Verwerkersovereenkomst
Standaard verwerkersbepalingen voor opdrachten waarin persoonsgegevens worden verwerkt.
Deze Verwerkersovereenkomst ("VO") geldt telkens wanneer Vectel BV persoonsgegevens verwerkt namens een opdrachtgever ("verwerkingsverantwoordelijke") in het kader van onze dienstverlening. Zij vult de hoofdovereenkomst aan en weerspiegelt de eisen uit Artikel 28 AVG.
Onderwerp en duur
Onderwerp: verwerking van persoonsgegevens die nodig is om de overeengekomen dienst (Managed IT, Development, Automation) te leveren.
Duur: voor de looptijd van de onderliggende dienstovereenkomst, plus de wettelijk of overeengekomen bewaartermijn.
Aard, doel en categorieën
Aard en doel: opslag, transport, bewerking en routinebeheer van persoonsgegevens volgens instructie van de verwerkingsverantwoordelijke.
Categorieën: doorgaans gegevens uit het personeelsregister, contactgegevens van klanten en operationele logs. De exacte set wordt in de opdrachtomschrijving vastgelegd.
Categorieën betrokkenen: medewerkers, klanten, leveranciers en overige contacten van de verwerkingsverantwoordelijke.
Plichten van de verwerker
Wij verwerken persoonsgegevens uitsluitend op gedocumenteerde instructie van de verwerkingsverantwoordelijke, ook bij doorgifte buiten de EER. Wij zorgen dat personen die toegang hebben tot de gegevens een geheimhoudingsplicht hebben. Wij treffen passende technische en organisatorische maatregelen (encryptie in transport en rust, toegangsbeheer, logging, incidentafhandeling). Wij ondersteunen de verwerkingsverantwoordelijke bij verzoeken van betrokkenen en bij beveiligings- en DPIA-verplichtingen, voor zover redelijkerwijs nodig.
Sub-verwerkers
De verwerkingsverantwoordelijke geeft toestemming voor de sub-verwerkers die in onze privacyverklaring worden genoemd. Bij voorgenomen wijzigingen informeren we tijdig en bieden gelegenheid tot bezwaar. Wij blijven aansprakelijk voor sub-verwerkers als voor onze eigen prestaties.
Beveiligingsmaatregelen
Basis-maatregelen omvatten: TLS voor al het verkeer, AES-256 in rust bij hostingproviders, rolgebaseerde toegangscontrole, MFA op alle beheeraccounts, doorlopend patchen van afhankelijkheden, monitoring en alerting, en geteste back-ups. Specifieke aanvullende maatregelen kunnen per opdracht worden afgesproken.
Datalekmelding
Wij melden zonder onnodige vertraging (uiterlijk binnen 72 uur na ontdekking) een datalek dat de gegevens van de verwerkingsverantwoordelijke betreft, met de informatie die nodig is om aan diens eigen meldplicht te voldoen (art. 33 lid 2 AVG).
Teruggave of verwijdering
Bij beëindiging geven we alle namens de verwerkingsverantwoordelijke verwerkte persoonsgegevens terug of verwijderen we ze, naar diens keuze, tenzij EU- of lidstaatrecht bewaring vereist. Verwijdering wordt schriftelijk bevestigd.
Audits
Wij stellen alle informatie ter beschikking die nodig is om naleving van deze VO aan te tonen, en maken audits inclusief inspecties mogelijk, uit te voeren door de verwerkingsverantwoordelijke of een door deze aangewezen auditor, op redelijke termijn en tijdens kantoortijden.