Verwerkersovereenkomst

Scholen zijn op grond van de Wet bescherming persoonsgegevens verantwoordelijk voor de persoonsgegevens van leerlingen, hun ouders en leerkrachten. Zij moeten ervoor waken dat er te allen tijde zorgvuldig wordt omgegaan met die persoonsgegevens.

Klasbord verwerkt persoonsgegevens van leerlingen, hun ouders en leerkrachten ten behoeve van de school. Denk bijvoorbeeld aan de foto’ s en berichten die in de groepen op Klasbord worden geplaatst. De Wet bescherming persoonsgegevens bepaalt dat in dat geval schriftelijke afspraken moeten worden gemaakt tussen de school en Klasbord over de bescherming en beveiliging van persoonsgegevens en over het omgaan met een eventueel datalek. Deze afspraken worden vastgelegd in een zogenaamde verwerkersovereenkomst.

Wij vinden het belangrijk om de privacy van leerlingen, hun ouders en leerkrachten te waarborgen. Klasbord verwerkt de persoonsgegevens uitsluitend in een veilige en strikt afgeschermde omgeving. De verwerkersovereenkomst die Klasbord hanteert is dan ook zorgvuldig opgesteld door in privacyrecht gespecialiseerde juristen, en voldoet aan de vereisten die zowel de Nederlandse als de Europese privacywetgeving voorschrijft.

 

Deze verwerkersovereenkomst wordt gesloten tussen een school (hierna: Verwerkingsverantwoordelijke) en Klasbord (Onderdeel van App-Artment te Tilburg) (de heer Tim Brand), (hierna: Verwerker).

Verwerkingsverantwoordelijke en Verwerker verklaren te zijn overeengekomen als volgt:

Artikel 1. Definities

De in deze overeenkomst gebruikte woorden of formuleringen hebben de volgende betekenis:

  1. Bestand: elk gestructureerd geheel van Persoonsgegevens die volgens bepaalde criteria toegankelijk zijn, ongeacht of dit geheel gecentraliseerd of gedecentraliseerd is dan wel op functionele of geografische gronden is verspreid;
  2. Betrokkene: de identificeerbare of geïdentificeerde natuurlijke persoon op wie de Persoonsgegevens betrekking hebben;
  3. Verwerker: degene die ten behoeve van de verwerkingsVerwerkingsverantwoordelijke Persoonsgegevens verwerkt zonder aan zijn rechtstreeks gezag te zijn onderworpen, in dit geval Klasbord (Partij 2);
  4. Verwerkersovereenkomst: de onderhavige overeenkomst;
  5. Datalek: een inbreuk op de beveiliging als bedoeld in artikel 13 Wbp, die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen danwel ernstige nadelige gevolgen heeft voor de bescherming van Persoonsgegevens die door hem worden verwerkt;
  6. Derde(n): ieder, niet zijnde de Betrokkene, de Verwerkingsverantwoordelijke, de Verwerker, of enig persoon die onder rechtstreeks gezag van de Verwerkingsverantwoordelijke of de Verwerker gemachtigd is om Persoonsgegevens te verwerken;
  7. Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (de betrokkene);
  8. Sub-verwerker: elke partij die door Verwerker wordt ingeschakeld als Verwerker ten behoeve van de verwerking van persoonsgegevens in het kader van deze Bewerkingsovereenkomst;
  9. Verwerkingsverantwoordelijke: degene die alleen of tezamen met anderen het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt, in dit geval de School/Organisatie (Partij 1);
  10. Verwerking van persoonsgegevens: elke handeling of elk geheel van handelingen met betrekking tot Persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens;
  11. Wbp: de Wet bescherming persoonsgegevens.

Artikel 2. Opdracht en doeleinden Verwerking 

  1. Verwerker verbindt zich onder de voorwaarden van deze Verwerkersovereenkomst in opdracht van Verwerkingsverantwoordelijke persoonsgegevens te verwerken.
  2. Verwerker zal de Persoonsgegevens niet voor enig ander doel verwerken dan in artikel 2.4 van deze Verwerkersovereenkomst is vastgesteld, behoudens voor kwaliteitsdoeleinden, zoals het enquêteren van Betrokkenen of het doen van wetenschappelijk of statistisch onderzoek naar de kwaliteit van de dienstverlening van Verwerker.
  3. De in opdracht van Verwerkingsverantwoordelijke te verwerken Persoonsgegevens blijven te allen tijde eigendom van Verwerkingsverantwoordelijke en/of de desbetreffende Betrokkene.
  4. De Verwerking van Persoonsgegevens zal plaatsvinden voor de volgende doeleinden:
    • Het in de ‘cloud’ op een veilige wijze opslaan van gegevens van ouders, leerlingen en docenten van Verwerkingsverantwoordelijke ten behoeve van het functioneren van de Klasbord-applicatie;
    • Geanonimiseerde Persoonsgegevens worden verwerkt in statistieken die Verwerker raadpleegt om de Klasbord-applicatie te optimaliseren en ten behoeve van het maken van foutoplossingen in de Klasbord-applicatie;
    • Het bieden van ondersteuning van specifieke Betrokkenen bij het gebruik van de Klasbord-applicatie, wanneer zij daarmee problemen ervaren.
  5. De volgende categorieën van Persoonsgegevens worden door Verwerker in opdracht van Verwerkingsverantwoordelijke verwerkt:
    • Naam, voornamen, voorletters, geslacht, geboortedatum, adres, postcode, woonplaats, telefoonnummer en soortgelijke voor communicatie benodigde gegevens (bijvoorbeeld het e-mailadres) van ouders, docenten en leerlingen van Verwerkingsverantwoordelijke;
    • Foto’s die door de ouders en/of docenten van leerlingen van Verwerkingsverantwoordelijke op de Klasbord-applicatie worden geplaatst.
  6. Nadere doeleinden van Verwerking kunnen worden vastgesteld door instemming van beide Partijen.
  7. Verwerker onthoudt zich van verstrekking van Persoonsgegevens aan een Derde, tenzij deze uitwisseling plaatsvindt in opdracht van de Verwerkingsverantwoordelijke of wanneer dit noodzakelijk is om te voldoen aan een op de Verwerker rustende wettelijke verplichting, danwel aan een verzoek van een overheidsinstantie of toezichthouder. In dit laatste geval verifieert Verwerker voorafgaand aan de verstrekking van de Persoonsgegevens aan de Derde de grondslag van het verzoek en de identiteit van de verzoeker. Ook informeert Verwerker de Verwerkingsverantwoordelijke – indien wettelijk toegestaan – onverwijld over dit verzoek.

Artikel 3. Rolverdeling

  1. Verwerker zal de Persoonsgegevens verwerken conform het bepaalde in deze Verwerkersovereenkomst, op behoorlijke en zorgvuldige wijze en te allen tijde in overeenstemming met de Wbp en vanaf 25 mei 2018 in overeenstemming met de AVG en andere toepasselijke wet- en regelgeving.
  2. Verwerker zal Verwerkingsverantwoordelijke, op diens eerste verzoek daartoe, informeren over de door haar genomen maatregelen aangaande haar verplichtingen onder deze Verwerkersovereenkomst, voor zover dat noodzakelijk is om correcte naleving van de relevante wet- en regelgeving mogelijk te maken.
  3. De verplichtingen van de Verwerker die uit deze Verwerkersovereenkomst voortvloeien, gelden ook voor degenen die Persoonsgegevens verwerken onder het gezag van Verwerker, waaronder begrepen maar niet beperkt tot werknemers, in de ruimste zin van het woord.

Artikel 4. Verwerking van persoonsgegevens buiten Nederland en buiten de Europese Unie

  1. Partijen zien erop toe dat, voor zover Persoonsgegevens buiten de Europese Unie worden verwerkt, dit slechts gebeurt op grond van de wetgeving van de desbetreffende landen, waaronder doch niet uitsluitend op grond van de privacywetgeving.
  2. Indien gegevens buiten de Europese Unie worden verwerkt, wordt dit aan Verwerkingsverantwoordelijke gemeld, en wordt er een aparte bijlage aan deze Verwerkersovereenkomst gehecht waarin inzichtelijk wordt gemaakt in welke landen de Persoonsgegevens worden verwerkt.

Artikel 5. Verdeling van verantwoordelijkheid

  1. De toegestane verwerkingen zullen door Verwerker worden uitgevoerd binnen een geautomatiseerde omgeving.
  2. Verwerker is louter verantwoordelijk voor de verwerking van de Persoonsgegevens onder deze Verwerkersovereenkomst, overeenkomstig de instructies van Verwerkingsverantwoordelijke en onder de uitdrukkelijke (eind)verantwoordelijkheid van Verwerkingsverantwoordelijke. Voor de overige verwerkingen van Persoonsgegevens, waaronder in ieder geval begrepen maar niet beperkt tot de verzameling van de Persoonsgegevens door de Verwerkingsverantwoordelijke, verwerkingen voor doeleinden die niet door Verwerkingsverantwoordelijke aan Verwerker zijn gemeld, verwerkingen door Derden en/of voor andere doeleinden, is Verwerker uitdrukkelijk niet verantwoordelijk.
  3. Verwerkingsverantwoordelijke garandeert dat de inhoud, het gebruik en de opdracht tot de verwerkingen van de persoonsgegevens zoals bedoeld in deze Overeenkomst, niet onrechtmatig is en geen inbreuk maken op enig recht van derden en vrijwaart Verwerker tegen alle aanspraken en claims die hiermee verband houden.

Artikel 6. Beveiliging

  1. Verwerker zal zorgdragen voor passende technische en organisatorische maatregelen om Persoonsgegevens tegen verlies of tegen enige vorm van onrechtmatige verwerking (zoals onbevoegde kennisname, aantasting, wijziging of verstrekking van de persoonsgegevens), te beveiligen. Deze maatregelen zullen – met inachtneming van de stand van de techniek en de kosten gemoeid met implementatie en de uitvoering daarvan – een passend beveiligingsniveau bieden.
  2. Verwerker heeft in ieder geval de volgende technische en organisatorische beveiligingsmaatregelen genomen:
    • Logische toegangscontrole, gebruikmakend van wachtwoorden;
    • Hashing van wachtwoorden;
    • Beperkte fysieke toegang tot de servers waar de persoonsgegevens zijn opgeslagen;
    • Verwerker transporteert persoonsgegevens uitsluitend via een SSL-versleutelde verbinding;
    • Logging en actieve controle van de systemen en software.
  1. Verwerker zal de door haar getroffen informatiebeveiligingsmaatregelen evalueren en verscherpen, aanvullen of verbeteren voor zover de eisen of (technologische) ontwikkelingen daartoe aanleiding geven.
  2. Verwerker zal de haar door de Verwerkingsverantwoordelijke ter beschikking gestelde persoonsgegevens uiterlijk 3 maanden na het verwijderen van een groep of account op Klasbord (doen) vernietigen.

Artikel 7. Audit

  1. Verwerker stelt Verwerkingsverantwoordelijke in staat om te kunnen voldoen aan zijn wettelijke verplichting om toezicht te houden op de naleving van Verwerker van de technische en organisatorische beveiligingsmaatregelen, door op verzoek daartoe van Verwerkingsverantwoordelijke te rapporteren over de genomen beveiligingsmaatregelen.
  2. De Verwerkingsverantwoordelijke heeft het recht om eens per jaar, in overleg met Verwerker en met inachtneming van een redelijke termijn, op eigen kosten een audit uit te laten voeren door een gecertificeerde en onafhankelijke auditor die een derden-verklaring (TPM) afgeeft. De Verwerkingsverantwoordelijke wordt daarbij – naast de Verwerker – geïnformeerd over de uitkomst van de audit. In een voorkomend geval is het Verwerker toegestaan om de TPM op haar website te publiceren.

Artikel 8. Geheimhouding en vertrouwelijkheid

  1. Op alle Persoonsgegevens die Verwerker van Verwerkingsverantwoordelijke ontvangt en/of zelf verzamelt in het kader van deze Verwerkersovereenkomst, rust een geheimhoudingsplicht jegens Derden.
  2. Verwerker zorgt ervoor dat een ieder, waaronder haar werknemers en eventuele Sub-verwerkers, die betrokken zijn bij de Verwerking van Persoonsgegevens deze gegevens als vertrouwelijk behandelt. Verwerker bewerkstelligt dat voor een ieder die betrokken is bij de verwerking van Persoonsgegevens een geheimhoudingsovereenkomst of –beding is gesloten.
  3. Deze geheimhoudingsplicht is niet van toepassing voor zover Verwerkingsverantwoordelijke uitdrukkelijke toestemming heeft gegeven om de informatie aan derden te verschaffen, indien het verstrekken van de informatie aan derden logischerwijs noodzakelijk is gezien de aard van de verstrekte opdracht en de uitvoering van deze Verwerkersovereenkomst, of indien er een wettelijke verplichting bestaat om de informatie aan een derde te verstrekken.

Artikel 9. Datalekken

  1. Verwerker is verplicht om onverwijld, doch uiterlijk binnen 24 uur nadat Verwerker een Datalek heeft geconstateerd, Verwerkingsverantwoordelijke hiervan schriftelijk in kennis te stellen.
  2. De kennisgeving als bedoeld in het vorige lid omvat in elk geval:
    • de aard en omvang van de inbreuk op de beveiliging;
    • de naam en contactgegevens van degene bij wie meer informatie over de inbreuk kan worden verkregen;
    • de geconstateerde en vermoedelijke gevolgen van de inbreuk voor de verwerking van Persoonsgegevens en de Betrokkenen;
    • De maatregelen die Verwerker heeft getroffen of voorstelt te treffen om de (negatieve) gevolgen van de inbreuk te beperken en te verhelpen.
  3. Verwerker verplicht zich om bij constatering van een Datalek voor eigen rekening en risico alle noodzakelijke maatregelen te nemen om het Datalek te dichten en de (mogelijke) schade te beperken. Verwerker zal Verwerkingsverantwoordelijke ondersteunen bij meldingen aan Betrokkenen en/of autoriteiten.

Artikel 10. Afhandeling verzoeken van Betrokkenen

  1. In het geval dat een Betrokkene een verzoek met betrekking tot diens persoonsgegevens (bijvoorbeeld een verzoek tot inzage, correctie of verwijdering van diens persoonsgegevens) richt aan Verwerker, zal Verwerker het verzoek zelf afhandelen.
  2. Verwerker mag de kosten voor de afhandeling van het verzoek doorbelasten aan Verwerkingsverantwoordelijke.

Artikel 11. Inschakeling Subverwerker

  1. Verwerker is vrij om bij de uitvoering van deze Verwerkersovereenkomst om werkzaamheden door een Subverwerker te laten uitvoeren zonder voorafgaande schriftelijke toestemming van Verwerkingsverantwoordelijke.
  2. Verwerker verplicht zich hierbij om op elke contractuele verhouding met de door haar in te schakelen Subverwerker de verplichtingen die Verwerker heeft op grond van deze Verwerkersovereenkomst onverkort van toepassing te verklaren.
  3. Verwerker verplicht iedere Subverwerker contractueel om Persoonsgegevens niet verder te verwerken dan in het kader van deze Verwerkersovereenkomst is bepaald.
  4. Verwerkingsverantwoordelijke kan te allen tijde Verwerker verzoeken – en Verwerker is verplicht om daaraan medewerking te verlenen – om haar mede te delen of zij een Subverwerker heeft ingeschakeld, en zo ja, om welke persoon danwel bedrijf het gaat. Verwerker zal zo spoedig mogelijk antwoorden op dat verzoek.

Artikel 12. Totstandkoming, wijziging en duur

  1. De Verwerkersovereenkomst komt tot stand op het moment van (digitale) acceptatie daarvan door Verwerkingsverantwoordelijke. Deze (digitale) acceptatie is een vereiste om gebruik te kunnen maken van de Klasbord-applicatie.
  2. De Verwerkersovereenkomst kan te allen tijde worden gewijzigd door middel van een schriftelijk akkoord op deze wijziging van beide Partijen.
  3. De duur van deze Verwerkersovereenkomst is gelijk aan de duur van het gebruik van de Klasbord-applicatie door Verwerkingsverantwoordelijke.

Artikel 13. Einde en afwikkeling overeenkomst

  1. De Verwerkersovereenkomst eindigt van rechtswege op het moment dat Verwerkingsverantwoordelijke stopt met het gebruiken van de Klasbord-applicatie.
  2. De Verwerkersovereenkomst kan niet tussentijds worden opgezegd.
  3. Zodra deze Verwerkersovereenkomst, om welke reden en op welke wijze dan ook, is beëindigd of geëindigd, zal Verwerker alle Persoonsgegevens die bij haar aanwezig zijn deze en eventuele kopieën daarvan (doen) verwijderen en/of (doen) vernietigen.
  4. Verwerker zal Verwerkingsverantwoordelijke schriftelijk danwel elektronisch bevestigen dat de vernietiging van de Persoonsgegevens heeft plaatsgevonden.
  5. Verwerker zal Subverwerker(s) op de hoogte stellen van de beëindiging van de Verwerkersovereenkomst en zal ervoor zorgdragen dat Subverwerker(s) de Persoonsgegevens eveneens (laten) vernietigen.

Artikel 14. Voortdurende en vervangende verplichtingen

  1. De beëindiging van deze Verwerkersovereenkomst ontslaat Partijen niet van hun verplichtingen daaruit voortvloeiend, die naar hun aard worden geacht ook na beëindiging van de Verwerkersovereenkomst voort te duren.
  2. Indien een bepaling uit deze Verwerkersovereenkomst nietig blijkt te zijn of door een der Partijen rechtsgeldig wordt vernietigd, blijven de overige bepalingen uit deze Verwerkersovereenkomst onverminderd van kracht. Een dergelijke nietige of vernietigde bepaling zal, voor zover bij wet toegestaan, worden geacht te zijn vervangen door een rechtsgeldige bepaling waarvan de strekking en werking die van de vervangen bepaling het dichtst benaderd.

Artikel 15. Toepasselijk recht en bevoegde rechter

  1. Op deze Verwerkersovereenkomst is Nederlands recht van toepassing.
  2. Geschillen over de uitvoering daarvan zullen worden voorgelegd aan de bevoegde rechter in het arrondissement Zeeland-West-Brabant.