D&F - Safety Culture trainingen

De ondergetekenden

• D&F Consulting B.V., statutair gevestigd te Breda, ingeschreven bij de kamer van koophandel onder nummer 20069543, hier te noemen D&F.

en

• U, hierna te noemen Klant.

Partij sub 1 en sub 2 hierna afzonderlijk respectievelijk gezamenlijk ook aan te duiden als “Partij” respectievelijk “Partijen”.

Overwegingen

• Tussen Partijen bestaat een overeenkomst op grond waarvan D&F in opdracht van Klant diensten verricht, waarbij D&F ten behoeve van Klant en aan Klant gelieerde Persoonsgegevens zal verwerken, zodat D&F als “verwerker” en Klant als “verwerkingsverantwoordelijke” in de zin van de Algemene Verordening Gegevensbescherming (AVG) hebben te gelden.
• Deze overeenkomst strekt ertoe de hiervoor onder (a) bedoelde verwerking van persoonsgegeven te regelen, zulks ter voldoening aan het bepaalde in artikel 28 lid 3 AVG.

Overeenkomst: 

Artikel 1        Definities

In deze overeenkomst wordt verstaan onder:

• AVG: Verordening 2016/679 van het Europees Parlement en de raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (Algemene Verordening Gegevensbescherming), Publicatie nr. L119 van 4 mei 2016, p. 1 e.v.; Betrokkene: heeft de betekenis die de AVG daaraan geeft.
• Dienst(en); het geheel van de door D&F krachtens de Opdracht te verrichten werkzaamheden;
• Inbreuk: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens;
• Medewerker: een onder gezag van D&F vallende persoon die betrokken is of wordt bij de uitvoering van de Opdracht;
• Opdracht: de overeenkomst van opdracht tussen D&F en Klant, inclusief de bijlagen daarbij waaronder in ieder geval begrepen de toepasselijke algemene voorwaarden, waarbij D&F zich jegens Klant verbindt of heeft verbonden werkzaamheden te verrichten;
• Persoonsgegevens: de met het oog op het verlenen van de Dienst(en) door Klant aan D&F te verstrekken en door D&F ten behoeve van Klant te verwerken persoonsgegevens als bedoel in de AVG;
• Sub-Verwerker: degene – natuurlijk of rechtspersoon dan wel vennootschap – die door D&F bij de verwerking van Persoonsgegevens is of wordt ingeschakeld;
• Verwerkingsovereenkomst: deze overeenkomt met inbegrip van alle daarbij behorende bijlagen.

Voor de toepassing van de Verwerkingsovereenkomst maakt het geen verschil of de hiervoor gedefinieerde begrippen in het enkelvoud of in het meervoud zijn gesteld dan wel in een bepaalde samenstelling worden gebruikt.

Artikel 2         Doel, verstrekking en verwerking. 

2.1     D&F verwerkt de Persoonsgegevens slechts in opdracht schriftelijk en op instructie Klant en met het oog op het verlenen van de Dienst(en).

2.2.    Klant is verantwoordelijk voor de juistheid en volledigheid van de Persoonsgegevens en zal de Persoonsgegevens tijdig aan D&F verstrekken, opdat D&F in staat is de Dienst(en) tijdig te verlenen.

2.3     D&F verwerkt de Persoonsgegevens in overeenstemming met de ter zake van toepassing zijnde regelgeving.

2.4     D&F zal de Persoonsgegevens niet verwerken in, nog doorgeven aan, een land buiten de Europese Unie, waarvan niet is vastgesteld dat he land een passend beschermingsniveau in de zin van artikel 45 lid 2 van de AVG waarborgt, tenzij Klant daarin vooraf uitdrukkelijk en schriftelijk toestemt. Hetzelfde geldt voor het doorgeven aan of laten verwerken door internationale organisaties.

2.5     D&F houdt een register bij van alle categorieën van verwerkingsactiviteiten die hij ten behoeve van de Klant heeft verricht en verricht. Dit register bevat in ieder geval de in artikel 30 lid 2 AVG genoemde gegevens. Het register wordt desgevraagd door D&F ter beschikking gesteld aan de toezichthoudende autoriteit en de Klant.

Artikel 3         Beveiliging

3.1     D&F legt passende technische en organisatorische maatregelen, met inachtneming van artikel 32 AVG, ten uitvoer om de Persoonsgegevens te beveiligen tegen verlies en tegen enige vorm van onbevoegde onrechtmatige verwerking daarvan. Bedoelde maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van de Persoonsgegevens te voorkomen.

3.2     D&F zal de getroffen maatregelen actief en regelmatig monitoren en evalueren. Indien nodig zal D&F de beveiligingsmaatregelen aanpassen en/of verbeteren voor zover de toepasselijke wet- en/of regelgeving op het gebied van de bescherming van Persoonsgegevens dan wel (technologische) ontwikkelingen daartoe aanleiding geven.

Artikel 4         Geheimhouding

4.1     D&F verplicht zich tot geheimhouding van de Persoonsgegevens. Deze verplichting lijdt uitzondering, indien en voor zover D&F krachtens de wet gehouden is tot bekendmaking of mededeling van de Persoonsgegevens.

4.2     Ingeval D&F krachtens de wet verplicht wordt tot bekendmaking of mededeling van de Persoonsgegevens, zal zij Klant voorafgaand aan die bekendmaking daarvan onverwijld op de hoogste stellen onder overlegging van ter zake relevante stukken, tenzij de wet dit verbiedt.

4.3.    D&F is gehouden de voor haar uit de artikel 4.1 en 4.2 voortvloeiende verplichting eveneens op te leggen aan Medewerkers.

4.4     D&F garandeert en staat er jegens Klant voor in dat onbevoegd personeel geen toegang heeft tot de Persoonsgegevens en/of gegevensverwerkende toepassingen.

Artikel 5         Vernietiging van Persoonsgegevens

5.1     Zodra Klant daarom verzoekt, is D&F gehouden tot vernietiging van de Persoonsgegeven door onder meer: (a) Alle gegevensdragers – voor zover deze geen bestanddeel vormen van computerapparatuur, waarop de Persoonsgegeven zijn vastgelegd, alsmede alle reproducties of verveelvoudigingen daarvan, aan Klant of door deze aan te wijzen derde af te geven; (b) Alle Persoonsgegevens vastgelegd op gegevensdragers – voor zover deze bestanddeel vormen van computerapparatuur – definitief te (doen) wissen dan wel voor een ieder onleesbaar, onbruikbaar of ontoegankelijk te maken en zulks op eerste verzoek schriftelijk te (doen) bevestigen aan Klant.

Artikel 6         (sub)-verwerkers

6.1     D&F is bevoegd, slechts uitsluitend met voorafgaande specifieke, schriftelijke toestemming van de Klant, derden als (sub-) verwerker bij de verwerking van persoonsgegevens in te schakelen.

6.2     D&F verplicht zich aan (sub-)verwerkers dezelfde verplichtingen op te leggen als de welke voor D&F uit de Verwerkingsovereenkomst en voor een verwerker uit de AVG voortvloeien, zulks met inachtneming van het bepaalde in artikel 28 lid 4 AVG.

6.3     D&F staat jegens Klant in voor de nakoming door Sub-verwerkers van de in artikel 6.2 bedoelde verplichtingen.

Artikel 7         Inbreuk in verband met Persoonsgegevens 

7.1     Indien D&F ontdekt dat sprake is of is geweest van een inbreuk in verband met Persoonsgegevens, is D&F gehouden tot: (a) onverwijlde mededeling daarvan aan Klant onder opgaaf van aard, omvang en (mogelijke) gevolgen van de inbreuk voor de bescherming van Persoonsgegevens; (b) het treffen van redelijkerwijs te verlangen maatregelen ter voorkoming of beperking van ernstig nadelige gevolgen voor de bescherming van Persoonsgegevens.

7.2.    D&F verleent Klant alle mogelijke bijstand bij het vervullen van diens verplichtingen met betrekking tot een (mogelijk) beveiligingsincident en/of datalek. D&F zal ten allen tijde haar medewerking verlenen en zal de redelijke instructies van Klant opvolgen, met als doel Klant in staat te stellen een deugdelijk onderzoek te verrichten naar de inbreuk, een correct respons te formuleren en passende vervolgstappen te nemen ten aanzien van de inbreuk. Voert de Autoriteit Persoonsgegevens of enige ander toezichthoudende instantie bij de Klant een onderzoek uit naar de inbreuk dan legt een dergelijke instantie een boete of andere maatregel op, of wordt een boete of maatregel aangezegd, dan zal D&F de Klant hierover steeds direct informeren en geïnformeerd houden, en hierover alle relevante informatie verstrekken, alsmede D&F in de gelegenheid stellen (als dan niet via de Klant, zulks in onderling overleg tussen Partijen te bepalen daarbij in acht genomen hetgeen volgens wet- en regelgeving mogelijk is) direct bij genoemd onderzoek te zijn en verweer te voeren tegen een aangezegde boete of maatregel, een en ander voor zover het onderzoek, boete en/of maatregel D&F op groen van wet- en regelgeving dan wel doe verwerkingsovereenkomst (mede) betreft.

7.3     In het geval D&F op de hoogte raakt van een (mogelijk) beveiligingsincident en/of datalek, zal hij de Klant daarvan onverwijld, doch uiterlijk binnen 24 uur nadat D&F bekend is geworden met het (mogelijke) beveiligingsincident en/of datalek, informeren, naar aanleiding waarvan de Klant – zo nodig – onverwijld de toezichthoudende autoriteit en betrokkene(n) zal informeren.

7.4     De melding van een (mogelijk) beveiligingsincident en/of datalek door D&F  aan de Klant behelst in ieder geval het melden van het feit dat er (mogelijk) een beveiligingsincident en/of datalek, waaronder begrepen (maar niet beperkt tot) diefstal, verlies, verminking dan wel ongeoorloofd gebruik, met betrekking tot de persoonsgegevens is geweest, alsmede: - de aard en (vermeende) oorzaak van het (mogelijk) beveiligingsincident en/of datalek; - de (mogelijk) getroffen persoonsgegevens; - de vastgestelde en verwachte gevolgen van het (mogelijke) beveiligingsincident en/of datalek; - de maatregelen die D&F  heeft getroffen en zal treffen om de gevolgen te verhelpen dan wel te beperken.

7.5     D&F zal in overleg met Klant alle benodigde maatregelen treffen die nodig zijn om de (mogelijke) schade te beperken en zal Klant ondersteunen bij eventuele meldingen aan de toezichthoudende autoriteiten en betrokkenen

Artikel 8         Rechten betrokkenen

8.1     D&F verleent de Klant alle mogelijke bijstand bij het vervullen van diens verplichting om verzoeken tot uitoefening van de rechten van betrokkene(n) te beantwoorden.

8.2.    Indien D&F een verzoek ontvangt van een Betrokkene, dan zal D&F dit verzoek onverwijld doorgeleiden naar Klant die het verzoek – met bijstand van D&F – zal afhandelen.

Artikel 9         Informatie en controle

9.1     Indien Klant daarom verzoekt, verstrekt D&F alle informatie die redelijkerwijs nodig is om aan te tonen dat D&F de voor haar uit de Verwerkeringsovereenkomst voortvloeiende verplichtingen nakomt.

9.2     Klant heeft het recht om op eigen kosten een audit te laten uitvoeren ter controle op de nakoming van de voor D&F uit de Verwerkingsovereenkomst voortvloeiende verplichtingen, doch uitsluitend indien Klant gegronde redenen heeft om te vermoeden dat D&F in de nakoming van die verplichtingen tekort schiet. Een audit zal niet eerder plaatsvinden dan nadat Klant (i) D&F schriftelijk en onder opgaaf van redenen van het hiervoor bedoelde vermoeden in kennis heeft gesteld, en (ii) D&F gedurende een redelijk termijn van tenminste veertien dagen in de gelegenheid heeft gesteld dat vermoeden te weerleggen.

Artikel 10       Aansprakelijkheid en vrijwaring

10.1   D&F is uitsluitend aansprakelijk voor schade (onder schade zijn mede begrepen van overheidswege opgelegde (niet-contractuele) boetes en kosten) van Klant, welke het rechtstreekse gevolg is van een aan D&F toerekenbare tekortkoming in de nakoming van voor haar uit de Verwerkingsovereenkomst voortvloeiende verplichtingen.

10.2   Hetgeen in de Opdracht omtrent aansprakelijkheid is bepaald, inclusief de aldaar opgenomen aansprakelijkheidsbeperkingen, is op het bepaalde artikel 10.1 van toepassing, tenzij daarvan in de Verwerkingsovereenkomst uitdrukkelijk wordt afgeweken.

Artikel 11       Wijziging of Aanpassing Verwerkingsovereenkomst

11.1   Een aanpassing of wijziging van de Verwerkeringsovereenkomst zal uitsluitend schriftelijk geschieden en worden vastgelegd in een door of namens elk van Partijen te ondertekenen akte, die als bijlage aan de Verwerkeringsovereenkomst zal worden gehecht en daarvan onderdeel zal uitmaken.

11.2   Indien nieuwe wet- en regelgeving daartoe aanleiding geeft kan D&F van Klant en de Klant van D&F verlangen dat zij haar medewerking verleent aan het aanpassen van deze Verwerkingsovereenkomst aan de alsdan ontstane situatie.

Artikel 12       Gelding, duur  en beëindiging

12.1   Deze Verwerkingsovereenkomst vormt een aanvulling op de Opdracht en is aangegaan voor dezelfde duur als de Opdracht.

12.2   D&F zal bij beëindiging van de Verwerkingsovereenkomst en na een verzoek tot overdracht van de Persoonsgegevens de nog aanwezige Persoonsgegevens verwijderen en de Klant hiervan op verzoek een schriftelijke bevestiging sturen of zodanig aanpassen dat zij niet meer te herleiden zijn, tenzij een langere bewaartermijn wettelijk verplicht is.

Artikel 13.      Toepasselijk recht / Bevoegde rechter

13.1   Op deze Verwerkersovereenkomst is Nederlands recht van toepassing

13.2   Alle geschillen die ontstaan naar aanleiding van deze Verwerkersovereenkomst worden op een zelfde wijze beslecht als in de Algemene voorwaarden is opgenomen. Deze Algemene Voorwaarden worden meegestuurd met onze aanbiedingen en kunt u terug vinden op onze website www.denf.nl

Namens D&F Consulting B.V.

Getekend te BREDA op 18 mei 2018

BIJLAGE 1

A. Categorieën Betrokkenen

De personen waarop de Persoonsgegevens betrekking hebben zijn in ieder geval:

• Werknemers van Klant

B. Soort Persoonsgegevens 

De Persoonsgegevens die door D&F kunnen worden verwerkt zijn in ieder geval:

• Voornaam, Achternaam en e-mailadres

C. Doelen van de verwerking 

De Persoonsgegevens worden door D&F voor de navolgende doelen verwerkt

• D&F verwerkt de gegevens die u bij uw kennismaking, informatieaanvraag of inschrijving op onze producten en/of diensten aan ons doorgeeft.
• Voor de voorbereiding en uitvoering van overeenkomsten zoals offertes, projectadministratie, deelname aan onze opleidingen en congressen en de praktische zaken rondom trainingen, coachingstrajecten en adviestrajecten of Online Barometer of via E-Learning trajecten.
• Om u op de hoogte te houden van onze (nieuwe) diensten, trainingen, bijeenkomsten en ontwikkelingen binnen uw vakgebied, rechtstreeks, maar ook door campagnes via Social Media;
• Om een aanbod op maat te maken houdt D&F rekening met de voorkeuren door u aangegeven en met de door u vooraf gegeven toestemming.

Gegevensverzameling Online Barometer Veiligheidsklimaat 

Deze online tool is ontwikkeld door Spellbound Internet Solutions.

Enkel alleen e-mailadressen worden in dit systeem geïmporteerd.

Onderzoek is geheel anoniem

In de rapportage worden de antwoorden op de Segmentatievragen niveau weergegeven.

E. Gegevens Sub-Bewerkers

Spellbound Internet Solutions             AFAS Online

www.spellbound.nl                              www.afas.nl

Thinkific Labs Inc.

https://www.thinkific.com/privacy-policy/

F. Contactgegevens

Sonja van der Wegen - Slond

HR Officer / Privacy coordinator

076 5040340 / 0612179261

[email protected]

https://www.denf.nl/service/privacy/