Overeenkomst gegevensverwerker
in overeenstemming met GDPR artikel 28
Door en tussen
“Klant”
Gegevensbeheerder
en
Cultuur exploiteren AS
Gegevensverwerker
Culture Exploit AS, Gaustadalléen 21, 0349 Oslo, Noorwegen, Org.nr. 918 415 823, hierna te noemen “CE”, en CE’s filialen erkennen het belang van het beveiligen en beschermen van alle gegevens die van mensen worden verzameld via ons platform en de gerelateerde producten, diensten en andere functionaliteiten die te vinden zijn op www.xientia.com (gezamenlijk het “Platform”).
1. Onderwerp en duur van de verwerking
Deze overeenkomst is van toepassing op de verwerking van persoonsgegevens door Culture Exploit AS als verwerker (hierna te noemen de Verwerker) ten behoeve van Opdrachtgever (hierna te noemen de Verwerkingsverantwoordelijke) in verband met de dienstverleningsovereenkomst tussen beide partijen d.d. xx.xx.xxxx.
Het doel van deze gegevensverwerkersovereenkomst (de Overeenkomst) is het waarborgen van de naleving van de vereisten van de GDPR en het reguleren van de verwerking van persoonsgegevens door de Verwerker namens de Verwerkingsverantwoordelijke, met inbegrip van het verzamelen, vastleggen, afstemmen, opslaan en openbaar maken of een combinatie daarvan.
De Verwerker mag persoonsgegevens verwerken namens de Verwerkingsverantwoordelijke zolang de dienstverleningsovereenkomst tussen de partijen geldig is. In het geval van een schending van deze overeenkomst of de GDPR kan de Controller de Verwerker opdragen de verdere verwerking van de persoonsgegevens met onmiddellijke ingang te staken.
2. De aard en het doel van de verwerking
De Controller heeft met de Verwerker een dienstverleningsovereenkomst gesloten d.d. xx.xx.xxxx, die betrekking heeft op Culturele beoordeling in Culture Exploit.
De dienstverleningsovereenkomst behelst de verwerking van persoonsgegevens door de Verwerker ten behoeve van de Verwerkingsverantwoordelijke. Het doel van de verwerking van persoonsgegevens waarop deze overeenkomst betrekking heeft, is de ontwikkeling van de medewerkers in de organisatie.
3. Thet soort persoonsgegevens en de categorieën betrokkenen
Bij het uitvoeren van de diensten zoals overeengekomen in het Servicecontract, kan de Verwerker persoonsgegevens van naam en e-mailadressen verwerken
De volgende soorten persoonsgegevens kunnen worden verwerkt onder deze Overeenkomst;
OPMERKING: DEZE LIJST IS NIET UITPUTTEND EN MOET WAAR NODIG WORDEN INGEVULD. HET IS OOK MOGELIJK DAT SOMMIGE SOORTEN PERSOONSGEGEVENS NIET VAN TOEPASSING ZIJN OP DEZE OVEREENKOMST EN UIT DE LIJST MOETEN WORDEN VERWIJDERD.
- Naam
- Contactgegevens (e-mail)
- Geboren (jaar)
- Anciënniteit (begonnen te werken voor klant jaar)
4. Verplichtingen en rechten van de verwerkingsverantwoordelijke
De Verwerker mag geen persoonsgegevens verwerken op een andere wijze dan geregeld in deze overeenkomst. De Verwerker verwerkt persoonsgegevens slechts op gedocumenteerde instructie van de Verwerkingsverantwoordelijke, tenzij de wetgeving van de Unie of van een lidstaat waaraan de Verwerker onderworpen is, daartoe verplicht. In een dergelijk geval informeert de Verwerker de Verwerkingsverantwoordelijke over dat wettelijke vereiste alvorens tot verwerking over te gaan, tenzij dat recht dergelijke informatie verbiedt op grond van zwaarwegende redenen van algemeen belang.
De Verwerker is verplicht om de Verwerkingsverantwoordelijke toegang te verlenen tot de schriftelijke technische en organisatorische beveiligingsmaatregelen en om bijstand te verlenen zodat de Verwerkingsverantwoordelijke zijn verantwoordelijkheden op grond van de GDPR kan nakomen.
Tenzij anders overeengekomen of op grond van wettelijke voorschriften, heeft de Verwerkingsverantwoordelijke recht op toegang tot alle persoonsgegevens die door de Verwerker ten behoeve van de Verwerkingsverantwoordelijke worden verwerkt en tot de systemen die daartoe worden gebruikt. De Verwerker zal hiertoe de noodzakelijke medewerking verlenen.
De Verwerker is gehouden tot geheimhouding van de documentatie en persoonsgegevens waartoe hij toegang heeft op grond van deze overeenkomst. Deze bepaling is ook van toepassing na beëindiging van de overeenkomst.
De Verwerker zal de Verwerkingsverantwoordelijke met passende technische en organisatorische maatregelen bijstaan, voor zover dit mogelijk is, om te voldoen aan de verplichting van de Verwerkingsverantwoordelijke om te reageren op verzoeken tot uitoefening van de rechten van de betrokkene overeenkomstig de GDPR. Verzoeken om toegang, verwijdering en/of rectificatie die de Verwerker ontvangt, worden zonder onnodige vertraging doorgestuurd naar de Verwerkingsverantwoordelijke.
Persoonlijke gegevens worden niet langer bewaard dan nodig is voor het doel van de verwerking. Elke werknemer heeft de mogelijkheid om alle persoonlijke gegevens te verwijderen wanneer hij of zij dat wil.
In geval van een inbreuk in verband met persoonsgegevens stelt de Verwerker de Verwerkingsverantwoordelijke daarvan onverwijld, en indien mogelijk uiterlijk 24 uur nadat hij er kennis van heeft gekregen, in kennis. De Verwerkingsverantwoordelijke is verantwoordelijk voor het melden van de inbreuk aan de betreffende nationale gegevensinspectie.
5. Gebruik van een onderaannemer
Verwijder het niet-relevante gedeelte:
*De Verwerkingsverantwoordelijke verleent de Verwerker een algemene machtiging om een andere verwerker in te schakelen onder de voorwaarde dat de Verwerker de Verwerkingsverantwoordelijke op de hoogte stelt van alle voorgenomen wijzigingen met betrekking tot de toevoeging of vervanging van andere verwerkers, waarbij de Verwerkingsverantwoordelijke de mogelijkheid krijgt om bezwaar te maken tegen dergelijke wijzigingen.
Eenieder die namens de Verwerker opdrachten uitvoert die verdere verwerking van de betreffende persoonsgegevens inhouden waarop deze overeenkomst betrekking heeft, dient bekend te zijn met de contractuele en wettelijke verplichtingen van de Verwerker en aan de vereisten daarvan te voldoen.
6. Beveiliging van de verwerking
De Verwerker voldoet aan de vereisten voor beveiliging van de verwerking zoals bepaald in artikel 32 van de GDPR. De documentatie dient op verzoek van de Verwerkingsverantwoordelijke beschikbaar te zijn.
De verwerker treft passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen, onder meer, waar nodig:
OPMERKING: DEZE LIJST IS NIET VOLLEDIG EN MOET WAAR NODIG WORDEN INGEVULD
- Het pseudonimiseren en versleutelen van persoonlijke gegevens;
- Het vermogen om de voortdurende vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van verwerkingssystemen en -diensten te waarborgen
- Het vermogen om de beschikbaarheid van en toegang tot persoonlijke gegevens tijdig te herstellen in geval van een fysiek of technisch incident;
- Een proces voor het regelmatig testen, beoordelen en evalueren van de effectiviteit van technische en organisatorische maatregelen om de veiligheid van de verwerking te waarborgen.
De verwerker zorgt voor fysieke beveiliging om ongeoorloofde toegang tot gebieden waar persoonsgegevens zijn opgeslagen, te voorkomen. De verwerker zorgt er voorts voor dat de nodige toegangscontroles tot alle persoonsgegevens en relevante IT-systemen worden ingesteld. De toegang moet gebaseerd zijn op de toegangsbehoefte van de werknemers, rekening houdend met de relevante werktaken. Het gebruik van onder deze overeenkomst vallende IT-systemen wordt geregistreerd. Elektronisch opgeslagen informatie die persoonlijke gegevens bevat, wordt beschermd met wachtwoorden en andere soortgelijke technische veiligheidsmaatregelen om ervoor te zorgen dat elektronisch opgeslagen informatie niet beschikbaar is voor onbevoegd personeel en dat er geen risico bestaat op ongewenste wijziging/verwijdering van gegevens. De beveiliging moet voldoen aan algemeen erkende methoden, of beter.
7. Veiligheidscontroles
De verwerker voert jaarlijks beveiligingsaudits uit voor de onder deze overeenkomst vallende systemen enz. De verwerkingsverantwoordelijke ontvangt op verzoek de documentatie van deze beveiligingsaudits.
De controle kan bestaan uit een beoordeling van routines en beleid, steekproefsgewijze controles, uitgebreidere inspecties ter plaatse en andere geschikte controlemaatregelen. De Verwerkingsverantwoordelijke heeft recht op toegang tot de documentatie van de Verwerker die relevant is voor deze overeenkomst. De Verwerker is derhalve verplicht om, na redelijke voorafgaande kennisgeving, deze documentatie ter beschikking te stellen aan de Verwerkingsverantwoordelijke.
Indien de Verwerkingsverantwoordelijke een inspectie ter plaatse of steekproefsgewijze controles wenst uit te voeren, wordt de Verwerker daarvan schriftelijk in kennis gesteld, met inachtneming van een redelijke termijn voordat de inspectie ter plaatse plaatsvindt.
De overeenkomst is geldig zolang de verwerker persoonsgegevens verwerkt ten behoeve van de verwerkingsverantwoordelijke. Bij overtreding van deze overeenkomst of de Wet Persoonsgegevens kan de verwerkingsverantwoordelijke de verwerker opdragen de verdere verwerking van de gegevens met onmiddellijke ingang te staken.
9. Beëindiging
Bij beëindiging van deze overeenkomst is de Verwerker verplicht om alle persoonsgegevens die hij namens de verwerkingsverantwoordelijke heeft ontvangen en die onder deze overeenkomst vallen, binnen één werkdag te wissen. Dit geldt ook voor eventuele reservekopieën. De verwerker zal schriftelijk documenteren dat verwijdering heeft plaatsgevonden in overeenstemming met de overeenkomst.
10. Kennisgevingen
Kennisgevingen in het kader van deze overeenkomst moeten schriftelijk worden ingediend bij:
Controleur:
Bewerker: Cultuur misbruikt door CEO
11. Rechtskeuze en rechtsgebied
De overeenkomst valt onder de Noorse jurisdictie en de partijen komen overeen dat de arrondissementsrechtbank van Oslo de bevoegde rechtbank is. Dit geldt ook na beëindiging van de overeenkomst.
***
Deze overeenkomst is opgesteld in 2 – twee exemplaren, waarvan de partijen elk één exemplaar behouden.
Oslo, maand xx – 20xx
Controller Processor
Xxxx Xxxx per prokura
CEO
Cultuur exploiteren AS
Culture Exploit AS Gaustadalléen 21, Startup Lab – 0349 Oslo – Noorwegen