Verwerkersovereenkomst

[naam klant], (hierna: ‘Uitbesteder’),

en

eWorks BV, (hierna: ‘Aannemer’),

overwegende, dat:

Aannemer in opdracht van Uitbesteder LMS hosting diensten (hierna: de ‘Diensten’) zal leveren, zoals op [datum] overeengekomen in [offerte] voor Uitbesteder (hierna: de ‘Overeenkomst’);

• Bij de levering van deze diensten persoonsgegevens worden of kunnen worden verwerkt, in de zin zoals gedefinieerd in de Algemene Verordening Gegevensbescherming (hierna: de ‘Verordening’);
• De geldende wet- en regelgeving (waaronder de Verordening) aan deze persoonsgegevensverwerking bepaalde eisen en beperkingen stelt;

zijn het volgende overeengekomen:

Artikel 1. Inwerkingtreding, precedentie en duur

1.1. Deze Verwerkersovereenkomst is een bijlage aan en maakt derhalve deel uit van de Overeenkomst. De bepalingen in deze Verwerkingsovereenkomst slaan daarmee uitsluitend op de in de Overeenkomst beschreven Diensten;

1.2. Deze Verwerkersovereenkomst treedt in werking op de datum waarop de Overeenkomst in werking treedt.

1.3. Bij wijzigingen aan de volgens de Overeenkomst door Aannemer aan Uitbesteder te leveren Diensten beoordelen Uitbesteder en Aannemer in overleg de consequenties voor de persoonsgegevensverwerking en/of de daaraan gestelde voorwaarden en beperkingen zoals beschreven in deze Verwerkingsovereenkomst;

1.4. Deze Verwerkersovereenkomst eindigt op de datum waarop de Overeenkomst eindigt, tenzij deze Verwerkersovereenkomst wordt overgenomen als bijlage aan een vervangende Overeenkomst;

1.5. In geval van een significante wijziging aan de persoonsgegevensverwerking en/of de daaraan gestelde voorwaarden en beperkingen zoals beschreven in deze Verwerkingsovereenkomst, zullen de tussen Uitbesteder en Aannemer overeengekomen wijzingen in een getekende nieuwe versie van deze Verwerkingsovereenkomst worden vastgelegd;

1.6. Bij eventuele conflicterende beschrijvingen tussen de Overeenkomst en (de recentste getekende versie van) deze Verwerkingsovereenkomst, zijn de beschrijvingen in deze Verwerkingsovereenkomst van toepassing.

Artikel 2. Toepasselijke Wet- en Regelgeving

2.1. Tenzij expliciet in deze Verwerkingsovereenkomst of de Overeenkomst gedefinieerd gelden voor de in deze Verwerkersovereenkomst gebruikte begrippen de definities zoals beschreven in de Verordening;

2.2. Aannemer garandeert bij de uitvoering van de Overeenkomst en deze Verwerkersovereenkomst te voldoen aan de vereisten van de toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens (hierna: de ‘Wet’), te weten:

1. 1. 1. De Verordening;
      2. Geldende Uitvoeringswetgeving voor de Verordening in de betreffende lidstaten (in Nederland: de Uitvoeringswet AVG);
      3. De interpretatie van de Verordening en Uitvoeringswetgeving door de Leidende Toezichthoudende Autoriteit;

2.3. Deze Verwerkersovereenkomst tussen Uitbesteder en Aannemer is aangegaan onder hetzelfde recht als de Overeenkomst waaraan zij is toegevoegd;

2.4. Alle geschillen in verband met deze Verwerkersovereenkomst of de uitvoering ervan worden voorgelegd aan dezelfde bevoegde rechter als de Overeenkomst waaraan zij is toegevoegd.

Artikel 3. Betrokkenen, Aard en Doeleinden van de Persoonsgegevensverwerking

3.1. De Betrokkenen, Aard en Doeleinden van de persoonsgegevensverwerking voor de door Aannemer te leveren Diensten worden beschreven in Appendix A;

3.2. Naast voor de levering van de Dienst, mag Aannemer de persoonsgegevens ook verwerken in de zin van het toepassen van passende organisatorische c.q. technische maatregelen om die persoonsgegevens te beschermen (zie 12.2);

3.3. Zodra de beschreven doelbinding (zoals beschreven in 3.1) of rechtsgrond (zoals beschreven in Artikel 4) voor de persoonsgegevensverwerking eindigt worden de betreffende persoonsgegevens, inclusief alle eventuele kopieën, door Aannemer onverwijld vernietigd, tenzij:

1. 1. 1. Uitbesteder aan Aannemer voordien opdracht geeft tot overdracht aan Uitbesteder of aan een door Uitbesteder aangewezen derde partij;
      2. Aannemer Unierechtelijk of Lidstaatrechtelijk verplicht is om de betreffende persoonsgegevens te bewaren.

In dat geval stelt Aannemer voorafgaand aan het eindigen van doelbinding en/of rechtsgrond Uitbesteder in kennis van die wettelijke verplichting, tenzij die wetgeving deze kennisgeving om gewichtige redenen van algemeen belang verbiedt;

3.4. Aannemer zal de in het kader van de Overeenkomst verzamelde of ontvangen persoonsgegevens niet voor andere doeleinden of op andere wijze verwerken dan behandeld onder 3.1 t/m 3.3, tenzij Aannemer Unierechtelijk of lidstaatrechtelijk verplicht is tot die andersoortige verwerking.

In dat geval stelt Aannemer voorafgaand aan die andersoortige verwerking Uitbesteder in kennis van die wettelijke verplichting, tenzij die wetgeving deze kennisgeving om gewichtige redenen van algemeen belang verbiedt.

Artikel 4. Rechtsgrond van Verwerking

4.1. Aannemer verwerkt de persoonsgegevens in het kader van de geleverde Diensten op grond van het gerechtvaardigd belang dat zij heeft om de Diensten aan Uitbesteder te kunnen leveren.

Artikel 5. Locatie van verwerking

5.1. Aannemer mag in het kader van de door Aannemer te leveren Diensten persoonsgegevens uitsluitend verwerken in landen binnen de Europese Unie;

5.2. De locaties waar persoonsgegevensverwerking plaatsvindt in het kader van de door Aannemer te leveren Diensten worden beschreven in Appendix A.

Artikel 6. Medewerkers van Aannemer

6.1. Personen die onder het gezag van Aannemer handelen en toegang hebben tot persoonsgegevens in het kader van de door Aannemer te leveren Diensten, verwerken deze uitsluitend conform de beschrijvingen in deze Verwerkersovereenkomst, tenzij zij Unierechtelijk of lidstaatrechtelijk tot de andersoortige verwerking gehouden zijn;

6.2. Aannemer waarborgt dat de personen zoals bedoeld onder 6.1 zich ertoe hebben verbonden vertrouwelijkheid in acht te nemen of door een passende wettelijke verplichting van vertrouwelijkheid zijn gebonden.

Artikel 7. Onderaannemers van Aannemer

7.1. De Onderaannemers die onder het gezag van Aannemer handelen en toegang hebben tot persoonsgegevens in het kader van de door Aannemer te leveren Diensten worden beschreven in Appendix A;

7.2. Aannemer legt in een overeenkomst krachtens Unierecht of lidstatelijk recht aan alle Onderaannemers zoals bedoeld onder 7.1 dezelfde verplichtingen en beperkingen op zoals deze Verwerkersovereenkomst die aan Aannemer zelf oplegt, voor zover van toepassing op de aan die Onderaannemers uitbestede persoonsgegevensverwerking;

7.3. Wanneer Onderaannemers van Aannemer hun verplichtingen inzake gegevensbescherming niet nakomen, blijft de Aannemer ten aanzien van Uitbesteder volledig aansprakelijk voor het nakomen van de verplichtingen van die Onderaannemers;

7.4. Beoogde toevoeging of vervanging van Onderaannemers is een significante wijziging van deze Verwerkingsovereenkomst die conform 1.5 wordt goedgekeurd / overeengekomen tussen Uitbesteder en Aannemer.

Artikel 8. Communicatie tussen Uitbesteder en Aannemer

8.1. De formele communicatie in het kader van de tenuitvoerlegging van deze Verwerkersovereenkomst tussen Uitbesteder en Aannemer verloopt schriftelijk (c.q. via e-mail);

8.2. In het kader van de opvolging van verzoeken van Betrokkenen, en mits dat geen significante afwijking van deze Verwerkersovereenkomst betreft, mag Uitbesteder instructies voor persoonsgegevensverwerking geven;

8.3. Aannemer zal, voor zover mogelijk, de in 8.2 bedoelde instructies van Uitbesteder uitvoeren;

8.4. Aannemer mag de kosten voor het uitvoeren van de in 8.2 bedoelde instructies doorbelasten aan Uitbesteder;

8.5. Aannemer informeert Uitbesteder zonder onredelijke vertraging zodra hij kennis heeft genomen van een inbreuk in verband met persoonsgegevens die Aannemer in het kader van de door Aannemer te leveren Diensten verwerkt of laat verwerken;

8.6. Een inbreukmelding zoals bedoeld onder 8.5 voorziet Uitbesteder tenminste van de volgende informatie:

1. 1. 1. de aard van de inbreuk in verband met persoonsgegevens, waar mogelijk onder vermelding van de categorieën van betrokkenen en persoonsgegevensregisters in kwestie en, bij benadering, het aantal betrokkenen en persoonsgegevensregisters in kwestie;
      2. de naam en de contactgegevens van het contactpunt waar meer informatie kan worden verkregen, voor zover afwijkend van 8.8;
      3. de waarschijnlijke gevolgen van de inbreuk in verband met persoonsgegevens;
      4. de maatregelen die Aannemer heeft voorgesteld of genomen om de inbreuk in verband met persoonsgegevens aan te pakken, waaronder, in voorkomend geval, de maatregelen ter beperking van de eventuele nadelige gevolgen daarvan;

8.7. Waar Aannemer Unierechtelijk of lidstaatrechtelijk verplicht is tot afwijking van het in deze Verwerkersovereenkomst bepaalde stelt Aannemer Uitbesteder in kennis van die wettelijke verplichting, tenzij die wetgeving deze kennisgeving verbiedt;

8.8. De communicatie in het kader van de tenuitvoerlegging van deze Verwerkersovereenkomst tussen Uitbesteder en Aannemer verloopt via in de offerte vermelde contactpersonen.

Artikel 9. Communicatie met Betrokkenen

9.1. Aannemer zal in het kader van de levering van de Diensten met Betrokkenen communiceren zoals behandeld in Artikel 3;

9.2. Aannemer zal alle van Betrokkenen ontvangen verzoeken tot het uitoefenen van hun rechten onder de Wet  onverwijld aan Uitbesteder doorgeven voor verdere afhandeling.

Artikel 10. Communicatie met Toezichthoudende Autoriteiten

10.1. Alleen waar de Wet dat vereist zal Aannemer direct met Toezichthoudende Autoriteiten communiceren over de persoonsgegevensverwerking in het kader van de levering van de Diensten;

10.2. Aannemer stelt Uitbesteder in kennis van onder 10.1 bedoelde communicatie, tenzij deze kennisgeving Unierechtelijk of lidstaatrechtelijk verboden is.

Artikel 11. Geheimhouding en vertrouwelijkheid

11.1. Op alle persoonsgegevens die Aannemer van Uitbesteder ontvangt en/of zelf verzamelt in het kader van de te leveren Diensten, rust een geheimhoudingsplicht jegens derden;

11.2. Deze geheimhoudingsplicht is niet van toepassing:

1. 1. 1. voor zover Uitbesteder uitdrukkelijke toestemming heeft gegeven om de informatie aan derden te verschaffen;
      2. indien het verstrekken van de informatie aan derden logischerwijs noodzakelijk is gezien de aard van de Diensten en de uitvoering van deze Verwerkersovereenkomst;
      3. indien er een wettelijke verplichting bestaat om de informatie aan een derde te verstrekken.

 

Artikel 12. Beveiliging

12.1. Aannemer beoordeelt de in Artikel 3 behandelde persoonsgegevensverwerking op risico’s ten aanzien van:

1. 1. 1. De bescherming van de rechten en vrijheden van de Betrokkenen;
      2. Het naleven van de Wet;
      3. Het naleven van deze Verwerkersovereenkomst;

12.2. Aannemer waarborgt een op de onder 12.1 bedoelde risico’s afgestemd beveiligingsniveau door, rekening houdend met de stand van de techniek en de uitvoeringskosten, passende technische en organisatorische maatregelen te nemen, opdat:

1. 1. 1. persoonsgegevens, indien zij gelet op de in Artikel 3 behandelde aard en doeleinden waarvoor zij worden verwerkt onjuist zijn, onverwijld worden gewist of gerectificeerd (“juistheid”);
      2. persoonsgegevens worden beschermd tegen ongeoorloofde of onrechtmatige verwerking (“vertrouwelijkheid”);
      3. persoonsgegevens worden beschermd tegen onopzettelijk verlies, vernietiging of beschadiging (“integriteit”);
      4. op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de diensten te garanderen;
      5. bij een fysiek of technisch incident de beschikbaarheid van en de toegang tot de persoonsgegevens tijdig wordt hersteld;

12.3. Aannemer test, beoordeelt en evalueert op gezette tijdstippen de doeltreffendheid van de onder 12.2 bedoelde maatregelen;

12.4. Aannemer werkt conform ISO 27001 / ISO 27002.

Artikel 13. Reikwijdte van verantwoordelijkheden

13.1. Aannemer voert uitsluitend de persoonsgegevensverwerking uit zoals beschreven in deze Verwerkersovereenkomst, overeenkomstig de instructies van Uitbesteder en onder de uitdrukkelijke (eind)verantwoordelijkheid van Uitbesteder;

13.2. Voor overige persoonsgegevensverwerkingen tot en met de aanlevering van persoonsgegevens aan Aannemer door/via Uitbesteder is Aannemer uitdrukkelijk niet verantwoordelijk;

13.3. Voor overige persoonsgegevensverwerkingen na oplevering van persoonsgegevens door Aannemer aan/via Uitbesteder is Aannemer uitdrukkelijk niet verantwoordelijk;

13.4. Uitbesteder garandeert dat de inhoud, het gebruik en de opdracht tot de persoonsgegevensverwerkingen zoals bedoeld in deze Verwerkersovereenkomst, niet onrechtmatig is en geen inbreuk maken op enig recht van derden.

Artikel 14. Audit

14.1. Aannemer stelt Uitbesteder in staat om ten minste eenmaal per kalenderjaar op kosten van Uitbesteder, onder aanzegging van een redelijke termijn, de naleving van deze verwerkersovereenkomst door Aannemer te controleren of door een onafhankelijke derde partij namens Uitbesteder te laten controleren;

14.2. Aannemer zal Uitbesteder op diens verzoek alle relevante informatie beschikbaar stellen waarmee Uitbesteder kan vaststellen dat Aannemer zich houdt aan de hierboven genoemde verplichtingen.

Appendix A. Persoonsgegevensverwerking per Diensttype

A.a. LMS Hosting

A.a.1. Betrokkenen

De personen waarop de Persoonsgegevens betrekking hebben zijn in ieder geval te trainen c.q. getrainde medewerkers (hierna: ‘Trainees’) van Uitbesteder c.q. van een derde partij die via Uitbesteder de LMS Hosting diensten afneemt van Aannemer (hierna: de ‘Werkgever’).

A.a.2. Soort Persoonsgegevens

De Persoonsgegevens die door Aannemer voor het leveren van de LMS Hosting diensten worden verwerkt zijn:

A.a.2.1. gebruikersnaam (typisch gelijk aan e-mailadres);

A.a.2.2. e-mailadres;

A.a.2.3. voor- en achternaam;

A.a.2.4. eventuele met Uitbesteder overeengekomen metadata (afdeling, e.d.);

A.a.2.5. (voortgangsstatus binnen) gevolgde training- en toetsmodules;

A.a.2.6. behaalde toetsresultaten;

A.a.2.7. statistieken per metadata categorie als die metadata verwijst of is te herleiden naar individuele personen (bijvoorbeeld afdelingen met maar 1 persoon erin).

A.a.3. Aard en doel van de verwerking

De Persoonsgegevens (zie A.a.2) worden voor het leveren van de LMS Hosting diensten als volgt en voor de volgende doelen verwerkt:

A.a.3.1. het aan Trainees beschikbaar stellen van elektronische training- en toetsmodules, zodat die Trainees hun bewustzijn en kennis kunnen vergroten;

A.a.3.2. het registreren van de voortgang per Trainee per module om deze later te kunnen voortzetten en om de Werkgever inzicht te geven in welke Trainees welke training- en toetsmodules hebben afgerond;

A.a.3.3. het registreren van toetsresultaten in training- en toetsmodules om vast te kunnen stellen of het beoogde bewustzijns- en kennisniveau bij de Trainee is bereikt.

A.a.4. Locatie van de Persoonsgegevensverwerking

De Persoonsgegevens (zie A.a.2) worden voor het leveren van de LMS Hosting diensten binnen de Europese Unie maar mogelijk niet binnen Nederland verwerkt.

A.a.5. Betrokken Onderaannemers

De Onderaannemers die door Aannemer voor het leveren van de LMS Hosting diensten als sub-verwerker worden ingezet zijn:

A.a.5.1. Boon Software VOF & TransIP te Leiden, Nederland voor het leveren van PaaS servers. TransIP is ISO 9001 / 27001 & NEN 7510 gecertificeerd.

 

A.b.      DareToCare App

A.b.1.   Betrokkenen

A.b.1.1. De personen waarop de Persoonsgegevens betrekking hebben zijn in ieder geval geselecteerde medewerkers (hierna: Medewerkers) van Uitbesteder c.q. van de derde partij die via Uitbesteder de DareToCare diensten afneemt van Aannemer (hierna: de ‘Werkgever’);

A.b.2.   Soort Persoonsgegevens

De Persoonsgegevens (zieA.b.2) die door Aannemer voor het leveren van de DareToCare App diensten worden verwerkt zijn:

A.b.2.1. door/via Uitbesteder aangeleverde e-mailadressen van Medewerkers.

A.b.2.2. eventuele met Uitbesteder overeengekomen en door/via Uitbesteder aangeleverde metadata (afdeling, e.d.) over die Medewerkers;

A.b.2.3. de resultaten en activiteiten per Medewerker zoals uitgevoerd binnen de DareToCare App, zijnde het feit dat men heeft geklikt op alerts, meldingen heeft gedaan of vragen heeft gesteld en de inhoud van die meldingen of vragen, de beantwoording van die meldingen of vragen en de aanwezigheidsscan / deelname aan meetings, andere QR code scans bijvoorbeeld tbv het downloaden van handleidingen of instructies.

A.b.3.   Aard en doel van de verwerking

De Persoonsgegevens (zieA.b.2) worden voor het leveren van de DareToCare App diensten als volgt en voor de volgende doelen verwerkt:

A.b.3.1. het verzenden van alerts aan Medewerkers en het registreren van hun response daarop om de toegankelijkheid van informatie per Respondent vast te stellen;

A.b.3.2. het rapporteren van de aanwezigheidsregistratie / scan history aan de hand van de aangeleverde metadata om de Werkgever inzicht te geven in de deelname van haar medewerkers aan de informatievoorziening van de werkgever

A.b.3.3. het melden van vragen en meldingen van Medewerkers en de antwoorden daarop om de Werkgever in staat te stellen vragen en meldingen goed en snel af te handelen.

A.b.4.   Locatie van de Persoonsgegevensverwerking

De Persoonsgegevens  (zie A.b.2) worden voor het leveren van de DareToCare App diensten verwerkt binnen de Europese Unie maar mogelijk niet binnen Nederland.

A.b.5.   Betrokken Onderaannemers

De Onderaannemers die door Aannemer voor het leveren van de DareToCare App diensten als sub-verwerker worden ingezet zijn:

A.b.5.1. Amazon Web Services, gehost in Europa; AWS is ISO/IEC 27001:2013, 27017:2015, 27018:2019, and ISO/IEC 9001:2015 gecertificeerd.

Processing agreement

[customer name], (hereinafter: ‘Outsourcer’),

and

eWorks BV, (hereinafter: ‘Contractor’),

taking into account that:

The Contractor, on behalf of the Outsourcer, will provide LMS hosting services (hereinafter: the ‘Services’), as agreed on [date] in

for the Outsourcer (hereinafter: the ‘Agreement’);

 

• When providing these services, personal data is or can be processed, in the sense as defined in the General Data Protection Regulation (hereinafter: the ‘Regulation’);
• The applicable laws and regulations (including the Regulation) impose certain requirements and restrictions on this personal data processing;

have agreed as follows:

Article 1. Entry into Force, Precedence and Duration

1.1. This Processing Agreement is an appendix to and therefore forms part of the Agreement. The provisions in this Processing Agreement therefore relate exclusively to the Services described in the Agreement;

1.2. This Processing Agreement enters into force on the date on which the Agreement enters into force.

1.3. In the event of changes to the Services to be provided by the Contractor to the Outsourcer in accordance with the Agreement, the Outsourcer and the Contractor will jointly assess the consequences for the personal data processing and/or the conditions and restrictions imposed thereon as described in this Processing Agreement;

1.4. This Processor Agreement ends on the date on which the Agreement ends, unless this Processor Agreement is taken over as an appendix to a replacement Agreement;

1.5. In the event of a significant change to the personal data processing and/or the conditions and restrictions imposed on it as described in this Processing Agreement, the changes agreed between the Outsourcer and the Contractor will be recorded in a signed new version of this Processing Agreement;

1.6. In the event of any conflicting descriptions between the Agreement and (the most recent signed version of) this Processing Agreement, the descriptions in this Processing Agreement shall apply.

Article 2. Applicable Laws and Regulations

2.1. Unless explicitly defined in this Processing Agreement or the Agreement, the terms used in this Processing Agreement are defined as described in the Regulation;

2.2. In the performance of the Agreement and this Processor Agreement, the Contractor guarantees that it will comply with the requirements of the applicable laws and regulations regarding the Processing of Personal Data (hereinafter: the ‘Act’), namely:

1. The Regulation;
2. Applicable Implementation Legislation for the Regulation in the Member States concerned (in the Netherlands: the AVG Implementation Act);
3. The interpretation of the Regulation and Implementing Legislation by the Lead Supervisory Authority;

2.3. This Processing Agreement between the Outsourcer and the Contractor has been entered into under the same law as the Agreement to which it has been added;

2.4. All disputes in connection with this Processing Agreement or its implementation will be submitted to the same competent court as the Agreement to which it is added.

Article 3. Data Subjects, Nature and Purposes of Personal Data

3.1. The Data Subjects, Nature and Purposes of the personal data processing for the Services to be provided by the Contractor are described in Appendix A;

3.2. In addition to the provision of the Service, the Contractor may also process the personal data in the sense of applying appropriate organizational or technical measures to protect that personal data (see 12.2);

3.3. As soon as the described purpose limitation (as described in 3.1) or legal basis (as described in Article 4) for the personal data processing ends, the relevant personal data, including any copies, will be immediately destroyed by the Contractor, unless:

1. 1. 1. the Outsourcer instructs the Contractor in advance to transfer to the Outsourcer or to a third party designated by the Outsourcer;

      2. The Contractor is obliged by Union law or Member State law to store the relevant personal data.

In that case, prior to the termination of the purpose limitation and/or legal basis, the Contractor will notify the Outsourcer of that legal obligation, unless that legislation prohibits this notification for important reasons of public interest;

3.4. The Contractor will not process the personal data collected or received in the context of the Agreement for purposes or in any other way than those covered under 3.1 to 3.3, unless the Contractor is required by Union or Member State law to perform such other processing.

In that case, the Contractor will inform the Outsourcer of that legal obligation prior to such other processing, unless that legislation prohibits such notification for important reasons of public interest.

Article 4. Legal Basis of Processing

4.1. The Contractor processes the personal data in the context of the Services provided on the basis of the legitimate interest it has in providing the Services to the Outsourcer.

Article 5. Location of processing

5.1. In the context of the Services to be provided by the Contractor, the Contractor may only process personal data in countries within the European Union;

5.2. The locations where personal data processing takes place in the context of the Services to be provided by the Contractor are described in Appendix A.

Article 6. Employees of Contractor

6.1. Persons acting under the authority of the Contractor and who have access to personal data in the context of the Services to be provided by the Contractor, will only process them in accordance with the descriptions in this Processor Agreement, unless they are required by Union or Member State law to process otherwise;

6.2. The Contractor guarantees that the persons referred to under 6.1 have committed themselves to observe confidentiality or are bound by an appropriate legal obligation of confidentiality.

Article 7. Contractor’s from Subcontractors

7.1. The Subcontractors acting under the authority of the Contractor and having access to personal data in the context of the Services to be provided by the Contractor are described in Appendix A;

7.2. In an agreement pursuant to Union law or Member State law, the Contractor imposes on all Subcontractors as referred to under 7.1 the same obligations and restrictions as this Processing Agreement imposes on the Contractor itself, insofar as applicable to the personal data processing outsourced to those Subcontractors;

7.3. If any of the Contractor’s Subcontractors fail to comply with their data protection obligations, the Contractor shall remain fully liable to the Outsourcer for the fulfillment of those Subcontractors’ obligations;

7.4. Intended addition or replacement of Subcontractors is a significant amendment to this Processing Agreement that is approved / agreed between the Outsourcer and the Contractor in accordance with 1.5.

Article 8. Communication between Outsourcer and Contractor

8.1. The formal communication in the context of the implementation of this Data Processing Agreement between the Outsourcer and the Contractor is in writing (or via e-mail);

8.2. In the context of following up on requests from Data Subjects, and provided that there is no significant deviation from this Processor Agreement, the Outsourcer may issue instructions for personal data processing;

8.3. The Contractor shall, insofar as possible, carry out the instructions of the Outsourcer referred to in 8.2;

8.4. The Contractor may pass on the costs for carrying out the instructions referred to in 8.2 to the Outsourcer;

8.5. The Contractor will inform the Outsourcer without undue delay as soon as it becomes aware of a breach in connection with personal data that the Contractor processes or has processed in the context of the Services to be provided by the Contractor;

8.6. An infringement notification as referred to under 8.5 provides the Outsourcer with at least the following information:

1. 1. 1. the nature of the personal data breach, specifying, where possible, the categories of data subjects and personal data registers concerned and, approximately, the number of data subjects and personal data registers concerned;

      2. the name and contact details of the point of contact where more information can be obtained, if different from 8.8;

      3. the likely consequences of the personal data breach;

      4. the measures that the Contractor has proposed or taken to deal with the personal data breach, including, where applicable, the measures to limit any adverse consequences thereof;

8.7. Where the Contractor is obliged under Union law or Member State law to deviate from the provisions of this Processing Agreement, the Contractor will notify the Outsourcer of that legal obligation, unless that legislation prohibits such notification;

8.8. The communication in the context of the implementation of this Processing Agreement between the Outsourcer and the Contractor takes place via the contact persons stated in the quotation.

Article 9. Communication with Data Subjects

9.1. In the context of the provision of the Services, the Contractor will communicate with Data Subjects as discussed in Article 3;

9.2. The Contractor will immediately forward all requests received from the Data Subjects to exercise their rights under the Law to the Outsourcer for further processing.

Article 10. Communication with Supervisory Authorities

10.1. Only where required by law will the Contractor communicate directly with Supervisory Authorities about the personal data processing in the context of the provision of the Services;

10.2. The Contractor shall notify the Outsourcer of any communication referred to under 10.1, unless such notification is prohibited by Union or Member State law.

Article 11. Secrecy and Confidentiality

11.1. All personal data that the Contractor receives from the Outsourcer and/or collects itself in the context of the Services to be provided is subject to a duty of confidentiality towards third parties;

11.2. This duty of confidentiality does not apply:

1. 1. 1. voor zover Uitbesteder uitdrukkelijke toestemming heeft gegeven om de informatie aan derden te verschaffen;

      2. if the provision of the information to third parties is logically necessary in view of the nature of the Services and the implementation of this Processor Agreement;

      3. if there is a legal obligation to provide the information to a third party.

 

Artikel 12. Security

12.1.The Contractor assesses the personal data processing treated in Article 3 for risks with regard to:

1. 1. 1. The protection of the rights and freedoms of the Data Subjects;
      2. Complying with the Law;
      3. Compliance with this Processor Agreement;

12.2.The Contractor guarantees a level of security geared to the risks referred to under 12.1 by taking appropriate technical and organizational measures, taking into account the state of the art and the implementation costs, so that:

1. 1. 1. personal data, if they are inaccurate having regard to the nature and purposes for which they are processed, having regard to the nature dealt with in Article 3, are erased or rectified without undue delay (“accuracy”);

      2. personal data is protected against unauthorized or unlawful processing (“confidentiality”);

      3. personal data is protected against unauthorized or unlawful processing (“confidentiality”);

      4. to ensure on an ongoing basis the confidentiality, integrity, availability and resilience of the services;

      5. in the event of a physical or technical incident, the availability of and access to the personal data is restored in a timely manner;

12.3. The Contractor tests, assesses and evaluates the effectiveness of the measures referred to under 12.2 at regular intervals;

12.4. The contractor works in accordance with ISO 27001 / ISO 27002.

Article 13. Scope of Responsibilities

13.1. The Contractor only carries out the personal data processing as described in this Processing Agreement, in accordance with the instructions of the Outsourcer and under the explicit (final) responsibility of the Outsourcer;

13.2. The Contractor is expressly not responsible for other personal data processing up to and including the delivery of personal data to the Contractor by/via the Outsourcer;

13.3. The Contractor is expressly not responsible for other personal data processing after the delivery of personal data by the Contractor to/via the Outsourcer;

13.4. The Outsourcer guarantees that the content, use and order for the personal data processing as referred to in this Processing Agreement is not unlawful and does not infringe any right of third parties.

Article 14. Audit

14.1. The Contractor enables the Outsourcer to check compliance with this data processing agreement by the Contractor at least once per calendar year at the expense of the Outsourcer, subject to notice of a reasonable term, or have it checked by an independent third party on behalf of the Outsourcer;

14.2. At the request of the Outsourcer, the Contractor will make available all relevant information with which the Outsourcer can determine that the Contractor is complying with the obligations referred to above.

Appendix A. Personal Data Processing by Service Type

A.a. LMS Hosting

A.a.1. Data Subjects

The persons to whom the Personal Data relate are in any case trainable or trained employees (hereinafter: ‘Trainees’) of the Outsourcer or of a third party that purchases the LMS Hosting services from the Contractor (hereinafter: the ‘Employer’) via the Outsourcer.

A.a.2. Type of Personal Data

The Personal Data processed by the Contractor for the provision of the LMS Hosting services are:

A.a.2.1. username (typically equivalent to email address);

A.a.2.2. e-mail address;

A.a.2.3. First and last name;

A.a.2.4. any metadata agreed with the Outsourcer (department, etc.);

A.a.2.5. (progress status within) followed training and test modules;

A.a.2.6. achieved test results;

A.a.2.7. statistics per metadata category if that metadata refers or can be traced back to individual persons (for example departments with only 1 person in it).

A.a.3. Nature and purpose of the processing

The Personal Data (see A.a.2) is processed as follows for the provision of the LMS Hosting services and for the following purposes:

A.a.3.1. making electronic training and testing modules available to Trainees, so that those Trainees can increase their awareness and knowledge;

A.a.3.2. registering the progress per Trainee per module in order to be able to continue this later and to give the Employer insight into which Trainees have completed which training and test modules;

A.a.3.3. registering test results in training and test modules in order to determine whether the intended level of awareness and knowledge has been reached by the Trainee.

A.a.4. Location of the Personal Data Processing

The Personal Data (see A.a.2) are processed for the provision of the LMS Hosting services within the European Union, but possibly not within the Netherlands.

A.a.5. Subcontractors involved

The Subcontractors used by the Contractor as a sub-processor for the provision of the LMS Hosting services are:

A.a.5.1. Boon Software VOF & TransIP in Leiden, the Netherlands for the delivery of PaaS servers. TransIP is ISO 9001 / 27001 & NEN 7510 certified.

 

A.b.      DareToCare App

A.b.1. Data Subjects

A.b.1.1. The persons to whom the Personal Data relate are in any case selected employees (hereinafter: Employees) of the Outsourcer or of the third party that purchases the DareToCare services from the Contractor (hereinafter: the ‘Employer’) via the Outsourcer;

A.b.2. Type of Personal Data

The Personal Data (see A.b.2) processed by the Contractor for the provision of the DareToCare App services are:

A.b.2.1. e-mail addresses of Employees supplied by/via the Outsourcer.

A.b.2.2. any metadata (department, etc.) about those Employees agreed with the Outsourcer and supplied by/via the Outsourcer;

A.b.2.3. the results and activities per Employee as performed within the DareToCare App, being the fact that people clicked on alerts, made reports or asked questions and the content of those reports or questions, the answers to those reports or questions and the presence scan / participation in meetings, other QR code scans, for example for downloading manuals or instructions.

A.b.3. Nature and purpose of the processing

The Personal Data (see A.b.2) are processed as follows for the provision of the DareToCare App services and for the following purposes:

A.b.3.1. sending alerts to Employees and registering their response to them to determine the accessibility of information per Respondent;

A.b.3.2. reporting the attendance registration / scan history based on the supplied metadata to give the Employer insight into the participation of its employees in the employer’s information provision

A.b.3.3. reporting questions and reports from Employees and the answers to them in order to enable the Employer to handle questions and reports properly and quickly.

A.b.4. Location of the Personal Data Processing

The Personal Data  (see A.b.2) are processed for the provision of the DareToCare App services within the European Union, but possibly not within the Netherlands.

A.b.5. Subcontractors involved

The Subcontractors used by the Contractor as sub-processors for the provision of the DareToCare App services are:

A.b.5.1. Amazon Web Services hosted in Europe; AWS is ISO/IEC 27001:2013, 27017:2015, 27018:2019, and ISO/IEC 9001:2015 certified.