Bewerkersovereenkomst

Scholen zijn op grond van de Wet bescherming persoonsgegevens verantwoordelijk voor de persoonsgegevens van leerlingen, hun ouders en leerkrachten. Zij moeten ervoor waken dat er te allen tijde zorgvuldig wordt omgegaan met die persoonsgegevens.

Klasbord verwerkt persoonsgegevens van leerlingen, hun ouders en leerkrachten ten behoeve van de school. Denk bijvoorbeeld aan de foto’ s en berichten die in de groepen op Klasbord worden geplaatst. De Wet bescherming persoonsgegevens bepaalt dat in dat geval schriftelijke afspraken moeten worden gemaakt tussen de school en Klasbord over de bescherming en beveiliging van persoonsgegevens en over het omgaan met een eventueel datalek. Deze afspraken worden vastgelegd in een zogenaamde bewerkersovereenkomst.

Wij vinden het belangrijk om de privacy van leerlingen, hun ouders en leerkrachten te waarborgen. Klasbord verwerkt de persoonsgegevens uitsluitend in een veilige en strikt afgeschermde omgeving. De bewerkersovereenkomst die Klasbord hanteert is dan ook zorgvuldig opgesteld door in privacyrecht gespecialiseerde juristen, en voldoet aan de vereisten die zowel de Nederlandse als de Europese privacywetgeving voorschrijft.

 

Deze bewerkersovereenkomst wordt gesloten tussen een school (hierna: Verantwoordelijke) en Klasbord (Onderdeel van App-Artment te Tilburg) (de heer Tim Brand), (hierna: Bewerker).

Verantwoordelijke en Bewerker verklaren te zijn overeengekomen als volgt:

Artikel 1. Definities

De in deze overeenkomst gebruikte woorden of formuleringen hebben de volgende betekenis:

  1. Bestand: elk gestructureerd geheel van Persoonsgegevens die volgens bepaalde criteria toegankelijk zijn, ongeacht of dit geheel gecentraliseerd of gedecentraliseerd is dan wel op functionele of geografische gronden is verspreid;
  2. Betrokkene: de identificeerbare of geïdentificeerde natuurlijke persoon op wie de Persoonsgegevens betrekking hebben;
  3. Bewerker: degene die ten behoeve van de verwerkingsverantwoordelijke Persoonsgegevens verwerkt zonder aan zijn rechtstreeks gezag te zijn onderworpen, in dit geval Klasbord (Partij 2);
  4. Bewerkersovereenkomst: de onderhavige overeenkomst;
  5. Datalek: een inbreuk op de beveiliging als bedoeld in artikel 13 Wbp, die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen danwel ernstige nadelige gevolgen heeft voor de bescherming van Persoonsgegevens die door hem worden verwerkt;
  6. Derde(n): ieder, niet zijnde de Betrokkene, de Verantwoordelijke, de Bewerker, of enig persoon die onder rechtstreeks gezag van de Verantwoordelijke of de Bewerker gemachtigd is om Persoonsgegevens te verwerken;
  7. Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (de betrokkene);
  8. Sub-bewerker: elke partij die door Bewerker wordt ingeschakeld als Bewerker ten behoeve van de verwerking van persoonsgegevens in het kader van deze Bewerkingsovereenkomst;
  9. Verantwoordelijke: degene die alleen of tezamen met anderen het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt, in dit geval de School/Organisatie (Partij 1);
  10. Verwerking van persoonsgegevens: elke handeling of elk geheel van handelingen met betrekking tot Persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens;
  11. Wbp: de Wet bescherming persoonsgegevens.

Artikel 2. Opdracht en doeleinden Verwerking 

  1. Bewerker verbindt zich onder de voorwaarden van deze Bewerkersovereenkomst in opdracht van Verantwoordelijke persoonsgegevens te verwerken.
  2. Bewerker zal de Persoonsgegevens niet voor enig ander doel verwerken dan in artikel 2.4 van deze Bewerkersovereenkomst is vastgesteld, behoudens voor kwaliteitsdoeleinden, zoals het enquêteren van Betrokkenen of het doen van wetenschappelijk of statistisch onderzoek naar de kwaliteit van de dienstverlening van Bewerker.
  3. De in opdracht van Verantwoordelijke te verwerken Persoonsgegevens blijven te allen tijde eigendom van Verantwoordelijke en/of de desbetreffende Betrokkene.
  4. De Verwerking van Persoonsgegevens zal plaatsvinden voor de volgende doeleinden:
    • Het in de ‘cloud’ op een veilige wijze opslaan van gegevens van ouders, leerlingen en docenten van Verantwoordelijke ten behoeve van het functioneren van de Klasbord-applicatie;
    • Geanonimiseerde Persoonsgegevens worden verwerkt in statistieken die Bewerker raadpleegt om de Klasbord-applicatie te optimaliseren en ten behoeve van het maken van foutoplossingen in de Klasbord-applicatie;
    • Het bieden van ondersteuning van specifieke Betrokkenen bij het gebruik van de Klasbord-applicatie, wanneer zij daarmee problemen ervaren.
  5. De volgende categorieën van Persoonsgegevens worden door Bewerker in opdracht van Verantwoordelijke verwerkt:
    • Naam, voornamen, voorletters, geslacht, geboortedatum, adres, postcode, woonplaats, telefoonnummer en soortgelijke voor communicatie benodigde gegevens (bijvoorbeeld het e-mailadres) van ouders, docenten en leerlingen van Verantwoordelijke;
    • Foto’s die door de ouders en/of docenten van leerlingen van Verantwoordelijke op de Klasbord-applicatie worden geplaatst.
  6. Nadere doeleinden van Verwerking kunnen worden vastgesteld door instemming van beide Partijen.
  7. Bewerker onthoudt zich van verstrekking van Persoonsgegevens aan een Derde, tenzij deze uitwisseling plaatsvindt in opdracht van de Verantwoordelijke of wanneer dit noodzakelijk is om te voldoen aan een op de Bewerker rustende wettelijke verplichting, danwel aan een verzoek van een overheidsinstantie of toezichthouder. In dit laatste geval verifieert Bewerker voorafgaand aan de verstrekking van de Persoonsgegevens aan de Derde de grondslag van het verzoek en de identiteit van de verzoeker. Ook informeert Bewerker de Verantwoordelijke – indien wettelijk toegestaan – onverwijld over dit verzoek.

Artikel 3. Rolverdeling

  1. Bewerker zal de Persoonsgegevens verwerken conform het bepaalde in deze Bewerkersovereenkomst, op behoorlijke en zorgvuldige wijze en te allen tijde in overeenstemming met de Wbp en andere toepasselijke wet- en regelgeving.
  2. Bewerker zal Verantwoordelijke, op diens eerste verzoek daartoe, informeren over de door haar genomen maatregelen aangaande haar verplichtingen onder deze Bewerkersovereenkomst, voor zover dat noodzakelijk is om correcte naleving van de relevante wet- en regelgeving mogelijk te maken.
  3. De verplichtingen van de Bewerker die uit deze Bewerkersovereenkomst voortvloeien, gelden ook voor degenen die Persoonsgegevens verwerken onder het gezag van Bewerker, waaronder begrepen maar niet beperkt tot werknemers, in de ruimste zin van het woord.

Artikel 4. Verwerking van persoonsgegevens buiten Nederland en buiten de Europese Unie

  1. Partijen zien erop toe dat, voor zover Persoonsgegevens buiten de Europese Unie worden verwerkt, dit slechts gebeurt op grond van de wetgeving van de desbetreffende landen, waaronder doch niet uitsluitend op grond van de privacywetgeving.
  2. Indien gegevens buiten de Europese Unie worden verwerkt, wordt dit aan Verantwoordelijke gemeld, en wordt er een aparte bijlage aan deze Bewerkersovereenkomst gehecht waarin inzichtelijk wordt gemaakt in welke landen de Persoonsgegevens worden verwerkt.

Artikel 5. Verdeling van verantwoordelijkheid

  1. De toegestane verwerkingen zullen door Bewerker worden uitgevoerd binnen een geautomatiseerde omgeving.
  2. Bewerker is louter verantwoordelijk voor de verwerking van de Persoonsgegevens onder deze Bewerkersovereenkomst, overeenkomstig de instructies van Verantwoordelijke en onder de uitdrukkelijke (eind)verantwoordelijkheid van Verantwoordelijke. Voor de overige verwerkingen van Persoonsgegevens, waaronder in ieder geval begrepen maar niet beperkt tot de verzameling van de Persoonsgegevens door de Verantwoordelijke, verwerkingen voor doeleinden die niet door Verantwoordelijke aan Bewerker zijn gemeld, verwerkingen door Derden en/of voor andere doeleinden, is Bewerker uitdrukkelijk niet verantwoordelijk.
  3. Verantwoordelijke garandeert dat de inhoud, het gebruik en de opdracht tot de verwerkingen van de persoonsgegevens zoals bedoeld in deze Overeenkomst, niet onrechtmatig is en geen inbreuk maken op enig recht van derden en vrijwaart Bewerker tegen alle aanspraken en claims die hiermee verband houden.

Artikel 6. Beveiliging

  1. Bewerker zal zorgdragen voor passende technische en organisatorische maatregelen om Persoonsgegevens tegen verlies of tegen enige vorm van onrechtmatige verwerking (zoals onbevoegde kennisname, aantasting, wijziging of verstrekking van de persoonsgegevens), te beveiligen. Deze maatregelen zullen – met inachtneming van de stand van de techniek en de kosten gemoeid met implementatie en de uitvoering daarvan – een passend beveiligingsniveau bieden.
  2. Bewerker heeft in ieder geval de volgende technische en organisatorische beveiligingsmaatregelen genomen:
    • Logische toegangscontrole, gebruikmakend van wachtwoorden;
    • Hashing van wachtwoorden;
    • Beperkte fysieke toegang tot de servers waar de persoonsgegevens zijn opgeslagen;
    • Bewerker transporteert persoonsgegevens uitsluitend via een SSL-versleutelde verbinding;
    • Logging en actieve controle van de systemen en software.
  1. Bewerker zal de door haar getroffen informatiebeveiligingsmaatregelen evalueren en verscherpen, aanvullen of verbeteren voor zover de eisen of (technologische) ontwikkelingen daartoe aanleiding geven.
  2. Bewerker zal de haar door de Verantwoordelijke ter beschikking gestelde persoonsgegevens uiterlijk 3 maanden na het verwijderen van een groep of account op Klasbord (doen) vernietigen.

Artikel 7. Audit

  1. Bewerker stelt Verantwoordelijke in staat om te kunnen voldoen aan zijn wettelijke verplichting om toezicht te houden op de naleving van Bewerker van de technische en organisatorische beveiligingsmaatregelen, door op verzoek daartoe van Verantwoordelijke te rapporteren over de genomen beveiligingsmaatregelen.
  2. De Verantwoordelijke heeft het recht om eens per jaar, in overleg met Bewerker en met inachtneming van een redelijke termijn, op eigen kosten een audit uit te laten voeren door een gecertificeerde en onafhankelijke auditor die een derden-verklaring (TPM) afgeeft. De Verantwoordelijke wordt daarbij – naast de Bewerker – geïnformeerd over de uitkomst van de audit. In een voorkomend geval is het Bewerker toegestaan om de TPM op haar website te publiceren.

Artikel 8. Geheimhouding en vertrouwelijkheid

  1. Op alle Persoonsgegevens die Bewerker van Verantwoordelijke ontvangt en/of zelf verzamelt in het kader van deze Bewerkersovereenkomst, rust een geheimhoudingsplicht jegens Derden.
  2. Bewerker zorgt ervoor dat een ieder, waaronder haar werknemers en eventuele Sub-bewerkers, die betrokken zijn bij de Verwerking van Persoonsgegevens deze gegevens als vertrouwelijk behandelt. Bewerker bewerkstelligt dat voor een ieder die betrokken is bij de verwerking van Persoonsgegevens een geheimhoudingsovereenkomst of –beding is gesloten.
  3. Deze geheimhoudingsplicht is niet van toepassing voor zover Verantwoordelijke uitdrukkelijke toestemming heeft gegeven om de informatie aan derden te verschaffen, indien het verstrekken van de informatie aan derden logischerwijs noodzakelijk is gezien de aard van de verstrekte opdracht en de uitvoering van deze Bewerkersovereenkomst, of indien er een wettelijke verplichting bestaat om de informatie aan een derde te verstrekken.

Artikel 9. Datalekken

  1. Bewerker is verplicht om onverwijld, doch uiterlijk binnen 24 uur nadat Bewerker een Datalek heeft geconstateerd, Verantwoordelijke hiervan schriftelijk in kennis te stellen.
  2. De kennisgeving als bedoeld in het vorige lid omvat in elk geval:
    • de aard en omvang van de inbreuk op de beveiliging;
    • de naam en contactgegevens van degene bij wie meer informatie over de inbreuk kan worden verkregen;
    • de geconstateerde en vermoedelijke gevolgen van de inbreuk voor de verwerking van Persoonsgegevens en de Betrokkenen;
    • De maatregelen die Bewerker heeft getroffen of voorstelt te treffen om de (negatieve) gevolgen van de inbreuk te beperken en te verhelpen.
  3. Bewerker verplicht zich om bij constatering van een Datalek voor eigen rekening en risico alle noodzakelijke maatregelen te nemen om het Datalek te dichten en de (mogelijke) schade te beperken. Bewerker zal Verantwoordelijke ondersteunen bij meldingen aan Betrokkenen en/of autoriteiten.

Artikel 10. Afhandeling verzoeken van Betrokkenen

  1. In het geval dat een Betrokkene een verzoek tot inzage, zoals bedoeld in artikel 35 Wbp, of verbetering, aanvulling, wijziging of afscherming, zoals bedoeld in artikel 36 Wbp, richt aan Bewerker, zal Bewerker het verzoek zelf afhandelen.
  2. Bewerker mag de kosten voor de afhandeling van het verzoek doorbelasten aan Verantwoordelijke.

Artikel 11. Inschakeling Subbewerker

  1. Bewerker is vrij om bij de uitvoering van deze Bewerkersovereenkomst om werkzaamheden door een Subbewerker te laten uitvoeren zonder voorafgaande schriftelijke toestemming van Verantwoordelijke.
  2. Bewerker verplicht zich hierbij om op elke contractuele verhouding met de door haar in te schakelen Subbewerker de verplichtingen die Bewerker heeft op grond van deze Bewerkersovereenkomst onverkort van toepassing te verklaren.
  3. Bewerker verplicht iedere Subbewerker contractueel om Persoonsgegevens niet verder te verwerken dan in het kader van deze Bewerkersovereenkomst is bepaald.
  4. Verantwoordelijke kan te allen tijde Bewerker verzoeken – en Bewerker is verplicht om daaraan medewerking te verlenen – om haar mede te delen of zij een Subbewerker heeft ingeschakeld, en zo ja, om welke persoon danwel bedrijf het gaat. Bewerker zal zo spoedig mogelijk antwoorden op dat verzoek.

Artikel 12. Totstandkoming, wijziging en duur

  1. De Bewerkersovereenkomst komt tot stand op het moment van (digitale) acceptatie daarvan door Verantwoordelijke. Deze (digitale) acceptatie is een vereiste om gebruik te kunnen maken van de Klasbord-applicatie.
  2. De Bewerkersovereenkomst kan te allen tijde worden gewijzigd door middel van een schriftelijk akkoord op deze wijziging van beide Partijen.
  3. De duur van deze Bewerkersovereenkomst is gelijk aan de duur van het gebruik van de Klasbord-applicatie door Verantwoordelijke.

Artikel 13. Einde en afwikkeling overeenkomst

  1. De Bewerkersovereenkomst eindigt van rechtswege op het moment dat Verantwoordelijke stopt met het gebruiken van de Klasbord-applicatie.
  2. De Bewerkersovereenkomst kan niet tussentijds worden opgezegd.
  3. Zodra deze Bewerkersovereenkomst, om welke reden en op welke wijze dan ook, is beëindigd of geëindigd, zal Bewerker alle Persoonsgegevens die bij haar aanwezig zijn deze en eventuele kopieën daarvan (doen) verwijderen en/of (doen) vernietigen.
  4. Bewerker zal Verantwoordelijke schriftelijk danwel elektronisch bevestigen dat de vernietiging van de Persoonsgegevens heeft plaatsgevonden.
  5. Bewerker zal Subbewerker(s) op de hoogte stellen van de beëindiging van de Bewerkersovereenkomst en zal ervoor zorgdragen dat Subbewerker(s) de Persoonsgegevens eveneens (laten) vernietigen.

Artikel 14. Voortdurende en vervangende verplichtingen

  1. De beëindiging van deze Bewerkersovereenkomst ontslaat Partijen niet van hun verplichtingen daaruit voortvloeiend, die naar hun aard worden geacht ook na beëindiging van de Bewerkersovereenkomst voort te duren.
  2. Indien een bepaling uit deze Bewerkersovereenkomst nietig blijkt te zijn of door een der Partijen rechtsgeldig wordt vernietigd, blijven de overige bepalingen uit deze Bewerkersovereenkomst onverminderd van kracht. Een dergelijke nietige of vernietigde bepaling zal, voor zover bij wet toegestaan, worden geacht te zijn vervangen door een rechtsgeldige bepaling waarvan de strekking en werking die van de vervangen bepaling het dichtst benaderd.

Artikel 15. Toepasselijk recht en bevoegde rechter

  1. Op deze Bewerkersovereenkomst is Nederlands recht van toepassing.
  2. Geschillen over de uitvoering daarvan zullen worden voorgelegd aan de bevoegde rechter te Zeeland-West-Brabant.