Verwerkersovereenkomst

Algemene Verordening Gegevensbescherming (AVG)

Logicworks BV verwerkt onder andere persoonsgegevens voor en in opdracht van de klant omdat de klant een software gebruikersovereenkomst heeft met Logicworks BV. Logicworks BV en de klant zijn daarom verplicht volgens de Algemene Verordening Gegevensbescherming (AVG) om een Verwerkersovereenkomst te sluiten.

Omdat Logicworks BV haar standaard online applicaties Appraesto en DirectLink met de daarbij behorende standaard dienstverlening levert, heeft Logicworks BV de verwerkingsovereenkomst opgenomen in de Algemene Voorwaarden en SLA. Logicworks BV is in dezen de ‘verwerker’ en de klant de ‘verwerking verantwoordelijke’.

Logicworks BV en de klant verplichten zich over en weer om de Algemene Verordening Gegevensbescherming (AVG) na te leven. Voor de definities van begrippen wordt aangesloten bij de AVG. Logicworks BV zal de persoonsgegevens alleen verwerken voor en in opdracht van de klant en om uitvoering te geven aan de overeenkomst.

 

Instructies verwerking

De verwerking bestaat uit het beschikbaar stellen van de Logicworks BV applicaties met de door de klant ingevoerde en gegenereerde data. Logicworks BV zal geen gegevens toevoegen, aanpassen of verwijderen zonder dat de klant daar specifieke instructie's voor gegeven heeft. Die instructie kan via een verzoek of via de applicatie worden gegeven.

Binnen de applicaties, die Logicworks BV online beschikbaar stelt, zijn verschillende soorten persoonsgegevens vast te leggen. Logicworks BV is zich ervan bewust dat de klant al deze, en eventueel nog zelf aan te maken persoonsgegevens of categorieën, kan invoeren en dat Logicworks BV deze dan zal verwerken. De klant is zelf verantwoordelijk voor de beoordeling of het doel en aard van de verwerking past bij de dienstverlening die Logicworks BV doet.

Logicworks BV verzamelt geanonimiseerde gegevens over het gebruik van haar producten en diensten. Deze gegevens ondersteunen Logicworks BV om inzicht te krijgen of, hoe en hoe vaak bepaalde onderdelen van het product gebruikt worden. De geanonimiseerde gegevens zullen uitsluitend gebruikt worden om producten en dienstverlening te verbeteren. Logicworks BV zal de verzamelde gebruikersstatistieken nooit gebruiken voor commerciële doeleinden of aanbieden aan derde partijen.

 

Geheimhoudingsplicht

Logicworks BV is zich bewust dat de informatie die de klant met Logicworks BV deelt en opslaat binnen de Logicworks applicaties, een geheim en bedrijfsgevoelig karakter heeft. Alle Logicworks BV medewerkers zullen gedurende hun dienstverband en daarna, zoals in hun arbeidsovereenkomst met geheimhoudingsclausule is opgenomen, op verantwoorde wijze met de informatie van de klant omgaan.

 

Medewerkers met toegang tot klantgegevens

Systeembeheerders en supportmedewerkers van Logicworks BV hebben volledige toegang tot de klantgegevens voor:
• het plaatsen van een nieuwe versie;
• het doorvoeren van patches en hotfixes;
• het maken van een back-up;
• het ondersteunen van klanten/gebruikers.
Implementatieconsultants en andere Logicworks BV medewerkers hebben alleen toegang tot de klantgegevens indien zij toestemming daarvoor hebben ontvangen van de klant en voor zolang zij toestemming hebben van de klant door het beschikbaar stellen van de gebruikersgegevens aan een implementatieconsultant.

 

Beveiliging

Logicworks BV neemt blijvend passende technische en organisatorische maatregelen om de persoonsgegevens van de klant te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking. Onze software en data wordt gehost in het Nederlandse Microsoft Azure datacenter en de provider is ISO27001 gecertificeerd. Deze maatregelen worden aangemerkt als een passend beveiligingsniveau in de zin van de AVG. Meer informatie hierover kunt u vinden op de website van Microsoft Azure. De klant is gerechtigd om in overleg met Logicworks BV tijdens de looptijd van de overeenkomst door een onafhankelijke deskundige de naleving hiervan te controleren, bijvoorbeeld door het uitvoeren van een audit. De klant zal alle kosten in verband met deze controle dragen.

Indien de Autoriteit Persoonsgegevens aan de verwerkersverantwoordelijke een bindende aanwijzing geeft, dient de klant Logicworks BV direct op de hoogte te stellen van deze bindende aanwijzing. Logicworks BV zal er alles aan doen wat in redelijkheid van haar verwacht kan worden om de naleving mogelijk te maken. Als Logicworks BV niet doet wat in redelijkheid van haar gevraagd kan worden, waardoor een boete volgt, of als de Autoriteit Persoonsgegevens direct een boete oplegt omdat sprake is van opzet of ernstige verwijtbare nalatigheid aan de kant van Logicworks BV, dan geldt de toepasselijke aansprakelijkheidsbeperking als hiervoor genoemd in het hoofdstuk Aansprakelijkheid niet.

 

Subverwerkers

Logicworks BV verwerkt de klantdata van Appraesto en DirectLink in het Nederlandse datacenter van Microsoft Azure en deze is hiermee subverwerker. De datacenters waar Logicworks BV gebruik van maakt bevinden zich uitsluitend in Nederland en vallen onder Nederlandse wet- en regelgeving en voldoen aan de strenge Nederlandse en Europese wetgeving met betrekking tot logische en fysieke toegangsbeveiliging en continuïteit. De datacenters zijn minimaal ISO 27001 gecertificeerd. De (persoons)gegevens worden door Logicworks BV en sub verwerker uitsluitend verwerkt binnen de Europese Economische ruimte.

Logicworks BV zal geen nieuwe sub verwerkers gegevens laten verwerken zonder de klant daarover tijdig te informeren. De klant kan bezwaar maken bij Logicworks BV tegen de sub verwerker. Mocht Logicworks BV toch gegevens willen laten verwerken door de nieuwe sub verwerker, heeft de klant de mogelijkheid om de overeenkomst te beëindigen.

 

Privacyrechten

Logicworks BV heeft geen zeggenschap over de persoonsgegevens die door de klant beschikbaar worden gesteld. Zonder noodzaak, gezien de aard van de door de klant verstrekte opdracht, expliciete toestemming van de klant of wettelijke verplichting, zal Logicworks BV de gegevens niet aan derden verstrekken of voor andere doeleinden verwerken, dan voor de overeengekomen doeleinden. De klant garandeert dat de persoonsgegevens verwerkt mogen worden op basis van een in de AVG genoemde grondslag.

Logicworks BV zal wel, indien een verzoek gedaan wordt door de Stichting Autoriteit Financiële Markten, De Europese Centrale Bank of De Nederlandsche Bank N.V. op grond van de uitvoering van hun taak uit hoofde van de Wft, of op grond van andere wet- en regelgeving, alle mogelijke informatie beschikbaar stellen aan de betreffende organisatie. Tevens verplicht Logicworks BV de subverwerker, zoals hierboven benoemd, eveneens te voldoen aan een dergelijk verzoek van deze toezichthouders.

 

Betrokkenen

De klant is verantwoordelijk voor de ingevoerde gegevens van de betrokkenen en daarbij voor het informeren en bijstaan van de rechten van de betrokkenen. Logicworks BV zal nooit op verzoeken van betrokkenen ingaan en altijd verwijzen naar de verantwoordelijke. Logicworks BV zal, voor zover dat binnen de applicatie mogelijk is, haar medewerking verlenen aan de klant zodat deze kan voldoen aan zijn wettelijke verplichtingen in het geval dat een betrokkene haar rechten uitoefent op grond van de AVG of andere toepasselijke regelgeving betreffende de verwerking van persoonsgegevens.

 

Meldplicht datalekken

De AVG vereist dat eventuele datalekken gemeld worden aan de Autoriteit Persoonsgegevens door de verwerking verantwoordelijke van de data. Logicworks BV zal daarom zelf geen meldingen doen bij de Autoriteit Persoonsgegevens. Uiteraard zal Logicworks BV de klant juist, tijdig en volledig informeren over relevante incidenten, zodat de klant als verwerking verantwoordelijke aan zijn wettelijke verplichtingen kan voldoen. De Beleidsregels meldplicht datalekken van de Autoriteit Persoonsgegevens geven hierover meer informatie.

Indien de klant een (voorlopige) melding verricht bij de Autoriteit Persoonsgegevens en/of de betrokkene(n) over een datalek bij Logicworks BV, zonder dat de klant dit vooraf heeft besproken met Logicworks BV, dan is de klant aansprakelijk voor door Logicworks BV geleden schade en kosten. De klant is daarnaast verplicht een dergelijke melding direct in te trekken.

 

Bepaling datalek

Voor het bepalen van een datalek, gebruikt Logicworks BV de AVG en de Beleidsregels meldplicht datalekken als leidraad.

 

Melding aan de klant

Indien blijkt dat bij Logicworks BV sprake is van een beveiligingsincident of datalek, zal Logicworks BV de klant hierover zo spoedig mogelijk informeren nadat Logicworks BV bekend is geworden met het datalek. Om dit te realiseren zorgt Logicworks BV ervoor dat al haar medewerkers in staat zijn en blijven om een datalek te constateren en verwacht Logicworks BV van haar opdrachtnemers dat zij Logicworks BV in staat stelt om hieraan te kunnen voldoen. Voor de duidelijkheid: als er een datalek is bij een leverancier van Logicworks BV, dan meldt Logicworks BV dit uiteraard ook. Logicworks BV is het contactpunt voor de klant. De klant hoeft geen contact op te nemen met de leveranciers van Logicworks BV.

 

Informeren klant (contactpersoon instellen)

In eerste instantie zal Logicworks BV de contactpersoon van het abonnement informeren over een datalek.

 

Informatie verstrekken

Logicworks BV probeert de klant direct alle informatie te verstrekken die de klant nodig heeft om een eventuele melding bij de Autoriteit Persoonsgegevens en/of de betrokkene(n) te verrichten.

 

Termijn van informeren

De AVG geeft aan dat er ‘onverwijld’ gemeld moet worden. Dit is volgens de Autoriteit Persoonsgegevens zonder onnodige vertraging en zo mogelijk niet later dan 72 uur na ontdekking ervan door de verantwoordelijke. Indien er een beveiligingsincident optreedt zal Logicworks BV de klant zo snel mogelijk informeren: uiterlijk binnen 48 uur na het ontdekken ervan door Logicworks BV. De klant zal zelf de beoordeling moeten maken of het beveiligingsincident valt onder de term ‘datalek’ en of er melding aan de Autoriteit Persoonsgegevens gedaan zal moeten worden. De klant heeft hiervoor 72 uur de tijd, nadat de klant hiervan op de hoogte is gesteld.

 

Voortgang en maatregelen

Logicworks BV zal de klant op de hoogte houden over de voortgang en de maatregelen die getroffen worden. Logicworks BV maakt hierover afspraken met de primaire contactpersoon bij de initiële melding. In ieder geval houdt Logicworks BV de klant op de hoogte in geval van een wijziging van de situatie, het bekend worden van nadere informatie en over de maatregelen die getroffen worden. Logicworks BV registreert alle security incidenten en handelt deze volgens een vaste procedure (workflow) af.

 

Gegevens verwijderen

Logicworks BV zal, na afloop van de overeenkomst, alle klantgegevens verwijderen. Mocht de klant eerder de gegevens verwijderd willen hebben, dan kan daarvoor een verzoek worden ingediend. Logicworks BV verplicht zich daar gehoor aan te geven.