Data Processing Agreement
Deze verwerkersovereenkomst (DPA) regelt de verwerking van persoonsgegevens door Better Desk als verwerker namens uw organisatie als verwerkingsverantwoordelijke, conform de Algemene Verordening Gegevensbescherming (AVG/GDPR).
Definities
In deze verwerkersovereenkomst wordt verstaan onder:
AVG
De Algemene Verordening Gegevensbescherming (EU) 2016/679.
Persoonsgegevens
Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon.
Verwerking
Elke bewerking met betrekking tot persoonsgegevens, zoals verzamelen, vastleggen, ordenen, bewaren, wijzigen, opvragen, raadplegen, gebruiken, verstrekken of vernietigen.
Verwerkingsverantwoordelijke
De Klant die het doel en de middelen voor de verwerking van persoonsgegevens vaststelt.
Verwerker
Better Desk B.V., die persoonsgegevens verwerkt namens de Verwerkingsverantwoordelijke.
Betrokkene
De natuurlijke persoon op wie de persoonsgegevens betrekking hebben.
Subverwerker
Een derde partij die door de Verwerker wordt ingeschakeld voor de verwerking van persoonsgegevens.
Datalek
Een inbreuk op de beveiliging die leidt tot vernietiging, verlies, wijziging of ongeoorloofde toegang tot persoonsgegevens.
Onderwerp en Duur
2.1 Onderwerp
Deze verwerkersovereenkomst heeft betrekking op de verwerking van persoonsgegevens door Better Desk in het kader van het leveren van de Better Desk applicatie voor IT asset management, documentgeneratie en digitale handtekeningen.
2.2 Aard van de verwerking
De verwerking omvat het opslaan, raadplegen, wijzigen en verwijderen van persoonsgegevens ten behoeve van asset tracking, documentgeneratie, ondertekening en gebruikersbeheer.
2.3 Doel van de verwerking
De verwerking vindt uitsluitend plaats ten behoeve van de uitvoering van de dienstverlening zoals beschreven in de hoofdovereenkomst en de Algemene Voorwaarden.
2.4 Duur
Deze overeenkomst is van kracht zolang de hoofdovereenkomst van kracht is. Na beëindiging blijven de bepalingen met betrekking tot vertrouwelijkheid en gegevensverwijdering van toepassing.
Soorten Persoonsgegevens
De volgende categorieën persoonsgegevens kunnen worden verwerkt:
Identificatiegegevens
Naam, e-mailadres, functie, afdeling
Accountgegevens
Gebruikersnaam, profielfoto, authenticatietokens
Organisatiegegevens
Organisatienaam, locatie, afdelingen
Asset-gerelateerde gegevens
Asset toewijzingen, overdrachtshistorie
Documentgegevens
Gegenereerde documenten, ondertekeningen
Technische gegevens
IP-adressen, apparaat-ID's, browsertype
Locatiegegevens
GPS-coördinaten bij ondertekening (met toestemming)
Audit logs
Gebruikersacties, tijdstempels, wijzigingen
Let op: Better Desk verwerkt geen bijzondere categorieën persoonsgegevens (zoals medische gegevens, religie, of strafrechtelijke gegevens) tenzij uitdrukkelijk overeengekomen met aanvullende beveiligingsmaatregelen.
Categorieën Betrokkenen
De persoonsgegevens hebben betrekking op de volgende categorieën betrokkenen:
- Medewerkers van de Verwerkingsverantwoordelijke
Gebruikers die toegang hebben tot Better Desk binnen de organisatie
- IT-beheerders
Beheerders die de Better Desk omgeving configureren en beheren
- Ontvangers van assets
Personen aan wie IT-apparatuur wordt overgedragen
- Ondertekenaars
Personen die documenten digitaal ondertekenen
- Contactpersonen
Personen vermeld in documenten of overdrachten
Verplichtingen van de Verwerker
Better Desk verbindt zich tot de volgende verplichtingen:
Verplichtingen Verwerkingsverantwoordelijke
De Verwerkingsverantwoordelijke garandeert dat:
- De verwerking van persoonsgegevens geschiedt op basis van een geldige rechtsgrond
- Betrokkenen adequaat zijn geïnformeerd over de verwerking van hun gegevens
- De instructies aan de Verwerker in overeenstemming zijn met de AVG
- Adequate beveiligingsmaatregelen worden genomen aan de kant van de organisatie
- Medewerkers zijn geïnstrueerd over het veilig gebruik van de applicatie
Subverwerkers
7.1 Toestemming
De Verwerkingsverantwoordelijke geeft hierbij algemene toestemming aan Better Desk om subverwerkers in te schakelen voor de verwerking van persoonsgegevens.
7.2 Voorwaarden
Better Desk waarborgt dat subverwerkers gebonden zijn aan dezelfde of strengere verplichtingen als opgenomen in deze overeenkomst.
7.3 Actuele lijst
Een actuele lijst van subverwerkers is beschikbaar op onze website. Wijzigingen worden minimaal 30 dagen van tevoren aangekondigd.
Bekijk subverwerkers7.4 Bezwaar
De Verwerkingsverantwoordelijke kan bezwaar maken tegen een nieuwe subverwerker binnen 14 dagen na kennisgeving. Bij gegrond bezwaar zal Better Desk de subverwerker niet inschakelen of een alternatieve oplossing bieden.
Beveiligingsmaatregelen
Better Desk heeft de volgende technische en organisatorische maatregelen geïmplementeerd:
Versleuteling
- TLS 1.3 voor data in transit
- AES-256 voor data at rest
- Versleutelde backups
Toegangscontrole
- OAuth 2.0 authenticatie
- Role-based access control
- Multi-factor authenticatie
Infrastructuur
- ISO 27001 gecertificeerde datacenters
- Firewall en DDoS bescherming
- Fysieke toegangsbeveiliging
Monitoring
- 24/7 systeem monitoring
- Automatische foutdetectie
- Audit logging
Personeel
- Geheimhoudingsverklaringen
- Security awareness training
- Beperkte toegang op need-to-know basis
Continuïteit
- Dagelijkse backups
- Disaster recovery plan
- 99.9% uptime SLA
Melding van Datalekken
9.1 Meldingstermijn
Better Desk meldt een datalek aan de Verwerkingsverantwoordelijke zonder onredelijke vertraging en waar mogelijk binnen 24 uur na ontdekking.
9.2 Inhoud melding
De melding bevat minimaal:
- Aard van het datalek en getroffen categorieën gegevens
- Geschat aantal betrokkenen en gegevensrecords
- Contactgegevens voor meer informatie
- Beschrijving van waarschijnlijke gevolgen
- Beschrijving van genomen of voorgestelde maatregelen
9.3 Bijstand
Better Desk verleent alle redelijke medewerking aan de Verwerkingsverantwoordelijke bij het onderzoek naar het datalek en eventuele meldingen aan de toezichthouder of betrokkenen.
Rechten van Betrokkenen
Better Desk ondersteunt de Verwerkingsverantwoordelijke bij het afhandelen van verzoeken van betrokkenen met betrekking tot:
Better Desk informeert de Verwerkingsverantwoordelijke onverwijld over ontvangen verzoeken en verleent medewerking bij de afhandeling binnen de wettelijke termijnen.
Audit en Controle
11.1 Auditrecht
De Verwerkingsverantwoordelijke heeft het recht om audits uit te voeren of te laten uitvoeren om de naleving van deze overeenkomst te controleren.
11.2 Voorwaarden
- Audits worden minimaal 30 dagen van tevoren aangekondigd
- Audits vinden plaats tijdens normale werkuren
- De auditor is gebonden aan geheimhouding
- Kosten van de audit zijn voor rekening van de Verwerkingsverantwoordelijke
11.3 Certificeringen
Better Desk kan certificeringen of auditrapporten van externe partijen beschikbaar stellen als alternatief voor of aanvulling op een audit.
Beëindiging en Gegevensverwijdering
12.1 Exportmogelijkheid
Gedurende 30 dagen na beëindiging van de overeenkomst heeft de Verwerkingsverantwoordelijke de mogelijkheid om alle persoonsgegevens te exporteren in een gangbaar, machineleesbaar formaat.
12.2 Verwijdering
Na afloop van de exportperiode worden alle persoonsgegevens permanent verwijderd, inclusief alle kopieën en backups, tenzij wettelijke bewaartermijnen anders vereisen.
12.3 Bevestiging
Op verzoek verstrekt Better Desk een schriftelijke bevestiging van de verwijdering van alle persoonsgegevens.
Aansprakelijkheid
13.1 Eigen aansprakelijkheid
Elke partij is aansprakelijk voor schade voortvloeiend uit eigen handelen of nalaten in strijd met de AVG of deze overeenkomst.
13.2 Beperking
De aansprakelijkheid van Better Desk is beperkt conform de bepalingen in de Algemene Voorwaarden, tenzij sprake is van opzet of grove schuld.
13.3 Vrijwaring
Partijen vrijwaren elkaar voor claims van derden (inclusief betrokkenen en toezichthouders) die voortvloeien uit een schending van de AVG door de andere partij.
Contact en Slotbepalingen
14.1 Contactpersoon
Voor vragen over deze verwerkersovereenkomst of gegevensbescherming:
14.2 Toepasselijk recht
Op deze overeenkomst is Nederlands recht van toepassing. Geschillen worden voorgelegd aan de bevoegde rechter in het arrondissement waar Better Desk is gevestigd.
14.3 Wijzigingen
Wijzigingen in deze overeenkomst zijn alleen geldig indien schriftelijk overeengekomen. Better Desk mag deze overeenkomst eenzijdig wijzigen indien nodig voor naleving van gewijzigde wetgeving, met 30 dagen vooraankondiging.
Ondertekend exemplaar nodig?
Heeft u een ondertekend exemplaar van deze verwerkersovereenkomst nodig voor uw administratie? Neem contact met ons op.
DPA aanvragen