LICENTIENEMER, zoals vastgelegd in de Licentieovereenkomst,
en
FOYS, zoals vastgelegd in de Licentieovereenkomst,
hierna individueel te noemen “Partij” en gezamenlijk te noemen “Partijen”
OVERWEGENDE DAT:
a) FOYS een verenigingsapplicatie (het “Product”) heeft ontwikkeld met als doel het beheren van de ledenadministratie, en het structureren van de organisatie en de communicatie met de sporters;
b) Licentienemer het Product wenst te gebruiken en Partijen daartoe een
licentieovereenkomst hebben gesloten (“Overeenkomst”). Deze Verwerkersovereenkomst is een onlosmakelijk
onderdeel van de Overeenkomst.
c) Het gebruik van het Product met zich meebrengt dat persoonsgegevens worden
verwerkt, waarvoor Licentienemer ‘verantwoordelijke’ is in de zin van de Algemene Verordening
Gegevensbescherming (“AVG”).
d) FOYS de betreffende Persoonsgegevens in opdracht van Licentienemer verwerkt ten
behoeve van het uitvoeren van de Overeenkomst en niet voor eigen doeleinden. FOYS is in dat kader aan te merken
als ‘verwerker’ in de zin van de AVG.
e) Partijen middels deze verwerkersovereenkomst de afspraken met betrekking tot de
verwerking van persoonsgegevens in het kader het gebruik van het Product wensen vast te leggen.
KOMEN HET VOLGENDE OVEREEN:
Artikel 1. Definities en onderwerp van de overeenkomst
1.1. Termen als "verwerking", "persoonsgegevens", "betrokkene", "verwerker", “verwerkingsverantwoordelijke" en “datalek” hebben de betekenis die daaraan wordt toegekend in de Algemene Verordening Gegevensbescherming (“AVG”).
1.2. Onderwerp van deze overeenkomst is het maken van afspraken over het verwerken van
persoonsgegevens zoals bedoeld in artikel 28 lid 3 van de AVG. Deze overeenkomst zal hierna worden genoemd
“Verwerkersovereenkomst”, naar terminologie van de AVG.
Artikel 2. Geheimhouding
2.1. Ieder der partijen zal alle redelijkerwijs te nemen maatregelen treffen teneinde de geheimhouding van vertrouwelijke informatie te waarborgen voor zover dat noodzakelijk is in verband met de uitvoering van de Overeenkomst.
2.2. FOYS draagt er zorg voor dat de toegang tot de (verwerking van) persoonsgegevens
van Licentienemer op need-to-know basis is georganiseerd, en dat alleen personeel dat belast is met het uitvoeren van de overeengekomen werkzaamheden of diensten toegang heeft tot de (verwerking van) persoonsgegevens.
Artikel 3. Verwerken van persoonsgegevens
3.1. FOYS zal in het kader van de uitvoering van de overeengekomen werkzaamheden en diensten de persoonsgegevens ten behoeve en in opdracht van Licentienemer verwerken, waarbij het FOYS niet is toegestaan de van Licentienemer verkregen persoonsgegevens voor eigen doeleinden, anders dan overeengekomen, te verwerken en/of aan derden te verstrekken.
3.2. De persoonsgegevens zijn slechts toegankelijk voor FOYS en haar medewerkers en
worden, behoudens genoemd in deze Verwerkersovereenkomst, niet aan derden verstrekt, tenzij FOYS hiertoe
krachtens de wet of een rechterlijke uitspraak verplicht is of wordt.
3.3. FOYS verwerkt in opdracht van Licentienemer, gedurende de looptijd van de
Overeenkomst, ten behoeve van Licentienemer en ter voldoening aan enige wettelijke verplichting
Persoonsgegevens. Een overzicht van de categorieën Persoonsgegevens en de doeleinden waarvoor de
Persoonsgegevens worden verwerkt is opgenomen in Annex A.
3.4. Partijen zullen zorgdragen voor de naleving van de toepasselijke wet- en
regelgeving, waaronder in ieder geval begrepen wet- en regelgeving op het gebied van de bescherming van
persoonsgegevens, zoals de AVG.
Artikel 4. Technische en organisatorische maatregelen
4.1. FOYS legt, voor de verwerking van persoonsgegevens binnen haar diensten, passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico’s die de verwerking en de aard van de te beschermen gegevens met zich meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen. Deze maatregelen zijn opgenomen in Annex B.
4.2. Licentienemer legt voor het gedeelte waarvoor zij verantwoordelijk is passende
technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of tegen
enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de
techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico’s die de
verwerking en de aard van de te beschermen gegevens met zich meebrengen. De maatregelen zijn er mede op gericht
onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen. Het gaat dan bijvoorbeeld om: (i)
bedrijfsprocessen die voldoen aan de relevante wetgeving ter zake het verwerken van persoonsgegevens; (ii)
autorisatiemodellen waarbij personeel dat niets met bepaalde gegevens te maken heeft, geen toegang heeft tot
die gegevens (iii); beveiliging werkstations; (iv) een adequaat wachtwoordbeleid. Tevens dient Licentienemer er voor zorg te dragen dat zij een adequaat beleid voert ter zake gebruik van (privé) gebruik van internet en e-mail op de werkplek, waarbij is bepaald dat bij het gebruik van applicaties persoonsgegevens gelogd kunnen worden.
Artikel 5. Derden en sub-verwerkers
5.1. FOYS zal aan (de) eventueel door hem ingeschakelde derde(n) dezelfde of strengere verplichtingen opleggen als voor hemzelf uit deze Verwerkersovereenkomst en de wet voortvloeien en ziet toe op de naleving daarvan door (de) derde(n).
5.2. FOYS blijft volledig aansprakelijk jegens Licentienemer voor de gevolgen van het
uitbesteden van werkzaamheden aan een derde.
5.3. Het is FOYS niet toegestaan de persoonsgegevens naar een land buiten de E.U. /
E.E.R. door te geven, behoudens expliciete schriftelijke toestemming van Licentienemer.
Artikel 6. Datalekken en rechten van betrokkenen
6.1. Indien FOYS vermoedt, of te weten is gekomen, dat de persoonsgegevens van Licentienemer gecompromitteerd zijn (security breach of een datalek), of zijn geweest, meldt FOYS dit onmiddellijk, in ieder geval binnen vierentwintig (24) uur, aan Licentienemer. Naar aanleiding daarvan beoordeelt Licentienemer of zij de betrokkenen zal informeren en/of het incident zal melden aan de door de wet aangewezen toezichthouder. Licentienemer is en blijft altijd zelf verantwoordelijk voor een eventuele wettelijke verplichting daartoe. Niettemin verleent FOYS voor zover noodzakelijk medewerking om te kunnen voldoen aan de op hem rustende wettelijke verplichtingen.
6.2. Licentienemer is het eerste aanspreekpunt voor betrokkenen betreffende het
uitoefenen van hun rechten. Licentienemer zal dit ook richting de betrokkenen communiceren. In het geval echter
dat een betrokkene een verzoek over inzage, correctie of verwijdering richt aan FOYS, of enig ander recht dat
hem toekomt wenst uit te oefenen, zal FOYS het verzoek doorsturen aan Licentienemer, en zal Licentienemer het
verzoek verder afhandelen. FOYS stelt de betrokkene daarvan op de hoogte. Voor zover niet in strijd met enige
wettelijke bepaling zal FOYS medewerking verlenen aan Licentienemer bij de behandeling en afhandeling van het
verzoek.
6.3. FOYS zal rekening houdend met de aard van de verwerking, de Licentienemer door
middel van passende technische en organisatorische maatregelen, voor zover mogelijk, bijstand verlenen bij het
vervullen van diens plicht om verzoeken om uitoefening van de in hoofdstuk III AVG vastgestelde rechten van de
betrokkene te beantwoorden.
Artikel 7. Overige bepalingen
7.1. Deze Verwerkersovereenkomst eindigt zodra de Overeenkomst eindigt.
7.2. Deze Verwerkersovereenkomst geldt als een bijlage bij
de Overeenkomst hetgeen betekent dat de bepalingen van de Overeenkomst ook op deze Verwerkersovereenkomst van toepassing zijn. Indien een bepaling uit die Overeenkomst strijdig is met wat bepaald is in deze Verwerkersovereenkomst, prevaleert wat bepaald is in deze Verwerkersovereenkomst.
7.3. Op deze Verwerkersovereenkomst is het Nederlands recht van toepassing.
Annex A. Persoonsgegevens en bewaartermijnen
Persoonsgegevens
FOYS verwerkt persoonsgegevens namens de Licentienemer die voor de Licentienemer relevant
zijn voor de dienstverlening. Indien er verdere Persoonsgegevens worden verwerkt wordt dit bevestigd door
Licentienemer. Het gaat niet enkel om de Persoonsgegevens die Licentienemer direct aan FOYS verstrekt, maar ook
om persoonsgegevens van gebruikers van het Product binnen de organisatie van Licentienemer.
Voorbeelden van persoonsgegevens die met het gebruik van het Product worden verwerkt:
Categorie betrokkenen
Persoonsgegevens
Licentienemer
Naam en functie tekeningsbevoegde
Gebruikers
Gebruikersnaam en wachtwoord
Gebruikers van het Product binnen de organisatie van de Licentienemer
Unieke
ID (Lid)nummer organisatie/club Voorletters, voornaam, achternaam Geslacht Geboortedatum Adresgegevens: straat, huisnummer, postcode, stad, land Telefoonnummer Emailadres Interesses Opleidingen en licenties Functies Vrijwilligersdiensten
Andere dan de bovenstaande persoonsgegevens worden door FOYS pas verwerkt nadat zij daartoe
van Licentienemer de opdracht heeft gekregen.
Toegang
De Licentienemer, Beheerders en Gebruikers hebben middels een unieke gebruikersnaam en
wachtwoord toegang tot de persoonsgegevens van de Gebruiker, ten behoeve van het succesvol implementeren en
uitvoeren van het Product. FOYS heeft slechts toegang tot deze gegevens met als doel het oplossen van een
storing of ander probleem aan het Product. FOYS verwerkt de persoonsgegevens tevens ten behoeve van het
verbeteren van het Product, en gebruikt deze voor haar bedrijfsdoelstellingen, waarbij te allen tijde sprake is
van geaggregeerde, niet tot de persoon herleidbare, rapportages.
Bewaartermijnen
FOYS bewaart persoonsgegevens niet langer dan noodzakelijk voor het doel waarvoor deze zijn
verstrekt dan wel op grond van de wet is vereist. Licentienemer is zelf verantwoordelijk voor het hanteren van
de bewaartermijn van de ledengegevens.
Annex B Beveiligingsmaatregelen
De beveiligingsmaatregelen als in art. 4.1. bedoeld omvatten minimaal:
Toegang tot persoonsgegevens alleen met een unieke gebruikersnaam en wachtwoord en (voor de webapplicatie (‘backend’) 2-factor authenticatie);
Wachtwoorden worden gehashed met salting (encrypted) opgeslagen;
Secured communicatie met server (HTTPS / TLS 1.2);
De toegang tot de beheeromgeving waar de gegevens zijn opgeslagen, is beperkt tot geautoriseerde personen.
NL
EN