Verwerkersovereenkomst

1. Partijen

Deze verwerkersovereenkomst (hierna: “Overeenkomst”) is gesloten tussen:

Verwerkingsverantwoordelijke (hierna: “Verantwoordelijke”):
De organisatie of natuurlijke persoon die een account heeft aangemaakt en/of een abonnement heeft afgesloten bij NIS2Guard.

Verwerker:
Die Gasten V.O.F. (statutaire naam: Soepel IT V.O.F.)
Meuienboerweg 45
7546 PX Enschede
KVK: 62012312

Gezamenlijk aangeduid als “Partijen”.

2. Onderwerp en Duur

Deze Overeenkomst heeft betrekking op de verwerking van persoonsgegevens door de Verwerker ten behoeve van de Verantwoordelijke in het kader van de NIS2Guard-dienst.

De duur van deze Overeenkomst is gelijk aan de looptijd van het abonnement op NIS2Guard, inclusief eventuele verlengingen. Bij beëindiging van het abonnement eindigt ook deze Overeenkomst, onverminderd de bepalingen over dataverwijdering.

3. Aard en Doel van de Verwerking

De verwerking vindt plaats in het kader van het leveren van de NIS2Guard SaaS-dienst en omvat:

• Het opslaan en verwerken van accountgegevens voor authenticatie en autorisatie
• Het verwerken van assessment-antwoorden en het genereren van compliance-rapporten
• Het registreren en beheren van organisatie-infrastructuur (locaties, systemen, leveranciers en contracten) ten behoeve van het NIS2-complianceproces
• Het bijhouden van audit logs voor traceerbaarheid en compliance
• Het verwerken van betalings- en facturatiegegevens
• Het versturen van service-gerelateerde communicatie
• Het maken van back-ups ten behoeve van dataherstel

4. Soorten Persoonsgegevens

De volgende soorten persoonsgegevens worden verwerkt:

• Identificatiegegevens: Naam, e-mailadres, telefoonnummer
• Authenticatiegegevens: Gehashte wachtwoorden, 2FA-configuratie, SSO-tokens
• Organisatiegegevens: Bedrijfsnaam, KVK-nummer, BTW-nummer, adres
• Contactgegevens van derden: Namen, e-mailadressen en telefoonnummers van contactpersonen en systeemeigenaren die door de Verantwoordelijke in het platform worden geregistreerd
• Gebruiksgegevens: IP-adres, user agent, sessie-informatie, audit logs
• Assessment-gegevens: Antwoorden op vragenlijsten, geüploade documenten
• Financieële gegevens: Facturatiegegevens, betalingshistorie

5. Categorieën Betrokkenen

De persoonsgegevens hebben betrekking op de volgende categorieën betrokkenen:

• Gebruikers van het NIS2Guard-platform (medewerkers van de Verantwoordelijke)
• Contactpersonen van leveranciers, locaties en systeemeigenaren die door de Verantwoordelijke in het platform worden geregistreerd
• Personen die zijn uitgenodigd voor het platform maar nog geen account hebben aangemaakt
• Consultants die namens de Verantwoordelijke toegang hebben tot het platform

6. Verplichtingen Verwerker

De Verwerker verplicht zich tot het volgende:

• Persoonsgegevens uitsluitend verwerken op basis van schriftelijke instructies van de Verantwoordelijke, tenzij een wettelijke verplichting anders vereist.
• Waarborgen dat personen die gemachtigd zijn persoonsgegevens te verwerken, gebonden zijn aan geheimhouding.
• Passende technische en organisatorische maatregelen treffen om een beveiligingsniveau te waarborgen dat past bij het risico.
• De Verantwoordelijke bijstaan bij het nakomen van diens verplichtingen uit hoofde van artikelen 32 tot en met 36 AVG.
• Na afloop van de verwerkingsdiensten alle persoonsgegevens verwijderen of retourneren, en bestaande kopieën verwijderen, tenzij bewaring wettelijk verplicht is.
• De Verantwoordelijke onverwijld (binnen 48 uur) informeren bij een datalek dat persoonsgegevens van de Verantwoordelijke betreft.
• Een register bijhouden van alle categorieën verwerkingsactiviteiten die namens de Verantwoordelijke worden uitgevoerd.

7. Sub-verwerkers

De Verwerker maakt gebruik van de volgende sub-verwerkers. De Verantwoordelijke geeft hiervoor algemene schriftelijke toestemming. Bij wijzigingen in sub-verwerkers wordt de Verantwoordelijke minimaal 14 dagen vooraf geïnformeerd.

Met alle sub-verwerkers zijn verwerkersovereenkomsten gesloten die minimaal hetzelfde beschermingsniveau bieden als deze Overeenkomst.

Zelfstandig verwerkingsverantwoordelijken

De volgende partijen zijn géén sub-verwerker, maar zelfstandig verwerkingsverantwoordelijke. Zij bepalen zelf het doel en de middelen van hun verwerking en zijn niet onderworpen aan deze Overeenkomst.

8. Beveiligingsmaatregelen

De Verwerker treft de volgende technische en organisatorische beveiligingsmaatregelen:

Technische maatregelen

• Versleutelde verbindingen (TLS/HTTPS) voor alle dataoverdracht
• Wachtwoorden worden uitsluitend gehashed opgeslagen (bcrypt)
• Tweefactorauthenticatie (TOTP) met backup codes
• Passkey-ondersteuning (WebAuthn/FIDO2)
• Volledige data-isolatie tussen tenants via database filters
• Audit trail van alle platformacties via event-driven architectuur
• Progressieve anonimisering van audit logs (30 dagen gedeeltelijk, 90 dagen volledig, 2 jaar archivering, 3 jaar verwijdering)
• CSRF-bescherming op alle formulieren
• Rate limiting op authenticatie-endpoints
• Automatische filtering van gevoelige data (PII) in audit logs

Organisatorische maatregelen

• Toegang tot productieomgevingen beperkt tot geautoriseerde medewerkers
• Geheimhoudingsverplichtingen voor alle medewerkers
• Regelmatige back-ups met encryptie
• Incident response procedures
• Code review en geautomatiseerde security testing

9. Audits

De Verantwoordelijke heeft het recht om audits uit te (laten) voeren ter controle van de naleving van deze Overeenkomst en de toepasselijke privacywetgeving, conform artikel 28 lid 3 sub h AVG. Hierbij gelden de volgende voorwaarden:

• De Verantwoordelijke kan maximaal één (1) keer per kalenderjaar een audit laten uitvoeren.
• De Verantwoordelijke stelt de Verwerker minimaal vier (4) weken vooraf schriftelijk op de hoogte van de voorgenomen audit.
• De audit wordt uitgevoerd door een onafhankelijke, gekwalificeerde derde partij die gebonden is aan geheimhouding.
• De kosten van de audit komen voor rekening van de Verantwoordelijke. Eventuele kosten voor medewerking door de Verwerker worden in rekening gebracht tegen een tarief van maximaal € 100 per uur (exclusief BTW).
• De Verwerker kan in plaats van een audit een recent (niet ouder dan twaalf maanden) certificerings- of auditrapport van een onafhankelijke partij overleggen, mits dit rapport de relevante verwerkingsactiviteiten dekt.
• De scope van de audit is beperkt tot de verwerkingsactiviteiten die onder deze Overeenkomst vallen.
• De Verwerker verleent alle redelijke medewerking aan de audit en stelt relevante informatie en documentatie beschikbaar.

10. Aansprakelijkheid

De Verwerker is aansprakelijk voor schade die voortvloeit uit het niet nakomen van de verplichtingen uit deze Overeenkomst of de toepasselijke privacywetgeving, voor zover deze schade aan de Verwerker is toe te rekenen.

De aansprakelijkheid van de Verwerker is beperkt conform de bepalingen in de Algemene Voorwaarden van NIS2Guard, tenzij dwingend recht zich hiertegen verzet.

Partijen verlenen elkaar alle redelijke medewerking bij het afhandelen van claims van betrokkenen of onderzoeken van toezichthouders die betrekking hebben op de verwerkingsactiviteiten onder deze Overeenkomst.

11. Looptijd en Beëindiging

Deze Overeenkomst treedt in werking op het moment dat de Verantwoordelijke een account aanmaakt op het NIS2Guard-platform en blijft van kracht zolang de Verwerker persoonsgegevens verwerkt ten behoeve van de Verantwoordelijke.

Bij beëindiging van het abonnement zal de Verwerker:

• De Verantwoordelijke de mogelijkheid bieden om alle persoonsgegevens te exporteren in een gestructureerd, gangbaar en machineleesbaar formaat.
• Na afloop van de exportperiode (30 dagen) alle persoonsgegevens verwijderen, tenzij wettelijke bewaarplichten anders vereisen.
• Schriftelijke bevestiging verstrekken van de verwijdering van persoonsgegevens.

Op deze Overeenkomst is Nederlands recht van toepassing. Geschillen worden voorgelegd aan de bevoegde rechter in het arrondissement Overijssel.