Verwerkersovereenkomst
Laatst bijgewerkt: 9 februari 2025
1. Partijen en Toepassingsgebied
Deze Verwerkersovereenkomst ("DPA") maakt deel uit van de Algemene Voorwaarden tussen Secure Tenant ("Verwerker") en de Klant ("Verwerkingsverantwoordelijke") en regelt de verwerking van persoonsgegevens binnen de Microsoft 365 Tenantgegevens van de Klant. Deze DPA is aangegaan op grond van Artikel 28 van de Algemene Verordening Gegevensbescherming (EU) 2016/679 ("AVG").
2. Definities
Begrippen met een hoofdletter die hierin niet zijn gedefinieerd, hebben de betekenis die eraan is gegeven in de Algemene Voorwaarden of de AVG. Aanvullend:
- "Persoonsgegevens" — alle informatie met betrekking tot een geïdentificeerde of identificeerbare natuurlijke persoon binnen de Tenantgegevens.
- "Verwerking" — elke bewerking of elk geheel van bewerkingen met betrekking tot Persoonsgegevens, zoals gedefinieerd in Artikel 4(2) AVG.
- "Subverwerker" — elke derde partij die door de Verwerker is aangesteld om Persoonsgegevens te verwerken namens de Verwerkingsverantwoordelijke.
- "Datalek" — een inbreuk op de beveiliging die leidt tot de onopzettelijke of onrechtmatige vernietiging, verlies, wijziging, ongeoorloofde openbaarmaking van of toegang tot Persoonsgegevens.
- "Toezichthouder" — de Autoriteit Persoonsgegevens.
3. Onderwerp en Doel van de Verwerking
De Verwerker verwerkt Persoonsgegevens namens de Verwerkingsverantwoordelijke voor het volgende doel: geautomatiseerde, read-only beveiligingsbeoordeling en compliance-auditing van de Microsoft 365-omgeving van de Verwerkingsverantwoordelijke. De verwerking omvat het ophalen, analyseren en opslaan van beveiligingsconfiguraties, auditlogs en gebruikersmetadata om beveiligingsbeoordelingsrapporten en compliance-aanbevelingen te genereren.
4. Soorten Persoonsgegevens die worden Verwerkt
- Weergavenamen en e-mailadressen van gebruikers
- Gebruikersrollen, groepslidmaatschappen en licentietoewijzingen
- Multi-Factor Authenticatie (MFA) inschrijvingsstatus
- Auditloggegevens (tijdstempels, IP-adressen, user agent strings, activiteitsmetadata)
- Conditional Access-beleidsconfiguraties
- Mailflowregels (die e-mailadressen kunnen bevatten)
- Login- en aanmeldactiviteitsmetadata
5. Categorieën Betrokkenen
- Werknemers en medewerkers van de organisatie van de Verwerkingsverantwoordelijke
- Gastgebruikers en externe medewerkers in de tenant van de Verwerkingsverantwoordelijke
- Voor MSP-Klanten: werknemers en gebruikers van de beheerde klanten van de MSP
6. Duur van de Verwerking
De Verwerker verwerkt Persoonsgegevens gedurende de looptijd van de abonnementsovereenkomst. Bij beëindiging zijn de bepalingen van Sectie 13 (Verwijdering en Teruggave van Gegevens) van toepassing.
7. Verplichtingen van de Verwerkingsverantwoordelijke
De Verwerkingsverantwoordelijke zal:
- Gedocumenteerde instructies verstrekken voor de verwerking van Persoonsgegevens.
- Waarborgen dat er een rechtmatige grondslag is voor de verwerking en voor het doorgeven van Persoonsgegevens aan de Verwerker.
- De Verwerker informeren over ontvangen verzoeken van betrokkenen en de afhandeling coördineren.
- Een Gegevensbeschermingseffectbeoordeling (DPIA) uitvoeren waar vereist door Artikel 35 AVG.
- Waarborgen dat deze de administratieve bevoegdheid heeft om OAuth-toestemming te verlenen voor elke tenant die wordt ingediend voor scanning.
- Voor MSP-Verwerkingsverantwoordelijken: gedocumenteerde autorisatie bewaren van elke beheerde klant voor het scannen van diens tenant.
8. Verplichtingen van de Verwerker
De Verwerker zal, in overeenstemming met Artikel 28(3) AVG:
- (a) Persoonsgegevens alleen verwerken op basis van gedocumenteerde instructies van de Verwerkingsverantwoordelijke, tenzij vereist door EU- of lidstaatrecht.
- (b) Waarborgen dat personen die bevoegd zijn om Persoonsgegevens te verwerken, gebonden zijn door vertrouwelijkheidsverplichtingen.
- (c) Passende technische en organisatorische beveiligingsmaatregelen implementeren zoals beschreven in Bijlage: Beveiligingsmaatregelen.
- (d) Voldoen aan de voorwaarden voor het inschakelen van subverwerkers zoals uiteengezet in Sectie 9.
- (e) De Verwerkingsverantwoordelijke bijstaan bij het afhandelen van verzoeken van betrokkenen (inzage, rectificatie, verwijdering, overdraagbaarheid, beperking, bezwaar).
- (f) De Verwerkingsverantwoordelijke bijstaan bij diens verplichtingen inzake melding van datalekken, DPIA's en voorafgaande raadpleging van de toezichthouder.
- (g) Naar keuze van de Verwerkingsverantwoordelijke alle Persoonsgegevens verwijderen of retourneren bij beëindiging van de dienst, en bestaande kopieën verwijderen tenzij EU- of lidstaatrecht bewaring vereist.
- (h) Alle informatie beschikbaar stellen die nodig is om naleving van deze DPA aan te tonen en audits mogelijk maken en daaraan bijdragen.
- (i) De Verwerkingsverantwoordelijke onmiddellijk informeren indien, naar het oordeel van de Verwerker, een instructie van de Verwerkingsverantwoordelijke in strijd is met de AVG.
9. Subverwerker Beheer
9.1 Algemene Autorisatie
De Verwerkingsverantwoordelijke verleent algemene autorisatie aan de Verwerker om subverwerkers in te schakelen voor de verwerking van Persoonsgegevens, onder voorbehoud van de voorwaarden in deze sectie.
9.2 Huidige Subverwerkers
De actuele lijst van subverwerkers wordt bijgehouden op onze Subverwerkerlijst-pagina en maakt deel uit van deze DPA.
9.3 Kennisgeving van Wijzigingen
De Verwerker zal de Verwerkingsverantwoordelijke minimaal 30 dagen van tevoren op de hoogte stellen voordat een subverwerker wordt toegevoegd of vervangen. Kennisgeving wordt per e-mail verzonden naar het geregistreerde e-mailadres van de Verwerkingsverantwoordelijke.
9.4 Recht van Bezwaar
De Verwerkingsverantwoordelijke kan bezwaar maken tegen de aanstelling van een nieuwe subverwerker binnen 14 dagen na ontvangst van de kennisgeving. Indien de Verwerkingsverantwoordelijke bezwaar maakt, zullen partijen te goeder trouw werken aan een oplossing. Indien binnen 30 dagen geen oplossing wordt bereikt, kan de Verwerkingsverantwoordelijke de betrokken diensten zonder boete beëindigen.
9.5 Verplichtingen Subverwerkers
De Verwerker zal gegevensbeschermingsverplichtingen opleggen aan elke subverwerker die niet minder beschermend zijn dan die in deze DPA, en blijft volledig aansprakelijk voor de handelingen en nalatigheden van diens subverwerkers.
10. Internationale Gegevensoverdrachten
De Verwerker zal geen Persoonsgegevens overdragen buiten de EER zonder passende waarborgen. Wanneer subverwerkers buiten de EER zijn gevestigd, zal de Verwerker waarborgen dat: (a) EU Standaard Contractbepalingen van kracht zijn; (b) een Transfer Impact Assessment is uitgevoerd; en (c) aanvullende technische maatregelen (zoals versleuteling) zijn geïmplementeerd waar nodig.
11. Beveiligingsmaatregelen
De Verwerker implementeert de volgende technische en organisatorische maatregelen om Persoonsgegevens te beschermen:
- Versleuteling: AES-256 in opslag, TLS 1.2+ tijdens overdracht.
- Toegangscontroles: Rolgebaseerde toegang, principe van minimale bevoegdheden, multi-factor authenticatie voor alle interne systemen.
- Netwerkbeveiliging: Firewalls, inbraakdetectie, netwerksegmentatie.
- Applicatiebeveiliging: Veilige ontwikkelingscyclus (SDLC), regelmatige code reviews, OWASP-conforme beveiligingstesten.
- OAuth-tokenbeveiliging: Versleutelde opslag, automatische rotatie, onmiddellijke intrekking bij beëindiging van de dienst.
- Monitoring en logging: Continue monitoring, gecentraliseerde logging, anomaliedetectie.
- Kwetsbaarheidsbeheer: Regelmatig scannen, tijdige patching, responsible disclosure-programma.
- Bedrijfscontinuïteit: Regelmatige versleutelde back-ups, noodherstelprocedures, geteste herstelplannen.
- Personeelsbeveiliging: Antecedentenonderzoek, beveiligingsbewustzijnstraining, vertrouwelijkheidsovereenkomsten.
12. Melding Datalekken
In geval van een Datalek met betrekking tot Persoonsgegevens die onder deze DPA worden verwerkt, zal de Verwerker:
- De Verwerkingsverantwoordelijke zonder onredelijke vertraging op de hoogte stellen, en in elk geval binnen 48 uur na het constateren van het lek.
- De Verwerkingsverantwoordelijke voorzien van de volgende informatie: (a) aard van het lek; (b) categorieën en geschat aantal getroffen betrokkenen; (c) waarschijnlijke gevolgen; (d) genomen of voorgestelde maatregelen om het lek te beperken.
- Voortdurende updates verstrekken zodra aanvullende informatie beschikbaar komt.
- De Verwerkingsverantwoordelijke bijstaan bij het melden aan de Autoriteit Persoonsgegevens en getroffen betrokkenen waar vereist.
- Het lek documenteren en de stappen die zijn ondernomen om het te verhelpen.
13. Verwijdering en Teruggave van Gegevens
Bij beëindiging van de dienstverleningsovereenkomst:
- De Verwerkingsverantwoordelijke kan binnen 30 dagen na beëindiging een export van alle Persoonsgegevens aanvragen in een standaard machineleesbaar formaat (JSON of CSV).
- Na de exportperiode van 30 dagen zal de Verwerker alle Persoonsgegevens permanent verwijderen binnen 30 extra dagen.
- Op verzoek zal de Verwerker schriftelijke bevestiging verstrekken dat alle Persoonsgegevens zijn verwijderd.
- Uitzonderingen: De Verwerker mag Persoonsgegevens bewaren waar vereist door EU- of Nederlands recht (bijv. belastinggegevens), in welk geval de Verwerker de Verwerkingsverantwoordelijke zal informeren over de specifieke bewaringsverplichting.
14. Auditrechten
De Verwerkingsverantwoordelijke heeft het recht om de naleving van deze DPA door de Verwerker te auditen, onder de volgende voorwaarden:
- Audits mogen eenmaal per kalenderjaar worden uitgevoerd, tenzij een Datalek of materiële niet-naleving aanleiding geeft tot aanvullende auditrechten.
- De Verwerkingsverantwoordelijke dient minimaal 30 dagen schriftelijk van tevoren te melden voordat een audit wordt uitgevoerd.
- Audits worden uitgevoerd tijdens normale kantooruren en mogen de bedrijfsvoering van de Verwerker niet onredelijk verstoren.
- De Verwerkingsverantwoordelijke mag een gekwalificeerde onafhankelijke externe auditor aanstellen, gebonden door vertrouwelijkheidsverplichtingen.
- Als alternatief voor een audit ter plaatse kan de Verwerkingsverantwoordelijke het actuele SOC 2 Type II-rapport, ISO 27001-certificering of gelijkwaardige onafhankelijke beveiligingsbeoordeling van de Verwerker accepteren.
- Kosten van audits zijn voor rekening van de Verwerkingsverantwoordelijke, tenzij de audit materiële niet-naleving door de Verwerker aan het licht brengt.
15. Aansprakelijkheid
De aansprakelijkheid van elke partij onder deze DPA is onderworpen aan de aansprakelijkheidsbeperkingen in de Algemene Voorwaarden. Niets in deze DPA beperkt de aansprakelijkheid van een partij voor schendingen van diens AVG-verplichtingen voor zover een dergelijke beperking verboden zou zijn door toepasselijk recht.
16. Contact
Voor vragen over deze DPA:
- Secure Tenant
- KVK: 84249242
- Adres: Diepmeerven 33, 5645KG Eindhoven, Nederland
- E-mail: contact@secure-tenant.com
