de zin van de AVG)
en
Tympro Hearing Protection B.V., gevestigd aan Heusing 1, 4817 ZB te Breda en ingeschreven in het register van de Kamer van Koophandel onder nummer 20111001, hierna te noemen “Opdrachtnemer” / Verwerker (in de zin van de AVG)
hierna gezamenlijk ook aan te duiden als: “Partijen” en afzonderlijk als “Partij”.
Overwegende dat
- Opdrachtnemer diensten verricht ten behoeve van Opdrachtgever, zoals beschreven in de Hoofdovereenkomst/Offerte welke door Opdrachtgever is geaccepteerd, hierna te noemen Hoofdovereenkomst;
- Opdrachtnemer zal bij het uitvoeren van de Hoofdovereenkomst gegevens verwerken waarvoor Opdrachtgever verantwoordelijk blijft. Opdrachtnemer verwerkt gegevens louter in opdracht van Opdrachtgever en niet voor eigen doeleinden. Op deze gegevensverwerking zijn de bepalingen van toepassing uit de Algemene Verordening Gegevensbescherming (EU 2016/679), hierna de “AVG”.
- Partijen wensen middels deze overeenkomst, hierna te noemen: de “Verwerkersovereenkomst”, afspraken met betrekking tot de verwerking van persoonsgegevens in het kader van de te verlenen diensten vast te leggen conform artikel 28 lid 3 AVG;
- Voor zover van toepassing, vervangt deze Verwerkersovereenkomst de eerdere overeenkomst(-en) van gelijke strekking die tussen Partijen zijn gesloten.
VERKLAREN TE ZIJN OVEREENGEKOMEN ALS VOLGT:
Artikel 1. Definities
1.1 Voor zover begrippen met een hoofdletter niet afzonderlijk gedefinieerd zijn in deze Verwerkersovereenkomst, gelden de definities zoals genoemd in de Hoofdovereenkomst, welke overeenkomst onder overweging (a) nader is benoemd. Begrippen uit de Algemene Verordening Gegevensbescherming (AVG), zoals “verwerken”, “persoonsgegevens”, “verwerkingsverantwoordelijke” en “verwerker” hebben de betekenis die daaraan is gegeven in de AVG.
Artikel 2. Onderwerp van deze Verwerkersovereenkomst
2.1 Opdrachtnemer kan gedurende de uitvoering van de in artikel 1 van deze Verwerkersovereenkomst genoemde Hoofdovereenkomst ten behoeve van Opdrachtgever en ter voldoening aan enige wettelijke verplichting persoonsgegevens verwerken. Een overzicht van de categorieën Persoonsgegevens en de doeleinden waarvoor de persoonsgegevens ten behoeve van Opdrachtgever worden verwerkt is opgenomen in Annex 1 bij deze Verwerkersovereenkomst.
Artikel 3. Uitvoering verwerking
3.1 Opdrachtnemer zal optreden als Verwerker en Opdrachtgever als Verwerkingsverantwoordelijke in de zin van de AVG.
3.2 Opdrachtnemer garandeert dat hij ten behoeve van Opdrachtgever uitsluitend persoonsgegevens zal verwerken voor zover dit noodzakelijk is voor de uitvoering van de onder de in artikel 1 van deze Verwerkersovereenkomst genoemde Hoofdovereenkomst. Overige verwerkingen zullen uitsluitend worden uitgevoerd in expliciete opdracht van Opdrachtgever of als daartoe een wettelijke verplichting bestaat na informeren van en onder verantwoordelijkheid van Opdrachtgever. In geen geval zal Opdrachtnemer persoonsgegevens verwerken voor eigen doeleinden.
3.3 Opdrachtnemer zal alle redelijke verzoeken en/of instructies van Opdrachtgever in verband met de verwerking van de persoonsgegevens opvolgen. Opdrachtnemer stelt Opdrachtgever onmiddellijk op de hoogte indien naar zijn oordeel verzoeken of instructies in strijd zijn met de toepasselijke wetgeving met betrekking tot de verwerking van persoonsgegevens.
3.4 Opdrachtnemer zal de persoonsgegevens aantoonbaar, op behoorlijke en zorgvuldige wijze en in overeenstemming met de op hem als Verwerker op grond van de AVG en overige wetgeving rustende verplichtingen verwerken. Partijen sluiten de Hoofdovereenkomst om de expertise die Opdrachtnemer heeft als het gaat om het beveiligen en het verwerken van Persoonsgegevens te gebruiken voor de doeleinden die uiteengezet zijn in Annex 1 bij deze Verwerkersovereenkomst. Opdrachtnemer is gehouden om, met inachtneming van hetgeen in deze Verwerkersovereenkomst is bepaald, naar eigen inzicht de middelen aan te wenden die hij noodzakelijk acht om die doeleinden na te streven.
3.5 Opdrachtnemer zal, tenzij hij hiervoor uitdrukkelijke voorafgaande schriftelijke toestemming heeft verkregen van Opdrachtgever, geen persoonsgegevens verwerken of laten verwerken door hemzelf of door derden in landen buiten de Europese Economische Ruimte (“EER”) zonder een passend beschermingsniveau. Opdrachtnemer stelt Opdrachtgever onmiddellijk schriftelijk op de hoogte van alle (geplande) permanente of tijdelijke doorgiftes van persoonsgegevens naar een land buiten de Europese Economische Ruimte en zal pas uitvoering geven aan dergelijke (geplande) doorgiftes na schriftelijke toestemming van Opdrachtgever. Opdrachtgever heeft te allen tijde het recht om aanvullende voorwaarden te verbinden aan haar toestemming voor een dergelijke verwerking.
3.6 Onverminderd enige andere contractuele geheimhoudingsverplichting die op Opdrachtnemer rust, garandeert Opdrachtnemer dat hij alle persoonsgegevens als strikt vertrouwelijk zal behandelen en dat hij al zijn werknemers, vertegenwoordigers en/of onderaannemers (‘sub-verwerkers’) die betrokken zijn bij de verwerking van persoonsgegevens ook van deze geheimhoudingsverplichting op de hoogte zal stellen.
3.7 Opdrachtnemer zal, binnen zijn invloedsfeer, zijn volledige en tijdige medewerking verlenen aan Opdrachtgever om:
- na goedkeuring van en in opdracht van Opdrachtgever betrokkenen toegang te laten krijgen tot de hun betreffende persoonsgegevens;
- persoonsgegevens te verwijderen of te corrigeren;
- aan te tonen dat persoonsgegevens verwijderd of gecorrigeerd zijn indien zij incorrect zijn (of, ingeval Opdrachtgever het er niet mee eens is dat persoonsgegevens incorrect zijn, het feit vast te leggen dat de betrokkene zijn persoonsgegevens als incorrect beschouwt);
- de betreffende persoonsgegevens aan Opdrachtgever dan wel aan een door de Opdrachtgever aangewezen derde te verstrekken in een gestructureerde, gangbare en machine leesbare vorm en;
- Opdrachtgever anderszins in de gelegenheid te stellen om aan zijn verplichtingen onder de AVG of andere toepasselijke wetgeving op het gebied van verwerking van persoonsgegevens te voldoen.
Artikel 4. Beveiliging persoonsgegevens & controle
4.1 Opdrachtnemer zal passende technische en organisatorische beveiligingsmaatregelen nemen, die op grond van de AVG, waaronder in ieder geval artikel 32 AVG, vereist zijn.
4.2 Opdrachtnemer heeft te allen tijde een passend, geschreven beveiligingsbeleid geïmplementeerd voor de verwerking van persoonsgegevens. Een beschrijving van de beveiligingsmaatregelen en gehanteerde normen is opgenomen in Annex 2 bij deze Verwerkersovereenkomst.
4.3 Opdrachtgever heeft het recht toe te laten zien op de naleving van de hiervoor onder 4.1 en 4.2 genoemde maatregelen door een onafhankelijke, deskundige derde partij. Opdrachtnemer stelt Opdrachtgever, indien Opdrachtgever daarom verzoekt, hiertoe in elk geval eenmaal per jaar in de gelegenheid op een door Partijen in gezamenlijk overleg nader te bepalen tijdstip en verder indien Opdrachtgever daar aanleiding toe ziet naar aanleiding van (vermoeden van) informatie- of privacy-incidenten, zulks te laten controleren door een onafhankelijke, deskundige derde partij. Opdrachtnemer zal eventuele door Opdrachtgever naar aanleiding van een dergelijke controle in redelijkheid gegeven instructies tot aanpassing van het beveiligingsbeleid binnen een redelijke termijn opvolgen.
4.4 Opdrachtnemer zal in alle redelijkheid aan het onder 4.3 hiervoor bedoelde onderzoek haar medewerking verlenen.
4.5 Kosten voortvloeiende uit een onderzoek als bedoeld onder 4.3 zijn voor rekening van Opdrachtgever
4.6 Partijen erkennen dat beveiligingseisen voortdurend veranderen en dat een effectieve beveiliging frequente evaluatie en regelmatige verbetering van verouderde beveiligingsmaatregelen vereist. Opdrachtnemer zal daarom de maatregelen zoals geïmplementeerd op basis van dit artikel 4 voortdurend evalueren en verscherpen, aanvullen of verbeteren om te blijven voldoen aan zijn verplichtingen onder dit artikel.
Artikel 5. Monitoring beveiliging en afspraken bij datalekken
5.1 Opdrachtnemer zal actief monitoren op inbreuken op de beveiligingsmaatregelen en over de resultaten van de monitoring, voor zover relevant voor Verwerkingsverantwoordelijke, in overeenstemming met dit artikel 5 rapporteren aan Opdrachtgever, voor zover relevant voor Opdrachtgever.
5.2 Zodra zich een incident met betrekking tot de verwerking van de persoonsgegevens voordoet, heeft voorgedaan of zou kunnen voordoen, is Opdrachtnemer verplicht Opdrachtgever daarvan onverwijld, doch binnen 36 uur na ontdekking, in kennis te stellen en daarbij alle relevante informatie te verstrekken om aan de verplichtingen uit artikel 33 AVG te kunnen voldoen, waaronder in ieder geval:
- de aard van het incident;
- het risico dat gegevens onrechtmatig verwerkt zijn of kunnen worden;
- de (mogelijk) getroffen gegevens en tot welke categorie die gegevens behoren;
- de (mogelijk) getroffen betrokkenen;
- de geconstateerde en vermoedelijke gevolgen van het incident;
- de maatregelen die getroffen zijn of zullen worden om het incident op te lossen dan wel de gevolgen/schade zoveel mogelijk te beperken;
5.3 Opdrachtnemer is, onverminderd de overige verplichtingen uit dit artikel, verplicht om de eventuele negatieve gevolgen die voortvloeien uit een incident zo snel mogelijk ongedaan te
maken dan wel de verdere gevolgen te minimaliseren. Opdrachtnemer en Opdrachtgever treden hierover met elkaar in overleg om nadere afspraken te maken.
5.4 Opdrachtnemer zal Opdrachtgever te allen tijde haar medewerking verlenen en zal de instructies van Opdrachtgever opvolgen, met als doel Opdrachtgever in staat te stellen een deugdelijk onderzoek te verrichten naar het incident, een correcte respons te formuleren en passende vervolgstappen te nemen ten aanzien van het incident, waaronder begrepen het informeren van de Autoriteit persoonsgegevens (AP) en/of de betrokkene zoals bepaald in artikel 5.8.
5.5 Onder “incident” wordt in elk geval het volgende verstaan:
(a) een klacht of (informatie)verzoek van een natuurlijk persoon via Opdrachtgever, met betrekking tot de verwerking van persoonsgegevens door Opdrachtnemer;
(b) een onderzoek naar of beslaglegging door overheidsfunctionarissen op de persoonsgegevens of een vermoeden dat dit gaat plaatsvinden;
(c) iedere ongeautoriseerde toegang, verwerking, verwijdering, verminking, verlies of enige vorm van onrechtmatige verwerking van de persoonsgegevens;
(d) een inbreuk op de beveiliging en/of de vertrouwelijkheid, zoals uiteengezet in artikel 3 en 4 van deze Verwerkersovereenkomst, althans ieder ander incident, die/dat leidt (of mogelijk leidt) tot onopzettelijke of onrechtmatige vernietiging, verlies, wijziging, onbevoegde openbaarmaking van – of toegang tot – de persoonsgegevens, of enige aanwijzing dat een dergelijke inbreuk zal plaatsvinden of heeft plaatsgevonden.
5.6 Opdrachtnemer zal te allen tijde geschreven procedures voorhanden hebben die hem in staat stellen om Opdrachtgever van een onmiddellijke reactie over een incident te voorzien en om effectief samen te werken met Opdrachtgever om het incident af te handelen en zal Opdrachtgever voorzien van een exemplaar van dergelijke procedures indien Opdrachtgever daarom verzoekt.
5.7 Meldingen die worden gedaan op grond van dit artikel worden onverwijld gericht aan de in Annex 4 opgenomen werknemer van Opdrachtgever of, indien relevant, aan een andere door Opdrachtgever tijdens de duur van deze Verwerkersovereenkomst schriftelijk bekendgemaakte andere werknemer van Opdrachtgever.
5.8 Opdrachtgever zal, indien naar haar oordeel noodzakelijk en zover relevant voor het betreffende incident, betrokkenen en de AP informeren over incidenten. Het is Opdrachtnemer niet toegestaan informatie te verstrekken over incidenten aan betrokkenen of andere derde partijen, behoudens voor zover Opdrachtnemer daartoe wettelijk verplicht is.
5.9 Uitsluitend indien de Opdrachtgever daarvoor uitdrukkelijke toestemming geeft, zal Opdrachtnemer de eerste melding van een incident aan de AP doen. Over deze melding en over de voortgang daarvan, houdt de Opdrachtnemer de Opdrachtgever voortdurend op te hoogte.
Artikel 6. Inschakeling onderaannemers (‘sub-verwerkers’)
6.1 Opdrachtnemer zal zijn activiteiten die (deels) bestaan uit het verwerken van persoonsgegevens of vereisen dat persoonsgegevens verwerkt worden niet uitbesteden aan een derde partij (‘sub-verwerker’) zonder voorafgaande schriftelijke toestemming van Opdrachtgever.
6.2 Opdrachtnemer zal aan de door hem ingeschakelde derde dezelfde of strengere verplichtingen opleggen als voor hemzelf uit deze Verwerkersovereenkomst en de wet voortvloeien en ziet toe op de naleving daarvan door de derde. De betreffende afspraken met de derde zullen schriftelijk worden vastgelegd. Opdrachtnemer zal Opdrachtgever op verzoek afschrift verstrekken van deze overeenkomst(en) voor zover relevant voor naleving van deze Verwerkersovereenkomst.
6.3 Niettegenstaande de toestemming van Opdrachtgever voor het inschakelen van een derde partij blijft Opdrachtnemer volledig aansprakelijk jegens Opdrachtgever voor de gevolgen van het uitbesteden van werkzaamheden aan een derde. De toestemming van Opdrachtgever voor het uitbesteden van werkzaamheden aan een derde partij laat onverlet dat voor de inzet van sub-verwerkers in een land buiten de Europese Economische Ruimte zonder een passend beschermingsniveau toestemming vereist is in overeenstemming met artikel 3.5 van deze Verwerkersovereenkomst.
6.4 Opdrachtgever heeft geen bezwaar tegen het inschakelen van Sub-verwerker(s) door Opdrachtnemer mits de Sub-verwerker aan dezelfde eisen voldoet als de opdrachtnemer.
Artikel 7. Aansprakelijkheid
7.1 Opdrachtgever staat ervoor in dat de Verwerking van Persoonsgegevens op basis van deze Overeenkomst niet onrechtmatig is en geen inbreuk maakt op de rechten van Betrokkene(n).
7.2 Partijen zijn ieder verantwoordelijk en aansprakelijk voor hun eigen handelen. De in dit artikel 7 geregelde aansprakelijkheid heeft uitsluitend betrekking op boetes en schade ten gevolge van een verwijtbare tekortkoming in de naleving van het bepaalde in deze Verwerkersovereenkomst.
7.3 De in de Hoofdovereenkomst en daarbij behorende algemene voorwaarden overeengekomen beperking van de aansprakelijkheid van Opdrachtnemer is van kracht op de verplichtingen zoals opgenomen in deze Overeenkomst, met dien verstande dat een of meerdere schadevorderingen uit hoofde van deze Overeenkomst en /of de onderliggende Hoofdopdracht nimmer tot overschrijding van de beperking kan leiden.
7.4 Opdrachtnemer vrijwaart Opdrachtgever tegen claims en aanspraken van derden voor schade (beweerdelijk) veroorzaakt door wederrechtelijke verwerking van persoonsgegevens of door enige daad die in strijd is met de AVG, andere toepasselijke wettelijke bepalingen of met deze Verwerkersovereenkomst of de Hoofdovereenkomst, alsmede voor boetes opgelegd door bevoegde autoriteiten als gevolg van voornoemde daad. Het voorgaande geldt niet indien dergelijke claims het gevolg zijn van een toerekenbare tekortkoming van Opdrachtgever.
7.5 Partijen zorgen ervoor dat zij zich adequaat verzekerd hebben en houden, zodat er sprake is van een afdoende dekking van de aansprakelijkheid als genoemd in dit artikel.
Artikel 8. Duur, beëindiging en wijziging
8.1 Deze Verwerkersovereenkomst gaat in op de datum dat de in Artikel 1 genoemde Hoofdovereenkomst ingaat en de duur van deze Verwerkersovereenkomst is gelijk aan de duur van deze genoemde Hoofdovereenkomst.
8.2 Deze Verwerkersovereenkomst maakt onderdeel uit van de Hoofdovereenkomst. Deze beide overeenkomsten zijn onlosmakelijk met elkaar verbonden. Dat wil zeggen dat beëindiging van de Verwerkersovereenkomst, op welke grond dan ook (opzegging/ontbinding), tot gevolg heeft dat de Hoofdovereenkomst eveneens op dezelfde grond beëindigd wordt (en vice versa), tenzij partijen in voorkomend geval anders overeenkomen.
8.3 Verplichtingen welke naar hun aard bestemd zijn om ook na beëindiging van deze Verwerkersovereenkomst voort te duren, blijven na beëindiging van de Verwerkersovereenkomst gelden. Tot deze bepalingen behoren onder meer die welke voortvloeien uit de bepalingen betreffende geheimhouding, aansprakelijkheid en toepasselijk recht.
8.4 Ieder der partijen is gerechtigd, onverminderd hetgeen daartoe bepaald is in de Hoofdovereenkomst, de uitvoering van deze Verwerkersovereenkomst en de daarmee samenhangende Hoofdovereenkomst op te schorten, dan wel zonder rechterlijke tussenkomst met onmiddellijke ingang te ontbinden, indien:
(a) de andere partij wordt ontbonden of anderszins ophoudt te bestaan;
(b) de andere partij aantoonbaar tekortschiet in de nakoming van de verplichtingen die voortvloeien uit deze Verwerkersovereenkomst en die ernstige toerekenbare tekortkoming niet binnen redelijke en in samenspraak vastgestelde termijn is hersteld na een daartoe strekkende schriftelijke ingebrekestelling;
(c) een partij in staat van faillissement wordt verklaard of surséance van betaling aanvraagt.
8.6 Opdrachtgever is gerechtigd deze Verwerkersovereenkomst en de Hoofdovereenkomst per direct te ontbinden indien Opdrachtnemer te kennen geeft niet (langer) te kunnen voldoen aan de betrouwbaarheidseisen die op grond van ontwikkelingen in de wet en/of de rechtspraak aan de verwerking van de persoonsgegevens worden gesteld. Artikel 9.2 is van overeenkomstige toepassing.
8.7 Wijzigingen van deze Verwerkersovereenkomst zijn uitsluitend geldig indien deze tussen Partijen schriftelijk zijn overeengekomen.
8.8 Partijen zullen deze Verwerkersovereenkomst in ieder geval wijzigen indien daarvoor een aanleiding bestaat op basis van ontwikkelingen in de jurisprudentie en/of relevante wet- en regelgeving.
Artikel 9. Bewaartermijnen, teruggave en vernietiging van Persoonsgegevens
9.1 Opdrachtnemer bewaart de persoonsgegevens niet langer dan strikt noodzakelijk voor de doelen als omschreven in Annex 1 en in geen geval langer dan tot het einde van deze Verwerkersovereenkomst of, indien tussen partijen een bewaartermijn is overeengekomen, niet langer dan deze termijn.
9.2 Bij beëindiging van de Verwerkersovereenkomst, of indien van toepassing aan het einde van de overeengekomen bewaartermijnen, of op schriftelijk verzoek van Opdrachtgever zal
Opdrachtnemer de persoonsgegevens onherroepelijk vernietigen. De kosten van het verzamelen of vernietigen van persoonsgegevens bij het eindigen van de Onderliggende opdracht zijn voor rekening van de Opdrachtgever. Indien gewenst geeft Opdrachtnemer vooraf een kosteninschatting. Op verzoek van Opdrachtgever verstrekt Opdrachtnemer bewijs van het feit dat de gegevens vernietigd of verwijderd zijn. Indien vernietiging of verwijdering niet mogelijk zijn, stelt Opdrachtnemer Opdrachtgever daarvan onmiddellijk op de hoogte. In dat geval garandeert Opdrachtnemer dat hij de persoonsgegevens vertrouwelijk zal behandelen en niet langer zal verwerken.
9.3 Bij het einde van de Verwerkersovereenkomst zal Opdrachtnemer alle, bij haar bekende en door haar ingeschakelde derden die betrokken zijn bij het verwerken van persoonsgegevens op de hoogte stellen van de beëindiging van de Verwerkersovereenkomst. De verplichtingen uit artikel 9.2 zijn van overeenkomstige toepassing op deze derden. Opdrachtnemer zal waarborgen dat alle betrokken derden hieraan uitvoering zullen geven.
Artikel 10. Slotbepalingen
10.1 De overwegingen en bijlagen maken onderdeel uit van deze Verwerkersovereenkomst.
10.2 In het geval van strijdigheid tussen de bepalingen uit deze Verwerkersovereenkomst en bepalingen uit de in artikel 1 genoemde Hoofdovereenkomst zullen de bepalingen van de Verwerkersovereenkomst leidend zijn.
10.3 In geval van nietigheid c.q. vernietigbaarheid van één of meer bepalingen uit deze Verwerkersovereenkomst, blijven de overige bepalingen onverkort van kracht.
10.4 Op deze Verwerkersovereenkomst is louter Nederlands recht van toepassing.
10.5 Eventuele conflicten zullen eerst met elkaar besproken worden waarbij beide partijen zich inspannen om deze in goed overleg met elkaar op te lossen.
10.6 Geschillen over of in verband met deze Verwerkersovereenkomst worden uitsluitend voorgelegd aan de bevoegde rechter in het arrondissement van de Opdrachtgever.
10.7 In alle gevallen waarin deze Verwerkersovereenkomst niet voorziet beslissen Partijen in onderling overleg.
4 bijlagen bij deze verwerkersovereenkomst:
- De opdrachtnemer verwerkt voor de uitvoering van haar diensten de volgende gegevens:
- Voornaam
- Achternaam
- Geboortedatum
- Afdeling
- Code (gebruikt voor werknemersnummer indien gewenst door klant)
- Identificatienummer of registratienummer van de otoplastiek
- Dempingsinstelling van otoplastiek
- Telefoon
- Mobiele telefoon
- De doeleinden waarvoor opdrachtnemer de persoonsgegevens verwerkt zijn van belang voor de uitvoering van de diensten zoals overeengekomen in de artikel 1 van de Verwerkersovereenkomst bedoelde Hoofdovereenkomst tussen partijen.
- Doel: identificatie van de producten.
- Otoplastieken zijn op maat gemaakte producten die individueel worden aangemeten. Ieder product is uniek en past alleen bij de persoon waarvoor deze aangemeten zijn. Om het product terug te kunnen herleiden naar de gebruiker van het product is iedere set otoplastieken voorzien van een uniek registratienummer.
- De producten dienen periodiek gekeurd te worden. Op basis van de productie of laatste onderhoudsdatum van het product wordt het product opgeroepen voor onderhoud.
- Bij verlies van het product kan op basis van het registratienummer de gebruiker worden getraceerd
- De arbowet schrijft het ter beschikking stellen en uitgifteregistratie van persoonlijk beschermingsmiddelen voor. Deze uit de wet voortvloeiende veiligheidskundige verplichting wordt door middel van de registratie door opdrachtnemer uitgevoerd.
- Doel: identificatie van de producten.
- De persoonsgegevens ten behoeve van de registratie van de persoonlijke beschermingsmiddelen vindt plaats in het zogenaamde Tympro Portal. Een on-line systeem dat alleen toegankelijk is voor geautoriseerde Tympro medewerkers of door Tympro geautoriseerde personen. Uit het systeem kunnen Excel-lijsten worden gegenereerd die op verzoek aan de opdrachtgever kunnen worden verstrekt. Kopieën van deze Excel-lijsten worden door Opdrachtgever niet opgeslagen.
- Opdrachtnemer heeft passende technische en organisatorische maatregelen getroffen om de persoonsgegevens te beveiligen en te verwerken in overeenstemming met de AVG.
- De bewaartermijn in het Tympro Portal van de door opdrachtnemer geregistreerde gegevens is tot 5 jaar na de laatste transactie die op de gebruiker heeft plaatsgevonden. De modale levensduur van een otoplastiek is 4 tot 5 jaar, maar kan hiervan zowel naar boven als beneden afwijken. Opdrachtnemer heeft voor een bewaartermijn van 5 jaar gekozen omdat zij de kans reëel acht dat persoonsgegevens waarop 5 jaar geen transacties plaatsvinden niet meer actief zijn, daarentegen is het goed mogelijk dat gebruikers die 4 jaar lang hun otoplastieken niet hebben laten controleren nog steeds actieve gebruikers zijn.
Om de veiligheid van de gegevensverwerking te kunnen waarborgen heeft verwerker beveiligingsmaatregelen getroffen:
- Door onze ICT partner worden tijdig installaties van beveiligingsupdates en patches ter zake van de gebruikte software uitgevoerd;
- Tot al onze systemen is toegang slechts mogelijk met logische toegangscontrole, gebruik makend van regelmatig wisselende wachtwoorden;
- Fysieke toegang tot data is afgeschermd middels toegangsbeveiliging in data centra;
- Verwerker heeft organisatorische maatregelen omtrent toegangsbeveiliging genomen;
- Bij verwerker is een protocol opgesteld waarin de handelingen die met betrekking tot persoonsgegevens worden uitgevoerd worden beschreven en de waarborgen die daarbij in acht worden genomen;
- Beveiliging van netwerkverbindingen via Secure Socket Layer (SSL) technologie;
- Er is sprake van doel gebonden toegangsbeperkingen en controle op toegekende bevoegdheden.
Opdrachtnemer maakt in beginsel geen gebruik van Sub-verwerkers voor de verwerking van persoonsgegevens. Voor zover dit wel het geval zou zijn blijft Verwerker verantwoordelijk tegenover Verwerkingsverantwoordelijke betreffende het nakomen van de verplichtingen.
Toelichting:
Om snel te kunnen handelen en passende maatregelen te kunnen nemen in geval van een beveiligingsincident of datalek, is het raadzaam om binnen de organisatie van de Opdrachtgever een vaste medewerker aan te wijzen met wie er in een dergelijke situatie contact kan worden opgenomen. Deze medewerker kan dan ook de afgesproken termijnen bewaken.
Het is tevens aan te raden om een extra persoon als ‘achterwacht’ aan te wijzen en ook van die persoon hier de contactgegevens op te nemen. Bij ziekte of afwezigheid van de primaire contactpersoon is er dan een tweede persoon als aanspreekpunt beschikbaar.
Deze contactgegevens worden opgevraagd via het klantformulier.