Overeenkomst inzake de verwerking van persoonsgegevens

1. Preambule

Deze Verwerkersovereenkomst Persoonsgegevens (de "Verwerkersovereenkomst") wordt aangegaan door de Klant (hierna ook de "Verwerkingsverantwoordelijke" genoemd) en Dugga (hierna ook de "Verwerker" genoemd),

Het doel van deze Verwerkersovereenkomst is om ervoor te zorgen dat de verwerking van persoonsgegevens door de Verwerker namens de Verwerkingsverantwoordelijke plaatsvindt in overeenstemming met de Algemene Verordening Gegevensbescherming (2016/679) ("GDPR"), de instructies van de Verwerkingsverantwoordelijke en deze Verwerkersovereenkomst.

Deze Verwerkersovereenkomst is een bijlage bij een eventuele vrije licentie- of hoofdovereenkomst die door Opdrachtgever en Dugga wordt aangegaan (de "Hoofdovereenkomst"). In geval van tegenstrijdige bepalingen heeft de Hoofdovereenkomst voorrang boven deze Verwerkersovereenkomst.

2. Doel van de verwerking van persoonsgegevens

Het doel van de verwerking van de persoonsgegevens, en de dienstverlening van Dugga, is om de Klant in staat te stellen digitaal kennis te verwerken en te evalueren. Persoonsgegevens worden in het systeem gebruikt voor gebruiks- en inlogdoeleinden, afhankelijk van rol en functie van de gebruiker. De Klant zal bijvoorbeeld kunnen nagaan wie toetsen toewijst of aanmaakt, wie toetsen afneemt en wat hun antwoorden en resultaten zijn. Persoonsgegevens worden ook gebruikt voor ondersteuning, technisch onderhoud en back-updoeleinden.

De verwerker is niet gerechtigd de persoonsgegevens te verwerken voor andere doeleinden dan die welke in deze verwerkersovereenkomst zijn vermeld, tenzij telkens voorafgaande schriftelijke toestemming is verkregen.

3. De verantwoordelijkheid van de verwerker

De verwerker is verantwoordelijk voor het nemen van de maatregelen betreffende de verwerking van persoonsgegevens waarom door de verantwoordelijke voor de verwerking schriftelijk is verzocht, in aanhangsel 2:1 of anderszins, en voor het verrichten van de verwerking die vereist is in verband met de verlening van diensten aan de verantwoordelijke voor de verwerking of die krachtens de toepasselijke wetgeving vereist is.

Na ontvangst van schriftelijke instructies onderneemt de verwerker zonder onnodige vertraging passende actie om ervoor te zorgen dat de verwerking van persoonsgegevens overeenkomstig die instructies wordt aangepast.

De verwerker is niet aansprakelijk voor enig gebrek aan duidelijkheid in dergelijke instructies van de verantwoordelijke voor de verwerking en is niet verplicht andere maatregelen te nemen dan die welke uitdrukkelijk door de verantwoordelijke voor de verwerking zijn gevraagd.

De verwerker heeft recht op een vergoeding, overeenkomstig de prijslijst die van tijd tot tijd door de verwerker wordt toegepast, voor elke handeling met betrekking tot de verwerking van persoonsgegevens die niet uitdrukkelijk door de verantwoordelijke voor de verwerking is gespecificeerd op het ogenblik waarop deze verwerkersovereenkomst in werking treedt.

4. Verbintenissen van de controleur

De verantwoordelijke voor de verwerking verbindt zich ertoe de verwerking van persoonsgegevens in het kader van deze verwerkersovereenkomst zoveel mogelijk te vergemakkelijken, onder meer door de verwerker onverwijld de nodige informatie te verstrekken en door de verwerker ruim van tevoren in kennis te stellen van eventuele administratieve maatregelen.

5. Certificering

De Verwerker verklaart dat zijn eigen bedrijfsactiviteiten in alle opzichten worden beheerd op een wijze die de naleving van de vereisten van de GDPR waarborgt, in overeenstemming is met de heersende normen in de sector en op een wijze die de uitvoering van maatregelen met betrekking tot de verwerking van persoonsgegevens in overeenstemming met deze Verwerkersovereenkomst mogelijk maakt.

6. Beschermende maatregelen

Met betrekking tot elke verwerking van persoonsgegevens namens de verantwoordelijke voor de verwerking treft de verwerker de technische en organisatorische beschermingsmaatregelen die door de verantwoordelijke voor de verwerking in aanhangsel 2, deel 1, zijn gespecificeerd.

De verwerker bepaalt hoe dergelijke maatregelen moeten worden uitgevoerd om het vereiste beschermingsniveau te bereiken.

De verwerker is niet verplicht beschermende maatregelen te nemen die niet uitdrukkelijk in deze verwerkersovereenkomst of de aanhangsels daarbij zijn vermeld.

De partijen kunnen strengere of aanvullende beschermende maatregelen overeenkomen en tenzij schriftelijk anders is overeengekomen, heeft de verwerker recht op een afzonderlijke vergoeding voor dergelijke maatregelen, overeenkomstig de dan geldende prijslijst van de verwerker.

Indien de verantwoordelijke voor de verwerking in aanhangsel 2.1 of anderszins geen beschermingsmaatregelen heeft gespecificeerd, zal de verwerker op kosten van de verantwoordelijke voor de verwerking de beschermingsmaatregelen treffen die in vergelijkbare omstandigheden in de sector gebruikelijk zijn.

7. Informatie

Teneinde de uitvoering van de verwerking van persoonsgegevens te controleren, heeft de verantwoordelijke voor de verwerking het recht documentatie op te vragen over de bedrijfsactiviteiten en -systemen van de verwerker, voor zover deze betrekking hebben op de verwerking van persoonsgegevens ten behoeve van de verantwoordelijke voor de verwerking.

8. Follow-up

Indien de partijen nieuwe beschermende maatregelen voor de verwerking van persoonsgegevens overeenkomen, heeft de verantwoordelijke voor de verwerking het recht documentatie te verlangen over de maatregelen die de verwerker heeft genomen om de overeengekomen tenuitvoerlegging te bewerkstelligen.

9. Openbaarmaking van gegevens

De Verwerker is niet gerechtigd persoonsgegevens aan derden te verstrekken zonder voorafgaande schriftelijke toestemming van de Verwerkingsverantwoordelijke, tenzij de wet zulks voorschrijft.

Indien een overheidsinstantie de verwerker gelast gegevens te verstrekken of andere maatregelen te nemen ten gevolge van de verwerking van persoonsgegevens voor rekening van de verantwoordelijke voor de verwerking, heeft de verwerker recht op een redelijke vergoeding voor dergelijke werkzaamheden.

De verwerker heeft tevens recht op een redelijke vergoeding voor elke andere verstrekking van persoonsgegevens, op verzoek van de verantwoordelijke voor de verwerking of vereist bij wet of deze overeenkomst, aan een andere partij dan de verantwoordelijke voor de verwerking, en voor de maatregelen in verband met deze verstrekking.

10. Overbrenging naar derde landen

De verwerker mag persoonsgegevens alleen met voorafgaande schriftelijke toestemming van de verantwoordelijke voor de verwerking doorgeven aan een land dat geen lid is van de Europese Unie of van de Europese Economische Ruimte.

Indien de uitvoering van een afzonderlijke overeenkomst ter handhaving van een passend beschermingsniveau een wettelijke vereiste is voor de doorgifte van persoonsgegevens naar een derde land, is de verantwoordelijke voor de verwerking niet gerechtigd de toestemming voor deze doorgifte te onthouden indien de verwerker kan aantonen dat er een dergelijke overeenkomst bestaat.

Bijzonderheden over de routines van de verwerker voor de opslag en verwerking van persoonsgegevens zijn te vinden in de aanhangsels 2.1 en 2.2.

11. Onderaanneming

De verwerker zal voor de in aanhangsel 2.2 omschreven doeleinden een beroep doen op de in dat aanhangsel vermelde onderaannemers.

De verwerker kan naar eigen goeddunken verdere onderaannemers vervangen of aanstellen, op voorwaarde dat zij zich ertoe verbinden deze verwerkersovereenkomst na te leven.

De verwerker is ten opzichte van de verantwoordelijke voor de verwerking evenzeer aansprakelijk voor het handelen en nalaten van onderaannemers als voor zijn eigen handelen en nalaten.

12. Vergoeding

Zoals hierboven en hieronder uiteengezet, heeft de Verwerker recht op vergoeding voor de verwerking van persoonsgegevens en daarmee verband houdende maatregelen, voor zover die verwerking en daarmee verband houdende maatregelen niet uitdrukkelijk zijn overeengekomen in deze Verwerkersovereenkomst en de aanhangsels daarbij.

13. Contactpersonen, enz.

Elke partij wijst een contactpersoon aan die de primaire verantwoordelijkheid draagt voor de communicatie tussen de partijen met betrekking tot deze bewerkersovereenkomst. De partijen stellen elkaar in kennis van de aangewezen contactpersoon en de contactgegevens, en elke partij stelt de andere partij onverwijld in kennis van de vervanging van de contactpersoon. Voor Vrije Licenties is de persoon die de Vrije Licentie aanvraagt de contactpersoon.

14. Waarborging van de rechten van de geregistreerde

De verwerker zal, op verzoek, onverwijld en in overeenstemming met de instructies van de verantwoordelijke voor de verwerking, persoonsgegevens waarop deze verwerkersovereenkomst van toepassing is, verbeteren, extraheren of wissen.

De verwerker zal de verantwoordelijke voor de verwerking bovendien bijstaan bij het waarborgen van de rechten van de ingeschrevenen, overeenkomstig hoofdstuk III van de GDPR.

De verwerker heeft recht op een redelijke vergoeding voor dergelijke maatregelen.

Indien de verantwoordelijke voor de verwerking een schriftelijk verzoek tot verwijdering van persoonsgegevens indient, verwijdert de verwerker de persoonsgegevens in kwestie uiterlijk 90 dagen na het verzoek.

15. Beëindiging

Bij beëindiging van deze verwerkersovereenkomst worden de persoonsgegevens van de verwerkingsverantwoordelijke zonder onredelijke vertraging teruggegeven of gewist.

De verwerkingsverantwoordelijke dient de verwerker uiterlijk 3 maanden voor het verstrijken van deze verwerkersovereenkomst in kennis te stellen van de wijze waarop met de persoonsgegevens van de verwerkingsverantwoordelijke zal worden omgegaan en van de eventuele behoefte aan bijstand van de verwerker in verband met de overdracht van persoonsgegevens. Bij gebreke van een dergelijke kennisgeving zal de verwerker de persoonsgegevens in verband met het verstrijken van deze verwerkersovereenkomst wissen.

De verwerker zal in redelijke mate en op voorwaarde dat er middelen beschikbaar zijn, bijstand verlenen bij de doorgifte van persoonsgegevens. De verwerker heeft recht op een vergoeding voor deze bijstand overeenkomstig zijn dan geldende prijslijst voor dergelijke diensten.

16. Beperking van aansprakelijkheid

De aansprakelijkheid van de verwerker krachtens deze verwerkersovereenkomst is beperkt tot directe schade die voortvloeit uit een verwerking van persoonsgegevens die duidelijk in strijd was met de schriftelijke instructies van de verantwoordelijke voor de verwerking of de toepasselijke wetgeving. Vorderingen van derden of overheidsinstanties worden voor de toepassing van deze overeenkomst als directe schade beschouwd. De aansprakelijkheid van de verwerker omvat echter in geen geval indirecte schade, zoals bijvoorbeeld gederfde inkomsten.

17. Geschillen

Alle geschillen die voortvloeien uit of verband houden met deze bewerkersovereenkomst zullen worden beslecht zoals overeengekomen in de hoofdovereenkomst.

18. Wijzigingen in de overeenkomst

Om bindend te zijn, moeten alle wijzigingen van deze Verwerkersovereenkomst schriftelijk zijn en door beide partijen naar behoren zijn ondertekend.

____________________

Bijlage 2:1

De instructies van de controleur en de vereiste beschermingsmaatregelen

Doel	Het doel van de Dugga Learning Assessment dienst is om het mogelijk te maken digitale kennisbeoordeling uit te voeren, voornamelijk in een onderwijssetting. De gegevensverwerking in het platform vindt plaats om het mogelijk te maken in te loggen en het platform te gebruiken op de verschillende manieren die volgen uit de rol(len) en functie(s) die een gebruiker heeft. De klant zal kunnen nagaan wie examens en opdrachten beheert, maakt en afneemt, alsook de resultaten van die kennisbeoordelingsactiviteiten. Persoonsgegevens worden ook gebruikt ten behoeve van ondersteuning, technisch onderhoud en veiligheidsback-ups. De gegevens worden opgeslagen binnen de EU/EES.
De verwerkte gegevens bestaan uit de volgende soorten persoonsgegevens.	Persoonsgegevens in het platform kunnen bestaan uit: Gebruikersnaam, voornaam, achternaam, groepsaansluiting (klas/klassen/groepen), afbeeldingen, mobiel telefoonnummer. Tests van studenten, resultaten en soms ook cijfers en feedback van leraren. Het e-mailadres van de gebruiker (bij gebruik van accounts). Dugga vereist geen persoonlijke nummers of sofi-nummers, maar de klant heeft de mogelijkheid om dergelijke informatie toe te voegen. De verwerking van bepaalde soorten persoonsgegevens overeenkomstig artikel 9, lid 1, onder i), van het kader voor gegevensverwerking kan plaatsvinden afhankelijk van de informatie die individuele gebruikers kunnen toevoegen.
De verwerking van gegevens omvat de volgende categorieën/rollen	Leraren Beheerders Studenten Proctors/ surveillanten Beheerders van de studie
Specifieke regels voor gegevensverwerking en de verwijdering van persoonsgegevens door de verwerker.	Persoonsgegevens worden gewist na het aantal jaren dat de verantwoordelijke voor de verwerking schriftelijk aan Dugga heeft opgegeven. Een dergelijk verzoek tot verwijdering van gegevens dient uiterlijk 90 dagen voor de verwijdering bij Dugga te worden ingediend. De verantwoordelijke voor de verwerking heeft de mogelijkheid om gegevens op elk moment in het platform te wissen. Reservekopieën worden niet langer dan 2 jaar bewaard.
Technische maatregelen ter bescherming van persoonsgegevens.	Dugga is goedgekeurd in verschillende revisies op gegevensbeveiliging uitgevoerd door klanten, onderzoekers, partners en onafhankelijke organisaties. De technische revisies van de gegevensbeveiliging worden jaarlijks uitgevoerd en zijn in overeenstemming met de regelgeving inzake gegevensbeveiliging.
Registratie van verwerking van en toegang tot persoonsgegevens.	Loggen van gegevens omvat: Gebruikers die beoordelingen hebben uitgevoerd en resultaten en cijfers hebben gegeven voor individuele leerlingen en groepen leerlingen. Deze informatie is toegankelijk voor leerkrachten, administrateurs en studiebegeleiders.
Doorgifte van persoonsgegevens aan derde landen.	Persoonsgegevens worden niet verder doorgegeven dan in de rubriek "Doel" is aangegeven.
Andere instructies in verband met de verwerking van persoonsgegevens door de verwerker.	1. Toegang op afstand tot het controllersysteem om technische problemen te onderzoeken en op te lossen en; 2. Publiceren van statistieken over de gegevensverwerking in het platform. In aanvulling op deze verwerkersovereenkomst heeft de verwerker het recht om gegevens alleen in xml-formaat aan de voor de verwerking verantwoordelijke te verstrekken, indien de klantenovereenkomst afloopt. De verwerker heeft het recht om tijdens en na het verstrijken van de overeenkomst metagegevens /geïdentificeerde gegevens te bewaren, te gebruiken en te analyseren met het oog op wetenschappelijk onderzoek en ontwikkeling. Al deze gegevens zullen worden omgezet in een modus waarin geen fysieke persoon kan worden geïdentificeerd. Derhalve kan geen fysiek persoon worden getraceerd of geïdentificeerd in gegevens die voor bovengenoemde doeleinden worden opgeslagen.

Bijlage 2:2

Opslag en verwerking van persoonsgegevens

De volgende onderaannemers worden vanaf de datum van de Verwerkersovereenkomst door de Verwerker gebruikt, voor de hieronder vermelde doeleinden. De onderaannemers zijn gevestigd in de hieronder gespecificeerde landen.

Toegang op afstand tot het systeem van de controleur, voor de analyse en oplossing van technische problemen:

Eventful AB (Zweden)

FastDev AB (Zweden)

Opslag en verwerking van persoonsgegevens:

Microsoft Azure (Nederland)

Microsoft Azure (Ierland)

Microsoft Azure (Zweden)

Kontakta oss



Torsgatan 39, 113 62 Stockholm



+46 (0)8 307080



[email protected]

Länkar

Logga in

Dugga Plugga

Nyheter

Hur hanterar vi din data

Steun

Dugga API

Cookie	Duur	Beschrijving
cookielawinfo-checkbox-analytics	11 maanden	Deze cookie wordt ingesteld door de GDPR Cookie Consent plugin. De cookie wordt gebruikt om de toestemming van de gebruiker op te slaan voor de cookies in de categorie "Analytics".
cookielawinfo-checkbox-functioneel	11 maanden	De cookie wordt ingesteld door GDPR cookie toestemming om de toestemming van de gebruiker voor de cookies in de categorie "Functioneel" vast te leggen.
cookielawinfo-checkbox-nodig	11 maanden	Deze cookie wordt ingesteld door de GDPR Cookie Consent plugin. De cookie wordt gebruikt om de toestemming van de gebruiker op te slaan voor de cookies in de categorie "Noodzakelijk".
cookielawinfo-checkbox-anders	11 maanden	Deze cookie wordt ingesteld door de GDPR Cookie Consent plugin. De cookie wordt gebruikt om de toestemming van de gebruiker op te slaan voor de cookies in de categorie "Overige".
cookielawinfo-checkbox-performance	11 maanden	Deze cookie wordt ingesteld door de GDPR Cookie Consent plugin. De cookie wordt gebruikt om de toestemming van de gebruiker op te slaan voor de cookies in de categorie "Prestaties".
bekeken_cookie_beleid	11 maanden	De cookie is ingesteld door de GDPR Cookie Consent plugin en wordt gebruikt om op te slaan of de gebruiker al dan niet heeft ingestemd met het gebruik van cookies. Het slaat geen persoonlijke gegevens op.