Verwerkersovereenkomst webinars

Partijen:

Degene die het webinar inhoudelijk verzorgt

hierna te noemen: Afnemer

En

Mijn Superkracht
Meester Happensoenlaan 27
5237 JM ‘s-Hertogenbosch
hierna te noemen: “Mijn Superkracht”

hierna gezamenlijk te noemen: “Partijen”, of afzonderlijk: “Partij”

Overwegen het volgende:

Afnemer en Mijn Superkracht gaan een overeenkomst aan waarbij Mijn Superkracht de technische verzorging van een webinar doet voor Afnemer, (‘de Hoofdovereenkomst’). Deze Hoofdovereenkomst leidt ertoe dat Mijn Superkracht in opdracht van Afnemer Persoonsgegevens verwerkt.
Partijen wensen, mede gelet op het bepaalde in artikel 28 lid 3 Algemene Verordening Gegevensbescherming, in deze Verwerkersovereenkomst hun wederzijdse rechten en verplichtingen voor de Verwerking van Persoonsgegevens vast te leggen.

Komen het volgende overeen:

Artikel 1: Definities

In deze Verwerkersovereenkomst wordt verstaan onder:

1. Autoriteit Persoonsgegevens: de Autoriteit Persoonsgegevens, het zelfstandig bestuursorgaan dat in Nederland bij wet is aangesteld als toezichthouder voor het toezicht op verwerkingen van persoonsgegevens.
2. AVG: de Algemene Verordening Gegevensbescherming (Verordening 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG).
3. Betrokkene, Verwerker, Derde, Persoonsgegevens, Verwerking van Persoonsgegevens en Verwerkingsverantwoordelijke: de begrippen zoals gedefinieerd in de AVG.
4. Bijlage(n): bijlage(n) bij de Verwerkersovereenkomst.
5. Datalek: een inbreuk in verband met persoonsgegevens, zoals bedoeld in artikel 4 sub 12 AVG.
6. DPIA: een gegevensbeschermingseffectbeoordeling, die wordt uitgevoerd voorafgaand aan het uitvoeren van een verwerking, van het effect van de beoogde verwerkingsactiviteiten op de bescherming van persoonsgegevens.
7. EER: Europese Economische Ruimte.
8. Hoofdovereenkomst: overeenkomst tot levering van het product en/of dienst tussen Afnemer en Mijn Superkracht, zoals omschreven in overweging a
9. Instructies: schriftelijke aanwijzingen van Afnemer aan Mijn Superkracht in het kader van haar bevoegdheden. Instructies worden verstrekt door en aan de contactpersonen van partijen zoals die zijn opgenomen in de Bijlage(n).
10. Subverwerker: de partij die door Mijn Superkracht wordt ingeschakeld als Verwerker ten behoeve van de Verwerking van de Persoonsgegevens in het kader van deze Verwerkersovereenkomst en de Hoofdovereenkomst.
11. Schriftelijk: waar in deze Verwerkersovereenkomst gesproken wordt van schriftelijk, wordt ook bedoeld elektronische communicatie zoals e-mail, mits de identiteit van de afzender en de authenticiteit van de communicatie voldoende vaststaat. De bewijslast betreffende ontvangst van elektronische communicatie ligt te allen tijde bij Afnemer.
12. Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens: de toepasselijke (Unierechtelijke en lidstaatrechtelijke) wet- en regelgeving en/of (nadere) verdragen, verordeningen, richtlijnen, besluiten, beleidsregels, instructies en/of aanbevelingen van een bevoegde overheidsinstantie betreffende de Verwerking van Persoonsgegevens, tevens omvattende toekomstige wijziging hiervan en/of aanvulling hierop, inclusief lidstaat-rechtelijke uitvoeringswetten van de AVG en de Telecommunicatiewet.
13. Verwerkersovereenkomst: deze overeenkomst inclusief de bijgevoegde bijlagen.

Artikel 2: Onderwerp en opdracht Verwerkersovereenkomst

1. Deze Verwerkersovereenkomst is van toepassing op de Verwerking van Persoonsgegevens in het kader van de uitvoering van de Hoofdovereenkomst.
2. Afnemer geeft Mijn Superkracht conform artikel 28 AVG opdracht en Instructies om Persoonsgegevens te verwerken namens Afnemer. De Instructies van Afnemer kunnen onder meer nader omschreven zijn in deze Verwerkersovereenkomst en de Hoofdovereenkomst.
3. De bepalingen uit de Verwerkersovereenkomst gelden voor alle Verwerkingen zoals opgenomen in Bijlage 1, die plaatsvinden ter uitvoering van de Hoofdovereenkomst. Wanneer Mijn Superkracht reden heeft om aan te nemen dat zij niet langer aan de Verwerkersovereenkomst kan voldoen, brengt Mijn Superkracht Afnemer onmiddellijk daarvan op de hoogte.

Artikel 3: Rolverdeling

1. Afnemer is ten aanzien van de in diens opdracht uit te voeren Verwerkingen van Persoonsgegevens de Verwerkingsverantwoordelijke. Mijn Superkracht is Verwerker in de zin van de AVG. Afnemer heeft en houdt zelfstandige zeggenschap over (het bepalen van) het doel en de middelen van de Verwerking van de Persoonsgegevens.
2. Afnemer en Mijn Superkracht verstrekken elkaar over en weer alle benodigde informatie teneinde een goede naleving van de Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens mogelijk te maken.
3. De door Mijn Superkracht te verwerken persoonsgegevens en de daarop van toepassing zijnde verwerkingsdoeleinden, waar deze Verwerkersovereenkomst betrekking op heeft, worden nader omschreven in Bijlage 1.
4. Indien Mijn Superkracht in strijd met de AVG het doel en de middelen van de Verwerking van Persoonsgegevens bepaalt, wordt Mijn Superkracht met betrekking tot die Verwerking als Verwerkingsverantwoordelijke beschouwd.

Artikel 4: Gebruik Persoonsgegevens

1. Mijn Superkracht verwerkt de persoonsgegevens alleen conform de schriftelijke instructies van Afnemer en conform deze Verwerkersovereenkomst. Mijn Superkracht heeft daarbij zelf geen zeggenschap over de persoonsgegevens. Mijn Superkracht verwerkt de persoonsgegevens niet voor eigen doeleinden, de doeleinden van Derden en/of voor andere doeleinden die niet door Afnemer zijn bepaald, tenzij Mijn Superkracht daartoe verplicht is onder toepasselijke wetgeving, dan wel een rechterlijke uitspraak, voor zover daartegen geen beroep meer openstaat. In dat geval stelt Mijn Superkracht Afnemer vooraf schriftelijk van die verplichting op de hoogte, tenzij dergelijke kennisgeving om gewichtige redenen van algemeen belang verboden is.
2. Partijen zullen persoonsgegevens verwerken in overeenstemming met de Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens, waaronder de voorschriften van de AVG. Mijn Superkracht licht Afnemer in als, naar mening van Mijn Superkracht, een instructie van Afnemer inbreuk oplevert op de AVG en/of de andere toepasselijke wet- en regelgeving.

Artikel 5: Vertrouwelijkheid

1. Mijn Superkracht garandeert dat zij alle Persoonsgegevens strikt vertrouwelijk zal behandelen ten opzichte van Derden, waaronder overheidsinstanties. Mijn Superkracht zorgt ervoor dat eenieder die zij betrekt bij de Verwerking van Persoonsgegevens, waaronder haar werknemers, vertegenwoordigers en/of Subverwerkers, deze gegevens als vertrouwelijk behandelt. Mijn Superkracht waarborgt dat met de tot het Verwerken van de Persoonsgegevens geautoriseerde personen een geheimhoudingsovereenkomst of -beding is gesloten, of dat deze door een wettelijke verplichting tot geheimhouding zijn gebonden.
2. De in lid 1 bedoelde geheimhoudingsplicht geldt niet in de hierna genoemde gevallen:
   ​- voor zover Afnemer uitdrukkelijk toestemming heeft gegeven om de Persoonsgegevens aan een Derde te verstrekken;
   - indien het verstrekken van de Persoonsgegevens aan een Derde noodzakelijk is gezien de aard van de door Mijn Superkracht aan Afnemer te verlenen diensten; of
   - indien Mijn Superkracht op grond van een Unierechtelijke of lidstaatrechtelijke bepaling dan wel een gerechtelijke uitspraak, voor zover daartegen geen beroep meer openstaat, tot verstrekking verplicht is.
3. Mijn Superkracht onthoudt zich van verstrekking of bekendmaking van Persoonsgegeven aan een Derde, tenzij deze verstrekking of bekendmaking plaatsvindt in opdracht van Afnemer, respectievelijk wanneer dit noodzakelijk is om te voldoen aan een gerechtelijke uitspraak, voor zover daartegen geen beroep meer openstaat, of een op Mijn Superkracht rustende wettelijke verplichting. Onder wettelijke verplichtingen zijn begrepen Unierechtelijke of lidstaatrechtelijke bepalingen op grond waarvan Mijn Superkracht tot verstrekken verplicht is. In geval van een wettelijke verplichting, verifieert Mijn Superkracht voorafgaand aan de verstrekking de wettelijke grondslag en de identiteit van de partij die zich daarop beroept. Daarnaast stelt Mijn Superkracht - tenzij die wetgeving deze kennisgeving om gewichtige redenen van algemeen belang verbiedt - Afnemer onmiddellijk, zo mogelijk voorafgaand aan de verstrekking, in kennis van de voor Afnemer relevante informatie inzake deze verstrekking.
4. Mijn Superkracht zorgt ervoor dat de onder diens gezag werkende medewerkers uitsluitend toegang hebben tot Persoonsgegevens voor zover noodzakelijk voor de vervulling van hun werkzaamheden.

Artikel 6: Beveiliging en controle

1. Met inachtneming van het bepaalde in artikel 32 AVG zal Mijn Superkracht, gelijk Afnemer, zorg dragen voor passende technische en organisatorische maatregelen om Persoonsgegevens te beveiligen en beschermen tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging.
2. Naast de maatregelen als genoemd in artikel 32 lid 1 AVG, worden onder meer de volgende maatregelen - waar passend - genomen:
   - een passend beleid voor de beveiliging van de Verwerking van de Persoonsgegevens;
   - maatregelen om te waarborgen dat enkel geautoriseerde medewerkers toegang hebben tot Persoonsgegevens die in het kader van de Hoofdovereenkomst worden verwerkt;
   - het regelen van procedures rondom het verlenen van toegang tot Persoonsgegevens (waaronder een registratie- en afmeldprocedure voor toewijzing van toegangsrechten), en het in logbestanden vastleggen van gebeurtenissen betreffende gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen (vergelijkbaar met de toepasselijke ISO-normering, en/of vergelijkbaar met het geldende Certificeringsschema informatiebeveiliging en privacy ROSA). Afnemer wordt in de gelegenheid gesteld om deze logbestanden periodiek te controleren.
3. Partijen zullen de getroffen beveiligingsmaatregelen periodiek evalueren en aanscherpen, aanvullen of verbeteren voor zover de eisen of (technologische) ontwikkelingen daartoe aanleiding geven.
4. In Bijlage 2 zijn de afspraken tussen Partijen vastgelegd over de passende technische en organisatorische beveiligingsmaatregelen, alsmede over de inhoud, vorm en de werkwijze van de verklaringen die Mijn Superkracht verstrekt over de afgesproken beveiligingsmaatregelen.
5. Mijn Superkracht stelt Afnemer, in goed overleg, in staat om effectief te kunnen voldoen aan zijn wettelijke verplichting om toezicht te houden op de naleving door Mijn Superkracht van de technische en organisatorische beveiligingsmaatregelen alsmede op de naleving van de in artikel 7 genoemde verplichtingen ten aanzien van Datalekken.
6. In aanvulling op de voorgaande leden heeft Afnemer te allen tijde het recht om, in overleg met Mijn Superkracht en met inachtneming van een redelijke termijn, de naleving van Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens, de Hoofdovereenkomst en deze Verwerkersovereenkomst, waaronder de door Mijn Superkracht genomen technische en organisatorische beveiligingsmaatregelen, te (doen) controleren middels een audit uitgevoerd door een onafhankelijke gecertificeerde externe deskundige:
7. Partijen kunnen in onderling overleg afspreken dat de audit wordt uitgevoerd door een door Mijn Superkracht, in overleg met Afnemer, in te schakelen externe deskundige die een derdenverklaring (TPM) afgeeft.
8. De auditor verstrekt het auditrapport alleen aan Partijen.
9. Partijen maken onderling afspraken over de omgang met de uitkomsten van de audit.
10. Partijen kunnen in onderling overleg afspreken dat, aan de hand van een geldige (inter)nationaal erkende certificering of een gelijkwaardig controle- of bewijsmiddel, een reeds uitgevoerde audit en daaruit afgegeven derdenverklaring gebruikt kan worden. Afnemer wordt in dat geval geïnformeerd over de uitkomsten van de audit.
11. Partijen komen overeen dat de kosten van deze audit voor rekening komen van Afnemer, tenzij uit de audit (grote) gebreken blijken, die aan Mijn Superkracht kunnen worden toegerekend. In dat geval treden partijen in overleg over de verdeling van de kosten van de audit.

Artikel 7: Datalekken

1. Partijen hebben een passend beleid voor de omgang met Datalekken.
2. Indien Afnemer of Mijn Superkracht een Datalek vaststelt, dan zal deze de andere Partij daarover zonder onredelijke vertraging informeren zodra hij kennis heeft genomen van dat Datalek. Mijn Superkracht verstrekt ingeval van een Datalek alle relevante informatie aan Afnemer met betrekking tot het Datalek, waaronder informatie over eventuele ontwikkelingen rond het Datalek, en de maatregelen die Mijn Superkracht treft om aan haar kant de gevolgen van het Datalek te beperken en herhaling te voorkomen, zoals uiteengezet in Bijlage 2.
3. Mijn Superkracht informeert Afnemer onverwijld indien een vermoeden bestaat dat een Datalek waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen zoals bedoeld in artikel 34 lid 1 AVG.
4. Mijn Superkracht stelt Afnemer bij een Datalek in staat om passende vervolgstappen te (laten) nemen ten aanzien van het Datalek. Partijen nemen zo spoedig mogelijk alle redelijkerwijs benodigde maatregelen om (verdere) schending of inbreuken betreffende de Verwerking van Persoonsgegevens, en meer in het bijzonder (verdere) schending van de Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens, te voorkomen of te beperken.
5. In geval van een Datalek, voldoet Afnemer aan eventuele wettelijke meldingsplichten. In geval een Datalek bij Remedial Teaching meerdere Afnemers in gelijke mate treft, kan Mijn Superkracht, na overleg met een of meerdere Afnemers, namens deze Afnemers een melding doen van het Datalek aan de Autoriteit Persoonsgegevens. Van het voornemen hiervan zal Mijn Superkracht Afnemer onverwijld (en zo mogelijk voorafgaand aan de melding) in kennis stellen.
6. In geval dat het Datalek waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van Betrokkenen, zal Afnemer de Betrokkenen informeren over het Datalek.
7. Partijen zullen te goeder trouw in onderling overleg afspraken maken over de redelijke verdeling van de eventuele kosten die verbonden zijn aan het voldoen aan de meldingsplichten.
8. Partijen documenteren alle Datalekken in een (incidenten)register, met inbegrip van de feiten omtrent de inbreuk in verband met Persoonsgegevens, de gevolgen daarvan en de genomen corrigerende maatregelen.

Artikel 8: Bijstand

1. Mijn Superkracht verleent Afnemer bijstand bij het doen nakomen van de op Afnemer rustende verplichtingen op grond van de AVG en andere Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens, zoals met betrekking - maar niet beperkt - tot:
   - het - voor zover redelijkerwijs mogelijk - vervullen van de plicht van Afnemer om aan verzoeken van de in hoofdstuk III van de AVG vastgelegde rechten van de betrokkene binnen de wettelijke termijnen te voldoen, zoals een verzoek om inzage, verbetering, aanvulling, verwijdering of afscherming van Persoonsgegevens;
   - het uitvoeren van controles en audits zoals bedoeld in artikel 6 van deze Verwer-kersovereenkomst;
   - het uitvoeren van een DPIA en een eventuele daaruit voortkomende verplichte voorafgaande raadpleging van de Autoriteit Persoonsgegevens;
   - het voldoen aan verzoeken van de Autoriteit Persoonsgegevens of een andere overheidsinstantie;
   - het voorbereiden, beoordelen en melden van Datalekken zoals bedoeld in artikel 7 van deze Verwerkersovereenkomst.
2. Een klacht of verzoek van een Betrokkene of een verzoek of onderzoek van de Autoriteit Persoonsgegevens met betrekking tot de Verwerking van de Persoonsgegevens, wordt door Mijn Superkracht, voor zover wettelijk is toegestaan, onverwijld doorgestuurd naar Afnemer, die verantwoordelijk is voor de afhandeling van het verzoek.
3. Partijen brengen elkaar voor in redelijkheid verleende bijstand geen kosten in rekening. In het geval dat één van de Partijen kosten in rekening wil brengen, brengt deze Partij de andere Partij hiervan vooraf op de hoogte.

Artikel 9: Doorgifte aan derde landen buiten de EER

1. Mijn Superkracht is uitsluitend gerechtigd tot doorgifte van Persoonsgegevens aan een derde land buiten de EER of internationale organisatie zoals bedoeld in artikel 4 lid 26 AVG, indien Afnemer daarvoor specifieke schriftelijke toestemming geeft, tenzij een op Mijn Superkracht van toepassing zijnde Unierechtelijke of lidstaatrechtelijke bepaling Mijn Superkracht tot Verwerking verplicht. In dat geval stelt Mijn Superkracht Afnemer voorafgaand aan de doorgifte schriftelijk op de hoogte van deze bepaling, tenzij die wetgeving deze kennisgeving om gewichtige redenen van algemeen belang verbiedt.
2. Afnemer geeft Mijn Superkracht door ondertekening van deze Verwerkersovereenkomst toestemming tot de doorgiften, zoals omschreven in lid 1, die zijn opgenomen in Bijlage 1.
3. Indien na toestemming van Afnemer Persoonsgegevens worden doorgegeven aan derde landen buiten de EER of aan een internationale organisatie, dan zien Partijen erop toe dat dit alleen plaatsvindt conform wettelijke voorschriften en eventuele verplichtingen die in dit verband op Afnemer rusten.

Artikel 10: Inschakeling Subverwerker

1. Afnemer geeft Mijn Superkracht door het accepteren van deze Verwerkersovereenkomst toestemming tot het inschakelen van Subverwerkers, van wie de identiteit en vestigingsgegevens zijn opgenomen in Bijlage 1.
2. Tijdens de duur van de Verwerkersovereenkomst licht Mijn Superkracht Afnemer in over een voorgenomen toevoeging van een nieuwe Subverwerker of wijziging in de samenstelling van de bestaande Subverwerkers, waarbij Afnemer de mogelijkheid wordt geboden tegen deze veranderingen bezwaar te maken.
3. Mijn Superkracht is verplicht iedere Subverwerker via een overeenkomst of andere rechtshandeling minimaal dezelfde verplichtingen inzake gegevensbescherming op te leggen als in deze Verwerkersovereenkomst aan Mijn Superkracht zijn opgelegd. Hieronder vallen onder meer de verplichting om de Persoonsgegevens niet verder te Verwerken anders dan in het kader van deze Verwerkersovereenkomst is overeengekomen, en de verplichting tot het nakomen van de geheimhoudingsverplichtingen, meldingsverplichtingen, medewerkingsverplichtingen en beveiligingsmaatregelen met betrekking tot de Verwerking van Persoonsgegevens zoals in deze Verwerkersovereenkomst vastgelegd.
4. Mijn Superkracht zal op verzoek van Afnemer afschriften verstrekken van de Subverwerkersovereenkomsten met diens Subverwerkers, of van de relevante passages uit de Subverwerkersovereenkomsten of een andere overeenkomst of een andere bindende rechtshandeling tussen Mijn Superkracht en de door deze overeenkomstig artikel 10, lid 1, van deze Verwerkersovereenkomst ingeschakelde Subverwerker.

Artikel 11: Bewaartermijnen en vernietiging Persoonsgegevens

1. Afnemer zal Mijn Superkracht adequaat informeren over (wettelijke) bewaartermijnen die van toepassing zijn op de Verwerking van Persoonsgegevens door Mijn Superkracht. Mijn Superkracht zal de Persoonsgegevens niet langer Verwerken dan overeenkomstig deze bewaartermijnen.
2. Afnemer verplicht Mijn Superkracht om de in opdracht van Afnemer Verwerkte Persoonsgegevens bij de beëindiging van de Verwerkersovereenkomst te (doen) vernietigen, tenzij de Persoonsgegevens langer bewaard moeten worden, zoals in het kader van (wettelijke) verplichtingen, dan wel op verzoek van Afnemer. Mijn Superkracht mag voor dergelijke vernietiging redelijke kosten in rekening brengen bij Afnemer. Afnemer kan op eigen kosten een controle laten uitvoeren of vernietiging heeft plaatsgevonden.
3. Mijn Superkracht zal Afnemer schriftelijk bevestigen dat vernietiging van de Verwerkte Persoonsgegevens heeft plaatsgevonden.
4. Mijn Superkracht zal alle Subverwerkers die betrokken zijn bij de Verwerking van de Persoonsgegevens op de hoogte stellen van een beëindiging van de Verwerkersovereenkomst en zal waarborgen dat alle Subverwerkers de Persoonsgegevens (laten) vernietigen.

Artikel 12: Aansprakelijkheid

1. Een Partij kan geen beroep doen op een aansprakelijkheidsbeperking, die is opgenomen in de Hoofdovereenkomst of andere tussen Partijen bestaande overeenkomst of regeling, ten aanzien van een door de andere Partij ingestelde:
   - verhaalsactie op grond van artikel 82 AVG; of
   - schadevergoedingsactie uit hoofde van deze Verwerkersovereenkomst, indien en voor zover de actie bestaat uit verhaal van een aan de Autoriteit Persoonsgegevens betaalde geldboete die geheel of gedeeltelijk toerekenbaar is aan de andere Partij.
2. Het bepaalde in dit artikel laat onverlet de rechtsmiddelen die de aangesproken partij op grond van de geldende wet- of regelgeving ter beschikking staat.
3. Iedere Partij is verplicht de andere Partij zonder onnodige vertraging op de hoogte te stellen van een (mogelijke) aansprakelijkstelling of het (mogelijk) opleggen van een boete door de Autoriteit Persoonsgegevens, beiden in verband met deze Verwerkersovereenkomst. Iedere Partij is in redelijkheid verplicht de andere Partij informatie te verstrekken en/of ondersteuning te verlenen ten behoeve van het voeren van verweer tegen een (mogelijke) aansprakelijkstelling of boete, zoals bedoeld in de vorige volzin. De Partij die informatie verstrekt en/of ondersteuning verleent, is gerechtigd om eventuele redelijke kosten daarvoor in rekening te brengen bij de andere Partij, Partijen informeren elkaar zo veel mogelijk vooraf over deze kosten.

Artikel 13: Tegenstrijdigheid en wijziging Verwerkersovereenkomst

1. In het geval van tegenstrijdigheid tussen de bepalingen uit deze Verwerkersovereenkomst en de bepalingen van de Hoofdovereenkomst, dan zullen de bepalingen van deze Verwerkersovereenkomst leidend zijn.
2. Indien Partijen van de artikelen in de Verwerkersovereenkomst door omstandigheden moeten afwijken, of deze willen aanvullen, dan zullen deze wijzigingen en/of aanvullingen door Partijen worden beschreven en gemotiveerd in een overzicht dat als Bijlage 3 aan deze Verwerkersovereenkomst zal worden gehecht. Het bepaalde in dit lid geldt niet voor aanvullingen en/of wijzigingen van de Bijlagen 1 en 2.
3. Bij belangrijke wijzigingen in het product en/of de (aanvullende) diensten die van invloed zijn op de Verwerking van de Persoonsgegevens wordt, alvorens Afnemer de keuze hiertoe aanvaardt, Afnemer geïnformeerd over de consequenties van deze wijzigingen. Onder belangrijke wijzigingen wordt in ieder geval verstaan: de toevoeging of wijziging van een functionaliteit die leidt tot een uitbreiding ten aanzien van de te Verwerken Persoonsgegevens en de doeleinden waaronder de Persoonsgegevens worden Verwerkt. De wijzigingen zullen in Bijlage 1 worden opgenomen.
4. Wijzigingen in de artikelen van de Verwerkersovereenkomst kunnen uitsluitend in gezamenlijkheid worden overeengekomen.
5. In het geval enige bepaling van deze Verwerkersovereenkomst nietig, vernietigbaar of anderszins niet afdwingbaar is of wordt, blijven de overige bepalingen van deze Verwerkersovereenkomst volledig van kracht. Partijen zullen in dat geval met elkaar in overleg treden om de nietige, vernietigbare of anderszins niet afdwingbare bepaling te vervangen door een uitvoerbare alternatieve bepaling. Daarbij zullen partijen zoveel mogelijk rekening houden met het doel en de strekking van de nietige, vernietigde of anderszins niet afdwingbare bepaling.

Artikel 14: Duur en beëindiging

1. De looptijd van deze Verwerkersovereenkomst is gelijk aan de looptijd van de tussen Partijen gesloten Hoofdovereenkomst, inclusief eventuele verlengingen daarvan.
2. Deze Verwerkersovereenkomst eindigt van rechtswege bij de beëindiging van de Hoofdovereenkomst. Bij beëindiging of ontbinding van de Hoofdovereenkomst, verplichten Partijen zich te blijven houden aan het bepaalde in deze Verwerkersovereenkomst met betrekking tot geheimhouding, aansprakelijkheid, vrijwaring en alle overige bepalingen die naar hun aard bestemd zijn om ook na het einde van deze Verwerkersovereenkomst voort te duren.

Bijlage 1: Privacybijsluiter

Bijlage 2: Beveiligingsbijlage

BIJLAGE 1: PRIVACYBIJSLUITER

Technische verzorging webinars

A. Algemene informatie

Product en dienst: technische verzorging webinar en gebruik webinarsoftware

Mijn Superkracht/Verwerker: Mijn Superkracht

Link naar website Mijn Superkracht: www.mijnsuperkracht.nl

Gebruikers: personen die zuch registreren voor een webinar

Beknopte uitleg en werking product en dienst

Mijn Superkracht verzorgt de technische kant van het organiseren van een webinar en gebruikt hiervoor de webinarsoftware waarvoor zij een overeenkomst heeft afgesloten.

B. Omschrijving specifieke diensten en bijbehorende Verwerkingen

Verwerkingen die een onlosmakelijk onderdeel vormen van de dienst

1. Het registreren om een webinar live of de opname ervan te bekijken

Verwerkingen die hiernaast afhankelijk van de in de hoofdovereenkomst gemaakte afspraken van toepassomg zijn

1. het versturen van e-mails met de link om deel te nemen aan het webinar of om de opname te bekijken
2. het versturen van facturen
3. het ontvangen van betalingen en deze administratief verwerken

C. Doeleinden voor het Verwerken van gegevens

De volgende mogelijke doeleinden voor de Verwerking in het kader van de Hoofdovereenkomst zijn van toepassing:

1. het kunnen organiseren en volgen van een webinar
2. het kunnen delen van kennis
3. het kunnen laten aanmelden voor een nieuwsbrief
4. het kunnen doen van een aanbod

D. Categorieën en soorten Persoonsgegevens

Omschrijving van de categorieën Betrokkenen over wie Persoonsgegevens worden Verwerkt en de categorieën Persoonsgegevens van de Betrokkenen:

Categorie	Toelichting
personen die zich registreren voor het webinar
1. Contactgegevens	Verplicht: voornaam, e-mailadres
2. Financiën	Optioneel bij een betaald webinar: Facturatiegegevens en informatie over het al dan niet voldaan hebben van een factuur.
3. Internet	Verplicht: IP-adres, bezoekgedrag registratiepagina’s en het ontvangen van e-mails in het kader van het registratieproces voor het webinar en opvolging van het webinar, kijkgedrag gedurende de webinars en de interacties die een kijker heeft tijdens een webinar

Door Mijn Superkracht te hanteren specifieke bewaartermijnen van Persoonsgegevens (of toetsingscriteria om dit vast te stellen):

1. Personen die zich registreren voor een webinar: persoonsgegevens worden bewaard tot maximaal 30 dagen nadat de opname niet meer beschikbaar is en de wettelijke bewaartermijn voor eventuele financiële gegevens verlopen is.
2. Afnemer: Persoonsgegevens worden bewaard tot maximaal 30 dagen na het opzeggen van de Hoofdovereenkomst.

E. Doorgifte Persoonsgegevens:

Afnemer geeft aan Mijn Superkracht door ondertekening van de Verwerkersovereenkomst alleen toestemming voor doorgifte aan derde landen en/of internationale organisaties buiten de EER in landen met een ‘passend beveiligingsniveau’ volgens de Autoriteit Persoonsgegevens. Indien er gegevens worden doorgegeven aan derden in de Verenigde Staten, dienen deze derden gecertificeerd te zijn voor het EU-US Privacy Shield

F. Subverwerkers

Afnemer geeft Mijn Superkracht door akkoord te gaan met de Verwerkersovereenkomst een algemene schriftelijke toestemming voor het inschakelen van een Subverwerker. Mijn Superkracht heeft het recht gebruik te gaan maken van andere Subverwerkers, mits daarvan voorafgaand mededeling wordt gedaan aan Afnemer en Afnemer daartegen bezwaar kan maken binnen een redelijke periode.

Mijn Superkracht maakt ten tijde van het afsluiten van de Verwerkersovereenkomst gebruik van de volgende Subverwerkers, waarvoor Afnemer toestemming geeft:

1. WebinarGeek, dit is de leverancier van de software voor het webinar

G. Contactgegevens

Voor vragen of opmerkingen over deze bijsluiter, kunt u terecht bij:

Mijn Superkracht
Annemieke Augusteijn
Meester Happensoenlaan 27
5237 JM ‘s-Hertogenbosch

H. Versie

Versie 1, 29 januari 2020

BIJLAGE 2: BEVEILIGINGSBIJLAGE

Beleid

Mijn Superkracht heeft een beleid voor de beveiliging van Persoonsgegevens dat jaarlijks wordt geëvalueerd en zo nodig bijgesteld. In dit beleid worden de te volgen procedures en getroffen beveiligingsmaatregelen beschreven.

Beveiligingsmaatregelen persoonsgegevens

1. Het account van Mijn Superkracht voor de webinarsoftware is beveiligd met tweestapsverificatie.
2. Alleen de medewerkers van WebinarGeek die uit hoofde van hun taak toegang tot de gegevens nodig hebben en Mijn Superkracht hebben toegang tot de persoonsgegevens

Beveiligingsincidenten en/of Datalekken:

In geval van een (vermoeden van een) beveiligingsincident en/of Datalek, dient Afnemer contact op te nemen met: Annemieke Augusteijn, 06-53578718/ [email protected]

De contactpersoon van Afnemer is Afnemer persoonlijk, tenzij hij per mail een andere contactpersoon doorgeeft aan Mijn Superkracht.

Informeren over Datalekken en/of incidenten met betrekking tot beveiliging

Als Mijn Superkracht of Afnemer een Datalek constateert zal hij/zij dit per e-mail melden aan de hierboven genoemde contactpersoon van de andere Partij. Hierbij wordt in ieder geval de volgende informatie gedeeld:

1. De kenmerken van het incident, zoals: datum en tijdstip constatering, samenvatting incident, kenmerk en aard incident (op wat voor onderdeel van de beveiliging ziet het, hoe heeft het zich voorgedaan, heeft het betrekking op lezen, kopiëren, veranderen, verwijderen/vernietigen en/of diefstal van persoonsgegevens).
2. De oorzaak van het beveiligingsincident.
3. De maatregelen die getroffen zijn om eventuele/verdere schade te voorkomen.
4. Benoemen van Betrokkenen die gevolgen kunnen ondervinden van het incident, en de mate waarin.
5. De omvang van de groep Betrokkenen.
6. Het soort Persoonsgegevens dat door het incident wordt getroffen (met name bijzondere Persoonsgegevens, of Persoonsgegevens van gevoelige aard, waaronder toegangs- of identificatiegegevens, financiële gegevens of leerprestaties).

Indien gezien de ernst van het incident melding bij de Autoriteit Persoonsgegevens nodig is, zal dit gedaan worden door Afnemer. Alleen indien het incident een groter aantal Afnemers op dezelfde wijze treft, zal Mijn Superkracht deze melding doen. Daarnaast brengt Afnemer indien nodig de Betrokkenen op de hoogte.

Versie

Versie 1, 29 januari 2020