Privacybeleid app

Deel 1: Privacy Verklaring


Deze Privacy Verklaring vormt samen met de Standaardclausules voor verwerkingen de
verwerkersovereenkomst voor het product of de dienst van het bedrijf dat deze Privacy Verklaring heeft
opgesteld.

Algemene informatie

  1. Deze Privacy Verklaring is opgesteld door de volgende data processor (verwerker):
    Blue Feniks B.V.
    Kraanspoor 50
    1033 SE Amsterdam

    Voor vragen over deze Privacy Verklaring of dataprotectie kan contact opgenomen worden met:
    Bibi Schmidt
    T +3185 – 800 888 6
    M +316 – 55 55 76 76
    E bibi@bluefeniks.com

    Deze Privacy Verklaring geldt vanaf 7 november 2022
    Deze Privacy Verklaring en de daarin omschreven beveiligingsmaatregelen passen wij regelmatig aan om ten aanzien van data protectie steeds voorbereid en actueel te blijven. Wij houden u op de hoogte van nieuwe versies via onze normale kanalen.
  2. Deze Privacy Verklaring is van toepassing op de volgende producten en diensten van data processor:
    Alle oplossingen voor veilige werkomgevingen, waaronder:
    A. De Blue Feniks App, en voor klanten op maat gemaakte software oplossingen, alsmede;
    B. De hiermee samenhangende diensten, zoals bemiddeling van psychologen, vertrouwenspersonen, coaches en andere experts.
  3. Omschrijving producten/diensten
    A. Blue Feniks ontwikkelt B2B software voor veilige en inclusieve werkomgevingen. De software bestaat uit een app voor werknemers en een web app voor functionarissen. Met behulp van de app kunnen werknemers op een laagdrempelige manier melding doen van incidenten en bijna-incidenten, waaronder ongewenst gedrag en gevaarlijke situaties op de werkvloer. Ook is het mogelijk om ideeën te delen met het bedrijf, en werk gerelateerde behoeften zoals scholing of training te melden. Via de app hebben werknemers ook toegang tot informatie zoals Gedragscodes, werkmethodes en andere content die door het bedrijf via de app met de medewerker worden gedeeld.
    B. Ter aanvulling op de softwarematige oplossing zoals omschreven onder lid A, bemiddelt Blue Feniks ook in diensten van externe experts, welke een betekenisvolle bijdrage kunnen leveren aan het tot stand komen van veilige en inclusieve werkomgevingen. Denk hierbij aan: psychologen, vertrouwenspersonen, coaches en andere experts.
  4. Beoogd gebruik
    Product/dienst A is ontworpen en ingericht om er de volgende soort gegevens mee te verwerken:
    De Blue Feniks apps voor veilige en inclusieve werkomgevingen worden door bedrijven die klant zijn van Blue Feniks beschikbaar gesteld aan diens medewerkers. Teneinde de medewerkers een app te kunnen bieden met een beveiligde login, moeten persoonsgegevens van werknemers in een database worden ingevoerd, die specifiek voor de betreffende klant wordt ingericht. Hierbij worden de volgende persoonsgegevens verwerkt:

    • Voornaam/achternaam werknemer
    • Telefoonnummer
    • E-mail adres
    • Afdeling
    De meldingen die de medewerker doet, worden in een beveiligde database opgeslagen. Een medewerker kan lokaal op diens telefoon een dossier opbouwen. Hiertoe heeft niemand anders inzage. De medewerker kiest vervolgens zelf of en met welke functionaris die een melding deelt.
    De Blue Feniks apps maken het ook mogelijk voor organisaties om psychologische testen uit te zetten onder medewerkers, medewerkerstevredenheidsonderzoeken te doen, en diversiteit & inclusie scans uit te voeren. In deze gevallen is het mogelijk dat functionarissen in dienst van een organisatie bijzonder persoonsgegevens verwerken, waaronder maar niet beperkt tot informatie omtrent etnische achtergrond en neurologische typering.
    ● Bij deze dienst is rekening gehouden met de verwerking van bijzondere persoonsgegevens, of gegevens betreffende strafrechtelijke veroordelingen en strafbare feiten of door de overheid uitgegeven persoonsnummers.
    Product/dienst B is ontworpen en ingericht om er de volgende soort gegevens mee te verwerken: Wat betreft aanvullende diensten van externe experts, zoals psychologen, vertrouwenspersonen en coaches. Met deze personen worden in beginsel alleen persoonsgegevens gedeeld door medewerkers die meldingen van misstanden met betreffende functionaris delen, zoals een externe vertrouwenspersoon die door de werkgever wordt ingehuurd. Een Arbeids- en Organisatie Psycholoog zal in een specifiek dashboard voor het bedrijf waar hij zijn diensten aanbiedt, psychologische testen kunnen uitzetten onder individuele medewerkers dan wel divisies binnen een bedrijf. Hierbij hebben de functionarissen toegang tot de volgende persoonsgegevens:
    • Voornaam/achternaam werknemer
    • Afdeling
    De Blue Feniks apps maken het ook mogelijk voor organisaties om psychologische testen uit te zetten onder medewerkers, medewerkerstevredenheidsonderzoeken te doen, en diversiteit & inclusie scans uit te voeren. In deze gevallen is het mogelijk dat functionarissen in dienst van een organisatie bijzonder persoonsgegevens verwerken, waaronder maar niet beperkt tot informatie omtrent etnische achtergrond en neurologische typering.
    ● Bij deze dienst is rekening gehouden met de verwerking van bijzondere persoonsgegevens, of gegevens betreffende strafrechtelijke veroordelingen en strafbare feiten of door de overheid uitgegeven persoonsnummers.
  5. Blue Feniks heeft bij het ontwerpen van het product/de dienst privacy by design/privacy by default op de volgende wijze toegepast:

    Privacy by design
    Bij het ontwerp en de bouw van de Blue Feniks apps is vanaf het begin rekening gehouden met het verwerken van persoonsgegevens. We hebben hierbij onder andere gekeken welke persoonsgegevens noodzakelijk zijn voor het functioneren van het systeem. De software gebruikt bijvoorbeeld niet meer persoonsgegevens dan strikt noodzakelijk (data minimalisatie), we voldoen aan de standaarden op het gebied van informatiebeveiliging en access control, de dashboards werken op need to access basis waarbij we gebruik maken van permission management, en we bieden support bij het faciliteren van rechten van betrokkenen, waaronder verzoeken tot
    inzage, correctie en verwijdering van gegevens.

    Privacy by default
    De Blue Feniks apps zijn zo ontworpen dat deze zo privacy-vriendelijk als mogelijk zijn. Elke app gebruiker heeft een eigen login. De gegevens die de app gebruiker in zijn persoonlijke app op de eigen telefoon opslaat, zijn strikt persoonlijk, en voor niemand toegankelijk. De gebruiker bepaalt zelf wanneer die welke informatie met wie deelt.
  6. Blue Feniks gebruikt de Standaardclausules voor verwerkingen, welke als bijlage bij de Overeenkomst te vinden zijn.
  7. Blue Feniks verwerkt de persoonsgegevens van zijn opdrachtgevers uitsluitend binnen de EU/EER.
  8. Blue Feniks maakt gebruik van de volgende sub-processors:
    • Apple – de App Store – voor distributie van de app
    • Google – Google Play Store – voor distributie van de app
  9. Blue Feniks ondersteunt opdrachtgever op de volgende manier bij verzoeken van betrokkenen:
    Blue Feniks biedt opdrachtgevers support bij het faciliteren van rechten van betrokkenen, waaronder verzoeken tot inzage, correctie en verwijdering van gegevens. Ook kunnen gegevens uit het systeem op verzoek geëxporteerd worden.
  10. Blue Feniks zal op de volgende wijze medewerking verlenen aan Data Privacy Impact Assessments:
    Blue Feniks ondersteunt haar klanten bij de uitvoering van hun Data Privacy Impact Assessments door het verstrekken van alle daartoe benodigde en relevante informatie, zoals in de software ingebouwde beveiligingsmaatregelen, de verwerking van persoonsgegevens en de impact daarvan op de privacy van betrokkenen.
  11. Na beëindiging van de Overeenkomst met een opdrachtgever draagt Blue Feniks de persoonsgegevens die hij voor opdrachtgever verwerkt in principe binnen 3 maanden over aan opdrachtgever. Het is vervolgens de verantwoordelijkheid van de klant om ervoor zorg te dragen dat persoonsgegevens en vertrouwelijke data, indien van toepassing, niet langer kunnen worden gebruikt en niet langer toegankelijk zijn (render inaccessible).
  12. Na beëindiging van de Overeenkomst met opdrachtgever retourneert Blue Feniks alle persoonsgegevens die hij voor opdrachtgever verwerkt binnen 3 maanden op de volgende manier:
    Blue Feniks bewaart persoonsgegevens van haar opdrachtgevers niet langer dan noodzakelijk. Uiterlijk 3 maanden na beëindiging van een overeenkomst, zal Blue Feniks ervoor zorg dragen dat alle persoonsgegevens aan opdrachtgever worden overgedragen. Opdrachtgever zal vervolgens zelf verantwoordelijk zijn voor het eventuele wissen van gegevens.

    Beveiligingsbeleid
  13. Blue Feniks heeft de volgende beveiligingsmaatregelen genomen ter beveiliging van zijn product of
    dienst:
    ● Alle werknemers van Blue Feniks tekenen voorafgaand aan de aanvang van hun werkzaamheden een Non Disclosure Agreement.
    ● Blue Feniks werkt met een systeem van rollen en rechten, waarbij werknemers alleen toegang hebben tot systemen welke noodzakelijk zijn voor de uitvoering van hun werkzaamheden.
    ● Persoonsgegevens worden versleuteld opgeslagen en altijd versleuteld verstuurd.
    ● De vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van onze product en diensten worden op de volgende manier geborgd. Al onze code is staat op Github en hier is 2FA vereist om er bij te kunnen. Ook voor de toegang tot onze Amazon AWS omgevingen is 2FA vereist. Slechts een
    beperkt aantal developers heeft toegang tot de productie omgeving en kan hier wijzigingen op aan
    brengen. Het loggen op de productie omgeving is op de beperkt om er voor te zorgen dat er geen
    persoonsgegevens gelogd worden. Het product zelf is beschikbaar via Amazon Web Services en
    deze partij hecht veel waarde aan beschikbaarheid en veiligheid. Ook vraagt Blue Feniks een derde
    partij die gespecialiseerd is in AWS security praktijken om onze instellingen te reviewen en om een
    pen-test uit te voeren.
    ● Blue Feniks waarborgt dat bij een incident de beschikbaarheid van en de toegang tot de
    persoonsgegevens tijdig hersteld wordt, op de volgende manier: Zodra blijkt dat een incident heeft
    plaats gevonden zullen ten eerste alle database instanties stil gezet worden. Daarna zullen de
    gebruikers geïnformeerd worden dat er een incident heeft plaats gevonden en dat er onderzoek
    plaats vind. Vervolgens zal de root-cause vast gesteld worden en gerepareerd worden. Tevens zal
    daarna een algehele security review plaats vinden met behulp van een derde, gespecialiseerde
    partij. Pas als deze derde partij haar goed keuren geeft zal de toegang tot het systeem hersteld
    worden. Tevens zullen dan de gebruikers geïnformeerd worden over de root-cause en over
    eventuele schade die ondervonden is.
  14. Blue Feniks heeft zich geconformeerd aan het volgende Information Security Management System (ISMS):
    ● NEN-ISO 27001
    ● NEN 7510, NEN 7512, NEN 7513 (voor zorg)
    ● OWASP;
    ● ASVS;
    ● BIG (Baseline Informatiebeveiliging Gemeenten)
    ● BIR (Baseline Informatiebeveiliging Rijksdienst)
    ● Microsoft Security Development Lifecycle
  15. Data processor heeft de volgende certificeringen:
    ● Data Pro Certificate

    Datalekkenprotocol
  16. In geval er toch iets mis gaat, hanteert Blue Feniks het volgende datalekkenprotocol om ervoor te zorgen dat opdrachtgever op de hoogte is van incidenten:
    Blue Feniks hanteert een persoonlijke versie van het NLdigital Datalekkenprotocol 2019. Hieronder volgt een verkorte versie van dit protocol. Voor de volledige versie verwijzen we u naar: Blue Feniks Datalekkenprotocol 2022.
    Zodra een medewerker van Blue Feniks ontdekt dat er een datalek is of is geweest, dan nemen wij onmiddellijk maatregelen om het (actieve) lek te stoppen en de gevolgen te beperken. Indien de risicobeoordeling uitwijst dat een datalek een aanzienlijk risico oplevert voor de bescherming van persoonsgegevens die Blue Feniks voor de opdrachtgever verwerkt, dan wordt opdrachtgever hiervan onmiddellijk, doch uiterlijk 48 uur nadat verwerker het datalek heeft ontdekt, op de hoogte gesteld.
    Blue Feniks zal de opdrachtgever vervolgens informeren over:
    ● De aard van het datalek
    ● De soort en het aantal persoonsgegevens dat betrokken is bij het datalek
    ● De maatregelen die Blue Feniks al heeft getroffen om het datalek op te lossen en/of om de gevolgen en eventuele schade zo veel mogelijk te beperken.
    Het is voorbehouden aan de opdrachtgever van Blue Feniks om eventueel een melding te maken van het datalek aan de Autoriteit Persoonsgegevens. Blue Feniks doet dit niet zelf, omdat opdrachtgever verantwoordelijk is voor de wettelijke verplichtingen in dit kader.

    Deel 2: Standaardclausules voor verwerkingen
    Versie: augustus 2022
    Vormt samen met de Privacy Verklaring de verwerkersovereenkomst en is een bijlage bij de Overeenkomst en de daarbij behorende bijlagen zoals toepasselijke algemene voorwaarden.
  17. Artikel 1. Definities
    Onderstaande begrippen hebben in deze Standaardclausules voor verwerkingen, in het Data Pro Statement en in de overeenkomst de volgende betekenis:

    1.1. Autoriteit Persoonsgegevens (AP): toezichthoudende autoriteit, zoals omschreven in artikel 4, sub 21 AVG.
    1.2. AVG: de Algemene verordening gegevensbescherming.
    1.3. Data Processor: partij die als ICT-leverancier in het kader van de uitvoering van de Overeenkomst als verwerker Persoonsgegevens verwerkt ten behoeve van diens Opdrachtgever.
    1.4. Data Pro Statement: statement van Data Processor waarin hij onder andere informatie geeft met betrekking tot het beoogd gebruik van zijn product of dienst, getroffen beveiligingsmaatregelen, sub-processors, datalekken, certificeringen en omgang met rechten van Data subjects.
    1.5. Data subject (betrokkene): een geïdentificeerde of identificeerbare natuurlijke persoon.
    1.6. Opdrachtgever: partij in wiens opdracht Data Processor persoonsgegevens verwerkt. De Opdrachtgever kan zowel verwerkingsverantwoordelijke (“controller”) zijn als een andere verwerker.
    1.7. Overeenkomst: de tussen Opdrachtgever en Data Processor geldende overeenkomst, op basis waarvan de ICT-leverancier diensten en/of producten levert aan Opdrachtgever, waarvan de verwerkersovereenkomst onderdeel vormt.
    1.8. Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon, zoals omschreven in artikel 4, sub 1 AVG, die Data Processor in het kader van de uitvoering van zijn verplichtingen voortvloeiende uit de Overeenkomst verwerkt.
    1.9. Verwerkersovereenkomst: deze Standaardclausules voor verwerkingen, die tezamen met het Data Pro Statement (of vergelijkbare informatie) van Data Processor de verwerkersovereenkomst vormen als bedoeld in artikel 28, lid 3 AVG.
  18. Artikel 2. Algemeen
    2.1. Deze Standaardclausules voor verwerkingen zijn van toepassing op alle verwerkingen van Persoonsgegevens
    die Data Processor doet in het kader van de levering van zijn producten en diensten en op alle
    Overeenkomsten en aanbiedingen. De toepasselijkheid van verwerkersovereenkomsten van Opdrachtgever wordt uitdrukkelijk van de hand gewezen.
    2.2. De Privacy Verklaring, en met name de daarin opgenomen beveiligingsmaatregelen, kan van tijd tot tijd door Data Processor worden aangepast aan veranderende omstandigheden. Data Processor zal Opdrachtgever van significante aanpassingen op de hoogte stellen. Indien Opdrachtgever in redelijkheid niet akkoord kan gaan met de aanpassingen, is Opdrachtgever gerechtigd binnen 30 dagen na kennisgeving van de aanpassingen de verwerkersovereenkomst schriftelijk gemotiveerd op te zeggen.
    2.3. Blue Feniks verwerkt de Persoonsgegevens namens en in opdracht van Opdrachtgever overeenkomstig de met Data Processor overeengekomen schriftelijke instructies van Opdrachtgever.
    2.4. Opdrachtgever, dan wel diens klant, is de verwerkingsverantwoordelijke in de zin van de AVG, heeft de zeggenschap over de verwerking van de Persoonsgegevens en heeft het doel van en de middelen voor de verwerking van de Persoonsgegevens vastgesteld.
    2.5. Blue Feniks is verwerker in de zin van de AVG en heeft daarom geen zeggenschap over het doel van en de middelen voor de verwerking van de Persoonsgegevens en neemt derhalve geen beslissingen over onder meer het gebruik van de Persoonsgegevens.
    2.6. Blue Feniks geeft uitvoering aan de AVG zoals neergelegd in deze Standaardclausules voor verwerkingen, het Data Pro Statement en de Overeenkomst. Het is aan Opdrachtgever om op basis van deze informatie te beoordelen of Data Processor afdoende garanties biedt met betrekking tot het toepassen van passende technische en organisatorische maatregelen opdat de verwerking aan de vereisten van de AVG voldoet en de bescherming van de rechten van Data subjects voldoende zijn gewaarborgd.
    2.7. Opdrachtgever staat er tegenover Blue Feniks voor in dat hij conform de AVG handelt, dat hij zijn systemen en infrastructuur te allen tijde adequaat beveiligt en dat de inhoud, het gebruik en/of de verwerking van de Persoonsgegevens niet onrechtmatig zijn en geen inbreuk maken op enig recht van een derde.
    2.8. Een aan Opdrachtgever door de AP opgelegde bestuurlijke boete kan niet worden verhaald op Blue Feniks.
  19. Artikel 3. Beveiliging
    3.1. Blue Feniks treft de technische en organisatorische beveiligingsmaatregelen, zoals omschreven in zijn Privacy Verklaring. Bij het treffen van de technische en organisatorische beveiligingsmaatregelen heeft Data Processor rekening gehouden met de stand van de techniek, de uitvoeringskosten van de beveiligingsmaatregelen, de aard, omvang en de context van de verwerkingen, de doeleinden en het beoogd gebruik van zijn producten en diensten, de verwerkingsrisico’s en de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van Data subjects die hij gezien het beoogd gebruik van zijn producten en diensten mocht verwachten.
    3.2. Tenzij expliciet anders vermeld in de Privacy Verklaring, is het product of de dienst van Data Processor niet ingericht op de verwerking van bijzondere categorieën van Persoonsgegevens of gegevens betreffende strafrechtelijke veroordelingen of strafbare feiten of door de overheid uitgegeven persoonsnummers.
    3.3. Data Processor streeft ernaar dat de door hem te treffen beveiligingsmaatregelen passend zijn voor het door Data Processor beoogde gebruik van het product of de dienst.
    3.4. De omschreven beveiligingsmaatregelen bieden, naar het oordeel van de Opdrachtgever, rekening houdend met de in artikel 3.1 genoemde factoren een op het risico van de verwerking van de door hem gebruikte of verstrekte Persoonsgegevens afgestemd beveiligingsniveau.
    3.5. Data Processor kan wijzigingen aanbrengen in de getroffen beveiligingsmaatregelen indien dat naar zijn oordeel noodzakelijk is om een passend beveiligingsniveau te blijven bieden. Data Processor zal belangrijke wijzigingen vastleggen, bijvoorbeeld in een aangepaste Privacy Verklaring, en zal Opdrachtgever waar relevant van die wijzigingen op de hoogte stellen.
    3.6. Opdrachtgever kan Data Processor verzoeken nadere beveiligingsmaatregelen te treffen. Data Processor is niet verplicht om op een dergelijk verzoek wijzigingen door te voeren in zijn beveiligingsmaatregelen. Data Processor kan de kosten verband houdende met de op verzoek van Opdrachtgever doorgevoerde wijzigingen in rekening brengen bij Opdrachtgever. Pas nadat de door Opdrachtgever gewenste gewijzigde beveiligingsmaatregelen schriftelijk zijn overeengekomen en ondertekend door Partijen, heeft Data Processor de verplichting deze beveiligingsmaatregelen daadwerkelijk te implementeren.
  20. Artikel 4. Inbreuken in verband met Persoonsgegevens
    4.1. Data Processor staat er niet voor in dat de beveiligingsmaatregelen onder alle omstandigheden doeltreffend zijn. Indien Data Processor een inbreuk in verband met Persoonsgegevens (zoals bedoeld in artikel 4 sub 12 AVG) ontdekt, zal hij Opdrachtgever zonder onredelijke vertraging informeren. In het Data Pro Statement (onder datalekkenprotocol) is vastgelegd op welke wijze Data Processor Opdrachtgever informeert over inbreuken in verband met Persoonsgegevens.
    4.2. Het is aan de verwerkingsverantwoordelijke (Opdrachtgever, of diens klant) om te beoordelen of de inbreuk in verband met Persoonsgegevens waarover Data Processor heeft geïnformeerd gemeld moet worden aan de AP of Data subject. Het melden van inbreuken in verband met Persoonsgegevens, die op grond van artikel 33 en 34 AVG moeten worden gemeld aan de AP en/of Data subjects, blijft te allen tijde de verantwoordelijkheid van de verwerkingsverantwoordelijke (Opdrachtgever of diens klant). Data Processor is niet verplicht tot het melden van inbreuken in verband met persoonsgegevens aan de AP en/of de Betrokkene.
    4.3. Data Processor zal, indien nodig, nadere informatie verstrekken over de inbreuk in verband met
    Persoonsgegevens en zal zijn medewerking verlenen aan noodzakelijke informatievoorziening aan
    Opdrachtgever ten behoeve van een melding als bedoeld in artikel 33 en 34 AVG.
    4.4. Data Processor kan de redelijke kosten die hij in dit kader maakt in rekening brengen bij Opdrachtgever tegen zijn dan geldende tarieven.
  21. Artikel 5. Geheimhouding
    5.1. Data Processor waarborgt dat de personen die onder zijn verantwoordelijkheid Persoonsgegevens verwerken een geheimhoudingsplicht hebben.
    5.2. Data Processor is gerechtigd de Persoonsgegevens te verstrekken aan derden, indien en voor zover verstrekking noodzakelijk is ingevolge een rechterlijke uitspraak, een wettelijk voorschrift of op basis van een bevoegd gegeven bevel van een overheidsinstantie.
    5.3. Alle door Data Processor aan Opdrachtgever verstrekte toegangs- en/of identificatiecodes, certificaten, informatie omtrent toegangs- en/of wachtwoordenbeleid en alle door Data Processor aan Opdrachtgever verstrekte informatie die invulling geeft aan de in het Data Pro Statement opgenomen technische en organisatorische beveiligingsmaatregelen zijn vertrouwelijk en zullen door Opdrachtgever als zodanig worden behandeld en slechts aan geautoriseerde medewerkers van Opdrachtgever kenbaar worden gemaakt. Opdrachtgever ziet erop toe dat zijn medewerkers de verplichtingen uit dit artikel naleven.
  22. Artikel 6. Looptijd en beëindiging
    6.1. Deze verwerkersovereenkomst maakt onderdeel uit van de Overeenkomst en iedere daaruit voortkomende nieuwe of nadere overeenkomst, treedt in werking op het moment van totstandkoming van de Overeenkomst en wordt gesloten voor onbepaalde tijd.
    6.2. Deze verwerkersovereenkomst eindigt van rechtswege bij beëindiging van de Overeenkomst of enige nieuwe of nadere overeenkomst tussen partijen.
    6.3. Data Processor zal, in geval van einde van de verwerkersovereenkomst, alle onder zich zijnde en van Opdrachtgever ontvangen Persoonsgegevens binnen de in het Data Pro Statement opgenomen termijn verwijderen op zodanige wijze dat deze niet langer kunnen worden gebruikt en niet langer toegankelijk zijn (render inaccessible), of, indien overeengekomen, in een machine leesbaar formaat terugbezorgen aan Opdrachtgever.
    6.4. Data Processor kan eventuele kosten die hij maakt in het kader van het in artikel 6.3 gestelde in rekening brengen bij Opdrachtgever. Hierover kunnen nadere afspraken worden neergelegd in het Data Pro Statement.
    6.5. Het bepaalde in artikel 6.3 geldt niet indien een wettelijke regeling het geheel of gedeeltelijk verwijderen of terugbezorgen van de Persoonsgegevens door Data Processor belet. In een dergelijk geval zal Data Processor de Persoonsgegevens enkel blijven verwerken voor zover noodzakelijk uit hoofde van zijn wettelijke verplichtingen. Het bepaalde in artikel 6.3 geldt eveneens niet indien Data Processor verwerkingsverantwoordelijke in de zin van de AVG is ten aanzien van de Persoonsgegevens.
  23. Artikel 7. Rechten
    Data subjects, Data Protection Impact Assessment (DPIA) en Auditrechten
    7.1. Data Processor zal, waar mogelijk, zijn medewerking verlenen aan redelijke verzoeken van Opdrachtgever die verband houden met bij Opdrachtgever door Data subjects ingeroepen rechten van Data subjects. Indien Data Processor direct door een Data subject wordt benaderd, zal hij deze waar mogelijk doorverwijzen naar Opdrachtgever.
    7.2. Indien Opdrachtgever daartoe verplicht is, zal Data Processor na een daartoe redelijk gegeven verzoek zijn medewerking verlenen aan een gegevensbeschermingseffectbeoordeling (DPIA) of een daarop volgende voorafgaande raadpleging zoals bedoeld in artikel 35 en 36 AVG.
    7.3. Data Processor zal zijn medewerking verlenen aan verzoeken van Opdrachtgever tot het verwijderen van persoonsgegevens voor zover Opdrachtgever dit niet zelf kan uitvoeren.
    7.4. Data Processor kan desgewenst de naleving van zijn verplichtingen op grond van de verwerkersovereenkomst aantonen door middel van een geldig Data Pro Certificaat of een daaraan ten minste gelijkwaardig certificaat of auditrapport (Third Party Memorandum) van een onafhankelijke, deskundige, indien hij over een dergelijk certificaat of auditrapport beschikt.
    7.5. Data Processor zal daarnaast op verzoek van Opdrachtgever alle verdere informatie ter beschikking stellen die in redelijkheid nodig is om nakoming van de in deze verwerkersovereenkomst gemaakte afspraken aan te tonen. Indien Opdrachtgever desondanks aanleiding heeft aan te nemen dat de verwerking van Persoonsgegevens niet conform de verwerkersovereenkomst plaatsvindt, dan kan hij maximaal éénmaal per jaar door een onafhankelijke, gecertificeerde, externe deskundige die aantoonbaar ervaring heeft met het
    soort verwerkingen dat op basis van de Overeenkomst wordt uitgevoerd, op kosten van de Opdrachtgever hiernaar een audit laten uitvoeren. De audit zal beperkt zijn tot het controleren van de naleving van de afspraken met betrekking tot verwerking van de Persoonsgegevens zoals neergelegd in deze Verwerkersovereenkomst. De deskundige zal een geheimhoudingsplicht hebben ten aanzien van hetgeen hij aantreft en zal alleen datgene rapporteren aan Opdrachtgever dat een tekortkoming oplevert in de nakoming van verplichtingen die Data Processor heeft op grond van deze verwerkersovereenkomst. De deskundige zal een afschrift van zijn rapport aan Data Processor verstrekken. Data Processor kan een audit of instructie van de deskundige weigeren indien deze naar zijn mening in strijd is met de AVG of andere wetgeving of een ontoelaatbare inbreuk vormt op de door hem getroffen beveiligingsmaatregelen.
    7.6. Partijen zullen zo snel mogelijk in overleg treden over de uitkomsten in het rapport. Partijen zullen de voorgestelde verbetermaatregelen die in het rapport zijn neergelegd opvolgen voor zover dat van hen in redelijkheid kan worden verwacht. Data Processor zal de voorgestelde verbetermaatregelen doorvoeren voor zover deze naar zijn oordeel passend zijn rekening houdend met de verwerkingsrisico’s verbonden aan zijn product of dienst, de stand van de techniek, de uitvoeringskosten, de markt waarin hij opereert, en het beoogd gebruik van het product of de dienst.
    7.7. Data Processor heeft het recht om de kosten die hij maakt in het kader van het in dit artikel gestelde in rekening te brengen bij Opdrachtgever.
  24. Artikel 8. Sub-Processors
    8.1. Data Processor heeft in het Data Pro Statement vermeld of, en zo ja welke derde partijen (sub-processors of subverwerkers) Data Processor inschakelt bij de verwerking van de Persoonsgegevens.
    8.2. Opdrachtgever geeft toestemming aan Data Processor om andere sub-processors in te schakelen ter uitvoering van zijn verplichtingen voortvloeiende uit de Overeenkomst.
    8.3. Data Processor zal Opdrachtgever informeren over een wijziging in de door de Data Processor ingeschakelde derde partijen bijvoorbeeld middels een aangepaste Privacy Verklaring. Opdrachtgever heeft het recht bezwaar te maken tegen voornoemde wijziging door Data Processor. Data Processor draagt ervoor zorg dat de door hem ingeschakelde derde partijen zich aan eenzelfde beveiligingsniveau committeren ten aanzien van de bescherming van de Persoonsgegevens als het beveiligingsniveau waaraan Data Processor jegens Opdrachtgever is gebonden op grond van de Privacy Verklaring.
  25. Artikel 9. Overig
    Deze Standaardclausules voor verwerkingen vormen tezamen met de Privacy Verklaring een integraal onderdeel van de Overeenkomst. Alle rechten en verplichtingen uit de Overeenkomst, waaronder begrepen de van toepassing zijnde algemene voorwaarden en/of beperkingen van aansprakelijkheid, zijn derhalve ook van toepassing op de verwerkersovereenkomst.
×

 

Hallo!

Waar kan ik je mee van dienst zijn?

× Hoe kan ik je helpen?