Verwerkersovereenkomst

Partijen

Deze verwerkersovereenkomst wordt gesloten tussen:

Verwerkingsverantwoordelijke: [KLANTORGANISATIE], gevestigd te [KLANTADRES], hierna te noemen "Verwerkingsverantwoordelijke";

en

Verwerker: Verisight, Nederlandse dienst voor begeleide uitstroomanalyse. Volledige bedrijfsgegevens worden opgenomen in de gepersonaliseerde en ondertekende versie van deze overeenkomst. Verisight is bereikbaar via privacy@verisight.nl, hierna te noemen "Verwerker";

hierna gezamenlijk aangeduid als "Partijen".

Artikel 1 — Definities

In deze overeenkomst wordt verstaan onder:

• Verwerkingsverantwoordelijke: de natuurlijke persoon of rechtspersoon die het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt.
• Verwerker: de natuurlijke persoon of rechtspersoon die ten behoeve van de Verwerkingsverantwoordelijke persoonsgegevens verwerkt.
• Betrokkene: de identificeerbare of geïdentificeerde natuurlijke persoon op wie de persoonsgegevens betrekking hebben.
• Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon als bedoeld in artikel 4, lid 1, AVG.
• Inbreuk in verband met persoonsgegevens (Datalek): een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens.
• AVG: de Algemene Verordening Gegevensbescherming (EU) 2016/679.
• Dienst: de ExitScan-dienstverlening van Verwerker zoals omschreven in de tussen Partijen gesloten dienstverleningsovereenkomst.

Artikel 2 — Onderwerp en duur

Deze verwerkersovereenkomst heeft betrekking op de verwerking van persoonsgegevens die plaatsvindt in het kader van de Dienst ExitScan van Verwerker. De overeenkomst treedt in werking op het moment van aanvaarding en loopt gelijk met de looptijd van de tussen Partijen gesloten dienstverleningsovereenkomst, tenzij Partijen schriftelijk anders overeenkomen.

Artikel 3 — Aard, doel en omvang van de verwerking

Verwerker verwerkt persoonsgegevens uitsluitend ten behoeve van de uitvoering van ExitScan. De verwerking omvat de volgende categorieën van gegevens:

• Accountgegevens HR-gebruikers: naam en zakelijk e-mailadres van HR-medewerkers en beheerders bij de Verwerkingsverantwoordelijke.
• Surveygegevens respondenten: e-mailadres (voor uitnodiging en herinnering) en antwoorden op de ExitScan-vragenlijst.
• Contextgegevens respondenten: door de Verwerkingsverantwoordelijke aangeleverde informatie zoals afdeling, functieniveau en diensttijd, voor zover nodig voor segmentatie en rapportage.

De categorieën betrokkenen zijn:

• HR-medewerkers en beheerders van de Verwerkingsverantwoordelijke;
• Respondenten: (voormalig) medewerkers van de Verwerkingsverantwoordelijke.

Artikel 4 — Verplichtingen van de Verwerker

Verwerker verwerkt persoonsgegevens uitsluitend op basis van gedocumenteerde instructies van de Verwerkingsverantwoordelijke, zoals vastgelegd in deze overeenkomst en de dienstverleningsovereenkomst.

Indien een instructie van de Verwerkingsverantwoordelijke naar het oordeel van Verwerker in strijd is met de AVG of andere toepasselijke privacywetgeving, stelt Verwerker de Verwerkingsverantwoordelijke hiervan onverwijld schriftelijk op de hoogte vóórdat uitvoering wordt gegeven aan de betreffende instructie.

Artikel 5 — Geheimhouding

Verwerker zorgt ervoor dat alle personen die persoonsgegevens verwerken in het kader van de Dienst, gebonden zijn aan een passende geheimhoudingsverplichting, hetzij op grond van een wettelijke verplichting, hetzij op contractuele basis. Deze verplichting blijft van kracht na beëindiging van de arbeidsrelatie of contractuele samenwerking.

Artikel 6 — Beveiliging

Verwerker treft passende technische en organisatorische maatregelen om persoonsgegevens te beveiligen tegen verlies, onrechtmatige verwerking of ongeautoriseerde toegang. Deze maatregelen omvatten ten minste:

• Versleuteling van gegevens in opslag en tijdens transport (TLS/HTTPS);
• Strikte toegangsbeperking op databaseniveau: gegevens zijn per tenant (organisatie) volledig afgeschermd via Row Level Security (RLS);
• Beveiligde verbindingen voor alle communicatie met het platform;
• Beperkte toegang voor medewerkers van Verwerker, op basis van het need-to-know-principe.

Artikel 7 — Subverwerkers

De Verwerkingsverantwoordelijke verleent Verwerker toestemming om de volgende subverwerkers in te schakelen:

• Supabase Inc. — database, authenticatie en opslag;
• Vercel Inc. — hosting van de webapplicatie;
• Resend Inc. — verzending van e-mailuitnodigingen en herinneringen.

Deze subverwerkers zijn gevestigd in de EER of verwerken gegevens op basis van passende waarborgen (waaronder Standaardcontractbepalingen, SCC's). De Verwerkingsverantwoordelijke aanvaardt het gebruik van bovengenoemde subverwerkers door het ondertekenen van deze overeenkomst.

Bij inschakeling van nieuwe subverwerkers stelt Verwerker de Verwerkingsverantwoordelijke ten minste 14 kalenderdagen van tevoren schriftelijk op de hoogte. De Verwerkingsverantwoordelijke heeft het recht om binnen die termijn bezwaar te maken.

Artikel 8 — Rechten van betrokkenen

Verwerker verleent medewerking aan de Verwerkingsverantwoordelijke bij het honoreren van verzoeken van betrokkenen op grond van de AVG, waaronder het recht op inzage, rectificatie, gegevenswissing, beperking van de verwerking, dataportabiliteit en bezwaar. Verzoeken van betrokkenen die rechtstreeks bij Verwerker binnenkomen, worden doorgestuurd naar de Verwerkingsverantwoordelijke.

Artikel 9 — Datalekken en beveiligingsincidenten

Verwerker meldt een geconstateerde inbreuk in verband met persoonsgegevens zo spoedig mogelijk bij de Verwerkingsverantwoordelijke, doch uiterlijk binnen 36 uur na ontdekking. De melding bevat ten minste: de aard van de inbreuk, de categorieën en het (geschatte) aantal betrokkenen en persoonsgegevensrecords, de te verwachten gevolgen en de maatregelen die zijn of worden getroffen om de inbreuk aan te pakken.

De Verwerkingsverantwoordelijke is verantwoordelijk voor eventuele melding aan de Autoriteit Persoonsgegevens en betrokkenen.

Artikel 10 — Gegevensbeschermingseffectbeoordeling (DPIA)

Indien de Verwerkingsverantwoordelijke op basis van artikel 35 AVG verplicht is een gegevensbeschermingseffectbeoordeling (DPIA) uit te voeren, verleent Verwerker alle redelijkerwijs benodigde medewerking, waaronder het verstrekken van informatie over de gebruikte technische en organisatorische maatregelen.

Artikel 11 — Doorgifte buiten de EER

Supabase en Vercel kunnen gegevens (mede) verwerken buiten de Europese Economische Ruimte (EER). Verwerker zorgt ervoor dat passende waarborgen van toepassing zijn, zoals Standaardcontractbepalingen (SCC's) of een adequaatheidsbesluit van de Europese Commissie. Op schriftelijk verzoek van de Verwerkingsverantwoordelijke verstrekt Verwerker nadere informatie over de toepasselijke safeguards.

Artikel 12 — Teruglevering en verwijdering van gegevens

Na afloop of beëindiging van de dienstverleningsovereenkomst kiest de Verwerkingsverantwoordelijke binnen redelijke termijn of de persoonsgegevens worden teruggegeven of verwijderd.

Campagnegegevens blijven gedurende maximaal 6 maanden na afloop van het traject beschikbaar voor export via het dashboard. Na het verstrijken van deze termijn verwijdert Verwerker de betreffende gegevens, tenzij een wettelijke bewaarverplichting van toepassing is.

Artikel 13 — Audit en verantwoording

Verwerker stelt op verzoek van de Verwerkingsverantwoordelijke alle informatie beschikbaar die nodig is om de naleving van deze overeenkomst en de verplichtingen uit hoofde van artikel 28 AVG aan te tonen.

De Verwerkingsverantwoordelijke heeft het recht om, op eigen kosten en met een redelijke opzegtermijn van ten minste 4 weken, een onafhankelijke audit te laten uitvoeren naar de naleving van deze overeenkomst door Verwerker. Verwerker verleent hiertoe medewerking, voor zover dit redelijkerwijs van hem gevraagd kan worden en de bedrijfsvoering niet onevenredig wordt belast.

Artikel 14 — Aansprakelijkheid

De aansprakelijkheid van Verwerker voor schade die voortvloeit uit of verband houdt met de verwerking van persoonsgegevens is beperkt conform de aansprakelijkheidsbepaling in de algemene voorwaarden van Verwerker. Verwerker is niet aansprakelijk voor schade die het gevolg is van niet-naleving door de Verwerkingsverantwoordelijke van de AVG of deze overeenkomst.

Artikel 15 — Wijzigingen

Wijzigingen van deze overeenkomst zijn alleen geldig indien zij schriftelijk zijn overeengekomen en door beide Partijen zijn ondertekend.

Artikel 16 — Toepasselijk recht en geschillenbeslechting

Op deze overeenkomst is uitsluitend Nederlands recht van toepassing. Geschillen worden voorgelegd aan de bevoegde rechter in Nederland.

Artikel 17 — Ondertekening

Aldus overeengekomen en in tweevoud opgemaakt en ondertekend:

Dit template is op verzoek beschikbaar als Word-document. Neem contact op via privacy@verisight.nl.