Verwerkersovereenkomst onder de AVG

Per 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van toepassing, ter vervanging van de Wet Bescherming Persoonsgegevens. Springest heeft in het kader daarvan een Verwerkersovereenkomst opgesteld die begin 2018 wordt toegevoegd aan de Algemene Voorwaarden voor Aanbieders, ter vervanging van het eerdere artikel 14.
Wat is een Verwerkersovereenkomst?
Wanneer partijen persoonsgegevens van derden uitwisselen, moeten ze een overeenkomst opstellen waarin ze afspraken maken over de beveiliging van die gegevens. In die Verwerkersovereenkomst (voorheen Bewerkersovereenkomst) staat ook welke partij wordt aangemerkt als Verwerkersverantwoordelijke en welke partij Verwerker is. De AVG bepaalt dat de partij die het doel van de verwerking bepaalt de Verwerkingsverantwoordelijke is. 
Aanbieder als Verwerkingsverantwoordelijke
Springest deelt persoonsgegevens van gebruikers met Aanbieders, zodat Aanbieders de gebruikers van Springest kunnen contacteren. Het contacteren van gebruikers door Aanbieders is het uiteindelijke doel van de verwerking, en de reden dat gebruikers van Springest.nl hun persoonsgegevens hebben achtergelaten. Dus volgt uit de wet dat de Aanbieder Verwerkingsverantwoordelijke is. 
Gezamenlijke verantwoordelijkheid
Natuurlijk heeft Springest als Verwerker ook verantwoordelijkheid. Zowel de Verwerkingsverantwoordelijke als de Verwerker hebben verplichtingen die zijn neergelegd in de Verwerkersovereenkomst en in de AVG. In de Verwerkersovereenkomst staat onder meer wat u van Springest mag verwachten op het gebied van beveiliging, het verstrekken van gegevens aan betrokkenen en het meewerken in geval van incidenten.  Door deze Verwerkersovereenkomst toe te voegen aan de Algemene Voorwaarden is er meer duidelijkheid over hoe we als partijen zo zorgvuldig mogelijk omgaan met de persoonsgegevens van gebruikers. Maar in de dagelijkse praktijk verandert uiteindelijk weinig aan uw samenwerking met Springest.

En verder?
Springest is sinds november 2017 ISO 27001 gecertificeerd. Als u meer wilt weten over alle maatregelen omtrent privacy kunt u een mailtje sturen naar privacy@springest.com. Ook op de site van de Autoriteit Persoonsgegevens staat meer informatie.

Verwerkersovereenkomst

De verwerkersovereenkomst is te vinden als bijlage 1 van de Springest Algemene voorwaarden. Voor de volledigheid is hij ook hieronder te vinden. 

Bijlage 1: Verwerkersovereenkomst

Partijen nemen in aanmerking dat:

  1. Met betrekking tot de verwerking van de Persoonsgegevens zijn Partijen overeengekomen dat Aanbieder voor deze Persoonsgegevens aan te merken is als “Verwerkingsverantwoordelijke” en Springest als “Verwerker’’ in de zin van de Algemene Verordening Gegevensbescherming (“AVG”) die per 25 mei 2018 in werking zal treden.
  2. Verwerker ten behoeve van het leveren van deze werkzaamheden persoonsgegevens zal verwerken van de Gebruikers die via een Inschrijving voor een Product via het Platform een studieovereenkomst aangaan met Verantwoordelijke, of via een brochure-aanvraag een verzoek doen om informatie over een Product.
  3. De diensten die Verwerker levert aan Verantwoordelijke dus tevens het verwerken van persoonsgegevens inhoudt, zoals gespecificeerd in Bijlage 1a.
  4. Partijen wensen in deze overeenkomst (“Verwerkersovereenkomst”) hun afspraken over het verwerken van de Persoonsgegevens door Verwerker in opdracht van Verantwoordelijke vast te leggen.

Partijen komen het volgende overeen:


1. Definities

    1. Voor de uitvoering van deze Verwerkersovereenkomst hebben de begrippen “verwerking”, “betrokkene” , “toezichthoudende autoriteit” en “persoonsgegevens” dezelfde betekenis als in de AVG.


2. Gegevensverwerking algemene verplichtingen

    1. Verwerker verwerkt de Persoonsgegevens overeenkomstig het bepaalde in deze Verwerkersovereenkomst.
    2. Deze Verwerkersovereenkomst vervangt eventueel eerder gemaakte afspraken tussen partijen over de verwerking van de Persoonsgegevens.
    3. In navolging van de artikelen 28 en 29 AVG
  • worden de Persoonsgegevens slechts verwerkt in opdracht van Verantwoordelijke, behoudens afwijkende wettelijke verplichtingen. De opdracht van Verantwoordelijke wordt geacht te zijn vervat in de Overeenkomst;
  • zal Verwerker de Persoonsgegevens uitsluitend verwerken op basis van schriftelijke instructies van Verantwoordelijke;
  • is Verwerker verplicht zorg te dragen dat de tot het verwerken van de Persoonsgegevens gemachtigde personen zich ertoe hebben verbonden vertrouwelijkheid in acht te nemen of door passende wettelijke verplichtingen tot vertrouwelijkheid gebonden zijn. Deze vertrouwelijkheidsplicht houdt tenminste nakoming in van de vertrouwelijkheidsplichten uit de Overeenkomst.

Partijen zullen de bepalingen uit de AVG en andere toepasselijke regelgeving betreffende de verwerking van persoonsgegevens naleven.



3. Verplichtingen

    1. Verwerker verwerkt de Persoonsgegevens alleen ten behoeve vanhet uitvoeren van de Overeenkomst en het verlenen van de diensten onder de Overeenkomst, zoals weergegeven onder overweging A. Het is Verwerker niet toegestaan de Persoonsgegevens voor enig ander doel, ten eigen nutte, ten nutte van derden en/of voor eigen dan wel reclamedoeleinden van derden te verwerken of op andere wijze te verwerken dan door Verantwoordelijke is vastgesteld, tenzij Verwerker hiervoor toestemming heeft gekregen van betrokkene.Voor wat betreft deze gegevens is Verwerker als verwerkersverantwoordelijke aan te merken. Onverminderd hetgeen is bepaald in artikel 3.2, staat Verantwoordelijke in voor een correcte verwerking van Persoonsgegevens door Partijen wanneer Verwerker Persoonsgegevens verkregen van Verantwoordelijke verrijkt met eigen van betrokkene verkregen Persoonsgegevens (studieresultaten) en de resultaten hiervan terugkoppelt aan Verantwoordelijke.
    2. Partijen dragen zorg voor de naleving van de op de verwerking van de Persoonsgegevens toepasselijke wet- en regelgeving, waaronder de AVG. In dat kader voldoet Verantwoordelijke aan artikel 24 en 25  AVG vastgelegde verplichting. Verantwoordelijke treft in ieder geval de passende technische en organisatorische maatregelen om te waarborgen en te kunnen aantonen dat de verwerking in overeenstemming met de Algemene Verordening Gegevensbescherming wordt uitgevoerd.
    3. Partijen dragen zorg voor de naleving van de op de verwerking van de Persoonsgegevens toepasselijke wet- en regelgeving, waaronder de AVG. In dat kader voldoenPartijen aan artikel 28 en 32  AVG vastgelegde verplichting, om de Persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking. Partijen verplichten zich om de beveiligingsmaatregelen periodiek te actualiseren en aan te passen aan de stand der techniek. Verwerker neemt, op aanwijzing van Verantwoordelijke, in ieder geval de volgende maatregelen:
  • Beveiligde verbinding

    Springest is alleen via een SSL beveiligde verbinding te bereiken. Dat betekent dat ingevulde gegevens dus versleuteld worden verstuurd, en niet door derden kunnen worden gelezen. We ondersteunen de volgende versies: TLS versies 1.0, 1.1 en 1.2 met 256-bit TLS RSA encryptie
  • Beveiligde interne infrastructuur

    Nadat gegevens van de gebruiker naar Springest zijn verstuurd, komen ze in het servernetwerk van Springest terecht. Dat wordt beheerd door Amazon Web Services, de meest gerenommeerde webhosting provider met veel ervaring op het gebied van beveiliging. Binnen dat netwerk zijn ook alle verbindingen versleuteld met SSL. Ook is dit interne netwerk niet bereikbaar van buitenaf. Daarnaast kunnen onze eigen servers alleen bij de data die zij nodig hebben voor hun specifieke taak, dus een test- of emailserver kan niet bij de gegevens die voor de live-website nodig zijn.Zie ook:   Amazon Web Services Security Center
  • Gegevensopslag binnen de EU

    Alle servers van Springest staan fysiek in de EU, en zijn dus niet onderhevig aan de Amerikaanse Patriot Act. Voor meer informatie over de Europese wetgeving en de beveiliging van Springest, zie:  Amazon Web Services EU Data Protection FAQ.
  • Versleutelde database harde schijven

    De harde schijven waarop de databases staan, en waarop de gegevens worden opgeslagen, zijn zelf ook versleuteld. Het ontsleutelen van de databasegegevens vereist een encryptiesleutel die ook alleen op onze eigen servers in het beveiligde netwerk staat. De gegevens in de databases zijn zonder die sleutel dus niet leesbaar.
  • Verwerker werkt conform ISO 27001

    d. Verwerker zal de Persoonsgegevens niet langer bewaren dan noodzakelijk is voor het doel omschreven in artikel 3.1, dan wel om een op hem rustende wettelijke verplichting na te leven. Verantwoordelijke         stelt deze bewaartermijnen voor Verwerker vast.

    e. Verwerker staat ervoor in dat de verplichtingen die uit de Verwerkersovereenkomst voor Verwerker voortvloeien ook zijn opgelegd aan al degenen die onder haar gezag vallen, waaronder ook werknemers van Verwerker.Verwerker zorgt daarbij voor de juiste autorisaties wat betreft toegang tot persoonsgegevens van Verantwoordelijke.


4. Doorgifte Persoonsgegevens

    1. Verwerker verwerkt de Persoonsgegevens alleen binnen de Europese Unie. Doorgifte naar landen buiten de Europese Unie/ Europese Economische ruimte is enkel toegestaan met voorafgaande schriftelijke toestemming van Verantwoordelijke. Verantwoordelijke kan de toestemming aan nadere redelijke voorwaarden verbinden.  Verwerker informeert Verantwoordelijke over de landen waar zij de Persoonsgegevens verwerkt.
    2. Uitdrukkelijke schriftelijke toestemming als bedoeld in het vorige lid wordt in ieder geval door Verantwoordelijke gegeven voor de doorgifte(n) als opgenomen in Bijlage 2.


5. Sub verwerker

    1. Verantwoordelijke geeft hierbij toestemming aan Verwerker voor het inschakelen van sub verwerkers.  Verwerker licht Verantwoordelijke in over beoogde veranderingen inzake de toevoeging of vervanging van andere sub verwerkers, waarbij Verantwoordelijke de mogelijkheid wordt geboden tegen deze verandering bezwaar te maken.
    2. Wanneer Verwerker met schriftelijke toestemming van Verantwoordelijke zijn verplichtingen onder deze Verwerkersovereenkomst uitbesteedt, dient Verwerker een schriftelijke sub verwerkersovereenkomst aan te gaan waarin aan de sub verwerker dezelfde voorwaarden en verplichtingen, maar met name de verplichting om afdoende garanties te bieden met betrekking tot het toepassen van passende technische en organisatorische maatregelen, worden opgelegd als aan Verwerker in deze Verwerkersovereenkomst. Indien de sub verwerker zijn verplichtingen jegens Verwerker niet nakomt, is Verwerker jegens Verantwoordelijke volledig verantwoordelijk voor de nakoming van de verplichtingen van de sub verwerker onder een dergelijke sub verwerkersovereenkomst. Verwerker verstrekt op eerste verzoek een kopie aan Verantwoordelijke van de verwerkersovereenkomst tussen Verwerker en sub verwerker, waarbij commercieel gevoelige informatie mag worden weggelaten.
    3. Op de bepalingen met betrekking tot uitbesteding van deze Verwerkersovereenkomst is Nederlands recht van toepassing.
    4. Verwerker houdt een lijst bij van de sub verwerkersovereenkomsten die zijn overeengekomen onder deze Verwerkersovereenkomst en waarvan Verantwoordelijke  in kennis is gesteld, welke lijst minimaal eenmaal per jaar wordt bijgewerkt. Deze lijst zal beschikbaar worden gehouden ten behoeve van de toezichthoudende autoriteit.


6. Melding datalekken

    1. In alle gevallen van een potentieel datalek of beveiligingslek zoals genoemd in de AVG informeert Verwerker Verantwoordelijke onverwijld doch uiterlijk binnen 36 uur na ontdekking hiervan.
    2. Verwerker zal procedures in stand houden die erop gericht zijn om beveiligingsincidenten en datalekken redelijkerwijs te detecteren en daarop actie te ondernemen, daaronder begrepen maatregelen tot herstel. Verwerker zal aan Verantwoordelijke  op eerste verzoek een kopie van de betreffende procedures overleggen.
    3. Teneinde Verantwoordelijke in staat te stellen om aan de op hem rustende kennisgevingsverplichtingen te voldoen, stelt Verwerker Verantwoordelijke onverwijld in kennis van een inbreuk op de beveiliging zoals uiteengezet in artikel 6.2 hierboven. De kennisgeving aan Verantwoordelijke omvat in ieder geval:
  • de aard van de inbreuk en, waar mogelijk, de categorieën van betrokkenen en persoonsgegevensregisters in kwestie en, bij benadering, het aantal betrokkenen en persoonsgegevensregisters in kwestie;
  • de naam en de contactgegevens van de functionaris voor gegevensbescherming of een ander contactpunt waar meer informatie over de inbreuk kan worden verkregen;
  • de geconstateerde en de vermoedelijke gevolgen van de inbreuk voor de verwerking van de Persoonsgegevens en de maatregelen die Verwerker heeft getroffen of voorstelt te treffen om deze gevolgen te verhelpen;
  • een inschatting van het risico voor de rechten en vrijheden van betrokkene(n) dat is ontstaan als gevolg van de inbreuk.
  1. Met betrekking tot iedere inbreuk zoals bedoeld onder 6.2 draagt Verwerker er zorg voor dat Verwerker alle medewerking aan Verantwoordelijke verleent die redelijkerwijs van Verwerker kan worden verwacht, inclusief het verschaffen van voldoende informatie en ondersteuning met betrekking tot onderzoeken van de toezichthoudende autoriteit:
  • om de inbreuk te herstellen en te onderzoeken en toekomstige inbreuken te voorkomen;
  • om de impact van de inbreuk op de privacy van de betrokkene(n) te beperken; en/of
  • om de schade van Verantwoordelijke als gevolg van de inbreuk te beperken.
  1. Verwerker houdt een overzicht bij van iedere inbreuk die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van de Persoonsgegevens. Het overzicht bevat in ieder geval feiten en gegevens omtrent de aard van de inbreuk. Verwerker zal dit overzicht op diens eerste verzoek aan Verantwoordelijke verstrekken.
  2. Verwerker zal niet zonder voorafgaande schriftelijk instemming van Verantwoordelijke de toezichthoudende autoriteit en/of betrokkene(n) informeren over een inbreuk op de beveiliging.


7. Verzoeken betrokkene

    1. Verwerker zal Verantwoordelijke onverwijld informeren over een verzoek van een betrokkene tot inzage, verbetering, aanvulling, wijziging,  afscherming, verwijdering, beperking of verplaatsing. Verantwoordelijke handelt deze verzoeken vervolgens af.
    2. Verwerker zal Verantwoordelijke, waar nodig, bijstand verlenen voor het voldoen aan eventuele (wettelijke) meldplichten, verzoeken van betrokkenen gericht aan Verantwoordelijke, het uitvoeren van gegevensbeschermingseffectbeoordelingen en andere eisen en plichten neergelegd in de relevante wet- en regelgeving.


8. Gegevensbeschermingseffectbeoordeling

    1. Teneinde Verantwoordelijke in staat te stellen om aan de eventueel op hem rustende verplichting om een gegevensbeschermingseffectbeoordeling uit te voeren te voldoen, stelt Verwerker Verantwoordelijke op diens eerste verzoek en voorafgaand aan de verwerking van de Persoonsgegevens in kennis van:
  • een systematische beschrijving van de beoogde verwerkingen;
  • een inschatting van de risico’s voor de rechten en vrijheden van betrokkene(n) gelet op de aard, de omvang, de context en de doeleinden van de verwerking;
  • de beoogde maatregelen om de onder (b) genoemde risico’s aan te pakken, waaronder waarborgen, veiligheidsmaatregelen en mechanismen om de bescherming van de Persoonsgegevens te garanderen en om aan te tonen dat aan de  AVG is voldaan, met inachtneming van de rechten en gerechtvaardigde belangen van de betrokkene(n) en andere personen in kwestie.
  1. Verwerker zal Verantwoordelijke op diens eerste verzoek toestaan te toetsen of de verwerking van de Persoonsgegevens overeenkomstig de onder 8.1 gegeven beoordeling wordt uitgevoerd.


9. Audit

    1. Verantwoordelijke heeft het recht om audits uit te voeren of uit te laten voeren door een onafhankelijke derde die aan geheimhouding is gebonden ter controle van naleving van alle punten uit deze Verwerkersovereenkomst, en alles dat daarmee verband houdt.
    2. Deze audit mag in ieder geval eens per jaar plaatsvinden. Verwerker zal aan de audit meewerken en alle voor de audit redelijkerwijs relevante informatie, inclusief ondersteunende gegevens zoals systeemlogs en medewerkers, zo tijdig mogelijk en binnen een redelijke termijn (uiterlijk twee weken, tenzij enig redelijk belang zich hiertegen verzet), ter beschikking stellen.
    3. De bevindingen naar aanleiding van de uitgevoerde audit zullen door partijen in onderling overleg worden beoordeeld. Als de audit daartoe aanleiding geeft, dan zal Verwerker volgens de instructies van Verantwoordelijke aanpassingen verrichten.
    4. De kosten van de audit worden gedragen door de Partij die ze maakt.



10. Geheimhouding

    1. Verwerker zal ten aanzien van alle Persoonsgegevens die haar in het kader van de uitvoering van de Overeenkomst ter kennis of beschikking zijn gekomen en waarvan zij het vertrouwelijk karakter kent of redelijkerwijs kan vermoeden, strikte geheimhouding betrachten en op geen enkele wijze aan derden verstrekken, behoudens voor zover:
  1. Bekendmaking en/of verstrekking van die gegevens in het kader van de uitvoering van de Verwerkersovereenkomst noodzakelijk is;
  2. De wet of een rechterlijke uitspraak Verwerker tot bekendmaking en/of verstrekking van die gegevens verplicht, tenzij een andere oplossing voorhanden is;
  3. Bekendmaking en/of verstrekking van die gegevens met voorafgaande schriftelijke toestemming van de andere Verantwoordelijke geschiedt;
  4. Het informatie betreft die al rechtmatig openbaar was.


11. (Intellectuele) eigendomsrechten

    1. Alle (intellectuele) eigendomsrechten op alle bestanden van Persoonsgegevens,  gegevensdragers en/of enig ander materiaal waarop Persoonsgegevens zijn opgeslagen, blijven te allen tijde berusten bij Verantwoordelijke.


12. Duur en beëindiging van de Verwerkersovereenkomst

    1. De looptijd van deze Verwerkersovereenkomst is dezelfde als die van de Overeenkomst. Deze Verwerkersovereenkomst treedt in werking zodra Verwerker ten behoeve van Verantwoordelijke de Persoonsgegevens verwerkt op grond van de Overeenkomst.
  1. Deze Verwerkersovereenkomst zal van kracht zijn zolang de Overeenkomst voortduurt. Bij beëindiging van de Overeenkomst eindigt deze Verwerkersovereenkomst van rechtswege zonder dat enige nadere (rechts)handeling vereist is.
  2. Tussentijdse opzegging van deze Verwerkersovereenkomst door een der Partijen is niet mogelijk.
  3. Bij beëindiging van deze Verwerkersovereenkomst, om welke reden dan ook, zal Verwerker alle Persoonsgegevens van Verantwoordelijke kosteloos conform instructies vernietigen of retourneren op een gebruikelijke gegevensdrager, uitsluitend in die gevallen waarin de  gegevens slechts verwerkt worden in opdracht van Verantwoordelijke.
  4. Na beëindiging van deze Verwerkersovereenkomst, om welke reden dan ook, blijven de bepalingen van kracht die naar hun aard bedoeld zijn om ook na afloop van de Verwerkersovereenkomst tussen partijen te blijven gelden.
  5. Verwerker bewaart de Persoonsgegevens niet langer dan strikt noodzakelijk (naar het oordeel van Verantwoordelijke) en in geen geval langer dan de duur van de Verwerkersovereenkomst, tenzij opslag van de Persoonsgegevens wettelijk verplicht is in welk geval Verwerker de Persoonsgegevens niet langer bewaart dan de wettelijk verplichte termijn.


13. Overige bepalingen

    1. Partijen verplichten zich deze Verwerkersovereenkomst aan te passen indien veranderende wet- en regelgeving dit noodzakelijk maakt. Afwijkingen en aanvullingen op deze Verwerkersovereenkomst zijn slechts geldig indien deze uitdrukkelijk en schriftelijk zijn overeengekomen.
    2. Indien er sprake is van strijdigheid tussen de bepalingen van deze Verwerkersovereenkomst en de bepalingen van de Overeenkomst dan prevaleert het bepaalde in deze Verwerkersovereenkomst.
    3. De met uitvoering van deze Verwerkingsovereenkomst gemoeide kosten zijn reeds begrepen in de prijzen en vergoedingen zoals overeengekomen voor de Overeenkomst, tenzij Verwerker kan aantonen dat een datalek of aanvullende werkzaamheden of –kosten onder deze Verwerkersovereenkomst voortkomen uit een doen of nalaten van Verantwoordelijke.