Verwerkersovereenkomst

Deze verwerkersovereenkomst ("Overeenkomst") is van toepassing tussen de klant ("Verwerkingsverantwoordelijke") en Aldewereld Consultancy, handelend onder de naam StartNextcloud ("Verwerker"), en maakt integraal onderdeel uit van de Algemene Voorwaarden.

1. Definities

In deze overeenkomst wordt verstaan onder:

• Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon, zoals gedefinieerd in artikel 4 lid 1 AVG.
• Verwerking: elke bewerking van persoonsgegevens, zoals gedefinieerd in artikel 4 lid 2 AVG.
• Verwerkingsverantwoordelijke: de klant die het doel en de middelen van de verwerking bepaalt.
• Verwerker: Aldewereld Consultancy (StartNextcloud) die persoonsgegevens verwerkt ten behoeve van de Verwerkingsverantwoordelijke.
• Sub-verwerker: een derde partij die door de Verwerker wordt ingeschakeld voor de verwerking van persoonsgegevens.
• Datalek: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of toegang tot persoonsgegevens.

2. Onderwerp en duur

1. De Verwerker verwerkt persoonsgegevens uitsluitend ten behoeve van het leveren van de managed Nextcloud-werkplek aan de Verwerkingsverantwoordelijke.
2. Deze overeenkomst is van kracht gedurende de looptijd van de hoofdovereenkomst (het abonnement op de Dienst).
3. Na beëindiging van de hoofdovereenkomst verwijdert de Verwerker alle persoonsgegevens binnen 30 dagen, tenzij wettelijke bewaarplichten anders vereisen.

3. Aard en doel van de verwerking

4. Verplichtingen van de Verwerker

De Verwerker:

1. Verwerkt persoonsgegevens uitsluitend op basis van schriftelijke instructies van de Verwerkingsverantwoordelijke, tenzij de Verwerker daartoe wettelijk verplicht is.
2. Waarborgt dat personen die gemachtigd zijn persoonsgegevens te verwerken, gebonden zijn aan geheimhouding.
3. Neemt alle passende technische en organisatorische maatregelen als bedoeld in artikel 32 AVG (zie sectie 5).
4. Voldoet aan de voorwaarden voor het inschakelen van sub-verwerkers (zie sectie 6).
5. Staat de Verwerkingsverantwoordelijke bij in het nakomen van diens verplichtingen uit hoofde van de artikelen 32 t/m 36 AVG.
6. Verwijdert na afloop van de verwerkingsdiensten alle persoonsgegevens, of retourneert deze aan de Verwerkingsverantwoordelijke, naar keuze van de Verwerkingsverantwoordelijke.
7. Stelt alle informatie beschikbaar die nodig is om de nakoming van de verplichtingen uit dit artikel aan te tonen, en staat audits toe (zie sectie 8).

5. Beveiligingsmaatregelen (art. 32 AVG)

De Verwerker heeft de volgende technische en organisatorische maatregelen getroffen:

• Versleuteling van data in transit (TLS 1.3) en at rest (AES-256)
• Dagelijkse automatische backups naar een apart Nederlands datacenter
• Toegangscontrole op basis van het least-privilege-principe
• Tweefactorauthenticatie voor alle beheertoegang
• Regelmatige beveiligingsupdates en patchmanagement
• 24/7 monitoring van de infrastructuur
• Netwerksegmentatie tussen klantomgevingen
• Logging en audittrail van beheertoegang
• Incidentresponsplan en meldprocedure datalekken
• End-to-end encryptie beschikbaar (Business-pakket en hoger)

6. Sub-verwerkers

1. De Verwerkingsverantwoordelijke geeft de Verwerker algemene schriftelijke toestemming voor het inschakelen van sub-verwerkers.
2. De Verwerker informeert de Verwerkingsverantwoordelijke over voorgenomen wijzigingen met betrekking tot het toevoegen of vervangen van sub-verwerkers, zodat de Verwerkingsverantwoordelijke de mogelijkheid heeft bezwaar te maken.
3. De Verwerker sluit met elke sub-verwerker een verwerkersovereenkomst die ten minste dezelfde verplichtingen bevat als deze overeenkomst.
4. De Verwerker blijft volledig verantwoordelijk voor de nakoming door de sub-verwerker.

Huidige sub-verwerkers

7. Meldplicht datalekken

1. De Verwerker stelt de Verwerkingsverantwoordelijke zonder onredelijke vertraging (en in ieder geval binnen 24 uur) op de hoogte van een datalek.
2. De melding bevat ten minste:
   • De aard van het datalek, inclusief (indien mogelijk) de categorieën en het aantal betrokkenen
   • De waarschijnlijke gevolgen van het datalek
   • De maatregelen die zijn genomen of worden voorgesteld om het datalek aan te pakken
   • De contactgegevens van de functionaris gegevensbescherming of ander contactpunt
3. De Verwerker verleent alle medewerking aan de Verwerkingsverantwoordelijke bij het melden van het datalek aan de Autoriteit Persoonsgegevens en/of betrokkenen.

8. Audits en inspecties

1. De Verwerkingsverantwoordelijke heeft het recht om audits uit te (laten) voeren om de naleving van deze overeenkomst te verifiëren.
2. De Verwerker verleent alle redelijke medewerking aan audits en stelt relevante informatie beschikbaar.
3. Audits worden minimaal 14 dagen van tevoren aangekondigd en vinden plaats tijdens kantooruren.
4. De kosten van een audit zijn voor rekening van de Verwerkingsverantwoordelijke, tenzij uit de audit blijkt dat de Verwerker tekortschiet in de nakoming van deze overeenkomst.

9. Internationale doorgifte

1. De Verwerker verwerkt persoonsgegevens uitsluitend binnen de Europese Economische Ruimte (EER).
2. Doorgifte naar landen buiten de EER vindt niet plaats, tenzij de Verwerkingsverantwoordelijke hiervoor vooraf schriftelijke toestemming geeft en passende waarborgen zijn getroffen conform hoofdstuk V AVG.

10. Aansprakelijkheid

1. De aansprakelijkheid van de Verwerker onder deze overeenkomst is onderworpen aan de beperkingen zoals opgenomen in de Algemene Voorwaarden.
2. De Verwerker is uitsluitend aansprakelijk voor schade die voortvloeit uit verwerking die niet voldoet aan de verplichtingen uit de AVG die specifiek op verwerkers zijn gericht, of die in strijd is met de instructies van de Verwerkingsverantwoordelijke.