Overeenkomst voor gegevensverwerking
Deze Overeenkomst voor gegevensverwerking wordt gesloten tussen EasyLMS B.V. ("Verwerker") en hun klanten (de klant is de "Beheerder") waarvoor EasyLMS als verwerker voor persoonsgegevens optreedt;
Hierna elk een "Partij" en gezamenlijk de "Partijen";
Overwegende dat:
A. Deze Overeenkomst voor gegevensverwerking vormt een integraal onderdeel van de Algemene Voorwaarden van Easy LMS ("Algemene voorwaarden") en van de overeenkomst tussen de Verwerker en de Beheerder met betrekking tot het online leermanagementsysteem dat door de Verwerker aan de Beheerder wordt aangeboden (de "Service(s)");
B. Om ervoor te zorgen dat de Beheerder en zijn deelnemers gebruik kunnen maken van de Services, moet de Verwerker de persoonsgegevens ("Persoonsgegevens") verwerken van de werknemers van de Beheerder en/of andere deelnemers (gezamenlijk: "Betrokkenen") die de door de Beheerder gecreëerde inhoud van de Services gebruiken;
C. De categorieën van Persoonsgegevens evenals de andere details met betrekking tot de verwerking van de Persoonsgegevens worden omschreven in Bijlage 1 van deze Overeenkomst voor gegevensverwerking;
D. De Algemene Verordening Gegevensbescherming (VERORDENING (EU) 2016/679 VAN HET EUROPEES PARLEMENT EN DE RAAD van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG), ("GDPR") is van toepassing op de verwerking van de Persoonsgegevens;
E. Op basis van de GDPR zijn de Partijen verplicht om deze Overeenkomst voor gegevensverwerking aan te gaan.
1. Definities
1.1. Naast de hierboven gedefinieerde begrippen met een hoofdletter zullen de volgende begrippen met een hoofdletter de volgende betekenis hebben:
1.2. “DPA": een bevoegde autoriteit voor gegevensbescherming (Data Protection Authority).
1.3. “EER": de Europese Economische Ruimte.
1.4. "Inbreuk op persoonsgegevens": een inbreuk op de beveiliging die leidt tot de toevallige of onwettige vernietiging, het verlies, de wijziging of de ongeoorloofde openbaarmaking van of toegang tot de Persoonsgegevens.
1.5. "Verwerking": de verwerkingsactiviteiten die worden uitgevoerd met de Persoonsgegevens zoals gedefinieerd in de GDPR, met inbegrip van maar niet beperkt tot het opslaan, bekijken, portioneren, wissen, wijzigen en doorsturen ervan.
1.6. “Bijlage": een bijlage bij deze Overeenkomst voor gegevensverwerking.
1.7. “Servicesovereenkomst": de overeenkomst op basis waarvan de Services worden geleverd, die kan bestaan uit de Algemene voorwaarden en/of een ander type overeenkomst.
1.8. "Subverwerker": een derde waaraan de Verwerker de Verwerking van de Persoonsgegevens geheel of gedeeltelijk uitbesteedt.
2. Algemene verplichtingen
2.1. De Verwerker neemt met betrekking tot de Persoonsgegevens passende technische en organisatorische maatregelen om de naleving van de GDPR en de bescherming van de rechten van de Betrokkenen te waarborgen.
2.2. De Beheerder verklaart dat hij de GDPR naleeft met betrekking tot de Persoonsgegevens die door de Verwerker worden verwerkt. Het is de verantwoordelijkheid van de Beheerder om te voldoen aan de toepasselijke wetgeving inzake persoonsgegevens met betrekking tot de Persoonsgegevens die worden aangemaakt in of geüpload naar de Service. Dit omvat, zonder beperking, het hebben van een rechtsgrond voor de Verwerking (bijv. geldige toestemming indien vereist) van de Persoonsgegevens, het informeren van de Betrokkenen over de Verwerking van hun Persoonsgegevens en ervoor zorgen dat de Betrokkenen de wettelijke leeftijd hebben voor het indienen van hun Persoonsgegevens, indien van toepassing.
3. Verwerking uitsluitend volgens de instructies van de Beheerder
3.1. De Verwerking door de Verwerker heeft tot doel de Verwerker in staat te stellen de Services te verlenen.
3.2. De Verwerker zal de Persoonsgegevens uitsluitend verwerken op grond van de schriftelijke instructies van de Beheerder, zijnde de Verwerkingsactiviteiten zoals vermeld in Bijlage 1, of de redelijke instructies die anderszins door de Beheerder schriftelijk zijn gegeven (waaronder ook per e-mail kan worden begrepen). De Verwerker zal de Persoonsgegevens alleen verwerken buiten de instructies van de Beheerder als deze daartoe verplicht wordt om te voldoen aan een toepasselijke wettelijke verplichting. In dit geval is artikel 3.3 hieronder van toepassing.
3.3. In het geval dat de Verwerker wettelijk verplicht wordt onder Europese wetgeving om Persoonsgegevens bekend te maken, zal de Verwerker de Beheerder hiervan onmiddellijk op de hoogte stellen en de relevante wettelijke verplichting inlichten, tenzij de wettelijke verplichting de Verwerker verbiedt om een dergelijke kennisgeving te doen op belangrijke gronden van algemeen belang. Indien het de Verwerker niet verboden is om de Beheerder op de hoogte te stellen, zal de Verwerker zich onthouden van het bekendmaken van Persoonsgegevens totdat de Beheerder stappen heeft ondernomen om een beschermingsbevel of een andere passende oplossing te verkrijgen. Indien een dergelijk beschermingsbevel niet wordt verkregen, zal de Verwerker alleen die Persoonsgegevens verstrekken waarvan de Verwerker op de hoogte is gesteld door een tijdige schriftelijke kennisgeving van de Beheerder, of, bij het ontbreken van een dergelijke tijdige kennisgeving, zal de Verwerker die Persoonsgegevens verstrekken waarvan de Verwerker meent dat deze vereist zijn op grond van de wettelijke vereisten.
3.4. De Verwerker zal de Beheerder op de hoogte stellen indien, naar zijn mening, een instructie gegeven door de Beheerder inbreuk maakt op de GDPR, waarbij de Verwerker de instructie niet hoeft op te volgen.
4. De Beheerder assisteren
4.1. De Verwerker zal de door de Beheerder redelijkerwijs gevraagde assistentie verlenen om:
(i) rekening houdend met de aard van de Verwerking, de Beheerder bij te staan door middel van passende technische en organisatorische maatregelen, voor zover dit mogelijk is, om te voldoen aan de verplichtingen van de Beheerder om te reageren op de verzoeken van Betrokkenen om hun rechten uit te oefenen, voor zover de Verwerker dit feitelijk kan doen in het kader van de Services. Indien de Verwerker een verzoek ontvangt van een Betrokkene, zal dit verzoek worden doorgestuurd naar de Beheerder en zal de Beheerder het verzoek verder afhandelen;
(ii) rekening houdend met de aard van de Verwerking en de informatie die beschikbaar is voor de Verwerker, de Beheerder bij te staan bij het voldoen aan de verplichtingen van de Beheerder met betrekking tot beveiliging, het melden van Inbreuken op persoonsgegevens (zie artikel 5.4), onderzoeken door autoriteiten voor gegevensbescherming, impactbeoordelingen voor gegevensbescherming en voorafgaande raadpleging indien vereist.
5. Beveiligingsmaatregelen en Inbreuken op persoonsgegevens
5.1. Rekening houdend met de huidige technische stand van zaken, de kosten van implementatie en de aard, omvang, context en doeleinden van de Verwerking, alsmede het risico van uiteenlopende waarschijnlijkheid en ernst voor de rechten en vrijheden van natuurlijke personen, implementeert de Verwerker passende technische en organisatorische maatregelen om een beveiligingsniveau te waarborgen dat is afgestemd op het risico dat met de Verwerking gepaard gaat.
5.2. De Beheerder garandeert dat hij de Betrokkenen niet zal vragen om Persoonsgegevens aan de Service te verstrekken die onder de toepasselijke wetgeving als een speciale categorie of gevoelige persoonsgegevens worden beschouwd. Dit betreft bijvoorbeeld: gegevens met betrekking tot gezondheid, religieuze overtuigingen, politieke opvattingen, ras, etnische achtergrond, seksuele voorkeur of gedrag, lidmaatschap van een vakbond, strafblad, biometrische gegevens voor identificatiedoeleinden, genetische gegevens. De beveiligingsmaatregelen van de Service zijn niet geschikt voor deze soorten Persoonsgegevens.
5.3. De Verwerker heeft passende technische en organisatorische maatregelen geïmplementeerd om ervoor te zorgen dat de Persoonsgegevens alleen toegankelijk zijn voor die personen binnen de organisatie die hiertoe toegang moeten krijgen voor het verlenen van de Services, bijv. door het aantal personen met toegangsrechten te beperken.
5.4.De Verwerker stelt op zijn website informatie beschikbaar over zijn beveiligingsmaatregelen. Daarnaast zal de Verwerker op verzoek van de Beheerder een overzicht verstrekken van de beveiligingsmaatregelen die ten tijde van het verzoek van kracht waren. De Beheerder kan een dergelijk verzoek eenmaal per kalenderjaar indienen, tenzij er een gegronde reden is om het verzoek vaker in te dienen, bijvoorbeeld in geval van een Inbreuk op de Persoonsgegevens.
5.5. De Verwerker stelt de Beheerder zonder onnodige vertraging op de hoogte nadat deze kennis heeft genomen van een Inbreuk op Persoonsgegevens. Deze kennisgeving zal:
(i) de beschikbare informatie bevatten met betrekking tot de Inbreuk op persoonsgegevens, met inbegrip van maar niet beperkt tot een beschrijving van de Inbreuk op persoonsgegevens, de oorzaak ervan; de categorieën, aard en (geschatte) hoeveelheid van de getroffen Persoonsgegevens en Betrokkenen en de omvang van de Inbreuk op Persoonsgegevens;
(ii) het effect van de Inbreuk op persoonsgegevens voor de Beheerder en de Betrokkenen uitleggen;
(iii) de door de Verwerker, de Beheerder en/of de Betrokkenen genomen of te nemen corrigerende maatregelen en het tijdschema voor de voltooiing van deze maatregelen toelichten.
5.6. De Verwerker zal de medewerking verlenen die redelijkerwijs door de Beheerder wordt gevraagd, en de informatie verstrekken die binnen zijn controle valt, met betrekking tot het melden van de Inbreuk op persoonsgegevens aan de DPA, en, indien van toepassing, aan de Betrokkenen.
5.7. De Verwerker kan niet worden verplicht om een Inbreuk op Persoonsgegevens te melden aan een autoriteit voor gegevensbescherming, noch aan de Betrokkenen, tenzij de Verwerker er uitdrukkelijk schriftelijk mee instemt om dit te doen in geval van een specifieke Inbreuk op Persoonsgegevens.
5.8.Om gebruik te kunnen maken van de Services, moet de Beheerder inloggegevens gebruiken om toegang te krijgen tot zijn account. De Beheerder moet deze inloggegevens veilig en vertrouwelijk houden, aangezien deze toegang geven tot de Persoonsgegevens. Het is ook de verantwoordelijkheid van de Beheerder om ervoor te zorgen dat de Betrokkenen die de Services gebruiken, hun eigen inloggegevens veilig en vertrouwelijk houden, aangezien deze toegang geven tot hun eigen Persoonsgegevens.
6. Vertrouwelijkheid
6.1. De Verwerker zal rekening houden met vertrouwelijkheid met betrekking tot de Persoonsgegevens.
6.2. Met betrekking tot het voorgaande, zal de Verwerker:
(i) de Persoonsgegevens niet aan derden bekendmaken, tenzij dit uitdrukkelijk is toegestaan in deze Overeenkomst voor gegevensverwerking;
(ii) passende technische en organisatorische maatregelen nemen om ervoor te zorgen dat iedereen die toegang heeft tot de Persoonsgegevens op de hoogte wordt gesteld van en gebonden is aan geheimhouding.
7. Onderaannemers
7.1. De Verwerker maakt gebruik van Subverwerkers die de Persoonsgegevens Verwerken. Op verzoek van de Beheerder zal de Verwerker de namen en locaties van de Subverwerkers verstrekken. Indien een Verwerker van plan is om een andere of extra Subverwerker in te schakelen om de Persoonsgegevens te Verwerken, zal deze de Beheerder hiervan vooraf op de hoogte stellen, met inbegrip van de startdatum van de Verwerkingsactiviteiten van de Subverwerker. De Beheerder kan binnen zeven (7) werkdagen na de kennisgeving bezwaar maken tegen de wijziging of toevoeging. Indien de Verwerking van de Persoonsgegevens niet nadelig wordt beïnvloed door een dergelijke wijziging of toevoeging, zal de Beheerder redelijkerwijs geen bezwaar maken zodat de Verwerker de Services kan blijven aanbieden. Indien de Beheerder wel tijdig bezwaar maakt en de Verwerker de Services niet kan aanpassen om tegemoet te komen aan het bezwaar van de Beheerder binnen veertien (14) dagen na dit bezwaar, kunnen de Beheerder en/of Verwerker de Services en de Servicesovereenkomst beëindigen en zal de Verwerker de vergoedingen terugbetalen die de Beheerder eventueel vooraf heeft betaald voor de resterende abonnementsperiode waarin de Service wordt stopgezet. Vanaf de startdatum van de Verwerkingactiviteiten van de nieuwe Subverwerker zal Bijlage 2 worden bijgewerkt (of geacht worden te zijn bijgewerkt) met de gemelde informatie over de nieuwe Subverwerker; indien dit een Subverwerker is die Persoonsgegevens buiten de EER verwerkt, is artikel 8 ook van toepassing.
7.2. De Verwerker zorgt ervoor dat Subverwerkers:
(i) verklaren passende technische en organisatorische maatregelen te hebben genomen om de naleving van de GDPR en de bescherming van de rechten van de Betrokkenen te waarborgen;
(ii) schriftelijk gebonden zijn om te voldoen aan dezelfde verplichtingen als uiteengezet in deze Overeenkomst voor gevensverwerking, die relevant zijn met betrekking tot de Verwerkingsactiviteiten van de Subverwerker.
7.3. Voor alle duidelijkheid: als de Beheerder gebruik maakt van een functionaliteit via de Services waarbij een verbinding wordt gemaakt met services die door derden aan de Beheerder worden aangeboden, dan zijn deze derden geen Subverwerkers van de Verwerker; de Beheerder heeft een directe rechtsverhouding met deze derden. Deze derden kunnen bijvoorbeeld social media platformen, e-mailproviders en serviceproviders van de Beheerder zijn wanneer de Beheerder een eigen account heeft dat gegevens ontvangt met behulp van integraties in het platform.
8. Gegevensexport (overdracht buiten de EER)
8.1. De Verwerker draagt de Persoonsgegevens over aan het land of de landen (indien van toepassing) vermeld in Bijlage 2.
8.2. De Verwerker zorgt ervoor dat de landen of partijen waarnaar de Persoonsgegevens worden doorgegeven, een passend beschermingsniveau bieden. Indien dit niet het geval is en de medewerking van de Beheerder vereist is, stemt de Beheerder ermee in de door de Verwerker gevraagde medewerking te verlenen om een van de in de GDPR vermelde overdrachtsmechanismen te regelen voor de overdracht naar een dergelijk land zonder een passend beschermingsniveau, in welk geval de Verwerker en/of Subverwerker, indien nodig, aanvullende maatregelen implementeert om de Persoonsgegevens te beveiligen.
9. Rapportage, controlerechten
9.1. De Verwerker zal de Beheerder, onder de in dit artikel vermelde voorwaarden, toegang verlenen tot zijn administratie zodat de Beheerder kan controleren of de Verwerker de voorwaarden van deze Overeenkomst voor gegevensverwerking naleeft. De Verwerker verleent de Beheerder geen toegang tot persoonsgegevens van andere betrokkenen dan de Betrokkenen.
9.2. De Beheerder kan een derde partij aanstellen om de controle uit te voeren. De Beheerder zal er in dat geval voor zorgen dat de derde partij verplicht is om de informatie van de Verwerker waartoe de derde partij toegang heeft met betrekking tot de controle, vertrouwelijk te houden en niet aan derden bekend te maken.
9.3. De Beheerder zal niet meer dan eenmaal per kalenderjaar gebruikmaken van deze controlrechten op grond van deze clausule. De Beheerder zal de Verwerker ten minste twee weken van tevoren op de hoogte stellen van de controle, zodat de Verwerker zich hierop kan voorbereiden.
9.4. Indien uit de controle blijkt dat de Verwerker niet voldoet aan de verplichtingen op grond van deze Overeenkomst voor gegevensverwerking, zal de Verwerker die maatregelen nemen die redelijkerwijs door de Beheerder worden verzocht om aan die verplichtingen te voldoen.
10. Duur en beëindiging
10.1. Deze Overeenkomst voor gegevensverwerking heeft dezelfde looptijd als de Servicesovereenkomst. Deze Overeenkomst voor gegevensverwerking zal daarom eindigen wanneer de Servicesovereenkomst eindigt.
10.2. Als de Servicesovereenkomst niet bepaalt dat deze beëindigd kan worden - en daarmee ook deze Overeenkomst voor gegevensverwerking - zijn de volgende beëindigingsgronden van toepassing: elke Partij heeft het recht om deze Overeenkomst voor gegevensverwerking voor de toekomst te beëindigen, zonder verplichting tot het betalen van schadevergoeding, indien:
(i) De andere Partij faillissementsbescherming aanvraagt, of dit wordt aangevraagd door een derde partij;
(ii) De andere Partij uitstel van betaling aanvraagt of krijgt;
(iii) De andere Partij een insolventie- of soortgelijke procedure aanvraagt onder het toepasselijke recht, of er wordt een curator aangesteld;
(iv) De andere Partij stopt met het uitoefenen van de bedrijfsactiviteiten.
10.3. De Partijen kunnen te allen tijde gezamenlijk besluiten om deze Overeenkomst voor gegevensverwerking te beëindigen door middel van een schriftelijke overeenkomst.
11. Assistentie bij beëindiging
11.1. De Verwerker zal de Persoonsgegevens verwerken tijdens het gebruik van de Services door de Beheerder.
11.2. De Beheerder dient ervoor te zorgen dat de Persoonsgegevens van zijn account zijn verwijderd voordat de Servicesovereenkomst wordt beëindigd. Indien de Verwerker het account van de Beheerder blokkeert vanwege het niet naleven van de Servicesovereenkomst, zal de Verwerker, op verzoek van de Beheerder, dat moet worden gedaan binnen een periode van tien (10) dagen nadat het account is geblokkeerd, en na betaling van eventuele vergoedingen die nog verschuldigd zijn op grond van de Servicesovereenkomst, de Persoonsgegevens overhandigen aan de Beheerder of, naar goeddunken van de Verwerker, de Beheerder toegang verlenen tot het account gedurende een periode van drie (3) dagen, uitsluitend om de Persoonsgegevens te verzamelen en te verwijderen. Indien de Beheerder na deze perioden de Persoonsgegevens niet heeft verwijderd, behoudt de Verwerker zich het recht voor om dit eenzijdig te doen, en zal de Verwerker de Persoonsgegevens na twee (2) jaar verwijderen, tenzij de Verwerker op grond van toepasselijke wetgeving verplicht is om bepaalde Persoonsgegevens te bewaren. In het laatste geval zal de Verwerker de Persoonsgegevens verwijderen nadat de wettelijke bewaartermijn is verstreken.
12. Diverse
12.1. De bepalingen in de Servicesovereenkomst zijn van toepassing op de Verwerking van de Persoonsgegevens en hebben voorrang met betrekking tot de bepalingen die geen betrekking hebben op gegevensbescherming, zoals aansprakelijkheid. Als de Servicesovereenkomst bepalingen over gegevensbescherming bevat, dan heeft deze Overeenkomst voor gegevensverwerking voorrang op dergelijke bepalingen.
12.2. Indien de activiteiten van de Verwerker in het kader van deze Verwerkingsovereenkomst de normale werkzaamheden van de Verwerker voor de Services overtreffen, heeft de Verwerker recht op een redelijke vergoeding op basis van de reguliere vergoeding van de Verwerker op dat moment. De Verwerker zal een specificatie van de gefactureerde vergoeding verstrekken.
12.3. Deze Overeenkomst voor gegevensverwerking kan door de Verwerker gewijzigd of aangepast worden overeenkomstig de bepalingen in de Servicesovereenkomst.
12.4.Als een bepaling van deze Overeenkomst voor gegevensverwerking door een bevoegde rechtbank ongeldig of niet-afdwingbaar wordt verklaard, zal een dergelijke beslissing op geen enkele wijze de geldigheid of afdwingbaarheid van enige andere bepaling hiervan beïnvloeden en zal deze Overeenkomst voor gegevensverwerking worden geïnterpreteerd alsof een dergelijke voorwaarde of bepaling er niet in was opgenomen.
12.5. De overwegingen onder "overwegende dat", evenals de Bijlagen vormen een integraal onderdeel van deze Overeenkomst voor gegevensverwerking.
13. Toepasselijk recht, geschillenregeling
13.1. Op deze Overeenkomst voor gegevensverwerking is uitsluitend het Nederlands recht van toepassing, met uitsluiting van het Nederlandse conflictenrecht.
13.2. De clausule voor geschillenregeling in de Servicesovereenkomst is van toepassing op alle geschillen die tussen de Partijen ontstaan.
BIJLAGE 1 –Informatie over de Verwerking
1. Beschrijving van de Services en Verwerkingsactiviteiten:
Type service: online leermanagementsysteem.
Verwerkingsactiviteiten: opslag, toegang, wijziging en verwijdering op verzoek van de Beheerder.
2. Categorieën van Persoonsgegevens:
De Beheerder kan de soorten Persoonsgegevens kiezen die van de Betrokkenen worden gevraagd, zoals:
- naam
- telefoonnummer
- functietitel
- geslacht
- geboortedatum
- straatnaam
- postcode
- stad of gemeente
- land
- werknemers-ID
- antwoorden van de Betrokkene op open vragen
- antwoorden van de Betrokkene op keuzemogelijkheden
De Betrokkenen kunnen zelf ook Persoonsgegevens creëren als gevolg van het openen en gebruiken van de inhoud die door de Beheerder in het Easy LMS-systeem is gecreëerd, zoals:
- testresultaten
- examenresultaten
- opmerkingen toegevoegd aan het systeem
- certificaten
De Beheerder mag de Betrokkenen niet vragen om speciale categorieën van Persoonsgegevens te verstrekken, of dergelijke Persoonsgegevens te uploaden, die betrekking hebben op: gegevens met betrekking tot gezondheid, religieuze overtuigingen, politieke meningen, ras, etnische achtergrond, seksuele voorkeur of seksueel gedrag, lidmaatschap van een vakbond, strafblad, biometrische gegevens voor identificatiedoeleinden, genetische gegevens.
BIJLAGE 2 – Subverwerkers
De Persoonsgegevens worden doorgegeven aan de volgende subverwerkers:
TABEL
Subverwerkers |
|
|
|
Subverwerker |
Land |
Land buiten de EER zonder passend beschermingsniveau? |
Overdrachtmechanisme / passende veiligheidsmaatregelen: |
Amazon Web Services (AWS) (hosting- en mailservices) |
Duitsland |
Nee, EER-land |
Niet van toepassing |
Intercom (chatondersteuning) |
Ierland |
Nee, EER-land |
Niet van toepassing |
Deze bijlage wordt geacht te zijn bijgewerkt na kennisgeving van de wijzigingen volgens artikel 7.1.