Verwerkersovereenkomst Felixx.® arbo


De ondergetekenden:

A: (hierna te noemen: ‘Verwerkingsverantwoordelijke’), gevestigd te , aan de , bij de Kamers van Koophandel ingeschreven onder nummer te dezer zake rechtsgeldig vertegenwoordigd door .

en

B: De besloten vennootschap met beperkte aansprakelijkheden Felixx.® Pensioen & HR Consultants B.V. bij de Kamer van Koophandel ingeschreven onder het nummer 32114079, kantoorhoudende te Lisse, handelend onder de naam Felixx.® werk & inkomen (hierna te noemen: ‘Felixx.®’), te dezer zake rechtsgeldig vertegenwoordigd door haar directeuren, hierna te noemen ‘Verwerker’.

 

De Verwerkingsverantwoordelijke en de Verwerker hierna gezamenlijk te noemen Partijen en ieder voor zich Partij verklaren te zijn overeengekomen als volgt:

  • Partijen een Verwerkersovereenkomst zijn aangegaan in het kader waarvan Persoonsgegevens van Derden door Verwerker (kunnen) worden verwerkt.
  • De Verwerker in het kader van de Overeenkomst ten behoeve van Verwerkingsverantwoordelijke Persoonsgegevens zal verwerken, waarbij Verwerkingsverantwoordelijke te beschouwen is als “Verwerkingsverantwoordelijke”, en Verwerker als “Verwerker”, zoals bedoeld in de Algemene Verordening Gegevensbescherming.
  • Partijen beiden zullen voldoen aan de verplichtingen uit de Algemene Verordening Gegevensbescherming en nationale wet- en regelgeving met betrekking tot de bescherming van Persoonsgegevens.
  • De Verwerker ten behoeve van de Verwerkingsverantwoordelijke waarborgen zal bieden ten aanzien van het naleven van deze regelgeving ten aanzien van de bescherming van Persoonsgegevens, waaronder ook het bieden van passende technische en organisatorische beveiligingsmaatregelen om een op het risico afgestemd adequaat beveiligingsniveau te garanderen.
  • Partijen in deze Verwerkersovereenkomst de afspraken vastleggen die gelden voor het verwerken van Persoonsgegevens door Verwerker ten behoeve van Verwerkingsverantwoordelijke.

 

Artikel 1: Definities en uitgangspunten

1.1 In deze Verwerkersovereenkomst worden de volgende definities gehanteerd:

  • AVG: De Algemene Verordening Gegevensbescherming en overige (nationale) wet­- en regelgeving met betrekking tot de bescherming van Persoonsgegevens.
  • Betrokkene: Een natuurlijk persoon van wie de Persoonsgegevens worden verwerkt door Verwerkingsverantwoordelijke en Verwerker, zoals nader beschreven in Bijlage 1.
  • Bijzondere Persoonsgegevens: Dit zijn gegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen of lidmaatschap van een vakbond blijken en genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, gegevens over gezondheid of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid. Alsmede Persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende veiligheidsmaatregelen.
  • Datalek: Een inbreuk op de beveiliging die leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens, die een risico inhoudt op de rechten en vrijheden van Betrokkene(n).
  • Derden: Andere dan bovengenoemde Partijen en werknemers van Partijen.
  • Meldplicht Datalekken: De verplichting tot het melden van Datalekken aan de Autoriteit Persoonsgegevens en (in sommige gevallen) aan Betrokkene(n).
  • Werknemer(s): Personen die werkzaam zijn bij of Verwerker of Verwerkingsverantwoordelijke ofwel in dienstbetrekking dan wel tijdelijk ingehuurd zijn.
  • Overeenkomst: De Overeenkomst (met bijlagen) tussen Partijen.
  • Persoonsgegevens: De (categorieën van) Persoonsgegevens met betrekking tot Betrokkene(n), zoals nader beschreven in Bijlage 1.
  • Persoonsgegevens van gevoelige aard: Persoonsgegevens waarbij verlies of onrechtmatige verwerking kunnen leiden tot (onder meer) stigmatisering of uitsluiting van Betrokkene(n), schade aan de gezondheid, financiële schade of tot (identiteit)fraude. Tot deze categorieën van Persoonsgegevens moeten in ieder geval worden gerekend: bijzondere Persoonsgegevens, gegevens over de financiële of economische situatie van de Betrokkene(n), (andere) gegevens die kunnen leiden tot stigmatisering of uitsluiting van de Betrokkene(n), gebruikersnamen, wachtwoorden en andere logingegevens en gegevens die kunnen worden misbruikt voor (identiteiten)fraude.
  • Sub-verwerker: De derde partij die in opdracht van Verwerker de Persoonsgegevens zal verwerken.
  • Verwerken/Verwerking: Elke handeling met betrekking tot Persoonsgegevens, waaronder in ieder geval het vastleggen, ordenen, opslaan, bijwerken, actualiseren, wijzigen, opvragen, raadplegen, gebruiken, doorzenden, verspreiden, met elkaar in verband brengen, uitwisselen, wissen, vernietigen of beperken.
  • Verwerker: Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan, die/dat ten behoeve van de Verwerkingsverantwoordelijke Persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen.
  • Verwerkersovereenkomst: Deze Verwerkersovereenkomst.
  • Verwerkingsverantwoordelijke: Een natuurlijk persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat alleen of samen met anderen, het doel van en de middelen voor de verwerking van de Persoonsgegevens vaststelt.

 

Artikel 2: Reikwijdte van deze Verwerkersovereenkomst

2.1 Verwerker zal de Persoonsgegevens uitsluitend verwerken ten behoeve en in opdracht van Verwerkingsverantwoordelijke en steeds in overeenstemming met de bepalingen van de Verwerkersovereenkomst, dan wel met overige schriftelijke instructies van Verwerkingsverantwoordelijke. Tenzij Verwerker op grond van de wet- of regelgeving verplicht is om anders te handelen (bijvoorbeeld bij het maken van een afweging of een melding van een “ongebruikelijke transactie” moet worden gedaan in het kader van de Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft)).

2.2 Indien Verwerker op enig moment van mening is dat een bepaling uit deze Verwerkersovereenkomst of een schriftelijke instructie van Verwerkingsverantwoordelijke zich niet of niet volledig verhoudt met de AVG, dan informeert Verwerker de Verwerkingsverantwoordelijke daar direct over. Partijen overleggen dan over de mogelijke gevolgen en de voortgang van de Verwerkersovereenkomst.

2.3 Verwerker zal de Persoonsgegevens van Betrokkene(n) alleen verwerken ten behoeve van de verwerkingsdoeleinden, zoals beschreven in Bijlage 1.

2.4 Eventuele (intellectuele) eigendomsrechten met betrekking tot de Persoonsgegevens of de dragers waarop deze zijn opgeslagen, blijven uitsluitend voorbehouden aan Verwerkingsverantwoordelijke.

 

Artikel 3: Algemene verplichtingen Verwerker 

3.1 Verwerker verplicht zich om alle instructies van Verwerkingsverantwoordelijke op te volgen ten aanzien van de verwerking van de Persoonsgegevens in het kader van deze Verwerkersovereenkomst.

3.2 Verwerker zal zich houden aan de verplichtingen op grond van de AVG en alle overige toepasselijke wet- en regelgeving en gedragscodes betreffende de bescherming en beveiliging van Persoonsgegevens, zoals die van tijd tot tijd zullen gelden. Verwerker verklaart met deze regelgeving bekend te zijn en zich tijdig van eventuele wijzigingen daarvan op de hoogte te zullen houden. Zo nodig kan Verwerkingsverantwoordelijke dienaangaande instructies uitvaardigen aan Verwerker.

3.3 Verwerker zal de Persoonsgegevens op een behoorlijke en zorgvuldige wijze in overeenstemming met de AVG verwerken.

3.4 Verwerker instrueert werknemers, Sub-verwerkers en overige Derden die werkzaamheden verrichten in het kader van de uitvoering van de Overeenkomst, opdat zij niet in strijd handelen met deze Verwerkersovereenkomst. Verwerker draagt hiervoor de verantwoordelijkheid.

3.5 Het is Verwerker niet toegestaan om de Persoonsgegevens voor eigen doeleinden of enig ander doel dan de in deze Verwerkersovereenkomst genoemde verwerkingsdoeleinden te verwerken en/of aan Derden te verstrekken.

3.6 Verwerker voorziet Verwerkingsverantwoordelijke op eerste verzoek van redelijkerwijze noodzakelijke informatie, op basis waarvan de Verwerkingsverantwoordelijke zich een oordeel kan vormen over de naleving van deze Verwerkersovereenkomst door Verwerker. Verwerker licht op eerste verzoek van Verwerkingsverantwoordelijke de opzet en werking toe van het stelsel aan maatregelen en procedures, dat dient tot naleving van deze Verwerkersovereenkomst.

3.7 Verwerker zal op eerste verzoek van Verwerkingsverantwoordelijke toegang verlenen aan Verwerkingsverantwoordelijke tot de Persoonsgegevens, dan wel de Persoonsgegevens aan Verwerkingsverantwoordelijke ter beschikking stellen op een wijze die door Verwerkingsverantwoordelijke zal worden bepaald.

3.8 Als Verwerker een verzoek krijgt om Persoonsgegevens ter beschikking te stellen dan doet Verwerker dit alleen als het verzoek gedaan is door een daartoe bevoegde instantie (Autoriteit Persoonsgegevens of enige overheids- of gerechtelijke of toezichthoudende instantie met betrekking tot de verstrekking of verwerking van de Persoonsgegevens). Hierbij beoordeelt Verwerker eerst of het verzoek bindend is en/of Verwerker op grond van gedrags- en beroepsregels aan het verzoek moet voldoen. Als er geen strafrechtelijke of andere juridische belemmeringen zijn, stelt Verwerker de Verwerkingsverantwoordelijke onverwijld op de hoogte van het verzoek. In dat geval zullen wij met Verwerkingsverantwoordelijke overleggen over de wijze waarop en welke gegevens ter beschikking gesteld worden.

 

Artikel 4: Sub-verwerkers en doorgifte

4.1 Verwerker mag voor de verwerking van Persoonsgegevens binnen het kader van de Verwerkersovereenkomst Sub-verwerkers inschakelen. Verwerkingsverantwoordelijke verleent hierbij zijn algemene toestemming voor de toevoeging of vervanging van een Sub-verwerker door Verwerker. Verwerkingsverantwoordelijke en Verwerker kunnen voorwaarden overeenkomen voor inschakeling van een Sub-verwerker.

4.2 Indien (een deel van) de verwerking van de Persoonsgegevens wordt uitbesteed aan een Sub­-verwerker, is Verwerker jegens Verwerkingsverantwoordelijke volledig verantwoordelijk en aansprakelijk voor de uitvoering door Sub-verwerker conform de plichten die uit hoofde van deze Verwerkersovereenkomst op Verwerker rusten. Verwerker staat er jegens Verwerkingsverantwoordelijke voor in dat de verwerking van de Persoonsgegevens door een Sub-verwerker slechts plaatsvindt binnen de reikwijdte van deze Verwerkersovereenkomst.

4.3 Verwerker en eventuele Sub-verwerkers zullen Persoonsgegevens niet verwerken in of doorgeven aan derde landen of doorgeven aan internationale organisaties, één en ander zoals bedoeld in de AVG, tenzij daarover voorafgaand schriftelijke afspraken zijn gemaakt tussen Partijen. Verwerker dient instructies van Verwerkingsverantwoordelijke met betrekking tot het verwerken of doorgeven van Persoonsgegevens in derde landen of aan internationale organisaties strikt op te volgen.

4.4 Verwerker zorgt ervoor dat aan Sub-verwerkers door middel van een schriftelijke Verwerkersovereenkomst tenminste dezelfde verantwoordelijkheden en verplichtingen worden opgelegd als die aan Verwerker zijn opgelegd in deze Verwerkersovereenkomst.

 

Artikel 5: Geheimhouding

5.1 Verwerker mag geen Persoonsgegevens aan Derden kenbaar maken of Derden daartoe toegang geven, tenzij Verwerkingsverantwoordelijke daar vooraf uitdrukkelijk schriftelijk toestemming voor heeft gegeven. Onder Derden wordt ook personeel van Verwerker begrepen voor zover het niet noodzakelijk is dat dergelijk personeel voor het uitvoeren van de Overeenkomst kennisneemt van de Persoonsgegevens. Deze geheimhoudingsplicht blijft onverminderd van kracht na het einde van deze Verwerkersovereenkomst.

5.2 Verwerker verplicht zich om werknemers en Sub-verwerkers of overige Derden die werkzaamheden verrichten in het kader van de uitvoering van de Overeenkomst, bekend te maken met de inhoud van de Verwerkersovereenkomst en hen schriftelijk te conformeren aan de verplichtingen uit de Verwerkersovereenkomst ten aanzien maar niet beperkt tot onder meer het geheimhouden en vertrouwelijk behandelen van Persoonsgegevens als bedoeld in dit artikel.

 

Artikel 6: Beveiliging

6.1 Verwerker zal uit eigen beweging zodanige technische en organisatorische beveiligingsmaatregelen treffen en aanhouden dat de Persoonsgegevens adequaat beveiligd zijn tegen verlies of enige vorm van onzorgvuldige, ondeskundige of onrechtmatige verwerking en dat ten aanzien van de Persoonsgegevens steeds sprake is van een adequate bescherming die, gelet op de stand van de techniek, passend is. Verwerker zal zich er daarbij voor inspannen dat de beveiligingsmaatregelen minimaal het niveau hebben dat gebruikelijk is in de branche waarin Verwerker werkzaam is. Verwerker zal periodiek (door middel van audits of certificering) aantonen dat aan de overeengekomen beveiligingsmaatregelen is voldaan.

6.2 Verwerker treft in ieder geval de in Bijlage 2 opgenomen beveiligingsmaatregelen.

6.3 Partijen evalueren periodiek de in dit artikel en in Bijlage 2 genoemde maatregelen. Zodra Verwerkingsverantwoordelijke ten aanzien van de beveiliging van de Persoonsgegevens nieuwe of gewijzigde afspraken wenselijk acht, dan treden Partijen hierover in overleg. Verwerker is verplicht nieuwe of aanvullende beveiligingsmaatregelen te treffen, indien dat redelijkerwijze nodig is om een adequaat niveau van bescherming blijvend te garanderen.

 

Artikel 7: Controle

7.1 Verwerker stelt Verwerkingsverantwoordelijke en eventueel door Verwerkingsverantwoordelijke aangewezen Derden (auditors) in staat om op verzoek van Verwerkingsverantwoordelijke binnen een redelijke termijn de naleving door Verwerker van deze Verwerkersovereenkomst te (laten) controleren.

7.2 De Verwerkingsverantwoordelijke en eventueel door de Verwerkingsverantwoordelijke aangewezen Derden (auditors) zullen zich conformeren aan de op enig moment geldende beveiligingsmaatregelen van Verwerker en zullen geheimhouding betrachten met betrekking tot de informatie die hen bekend wordt van Verwerker tijdens de controle. Indien gewenst zullen Verwerkingsverantwoordelijke en door deze aangewezen Derden een geheimhoudingsverklaring ondertekenen.

7.3 De kosten voor een door Verwerkingsverantwoordelijke geïnitieerde controle als beschreven in dit artikel komen voor rekening van de Verwerkingsverantwoordelijke, tenzij uit de controle blijkt dat Verwerker aantoonbaar in strijd handelt of heeft gehandeld met de Verwerkersovereenkomst. Verwerkingsverantwoordelijke kan de kosten van de controle in zo’n geval (deels) verhalen op Verwerker.

7.4 Verwerker verstrekt periodiek, dan wel op eerste verzoek van Verwerkingsverantwoordelijke, een rapportage aan Verwerkingsverantwoordelijke waarin Verwerker informatie verstrekt over de stand van de beveiligingsmaatregelen zoals omschreven in artikel 6 en Bijlage 2, alsmede over Datalekken en mogelijke beveiligingsrisico’s ten aanzien van de Persoonsgegevens.

 

Artikel 8: Datalek 

8.1 Verwerker richt haar beveiligingsmaatregelen en organisatie zodanig in, dat zij steeds in staat is om een Datalek te signaleren.

8.2 Zodra Verwerker kennisneemt van een Datalek, van welke aard dan ook, stelt Verwerker Verwerkingsverantwoordelijke hiervan zonder onredelijke vertraging (d.w.z. maar in ieder geval zo mogelijk binnen 24 uur) op de hoogte.

8.3 Verwerker verstrekt daarbij in ieder geval de volgende informatie:

  • de aard en omvang van het Datalek en de feitelijke toedracht voor zover bekend of vermoed
  • het tijdstip van het Datalek en het tijdstip van vaststelling ervan
  • of het Datalek bij Verwerker heeft plaatsgevonden of bij een Derde
  • de (mogelijk) getroffen (categorieën van) Persoonsgegevens en de mogelijke ontvangers van de Persoonsgegevens
  • de vastgestelde en te verwachten gevolgen van het Datalek voor de verwerking van de Persoonsgegevens en de daarbij betrokken personen
  • de maatregelen die Verwerker heeft getroffen en zal treffen om de negatieve gevolgen van het Datalek te verhelpen of beperken en herhaling daarvan te voorkomen

8.4 Verwerker verleent op verzoek van Verwerkingsverantwoordelijke de gevraagde medewerking die Verwerkingsverantwoordelijke nodig acht voor de beoordeling en afhandeling van het Datalek c.q. het melden bij de Autoriteit Persoonsgegevens en/of de Betrokkene(n). Verwerker zal een dergelijke melding van een Datalek nimmer zelfstandig doen zonder uitdrukkelijke voorafgaande toestemming van Verwerkingsverantwoordelijke.

8.5 Verwerker zal Verwerkingsverantwoordelijke steeds van eventuele nieuwe ontwikkelingen omtrent een Datalek op de hoogte stellen en informeren. Voorts zal Verwerker zich steeds beschikbaar houden voor overleg.

 

Artikel 9: Aansprakelijkheid

9.1 Verwerkingsverantwoordelijke staat er voor in dat de verwerking van Persoonsgegevens op basis van deze Verwerkersovereenkomst niet onrechtmatig is en geen inbreuk maakt op de rechten van Betrokkene(n).

9.2 Verwerker is niet aansprakelijk voor de schade die het gevolg is van het door de Verwerkingsverantwoordelijke niet naleven van de AVG of andere wet- of regelgeving. Verwerkingsverantwoordelijke vrijwaart Verwerker ook voor aanspraken van Derden op grond van zulke schade. De vrijwaring geldt niet alleen voor de schade die Derden hebben geleden (materieel maar ook immaterieel), maar ook de kosten die Verwerker in verband daarmee moet maken, bijvoorbeeld in een eventuele juridische procedure en de kosten van eventuele boetes die aan Verwerker worden opgelegd ten gevolge van het handelen van Verwerkingsverantwoordelijke.

9.3 De in de onderliggende Overeenkomst en daarbij behorende Algemene Voorwaarden overeengekomen beperking van aansprakelijkheid van Verwerker is van kracht op de verplichtingen zoals opgenomen in deze Verwerkersovereenkomst, met dien verstande dat één of meerdere schadevorderingen uit hoofde van deze Verwerkersovereenkomst en/of onderliggende Overeenkomst nimmer tot overschrijding van de beperking kan leiden.

 

Artikel 10: Rechten van Betrokkenen 

10.1 Verzoeken van Betrokkenen in verband met het recht op inzage, rectificatie, wissen, beperken van de verwerking of overdracht met betrekking tot de Persoonsgegevens van Betrokkene zullen door Verwerker onverwijld, maar in ieder geval binnen 48 uur na ontvangst van een dergelijk verzoek, worden doorgestuurd aan Verwerkingsverantwoordelijke. Tenzij Partijen anders overeenkomen worden verzoeken van Betrokkenen door Verwerkingsverantwoordelijke afgehandeld.

10.2 Verwerker zal aan Verwerkingsverantwoordelijke voor zover mogelijk ondersteuning bieden om uitvoering te geven aan rechtmatige verzoeken van Betrokkenen, voor zover (wettelijk) is toegestaan en voor zover Verwerkingsverantwoordelijke geen (directe) toegang heeft tot de Persoonsgegevens.

10.3 Indien Verwerker een klacht ontvangt van een Betrokkene over de wijze waarop de Persoonsgegevens door haar worden verwerkt, dan informeert Verwerker de Verwerkingsverantwoordelijke daar onverwijld, maar in ieder geval binnen 48 uur na ontvangst van een dergelijke klacht, over. Tenzij anders overeengekomen, wordt een klacht afgehandeld door de Verwerkingsverantwoordelijke. Verwerker zal aan Verwerkingsverantwoordelijke alle redelijke en benodigde medewerking verlenen in verband met de afhandeling van een klacht van een Betrokkene.

 

Artikel 11: Omgang met Persoonsgegevens bij beëindiging Verwerkersovereenkomst

11.1 Bij beëindiging van de Verwerkersovereenkomst, ongeacht de grond of reden waarvan, zal Verwerker:

  • op eerste verzoek van Verwerkingsverantwoordelijke, aan Verwerkingsverantwoordelijke de "ruwe" Persoonsgegevens ter beschikking stellen (Partijen kunnen aanvullend afspraken maken over het format dat door Verwerkingsverantwoordelijke is gewenst)
  • onmiddellijk de verwerking van Persoonsgegevens staken en deze gestaakt houden
  • ervoor zorgdragen dat eventuele Sub-verwerkers onmiddellijk de verwerking van Persoonsgegevens staken en deze gestaakt houden

11.2 Voor het aanleveren van de ruwe Persoonsgegevens verbonden aan de onderdelen zoals beschreven in artikel 11.1 zal Verwerker eenmalige kosten in rekening brengen à € 300,00.

11.3 Bestanden, gespreksverslagen, actiepunten, notities en andere gegevens die reeds zijn verwerkt en niet onder de noemer "ruwe Persoonsgegevens" vallen, worden niet aangeleverd door Verwerker. Verwerkingsverantwoordelijke is zelf verantwoordelijk voor een download van deze gegevens.

11.4 Alle Persoonsgegevens die elektronisch zijn opgeslagen in gegevensdrager zal Verwerker na zeven jaar (fiscale bewaarplicht) permanent verwijderen of, voor zover permanente verwijdering van de gegevensdrager redelijkerwijze niet mogelijk is, de Persoonsgegevens of gegevensdrager vernietigen.

11.5 Alleen op schriftelijk verzoek van Verwerkingsverantwoordelijke zal Verwerker eerder dan het vervallen van de fiscale bewaarplicht de Persoonsgegevens permanent verwijderen of, voor zover permanente verwijdering van de gegevensdrager redelijkerwijze niet mogelijk is, de Persoonsgegevens of gegevensdrager vernietigen.

11.6 Het risico dat Persoonsgegevens in afwijking van het hiervoor bepaalde niet worden teruggeven, vernietigd of verwijderd, blijft bij Verwerker en Verwerker blijft in dat geval onverminderd gebonden aan alle afspraken uit deze Verwerkersovereenkomst ten aanzien van de omgang met Persoonsgegevens bij en na beëindiging van de Verwerkersovereenkomst.

11.7 Verwerker zal alle derden en Sub-verwerkers die betrokken zijn bij de verwerking van Persoonsgegevens op de hoogte stellen van de beëindiging van de Verwerkersovereenkomst en staat er voor in dat alle derden en Sub-verwerkers de Persoonsgegevens zullen vernietigen, verwijderen of teruggeven aan de Verwerkingsverantwoordelijke op dezelfde manier als voor de Verwerker geldt.

 

Artikel 12: Inwerkingtreding, duur en wijziging van de Verwerkersovereenkomst

12.1 Deze Verwerkersovereenkomst treedt in werking na ondertekening door Partijen.

12.2 Deze Verwerkersovereenkomst geldt voor de duur dat Verwerker Persoonsgegevens verwerkt in het kader van de uitvoering van de Overeenkomst. Een beëindiging van de Overeenkomst betekent tevens een beëindiging van deze Verwerkersovereenkomst.

12.3 Partijen kunnen deze Verwerkersovereenkomst niet tussentijds opzeggen.

12.4 De bepalingen in deze Verwerkersovereenkomst blijven ook na het einde van de Verwerkersovereenkomst onverminderd van kracht zolang Verwerker Persoonsgegevens onder zich heeft, tenzij uit de aard van de verplichting voortvloeit dat deze langer van kracht dienen te blijven, zoals in het geval van algemene verplichtingen Verwerker (artikel 3), geheimhouding (artikel 5) en toepasselijk recht (artikel 13).

12.5 Indien een bepaling uit deze Verwerkersovereenkomst zich niet verhoudt met een bepaling uit de Overeenkomst, dan prevaleert de bepaling uit deze Verwerkersovereenkomst.

12.6 Wijzigingen in deze Verwerkersovereenkomst gelden uitsluitend indien deze door Partijen overeen zijn gekomen, schriftelijk zijn vastgelegd en ondertekend. Verwerker zal haar medewerking aan een wijziging verlenen, indien (een wijziging van) de AVG de aanleiding voor de wijziging vormt.

 

Artikel 13: Toepasselijk recht en bevoegde rechter

13.1 Deze Verwerkersovereenkomst en de uitvoering ervan worden beheerst door Nederlands recht.

13.2 Deze Verwerkersovereenkomst is hoger in rang dan andere door Verwerker met Verwerkingsverantwoordelijke gesloten Overeenkomsten. Als Verwerkingsverantwoordelijke Algemene Voorwaarden gebruikt dan zijn deze niet van toepassing op deze Overeenkomst. De bepalingen uit de Overeenkomt gaan boven de bepalingen in de Algemene Voorwaarden van Verwerker, tenzij expliciet naar een bepaling in de Algemene Voorwaarden van Verwerker wordt verwezen.

13.3 Bij geschillen naar aanleiding of in verband met deze Verwerkersovereenkomst, zullen Partijen zich inspannen om tot een gezamenlijke oplossing te komen. Indien Partijen niet tot een gezamenlijke oplossing komen door middel van mediation worden geschillen, voor zover behorende tot de competentie van de rechtbank, worden beslecht door de rechtbank van het Arrondissement waarin zich de hoofdvestiging van Felixx.® werk & inkomen bevindt.

 

Artikel 14: Slotbepalingen

14.1 Het is voor Partijen, behalve als Partijen dit schriftelijk anders afspreken, niet toegestaan om deze Verwerkersovereenkomst en de richten en plichten die samenhangen met deze Verwerkersovereenkomst over te dragen aan een ander.

14.2 Iedere persoon die deze Verwerkersovereenkomst tekent is een rechtsgeldig vertegenwoordiger en garandeert dat hij/zij de onderneming in rechte mag vertegenwoordigen.

 

Bijlage 1 Persoonsgegevens en doeleinden

Artikel 1: Persoonsgegevens   

1.1 Verwerker zal de volgende (categorieën) Persoonsgegevens verwerken:

1.1.1 Gewone Persoonsgegevens:

  • naam, adres, woonplaats, geboortedatum, telefoonnummer en e-mailadres
  • opleidingsgegevens
  • verblijfplaats (reizen en dergelijke)
  • functie, afdeling, personeelsnummer, soort dienstverband
  • geslacht, burgerlijke staat, familiesamenstelling, burgerservicenummer (BSN)
  • dienstverbanden, in-, uitstroomgegevens
  • rapportages met name in het kader van de Wet Verbetering Poortwachter
  • meldingen  aan het Nederlands Centrum voor Beroepsziekten
  • eerste ziektedag en herstelmeldingsdatum 
  • gegevens over de doorverwijzing
  • gegevens betreffende arbeidsomstandigheden, inclusief werkplekonderzoeken
  • condities ten aanzien van de belastbaarheid in relatie tot de belasting van het werk (de werkdruk)
  • voorgestelde of reeds getroffen re-integratiemaatregelen
  • ingewonnen informatie van behandelaars (het plaatsvinden van)
  • rechtspositionele gegevens (beslissingen UWV, gegevens over eventuele juridische procedures en deskundigenoordeel)
  • overige gegevens noodzakelijk voor uitvoering van wettelijke voorschriften
  • connectiegegevens (van werknemer die feitelijk gebruik maakt van de overeengekomen dienst namens Verwerkingsverantwoordelijke) zoals IP-adres, loggenactiviteiten en dergelijken

1.1.2 Bijzondere Persoonsgegevens

  • niet van toepassing

 

Artikel 2: Betrokkenen

2.1 De Persoonsgegevens betreffen de volgende (categorieën) Betrokkenen:

  • alle werknemers die door de werkgever zijn doorverwezen in het kader van arbeidsongeschiktheid ten behoeve van verzuimbegeleiding of re-integratie dan wel zich op eigen initiatief hebben gemeld voor (preventief) advies
  • stagiaires (voor zover noodzakelijk)

 

Artikel 3: Verwerkingsdoeleinden

3.1 De doeleinden waarvoor bovengenoemde Persoonsgegevens worden verwerkt zijn:

  • arbodienstverlening, begeleiding van arbeidsongeschikte werknemers

 

Artikel 4: Verwerkingshandelingen

4.1 Volgens Overeenkomst.

4.2 Opslaan (hosting), inzien/raadplegen ten behoeve van het beheer van de applicatie en het beheer van de database (inclusief helpdesk). Het maken van back-ups en waar nodig restoren (wissen).

 

Bijlage 2 Technische en organisatorische beveiligingsmaatregelen

Artikel 1: Toegangscontrole

1.1 Fysieke toegangscontrole tot infrastructuur:

  • Adequate fysieke bescherming van de betreffende ruimtes waarin de apparatuur waarop de Persoonsgegevens opgeslagen staan (zoals toegangsbeveiliging, temperatuurregeling, maatregelen ter voorkoming en bestrijding van brand en waterschade).

1.2 (Logische toegang) controle (tot) systemen:

  • Het installeren en ‘up-to-date’ houden van een systeem waarmee de toegang tot de Persoonsgegevens wordt beveiligd door middel van een passend authenticatiemiddel, zoals een inlognaam en wachtwoord
  • Het beveiligen van het systeem waarmee de Verwerker de Persoonsgegevens verwerkt door middel van ‘up-to-date’ virussen, trojans en andere malware detectie software
  • Monitoren en loggen van toegang tot het systeem (waaronder begrepen het controleren op tekenen van onrechtmatige toegang tot de Persoonsgegevens, zoals foutieve inlogpogingen en overschrijding van autorisatiebevoegdheden)
  • Het aanwijzen van werknemer(s) - welke onder het rechtstreekse gezag (leiding en toezicht) van Verwerker vallen - die met de uitvoering van de verwerking zijn belast en geautoriseerd zijn om zichzelf toegang te verlenen op een ‘need to know’ basis

1.3 Verwerker houdt een logboek bij van de inbreuken, evenals de maatregelen die in vervolg op dergelijke inbreuken zijn genomen en geeft daar op verzoek van Verwerkingsverantwoordelijke inzage in.

 

Artikel 2: Certificering

2.1 Verwerker beschikt over een ISO 27001 certificering en zal op verzoek de verklaring van toepasselijkheid ter beschikking stellen zoals die jaarlijks wordt verkregen in het kader van de ISO 27001 certificering.

 

Artikel 3: Awareness personeel

3.1 Verwerker draagt zorg dat haar personeel training heeft ontvangen/ontvangt met betrekking tot hun verantwoordelijkheden.

 

Artikel 4: Derden

4.1 Verwerker schakelt de volgende Sub-verwerkers in bij het uitvoeren van de Overeenkomst:

  • De diensten worden gehost op het platform van Visma Software B.V. te Amsterdam
  • De diensten worden in samenwerking met @arbo te Haarlem uitgevoerd

Leave this empty:

Signature arrow sign here

Signed by B.F. Tegel Directeur
Signed On: 10 November 2021


Signature Certificate
Document name: Verwerkersovereenkomst Felixx.® arbo
lock iconUnique Document ID: b7b2fe814efa9ec642e9e1cca065c6b492ed72a6
Timestamp Audit
5 August 2021 08:03 CESTVerwerkersovereenkomst Felixx.® arbo Uploaded by B.F. Tegel Directeur - avg@felixxwerkt.nl IP 94.237.43.103