Verwerkersovereenkomst

Heli Account B.V. levert standaard softwareapplicaties en daarbij passende dienstverlening. Hiervoor is een standaard verwerkersovereenkomst opgesteld tussen Heli Account B.V. en klant. Deze verwerkersovereenkomst is onlosmakelijk verbonden met de abonnement- of onderhoudsovereenkomst geldend bij uw software licentie. Heli Account B.V. zal om deze reden geen andere verwerkersovereenkomst accepteren.

De software van Heli Account B.V. verwerkt onder andere persoonsgegevens voor en in opdracht van de klant. Heli Account B.V. en de klant zijn daarom verplicht volgens de Algemene Verordening Gegevensbescherming (AVG) om een Verwerkersovereenkomst te sluiten. Volgens de AVG is Heli Account B.V. 'verwerker' en is de klant 'verwerkingsverantwoordelijke'. In deze Verwerkersovereenkomst staat ook hoe Heli Account B.V. met de meldplicht datalekken omgaat.

Verwerkersovereenkomst

Heli Account B.V. en de klant verplichten zich over en weer om de Algemene Verordening Gegevensbescherming (AVG) na te leven. Voor de definities van begrippen wordt aangesloten bij artikel 1 van de AVG. Heli Account B.V. zal de persoonsgegevens alleen verwerken voor en in opdracht van de klant en om uitvoering te geven aan de overeenkomst. Heli Account B.V. heeft geen zeggenschap over de persoonsgegevens die door de klant beschikbaar worden gesteld. Zonder noodzaak, gezien de aard van de door de klant verstrekte opdracht, expliciete toestemming van de klant of wettelijke verplichting zal Heli Account B.V. de gegevens niet aan derden verstrekken of voor andere doeleinden verwerken, dan voor de overeengekomen doeleinden. De klant garandeert dat de persoonsgegevens verwerkt mogen worden op basis van een in de AVG genoemde grondslag.

Heli Account B.V. neemt passende technische en organisatorische maatregelen om de persoonsgegevens van de klant te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking. Deze maatregelen worden aangemerkt als een passend beveiligingsniveau in de zin van de AVG. De klant is gerechtigd om in overleg met Heli Account B.V. tijdens de looptijd van de overeenkomst door een onafhankelijke deskundige de naleving hiervan te controleren, bijvoorbeeld door middel van het uitvoeren van een audit. Heli Account B.V. zal, indien een verzoek gedaan wordt door de Stichting Autoriteit Financiële Markten, De Europese Centrale Bank of De Nederlandsche Bank N.V., op grond van de uitvoering van hun taak uit hoofde van de Wft, of op grond van andere wet- en regelgeving, alle informatie beschikbaar stellen aan de betreffende organisatie. De klant zal alle kosten in verband met deze controle dragen.

De Autoriteit Persoonsgegevens zal eerst aan de verwerkersverantwoordelijke een bindende aanwijzing geven voordat de Autoriteit Persoonsgegevens een bestuurlijke boete op kan leggen. De verwerkersverantwoordelijke zal Heli Account B.V. direct op de hoogte stellen van deze bindende aanwijzing. Heli Account B.V. zal er alles aan doen wat in redelijkheid van haar verwacht kan worden om de naleving mogelijk te maken. Als Heli Account B.V. niet doet wat in redelijkheid van haar gevraagd kan worden waardoor er een boete volgt, of als de Autoriteit Persoonsgegevens direct een boete oplegt omdat sprake is van opzet of ernstige verwijtbare nalatigheid aan de kant van Heli Account B.V., dan geldt de toepasselijke aansprakelijkheidsbeperking als genoemd in het hoofdstuk Aansprakelijkheid van de Algemene Voorwaarden niet.

Privacy en geheimhouding

Heli Account B.V. is zich bewust dat de informatie die de klant met Heli Account B.V. deelt en opslaat bij Heli Account B.V. , uitsluitend door Heli Account benodigd ingeval van onderzoek op de aangeleverde data, een geheim en bedrijfsgevoelig karakter heeft. Alle Heli Account B.V. medewerkers zullen gedurende hun dienstverband en daarna, zoals in hun arbeidsovereenkomst met geheimhoudingsclausule is opgenomen, op verantwoorde wijze met de informatie van de klant omgaan.

Medewerkers met toegang tot klantgegevens

Consultants, Supportmedewerkers en andere Heli Account B.V. medewerkers hebben alleen toegang tot de klantgegevens waar zij toestemming voor hebben ontvangen van de klant en voor zolang zij toestemming hebben van de klant.

Dit uitsluitend ten behoeve van :

Ondersteuning op afstand;
Het plaatsen van een nieuwe versie;
Het doorvoeren van patches en hotfixes;
Het maken van een back-up;
Het verplaatsen van een omgeving.

Gegevens

Heli Account B.V. verzamelt geen gegevens over het gebruik van haar producten.

Meldplicht datalekken

De AVG vereist dat eventuele datalekken gemeld worden aan de Autoriteit Persoonsgegevens door de verwerkingsverantwoordelijke van de data. Heli Account B.V. zal daarom zelf geen meldingen doen bij de Autoriteit Persoonsgegevens. Uiteraard zal Heli Account B.V. als verwerker de klant juist, tijdig en volledig informeren over relevante incidenten, zodat de klant als verwerkingsverantwoordelijke aan zijn wettelijke verplichtingen kan voldoen. De
Beleidsregels meldplicht datalekken van de Autoriteit Persoonsgegevens geven hierover meer informatie.

Bepaling datalek

Voor het bepalen van een datalek, gebruikt Heli Account B.V. de AVG en de Beleidsregels meldplicht datalekken als leidraad. Onder een datalek vallen alle beveiligingsincidenten waardoor de bescherming van persoonsgegevens op enig moment is doorbroken of waardoor de persoonsgegevens blootgesteld zijn aan verlies of onrechtmatige verwerking. Het kan bijvoorbeeld gaan om het verlies van een USB-stick of computer, inbraak door een hacker, verzending van een e-mail waarin de e-mailadressen zichtbaar zijn voor alle geadresseerden, een malwarebesmetting of een calamiteit zoals brand in een datacenter.

Indien de klant een (voorlopige) melding verricht bij de Autoriteit Persoonsgegevens en/of de betrokkene(n) over een datalek bij Heli Account B.V., terwijl zonder meer voor de klant duidelijk is dat bij Heli Account B.V. geen sprake is van een datalek dan is de klant aansprakelijk voor alle door Heli Account B.V. geleden schade en kosten. De klant is daarnaast verplicht een dergelijke melding direct in te trekken.

Melding aan de klant

Indien blijkt dat bij Heli Account B.V. sprake is van een datalek, dat door de klant gemeld moet worden aan de Autoriteit Persoonsgegevens en/of de betrokkene(n), dan zal Heli Account B.V. de klant daarover zo spoedig mogelijk informeren nadat Heli Account B.V. bekend is geworden met het datalek. Om dit te realiseren zorgt Heli Account B.V. ervoor dat al haar medewerkers in staat zijn en blijven om een datalek te constateren en verwacht Heli Account B.V. van haar opdrachtnemers dat zij Heli Account B.V. in staat stelt om hier aan te kunnen voldoen. Voor de duidelijkheid: als er een datalek is bij een leverancier van Heli Account B.V., dan meldt Heli Account B.V. dit uiteraard ook. Heli Account B.V. is het contactpunt voor de klant. De klant hoeft geen contact op te nemen met de leveranciers van Heli Account B.V.

Informeren klant (contactpersoon instellen)
In eerste instantie zal Heli Account B.V. de contactpersoon informeren over een datalek. Mocht deze contactpersoon niet (meer) de juiste zijn, dan kan dit
worden aangepast door een mail te sturen naar Dit e-mailadres wordt beveiligd tegen spambots. JavaScript dient ingeschakeld te zijn om het te bekijken.

Informatie verstrekken
Heli Account B.V. probeert de klant direct alle informatie te verstrekken die de klant nodig heeft om een volledige melding bij de Autoriteit Persoonsgegevens en/of de betrokkene(n) te verrichten. Indien deze informatie nog niet bekend is, bijvoorbeeld omdat het datalek door Heli Account B.V. wordt onderzocht, dan zal Heli Account B.V. de klant de informatie verstrekken die de klant nodig heeft om in ieder geval eerst een voorlopige melding bij de Autoriteit
Persoonsgegevens en/of de betrokkene(n) te kunnen verrichten.

Hierbij volgt Heli Account B.V. de informatielijst uit de eerdergenoemde beleidsregels. Dit bevat in ieder geval de aard van de inbreuk, een beschrijving van de geconstateerde en de vermoedelijke gevolgen van de inbreuk en de getroffen en te treffen maatregelen om de negatieve gevolgen van het datalek te beperken en te verhelpen.

Termijn van informeren
De AVG geeft aan dat er ‘onverwijld’ gemeld moet worden. Dit is volgens de Autoriteit Persoonsgegevens zonder onnodige vertraging en zo mogelijk niet later dan 72 uur na ontdekking. Heli Account B.V. informeert de klant daarom zo snel mogelijk, uiterlijk binnen 48 uur na het ontdekken van een datalek, zodat de klant tijdig de melding kan doen bij de Autoriteit Persoonsgegevens.

Voortgang en maatregelen
Heli Account B.V. zal de klant op de hoogte houden over de voortgang en de maatregelen die getroffen worden. Heli Account B.V. maakt hierover afspraken met de primaire contactpersoon bij de initiële melding. In ieder geval houdt Heli Account B.V. de klant op de hoogte in geval van een wijziging van de situatie, het bekend worden van nadere informatie en over de maatregelen die getroffen worden.

Juist, tijdig en volledig
Heli Account B.V. registreert alle security incidenten en handelt deze volgens een vaste procedure (workflow) af.