VERWERKERSOVEREENKOMST
Versie september 2020
Een verwerkersovereenkomst is een overeenkomst waarin de Opdrachtnemer vastlegt welke persoonsgegevens van een Opdrachtgever hij opslaat en verwerkt. In deze overeenkomst worden de afspraken en verplichtingen hieromtrent vastgelegd.
In deze verwerkersoveenkomst zijn ook twee bijlagen opgenomen.
Identiteit van de Opdrachtnemer
Opdrachtnemer levert de volgende diensten:
Bijlage 1 Specificatie persoonsgegevens Verwerker zal in het kader van de Overeenkomst, de volgende bijzondere persoonsgegevens verwerken van in opdracht van Verwerkingsverantwoordelijke. De opsomming van deze gegevens is opgenomen in de privacy verklaring welke ook onderdeel is van de gesloten Diensten Overeenkomst. Het kan zijn dat een Verwerkingsverantwoordelijke de gegevens van haar klanten ook op haar systemen heeft draaien en Verwerker hier voor werkzaamheden toegang toe moet hebben. Dit betreffen dan gelijke gegevens als in de privacyverklaring voor eindklanten van de Opdrachtgever eventueel aangevuld met het BSN nummer. De Wbp en AVG zijn hierop van toepassing. Indien er nadrukkelijk ook andere persoonsgegevens worden verwerkt en/of andere wetartikelen van toepassing zijn dan dienen deze te worden opgenomen in de Diensten Overeenkomst. Bijlage 2: beschrijving technische en organisatorische beveiligingsmaatregelen Ten aanzien van de te verwerken gegevens zullen tenminste de volgende maatregelen gelden:
Naam (Opdrachtnemer) | Purple Mountain bv |
Handelend onder | Purple Mountain bv |
Vestigingsadres | Gebouw 84 Ruimte G84.0.12 Burgemeester Brokxlaan 8-84 5041 SB Tilburg Spaarndammerdijk 5a+b 1013 ZM Amsterdam |
Postadres | Spaarndammerdijk 5 a 1013 ZM Amsterdam |
Telefoonnummer | 085-0406031 |
E-mailadres | info@purplemountain.nl |
KvK-nummer | 77618149 |
- Moodle en LMS installaties
- Content & Design
- Hosting
- Systeem Integraties
- (Website) Development
- UX design
- Detachering
- Training
- Consultancy & (onderwijs) Advies
- Deze verwerkersovereenkomst integraal onderdeel is van de Algemene Voorwaarden;
- De verwerkersovereenkomst integraal onderdeel is van de gesloten Overeenkomst tussen de Opdrachtgever en Opdrachtnemer;
- De Opdrachtgever wordt hierna aangeduid met Verwerkingsverantwoordelijke;
- De Opdrachtnemer wordt hierna aangeduid met Verwerker:
- Verwerkingsverantwoordelijke voor de uitvoering diverse ICT gerelateerde werkzaamheden Verwerker in wenst te schakelen;
- Verwerkingsverantwoordelijke en Verwerker ten behoeve van de voorgaande genoemde ICT gerelateerde werkzaamheden een Overeenkomst hebben gesloten.
- Verwerker bij de uitvoering van de Overeenkomst (mogelijkerwijs en op onderdelen) aangemerkt kan worden als Verwerker in de zin van artikel 4 lid 8 van de Algemene Verordening Gegevensbescherming (hierna: “AVG”);
- Verwerkingsverantwoordelijke aangemerkt wordt als verwerkingsverantwoordelijke in de zin van artikel 4 lid 7 AVG;
- Waar in deze Verwerkersovereenkomst gesproken wordt over persoonsgegevens, hiermee persoonsgegevens in de zin van artikel 4 lid 1 AVG worden bedoeld;
- Verwerkingsverantwoordelijke de doeleinden en middelen aanwijst voor de verwerking en waarvoor de hierin genoemde voorwaarden gelden;
- Verwerker hiertoe bereid is en tevens bereid is de verplichtingen omtrent beveiliging en andere aspecten van de AVG na te komen, voor zover dit binnen zijn macht ligt;
- De AVG aan de Verwerkingsverantwoordelijke de plicht oplegt om ervoor zorg te dragen dat Verwerker voldoende waarborgen biedt ten aanzien van de technische en organisatorische beveiligingsmaatregelen met betrekking tot de te verrichten verwerkingen;
- De AVG daarnaast aan de Verwerkingsverantwoordelijke de plicht oplegt om toe te zien op de naleving van die maatregelen;
- Partijen, mede gelet op het vereiste uit artikel 28 lid 3 AVG, hun rechten en plichten schriftelijk wensen vast te leggen middels deze verwerkersovereenkomst (hierna: “Verwerkersovereenkomst”);
- Waar in deze Verwerkersovereenkomst gerefereerd wordt aan bepalingen uit de AVG, tot 25 mei 2018 de corresponderende bepalingen uit de Wet bescherming persoonsgegevens (hierna: “Wbp”) worden bedoeld.
- de datum waarop het lek heeft plaatsgevonden (indien geen exacte datum bekend is: de periode waarbinnen het lek heeft plaatsgevonden;
- wat de (vermeende) oorzaak is van het lek);
- de datum en het tijdstip waarop het lek bekend is geworden bij Verwerker of bij een door hem ingeschakelde derde of onderaannemer;
- het aantal personen waarvan gegevens zijn gelekt (indien geen exact aantal bekend is: het minimale en maximale aantal personen waarvan gegevens zijn gelekt);
- een omschrijving van de groep personen van wie gegevens zijn gelekt, inclusief het soort of de soorten persoonsgegevens die gelekt zijn;
- of de gegevens versleuteld, gehasht of op een andere manier onbegrijpelijk of ontoegankelijk zijn gemaakt voor onbevoegden;
- wat de voorgenomen en/of reeds ondernomen maatregelen zijn om het lek te dichten en om de gevolgen van het lek te beperken;
- contactgegevens voor de opvolging van de melding.
- overeenkomst;
- algemene voorwaarden;
- verwerkers overeenkomst;
- service level agreement;
Bijlage 1 Specificatie persoonsgegevens Verwerker zal in het kader van de Overeenkomst, de volgende bijzondere persoonsgegevens verwerken van in opdracht van Verwerkingsverantwoordelijke. De opsomming van deze gegevens is opgenomen in de privacy verklaring welke ook onderdeel is van de gesloten Diensten Overeenkomst. Het kan zijn dat een Verwerkingsverantwoordelijke de gegevens van haar klanten ook op haar systemen heeft draaien en Verwerker hier voor werkzaamheden toegang toe moet hebben. Dit betreffen dan gelijke gegevens als in de privacyverklaring voor eindklanten van de Opdrachtgever eventueel aangevuld met het BSN nummer. De Wbp en AVG zijn hierop van toepassing. Indien er nadrukkelijk ook andere persoonsgegevens worden verwerkt en/of andere wetartikelen van toepassing zijn dan dienen deze te worden opgenomen in de Diensten Overeenkomst. Bijlage 2: beschrijving technische en organisatorische beveiligingsmaatregelen Ten aanzien van de te verwerken gegevens zullen tenminste de volgende maatregelen gelden:
- de gegevens worden versleuteld transit (onderweg van cloud naar gebruiker of vice versa) en afgeschermd opgeslagen;
- voor toegang tot de gegevens zullen hoogwaardige autorisatie- en authenticatiemechanismen gebruikt worden;
- de gegevens volledig worden afgezonderd van de gegevens van andere klanten van de Verwerker.
- De diensten van MHASMO hebben een ISAE3402 verklaring en beveiligingsnormen.
- De back-up gegevens worden versleuteld opgeslagen
- Klant omgeving zijn strikt gescheiden van elkaar.
- Inbraakbeveiliging door 24x7x365 bewaking middels beveiligers en cameratoezicht; inbraakdetectie en alarm; strikte toegangscontrole middels autorisatielijst, access cards, beveiligde poorten en biometrische security (fingerprint).
- Stroomvoorziening door hoog capaciteit en minimaal N+1 redundante stroomvoorziening; noodstroom via autonome generatoren en on-site brandstofopslag en 24x7x365 levering; volledig gescheiden stroomverdeling via A en B feed naar rack infrastructuur.
- Brandbeveiliging middels volledig analoog adresseerbaar branddetectiesysteem in alle ruimtes; rookdetectiesysteem; gasblus systeem in technische ruimtes.
- Koeling via hoog-capaciteit koelvoorziening en koelaggregaten, minimaal N+1 uitgevoerd; beheer van temperatuur en luchtvochtigheid middels CRAC-units.
- Certificeringen: minimal: ISO 9001, ISO 14001, ISO 27001, ISO22301, NEN7510, PCI DSS, ISAE3000, ISAE3402 Type I en II
- Bekabeling in serverruimtes wordt gescheiden; aparte bundels voor stroomkabels en voor glasvezelkabels of UTP netwerkbekabeling.
- Netwerkapparatuur is over meerdere datacenters verspreid, redundantie is aanwezig op het gebied van routers, core switches, interne en externe verbindingen (meerdere aansluitingen op transitleveranciers en Internet Exchanges), geografisch gescheiden routes tussen meerdere datacenters. Het gehele netwerk is gebaseerd op dynamische routering om bij uitval van componenten automatisch over andere paden verkeer om de uitgevallen componenten heen te leiden.
- Redundante storage voor productie en back-up, back-up storage draait op andere hardware dan de productie storage.
- Anti-DDoS infrastructuur alarmering en afscherming op basis van ip-adres.
- Logische toegang tot via wachtwoordbeleid en/of VPN keys, access lists voor toegang van IP-adressen op informatiesystemen van Cyso, firewalls, centrale logging van Cyso informatiesystemen en detectiesystemen voor bepaalde ongeautoriseerde wijzigingen.
- Netwerksegmentatie door gebruik van VLANs.
- Standaard firewall voor alle servers.
CONTACTGEGEVENS
Purple Mountain B.V.
Kennismakerij (station 79)
Burgemeester Brokxlaan 8-79
5041 DB Tilburg
ONZE LOCATIE
Purple Mountain is gevestigd in de Spoorzone in Tilburg. De broedplaats voor Artificial intelligence (AI) en gedragswetenschappen. Tevens onderdeel van MindLabs.
MindLabs ligt in het Deprez gebouw recht tegenover het Tilburg centraal station in de richting van de Burgemeester Broxlaan.