Verwerkersovereenkomst
MUSTHAVE webapplicaties verwerkt onder andere persoonsgegevens voor en in opdracht van de klant omdat de klant een software-gebruikersovereenkomst met MUSTHAVE webapplicaties heeft. MUSTHAVE webapplicaties en de klant zijn daarom verplicht volgens de Algemene Verordening Gegevensbescherming (AVG) om een Verwerkersovereenkomst te sluiten. Omdat MUSTHAVE webapplicaties een standaard applicatie (WATCH Projectbeheer) met de daarbij behorende standaard dienstverlening levert, heeft MUSTHAVE webapplicaties de verwerkingsovereenkomst opgenomen in de Algemene Voorwaarden
MUSTHAVE webapplicaties is in deze de 'verwerker' en de klant de 'verwerkingsverantwoordelijke'. MUSTHAVE webapplicaties en de klant verplichten zich over en weer om de Algemene Verordening Gegevensbescherming (AVG) na te leven. Voor de definities van begrippen wordt aangesloten bij de AVG. MUSTHAVE webapplicaties zal de persoonsgegevens alleen verwerken voor en in opdracht van de klant en om uitvoering te geven aan de software-gebruikersovereenkomst.
Instructies verwerking
De verwerking bestaat uit het beschikbaar stellen van de WATCH Projectbeheer webapplicatie met de door de klant ingevoerde en gegenereerde data. MUSTHAVE webapplicaties zal geen gegevens toevoegen, aanpassen of verwijderen zonder dat de klant daar specifieke instructie voor gegeven heeft.
Binnen de applicaties, die MUSTHAVE webapplicaties beschikbaar stelt, zijn verschillende soorten persoonsgegevens vast te leggen (klant-, contactpersoon- en medewerker-gegevens). MUSTHAVE webapplicaties is zich ervan bewust dat de klant al deze, en eventueel nog zelf aan te maken persoonsgegevens of categorieën, kan invoeren en dat MUSTHAVE webapplicaties deze dan zal verwerken. De klant is zelf verantwoordelijk voor de beoordeling of het doel en aard van de verwerking past bij de dienstverlening die MUSTHAVE webapplicaties doet.
Geheimhoudingsplicht
MUSTHAVE webapplicaties is zich bewust dat de informatie die de klant met MUSTHAVE webapplicaties deelt en opslaat binnen WATCH Projectbeheer, een geheim en bedrijfsgevoelig karakter heeft. Alle MUSTHAVE medewerkers zullen gedurende hun dienstverband en daarna op verantwoorde wijze met de informatie van de klant omgaan.
Medewerkers met toegang tot klantgegevens
Systeembeheerders van MUSTHAVE webapplicaties hebben volledige toegang tot de klantgegevens voor:
- Installeren van een nieuwe versie;
- het doorvoeren van patches en hotfixes;
- het maken van de dagelijkse back-up;
- het verplaatsen van een gegevens tussen door MUSTHAVE gebruikte servers.
Consultants, supportmedewerkers en andere MUSTHAVE medewerkers hebben alleen toegang tot de klantgegevens indien zij toestemming daarvoor hebben ontvangen van de klant en voor zolang zij toestemming hebben van de klant.
Beveiliging
MUSTHAVE webapplicaties neemt blijvend passende technische en organisatorische maatregelen om de persoonsgegevens van de klant te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking. De klant is gerechtigd om in overleg met MUSTHAVE webapplicaties tijdens de looptijd van de overeenkomst door een onafhankelijke deskundige de naleving hiervan te controleren, bijvoorbeeld door middel van het uitvoeren van een audit. De klant zal alle kosten in verband met deze controle dragen.
MUSTHAVE webapplicaties is aansprakelijk voor schade in het kader van persoonsgegevens door handelen of nalaten van de subverwerker waarbij de aansprakelijkheidsbeperking uit de algemene voorwaarden (arikel 10) geldt. De toepasselijke aansprakelijkheidsbeperking geldt niet indien er bij de subverwerker sprake is van grove nalatigheid of opzettelijk wangedrag. MUSTHAVE webapplicaties is ook niet aansprakelijk in geval van overmacht (zoals gedefinieerd in de algemene voorwaarden artikel 11) bij haarzelf of aan de kant van de subverwerker.
Indien de Autoriteit Persoonsgegevens aan de verwerkersverantwoordelijke een bindende aanwijzing zal geven dient de klant MUSTHAVE webapplicaties direct op de hoogte stellen van deze bindende aanwijzing. MUSTHAVE webapplicaties zal er alles aan doen wat in redelijkheid van haar verwacht kan worden om de naleving mogelijk te maken. Als MUSTHAVE webapplicaties niet doet wat in redelijkheid van haar gevraagd kan worden waardoor er een boete volgt, of als de Autoriteit Persoonsgegevens direct een boete oplegt omdat sprake is van opzet of ernstige verwijtbare nalatigheid aan de kant van MUSTHAVE webapplicaties, dan geldt de toepasselijke aansprakelijkheidsbeperking uit de algemene voorwaarden (arikel 10) niet.
Subverwerkers
MUSTHAVE webapplicaties verwerkt de klantdata in de datacenters van Mihosnet B.V. en deze is hiermee subverwerker. De datacenters waar MUSTHAVE webapplicaties gebruik van maakt bevinden zich uitsluitend in Nederland (Almere) en vallen onder Nederlandse wet- en regelgeving en voldoen aan de strenge Nederlandse en Europese wetgeving met betrekking tot logische en fysieke toegangsbeveiliging en continuïteit. De datacenters zijn minimaal ISO 27001 gecertificeerd. De verwerkersovereenkomst tussen MUSTHAVE webapplicaties en Mihosnet B.V. is op aanvraag beschikbaar voor de klanten van MUSTHAVE webapplicaties.
De (persoons)gegevens worden door MUSTHAVE webapplicaties en subverwerker uitsluitend verwerkt binnen de Europese Economische ruimte.
MUSTHAVE webapplicaties zal geen nieuwe subverwerkers gegevens laten verwerken zonder de klant daarover tijdig te informeren. De klant kan bezwaar maken bij MUSTHAVE webapplicaties tegen de subverwerker. Mocht MUSTHAVE webapplicaties toch besluiten gegevens te laten verwerken door de nieuwe subverwerker, heeft de klant de mogelijkheid om de overeenkomst te beëindigen.
Privacyrechten
MUSTHAVE webapplicaties heeft geen zeggenschap over de persoonsgegevens die door de klant beschikbaar worden gesteld. Zonder noodzaak, gezien de aard van de door de klant verstrekte opdracht, expliciete toestemming van de klant of wettelijke verplichting zal MUSTHAVE webapplicaties de gegevens niet aan derden verstrekken of voor andere doeleinden verwerken, dan voor de overeengekomen doeleinden. De klant garandeert dat de persoonsgegevens verwerkt mogen worden op basis van een in de AVG genoemde grondslag.
Betrokkenen
De klant is verantwoordelijk voor de ingevoerde gegevens van de betrokkenen en daarbij voor het informeren en bijstaan van de rechten van de betrokkenen. MUSTHAVE webapplicaties zal nooit op verzoeken van betrokkenen ingaan en altijd verwijzen naar de verantwoordelijke. MUSTHAVE webapplicaties zal, voor zover dat binnen de applicatie mogelijk is, haar medewerking verlenen aan de klant zodat deze kan voldoen aan zijn wettelijke verplichtingen in het geval dat een betrokkene haar rechten uitoefent op grond van de AVG of andere toepasselijke regelgeving betreffende de verwerking van persoonsgegevens.
Meldplicht datalekken
De AVG vereist dat eventuele datalekken gemeld worden aan de Autoriteit Persoonsgegevens door de verwerkingsverantwoordelijke van de data. MUSTHAVE webapplicaties zal daarom zelf geen meldingen doen bij de Autoriteit Persoonsgegevens. Uiteraard zal MUSTHAVE webapplicaties de klant juist, tijdig en volledig informeren over relevante incidenten, zodat de klant als verwerkingsverantwoordelijke aan zijn wettelijke verplichtingen kan voldoen. De Beleidsregels meldplicht datalekken van de Autoriteit Persoonsgegevens geven hierover meer informatie.
Indien de klant een (voorlopige) melding verricht bij de Autoriteit Persoonsgegevens en/of de betrokkene(n) over een datalek bij MUSTHAVE webapplicaties, zonder dat de klant dit vooraf heeft besproken met MUSTHAVE webapplicaties, dan is de klant aansprakelijk voor door MUSTHAVE webapplicaties geleden schade en kosten. De klant is daarnaast verplicht een dergelijke melding direct in te trekken.
Bepaling datalek
De Europese privacytoezichthouders hebben in oktober 2017 guidelines gepubliceerd over de meldplicht datalekken onder de AVG. Voor het bepalen van een datalek, gebruikt MUSTHAVE webapplicaties deze guidelines als leidraad.
Melding aan de klant
Indien blijkt dat bij MUSTHAVE webapplicaties sprake is van een beveiligingsincident of datalek zal MUSTHAVE webapplicaties de klant daarover zo spoedig mogelijk informeren nadat MUSTHAVE webapplicaties bekend is geworden met het datalek. Om dit te realiseren zorgt MUSTHAVE webapplicaties ervoor dat al haar medewerkers in staat zijn en blijven om een datalek te constateren en verwacht MUSTHAVE webapplicaties van haar opdrachtnemers dat zij MUSTHAVE webapplicaties in staat stelt om hier aan te kunnen voldoen. Voor de duidelijkheid: als er een datalek is bij een leverancier van MUSTHAVE webapplicaties, dan meldt MUSTHAVE webapplicaties dit uiteraard ook. MUSTHAVE webapplicaties is het contactpunt voor de klant. De klant hoeft geen contact op te nemen met de leveranciers van MUSTHAVE webapplicaties.
Informeren klant (contactpersoon instellen)
In eerste instantie zal MUSTHAVE webapplicaties de hoofdcontactpersoon van het abonnement informeren over een datalek. Op de WATCH support website is het tevens mogelijk om aan te geven wie de contactpersoon is voor AVG gerelateerde zaken. In geval van een datalek zullen zowel het hoofdcontact als het AVG contactpersoon worden geïnformeerd.
Informatie verstrekken
MUSTHAVE webapplicaties probeert de klant direct alle informatie te verstrekken die de klant nodig heeft om een eventuele melding bij de Autoriteit Persoonsgegevens en/of de betrokkene(n) te verrichten.
Termijn van informeren
De AVG geeft aan dat er ‘onverwijld’ gemeld moet worden. Dit is volgens de Autoriteit Persoonsgegevens zonder onnodige vertraging en zo mogelijk niet later dan 72 uur na ontdekking ervan door de verantwoordelijke. Indien er een beveiligingsincident optreedt zal MUSTHAVE webapplicaties de klant zo snel mogelijk, maar uiterlijk binnen 48 uur na het ontdekken door MUSTHAVE webapplicaties ervan, informeren. De klant zal zelf de beoordeling moeten maken of het beveiligingsincident valt onder de term ‘datalek’ en of er melding aan de Autoriteit Persoonsgegevens gedaan zal moeten worden. De klant heeft hiervoor 72 uur, nadat de klant hiervan op de hoogte is gesteld, de tijd.
Voortgang en maatregelen
MUSTHAVE webapplicaties zal de klant op de hoogte houden over de voortgang en de maatregelen die getroffen worden. MUSTHAVE webapplicaties maakt hierover afspraken met de primaire contactpersoon bij de initiële melding. In ieder geval houdt MUSTHAVE webapplicaties de klant op de hoogte in geval van een wijziging van de situatie, het bekend worden van nadere informatie en over de maatregelen die getroffen worden.
Gegevens verwijderen
MUSTHAVE webapplicaties zal, na afloop van de overeenkomst, alle klantgegevens verwijderen. Mocht de klant eerder de gegevens verwijderd willen hebben, dan kan daarvoor een verzoek worden ingediend. MUSTHAVE webapplicaties verplicht zich daar gehoor aan te geven.