Normec Kalsbeek verwerkt onder andere persoonsgegevens voor en in opdracht van de klant omdat de klant een opdracht tot levering van producten en/of diensten en/of een dienstverleningsovereenkomst met Normec Kalsbeek heeft. Normec Kalsbeek en de klant zijn daarom verplicht volgens de Algemene Verordening Gegevensbescherming (AVG) om een Verwerkersovereenkomst te sluiten.
Omdat Normec Kalsbeek standaard producten en standaard dienstverlening levert, hanteert Normec Kalsbeek een standaard verwerkersovereenkomst voor al haar klanten. Normec Kalsbeek is in deze de ‘verwerker’ en de klant de ‘verwerkingsverantwoordelijke’. Deze verwerkersovereenkomst geldt gedurende de looptijd van de opdracht of overeenkomst klant en Normec Kalsbeek.
Normec Kalsbeek en de klant verplichten zich over en weer om de Algemene Verordening Gegevensbescherming (AVG) na te leven. Voor de definities van begrippen wordt aangesloten bij de AVG. Normec Kalsbeek zal de persoonsgegevens alleen verwerken voor en in opdracht van de klant en om uitvoering te geven aan de opdracht of overeenkomst.
De verwerking bestaat uit het vastleggen en raadplegen van de door de klant aangeleverde gegevens (zoals gegevens van contactpersonen van de klant) en/of uit het beschikbaar stellen van de T@pper applicatie met de door de klant aangeleverde of ingevoerde data. Normec Kalsbeek zal daarin alleen gegevens toevoegen, aanpassen of verwijderen indien dit met de klant is overeengekomen.
Binnen de T@pper applicatie, die Normec Kalsbeek beschikbaar stelt, zijn verschillende soorten persoonsgegevens vast te leggen. Normec Kalsbeek is zich ervan bewust dat de klant al deze persoonsgegevens kan invoeren en dat Normec Kalsbeek deze dan zal verwerken. De klant is zelf verantwoordelijk voor de beoordeling of het doel en aard van de verwerking past bij de dienstverlening die Normec Kalsbeek doet.
Normec Kalsbeek is zich bewust dat de informatie die de klant met Normec Kalsbeek deelt en/of binnen T@pper opslaat, een geheim en bedrijfsgevoelig karakter heeft. Alle Normec Kalsbeek medewerkers zullen gedurende hun dienstverband en daarna, zoals in hun arbeidsovereenkomst met geheimhoudingsclausule is opgenomen, op verantwoorde wijze met de informatie van de klant omgaan.
Alle medewerkers van Normec Kalsbeek die voor de uitoefening van hun functie, inzage nodig hebben in de door de klant aangeleverde persoonsgegevens, hebben toegang tot deze gegevens.
Daarnaast hebben systeembeheerders van T@pper volledige toegang tot de gegevens in T@pper voor:
Adviseurs en Supportmedewerkers hebben toegang tot de klantgegevens voor:
Normec Kalsbeek neemt blijvend passende technische en organisatorische maatregelen om de persoonsgegevens van de klant te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking. Deze maatregelen worden aangemerkt als een passend beveiligingsniveau in de zin van de AVG. De klant is gerechtigd om in overleg met Normec Kalsbeek tijdens de looptijd van de overeenkomst door een onafhankelijke deskundige de naleving hiervan te controleren, bijvoorbeeld door middel van het uitvoeren van een audit. De klant zal alle kosten in verband met deze controle dragen.
Indien de Autoriteit Persoonsgegevens aan de verwerkersverantwoordelijke een bindende aanwijzing zal geven dient de klant Normec Kalsbeek direct op de hoogte stellen van deze bindende aanwijzing. Normec Kalsbeek zal er alles aan doen wat in redelijkheid van haar verwacht kan worden om de naleving mogelijk te maken. Als Normec Kalsbeek niet doet wat in redelijkheid van haar gevraagd kan worden waardoor er een boete volgt, of als de Autoriteit Persoonsgegevens direct een boete oplegt omdat sprake is van opzet of ernstige verwijtbare nalatigheid aan de kant van Normec Kalsbeek, dan geldt de toepasselijke aansprakelijkheidsbeperking als hiervoor genoemd in het hoofdstuk Aansprakelijkheid niet.
Normec Kalsbeek verwerkt de klantdata in datacenters van AFAS Software, Newcomm IT, Vidicom SP Z O O en Microsoft en deze zijn hiermee subverwerker. De datacenters waar Normec Kalsbeek gebruik van maakt bevinden zich uitsluitend binnen de Europese Unie en voldoen aan de strenge Nederlandse en Europese wetgeving met betrekking tot logische en fysieke toegangsbeveiliging en continuïteit. De datacenters zijn minimaal ISO 27001 gecertificeerd. De (persoons)gegevens worden door Normec Kalsbeek en de subverwerkers uitsluitend verwerkt binnen de Europese Economische ruimte.
Normec Kalsbeek zal geen nieuwe subverwerkers gegevens laten verwerken zonder de klant daarover tijdig te informeren. De klant kan bezwaar maken bij Normec Kalsbeek tegen de subverwerker. Normec Kalsbeek zal deze bezwaren op directieniveau afhandelen. Mocht Normec Kalsbeek toch gegevens willen laten verwerken door de nieuwe subverwerker, heeft de klant de mogelijkheid om de overeenkomst te beëindigen.
Normec Kalsbeek heeft geen zeggenschap over de persoonsgegevens die door de klant beschikbaar worden gesteld. Zonder noodzaak, gezien de aard van de door de klant verstrekte opdracht, expliciete toestemming van de klant of wettelijke verplichting zal Normec Kalsbeek de gegevens niet aan derden verstrekken of voor andere doeleinden verwerken, dan voor de overeengekomen doeleinden. De klant garandeert dat de persoonsgegevens verwerkt mogen worden op basis van een in de AVG genoemde grondslag.
De klant is verantwoordelijk voor de ingevoerde gegevens van de betrokkenen en daarbij voor het informeren en bijstaan van de rechten van de betrokkenen. Normec Kalsbeek zal nooit op verzoeken van betrokkenen ingaan en altijd verwijzen naar de verantwoordelijke. Normec Kalsbeek zal, voor zover mogelijk, haar medewerking verlenen aan de klant zodat deze kan voldoen aan zijn wettelijke verplichtingen in het geval dat een betrokkene haar rechten uitoefent op grond van de AVG of andere toepasselijke regelgeving betreffende de verwerking van persoonsgegevens.
De AVG vereist dat eventuele datalekken gemeld worden aan de Autoriteit Persoonsgegevens door de verwerkingsverantwoordelijke van de data. Normec Kalsbeek zal daarom zelf geen meldingen doen bij de Autoriteit Persoonsgegevens. Uiteraard zal Normec Kalsbeek de klant juist, tijdig en volledig informeren over relevante incidenten, zodat de klant als verwerkingsverantwoordelijke aan zijn wettelijke verplichtingen kan voldoen. De Beleidsregels meldplicht datalekken van de Autoriteit Persoonsgegevens geven hierover meer informatie.
Indien de klant een (voorlopige) melding verricht bij de Autoriteit Persoonsgegevens en/of de betrokkene(n) over een datalek bij Normec Kalsbeek, zonder dat de klant dit vooraf heeft besproken met Normec Kalsbeek, dan is de klant aansprakelijk voor door Normec Kalsbeek geleden schade en kosten. De klant is daarnaast verplicht een dergelijke melding direct in te trekken.
Voor het bepalen van een datalek, gebruikt Normec Kalsbeek de AVG en de Beleidsregels meldplicht datalekken als leidraad.
Indien blijkt dat bij Normec Kalsbeek sprake is van een beveiligingsincident of datalek zal Normec Kalsbeek de klant daarover zo spoedig mogelijk informeren nadat Normec Kalsbeek bekend is geworden met het datalek. Om dit te realiseren zorgt Normec Kalsbeek ervoor dat al haar medewerkers in staat zijn en blijven om een datalek te constateren en verwacht Normec Kalsbeek van haar opdrachtnemers dat zij Normec Kalsbeek in staat stelt om hier aan te kunnen voldoen. Voor de duidelijkheid: als er een datalek is bij een leverancier van Normec Kalsbeek, dan meldt Normec Kalsbeek dit uiteraard ook. Normec Kalsbeek is het contactpunt voor de klant. De klant hoeft geen contact op te nemen met de leveranciers van Normec Kalsbeek.
In eerste instantie zal Normec Kalsbeek de contactpersoon van de opdrachtgever informeren over een datalek. Mocht deze contactpersoon niet (meer) de juiste zijn, dan dient de klant dit aan Normec Kalsbeek te melden.
Normec Kalsbeek probeert de klant direct alle informatie te verstrekken die de klant nodig heeft om een eventuele melding bij de Autoriteit Persoonsgegevens en/of de betrokkene(n) te verrichten.
De AVG geeft aan dat er ‘onverwijld’ gemeld moet worden. Dit is volgens de Autoriteit Persoonsgegevens zonder onnodige vertraging en zo mogelijk niet later dan 72 uur na ontdekking ervan door de verantwoordelijke. Indien er een beveiligingsincident optreed zal Normec Kalsbeek de klant zo snel mogelijk, maar uiterlijk binnen 72 uur na het ontdekken door Normec Kalsbeek ervan, informeren. De klant zal zelf de beoordeling moeten maken of het beveiligingsincident valt onder de term ‘datalek’ en of er melding aan de Autoriteit Persoonsgegevens gedaan zal moeten worden. De klant heeft hiervoor 72 uur, nadat de klant hiervan op de hoogte is gesteld, de tijd.
Normec Kalsbeek zal de klant op de hoogte houden over de voortgang en de maatregelen die getroffen worden. Normec Kalsbeek maakt hierover afspraken met de primaire contactpersoon bij de initiële melding. In ieder geval houdt Normec Kalsbeek de klant op de hoogte in geval van een wijziging van de situatie, het bekend worden van nadere informatie en over de maatregelen die getroffen worden. Normec Kalsbeek registreert alle security incidenten en handelt deze volgens een vaste procedure af.
Op verzoek van klant zal Normec Kalsbeek na afloop van de overeenkomst of indien de klant daar eerder toe verzoekt, alle klantgegevens verwijderen, rekening houdend met de wettelijke bewaartermijnen. Op verzoek van klant zal Normec Kalsbeek alle vastgelegde klantgegevens middels exports of rapportages beschikbaar stellen.
Stuur uw gegevens naar onze specialist en we nemen zo spoedig
mogelijk contact op met u. Of bel ons op +31 (0) 592 35 00 00