VEELGESTELDE VRAGEN OVER DE BEWERKERSOVEREENKOMST

Vergelijkbare documenten
Privacy in het mbo, verwerkersovereenkomsten Sebastiaan Wagemans, Contract-/ productmanager SURFmarket Leo Bakker, adviseur ibp Kennisnet

1AFSPRAAK.NL 1KAPPER.NL 1BEAUTYAFSPRAAK.NL

Deze checklist is beschikbaar voor (proef)abonnees van Sdu Arbeidsrecht. Interesse in een demo of proef? Kijk op

WHITE PAPER Verwerkersovereenkomsten en de Algemene Verordening Gegevensbescherming (AVG)

Auteurs: Edwin Adams Tangram

Verwerkersovereenkomst

Standaard verwerkersovereenkomst

Company statement Algemene verordening gegevensbescherming. AVG Informatie voor professionele relaties (v ) 1 / 7

Algemene Verordening Gegevensbescherming (AVG) IN EEN NOTENDOP

BEWERKERSOVEREENKOMST

Onderwerp : de Algemene Verordening Gegevensverwerking. Deze wet start op 25 mei 2018

Privacy statement Wat zijn persoonsgegevens? Bijzondere persoonsgegevens Van wie verwerkt Stichting Welzijn Bergen persoonsgegevens?

Privacy wetgeving: Wat verandert er in 2018?

Algemene Verordening Gegevensbescherming. Alex Commandeur Den Haag 6 juni 2017

Privacy reglement. Pagina 1 van 9

Bijlage: Verwerkersovereenkomst

1. Algemeen In deze Verwerkersovereenkomst wordt verstaan onder:

Verwerkersovereenkomst

De website van de Autoriteit Persoonsgegevens geeft uitgebreide ondersteuning.

IBAN: NL45 ABNA BIC: ABNANL2A. De Ronde CZ Best yolknet.nl. KvK: BTW NL B01

Verwerking van persoonsgegevens:

Wat te doen voor 25 mei 2018?

Cloud computing Helena Verhagen & Gert-Jan Kroese

Algemene Verordening Gegevensbescherming

Wettelijke kaders voor de omgang met gegevens

Inkoopvoorwaarden en informatieveiligheidseisen. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Privacy & Cloud. een juridisch perspectief

Bewerkersovereenkomst. Hosting

Verwerkersovereenkomst Oefenen.nl Bijlage 3 bij de Licentieovereenkomst

Diessen, 13 februari 2018

Privacy protocol SVHW en <Deelnemer>

Privacy statement MULDATA BV

Privacyverklaring Grand Café Food & Joy

Verwerkersovereenkomst

Plan

Verwerkersovereenkomst voor SaaS-diensten

Privacybeleid Opleiding tot Psychosociaal Therapeut

Privacy verklaring Gerard Tool en Mark Boetje Financieel Advies

Privacy statement. Wat kunt u hier lezen? Wie is verantwoordelijk voor uw gegevens? Onze contactpersoon voor uw vragen over privacy

IBAN: NL 63 INGB BIC: INGBNL2A K.v.K. Rivierenland: BTW nr. NL B01. zaterdag 12 mei 2018 Pagina 1 van 8

SURF Juridisch normenkader cloudservices

Verwerkersovereenkomst

2.1 Borgen van rechten van betrokkenen Betrokkenen hebben het recht op inzage, correctie en dataportabiliteit van persoonsgegevens.

Privacy in de afvalbranche

Boels Zanders. Privacy. De kracht van ambitie. Implementatie van de AVG. Rens Jan Kramer

2. De besloten vennootschap 123webshop, kantoorhoudende te () aan, hierbij rechtsgeldig vertegenwoordigd door, hierna te noemen: Verwerker

Op het gebied van privacy en bescherming van persoonsgegevens hebben wij te maken met volgende wettelijk kader en regels:

Aanpak AVG. Rob Hendriks Hoofd ICT. 23 januari 2018

Agenda 15:00 Nieuwe ontwikkelingen - Privacy wetgeving / AVG mei Wet cliëntenrechten zomer Revisie NEN 7510 najaar 2017

Algemene verordening gegevensbescherming en veranderingen voor gemeenten. Alex Commandeur 21 april 2017

BSH Bewerkersovereenkomst

Het opslaan en verwerken van bovenstaande gegevens valt onder de wettelijke grondslag gerechtvaardigd belang.

De partijen: De klant, ook wel opdrachtgever, hierna te noemen verantwoordelijke ; gezamenlijk te noemen de partijen en afzonderlijk partij ;

De Plaats GL Hendrik-Ido-Ambacht tel Privacy policy

LWV Masterclass 2 Cybercrime Roermond 2 februari Rens Jan Kramer

Bijlage: Verwerkersovereenkomst

HSP bewust Cathelijn van Ingen

Algemene verordening gegevensbescherming

DE AVG IN EEN NOTENDOP. Maike van Zutphen Legal, Compliance & Privacy Officer

Toepassing Algemene Verordening Gegevensbescherming (AVG) bij de Stichting Voedseltuin Villanueva 1

Verwerkersovereenkomst

Procedure datalek. Versie datum : 21 september Onderwijs Professionals BV Nicolaes Maesstraat 2 216, 1506 LB Zaandam

AVG en inkoopfactuurverwerking: wat moet je weten?

Privacy-Statement. VvE ASN te Zwolle. Appartement Services Nederland. Dit is het Privacy statement van VvE ASN gevestigd te Zwolle KvK

De Partijen: overwegende, dat:

Algemene Verordening Gegevensbescherming

Introductie. Dit zijn de privacy voorwaarden die van toepassing zijn op de verwerking van persoonsgegevens door Netvia B.V. (hierna samen: wij ).

27 maart 2014 Advocaat mr. Eva N.M. Visser. Datalekken SURFacademy Seminar Meldplicht & Privacy in de praktijk

Inhoudsopgave Voorwoord... 1 Doel van registratie Doel van de registratie van ouders / verzorgers Doel van de registratie van

Gezondheidsmanagement, Bedrijfszorg, Verzuimpreventie & Advies

Aandacht voor privacy en datarisico s is niet meer iets wat je erbij doet. Privacy en datarisico s

AVG GAP Analyse. En verwerkingsregistratie. security management audits advies - ethisch hacken netwerkscans

Bewerkersovereenkomst

Protocol informatiebeveiligingsincidenten en datalekken Stichting OVO Zaanstad

VERWERKERSOVEREENKOMST VERSIE 01 OFFLINE. marketing innovators.com

Privacy Statement. Zwambag Verkeerstechniek B.V.

Privacyverklaring Teleson B.V. Versie 1.2, 22 mei 2018

Privacyverklaring OpenValue Versie 25 mei 2018

Privacy: visie & beleid Hoe gaan we om met persoonsgegevens van onze cliënten

Bijlage 3. Voorwaarden Arriva Voor Elkaar Pas Klant

Agenda. De AVG: wat nu?

Verklaring Gegevensbescherming en -verwerking

Handreiking Auditverplichting SURF Juridisch Normenkader (Cloud)services, Bijlage D

Concept Bewerkersovereenkomst Basismobiliteit Achterhoek Perceel 2A: Vraagafhankelijk vervoer

Privacyreglement Werkzaak Rivierenland

Privacyreglement WSVH

Deze Privacyverklaring maakt onderdeel uit van onze Algemene Voorwaarden welke u eveneens op deze site aantreft.

GDPR, wat betekent deze nieuwe privacywet voor jou?'

Comsave Privacy voorwaarden. Laatste update: 16 mei 2018

Wij bewaren jouw gegevens niet langer dan strikt noodzakelijk voor het doel waar de gegevens voor verkregen zijn.

Protocol informatiebeveiligingsincidenten en datalekken

Protocol informatiebeveiligingsincidenten en datalekken. Voila Leusden

Privacy Maturity Scan (PMS)

Verwerkersvoorwaarden versie 1.02

Privacy Visie Beterburen

vastleggen in een samenwerkingsovereenkomst. Deze voeren wij nauwgezet uit. In beide rollen zorgen we dat uw privacy zorgvuldig is beschermd.

Sub-Verwerkersovereenkomst

PRIVACYVERKLARING (samengevat)

Privacy Statement I Verwerkingsovereenkomst

Transcriptie:

VEELGESTELDE VRAGEN OVER DE BEWERKERSOVEREENKOMST

Veelgestelde vragen over de bewerkersovereenkomst Wat is een bewerkersovereenkomst? Een bewerkersovereenkomst is wettelijk verplicht wanneer een partij (de verantwoordelijke ) het verwerken van persoonsgegevens aan een andere partij (de bewerker ) wil uitbesteden (artikel 14 Wet Bescherming Persoonsgegevens, Wbp ). Met deze overeenkomst leggen partijen vast voor welke doeleinden de persoonsgegevens mogen worden verwerkt, welke beveiligingsmaatregelen moeten worden genomen, welke vormen van toezicht de eigenaar van de persoonsgegevens mag uitoefenen en hoe het zit met de onderlinge aansprakelijkheid. De SURF modelbewerkersovereenkomst dient als voorbeeld bij het maken van afspraken met leveranciers (in de rol van bewerker). Waarom ontvang ik een mail met een bewerkersovereenkomst? Je hebt een licentie (besteld) voor een product of dienst waarvoor een bewerkersovereenkomst noodzakelijk is. SURFmarket heeft deze voor je opgesteld en al door de leverancier laten ondertekenen. Ik heb een mail met een bewerkersovereenkomst ontvangen. Wat nu? De bewerkersovereenkomst kan door je instelling ondertekend worden. Wij adviseren je om deze eerst te laten beoordelen door een functionaris gegevensbescherming, privacy officer of privacy jurist en vervolgens te laten ondertekenen door de juiste persoon binnen je instelling. Wat moet ik doen als de bewerkersovereenkomst getekend is? De getekende bewerkersovereenkomst (door zowel leverancier als instelling) dient te worden gedigitaliseerd en vervolgens binnen Mijn SURFmarket te worden geüpload, bij het licentieoverzicht. De betreffende leverancier krijgt dan bericht dat deze een bewerkersovereenkomst met je instelling heeft en dient zich aan de inhoud daarvan te houden. Hoe lang loopt de bewerkersovereenkomst? De bewerkersovereenkomst is gekoppeld aan de licentieovereenkomst van je instelling en gelijk aan de duur daarvan. Waarom ondertekent SURFmarket de bewerkersovereenkomst niet namens mijn instelling? In de ogen van de Wet Bescherming Persoonsgegevens (Wbp) of de Algemene Verordening Gegevensbescherming (AVG) is je instelling verantwoordelijk voor de persoonsgegevens die door je instelling worden verstrekt aan derde partijen. De bewerkersovereenkomst dient altijd tussen de verantwoordelijke en de bewerker te worden afgesloten. In het geval van een datalek, meldt SURFmarket deze dan bij de Autoriteit Persoonsgegevens? Nee, tenzij SURFmarket zelf verantwoordelijk is (in de zin van de Wbp). De leverancier is dankzij de bewerkersovereenkomst verplicht om na constatering van een datalek dit binnen de afgesproken tijd aan je instelling te melden. Als verantwoordelijke moet je instelling de Autoriteit Persoonsgegevens op de hoogte te stellen (binnen 72 uur na constatering van het lek). In de bewerkersovereenkomst staat (vaak) een auditverplichting. Voert SURFmarket die uit? Over het algemeen stelt SURFmarket wel de risicoklasse vast en toetst SURFmarket de leverancier op informatiebeveiliging. Dit houdt in dat SURFmarket, afhankelijk van het soort data, de leverancier vraagt om een certificering of TPM (audit verklaring) aan te leveren en deze vervolgens beoordeelt. Het kan zijn, dat de leverancier verder geen audits van individuele instellingen toestaat. We streven er natuurlijk naar om zoveel mogelijk het audit-recht van een instelling te borgen. Hiervoor verwijzen we je naar de betreffende clausule in de bewerkersovereenkomst. Komt de bewerkersovereenkomst altijd volledig overeen met de modelbewerkersovereenkomst van SURF? Niet altijd. In de gesprekken die SURFmarket voert met de leverancier is dat wel altijd het uitgangspunt. Helaas wordt de SURF modelbewerkersovereenkomst soms niet volledig geaccepteerd en worden er wijzigingen in aangebracht. 2

Is het makkelijk te zien waar de wijzigingen t.o.v. de model bewerkersovereenkomst van SURF zijn doorgevoerd? In de uiteindelijke bewerkersovereenkomst staat niet specifiek aangegeven waar de wijzigingen zitten. Mocht een overeenkomst inhoudelijk niet overeenkomen met het model, dan hebben wij een compliance statement opgesteld. Is mijn instelling verplicht de aangeleverde bewerkersovereenkomst van SURFmarket te gebruiken? Nee. SURFmarket kan een instelling nooit verplichten deze of een andere bewerkersovereenkomst te gebruiken. Het sluiten van een bewerkersovereenkomst, indien nodig, valt volledig onder de verantwoordelijkheid van een instelling. Een instelling is daarom altijd vrij om zelf met een leverancier een bewerkersovereenkomst te sluiten. We hebben geprobeerd om met de leverancier een zo goed mogelijk resultaat te behalen. Door het beschikbaar stellen van een bewerkersovereenkomst die al getekend is door een leverancier, proberen we je instelling maximaal te ondersteunen en werk uit handen te nemen. Mijn instelling heeft zelf al een bewerkersovereenkomst met deze leverancier. Moeten we alsnog de bewerkersovereenkomst aangeleverd door SURFmarket gebruiken? Nee, je instelling heeft hierin een keuze. De bewerkersovereenkomst met een leverancier blijft gelden. Je kunt er natuurlijk wel voor kiezen alsnog de aangeleverde bewerkersovereenkomst te gaan gebruiken. In die situatie kunnen er mogelijk wel dubbelingen of tegenstrijdigheden ontstaan tussen de twee bewerkersovereenkomsten. Daar moet je alert op zijn. Wat als mijn instelling geen bewerkersovereenkomst sluit? Je instelling loopt dan mogelijk (financiële) risico s. We adviseren je om bij zo n besluit altijd een privacy jurist of privacy officer van je instelling te betrekken. 3

Kan de inhoud van de bewerkersovereenkomst veranderen? Ja, dat kan. Als een leverancier diensten toevoegt of een dienst aanpast, is het soms noodzakelijk de bewerkersovereenkomst aan te passen. Versiebeheer is daarom erg belangrijk. Aangezien een bewerkersovereenkomst gekoppeld is aan een licentieovereenkomst, is het verstandig bij het sluiten van een nieuwe licentie altijd de daarbij behorende bewerkersovereenkomst te tekenen. Is een bewerkersovereenkomst alleen nodig bij een clouddienst? Nee, er zijn situaties waarin zelfs voor een oplossing binnen het datacenter van je instelling een bewerkersovereenkomst nodig is. Je kunt dan denken aan remote-access (voor ondersteuning), koppelingen met de leverancier, of andere diensten waarvoor het verstandig is een bewerkersovereenkomst te hebben. Houdt SURFmarket de order vast totdat mijn instelling de bewerkersovereenkomst getekend heeft? Nee. We laten het orderproces hier niet door beïnvloeden. Het is daarom wel van belang dat je instelling zo snel mogelijk de bewerkersovereenkomst tekent of zelf een bewerkersovereenkomst met de leverancier sluit. We raden aan om in overweging te nemen de dienst van een leverancier nog niet te gebruiken zolang een getekende bewerkersovereenkomst tussen de instelling en leverancier ontbreekt. Waarom wacht SURFmarket niet met de bestelling tot mijn instelling de bewerkersovereenkomst heeft getekend? Daarvoor zijn meerdere redenen. De meest voor de hand liggende is dat wij niet zeker weten of je instelling de door ons aangeleverde bewerkersovereenkomst wil gaan gebruiken. Daarnaast kan het zijn dat de interne klant met spoed de oplossing nodig heeft, en het soms even kan duren voordat je interne organisatie akkoord heeft gegeven op de bewerkersovereenkomst. Houd wel in de gaten dat, als je de oplossing gebruikt zonder dat er een getekend exemplaar is van de bewerkersovereenkomst, je instelling een risico loopt. Mogen wij de aangeleverde bewerkersovereenkomst wijzigen? Nee. Het door SURFmarket aangeleverde exemplaar is inhoudelijk besproken met de leverancier en door de leverancier ondertekend. Als je het niet eens bent met de inhoud dan verzoeken we je om contact op te nemen met SURFmarket of zelf te schakelen met de leverancier. Mijn instelling is de bewerkersovereenkomst die via SURFmarket is afgesloten kwijt. Waar kan ik een exemplaar terugvinden? De contactpersoon software kan de getekende exemplaren terugvinden bij het licentieoverzicht binnen Mijn SURFmarket. Mijn instelling heeft een product of dienst bij SURFmarket afgenomen, en we krijgen geen (melding voor een) bewerkersovereenkomst terwijl we denken dat die wel nodig is. Wat nu? SURFmarket is erg zorgvuldig geweest, maar het kan altijd gebeuren dat er iets over het hoofd is gezien. Wil je het direct aan SURFmarket melden? Dan wordt het met de hoogste prioriteit uitgezocht. Indien nodig wordt alsnog gezorgd voor een bewerkersovereenkomst. Is een DPA hetzelfde als een bewerkersovereenkomst? Ja, DPA is de Engelse afkorting voor Data Processing Agreement. Dit is hetzelfde als een bewerkersovereenkomst. De bewerkersovereenkomst die mijn instelling heeft ontvangen is in het Engels. Kan SURFmarket deze aanleveren in het Nederlands? De Nederlandse versie heeft de voorkeur. Helaas is het bij sommige leveranciers niet mogelijk (vaak omdat hun juridische mensen de Nederlandse taal niet machtig zijn). Omdat het een overeenkomst is die mogelijk verstrekkende gevolgen kan hebben voor de leverancier, is het belangrijk dat de leverancier exact weet wat hun plichten zijn. Mijn vraag staat hier niet tussen, wat nu? Je kunt altijd contact opnemen met de License Desk Software & Cloud: mail naar software@surfmarket.nl of bel +31-887873701. 4

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback