VERWERKERSOVEREENKOMST

Versie september 2020 Een verwerkersovereenkomst is een overeenkomst waarin de Opdrachtnemer vastlegt welke persoonsgegevens van een Opdrachtgever hij opslaat en verwerkt. In deze overeenkomst worden de afspraken en verplichtingen hieromtrent vastgelegd. In deze verwerkersoveenkomst zijn ook twee bijlagen opgenomen. Identiteit van de Opdrachtnemer
Naam (Opdrachtnemer) Purple Mountain bv
Handelend onder Purple Mountain bv
Vestigingsadres Gebouw 84
Ruimte G84.0.12
Burgemeester Brokxlaan 8-84
5041 SB Tilburg

Spaarndammerdijk 5a+b
1013 ZM Amsterdam
Postadres Spaarndammerdijk 5 a
1013 ZM Amsterdam
Telefoonnummer 085-0406031
E-mailadres info@purplemountain.nl
KvK-nummer 77618149
Opdrachtnemer levert de volgende diensten:
  • Moodle en LMS installaties
  • Content & Design
  • Hosting
  • Systeem Integraties
  • (Website) Development
  • UX design
  • Detachering
  • Training
  • Consultancy & (onderwijs) Advies
In aanmerking nemende dat:
  • Deze verwerkersovereenkomst integraal onderdeel is van de Algemene Voorwaarden;
  • De verwerkersovereenkomst integraal onderdeel is van de gesloten Overeenkomst tussen de Opdrachtgever en Opdrachtnemer;
  • De Opdrachtgever wordt hierna aangeduid met Verwerkingsverantwoordelijke;
  • De Opdrachtnemer wordt hierna aangeduid met Verwerker:
  • Verwerkingsverantwoordelijke voor de uitvoering diverse ICT gerelateerde werkzaamheden Verwerker in wenst te schakelen;
  • Verwerkingsverantwoordelijke en Verwerker ten behoeve van de voorgaande genoemde ICT gerelateerde werkzaamheden een Overeenkomst hebben gesloten.
  • Verwerker bij de uitvoering van de Overeenkomst (mogelijkerwijs en op onderdelen) aangemerkt kan worden als Verwerker in de zin van artikel 4 lid 8 van de Algemene Verordening Gegevensbescherming (hierna: “AVG”);
  • Verwerkingsverantwoordelijke aangemerkt wordt als verwerkingsverantwoordelijke in de zin van artikel 4 lid 7 AVG;
  • Waar in deze Verwerkersovereenkomst gesproken wordt over persoonsgegevens, hiermee persoonsgegevens in de zin van artikel 4 lid 1 AVG worden bedoeld;
  • Verwerkingsverantwoordelijke de doeleinden en middelen aanwijst voor de verwerking en waarvoor de hierin genoemde voorwaarden gelden;
  • Verwerker hiertoe bereid is en tevens bereid is de verplichtingen omtrent beveiliging en andere aspecten van de AVG na te komen, voor zover dit binnen zijn macht ligt;
  • De AVG aan de Verwerkingsverantwoordelijke de plicht oplegt om ervoor zorg te dragen dat Verwerker voldoende waarborgen biedt ten aanzien van de technische en organisatorische beveiligingsmaatregelen met betrekking tot de te verrichten verwerkingen;
  • De AVG daarnaast aan de Verwerkingsverantwoordelijke de plicht oplegt om toe te zien op de naleving van die maatregelen;
  • Partijen, mede gelet op het vereiste uit artikel 28 lid 3 AVG, hun rechten en plichten schriftelijk wensen vast te leggen middels deze verwerkersovereenkomst (hierna: “Verwerkersovereenkomst”);
  • Waar in deze Verwerkersovereenkomst gerefereerd wordt aan bepalingen uit de AVG, tot 25 mei 2018 de corresponderende bepalingen uit de Wet bescherming persoonsgegevens (hierna: “Wbp”) worden bedoeld.
VERKLAREN TE ZIJN OVEREENGEKOMEN ALS VOLGT: Artikel 1. Doeleinden van verwerking  1.1       Verwerker verbindt zich onder de voorwaarden van deze Verwerkersovereenkomst in opdracht van Verwerkingsverantwoordelijke persoonsgegevens te verwerken. Verwerking zal uitsluitend plaatsvinden in het kader van doeleinden die zijn vastgelegd in de Overeenkomst. 1.2       Verwerker zal de persoonsgegevens niet voor enig ander doel verwerken dan zoals door Verwerkingsverantwoordelijke is vastgesteld. Verwerkingsverantwoordelijke zal Verwerker op de hoogte stellen van de verwerkingsdoeleinden voor zover deze niet reeds in deze Verwerkersovereenkomst zijn genoemd. 1.3       De Verwerker heeft geen zeggenschap over het doel en de middelen voor de verwerking van persoonsgegevens. Verwerker neemt geen zelfstandige beslissingen over de ontvangst en het gebruik van de persoonsgegevens, de verstrekking aan derden en de duur van de opslag van persoonsgegevens.   Artikel 2. Verplichtingen Verwerker 2.1       Ten aanzien van de in artikel 1 genoemde verwerkingen zal Verwerker zorg dragen voor de naleving van de voorwaarden die op grond van de Wbp en de AVG worden gesteld aan het verwerken van persoonsgegevens door Verwerker. 2.2       Verwerker zal Verwerkingsverantwoordelijke, op diens verzoek daartoe en binnen een redelijke termijn, informeren over de door hem genomen maatregelen aangaande zijn verplichtingen onder deze Verwerkersovereenkomst. 2.3       De verplichtingen van de Verwerker die uit deze Verwerkersovereenkomst voortvloeien, gelden ook voor degenen die persoonsgegevens verwerken onder het gezag van Verwerker. 2.4       Het verwerken van persoonsgegevens door Verwerker zal nimmer met zich meebrengen dat de databases van Verwerker worden verrijkt met de gegevens afkomstig uit de datasets van Verwerkingsverantwoordelijke tenzij het de gegevens in geaggregeerde, niet herleidbare, vorm betreft. In dat geval is het Verwerker toegestaan deze gegevens voor eigen overige doeleinden te gebruiken. 2.5       Verwerker zal de Verwerkingsverantwoordelijke onmiddellijk in kennis stellen indien naar zijn mening een instructie van de Verwerkingsverantwoordelijke in strijd is met de in lid 1 bedoelde wetgeving.   Artikel 3. Doorgifte van persoonsgegevens Verwerker mag de persoonsgegevens verwerken in landen binnen de Europese Economische Ruimte (hierna: “EER”). Doorgifte naar landen buiten de EER is enkel toegestaan wanneer dit op basis van de voorafgaande schriftelijke opdracht/toestemming van de Verwerkingsverantwoordelijke plaatsvindt, of er sprake is van een van de passende waarborgen in de zin van de AVG. Artikel 4. Verdeling van verantwoordelijkheid   4.1       De toegestane verwerkingen zullen door Verwerker worden uitgevoerd binnen een (semi-) geautomatiseerde omgeving. 4.2       Verwerker is louter verantwoordelijk voor de verwerking van de persoonsgegevens onder deze Verwerkersovereenkomst, overeenkomstig de instructies van Verwerkingsverantwoordelijke en onder de uitdrukkelijke (eind)verantwoordelijkheid van Verwerkingsverantwoordelijke. Voor alle overige verwerkingen van persoonsgegevens, waaronder in ieder geval begrepen maar niet beperkt tot de verzameling van de persoonsgegevens door de Verwerkingsverantwoordelijke, verwerkingen voor doeleinden die niet door Verwerkingsverantwoordelijke aan Verwerker zijn gemeld, verwerkingen door derden en/of voor andere doeleinden, is Verwerker niet verantwoordelijk. De verantwoordelijkheid voor deze verwerkingen rust uitsluitend bij Verwerkingsverantwoordelijke. 4.3       Verwerkingsverantwoordelijke staat er voor in dat de inhoud, het gebruik en de opdracht tot de verwerkingen van de persoonsgegevens zoals bedoeld in deze Verwerkersovereenkomst, niet onrechtmatig is en geen inbreuk maken op enig recht van derden. 4.4       Partijen zullen een register bijhouden van de onder deze Verwerkersovereenkomst geregelde verwerkingen.   Artikel 5. Inschakelen van derden of onderaannemers 5.1       Verwerkingsverantwoordelijke geeft Verwerker hierbij toestemming om bij de verwerking van persoonsgegevens, op grond van deze Verwerkersovereenkomst, gebruik te maken van een derde met inachtneming van de toepasselijke privacywetgeving. Onder een derde in voormelde zin wordt mede (maar niet uitsluitend) verstaan, het datacenter dat door Verwerker wordt gebruikt bij het verlenen van haar diensten. 5.2       Op verzoek van Verwerkingsverantwoordelijke zal Verwerker de Verwerkingsverantwoordelijke zo spoedig mogelijk informeren over de door haar ingeschakelde derden. Verwerkingsverantwoordelijke heeft het recht om tegen enige, door Verwerker ingeschakelde derden, bezwaar te maken. Wanneer Verwerkingsverantwoordelijke bezwaar maakt tegen door de Verwerker ingeschakelde derden, zullen Partijen onderling in overleg treden om hiertoe tot een oplossing te komen. 5.3       Verwerker zorgt er in ieder geval voor dat deze derden schriftelijk dezelfde plichten op zich nemen als tussen Verwerkingsverantwoordelijke en Verwerker zijn overeengekomen. Verwerker staat in voor een correcte naleving van deze plichten door deze derden en is bij fouten van deze derden zelf jegens Verwerkingsverantwoordelijke aansprakelijk voor alle schade alsof hij zelf de fout(en) heeft begaan.   Artikel 6. Beveiliging 6.1       Verwerker zal zich inspannen passende technische en organisatorische maatregelen te nemen met betrekking tot de te verrichten verwerkingen van persoonsgegevens, tegen verlies of tegen enige vorm van onrechtmatige verwerking (zoals onbevoegde kennisname, aantasting, wijziging of verstrekking van de persoonsgegevens). Deze maatregel zijn opgenomen in een ISAE3402 verklaring. Op aanvraag kan deze verstrekt worden aan de Opdrachtgever. 6.2       Verwerker zal zich inspannen de beveiliging te laten voldoen aan een niveau dat, gelet op de stand van de techniek, de gevoeligheid van de persoonsgegevens en de aan het treffen van de beveiliging verbonden kosten, niet onredelijk is. 6.3       Indien blijkt dat een noodzakelijke beveiligingsmaatregel ontbreekt, zal Verwerker ervoor zorgdragen dat de beveiliging voldoet aan een niveau dat, gelet op de stand van de techniek, de gevoeligheid van de persoonsgegevens en de aan het treffen van de beveiliging verbonden kosten, niet onredelijk is.   Artikel 7. Meldplicht  7.1       In het geval van een datalek (waaronder wordt verstaan: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens) zal Verwerker Verwerkingsverantwoordelijke daarover onverwijld dan wel uiterlijk binnen achtenveertig (48) uur infomeren, naar aanleiding waarvan Verwerkingsverantwoordelijke beoordeelt of zij de toezichthoudende autoriteiten en/of betrokkenen zal informeren of niet. Verwerker spant zich naar beste kunnen in om de verstrekte informatie volledig, correct en accuraat te maken. 7.2       Verwerkingsverantwoordelijke zal zorgdragen voor het voldoen aan eventuele (wettelijke) meldplichten. Indien de wet- en/of regelgeving dit vereist zal Verwerker meewerken aan het informeren van de ter zake relevante autoriteiten en eventueel betrokkenen. 7.3       De meldplicht behelst in ieder geval het melden van het feit dat er een lek is geweest, alsmede voor zover bekend bij Verwerker:
  • de datum waarop het lek heeft plaatsgevonden (indien geen exacte datum bekend is: de periode waarbinnen het lek heeft plaatsgevonden;
  • wat de (vermeende) oorzaak is van het lek);
  • de datum en het tijdstip waarop het lek bekend is geworden bij Verwerker of bij een door hem ingeschakelde derde of onderaannemer;
  • het aantal personen waarvan gegevens zijn gelekt (indien geen exact aantal bekend is: het minimale en maximale aantal personen waarvan gegevens zijn gelekt);
  • een omschrijving van de groep personen van wie gegevens zijn gelekt, inclusief het soort of de soorten persoonsgegevens die gelekt zijn;
  • of de gegevens versleuteld, gehasht of op een andere manier onbegrijpelijk of ontoegankelijk zijn gemaakt voor onbevoegden;
  • wat de voorgenomen en/of reeds ondernomen maatregelen zijn om het lek te dichten en om de gevolgen van het lek te beperken;
  • contactgegevens voor de opvolging van de melding.
Artikel 8. Rechten van betrokkenen In het geval dat een betrokkene een verzoek tot uitoefening van zijn/haar wettelijke rechten richt aan Verwerker, zal Verwerker het verzoek doorsturen aan Verwerkingsverantwoordelijke en de betrokkene hiervan op de hoogte stellen. Verwerkingsverantwoordelijke zal het verzoek vervolgens verder zelfstandig afhandelen. Indien blijkt dat de Verwerkingsverantwoordelijke hulp benodigd heeft van de Verwerker voor de uitvoering van een verzoek van een betrokkene, dan kan de Verwerker hiervoor kosten in rekening brengen. Artikel 9. Geheimhoudingsplicht 9.1       Op alle persoonsgegevens die Verwerker van Verwerkingsverantwoordelijke ontvangt en/of zelf verzamelt in het kader van deze Verwerkersovereenkomst, rust een geheimhoudingsplicht jegens derden. Verwerker zal deze informatie niet voor een ander doel gebruiken dan waarvoor hij deze heeft verkregen, tenzij deze in een zodanige vorm is gebracht dat deze niet tot betrokkenen herleidbaar is. 9.2       Deze geheimhoudingsplicht is niet van toepassing voor zover Verwerkingsverantwoordelijke uitdrukkelijke toestemming heeft gegeven om de informatie aan derden te verschaffen, indien het verstrekken van de informatie aan derden logischerwijs noodzakelijk is gezien de aard van de verstrekte opdracht en de uitvoering van deze Verwerkersovereenkomst, of indien er een wettelijke verplichting bestaat om de informatie aan een derde te verstrekken.   Artikel 10. Audit 10.1     Verwerkingsverantwoordelijke heeft het recht om audits uit te laten voeren door een onafhankelijke ICT-deskundige die aan geheimhouding is gebonden ter controle van naleving van alle punten uit deze Verwerkersovereenkomst. 10.2     Deze audit vindt uitsluitend plaatst nadat Verwerkingsverantwoordelijke de bij Verwerker aanwezige soortgelijke auditrapportages heeft opgevraagd, beoordeeld en redelijke argumenten aanbrengt die een door Verwerkingsverantwoordelijke geïnitieerde audit alsnog rechtvaardigen. Een dergelijke audit wordt gerechtvaardigd wanneer de bij Verwerker aanwezige soortgelijke auditrapportages geen of onvoldoende uitsluitsel geven over het naleven van deze Verwerkersovereenkomst door Verwerker. De door Verwerkingsverantwoordelijke geïnitieerde audit vindt twee weken na voorafgaande aankondiging door Verwerkingsverantwoordelijke, en maximaal eens per jaar plaats. 10.3     Verwerker zal aan de audit meewerken en alle voor de audit redelijkerwijs relevante informatie, inclusief ondersteunende gegevens zoals systeemlogs, en medewerkers zo tijdig mogelijk en binnen een redelijke termijn, waarbij een termijn van maximaal twee weken redelijk is tenzij een spoedeisend belang zich hiertegen verzet, ter beschikking stellen. Verwerkingsverantwoordelijke zal er zorg voor dragen dat de audit een zo min mogelijk bedrijf verstorend effect op de overige werkzaamheden van Verwerker veroorzaakt. 10.4     De bevindingen naar aanleiding van de uitgevoerde audit zullen door Partijen in onderling overleg worden beoordeeld en, naar aanleiding daarvan, al dan niet worden doorgevoerd door één van de Partijen of door beide Partijen gezamenlijk. 10.5     De redelijke kosten voor de audit worden door de Verwerkingsverantwoordelijke gedragen, met dien verstande dat de kosten voor de in te huren derde altijd door Verwerkingsverantwoordelijke zullen worden gedragen. 10.6     Verwerker zal Verwerkingsverantwoordelijke ondersteunen bij de uitvoering van een Data Protection Impact Assessment (hierna: ‘DPIA’) wanneer Verwerker dit op grond van de AVG verplicht is. Deze ondersteuning kan zich onder andere uiten in het ter beschikking stellen van de benodigde informatie door Verwerker aan Verwerkingsverantwoordelijke, voor het correct uitvoeren van de DPIA. Artikel 11. Aansprakelijkheid 11.1     Verwerkingsverantwoordelijke staat er voor in dat de verwerking op grond van onderhavige overeenkomst niet onrechtmatig is en geen inbreuk maakt op rechten van betrokken personen. 11.2     Ingeval van niet – naleving door Verwerkingsverantwoordelijke van de privacy regelgeving is Verwerker niet aansprakelijk voor de daar uit voortvloeiende schade en vrijwaart ze daarvoor de Verwerker. Onder die vrijwaring vallen in ieder geval ook vorderingen van betrokken personen ten aanzien van wie in voorkomend geval sprake zou zijn van een schending van privacy. 11.3     De aansprakelijkheid van Verwerker voor het door haar niet naleven van de verplichtingen uit onderhavige overeenkomst is te allen tijde beperkt tot het bedrag waarvoor zij ter zake is verzekerd (zo van toepassing) en in ieder geval tot een bedrag van € 100.000 (zegge: honderd duizend Euro) per gebeurtenis. Met een maximaal dekking van 2 gebeurtenissen per jaar. Verwerker verklaart daartoe verzekerd te zijn bij het aangaan van onderhavige overeenkomst en zich verzekerd te zullen houden.   Artikel 12. Duur en beëindiging 12.1     Deze Verwerkersovereenkomst is aangegaan voor de duur zoals bepaald in de Overeenkomst tussen Partijen en bij gebreke daarvan in ieder geval voor de duur van de samenwerking. 12.2     De Verwerkersovereenkomst kan tussentijds niet worden opgezegd. 12.3     Partijen mogen deze Verwerkersovereenkomst alleen wijzigen met wederzijdse schriftelijke instemming. 12.4     Na beëindiging van de Verwerkersovereenkomst vernietigt Verwerker de van Verwerkingsverantwoordelijke ontvangen persoonsgegevens onverwijld, tenzij partijen anders overeenkomen.   Artikel 13. Overige bepalingen 13.1     De Verwerkersovereenkomst en de uitvoering daarvan worden beheerst door Nederlands recht. 13.2     Alle geschillen, die tussen Partijen mochten ontstaan in verband met de Verwerkersovereenkomst, zullen worden voorgelegd aan de bevoegde rechter in het arrondissement van de rechtbank die ook bevoegd is in het kader van de Overeenkomst te oordelen. 13.3     Indien één of meer bepalingen van de Verwerkersovereenkomst niet rechtsgeldig blijken te zijn, zal de Verwerkersovereenkomst voor het overige van kracht blijven. Partijen overleggen alsdan over de bepalingen welke niet rechtsgeldig zijn, teneinde een vervangende regeling te treffen die wel rechtsgeldig is en zoveel mogelijk aansluit bij de strekking van de te vervangen regeling. 13.4     Indien de privacywetgeving wijzigt, zullen partijen meewerken deze Verwerkersovereenkomst aan te passen teneinde aan deze wetgeving te kunnen (blijven) voldoen. 13.5     In geval van strijdigheid van verschillende documenten of de bijlagen daarvan, geldt de volgende rangorde:
  • overeenkomst;
  • algemene voorwaarden;
  • verwerkers overeenkomst;
  • service level agreement;

Bijlage 1           Specificatie persoonsgegevens Verwerker zal in het kader van de Overeenkomst, de volgende bijzondere persoonsgegevens verwerken van in opdracht van Verwerkingsverantwoordelijke. De opsomming van deze gegevens is opgenomen in de privacy verklaring welke ook onderdeel is van de gesloten Diensten Overeenkomst. Het kan zijn dat een Verwerkingsverantwoordelijke de gegevens van haar klanten ook op haar systemen heeft draaien en Verwerker hier voor werkzaamheden toegang toe moet hebben. Dit betreffen dan gelijke gegevens als in de privacyverklaring voor eindklanten van de Opdrachtgever eventueel aangevuld met het BSN nummer. De Wbp en AVG zijn hierop van toepassing. Indien er nadrukkelijk ook andere persoonsgegevens worden verwerkt en/of andere wetartikelen van toepassing zijn dan dienen deze te worden opgenomen in de Diensten Overeenkomst. Bijlage 2: beschrijving technische en organisatorische beveiligingsmaatregelen Ten aanzien van de te verwerken gegevens zullen tenminste de volgende maatregelen gelden:
  • de gegevens worden versleuteld transit (onderweg van cloud naar gebruiker of vice versa) en afgeschermd opgeslagen;
  • voor toegang tot de gegevens zullen hoogwaardige autorisatie- en authenticatiemechanismen gebruikt worden;
  • de gegevens volledig worden afgezonderd van de gegevens van andere klanten van de Verwerker.
  • De diensten van MHASMO hebben een ISAE3402 verklaring en beveiligingsnormen.
  • De back-up gegevens worden versleuteld opgeslagen
  • Klant omgeving zijn strikt gescheiden van elkaar.
  Daarnaast zijn de volgende datacenter maatregelen genomen:
  • Inbraakbeveiliging door 24x7x365 bewaking middels beveiligers en cameratoezicht; inbraakdetectie en alarm; strikte toegangscontrole middels autorisatielijst, access cards, beveiligde poorten en biometrische security (fingerprint).
  • Stroomvoorziening door hoog capaciteit en minimaal N+1 redundante stroomvoorziening; noodstroom via autonome generatoren en on-site brandstofopslag en 24x7x365 levering; volledig gescheiden stroomverdeling via A en B feed naar rack infrastructuur.
  • Brandbeveiliging middels volledig analoog adresseerbaar branddetectiesysteem in alle ruimtes; rookdetectiesysteem; gasblus systeem in technische ruimtes.
  • Koeling via hoog-capaciteit koelvoorziening en koelaggregaten, minimaal N+1 uitgevoerd; beheer van temperatuur en luchtvochtigheid middels CRAC-units.
  • Certificeringen: minimal: ISO 9001, ISO 14001, ISO 27001, ISO22301, NEN7510, PCI DSS, ISAE3000, ISAE3402 Type I en II
  • Bekabeling in serverruimtes wordt gescheiden; aparte bundels voor stroomkabels en voor glasvezelkabels of UTP netwerkbekabeling.
  • Netwerkapparatuur is over meerdere datacenters verspreid, redundantie is aanwezig op het gebied van routers, core switches, interne en externe verbindingen (meerdere aansluitingen op transitleveranciers en Internet Exchanges), geografisch gescheiden routes tussen meerdere datacenters. Het gehele netwerk is gebaseerd op dynamische routering om bij uitval van componenten automatisch over andere paden verkeer om de uitgevallen componenten heen te leiden.
  • Redundante storage voor productie en back-up, back-up storage draait op andere hardware dan de productie storage.
  • Anti-DDoS infrastructuur alarmering en afscherming op basis van ip-adres.
  • Logische toegang tot via wachtwoordbeleid en/of VPN keys, access lists voor toegang van IP-adressen op informatiesystemen van Cyso, firewalls, centrale logging van Cyso informatiesystemen en detectiesystemen voor bepaalde ongeautoriseerde wijzigingen.
  • Netwerksegmentatie door gebruik van VLANs.
  • Standaard firewall voor alle servers.

CONTACTGEGEVENS

Purple Mountain B.V.
Kennismakerij (station 79)
Burgemeester Brokxlaan 8-79
5041 DB Tilburg

Spaarndammerdijk 5a
1013 ZM Amsterdam

 085-0406031

info@purplemountain.nl

www.purplemountain.nl

ONZE LOCATIE

Purple Mountain is gevestigd in de Spoorzone in Tilburg. De broedplaats voor Artificial intelligence (AI) en gedragswetenschappen. Tevens onderdeel van MindLabs.

MindLabs ligt in het Deprez gebouw recht tegenover het Tilburg centraal station in de richting van de Burgemeester Broxlaan.