Verwerkersovereenkomst TTI SI Consultant2018-05-25T10:59:06+00:00

Verwerkersovereenkomst

in de zin van de Algemene Verordening Gegevensbescherming (AVG)

aangegaan tussen

[NAAM BOVENSTAANDE ORGANISATIE/KLANT]

(VERWERKINGSVERANTWOORDELIJKE)

 

enerzijds

en

 

TTI Success Insights Benelux

Laan van Vlaanderen 323

1066 WB AMSTERDAM

(VERWERKER)

anderzijds

 

1. Definities

1.1 In deze overeenkomst hebben de hierna genoemde termen de vermelde betekenis en verwante termen moeten dienovereenkomstig worden uitgelegd:

  • 1.1.1 “TTISI”: TTI Success Insights Benelux;
  • 1.1.2 “VAA”: Organisatie/Klant die de diensten en producten afneemt van TTISI;
  • 1.1.3 “VAA Persoonsgegevens”: alle Persoonsgegevens verwerkt door de Verwerker van en namens de VAA;
  • 1.1.4 “Verwerkingsverantwoordelijke”: VAA;
  • 1.1.5 “Verwerker”: TTISI of een Subverwerker;
  • 1.1.6 “Subverwerker”: een ieder (inclusief een derde partij, maar exclusief een medewerker van TTISI) die is aangesteld door of namens TTISI om Persoonsgegevens van en namens de VAA te verwerken;
  • 1.1.7 “Betrokkene”: degene op wie een Persoonsgegeven betrekking heeft;
  • 1.1.8 “AVG”: Algemene Verordening Gegevensbescherming (AVG) 2016/679;
  • 1.1.9 “Diensten”: de diensten en andere activiteiten die moeten worden geleverd aan of worden uitgevoerd door of namens TTISI voor VAA;
  • 1.1.10 “Verwijderen”: het verwijderen of wissen van persoonlijke gegevens zodat het niet kan worden hersteld of kan worden gereconstrueerd;
  • 1.1.11 “Van Toepassing Zijnde Wetgeving”: (a) wetgeving van de Europese Unie of de lidstaten met betrekking tot Persoonsgegevens waarbij VAA is onderworpen aan EU-wetgeving inzake Persoonsgegevensbescherming; en (b) enige andere toepasselijke wet met betrekking tot VAA Persoonsgegevens waarvoor VAA is onderworpen aan andere Persoonsgegevensbeschermingswetten;
  • 1.1.12 De genoemde termen in deze overeenkomst hebben dezelfde betekenis als in de AVG en hun verwante termen zullen overeenkomstig worden uitgelegd.

2. Verwerken van Persoonsgegevens

2.1 Beide partijen erkennen en accepteren dat, met betrekking tot het verwerken van Persoonsgegevens, de VAA optreedt als Verwerkingsverantwoordelijke en TTISI als Verwerker.

2.2 TTISI zal:

  • 2.2.1 voldoen aan alle van toepassing zijnde wetgeving met betrekking tot het verwerken van Persoonsgegevens van en namens de VAA.
  • 2.2.2 geen Persoonsgegevens verwerken anders dan wat van te voren is afgesproken tenzij dit noodzakelijk is vanuit wetgeving waaraan de Verwerker onderhevig is. In dat geval zal TTISI, zover wettelijk toegestaan, de VAA informeren over dit wettelijke vereiste alvorens te zullen overgaan tot het verwerken van die Persoonsgegevens.

2.3 De VAA:

  • 2.3.1 verzoekt TTISI om Persoonsgegevens van en namens VAA te verwerken; en waar nodig, de Persoonsgegevens te transporteren zover redelijkerwijs noodzakelijk om de gevraagde diensten en service te realiseren.
  • 2.3.2 verklaart en garandeert dat zij op elk gegeven moment bevoegd is om de instructies te geven zoals gemeld in 2.3.1

2.4 De volgende Persoonsgegevens worden verwerkt:

  • 2.4.1 Van de Betrokkene:
    • Naam en voorna(a)m(en)
    • Bedrijfsnaam en functie
    • E-mailadres
    • Geslacht
    • IP Adres
    • Ingevulde vragenlijst
    • Analyse/rapport
  • 2.4.2.1 Van de VAA:
    • Naam en voorna(a)m(en)
    • Geslacht
    • Bedrijfsnaam en functie
    • Adres(sen)
    • Telefoonnummer(s)
    • E-mailadres(sen)
    • TTI SI Certificatie
  • 2.4.3 De Verwerking houdt het volgende in:
    • Invoeren/registreren van eerder genoemde gegevens van de VAA
    • Invoeren/registreren van eerder genoemde gegevens van de Betrokkene inclusief de beantwoording van de vragen via ons online analyse systeem (IDS)
    • Aanmaken en versturen van codes in ons online analyse systeem (IDS)
    • Volautomatische evaluatie van de gegeven antwoorden via ons online analyse systeem (IDS)
    • Aanmaken van een analyse/rapport van de Betrokkene
    • Doorgeven van de analyse/rapport van de Betrokkene aan de VAA en/of Betrokkene en het opslaan van de data op onze beveiligde server (locatie Nederland; Haarlem)
    • Op verzoek resultaten bespreken met VAA
    • Certificeren en Trainen van VAA
    • Versturen van informatie, facturen ed aan VAA
  • 2.4.4  Zie ook onze actuele Privacy Statement zoals te vinden op onze website ttisuccessinsights.nl voor de volledigheid met betrekking tot de genoemde punten onder 2.4.1, 2.4.2 en 2.4.3.

3. TTISI Personeel

TTISI zal al het redelijke doen om de betrouwbaarheid te garanderen van elke medewerker en/of Subverwerker zover deze toegang hebben en/of nodig hebben tot de te verwerken Persoonsgegevens. De medewerkers van TTISI zijn allen onderworpen aan hun afgelegde vertrouwelijkheidsverklaring en geheimhoudingsplicht.

4. Beveiligingsmaatregelen

4.1 Rekening houdend met de techniek, de uitvoeringskosten, de aard, de omvang, de context en het doel van de Verwerking, en de qua waarschijnlijkheid en ernst van de uiteenlopende risico’s voor de rechten en vrijheden van natuurlijke personen, zal TTISI met betrekking tot de Persoonsgegevens alle noodzakelijke, passende, technische en organisatorische maatregelen nemen om het beveiligings-
niveau te waarborgen dat overeenkomt, met de maatregelen als bedoeld in artikel 32, lid 1, van de AVG.
Zie voor verdere details https://online.ttisuccessinsights.nl/information-security-policy/

4.2 Bij het beoordelen van het juiste beveiligingsniveau houdt TTISI met name rekening met de risico’s die zijn verbonden aan Verwerking, vooral van een mogelijk datalek van de Persoonsgegevens.

5. Subverwerking

5.1 VAA staat TTISI toe om Subverwerkers aan te stellen en verleent aangestelde Subverwerkers ook in overeenstemming met dit artikel 5 hetzelfde te doen.

5.2 TTISI kan de Subverwerkers die al reeds door TTISI zijn ingeschakeld, blijven gebruiken op de datum van deze overeenkomst, zover deze voldoen aan de verplichtingen uiteengezet in sectie 5.4.

5.3 TTISI zal VAA vooraf informeren van de aanstelling van een nieuwe Subverwerker, inclusief alle details van de Verwerking die door de Subverwerker moet worden uitgevoerd. Als, binnen tien werkdagen na ontvangst van deze kennisgeving, de VAA TTISI schriftelijk op de hoogte brengt van eventuele bezwaren (op redelijke gronden) dan:

  • 5.3.1 kan TTISI met VAA beschouwen of er een mogelijkheid bestaat om de te leveren diensten te kunnen leveren zonder het gebruik van de voorgestelde Subverwerker. Dit dient commercieel gezien ook redelijk toepasbaar te zijn.
  • 5.3.2 Indien een dergelijke wijziging niet binnen tien werkdagen na ontvangst van de kennisgeving van VAA door TTISI kan worden doorgevoerd, kan VAA met onmiddellijke ingang de samenwerking beëindigen voor zover dat het betrekking heeft op de diensten waarvoor het gebruik van de voorgestelde Subverwerker vereist is.

5.4 Met betrekking tot elke Subverwerker zal TTISI:

  • 5.4.1 voordat de Subverwerker voor het eerst de Persoonsgegevens verwerkt (of, waar relevant, in overeenstemming met sectie 5.2), voldoende gepaste zorgvuldigheid in acht nemen om ervoor te zorgen dat de Subverwerker in staat is het juiste beschermingsniveau te bieden;
  • 5.4.2 zorgen voor de afspraak tussen enerzijds TTISI en de relevante Subverwerker. De Subverwerker is onderworpen aan een schriftelijke overeenkomst met voorwaarden die ten minste hetzelfde beschermingsniveau bieden voor Persoonsgegevens als die uiteengezet zijn in deze overeenkomst en voldoen aan de vereisten van artikel 28 (3) van de AVG;

5.5 TTISI zal ervoor zorgen dat elke Subverwerker de verplichtingen nakomt die van toepassing zijn op de Verwerking van Persoonsgegevens die door die Subverwerker worden uitgevoerd, alsof hij Verwerker zou zijn in plaats van TTISI.

6. Rechten van de Betrokkene

6.1 Rekening houdend met de aard van de Verwerking, zal TTISI, zover redelijk en mogelijk, de VAA helpen middels het implementeren van technische en organisatorische maatregelen om zodoende de VAA te kunnen laten voldoen aan hun verplichtingen vanuit de AVG om verzoeken met betrekking tot Persoonsgegevens, die zij ontvangt van de Betrokkene zoals inzien, wijzigen, opvragen en verwijderen, te kunnen verwerken. Zie gdpr.sisurvey.eu

6.2 TTISI zal:

  • 6.2.1 de VAA onmiddellijk op de hoogte stellen als zij of de Subverwerker een verzoek van een Betrokkene ontvangt op grond van de AVG met betrekking tot Persoonsgegevens; en
  • 6.2.2 ervoor zorgen dat zij of de Subverwerker het verzoek zal uitvoeren op basis van de instructies van VAA tenzij er wetgeving van toepassing is waaraan de (Sub)Verwerker is onderworpen, in welk geval TTISI, voor zover toegestaan door van toepassing zijnde wetgeving, de VAA informeert met betrekking tot dit wettelijke vereiste voordat de (Sub)Verwerker het verzoek uitvoert.

7. Schending van Persoonsgegevens – Datalek

7.1 TTISI zal VAA onverwijld op de hoogte brengen wanneer TTISI en/of een Subverwerker op de hoogte is van een schending van de Persoonsgegevens (datalek). De VAA zal, als Verwerkingsverantwoordelijke, voldoende informatie van de Verwerker krijgen om aan haar plicht te kunnen voldoen om alle meldings- of informatie vereisten op grond van de AVG na te komen en te bepalen, aan de hand van haar interne procedure meldplicht datalekken, of het datalek moet worden gemeld aan de Autoriteit Persoonsgegevens en/of Betrokkene volgens art 33 AVG.

7.2 TTISI zal binnen het redelijke samenwerken met VAA om te assisteren bij het onderzoeken, informeren, beperken en verhelpen zowel nu als in de toekomst van een dergelijke datalek.

8. Bewaartermijn

Voor de Persoonsgegevens die ten behoeve van Verwerkingsverantwoordelijke in het kader van deze overeenkomst verwerkt worden door Verwerker geldt een bewaartermijn van maximaal 5 jaar. Verwerker zal de Persoonsgegevens niet langer bewaren dan overeenkomstig deze bewaartermijn. Indien de Verwerkingsverantwoordelijke een kortere termijn wil hanteren is dat ook mogelijk. Dit zal schriftelijk aan TTISI moeten worden doorgegeven. Ook kan de Betrokkene op elk gegeven moment zijn data laten verwijderen via gdpr.sisurvey.eu. Wij zullen maximaal 30 dagen hanteren om dit verzoek uit te voeren.

9. Verwijderen en/of beschikbaar stellen van Persoonsgegevens

9.1 Behoudens de paragrafen 9.2 en 9.3 dient TTISI, binnen dertig dagen na de datum waarop het verzoek van Betrokkene tot het verwijderen en/of beschikbaar stellen van Persoonsgegevens is ontvangen, alle Persoonsgegevens te verwijderen en/of de aanwezige Persoonsgegevens beschikbaar te stellen aan de Betrokkene. De Betrokkene kan zijn verzoek hiertoe doen via gdpr.sisurvey.eu.

9.2 de VAA kan door een schriftelijk verzoek aan TTISI te sturen TTISI verplichten (a) een volledige kopie van alle Persoonsgegevens van de VAA aan de VAA terug te bezorgen door een veilige bestandsoverdracht in een formaat dat door VAA wordt meegedeeld aan TTISI; en (b) te zorgen voor verwijdering van alle andere exemplaren van de Persoonsgegevens van de VAA die door een TTISI en/of een Subverwerker zijn verwerkt. TTISI zal binnen dertig dagen voldoen aan een dergelijk schriftelijk verzoek.

9.3 De (Sub)Verwerker zal VAA Persoonsgegevens bewaren voor zover vereist door van toepassing zijnde wetgeving en alleen voor zolang als vereist door de van toepassing zijnde wetgeving op voorwaarde dat TTISI de vertrouwelijkheid van al deze VAA Persoonsgegevens garandeert en ervoor zorgt dat dergelijke VAA Persoonsgegevens alleen worden verwerkt noodzakelijk voor het doel (de doeleinden) zoals gespecificeerd in de van toepassing zijnde wetgeving die de opslag ervan vereisen en uitsluitend voor dat doel.

9.4 Indien van toepassing zal TTISI de VAA binnen dertig dagen bevestigen dat het volledig heeft voldaan aan artikel 9 van deze overeenkomst.

10. Data Protection Impact Assessment – DPIA

TTISI biedt VAA waar nodig en binnen het redelijke hulp bij eventuele DPIA’s waarvan VAA redelijkerwijs aanneemt dat deze worden vereist door artikel 35 of 36 van de AVG. In elk geval uitsluitend met betrekking tot de Verwerking van Persoonsgegevens van en namens VAA en rekening houdend met de aard van de Verwerking en de informatie waarover de Verwerker en/of Subverwerkers beschikken.

11. Audit Rechten

11.1 Onverminderd sectie 11.2, zal TTISI op verzoek de VAA alle relevante informatie ter beschikking stellen die noodzakelijk is om naleving van deze overeenkomst aan te tonen, en zal meewerken aan audits, inclusief inspecties, door een VAA of een door een VAA gemandateerde controleur wat betreft de verwerking van Persoonsgegevens van en namens de VAA door de (Sub)verwerkers. Eventuele kosten hiertoe zijn voor rekening van de VAA.

11.2 Informatie- en auditrechten van de VAA doen zich alleen voor onder sectie 11.1 voor zover zij anders geen informatie kunnen verkrijgen om te voldoen aan de relevante vereisten van Algemene Verordening Gegevensbescherming (inclusief, waar van toepassing, artikel 28, lid 3, onder h) van de AVG).

12. Algemene Bepalingen

De partijen kunnen:

12.1 Wijzigingen op deze overeenkomst doorvoeren zover die redelijkerwijs noodzakelijk zijn om aan de vereisten van de AVG te voldoen.

12.2 Als een partij melding doet op grond van sectie 12.1, zullen de partijen de voorgestelde wijzigingen beschouwen of deze alternatieve varianten redelijkerwijs uitvoerbaar zijn. Dit voorstel zal schriftelijk moeten plaatsvinden.

12.3 Noch VAA noch TTISI vereisen de toestemming of goedkeuring van een gelieerde onderneming om deze overeenkomst op grond van deze sectie of anderszins te aan te gaan, te wijzigen of te verbreken.

12.4 Mocht een bepaling van deze overeenkomst ongeldig of niet afdwingbaar zijn volgens de AVG, dan blijft de rest van deze overeenkomst geldig en van kracht. De ongeldige of niet afdwingbare bepaling(en) zal (1) zo nodig worden gewijzigd om de geldigheid en afdwingbaarheid ervan te waarborgen, zo dicht mogelijk bij de originele afspraken van de partijen blijven en indien dit niet mogelijk is, (2) de overeenkomst wordt aangepast op een manier alsof de ongeldige of niet-afdwingbare bepaling(en) nooit een onderdeel van de overeenkomst zou(den) zijn geweest.

12.5 Indien Verwerker door enige derde wordt aangesproken met betrekking tot dwangsommen, boetes en/of de vergoeding van schade en deze aanspraak vloeit voort uit het in strijd handelen met de bij of krachtens de AVG gegeven voorschriften en/of het niet-nakomen van, of in strijd handelen met het in deze Verwerkersovereenkomst bepaalde door Verwerkingsverantwoordelijke (voor zover niet ontstaan door eigen werkzaamheid van Verwerker of door haar ingeschakelde derden), zal Verwerkingsverantwoordelijke Verwerker volledig vrijwaren voor alle gevolgen die hieruit voortvloeien en schadeloos stellen.

12.6 Verwerker is verantwoordelijk voor schade of nadeel voor zover ontstaan door werkzaamheden van de Verwerker.

12.7 Op deze Verwerkersovereenkomst en op alle geschillen die daaruit voortvloeien of daarmee samenhangen, is het Nederlands recht van toepassing. De rechter is bevoegd te oordelen over geschillen die verband houden met deze overeenkomst en zal tevens bevoegd zijn om te oordelen over geschillen welke verband houden met deze Verwerkersovereenkomst.

Aldus overeengekomen te Amsterdam,
TTI Success Insights Benelux

  

Handtekening    

Naam                H.A. Kalkman                                     

Functie              Directeur                                         

 

 

 

 

VERWERKERSOVEREENKOMST TEKENEN? KLIK HIER

Yes No
X