Menu

Verwerkingsvoorwaarden

Versie 1.2 - 22 januari 2024

Deze Verwerkingsvoorwaarden (‘Verwerkingsvoorwaarden’) zijn van toepassing op het leveren van diensten door GPTW Nederland B.V. (‘GPTW’) aan haar klanten (‘Klant’) zoals beschreven in en in het kader van de Offerte (‘Offerte’) welk is gesloten met de Klant. Op de Offerte zijn naast de Verwerkingsvoorwaarden ook de Algemene Voorwaarden van toepassing.

In het kader van het leveren van de diensten zoals omschreven in de Offerte zal GPTW persoonsgegevens verwerken ten behoeve van de Klant. Voor de verwerking van persoonsgegevens door GPTW ten behoeve en ten gunste van de Klant zal GPTW optreden als verwerker (‘Verwerker’). De Klant zal optreden als verwerkingsverantwoordelijke (‘Verwerkingsverantwoordelijke’) zoals bedoeld in AVG (hieronder gedefinieerd). GPTW en de Klant worden ieder afzonderlijk hierna ook wel ‘Partij’ en gezamenlijk ‘Partijen’ genoemd.

Aangezien de Partijen ten opzichte van elkaar als Verwerkingsverantwoordelijke en Verwerker kwalificeren, zijn Partijen verplicht om conformiteit met artikel 28 AVG te waarborgen. Deze Verwerkingsvoorwaarden strekken ertoe de verplichtingen op grond van artikel 28 AVG tussen GPTW en de Klant te waarborgen.

 

1. Definities

Niet met een hoofdletter geschreven definities die in deze Verwerkingsvoorwaarden die in de AVG zijn gedefinieerd, zoals "verwerking" en "betrokkene", hebben dezelfde betekenis als in de AVG. Verder zullen, in aanvulling hierop, de volgende definities gelden:

  • Algemene Verordening Gegevensbescherming (AVG): Verordening 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG.

  • Bijlage: een bijlage bijgevoegd bij deze Verwerkingsvoorwaarden die integraal onderdeel uitmaakt van deze Verwerkingsvoorwaarden.

  • Toepasselijk Recht: het toepasselijk recht van de Europese Unie of een ander land binnen de Europese Economische Ruimte (‘EER’).

  • Medewerkers: personen die werkzaam zijn voor de Verwerkingsverantwoordelijke of de Verwerker, ofwel op basis van een dienstverband ofwel ingeschakeld op andere basis, waaronder op basis van een tijdelijk contract.

  • Sub-Verwerkers: verwerkers die zijn ingeschakeld door de Verwerker om de (gedeeltelijke) gegevensverwerking uit te voeren die de Verwerker uitvoert ten behoeve van de Verwerkingsverantwoordelijke.

  • Derde Land: een land buiten de EER of een internationale organisatie.

  • Doorgifte: persoonsgegevens die verwerkt worden in of toegankelijk zijn vanuit een Derde Land.

 

2. Privacy posities en de hoofdverplichtingen van Partijen

Privacy posities. Voor de verwerking van persoonsgegevens door GPTW ten behoeve en ten gunste van de Klant, zal GPTW optreden als Verwerker ten behoeve van de Klant die optreedt als de Verwerkingsverantwoordelijke. Als een bevoegde toezichthoudende autoriteit of rechterlijke instantie desalniettemin een ander besluit neemt met betrekking tot de privacy positie van Partijen, zal de Verwerkingsverantwoordelijke alle kosten dragen in verband met de onjuiste privacy kwalificatie van Partijen, met inbegrip van enige toegekende schadevergoeding en opgelegde boetes, voor zover de Verwerker in overeenstemming met deze Verwerkingsvoorwaarden heeft gehandeld.

Verwerkingsverantwoordelijke. De Verwerkingsverantwoordelijke is verantwoordelijk voor het waarborgen dat de verwerking van persoonsgegevens plaatsvindt in overeenstemming met de AVG (zie artikel 24 van de AVG), de toepasselijke gegevensbeschermingsbepalingen onder het Toepasselijk Recht en deze Verwerkingsvoorwaarden. De Verwerkingsverantwoordelijke heeft het recht en de verplichting om beslissingen te nemen over het doel en de middelen van de verwerking van persoonsgegevens die onder deze Verwerkingsvoorwaarden vallen. De Verwerkingsverantwoordelijke zal verantwoordelijk zijn voor, onder meer, het waarborgen dat de verwerking van persoonsgegevens, die de Verwerker geïnstrueerd wordt om uit te voeren, een grondslag heeft onder de AVG.

Verwerker:

  • Gedocumenteerde instructies. De Verwerker zal de persoonsgegevens slechts verwerken op basis van de gedocumenteerde instructies van de Verwerkingsverantwoordelijke zoals gespecificeerd in de Bijlagen – waaronder in het bijzonder Bijlage 1 betreffende de details van de gegevensverwerking – tenzij de wetgeving waaraan de Verwerker is onderworpen anderszins vereist dat persoonsgegevens worden verwerkt, in welk geval de Verwerker de Verwerkingsverantwoordelijke hierover informeert voor zover het verstrekken van dergelijke informatie niet verboden is.

  • Interne processen. Partijen erkennen hierbij dat GPTW als verwerkingsverantwoordelijke optreedt voor de verwerking van persoonsgegevens in het kader van bepaalde interne processen zoals het waarborgen van de naleving van regels en voorschriften die op GPTW van toepassing zijn, risicobeheer en risicomanagement, de eigen interne financiële boekhouding, en IT-gerelateerde en andere administratieve ondersteunende processen binnen GPTW; deze verwerkingsdoeleinden vallen buiten de werkingssfeer van deze Verwerkingsvoorwaarden.

  • Latere instructies. Latere instructies kunnen door de Verwerkingsverantwoordelijke worden gegeven gedurende de gehele duur van de verwerking van persoonsgegevens in het kader van de Offerte, maar deze instructies zullen steeds schriftelijk - waaronder elektronisch - worden vastgelegd en bewaard. Dit geldt ook voor verzoeken of instructies die op deze Verwerkingsvoorwaarden zijn gebaseerd. Indien de instructies niet stroken met, direct in strijd zijn met of buiten de reikwijdte van deze Verwerkingsvoorwaarden vallen, zullen deze instructies worden opgenomen in een schriftelijk addendum bij de Offerte, ondertekend en gedocumenteerd door beide Partijen. Afhankelijk van het soort instructie, kan de Verwerker besluiten dat het tevens noodzakelijk is om de onderliggende Offerte te wijzigen.

  • Onrechtmatige instructies. De Verwerker zal onverwijld de Verwerkingsverantwoordelijke informeren als instructies die zijn gegeven door de Verwerkingsverantwoordelijke, naar de mening van de Verwerker strijdig zijn met AVG of andere gegevensbeschermingsbepalingen onder het Toepasselijk Recht waaraan de Verwerker onderworpen is. In dat geval, heeft de Verwerkingsverantwoordelijke vier (4) weken om diens geschreven instructies te herzien die door de Verwerker onrechtmatig worden geacht. Als de Verwerkingsverantwoordelijke de herziene instructies niet binnen de voornoemde vier (4) weken heeft verstrekt of indien de Verwerker de herziene instructies tevens in strijd acht met de AVG of gegevensbeschermingsbepalingen onder het Toepasselijk Recht waaraan de Verwerker is onderworpen, heeft de Verwerker het recht (het betreffende deel van) de Offerte te beëindigen.

 

3. Bijstand aan de Verwerkingsverantwoordelijke

Bijstand. De Verwerker zal de Verwerkingsverantwoordelijke bijstand verlenen om diens verplichtingen onder de AVG na te komen, voor zover vereist onder artikel 28 lid 3 sub e en 28 lid 3 sub f AVG, en zoals gespecificeerd in Bijlage 4.

Kosten. De Verwerker is gerechtigd om de Verwerkingsverantwoordelijke de redelijke kosten in rekening te brengen die zij maakt voor de implementatie van de maatregelen waarnaar in deze bepaling van de Verwerkingsvoorwaarden wordt verwezen, voor zover deze additionele kosten redelijkerwijs niet vallen onder de standaardkosten die Verwerker maakt voor de uitvoering van haar diensten.

 

4. Gebruik van Sub-Verwerkers

Algemene machtiging. De Verwerker dient aan de in artikel 28 lid 2 en 4 AVG genoemde eisen te voldoen om een andere verwerker (een Sub-Verwerker) in te schakelen. De Verwerkingsverantwoordelijke verstrekt de Verwerker hierbij algemene schriftelijke toestemming om Sub-Verwerkers in te schakelen. De lijst van Sub-Verwerkers waarvoor ten tijde van het sluiten van deze Privacy Voorwaarde algemeen toestemming is verstrekt, is opgenomen in Bijlage 3.

Wijziging van Sub-Verwerkers. De Verwerker zal de Verwerkingsverantwoordelijke ten minste dertig (30) dagen vóór de verwerking van persoonsgegevens door een nieuwe Sub-Verwerker ten behoeve van de Verwerkingsverantwoordelijke, informeren over enige voorgenomen veranderingen betreffende de toevoeging of wijziging van Sub-Verwerkers. De Verwerkingsverantwoordelijke heeft de mogelijkheid om gedurende vijftien (15) dagen na ontvangst van de kennisgeving schriftelijk bezwaar te maken tegen de wijziging van een Sub-Verwerker onder vermelding van "Ik maak bezwaar tegen [...]". Indien de Verwerkingsverantwoordelijke bezwaar maakt tegen de voorgestelde nieuwe Sub-Verwerker, zullen Partijen met elkaar in overleg treden over een oplossing die door beide Partijen aanvaardbaar wordt geacht. Indien Partijen niet tot een dergelijke oplossing komen, heeft de Verwerkingsverantwoordelijke het recht om het deel van de Offerte dat betrekking heeft op diensten die de Verwerker zonder de diensten van de door de Verwerkingsverantwoordelijke gewraakte nieuwe Sub-Verwerker niet kan verrichten, te beëindigen. Indien de Verwerkingsverantwoordelijke niet binnen de bezwaartermijn van vijftien (15) dagen bezwaar heeft gemaakt tegen de voorgenomen wisseling van de Sub-Verwerker, wordt de Verwerkingsverantwoordelijke geacht schriftelijk toestemming te hebben verleend voor de verwerking van persoonsgegevens door de nieuwe Sub-Verwerker ten behoeve van de Verwerkingsverantwoordelijke.

Verwerkersovereenkomst Sub-Verwerker. Indien de Verwerker een Sub-Verwerker inschakelt voor het uitvoeren van specifieke verwerkingsactiviteiten namens de Verwerkingsverantwoordelijke, zal de Verwerker ervoor zorgen dat deze Sub-Verwerker zich er middels een overeenkomst toe verbindt hetzelfde niveau van gegevensbeschermingsverplichtingen te waarborgen als onder deze Verwerkingsvoorwaarden worden vereist, voor zover relevant in het kader van de dienstverlening van desbetreffende Sub-Verwerker.

Aansprakelijkheid. Als een Sub-Verwerker zijn gegevensbeschermingsverplichtingen niet nakomt, zal de Verwerker volledig aansprakelijk blijven ten opzichte van de Verwerkingsverantwoordelijke met betrekking tot de nakoming van de verplichtingen van de Sub-Verwerker. Dit laat de rechten van de betrokkenen uit hoofde van de AVG onverlet, met name die onder artikel 79 en 82 van de AVG.

 

5. Grensoverschrijdende doorgiften

Gedocumenteerde instructies. Enige Doorgifte zal altijd plaatsvinden overeenkomstig Hoofdstuk V van de AVG. Doorgiften vinden alleen plaats op basis van gedocumenteerde instructies van de Verwerkingsverantwoordelijke, tenzij anderszins verplicht op grond van het Toepasselijk Recht waaraan de Verwerker is onderworpen.

Doorgifte mechanisme. De instructies van de Verwerkingsverantwoordelijke voor Doorgifte, met inbegrip van, indien van toepassing, het doorgifte-instrument uit hoofde van hoofdstuk V van de AVG waarop de doorgifte is gebaseerd, zijn opgenomen in deze Verwerkingsvoorwaarden (zie Bijlage 3 m.b.t. de Sub-Verwerkers). Indien het geen Derde Land betreft waarvoor de Europese Commissie heeft vastgesteld dat het een passend niveau van gegevensbescherming biedt, zal de doorgifte anderszins worden gelegitimeerd, zoals door middel van de modelcontracten van de Europese Commissie ter legitimering van doorgifte (C(2021) 3972). In dat geval zal worden beoordeeld of en - zo ja - hoe de wetgeving of de praktijk van het betrokken Derde Land afbreuk kan doen aan de doeltreffendheid van de passende waarborgen van het doorgifte-instrument waarop een beroep wordt gedaan. Indien dit het geval is, zullen aanvullende maatregelen worden getroffen om te waarborgen dat het beschermingsniveau van de doorgegeven persoonsgegevens voldoet aan de vereisten die daarvoor gelden onder hoofdstuk V van de AVG.

Wijzigingen in doorgiftemechanismen. Indien de Verwerkingsverantwoordelijke of Verwerker zich beroept op een specifiek wettelijk mechanisme om de doorgifte te legitimeren en dit mechanisme vervolgens wordt gewijzigd, ingetrokken of door een bevoegde rechter ongeldig wordt verklaard, komen Partijen overeen te goeder trouw samen te werken om de doorgifte te beëindigen of de doorgifte op alternatieve wijze te legitimeren.

 

6. Vertrouwelijkheid

Geheimhoudingsplicht. De Verwerker verleent alleen op een ‘need-to-know basis’ toegang aan zijn Medewerkers tot persoonsgegevens die ten behoeve van de Verwerkingsverantwoordelijke worden verwerkt, welke Medewerkers zich tot geheimhouding hebben verplicht of onder een passende wettelijke geheimhoudingsplicht vallen.

 

7. Beveiliging van de verwerking

Adequate beveiligingsmaatregelen. Partijen evalueren de aan de verwerking inherente risico's voor de rechten en vrijheden van natuurlijke personen en nemen passende maatregelen om die risico's te beperken. Voor zover relevant, zijn de maatregelen zoals vermeld in artikel 32, lid 1, van de AVG in overweging genomen:

  • Pseudonimisering en encryptie van persoonsgegevens;

  • het vermogen om de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen en -diensten permanent te waarborgen;

  • het vermogen om in geval van een fysiek of technisch incident de beschikbaarheid van en de toegang tot persoonsgegevens tijdig te herstellen;

  • een proces voor het regelmatig testen, beoordelen en evalueren van de doeltreffendheid van technische en organisatorische maatregelen om de beveiliging van de verwerking te waarborgen.

Mede gelet op de stand van de techniek, de uitvoeringskosten en de aard, omvang, context en het doel van de verwerking alsook met de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van natuurlijke personen, hebben Partijen bepaald dat de Verwerker de in Bijlage 2 omschreven beveiligingsmaatregelen zal toepassen met betrekking tot zijn verwerking van persoonsgegevens ten behoeve van de Verwerkingsverantwoordelijke. Naar het oordeel van de Verwerkingsverantwoordelijke bieden deze beveiligingsmaatregelen een beveiligingsniveau dat is afgestemd op het risico dat inherent is aan de verwerking van de door de Verwerker ten behoeve van de Verwerkingsverantwoordelijke verwerkte persoonsgegevens, rekening houdend met de in dit artikel genoemde factoren.

De Verwerker is gerechtigd de door haar getroffen beveiligingsmaatregelen aan te passen voor zover het maatregelen betreft die eenzelfde of hoger niveau van gegevensbeveiliging waarborgen. De Verwerker documenteert de desbetreffende aanpassingen.

 

8.     Audit en inspectie

Audits. De Verwerkingsverantwoordelijke zal passende auditcontroles uitvoeren, de toegang tot applicaties en systemen beperken en aldus misbruik of compromittering daarvan voorkomen.

Aanvullende audit. De Verwerker stelt de Verwerkingsverantwoordelijke maximaal één (1) keer per jaar in de gelegenheid om periodiek de naleving van deze Verwerkingsvoorwaarden en de bepalingen uit het Toepasselijk Recht die van toepassing zijn op de verwerking door de Verwerker ten behoeve van de Verwerkingsverantwoordelijke, te controleren. Deze periodieke controle beperkt zich tot de beantwoording door de Verwerker van vragen van de Verwerkingsverantwoordelijke over de naleving door de Verwerker van de Toepasselijke Wetgeving met betrekking tot gegevensbescherming en, waar nodig, het door de Verwerkingsverantwoordelijke mogen ondervragen van de IT-medewerker(s) van de Verwerker.

Aanvullende maatregelen. De Partijen zullen zo snel mogelijk met elkaar overleggen over de uitkomsten van een audit. De Verwerker zal de voorgestelde maatregelen ter verbetering uitvoeren voor zover deze naar haar oordeel passend zijn, rekening houdend met de aan haar product of dienst verbonden verwerkingsrisico's, de stand van de techniek, de kosten van uitvoering, de markt waarop zij actief is en het beoogde gebruik van het product of de dienst.

Kosten. De Verwerker is gerechtigd om de Verwerkingsverantwoordelijke de redelijke kosten in rekening te brengen die zij maakt voor de implementatie van de maatregelen waarnaar in deze bepaling van de Verwerkingsvoorwaarden wordt verwezen, voor zover deze additionele kosten redelijkerwijs niet vallen onder de standaardkosten die Verwerker maakt voor de uitvoering van haar diensten.

 

9. Melding van een datalek

Melding aan Verwerkingsverantwoordelijke. In het geval van een datalek zal de Verwerker onverwijld na daarvan kennis te hebben genomen, uiterlijk binnen 24 uur, de Verwerkingsverantwoordelijke daarvan in kennis te stellen, teneinde de Verwerkingsverantwoordelijke in staat te stellen te voldoen aan de verplichting van de Verwerkingsverantwoordelijke om een datalek te melden aan de bevoegde toezichthoudende autoriteit overeenkomstig artikel 33 van de AVG.

Melding aan toezichthoudende autoriteit. De Verwerker zal de Verwerkingsverantwoordelijke bijstaan in het melden van het datalek aan de bevoegde toezichthoudende autoriteit, inhoudende dat de Verwerker zal helpen bij het verkrijgen van de informatie die moet worden ingevuld in het door de bevoegde toezichthoudende autoriteit gebruikte of anderszins door die autoriteit vereiste meldingsformulier voor datalekken, voor zover de Verwerkingsverantwoordelijke technisch niet in staat is die informatie zonder de hulp van de Verwerker te verkrijgen.

Beoordeling meldplicht. Het is aan de Verwerkingsverantwoordelijke om te beoordelen of een datalek moet worden gemeld aan een bevoegde toezichthoudende autoriteit en/of de betrokkene(n). Het is ook de verantwoordelijkheid van de Verwerkingsverantwoordelijke om een datalekregister bij te houden overeenkomstig artikel 33(5) van de AVG.

Kosten. De Verwerker is gerechtigd om de Verwerkingsverantwoordelijke de redelijke kosten in rekening te brengen die zij maakt ter uitvoering van de verplichtingen waarnaar in deze bepaling van de Verwerkingsvoorwaarden wordt verwezen, voor zover deze additionele kosten redelijkerwijs niet vallen onder de standaardkosten die Verwerker maakt voor de uitvoering van haar diensten.

 

10. Toepasselijkheid

Toepasselijkheid. Deze Verwerkingsvoorwaarden zijn van toepassing vanaf het moment waarop de onderliggende Offerte van kracht, met name door ondertekening daarvan door de Klant.

Duur. Deze Verwerkingsvoorwaarden zijn van toepassing voor de duur dat de Verwerker ten behoeve van de Verwerkingsverantwoordelijke persoonsgegevens verwerkt in het kader van de Offerte.

Beëindiging. Deze Verwerkingsvoorwaarden zijn niet meer van toepassing als de dienstverlening van de Verwerker aan de Verwerkingsverantwoordelijke is geëindigd, en als de Verwerker en/of enige van diens Sub-Verwerkers – waar toepasselijk – niet langer persoonsgegevens verwerkt ten behoeve van de Verwerkingsverantwoordelijke in de context van de Offerte en bijbehorende voorwaarden. Beëindiging van de toepasselijkheid van de Verwerkingsvoorwaarden heeft geen invloed op enig deel van deze Verwerkingsvoorwaarden dat uitdrukkelijk of impliciet bedoeld is om bij beëindiging van kracht te worden of te blijven, zoals vertrouwelijkheidsverplichtingen.

 

11. Verwijdering en retournering van gegevens

Verwijdering. Bij beëindiging van de Offerte zal de Verwerker alle persoonsgegevens die zij op dat moment bewaart en die zij van de Verwerkingsverantwoordelijke heeft verkregen binnen zestig (60) dagen verwijderen of vernietigen, zodanig dat de persoonsgegevens niet meer gebruikt kunnen worden en ontoegankelijk zijn gemaakt. Op verzoek van de Verwerkingsverantwoordelijke zal de Verwerker de persoonsgegevens in een machineleesbaar formaat aan de Verwerkingsverantwoordelijke retourneren alvorens deze te verwijderen.

Kosten. De Verwerker is gerechtigd om de Verwerkingsverantwoordelijke de redelijke kosten in rekening te brengen die zij maakt ter uitvoering van de verplichtingen waarnaar in deze bepaling van de Verwerkingsvoorwaarden wordt verwezen, voor zover deze additionele kosten redelijkerwijs niet vallen onder de standaardkosten die Verwerker maakt voor de uitvoering van haar diensten.

 

12. Vrijwaring

Vrijwaring. De Verwerkingsverantwoordelijke vrijwaart de Verwerker voor aanspraken van derden op grond van schade die zij lijden doordat de Verwerkingsverantwoordelijke de AVG of andere wet- of regelgeving niet naleeft. De vrijwaring geldt niet alleen voor de schade die derden mochten hebben geleden (zowel materieel als immaterieel), maar ook voor de kosten die de Verwerker in verband daarmee moet maken, bijvoorbeeld in een eventuele gerechtelijke procedure, en voor de kosten van eventuele boetes die aan de Verwerker worden opgelegd als gevolg van het handelen of nalaten van de Verwerkingsverantwoordelijke.

Voorwaardelijkheid. Voorwaarde voor schadeloosstelling is dat de schadeloos te stellen Partij (i) de andere Partij onverwijld in kennis stelt van een vordering, en (ii) de andere Partij redelijke medewerking en bijstand verleent bij de verdediging van een dergelijke vordering.

 

13. Overige bepalingen

Rangorde. Deze Verwerkingsvoorwaarden heeft voorrang op alle soortgelijke bepalingen in andere overeenkomsten tussen Partijen, met inbegrip van de Algemene Voorwaarden die van toepassing zijn op de Offerte.

Scheidbaarheid. Indien een bepaling van deze Verwerkingsvoorwaarden ongeldig wordt bevonden, wordt daarmee de geldigheid van de overige bepalingen van deze Verwerkingsvoorwaarden niet aangetast. Partijen zullen dan in overleg treden om gezamenlijk een nieuwe bepaling op te stellen ter vervanging van de ongeldig bevonden bepaling. Deze vervangende bepaling zal zoveel mogelijk in de geest van de ongeldig bevonden bepaling zijn.

Toepasselijk recht en jurisdictie. Op deze Verwerkingsvoorwaarden is Nederlands recht van toepassing. Alle geschillen die voortvloeien uit of verband houden met deze Verwerkingsvoorwaarden, al dan niet op grond van onrechtmatige daad, contract of anderszins, zullen uitsluitend worden voorgelegd aan de bevoegde rechter te Amsterdam, Nederland.

 

Bijlage 1: Details over de verwerking

Het/de doeleind(en) van de gegevensverwerking door de Verwerker ten behoeve van de Verwerkingsverantwoordelijke is/zijn:

Verwerkingsverantwoordelijke heeft er belang bij om te weten wat er onder de medewerkers leeft. Dit vloeit voort uit de wens om de kwaliteit van het organisatiemanagement en het ‘werkklimaat‘ voor de medewerkers van Verwerkingsverantwoordelijke te verbeteren (‘ter promotie van goed werkgeverschap’).

De gegevensverwerking door de Verwerker ten behoeve van de Verwerkingsverantwoordelijke ziet hoofdzakelijk op (de aard van de verwerking):

Het meten de kwaliteit van het organisatiemanagement en het ‘werkklimaat‘ onder alle medewerkers in de landen waar de Verwerkingsverantwoordelijke vestigingen heeft.

De verwerking bevat de volgende typen persoonsgegevens van de betrokkenen:

Naam (voornaam, achternaam), e-mail adres, positie in de rapportagestructuur (veelal in lijn met de positie in de organisatiestructuur), geslacht, categorie leeftijd, categorie lengte dienstverband, categorie type dienstverband, categorie hiërarchische positie, categorie belangrijkste motivator voor werk.

De verwerking betreft de volgende categorieën van betrokkenen:

Medewerkers.

De gegevensverwerking door de Verwerker ten behoeve van de Verwerkingsverantwoordelijke mag worden uitgevoerd wanneer de onderliggende Offerte getekend is en de Verwerkingsvoorwaarden van toepassing zijn. De verwerking heeft de volgende duur:

Persoonsgegevens worden gedurende maximaal een jaar opgeslagen, waarna de persoonsgegevens automatisch worden gewist door de Verwerker. Op verzoek van de Verwerkingsverantwoordelijke worden de persoonsgegevens tussentijds eerder gewist.

Bevoegde toezichthoudende autoriteit

De Autoriteit Persoonsgegevens is de bevoegde toezichthoudende autoriteit.

 

Bijlage 2: Beveiliging

GPTW heeft technische en organisatorische maatregelen geïmplementeerd om haar producten en diensten te beschermen, rekening houdend met de aard, de reikwijdte, de context en het doel van de verwerking, alsmede met de risico’s voor de rechten en vrijheden van natuurlijke personen. GPTW heeft onder meer de volgende maatregelen genomen.

Informatiebeveiliging certificeringen:

GPTW vindt het belangrijk om aantoonbaar te voldoen aan internationale eisen voor informatiebeveiliging. GPTW is gecertificeerd volgens NEN-ISO/IEC 27001:2013. Het certificaat is hier raad te plegen.

Technische maatregelen:

GPTW heeft onder andere de volgende technische maatregelen geïmplementeerd:

  • GPTW maakt gebruik van beveiligd berichtenverkeer. Uitgaande berichten worden versleuteld verstuurd om de veiligheid en vertrouwelijkheid van de inhoud van de berichten te waarborgen.

  • Binnen de surveytool en rapportagetool worden persoonsgegevens opgeslagen in een aparte dataset. Deze dataset wordt binnen 1 jaar vanaf het moment dat de persoonsgegevens worden verwerkt verwijderd.

  • Back-ups van onze database(s) vinden continu plaats.

  • Alle gegevens in transit, tussen componenten van onze applicaties, zijn versleuteld.

  • Alle gegevens worden versleuteld opgeslagen in onze databases.

  • Administratoren hebben alleen toegang tot de applicaties en systemen via een beveiligd netwerk.

  • Persoonsgegevens die wij ontvangen tijdens het login proces zijn versleuteld en worden verstuurd over beveiligde verbindingen.

  • Gebruikers van ons platform maken gebruik van Multi-Factor Authenticatie.

  • We hebben een procedure geïmplementeerd om persoonsgegevens te verwijderen als dit wordt verzocht door gebruikers.

Organisatorische maatregelen:

GPTW heeft de volgende organisatorische maatregelen geïmplementeerd:

  • Personen in dienst van GPTW nemen jaarlijks deel aan een privacy en security awareness trainingen.

  • GPTW heeft een Security Officer aangesteld die binnen de organisatie verantwoordelijk is voor informatiebeveiliging.

  • GPTW heeft processen ingericht voor het periodiek toetsen van de geïmplementeerde technische en organisatorische maatregelen. Daarnaast wordt er jaarlijks een audit uitgevoerd door een onafhankelijke auditor.

  • Medewerkers van GPTW hebben een rol toegewezen gekregen. Op basis van de toegewezen rollen worden rechten (bijvoorbeeld toegangsrechten) in de GPTW systemen toegewezen. De rollen en toegewezen rechten worden gedocumenteerd en periodiek geëvalueerd.

  • Medewerkers zijn gebonden aan geheimhouding. Dit is opgenomen in de arbeidsovereenkomst tussen GPTW en de betreffende medewerker.

  • GPTW heeft een informatiebeveiligingsbeleid en een document met de meest belangrijke informatiebeveiligingsprocessen (Redbook) opgesteld.

  • Alle informatiebeveiligingsincidenten worden geregistreerd en afgehandeld door de Security Officer van GPTW.

Privacy by design and by default:

  • GPTW heeft een algemene risicoanalyse uitgevoerd op de verwerking van persoonsgegevens in zijn surveytool. GPTW evalueert deze risicoanalyse periodiek en in ieder geval bij wijzigingen met mogelijke gevolgen voor de risico's van de verwerking.

 

Bijlage 3: Geautoriseerde subverwerkers

Goedgekeurde Subverwerkers

Bij aanvang van de Verwerkingsvoorwaarden, autoriseert de Verwerkingsverantwoordelijke de Verwerker om de volgende Sub-Verwerkers opgenomen in onderstaand schema voor de gegevensverwerking in te schakelen.

Volledige juridische naam

KVK-nummer

Adres

Beschrijving gegevensverwerking

Metricality AB

Org No: 559243-1844

Löjtnantsgatan 8 A lgh 1301, 211 50 Malmö, Zweden

Email: info@metricality.Io
VAT: SE559243184401

Metricality AB is eigenaar van het platform Waves. Waves biedt als platform de functionaliteit om surveys uit te zetten en de antwoorden daaruit te kunnen analyseren. Het uitzetten van de survey gebeurt via de (zakelijke) emailadressen van de medewerkers van de Klant. Daarnaast verwerkt Metricality AB persoonsgegevens, in de vorm van e-mailadressen, om mensen toegang te geven tot het platform. Metricality AB heeft zelf toegang tot de systemen voor support, troubleshooting en onderhoud.

Zivver B.V.

KvK: 64894665

Koningin Wilhelminaplein 30 1062 KR Amsterdam Nederland

Zivver levert software om beveiligd data te delen tussen de Verwerkersverantwoordelijke en de Verwerker.

Microsoft Ireland Operations Limited

Reg. No: 256796

70 Sir John Rogerson's Quay, Dublin 2,

Dublin, D02R296

Verwerker maakt voor het opslaan van bestanden gebruik van Microsoft OneDrive.

Great Place To Work Institute Inc. (GPTW Inc.)

TIN: 91-1917672

1999 Harrison Street, Suite 2070 Oakland, CA 94612

GPTW Inc. is eigenaar van het platform Emprising. Emprising biedt als platform de functionaliteit om surveys uit te zetten en de antwoorden daaruit te kunnen analyseren. Het uitzetten van de survey kan via de (zakelijke) emailadressen van de medewerkers van de Klant. Daarnaast verwerkt GPTW Inc. persoonsgegevens, in de vorm van e-mailadressen, om mensen toegang te geven tot het platform. GPTW Inc. heeft zelf toegang tot de systemen voor support, troubleshooting en onderhoud. GPTW Inc. is SOC2 Certified en opgenomen in het Data Privacy Framework.

 

Bijlage 4: Bijstand

Rechten van betrokkenen. Rekening houdend met de aard van de verwerking zal de Verwerker de Verwerkingsverantwoordelijke met passende technische en organisatorische maatregelen bijstaan, voor zover dit mogelijk is, bij de nakoming van de verplichtingen van de Verwerkingsverantwoordelijke om te reageren op verzoeken tot uitoefening van de rechten van de betrokkene die zijn neergelegd in hoofdstuk III van de AVG. Dit houdt in dat de Verwerker:

  • verzoeken die Verwerker van betrokkenen heeft ontvangen in verband met zijn verwerking van persoonsgegevens ten behoeve van de Verwerkingsverantwoordelijke (automatisch) zonder onnodige vertraging doorstuurt, voor zover de Verwerker nog geen toegang heeft tot een dergelijk verzoek;

  • de Verwerkingsverantwoordelijke op haar verzoek zonder onnodige vertraging informatie zal verstrekken over de verwerking die plaatsvindt, die nodig is om aan een verzoek van een betrokkene te voldoen, voor zover de Verwerkingsverantwoordelijke technisch niet in staat is deze informatie zonder de hulp van de Verwerker te verkrijgen;

  • bepaalde persoonsgegevens te rectificeren, te wissen of te beperken om aan een verzoek van een betrokkene te voldoen, voor zover de Verwerkingsverantwoordelijke technisch niet in staat is deze handeling zonder de hulp van de Verwerker te verrichten.

De Verwerker zal, rekening houdend met de aard van de verwerking en de informatie waarover de Verwerker beschikt, de Verwerkingsverantwoordelijke bijstaan bij de naleving van zijn volgende verplichtingen onder de AVG:

  • Gegevensbeveiliging. De verplichting van de Verwerkingsverantwoordelijke volgens artikel 32 van de AVG, zoals gespecificeerd in deze Verwerkingsvoorwaarden.

  • Datalekmelding. De meldplicht van de Verwerkingsverantwoordelijke als beschreven in artikelen 33 en 34 van de AVG. De verplichtingen van de Verwerker in dit verband zijn gespecificeerd in bepaling 9 van de Verwerkingsvoorwaarden.

  • Gegevensbeschermingseffectbeoordeling. De verplichting van de Verwerkingsverant-woordelijke om een beoordeling van de impact op de bescherming van persoonsgegevens ten aanzien van voorgenomen gegevensverwerkingen uit te voeren: gegevensbeschermingseffectbeoordelingen (‘DPIAs’). Dit houdt in dat de Verwerker op verzoek van de Verwerkingsverantwoordelijke antwoorden zal verstrekken op vragen die zijn gesteld in relatie tot DPIAs die de Verwerkingsverantwoordelijke uitvoert voor gegevensverwerkingen door de Verwerker ten behoeve van de Verwerkingsverantwoordelijke, voor zover de Verwerkingsverantwoordelijke niet in staat is om deze antwoorden te formuleren zonder aanvullende input van de Verwerker.

  • Voorafgaande raadpleging. De verplichting van de Verwerkingsverantwoordelijke tot voorafgaande raadpleging van de bevoegde toezichthoudende autoriteit, voorafgaand aan een gegevensverwerking wanneer uit een DPIA blijkt dat de verwerking resulteert in een hoog risico in afwezigheid van getroffen maatregelen om de relevante privacyrisico’s afdoende te mitigeren. Voor de duidelijkheid: een voorafgaande raadpleging vindt slechts plaats als de Verwerkingsverantwoordelijke dit noodzakelijk acht. In dat geval zal de Verwerker informatie verstrekken over diens verwerking van persoonsgegevens ten behoeve van de Verwerkingsverantwoordelijke, zoals verzocht door de bevoegde toezichthoudende autoriteit onder het Toepasselijk Recht in het kader van de voorafgaande raadpleging, voor zover de Verwerkingsverantwoordelijke niet in staat is om deze informatie te verstrekken zonder aanvullende input van de Verwerker.