Overeenkomst inzake de verwerking van persoonsgegevens
1. Preambule
Deze Verwerkersovereenkomst Persoonsgegevens (de "Verwerkersovereenkomst") wordt aangegaan door de Klant (hierna ook de "Verwerkingsverantwoordelijke" genoemd) en Dugga (hierna ook de "Verwerker" genoemd),
Het doel van deze Verwerkersovereenkomst is om ervoor te zorgen dat de verwerking van persoonsgegevens door de Verwerker namens de Verwerkingsverantwoordelijke plaatsvindt in overeenstemming met de Algemene Verordening Gegevensbescherming (2016/679) ("GDPR"), de instructies van de Verwerkingsverantwoordelijke en deze Verwerkersovereenkomst.
Deze Verwerkersovereenkomst is een bijlage bij een eventuele vrije licentie- of hoofdovereenkomst die door Opdrachtgever en Dugga wordt aangegaan (de "Hoofdovereenkomst"). In geval van tegenstrijdige bepalingen heeft de Hoofdovereenkomst voorrang boven deze Verwerkersovereenkomst.
2. Doel van de verwerking van persoonsgegevens
Het doel van de verwerking van de persoonsgegevens, en de dienstverlening van Dugga, is om de Klant in staat te stellen digitaal kennis te verwerken en te evalueren. Persoonsgegevens worden in het systeem gebruikt voor gebruiks- en inlogdoeleinden, afhankelijk van rol en functie van de gebruiker. De Klant zal bijvoorbeeld kunnen nagaan wie toetsen toewijst of aanmaakt, wie toetsen afneemt en wat hun antwoorden en resultaten zijn. Persoonsgegevens worden ook gebruikt voor ondersteuning, technisch onderhoud en back-updoeleinden.
De verwerker is niet gerechtigd de persoonsgegevens te verwerken voor andere doeleinden dan die welke in deze verwerkersovereenkomst zijn vermeld, tenzij telkens voorafgaande schriftelijke toestemming is verkregen.
3. De verantwoordelijkheid van de verwerker
De verwerker is verantwoordelijk voor het nemen van de maatregelen betreffende de verwerking van persoonsgegevens waarom door de verantwoordelijke voor de verwerking schriftelijk is verzocht, in aanhangsel 2:1 of anderszins, en voor het verrichten van de verwerking die vereist is in verband met de verlening van diensten aan de verantwoordelijke voor de verwerking of die krachtens de toepasselijke wetgeving vereist is.
Na ontvangst van schriftelijke instructies onderneemt de verwerker zonder onnodige vertraging passende actie om ervoor te zorgen dat de verwerking van persoonsgegevens overeenkomstig die instructies wordt aangepast.
De verwerker is niet aansprakelijk voor enig gebrek aan duidelijkheid in dergelijke instructies van de verantwoordelijke voor de verwerking en is niet verplicht andere maatregelen te nemen dan die welke uitdrukkelijk door de verantwoordelijke voor de verwerking zijn gevraagd.
De verwerker heeft recht op een vergoeding, overeenkomstig de prijslijst die van tijd tot tijd door de verwerker wordt toegepast, voor elke handeling met betrekking tot de verwerking van persoonsgegevens die niet uitdrukkelijk door de verantwoordelijke voor de verwerking is gespecificeerd op het ogenblik waarop deze verwerkersovereenkomst in werking treedt.
4. Verbintenissen van de controleur
De verantwoordelijke voor de verwerking verbindt zich ertoe de verwerking van persoonsgegevens in het kader van deze verwerkersovereenkomst zoveel mogelijk te vergemakkelijken, onder meer door de verwerker onverwijld de nodige informatie te verstrekken en door de verwerker ruim van tevoren in kennis te stellen van eventuele administratieve maatregelen.
5. Certificering
De Verwerker verklaart dat zijn eigen bedrijfsactiviteiten in alle opzichten worden beheerd op een wijze die de naleving van de vereisten van de GDPR waarborgt, in overeenstemming is met de heersende normen in de sector en op een wijze die de uitvoering van maatregelen met betrekking tot de verwerking van persoonsgegevens in overeenstemming met deze Verwerkersovereenkomst mogelijk maakt.
6. Beschermende maatregelen
Met betrekking tot elke verwerking van persoonsgegevens namens de verantwoordelijke voor de verwerking treft de verwerker de technische en organisatorische beschermingsmaatregelen die door de verantwoordelijke voor de verwerking in aanhangsel 2, deel 1, zijn gespecificeerd.
De verwerker bepaalt hoe dergelijke maatregelen moeten worden uitgevoerd om het vereiste beschermingsniveau te bereiken.
De verwerker is niet verplicht beschermende maatregelen te nemen die niet uitdrukkelijk in deze verwerkersovereenkomst of de aanhangsels daarbij zijn vermeld.
De partijen kunnen strengere of aanvullende beschermende maatregelen overeenkomen en tenzij schriftelijk anders is overeengekomen, heeft de verwerker recht op een afzonderlijke vergoeding voor dergelijke maatregelen, overeenkomstig de dan geldende prijslijst van de verwerker.
Indien de verantwoordelijke voor de verwerking in aanhangsel 2.1 of anderszins geen beschermingsmaatregelen heeft gespecificeerd, zal de verwerker op kosten van de verantwoordelijke voor de verwerking de beschermingsmaatregelen treffen die in vergelijkbare omstandigheden in de sector gebruikelijk zijn.
7. Informatie
Teneinde de uitvoering van de verwerking van persoonsgegevens te controleren, heeft de verantwoordelijke voor de verwerking het recht documentatie op te vragen over de bedrijfsactiviteiten en -systemen van de verwerker, voor zover deze betrekking hebben op de verwerking van persoonsgegevens ten behoeve van de verantwoordelijke voor de verwerking.
8. Follow-up
Indien de partijen nieuwe beschermende maatregelen voor de verwerking van persoonsgegevens overeenkomen, heeft de verantwoordelijke voor de verwerking het recht documentatie te verlangen over de maatregelen die de verwerker heeft genomen om de overeengekomen tenuitvoerlegging te bewerkstelligen.
9. Openbaarmaking van gegevens
De Verwerker is niet gerechtigd persoonsgegevens aan derden te verstrekken zonder voorafgaande schriftelijke toestemming van de Verwerkingsverantwoordelijke, tenzij de wet zulks voorschrijft.
Indien een overheidsinstantie de verwerker gelast gegevens te verstrekken of andere maatregelen te nemen ten gevolge van de verwerking van persoonsgegevens voor rekening van de verantwoordelijke voor de verwerking, heeft de verwerker recht op een redelijke vergoeding voor dergelijke werkzaamheden.
De verwerker heeft tevens recht op een redelijke vergoeding voor elke andere verstrekking van persoonsgegevens, op verzoek van de verantwoordelijke voor de verwerking of vereist bij wet of deze overeenkomst, aan een andere partij dan de verantwoordelijke voor de verwerking, en voor de maatregelen in verband met deze verstrekking.
10. Overbrenging naar derde landen
De verwerker mag persoonsgegevens alleen met voorafgaande schriftelijke toestemming van de verantwoordelijke voor de verwerking doorgeven aan een land dat geen lid is van de Europese Unie of van de Europese Economische Ruimte.
Indien de uitvoering van een afzonderlijke overeenkomst ter handhaving van een passend beschermingsniveau een wettelijke vereiste is voor de doorgifte van persoonsgegevens naar een derde land, is de verantwoordelijke voor de verwerking niet gerechtigd de toestemming voor deze doorgifte te onthouden indien de verwerker kan aantonen dat er een dergelijke overeenkomst bestaat.
Bijzonderheden over de routines van de verwerker voor de opslag en verwerking van persoonsgegevens zijn te vinden in de aanhangsels 2.1 en 2.2.
11. Onderaanneming
De verwerker zal voor de in aanhangsel 2.2 omschreven doeleinden een beroep doen op de in dat aanhangsel vermelde onderaannemers.
De verwerker kan naar eigen goeddunken verdere onderaannemers vervangen of aanstellen, op voorwaarde dat zij zich ertoe verbinden deze verwerkersovereenkomst na te leven.
De verwerker is ten opzichte van de verantwoordelijke voor de verwerking evenzeer aansprakelijk voor het handelen en nalaten van onderaannemers als voor zijn eigen handelen en nalaten.
12. Vergoeding
Zoals hierboven en hieronder uiteengezet, heeft de Verwerker recht op vergoeding voor de verwerking van persoonsgegevens en daarmee verband houdende maatregelen, voor zover die verwerking en daarmee verband houdende maatregelen niet uitdrukkelijk zijn overeengekomen in deze Verwerkersovereenkomst en de aanhangsels daarbij.
13. Contactpersonen, enz.
Elke partij wijst een contactpersoon aan die de primaire verantwoordelijkheid draagt voor de communicatie tussen de partijen met betrekking tot deze bewerkersovereenkomst. De partijen stellen elkaar in kennis van de aangewezen contactpersoon en de contactgegevens, en elke partij stelt de andere partij onverwijld in kennis van de vervanging van de contactpersoon. Voor Vrije Licenties is de persoon die de Vrije Licentie aanvraagt de contactpersoon.
14. Waarborging van de rechten van de geregistreerde
De verwerker zal, op verzoek, onverwijld en in overeenstemming met de instructies van de verantwoordelijke voor de verwerking, persoonsgegevens waarop deze verwerkersovereenkomst van toepassing is, verbeteren, extraheren of wissen.
De verwerker zal de verantwoordelijke voor de verwerking bovendien bijstaan bij het waarborgen van de rechten van de ingeschrevenen, overeenkomstig hoofdstuk III van de GDPR.
De verwerker heeft recht op een redelijke vergoeding voor dergelijke maatregelen.
Indien de verantwoordelijke voor de verwerking een schriftelijk verzoek tot verwijdering van persoonsgegevens indient, verwijdert de verwerker de persoonsgegevens in kwestie uiterlijk 90 dagen na het verzoek.
15. Beëindiging
Bij beëindiging van deze verwerkersovereenkomst worden de persoonsgegevens van de verwerkingsverantwoordelijke zonder onredelijke vertraging teruggegeven of gewist.
De verwerkingsverantwoordelijke dient de verwerker uiterlijk 3 maanden voor het verstrijken van deze verwerkersovereenkomst in kennis te stellen van de wijze waarop met de persoonsgegevens van de verwerkingsverantwoordelijke zal worden omgegaan en van de eventuele behoefte aan bijstand van de verwerker in verband met de overdracht van persoonsgegevens. Bij gebreke van een dergelijke kennisgeving zal de verwerker de persoonsgegevens in verband met het verstrijken van deze verwerkersovereenkomst wissen.
De verwerker zal in redelijke mate en op voorwaarde dat er middelen beschikbaar zijn, bijstand verlenen bij de doorgifte van persoonsgegevens. De verwerker heeft recht op een vergoeding voor deze bijstand overeenkomstig zijn dan geldende prijslijst voor dergelijke diensten.
16. Beperking van aansprakelijkheid
De aansprakelijkheid van de verwerker krachtens deze verwerkersovereenkomst is beperkt tot directe schade die voortvloeit uit een verwerking van persoonsgegevens die duidelijk in strijd was met de schriftelijke instructies van de verantwoordelijke voor de verwerking of de toepasselijke wetgeving. Vorderingen van derden of overheidsinstanties worden voor de toepassing van deze overeenkomst als directe schade beschouwd. De aansprakelijkheid van de verwerker omvat echter in geen geval indirecte schade, zoals bijvoorbeeld gederfde inkomsten.
17. Geschillen
Alle geschillen die voortvloeien uit of verband houden met deze bewerkersovereenkomst zullen worden beslecht zoals overeengekomen in de hoofdovereenkomst.
18. Wijzigingen in de overeenkomst
Om bindend te zijn, moeten alle wijzigingen van deze Verwerkersovereenkomst schriftelijk zijn en door beide partijen naar behoren zijn ondertekend.
____________________
Bijlage 2:1
De instructies van de controleur en de vereiste beschermingsmaatregelen
Doel
|
Het doel van de Dugga Learning Assessment dienst is om het mogelijk te maken digitale kennisbeoordeling uit te voeren, voornamelijk in een onderwijssetting. De gegevensverwerking in het platform vindt plaats om het mogelijk te maken in te loggen en het platform te gebruiken op de verschillende manieren die volgen uit de rol(len) en functie(s) die een gebruiker heeft. De klant zal kunnen nagaan wie examens en opdrachten beheert, maakt en afneemt, alsook de resultaten van die kennisbeoordelingsactiviteiten. Persoonsgegevens worden ook gebruikt ten behoeve van ondersteuning, technisch onderhoud en veiligheidsback-ups. De gegevens worden opgeslagen binnen de EU/EES. |
De verwerkte gegevens bestaan uit de volgende soorten persoonsgegevens.
|
Persoonsgegevens in het platform kunnen bestaan uit:
|
De verwerking van gegevens omvat de volgende categorieën/rollen
|
|
Specifieke regels voor gegevensverwerking en de verwijdering van persoonsgegevens door de verwerker.
|
|
Technische maatregelen ter bescherming van persoonsgegevens. |
Dugga is goedgekeurd in verschillende revisies op gegevensbeveiliging uitgevoerd door klanten, onderzoekers, partners en onafhankelijke organisaties. De technische revisies van de gegevensbeveiliging worden jaarlijks uitgevoerd en zijn in overeenstemming met de regelgeving inzake gegevensbeveiliging. |
Registratie van verwerking van en toegang tot persoonsgegevens. |
Loggen van gegevens omvat:
|
Doorgifte van persoonsgegevens aan derde landen. |
Persoonsgegevens worden niet verder doorgegeven dan in de rubriek "Doel" is aangegeven. |
Andere instructies in verband met de verwerking van persoonsgegevens door de verwerker. |
1. Toegang op afstand tot het controllersysteem om technische problemen te onderzoeken en op te lossen en; 2. Publiceren van statistieken over de gegevensverwerking in het platform. In aanvulling op deze verwerkersovereenkomst heeft de verwerker het recht om gegevens alleen in xml-formaat aan de voor de verwerking verantwoordelijke te verstrekken, indien de klantenovereenkomst afloopt.
|
Bijlage 2:2
Opslag en verwerking van persoonsgegevens
De volgende onderaannemers worden vanaf de datum van de Verwerkersovereenkomst door de Verwerker gebruikt, voor de hieronder vermelde doeleinden. De onderaannemers zijn gevestigd in de hieronder gespecificeerde landen.
Toegang op afstand tot het systeem van de controleur, voor de analyse en oplossing van technische problemen:
Eventful AB (Zweden)
FastDev AB (Zweden)
Opslag en verwerking van persoonsgegevens:
Microsoft Azure (Nederland)
Microsoft Azure (Ierland)
Microsoft Azure (Zweden)
Länkar
Logga in
Dugga Plugga
Nyheter
Hur hanterar vi din data
Steun
Dugga API