Verwerkersstatement/ Data processor statement

Alles over privacy en data security

Voor klanten en websitebezoekers

• Privacy statement t.b.v. klanten en bezoekers van website
• Cookie policy

Voor deelnemers van onze opdrachtgevers

• Privacy statement voor deelnemers
• Verwerkersstatement (DPA)
• Data security FAQ
• Service Level Agreement

Let op: op verzoek van Opdrachtgever kan er een afwijkende Verwerkersovereenkomst opgesteld en ondertekend worden. In dat geval zullen de afspraken in die overeenkomst, dit statement overschrijven.

Algemene informatie

TrainTool BV (handelend onder de naam Faculty of Skills)
Hooghiemstraplein 152
3514 AZ Utrecht
KvK: 53801016

Voor vragen kan contact opgenomen worden met:

Functionaris Gegevensbescherming
Peter van der Reijden
Hooghiemstraplein 152
3514 AZ Utrecht
030-8906555
info@traintool.com

Omschrijving diensten

• TrainTool levert een online trainingsplatform ("TrainTool"), content en klassikale, telefonische en online training en coaching.
• TrainTool BV heeft een NEN/ISO 27001 certificering.
• Subverwerker TRUE BV (voor infrastructuur, hosting and management of hosting) is ISO27001 gecertificeerd. 
• TrainTool BV is Verwerker in de zin van de AVG. 

Overwegingen

• TrainTool BV - hierna te noemen Verwerker - stelt IT-diensten beschikbaar en verwerkt in dat kader (bijzondere) persoonsgegevens;
• Verwerker is ten aanzien van het opslaan en verwerken van de persoonsgegevens als Verwerker in de zin van artikel 4 van de AVG aan te merken;
• TrainTool BV legt -mede ter uitvoering van het bepaalde in art. 28, derde lid van de AVG- in dit Statement een aantal voorwaarden vast die van toepassing zijn in verband met de verwerking van persoonsgegevens. 

Artikel 1 Definities

In deze Verwerkers Statement hebben de volgende met een hoofdletter geschreven termen de volgende betekenis:

 

AP:	Autoriteit Persoonsgegevens
AVG:	Algemene Verordening Gegevensbescherming
Datalek:	een inbreuk op de beveiliging van Persoonsgegevens die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van, of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens
Overeenkomst:	de tussen Opdrachtgever en Verwerker gesloten overeenkomst, op grond waarvan Verwerker voor Opdrachtgever Persoonsgegevens zal Verwerken
Persoonsgegevens:	alle gegevens die direct of indirect herleidbaar zijn tot een natuurlijk persoon als bedoeld in artikel 4 van de AVG
Verwerken:	het verwerken van Persoonsgegevens als bedoeld in artikel 4 van de AVG
Verwerking:	de verwerking van Persoonsgegevens door Verwerker

 

Artikel 2 Opdrachtgever voor en Verwerker van de gegevens

Verwerker verwerkt in opdracht van opdrachtgever Persoonsgegevens bij de uitvoering van de (of: een) Overeenkomst. Op deze Verwerking zijn de bepalingen uit dit Verwerkersstatement van toepassing.
De Verwerking heeft betrekking op de volgende categorieën van betrokkenen van opdrachtgever:

• • Werknemers
  • Studenten
  • Docenten

De verwerking vindt plaats voor de volgende doeleinden en betreft de volgende categorieën van Persoonsgegevens:

 

Doeleinden:	(online) trainen en testen van communicatieve vaardigheden
Categorieën van persoonsgegevens:	naam, e-mailadres, telefoonnummer (voor deelnemers Skills Coaching), persoonlijk wachtwoord (one-way encrypted) en, tijdens gebruik, namen van trainingen die men volgt, antwoorden op oefeningen inclusief audiovisuele opnames, voortgangsgegevens, percentage afgeronde oefeningen, feedback en assessment scores

 

Verwerker verwerkt de Persoonsgegevens alleen ten behoeve van de in dit Verwerkersstatement en/of de Overeenkomst genoemde activiteiten. Verwerker zal op geen andere wijze gebruik maken van de Persoonsgegevens, tenzij de opdrachtgever daarvoor uitdrukkelijk en schriftelijk toestemming heeft gegeven, of een wettelijke bepaling de Verwerker daartoe verplicht. In dat geval laat de Verwerker aan de opdrachtgever, voorafgaand aan de Verwerking, weten om welk wettelijk voorschrift het gaat, tenzij die wetgeving zich daartegen verzet.

Artikel 3. Algemene zorgplicht Verwerker

Verwerker zorgt voor de naleving van dit Verwerkersstatement en de wettelijke regels (zoals de AVG) die op Verwerker van toepassing zijn. Als opdrachtgever daarom vraagt, zal Verwerker opdrachtgever informeren over de acties en maatregelen die Verwerker heeft genomen in het kader van deze algemene zorgplicht van Verwerker.

 

Artikel 4. Technische en organisatorische voorzieningen

Verwerker zal passende technische en organisatorische maatregelen (laten) nemen om Persoonsgegevens te beveiligen tegen verlies of onrechtmatige Verwerking. Verwerker zal er hierbij voor zorgdragen dat het beveiligingsniveau is afgestemd op de risico’s. Daarbij zal rekening worden gehouden met de stand van de techniek en de kosten van de beveiligingsmaatregelen.
Verwerker zal in ieder geval maatregelen nemen om Persoonsgegevens te beveiligen tegen vernietiging, tegen toevallig en opzettelijk verlies, vervalsing, niet toegelaten verspreiding of toegang, dan wel tegen enige andere vorm van onrechtmatige Verwerking.
Verwerker is gecertificeerd volgens de meest recente versie van de NEN / ISO 27001 norm. Wanneer de huidige versie van deze norm ingetrokken wordt en een nieuwe versie van kracht wordt, zal Verwerker zo spoedig mogelijk aan de nieuwe norm voldoen. Indien nodig zal Verwerker zich opnieuw laten certificeren.
Verwerker zal opdrachtgever helpen bij het nakomen van de beveiligingsverplichtingen die op opdrachtgever zelf rusten.
Verwerker zal op verzoek een document aanleveren waarin de technische en organisatorische maatregelen die Verwerker heeft genomen, staan vermeld. 

 

Artikel 5. Vertrouwelijkheid

Verwerker heeft al haar medewerkers, die betrokken zijn bij de uitvoering van de Overeenkomst, een geheimhoudingsverklaring – al dan niet voortvloeiend uit of opgenomen in de arbeidsovereenkomst met die medewerkers – laten tekenen waarin in ieder geval is opgenomen dat deze medewerkers geheimhouding moeten betrachten ten aanzien van de Persoonsgegevens. Verwerker neemt alle nodige maatregelen, zoals screening van medewerkers en beveiliging van gegevensdragers en computernetwerken, om te garanderen dat deze geheimhoudingsplicht wordt nagekomen.

 

Artikel 6. Gegevensverwerking buiten de Europese Economische Ruimte (EER)

Verwerker verwerkt de Persoonsgegevens niet buiten de EER.

 

Artikel 7. Subverwerkers

Verwerker mag gebruik maken van subverwerkers.
Verwerker maakt in ieder geval, maar niet uitsluitend, gebruik van TRUE BV en Google Cloud als subverwerker. TRUE BV is subverwerker van persoonsgegevens en het hosten van de infrastructuur, hosting en management daarvan. Google Cloud slaat de data en de backups daarvan op in een datacenter dat in Nederland (Eemshaven) gehuisvest is. Google en TRUE BV zijn ISO 27001  gecertificeerd. 
Verwerker verplicht haar subverwerkers contractueel de geheimhoudingsverplichtingen, meldingsverplichtingen en beveiligingsmaatregelen na te leven met betrekking tot de Verwerking van Persoonsgegevens welke verplichtingen en maatregelen minimaal dienen te voldoen aan het bepaalde in dit Verwerkers Statement.

 

Artikel 8. Inbreuk in verband met Persoonsgegevens (Datalek)

Indien Verwerker kennis krijgt van een Datalek zal zij

• • opdrachtgever daarvan, zonder onredelijke vertraging nadat Verwerker op de hoogte is geraakt van het bestaan van het Datalek, op de hoogte stellen en 
  • alle redelijke maatregelen nemen om (verdere) schending van de AVG te voorkomen en/of te beperken.

Bij het nemen van de hiervoor genoemde maatregelen zal Verwerker zich waar mogelijk onthouden van het nemen van maatregelen die onomkeerbaar zijn en/of een onderzoek naar de oorzaken van het Datalek ernstig belemmeren.
Verwerker zal haar medewerking verlenen aan opdrachtgever en zal opdrachtgever ondersteunen in het uitvoeren van haar wettelijke verplichtingen ten aanzien van het geconstateerde incident.
Verwerker zal opdrachtgever ondersteunen bij de op opdrachtgever rustende meldplicht ten aanzien van de inbreuk in verband met Persoonsgegevens bij de Autoriteit Persoonsgegevens en/of de betrokkene, zoals bedoeld in artikel 33 lid 3 en 34 lid 1 van de AVG. Verwerker zal zich onthouden van het zelfstandig verrichten van een melding van een inbreuk in verband met Persoonsgegevens bij de AP en/of de betrokkene.

 

Artikel 9. Bijstand aan Opdrachtgever

Onder de AVG heeft de betrokkene een aantal rechten, waaronder het recht op inzage (art. 15 AVG), rectificatie (art. 16 AVG), gegevenswissing (art. 17 AVG), beperking (art. 18 AVG), overdraagbaarheid (art. 20 AVG) en het recht van bezwaar (art. 21 en 22 AVG). Opdrachtgever moet verzoeken om uitoefening van die rechten beantwoorden en Verwerker zal Opdrachtgever daar voor zover redelijkerwijs mogelijk bij ondersteunen. Zo zal Verwerker een klacht of verzoek van een betrokkene zo snel mogelijk doorsturen naar opdrachtgever.
Verwerker zal opdrachtgever, voor zover redelijkerwijs mogelijk, ondersteunen bij het nakomen van haar plicht onder de AVG om een gegevensbeschermingseffectbeoordeling (art. 35 en 36 AVG) uit te voeren.
Verwerker zal de opdrachtgever alle informatie ter beschikking stellen die nodig is om aan te tonen dat Verwerker voldoet aan haar verplichtingen onder de AVG. Voorts zal Verwerker op verzoek van opdrachtgever audits, waaronder inspecties, door opdrachtgever of een door opdrachtgever gemachtigde partij mogelijk maken en eraan bijdragen. Opdrachtgever zal tijdig aan Verwerker aangeven dat, en wanneer, hij gebruik zal maken van dit auditrecht. Het aantal audits is beperkt tot maximaal één per jaar.
Verwerker mag haar redelijke kosten voor de bijstand genoemd in dit artikel aan opdrachtgever in rekening brengen.

 

Artikel 10. Beëindiging & Varia

Ten aanzien van beëindiging van dit Verwerkersstatement gelden de specifieke bepalingen uit de Overeenkomst die TrainTool BV en opdrachtgever hebben gesloten. Onverminderd de specifieke bepalingen uit deze Overeenkomst, zal de Verwerker op eerste verzoek van de Opdrachtgever alle Persoonsgegevens wissen of deze aan hem terugbezorgen, en bestaande kopieën verwijderen, tenzij Verwerker wettelijk verplicht is de Persoonsgegevens op te slaan.
Opdrachtgever zal Verwerker adequaat informeren over (wettelijke) bewaartermijnen die van toepassing zijn op de Verwerking van Persoonsgegevens voor Verwerker. Verwerker zal de Persoonsgegevens niet langer Verwerken dan overeenkomstig deze bewaartermijnen.
De verplichtingen uit dit Verwerkersstatement die naar hun aard bestemd zijn om beëindiging te overleven, blijven ook na beëindiging van dit Verwerkersstatement van kracht.