Verwerkersovereenkomst


Verwerkersovereenkomst 2018

Inhoud

  1. Definities
  2. Totstandkoming, duur en beëindiging van deze verwerkersovereenkomst
  3. Verwerken persoonsgegevens
  4. Beveiligen van persoonsgegevens
  5. Exporteren persoonsgegevens
  6. Geheimhouding
  7. Datalekken
  8. Aansprakelijkheid
  9. Teruggave persoonsgegevens en bewaartermijn
  10. Slotbepalingen.

Bijlage 1: Overzicht met verwerkingen van persoonsgegevens en verwerkingsdoelen

Bijlage 2: Overzicht met beveiligingsmaatregelen

Bijlage 3: Proces bij het melden van datalekken en de te verstrekken informatie.

Verwerkersovereenkomst

Deze verwerkersovereenkomst is van toepassing op alle vormen van verwerking van persoonsgegevens die Highbiza, merk en organisatie gekoppeld aan UWKM/Highbeat BV, ingeschreven bij de Kamer van Koophandel onder nummer 08167443, hierna te noemen ‘gegevensverwerker’, uitvoert ten behoeve van een wederpartij aan wie zij diensten levert, hierna te noemen ‘gegevensverantwoordelijke’, en maakt, evenals de algemene voorwaarden, integraal onderdeel uit van iedere overeenkomst tussen Highbiza en haar wederpartij. Gegevensverwerker en gegevensverantwoordelijke worden hierna gezamenlijk aangeduid als ‘partijen’.

Overwegende dat:

Partijen een overeenkomst met betrekking tot het leveren van digitale diensten gesloten hebben. Ter uitvoering van deze overeenkomst worden persoonsgegevens verwerkt.

Gegevensverantwoordelijke hecht grote waarde aan het beschermen van persoonsgegevens, reden waarom in deze verwerkersbijeenkomst een aantal afspraken daaromtrent is vastgelegd.

1. Definities

De hierna en hiervoor gebruikte begrippen volgen uit de Algemene Verordening Gegevensbescherming en hebben de volgende betekenis:

2. Totstandkoming, duur en beëindiging van deze verwerkersovereenkomst

3. Verwerken persoonsgegevens

4. Beveiligen van persoonsgegevens

5. Exporteren persoonsgegevens

6. Geheimhouding

7. Datalekken

8. Aansprakelijkheid

9. Teruggave persoonsgegevens en bewaartermijn

10. Slotbepalingen

Deventer, 3 juli 2018.

Bijlage 1: Overzicht verwerkingen persoonsgegevens en verwerkingsdoelen

Beschrijving verwerkingsactiviteiten door verwerker

  • Het optreden als digitale adviseur en toeleverancier voor klanten in de breedste zin des woords
  • Inclusief het bouwen van websites en apps, inclusief webapplicaties zoals configuratoren, e-learnings, e-commerce systemen, dataontsluitingssystemen, middleware enz.
  • Het hosten, beheren, onderhouden en monitoren van deze sites, apps en webapplicaties.

Verwerkingsdoelen

  • Het technisch en inhoudelijk laten functioneren van de digitale oplossingen voor klanten.

Verwerkingsverantwoordelijke

  • Highbiza, de heer Geert Jan Hoogeslag, directeur.

Verwerkte Persoonsgegevens

  • Verwerkt worden alle gegevens waarom opdrachtgever vraagt, en/of die noodzakelijk zijn voor de verwerkingsactiviteiten en/of verwerkingsdoelen.

Locatie verwerkingen

  • In de regel wordt gewerkt vanuit Deventer, of andere plaatsen van waaruit medewerkers of toeleveranciers actief zijn.

Bewaartermijn

  • De gegevens worden bewaard zolang dat noodzakelijk is voor bedrijfstechnische en/of organisatorische redenen, en/of de uitvoering van (te verwachten) werkzaamheden voor de klant.

Bijlage 2: Overzicht met beveiligingsmaatregelen

Technische beveiligingsmaatregelen

  • Werken met state-of-the-art frameworks, zoals Django Python en Oscar
  • Werken vanuit repository systemen met pull requests
  • Beveiligde internetverbindingen
  • SSL-certificaten
  • Beveiligde backups: ieder uur, elke dag, met een retentie van een maand op gesepareerde omgevingen van live
  • Unieke inlogcodes en wachtwoorden (die regelmatig worden aangepast)
  • Versleutelde email
  • Two-factor authenticatiesysteem voor toegang passwords met htaccess en of Google authenticator app
  • Ondersteuning van versleutelingsmethoden als SHA2
  • Ping systeem voor uptime (iedere 2 minuten een check) met feedbackmelding welke type downtime er is indien van toepassing, zoals ssl error, server error etc.
  • Mogelijkheden voor zowel dedicated hosting als shared hosting.

Organisatorische beveiligingsmaatregelen

  • Clean desk policy
  • Geen onbemande computers
  • Computers vergrendeld op username en password
  • Privacybepaling in contracten van medewerkers
  • Ontzeggen toegang tot systemen bij vertrek medewerkers.

Bijlage 3: Proces van melden van datalekken en de te verstrekken informatie

Een datalek is een beveiligingsincident waarbij persoonsgegevens mogelijk verloren zijn gegaan of onbedoeld toegankelijk waren voor derden. Het gaat om gegevens die te koppelen zijn aan deze personen, zoals, maar niet beperkt tot, namen, adressen, telefoonnummers, e-mailadressen, login gegevens, cookies, IP-adressen of identificerende gegevens van computers of telefoons.

Waar wordt een beveiligingsincident gemeld?

Als Highbiza een beveiligingsincident ontdekt, wordt direct contact opgenomen met de betrokken functionaris van de opdrachtgever.

De informatie die hierbij zoveel als mogelijk is, zal worden gemeld, ook ten behoeve van de Autoriteit Persoonsgegevens:

  • Een samenvatting van het beveiligingslek/beveiligingsincident/datalek (wat is er gebeurd?)
    • Met ook de naam/namen van de betrokken systemen.
  • De typen persoonsgegevens die zijn betrokken bij het beveiligingsincident
    • Zoals, maar niet beperkt tot, naam, adres, e-mailadres, IP-nummer, burgerservicenummer, pasfoto en ieder ander tot een persoon te herleiden gegeven.
  • Het aantal personen van wie de persoonsgegevens betrokken zijn bij het beveiligingsincident
    • Een inschatting van het minimum en maximum aantal personen.
  • Omschrijving van de groep personen om wiens gegevens het gaat
    • Mogelijke afbakening van de betrokken groep, met bijzondere aandacht voor gegevens van kwetsbare (groepen van) personen.
  • Het al dan niet bekend zijn van de contactgegevens van de betrokken personen
    • De mogelijkheid om betrokkenen te informeren over het datalek.
  • De oorzaak (root cause) van het beveiligingsincident
    • Inschatting van de oorzaak van het beveiligingsincident.
  • De datum of periode waarop/waarin het beveiligingsincident plaatsvond.