Verwerkersovereenkomst Mijn Superkracht
Vanuit de Algemene Verordening Gegevensbescherming (AVG) is het aangaan van een verwerkersovereenkomst verplicht wanneer je iemand vraagt namens jou persoonsgegevens te verwerken. Wanneer jij je aanmeldt om de leeromgeving te gaan gebruiken, betekent dat dat ik namens jou de gegevens ga verwerken en we dus een overeenkomst aan moeten gaan.
Deze overeenkomst vind je hieronder. Hierin staat precies beschreven wat wij samen afspreken over de gegevens die jij invoert in de leeromgeving en wat ik daar wel en vooral niet mee mag doen.
Door te registreren als gebruiker, ga je akkoord met deze overeenkomst. Je ontvangt een bevestiging hiervan nadat ik je registratie administratief verwerkt heb.
Verwerkersovereenkomst Mijn Superkracht
Partijen:
Degene die zich registreert als gebruiker
hierna te noemen: Afnemer
En
Mijn Superkracht
Meester Happensoenlaan 27
5237 JM ‘s-Hertogenbosch
hierna te noemen: “Mijn Superkracht”
hierna gezamenlijk te noemen: “Partijen”, of afzonderlijk: “Partij”
Overwegen het volgende:
Afnemer en Mijn Superkracht gaan een overeenkomst aan waarbij Mijn Superkracht de online leeromgeving Mijn Superkracht op licentiebasis ter beschikking stelt aan Afnemer, (‘de Hoofdovereenkomst’). Deze Hoofdovereenkomst leidt ertoe dat Mijn Superkracht in opdracht van Afnemer Persoonsgegevens verwerkt. Partijen wensen, mede gelet op het bepaalde in artikel 28 lid 3 Algemene Verordening Gegevensbescherming, in deze Verwerkersovereenkomst hun wederzijdse rechten en verplichtingen voor de Verwerking van Persoonsgegevens vast te leggen.
Komen het volgende overeen:
Artikel 1: Definities
In deze Verwerkersovereenkomst wordt verstaan onder:
- Autoriteit Persoonsgegevens: de Autoriteit Persoonsgegevens, het zelfstandig bestuursorgaan dat in Nederland bij wet is aangesteld als toezichthouder voor het toezicht op verwerkingen van persoonsgegevens.
- AVG: de Algemene Verordening Gegevensbescherming (Verordening 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG).
- Betrokkene, Verwerker, Derde, Persoonsgegevens, Verwerking van Persoonsgegevens en Verwerkingsverantwoordelijke: de begrippen zoals gedefinieerd in de AVG.
- Bijlage(n): bijlage(n) bij de Verwerkersovereenkomst.
- Datalek: een inbreuk in verband met persoonsgegevens, zoals bedoeld in artikel 4 sub 12 AVG.
- DPIA: een gegevensbeschermingseffectbeoordeling, die wordt uitgevoerd voorafgaand aan het uitvoeren van een verwerking, van het effect van de beoogde verwerkingsactiviteiten op de bescherming van persoonsgegevens.
- EER: Europese Economische Ruimte.
- Hoofdovereenkomst: overeenkomst tot levering van het product en/of dienst tussen Afnemer en Remedial Teaching, zoals omschreven in overweging a, met inbegrip van een op basis van die overeenkomst gesloten overeenkomst tussen een Leerling/ cliënt en Remedial Teaching voor het betreffende product of dienst.
- Instructies: schriftelijke aanwijzingen van Afnemer aan Mijn Superkracht in het kader van haar bevoegdheden. Instructies worden verstrekt door en aan de contactpersonen van partijen zoals die zijn opgenomen in de Bijlage(n).
- Mijn Superkracht: bedrijf van Annemieke Augusteijn, eigenaar van de online leeromgeving en netwerk Mijn Superkracht
- Leerling: onderwijsdeelnemer in het primair onderwijs, voortgezet onderwijs of middelbaar beroepsonderwijs.
- Cliënt: cliënt van de Afnemer waarvoor een account wordt aangemaakt in de omgeving Mijn Superkracht en waarbij geen sprake is van onderwijskundige begeleiding.
- Subverwerker: de partij die door Mijn Superkracht wordt ingeschakeld als Verwerker ten behoeve van de Verwerking van de Persoonsgegevens in het kader van deze Verwerkersovereenkomst en de Hoofdovereenkomst.
- Schriftelijk: waar in deze Verwerkersovereenkomst gesproken wordt van schriftelijk, wordt ook bedoeld elektronische communicatie zoals e-mail, mits de identiteit van de afzender en de authenticiteit van de communicatie voldoende vaststaat. De bewijslast betreffende ontvangst van elektronische communicatie ligt te allen tijde bij Afnemer.
- Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens: de toepasselijke (Unierechtelijke en lidstaatrechtelijke) wet- en regelgeving en/of (nadere) verdragen, verordeningen, richtlijnen, besluiten, beleidsregels, instructies en/of aanbevelingen van een bevoegde overheidsinstantie betreffende de Verwerking van Persoonsgegevens, tevens omvattende toekomstige wijziging hiervan en/of aanvulling hierop, inclusief lidstaat-rechtelijke uitvoeringswetten van de AVG en de Telecommunicatiewet.
- Verwerkersovereenkomst: deze overeenkomst inclusief de bijgevoegde bijlagen.
Artikel 2: Onderwerp en opdracht Verwerkersovereenkomst
- Deze Verwerkersovereenkomst is van toepassing op de Verwerking van Persoonsgegevens in het kader van de uitvoering van de Hoofdovereenkomst.
- Afnemer geeft Mijn Superkracht conform artikel 28 AVG opdracht en Instructies om Persoonsgegevens te verwerken namens Afnemer. De Instructies van Afnemer kunnen onder meer nader omschreven zijn in deze Verwerkersovereenkomst en de Hoofdovereenkomst.
- De bepalingen uit de Verwerkersovereenkomst gelden voor alle Verwerkingen zoals opgenomen in Bijlage 1, die plaatsvinden ter uitvoering van de Hoofdovereenkomst. Wanneer Mijn Superkracht reden heeft om aan te nemen dat zij niet langer aan de Verwerkersovereenkomst kan voldoen, brengt Mijn Superkracht Afnemer onmiddellijk daarvan op de hoogte.
Artikel 3: Rolverdeling
- Afnemer is ten aanzien van de in diens opdracht uit te voeren Verwerkingen van Persoonsgegevens de Verwerkingsverantwoordelijke. Mijn Superkracht is Verwerker in de zin van de AVG. Afnemer heeft en houdt zelfstandige zeggenschap over (het bepalen van) het doel en de middelen van de Verwerking van de Persoonsgegevens.
- Afnemer en Mijn Superkracht verstrekken elkaar over en weer alle benodigde informatie teneinde een goede naleving van de Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens mogelijk te maken.
- De door Mijn Superkracht te verwerken persoonsgegevens en de daarop van toepassing zijnde verwerkingsdoeleinden, waar deze Verwerkersovereenkomst betrekking op heeft, worden nader omschreven in Bijlage 1.
- Indien Mijn Superkracht in strijd met de AVG het doel en de middelen van de Verwerking van Persoonsgegevens bepaalt, wordt Mijn Superkracht met betrekking tot die Verwerking als Verwerkingsverantwoordelijke beschouwd.
Artikel 4: Gebruik Persoonsgegevens
- Mijn Superkracht verwerkt de persoonsgegevens alleen conform de schriftelijke instructies van Afnemer en conform deze Verwerkersovereenkomst. Mijn Superkracht heeft daarbij zelf geen zeggenschap over de persoonsgegevens. Mijn Superkracht verwerkt de persoonsgegevens niet voor eigen doeleinden, de doeleinden van Derden en/of voor andere doeleinden die niet door Afnemer zijn bepaald, tenzij Mijn Superkracht daartoe verplicht is onder toepasselijke wetgeving, dan wel een rechterlijke uitspraak, voor zover daartegen geen beroep meer openstaat. In dat geval stelt Mijn Superkracht Afnemer vooraf schriftelijk van die verplichting op de hoogte, tenzij dergelijke kennisgeving om gewichtige redenen van algemeen belang verboden is.
- Partijen zullen persoonsgegevens verwerken in overeenstemming met de Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens, waaronder de voorschriften van de AVG. Mijn Superkracht licht Afnemer in als, naar mening van Mijn Superkracht, een instructie van Afnemer inbreuk oplevert op de AVG en/of de andere toepasselijke wet- en regelgeving.
Artikel 5: Vertrouwelijkheid
- Mijn Superkracht garandeert dat zij alle Persoonsgegevens strikt vertrouwelijk zal behandelen ten opzichte van Derden, waaronder overheidsinstanties. Mijn Superkracht zorgt ervoor dat eenieder die zij betrekt bij de Verwerking van Persoonsgegevens, waaronder haar werknemers, vertegenwoordigers en/of Subverwerkers, deze gegevens als vertrouwelijk behandelt. Mijn Superkracht waarborgt dat met de tot het Verwerken van de Persoonsgegevens geautoriseerde personen een geheimhoudingsovereenkomst of -beding is gesloten, of dat deze door een wettelijke verplichting tot geheimhouding zijn gebonden.
- De in lid 1 bedoelde geheimhoudingsplicht geldt niet in de hierna genoemde gevallen: - voor zover Afnemer uitdrukkelijk toestemming heeft gegeven om de Persoonsgegevens aan een Derde te verstrekken; - indien het verstrekken van de Persoonsgegevens aan een Derde noodzakelijk is gezien de aard van de door Mijn Superkracht aan Afnemer te verlenen diensten; of - indien Mijn Superkracht op grond van een Unierechtelijke of lidstaatrechtelijke bepaling dan wel een gerechtelijke uitspraak, voor zover daartegen geen beroep meer openstaat, tot verstrekking verplicht is.
- Mijn Superkracht onthoudt zich van verstrekking of bekendmaking van Persoonsgegeven aan een Derde, tenzij deze verstrekking of bekendmaking plaatsvindt in opdracht van Afnemer, respectievelijk wanneer dit noodzakelijk is om te voldoen aan een gerechtelijke uitspraak, voor zover daartegen geen beroep meer openstaat, of een op Mijn Superkracht rustende wettelijke verplichting. Onder wettelijke verplichtingen zijn begrepen Unierechtelijke of lidstaatrechtelijke bepalingen op grond waarvan Mijn Superkracht tot verstrekken verplicht is. In geval van een wettelijke verplichting, verifieert Mijn Superkracht voorafgaand aan de verstrekking de wettelijke grondslag en de identiteit van de partij die zich daarop beroept. Daarnaast stelt Mijn Superkracht - tenzij die wetgeving deze kennisgeving om gewichtige redenen van algemeen belang verbiedt - Afnemer onmiddellijk, zo mogelijk voorafgaand aan de verstrekking, in kennis van de voor Afnemer relevante informatie inzake deze verstrekking.
- Mijn Superkracht zorgt ervoor dat de onder diens gezag werkende medewerkers uitsluitend toegang hebben tot Persoonsgegevens voor zover noodzakelijk voor de vervulling van hun werkzaamheden.
Artikel 6: Beveiliging en controle
- Met inachtneming van het bepaalde in artikel 32 AVG zal Mijn Superkracht, gelijk Afnemer, zorg dragen voor passende technische en organisatorische maatregelen om Persoonsgegevens te beveiligen en beschermen tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging.
- Naast de maatregelen als genoemd in artikel 32 lid 1 AVG, worden onder meer de volgende maatregelen - waar passend - genomen: - een passend beleid voor de beveiliging van de Verwerking van de Persoonsgegevens; - maatregelen om te waarborgen dat enkel geautoriseerde medewerkers toegang hebben tot Persoonsgegevens die in het kader van de Hoofdovereenkomst worden verwerkt; - het regelen van procedures rondom het verlenen van toegang tot Persoonsgegevens (waaronder een registratie- en afmeldprocedure voor toewijzing van toegangsrechten), en het in logbestanden vastleggen van gebeurtenissen betreffende gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen (vergelijkbaar met de toepasselijke ISO-normering, en/of vergelijkbaar met het geldende Certificeringsschema informatiebeveiliging en privacy ROSA). Afnemer wordt in de gelegenheid gesteld om deze logbestanden periodiek te controleren.
- Partijen zullen de getroffen beveiligingsmaatregelen periodiek evalueren en aanscherpen, aanvullen of verbeteren voor zover de eisen of (technologische) ontwikkelingen daartoe aanleiding geven.
- In Bijlage 2 zijn de afspraken tussen Partijen vastgelegd over de passende technische en organisatorische beveiligingsmaatregelen, alsmede over de inhoud, vorm en de werkwijze van de verklaringen die Mijn Superkracht verstrekt over de afgesproken beveiligingsmaatregelen.
- Mijn Superkracht stelt Afnemer, in goed overleg, in staat om effectief te kunnen voldoen aan zijn wettelijke verplichting om toezicht te houden op de naleving door Mijn Superkracht van de technische en organisatorische beveiligingsmaatregelen alsmede op de naleving van de in artikel 7 genoemde verplichtingen ten aanzien van Datalekken.
- In aanvulling op de voorgaande leden heeft Afnemer te allen tijde het recht om, in overleg met Mijn Superkracht en met inachtneming van een redelijke termijn, de naleving van Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens, de Hoofdovereenkomst en deze Verwerkersovereenkomst, waaronder de door Mijn Superkracht genomen technische en organisatorische beveiligingsmaatregelen, te (doen) controleren middels een audit uitgevoerd door een onafhankelijke gecertificeerde externe deskundige:
- Partijen kunnen in onderling overleg afspreken dat de audit wordt uitgevoerd door een door Mijn Superkracht, in overleg met Afnemer, in te schakelen externe deskundige die een derdenverklaring (TPM) afgeeft.
- De auditor verstrekt het auditrapport alleen aan Partijen.
- Partijen maken onderling afspraken over de omgang met de uitkomsten van de audit.
- Partijen kunnen in onderling overleg afspreken dat, aan de hand van een geldige (inter)nationaal erkende certificering of een gelijkwaardig controle- of bewijsmiddel, een reeds uitgevoerde audit en daaruit afgegeven derdenverklaring gebruikt kan worden. Afnemer wordt in dat geval geïnformeerd over de uitkomsten van de audit.
- Partijen komen overeen dat de kosten van deze audit voor rekening komen van Afnemer, tenzij uit de audit (grote) gebreken blijken, die aan Mijn Superkracht kunnen worden toegerekend. In dat geval treden partijen in overleg over de verdeling van de kosten van de audit.
Artikel 7: Datalekken
- Partijen hebben een passend beleid voor de omgang met Datalekken.
- Indien Afnemer of Mijn Superkracht een Datalek vaststelt, dan zal deze de andere Partij daarover zonder onredelijke vertraging informeren zodra hij kennis heeft genomen van dat Datalek. Mijn Superkracht verstrekt ingeval van een Datalek alle relevante informatie aan Afnemer met betrekking tot het Datalek, waaronder informatie over eventuele ontwikkelingen rond het Datalek, en de maatregelen die Mijn Superkracht treft om aan haar kant de gevolgen van het Datalek te beperken en herhaling te voorkomen, zoals uiteengezet in Bijlage 2.
- Mijn Superkracht informeert Afnemer onverwijld indien een vermoeden bestaat dat een Datalek waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen zoals bedoeld in artikel 34 lid 1 AVG.
- Mijn Superkracht stelt Afnemer bij een Datalek in staat om passende vervolgstappen te (laten) nemen ten aanzien van het Datalek. Partijen nemen zo spoedig mogelijk alle redelijkerwijs benodigde maatregelen om (verdere) schending of inbreuken betreffende de Verwerking van Persoonsgegevens, en meer in het bijzonder (verdere) schending van de Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens, te voorkomen of te beperken.
- In geval van een Datalek, voldoet Afnemer aan eventuele wettelijke meldingsplichten. In geval een Datalek bij Mijn Superkracht meerdere Afnemers in gelijke mate treft, kan Mijn Superkracht, na overleg met een of meerdere Afnemers, namens deze Afnemers een melding doen van het Datalek aan de Autoriteit Persoonsgegevens. Van het voornemen hiervan zal Mijn Superkracht Afnemer onverwijld (en zo mogelijk voorafgaand aan de melding) in kennis stellen.
- In geval dat het Datalek waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van Betrokkenen, zal Afnemer de Betrokkenen informeren over het Datalek.
- Partijen zullen te goeder trouw in onderling overleg afspraken maken over de redelijke verdeling van de eventuele kosten die verbonden zijn aan het voldoen aan de meldingsplichten.
- Partijen documenteren alle Datalekken in een (incidenten)register, met inbegrip van de feiten omtrent de inbreuk in verband met Persoonsgegevens, de gevolgen daarvan en de genomen corrigerende maatregelen.
Artikel 8: Bijstand
- Mijn Superkracht verleent Afnemer bijstand bij het doen nakomen van de op Afnemer rustende verplichtingen op grond van de AVG en andere Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens, zoals met betrekking - maar niet beperkt - tot:
- het - voor zover redelijkerwijs mogelijk - vervullen van de plicht van Afnemer om aan verzoeken van de in hoofdstuk III van de AVG vastgelegde rechten van de betrokkene binnen de wettelijke termijnen te voldoen, zoals een verzoek om inzage, verbetering, aanvulling, verwijdering of afscherming van Persoonsgegevens;
- het uitvoeren van controles en audits zoals bedoeld in artikel 6 van deze Verwer-kersovereenkomst;
- het uitvoeren van een DPIA en een eventuele daaruit voortkomende verplichte voorafgaande raadpleging van de Autoriteit Persoonsgegevens;
- het voldoen aan verzoeken van de Autoriteit Persoonsgegevens of een andere overheidsinstantie;
- het voorbereiden, beoordelen en melden van Datalekken zoals bedoeld in artikel 7 van deze Verwerkersovereenkomst. - Een klacht of verzoek van een Betrokkene of een verzoek of onderzoek van de Autoriteit Persoonsgegevens met betrekking tot de Verwerking van de Persoonsgegevens, wordt door Remedial Teaching, voor zover wettelijk is toegestaan, onverwijld doorgestuurd naar Afnemer, die verantwoordelijk is voor de afhandeling van het verzoek.
- Partijen brengen elkaar voor in redelijkheid verleende bijstand geen kosten in rekening. In het geval dat één van de Partijen kosten in rekening wil brengen, brengt deze Partij de andere Partij hiervan vooraf op de hoogte.
Artikel 9: Doorgifte aan derde landen buiten de EER
- Mijn Superkracht is uitsluitend gerechtigd tot doorgifte van Persoonsgegevens aan een derde land buiten de EER of internationale organisatie zoals bedoeld in artikel 4 lid 26 AVG, indien Afnemer daarvoor specifieke schriftelijke toestemming, tenzij een op Mijn Superkracht van toepassing zijnde Unierechtelijke of lidstaatrechtelijke bepaling Mijn Superkracht tot Verwerking verplicht. In dat geval stelt Mijn Superkracht Afnemer voorafgaand aan de doorgifte schriftelijk op de hoogte van deze bepaling, tenzij die wetgeving deze kennisgeving om gewichtige redenen van algemeen belang verbiedt.
- Afnemer geeft Mijn Superkracht door acceptatie van deze Verwerkersovereenkomst toestemming tot de doorgiften, zoals omschreven in lid 1, die zijn opgenomen in Bijlage 1.
- Indien na toestemming van Afnemer Persoonsgegevens worden doorgegeven aan derde landen buiten de EER of aan een internationale organisatie, dan zien Partijen erop toe dat dit alleen plaatsvindt conform wettelijke voorschriften en eventuele verplichtingen die in dit verband op Afnemer rusten.
Artikel 10: Inschakeling Subverwerker
- Afnemer geeft Mijn Superkracht door het accepteren van deze Verwerkersovereenkomst toestemming tot het inschakelen van Subverwerkers, van wie de identiteit en vestigingsgegevens zijn opgenomen in Bijlage 1.
- Tijdens de duur van de Verwerkersovereenkomst licht Mijn Superkracht Afnemer in over een voorgenomen toevoeging van een nieuwe Subverwerker of wijziging in de samenstelling van de bestaande Subverwerkers, waarbij Afnemer de mogelijkheid wordt geboden tegen deze veranderingen bezwaar te maken.
- Mijn Superkracht is verplicht iedere Subverwerker via een overeenkomst of andere rechtshandeling minimaal dezelfde verplichtingen inzake gegevensbescherming op te leggen als in deze Verwerkersovereenkomst aan Mijn Superkracht zijn opgelegd. Hieronder vallen onder meer de verplichting om de Persoonsgegevens niet verder te Verwerken anders dan in het kader van deze Verwerkersovereenkomst is overeengekomen, en de verplichting tot het nakomen van de geheimhoudingsverplichtingen, meldingsverplichtingen, medewerkingsverplichtingen en beveiligingsmaatregelen met betrekking tot de Verwerking van Persoonsgegevens zoals in deze Verwerkersovereenkomst vastgelegd.
- Mijn Superkracht zal op verzoek van Afnemer afschriften verstrekken van de Subverwerkersovereenkomsten met diens Subverwerkers, of van de relevante passages uit de Subverwerkersovereenkomsten of een andere overeenkomst of een andere bindende rechtshandeling tussen Mijn Superkracht en de door deze overeenkomstig artikel 10, lid 1, van deze Verwerkersovereenkomst ingeschakelde Subverwerker.
Artikel 11: Bewaartermijnen en vernietiging Persoonsgegevens
- Afnemer zal Mijn Superkracht adequaat informeren over (wettelijke) bewaartermijnen die van toepassing zijn op de Verwerking van Persoonsgegevens door Mijn Superkracht. Mijn Superkracht zal de Persoonsgegevens niet langer Verwerken dan overeenkomstig deze bewaartermijnen.
- Afnemer verplicht Mijn Superkracht om de in opdracht van Afnemer Verwerkte Persoonsgegevens bij de beëindiging van de Verwerkersovereenkomst te (doen) vernietigen, tenzij de Persoonsgegevens langer bewaard moeten worden, zoals in het kader van (wettelijke) verplichtingen, dan wel op verzoek van Afnemer. Mijn Superkracht mag voor dergelijke vernietiging redelijke kosten in rekening brengen bij Afnemer. Afnemer kan op eigen kosten een controle laten uitvoeren of vernietiging heeft plaatsgevonden.
- Mijn Superkracht zal Afnemer schriftelijk bevestigen dat vernietiging van de Verwerkte Persoonsgegevens heeft plaatsgevonden.
- Mijn Superkracht zal alle Subverwerkers die betrokken zijn bij de Verwerking van de Persoonsgegevens op de hoogte stellen van een beëindiging van de Verwerkersovereenkomst en zal waarborgen dat alle Subverwerkers de Persoonsgegevens (laten) vernietigen.
Artikel 12: Aansprakelijkheid
- Een Partij kan geen beroep doen op een aansprakelijkheidsbeperking, die is opgenomen in de Hoofdovereenkomst of andere tussen Partijen bestaande overeenkomst of regeling, ten aanzien van een door de andere Partij ingestelde:
- verhaalsactie op grond van artikel 82 AVG; of
- schadevergoedingsactie uit hoofde van deze Verwerkersovereenkomst, indien en voor zover de actie bestaat uit verhaal van een aan de Autoriteit Persoonsgegevens betaalde geldboete die geheel of gedeeltelijk toerekenbaar is aan de andere Partij. - Het bepaalde in dit artikel laat onverlet de rechtsmiddelen die de aangesproken partij op grond van de geldende wet- of regelgeving ter beschikking staat.
- Iedere Partij is verplicht de andere Partij zonder onnodige vertraging op de hoogte te stellen van een (mogelijke) aansprakelijkstelling of het (mogelijk) opleggen van een boete door de Autoriteit Persoonsgegevens, beiden in verband met deze Verwerkersovereenkomst. Iedere Partij is in redelijkheid verplicht de andere Partij informatie te verstrekken en/of ondersteuning te verlenen ten behoeve van het voeren van verweer tegen een (mogelijke) aansprakelijkstelling of boete, zoals bedoeld in de vorige volzin. De Partij die informatie verstrekt en/of ondersteuning verleent, is gerechtigd om eventuele redelijke kosten daarvoor in rekening te brengen bij de andere Partij, Partijen informeren elkaar zo veel mogelijk vooraf over deze kosten.
Artikel 13: Tegenstrijdigheid en wijziging Verwerkersovereenkomst
- In het geval van tegenstrijdigheid tussen de bepalingen uit deze Verwerkersovereenkomst en de bepalingen van de Hoofdovereenkomst, dan zullen de bepalingen van deze Verwerkersovereenkomst leidend zijn.
- Indien Partijen van de artikelen in de Verwerkersovereenkomst door omstandigheden moeten afwijken, of deze willen aanvullen, dan zullen deze wijzigingen en/of aanvullingen door Partijen worden beschreven en gemotiveerd in een overzicht dat als Bijlage 3 aan deze Verwerkersovereenkomst zal worden gehecht. Het bepaalde in dit lid geldt niet voor aanvullingen en/of wijzigingen van de Bijlagen 1 en 2.
- Bij belangrijke wijzigingen in het product en/of de (aanvullende) diensten die van invloed zijn op de Verwerking van de Persoonsgegevens wordt, alvorens Afnemer de keuze hiertoe aanvaardt, Afnemer geïnformeerd over de consequenties van deze wijzigingen. Onder belangrijke wijzigingen wordt in ieder geval verstaan: de toevoeging of wijziging van een functionaliteit die leidt tot een uitbreiding ten aanzien van de te Verwerken Persoonsgegevens en de doeleinden waaronder de Persoonsgegevens worden Verwerkt. De wijzigingen zullen in Bijlage 1 worden opgenomen.
- Wijzigingen in de artikelen van de Verwerkersovereenkomst kunnen uitsluitend in gezamenlijkheid worden overeengekomen.
- In het geval enige bepaling van deze Verwerkersovereenkomst nietig, vernietigbaar of anderszins niet afdwingbaar is of wordt, blijven de overige bepalingen van deze Verwerkersovereenkomst volledig van kracht. Partijen zullen in dat geval met elkaar in overleg treden om de nietige, vernietigbare of anderszins niet afdwingbare bepaling te vervangen door een uitvoerbare alternatieve bepaling. Daarbij zullen partijen zoveel mogelijk rekening houden met het doel en de strekking van de nietige, vernietigde of anderszins niet afdwingbare bepaling.
Artikel 14: Duur en beëindiging
- De looptijd van deze Verwerkersovereenkomst is gelijk aan de looptijd van de tussen Partijen gesloten Hoofdovereenkomst, inclusief eventuele verlengingen daarvan.
- Deze Verwerkersovereenkomst eindigt van rechtswege bij de beëindiging van de Hoofdovereenkomst. Bij beëindiging of ontbinding van de Hoofdovereenkomst, verplichten Partijen zich te blijven houden aan het bepaalde in deze Verwerkersovereenkomst met betrekking tot geheimhouding, aansprakelijkheid, vrijwaring en alle overige bepalingen die naar hun aard bestemd zijn om ook na het einde van deze Verwerkersovereenkomst voort te duren.
Bijlage 1: Privacybijsluiter
Bijlage 2: Beveiligingsbijlage
BIJLAGE 1: PRIVACYBIJSLUITER
Gebruik online leeromgeving Mijn Superkracht
A. Algemene informatie
Product en dienst: Online leeromgeving Mijn Superkracht (hierna: ‘Mijn Superkracht’)
Verwerker: Mijn Superkracht
Link naar website: www.mijnsuperkracht.nl/
Gebruikers: leerlingen/cliënten, ouders, leerkrachten en andere professionals op het gebied van onderwijs en/of zorg
Beknopte uitleg en werking product en dienst
Online leeromgeving om te communiceren met leerlingen/cliënten, ouders, leerkrachten en eventuele andere betrokkenen over het begeleidingstraject, met mogelijkheid om facturen voor leerlingen/cliënten te uploaden.
B. Omschrijving specifieke diensten en bijbehorende Verwerkingen
Verwerkingen die een onlosmakelijk onderdeel vormen van Mijn Superkracht
- Aanmaken account met tweestapsverificatie. De gebruiker van Mijn Superkracht ontvangt op het opgegeven e-mailadres een gebruikersnaam en wachtwoord. Bij het inloggen op dit account ontvangt de gebruiker een code via een verificatieapp.
- Versturen meldingen bij activiteit binnen Mijn Superkracht. Indien een andere gebruiker die aan het account gekoppeld is een activiteit uitvoert die voor de gebruiker van belang is, zoals het plaatsen van een notitie in het logboek, het geven van een nieuwe opdracht of het uploaden van een factuur, ontvangt de gebruiker hier een bericht over op het opgegeven e-mailadres.
- Het bijhouden van een digitaal portfolio waarin huiswerkopdrachten kunnen worden geplaatst. Leerlingen/cliënten kunnen hier hun offline gemaakte werk uploaden als scan of afbeelding. De gebruikers kunnen bij de opdrachten opmerkingen plaatsen en de professional kan de opdracht beoordelen met “afgerond” of “verbeteren”.
- Het bijhouden van een digitaal logboek waarin alle gebruikers die aan een account gekoppeld zijn notities, links en bestanden kunnen plaatsen. Deze bestanden kunnen persoonsgegevens bevatten.
- Het bijhouden van een dossier door de professional. Dit dossier is gekoppeld aan een leerling/cliënt, maar niet zichtbaar voor andere gebruikers. Hierin kan de professional zijn eigen opmerkingen, links en bestanden plaatsen die betrekking hebben op het begeleidingstraject van de leerling/cliënt. Deze zaken kunnen persoonsgegevens bevatten.
- Het uploaden van facturen en aangeven of deze betaald zijn. Deze facturen zijn alleen zichtbaar voor de professional en de leerling/cliënt en diens ouders (indien van toepassing).
- Direct vanuit de leeromgeving contact opnemen met de gekoppelde professional of leerling/cliënt via mail.
- Het opmaken van een profiel met daarin de adresgegevens. Deze gegevens worden ingevuld door de betreffende gebruiker.
C. Doeleinden voor het Verwerken van gegevens
De volgende mogelijke doeleinden voor de Verwerking in het kader van de Hoofdovereenkomst zijn van toepassing:
- het met gebruikmaking van Mijn Superkracht geven en volgen van onderwijs en/of het begeleiden en volgen van leerlingen/cliënten, waaronder:
- de opslag van leer- en toetsresultaten;
- het terugontvangen door Afnemer van leer- en toetsresultaten. - Het geleverd krijgen/in gebruik kunnen nemen van Mijn Superkracht conform de afspraken die zijn gemaakt tussen Afnemer en Mijn Superkracht;
- Het verkrijgen van toegang tot Mijn Superkracht, en externe informatiesystemen, waaronder de identificatie, authenticatie en autorisatie;
- De beveiliging, controle en preventie van misbruik en oneigenlijk gebruik en het voorkomen van inconsistentie en onbetrouwbaarheid in de, met behulp van Mijn Superkracht, Verwerkte Persoonsgegevens.
- De continuïteit en goede werking van Mijn Superkracht conform de afspraken die zijn gemaakt tussen Afnemer en Mijn Superkracht, waaronder het laten uitvoeren van onderhoud, het maken van een back-up, het aanbrengen van verbeteringen na geconstateerde fouten of onjuistheden en het krijgen van ondersteuning;
- Het beschikbaar stellen van Persoonsgegevens voor zover noodzakelijk om te kunnen voldoen aan de wettelijke eisen die worden gesteld aan digitale onderwijsmiddelen.
- De organisatie, het geven en volgen van onderwijs, het begeleiden en volgen van leerlingen of het geven van school- en studieadviezen, waaronder:
- het bijhouden van persoonlijke (waaronder medische) omstandigheden van een leerling en de gevolgen daarvan voor het volgen van onderwijs;
- de communicatie met leerlingen, ouders, leerkrachten en eventuele andere betrokken professionals;
- financieel beheer. - Het uitwisselen van Persoonsgegevens met Derden, waaronder:
- toezichthoudende instanties en zorginstellingen in het kader van de uitvoering van hun (wettelijke) taak;
- samenwerkingsverbanden in het kader van passend onderwijs, regionale overstappen;
- partijen betrokken bij de invulling van stage of leer-/werkplekken voor zover noodzakelijk en wettelijk toegestaan; - Afnemers ingeval van overstappen tussen professionals en bij vervolgonderwijs.
- Onderzoek en analyse op basis van strikte voorwaarden, vergelijkbaar met bestaande gedragscodes op het terrein van onderzoek en statistiek, ten behoeve van het (optimaliseren van het) leerproces of het beleid van Afnemer;
- Het beschikbaar stellen van Persoonsgegevens voor zover noodzakelijk om te kunnen voldoen aan de wettelijke eisen die worden gesteld aan digitale onderwijsmiddelen;
- De uitvoering of toepassing van een andere wet.
D. Categorieën en soorten Persoonsgegevens
Omschrijving van de categorieën Betrokkenen over wie Persoonsgegevens worden Verwerkt en de categorieën Persoonsgegevens van de Betrokkenen:
Categorie | Toelichting |
Leerlingen/cliënten en indien van toepassing hun ouders | |
1. Contactgegevens | Verplicht: naam, roepnaam, e-mailadres, mobiel telefoonnummer. Optioneel: adres, postcode, woonplaats, tweede e-mailadres, Skypenaam. |
2. Medische gegevens | Optioneel: gegevens die noodzakelijk zijn met het oog op de gezondheid of het welzijn van de betrokkene of op eigen verzoek, een en ander voor zover noodzakelijk voor de begeleiding van de leerling/cliënt. |
3. Godsdienst
| Optioneel: gegevens betreffende de godsdienst of levensovertuiging van de betrokkene, voor zover die noodzakelijk zijn voor de begeleiding, of op eigen verzoek, een en ander voor zover noodzakelijk voor de begeleiding. |
4. Studievoortgang | Optioneel: gegevens betreffende de aard en het verloop van het onderwijs, alsmede de behaalde studieresultaten, te weten: begeleiding leerling/cliënt, inclusief onderzoeksverslag, handelingsplan en verslagen en resultaten afgenomen toetsen. |
5. Financiën | Optioneel: Facturatiegegevens en informatie over het al dan niet voldaan hebben van een factuur. |
6. Beeldmateriaal | Optioneel: foto’s en videobeelden (beeldmateriaal) met of zonder geluid van (onderdelen van) de begeleiding, zoals gemaakte en/of nagekeken opdrachten en instructiefilms. |
Leerkrachten of op andere wijze betrokken professionals (niet zijnde Afnemer) | |
1. Contactgegevens | Verplicht: naam, roepnaam, e-mailadres, mobiel telefoonnummer Optioneel: adres, postcode, woonplaats, Skypenaam. |
2. Beeldmateriaal | Optioneel: foto’s en videobeelden (beeldmateriaal) met of zonder geluid van (onderdelen van) de begeleiding, zoals gemaakte en/of nagekeken opdrachten en instructiefilms. |
Professionals/ Afnemer | |
1. Contactgegevens | Verplicht: naam, roepnaam, e-mailadres, mobiel telefoonnummer Optioneel: profielfoto, adres, postcode, woonplaats, tweede e-mailadres, Skypenaam. |
2. Beeldmateriaal | Optioneel: foto’s en videobeelden (beeldmateriaal) met of zonder geluid van (onderdelen van) de begeleiding, zoals gemaakte en/of nagekeken opdrachten en instructiefilms. |
Door Mijn Superkracht te hanteren specifieke bewaartermijnen van Persoonsgegevens (of toetsingscriteria om dit vast te stellen):
- Leerlingen/cliënten/ouders: Persoonsgegevens worden bewaard tot het moment dat Afnemer het account verwijdert of tot maximaal 30 dagen na het opzeggen van de Hoofdovereenkomst door Afnemer.
- Leerkrachten of op andere wijze betrokken professionals (niet zijnde Afnemer): Persoonsgegevens worden bewaard tot het moment dat Afnemer Mijn Superkracht verzoekt het account te verwijderen, tot maximaal 30 dagen na het moment dat er geen leerlingaccounts meer gekoppeld zijn aan het account van de leerkracht of op andere wijze betrokken zijnde betrokken professional of tot maximaal 30 dagen na het opzeggen van de Hoofdovereenkomst door Afnemer.
- Afnemer: Persoonsgegevens worden bewaard tot maximaal 30 dagen na het opzeggen van de Hoofdovereenkomst.
E. Doorgifte Persoonsgegevens:
Afnemer geeft aan Mijn Superkracht door ondertekening van de Verwerkersovereenkomst toestemming voor de volgende doorgiften aan derde landen en/of internationale organisaties buiten de EER:
- Het door Mijn Superkracht gebruikte e-mail automatiseringsplatform (Mandrill) ontvangt e-mailadressen en eventueel namen om daarmee e-mailmeldingen te kunnen versturen. Mandrill is gevestigd in de Verenigde Staten. Doorgifte vindt plaats op grond van een adequaatheidsbesluit van de Europese Commissie, namelijk het EU-U.S. Privacy Shield Framework.
F. Subverwerkers
Afnemer geeft Mijn Superkracht door akkoord te gaan met de Verwerkersovereenkomst een algemene schriftelijke toestemming voor het inschakelen van een Subverwerker. Mijn Superkracht heeft het recht gebruik te gaan maken van andere Subverwerkers, mits daarvan voorafgaand mededeling wordt gedaan aan Afnemer en Afnemer daartegen bezwaar kan maken binnen een redelijke periode.
Mijn Superkracht maakt ten tijde van het afsluiten van de Verwerkersovereenkomst gebruik van de volgende Subverwerkers, waarvoor Afnemer toestemming geeft:
- BTTR, Veenendaal: verantwoordelijk voor het ontwikkelen en onderhouden van Mijn Superkracht, hosting website en e-mail.
- Mandrill/ Mailchimp, Atlanta, Verenigde Staten: verantwoordelijk voor het verzenden van de e-mailmeldingen vanuit Mijn Superkracht.
G. Contactgegevens
Voor vragen of opmerkingen over deze bijsluiter of de werking van Mijn Superkracht, kunt u terecht bij:
Mijn Superkracht
Annemieke Augusteijn
Meester Happensoenlaan 27
5237 JM ‘s-Hertogenbosch
H. Versie
Versie 2, 11 september 2018
BIJLAGE 2: BEVEILIGINGSBIJLAGE
Beleid
Mijn Superkracht heeft een beleid voor de beveiliging van Persoonsgegevens dat jaarlijks wordt geëvalueerd en zo nodig bijgesteld. In dit beleid worden de te volgen procedures en getroffen beveiligingsmaatregelen beschreven.
Beveiligingsmaatregelen persoonsgegevens
De accounts van Mijn Superkracht zijn beveiligd met tweestapsverificatie. De wachtwoorden worden versleuteld opgeslagen en zijn niet zichtbaar in de leeromgeving.
Er zijn verschillende soorten accounts wat betreft de toegang tot Persoonsgegevens van andere gebruikers:
- Administrator/beheerder:
- heeft toegang tot de gebruikersnamen van alle gebruikers;
- heeft toegang tot de contactgegevens van alle gebruikers;
- heeft toegang tot de profielfoto, links naar social mediaprofielen en bestelgegevens van Afnemer;
- heeft toegang tot het auditlog met hierin de namen van de gebruikers en de acties die ze hebben uitgevoerd binnen de leeromgeving. - Afnemer:
- heeft toegang tot de eigen persoonsgegevens;
- heeft toegang tot de verplichte contactgegevens van de leerlingen/cliënten en indien ingevuld hun Skypenaam;
- kan een account aanmaken voor een leerkracht of op andere wijze betrokken professional (niet zijnde Afnemer) of een leerkracht of op andere wijze betrokken professional (niet zijnde Afnemer) koppelen aan een leerling/cliënt en heeft toegang tot hun naam en e-mailadres indien ze gekoppeld zijn aan een account van een leerling/cliënt van Afnemer;
- heeft toegang tot het volledige portfolio van een leerling/cliënt bestaande uit de opdrachten, het logboek, het afgeschermde dossier voor Afnemer en de facturen, inclusief de door Afnemer, leerling/cliënt en leerkracht of op andere wijze betrokken professional (niet zijnde Afnemer) geplaatste opmerkingen, links en bestanden. - Leerling/cliënt en ouder:
- hebben toegang tot de eigen Persoonsgegevens tot het moment dat het account gedeactiveerd wordt. Tot het moment van verwijderen, dat afhankelijk is van de bewaartermijn van Afnemer, kan het account op elk moment weer geactiveerd worden.
- hebben toegang tot vrijwel het volledige portfolio van de leerling/cliënt. Alleen het afgeschermde dossier is niet toegankelijk voor de leerling/cliënt en de ouder en de gegevens zijn niet in te zien zonder tussenkomst van Afnemer. - Leerkracht of op andere wijze betrokken professional (niet zijnde Afnemer):
- heeft toegang tot de eigen Persoonsgegevens tot het moment dat het account gedeactiveerd wordt. Tot het moment van verwijderen, dat afhankelijk is van de bewaartermijn van Afnemer, kan het account op elk moment weer geactiveerd worden.
- heeft toegang tot de opdrachten en het logboek in de portfolio’s van de aan de leerkracht of op andere wijze betrokken professional (niet zijnde Afnemer) gekoppelde leerlingen/cliënten, inclusief de door Afnemer, leerling/cliënt en leerkracht of op andere wijze betrokken professional (niet zijnde Afnemer) geplaatste opmerkingen, links en bestanden. - Het administratoraccount wordt alleen gebruikt door Annemieke Augusteijn en medewerkers van BTTR voor wie dit noodzakelijk is om hun taak uit te kunnen voeren. Indien hier verandering in komt, wordt Afnemer daarvan tijdig op de hoogte gebracht.
- Bestanden die worden geüpload naar een portfolio worden versleuteld opgeslagen en zijn alleen toegankelijk vanuit de accounts die toegang hebben tot het betreffende portfolio.
- Acties die binnen de omgeving worden uitgevoerd worden gelogd in een auditlog dat toegankelijk is voor de personen met een administratoraccount. Dit auditlog wordt maandelijks gecontroleerd op onrechtmatigheden. Op verzoek kan Afnemer het deel van dit auditlog dat betrekking heeft op de leerlingen/cliënten van Afnemer opvragen bij Mijn Superkracht.
- Controle door BTTR op poging om onrechtmatig toegang te verkrijgen op serverniveau.
- Serverlogs door BTTR.
- Back-ups worden gecreëerd en bewaard conform de overeenkomst tussen Mijn Superkracht en BTTR.
Beveiligingsincidenten en/of Datalekken:
In geval van een (vermoeden van een) beveiligingsincident en/of Datalek, dient Afnemer contact op te nemen met: Annemieke Augusteijn, 06-53578718/ [email protected]
De contactpersoon van Afnemer is Afnemer persoonlijk, tenzij hij per mail een andere contactpersoon doorgeeft aan Mijn Superkracht.
Informeren over Datalekken en/of incidenten met betrekking tot beveiliging
Als Mijn Superkracht of Afnemer een Datalek constateert zal hij/zij dit per e-mail melden aan de hierboven genoemde contactpersoon van de andere Partij. Hierbij wordt in ieder geval de volgende informatie gedeeld:
- De kenmerken van het incident, zoals: datum en tijdstip constatering, samenvatting incident, kenmerk en aard incident (op wat voor onderdeel van de beveiliging ziet het, hoe heeft het zich voorgedaan, heeft het betrekking op lezen, kopiëren, veranderen, verwijderen/vernietigen en/of diefstal van persoonsgegevens).
- De oorzaak van het beveiligingsincident.
- De maatregelen die getroffen zijn om eventuele/verdere schade te voorkomen.
- Benoemen van Betrokkenen die gevolgen kunnen ondervinden van het incident, en de mate waarin.
- De omvang van de groep Betrokkenen.
- Het soort Persoonsgegevens dat door het incident wordt getroffen (met name bijzondere Persoonsgegevens, of Persoonsgegevens van gevoelige aard, waaronder toegangs- of identificatiegegevens, financiële gegevens of leerprestaties).
Indien gezien de ernst van het incident melding bij de Autoriteit Persoonsgegevens nodig is, zal dit gedaan worden door Afnemer. Alleen indien het incident een groter aantal Afnemers op dezelfde wijze treft, zal Mijn Superkracht deze melding doen. Daarnaast brengt Afnemer indien nodig de Betrokkenen op de hoogte.
Versie
Versie 3, 11 september 2018