Voorwaarden

Je mag volgens de AVG als verwerkersverantwoordelijke vanaf 25 mei 2018 alleen verwerkingen laten uitvoeren door een verwerker indien je met die verwerker afspraken gemaakt hebt. Dat vastleggen mag in de vorm van voorwaarden zoals onze Privacy Voorwaarden Stratech of in de vorm van een overeenkomst. Een dergelijke overeenkomst wordt vaak aangeduid als ‘verwerkersovereenkomst’.

Dat hangt af van het antwoord op de volgende twee vragen:

• Verwerkt jouw organisatie persoonsgegevens met de software van Stratech?
• Voert Stratech voor jouw organisatie werkzaamheden uit waardoor Stratech in contact komt met deze persoonsgegevens?

Als beide vragen met ‘Ja’ zijn beantwoord, dan moet je hierover met Stratech afspraken maken. Om je daarbij behulpzaam te zijn, heeft Stratech deze afspraken alvast opgesteld. Dit is gedaan in de vorm van privacy voorwaarden. De Privacy Voorwaarden Stratech hebben wij toegestuurd naar klanten waarvan Stratech verwacht dat ze te maken hebben met persoonsgegevens. Mocht je deze niet ontvangen hebben, neem dan even contact op met jouw Account Manager. Wij sturen deze voorwaarden dan toe.

Wat ons betreft is het niet nodig om de Privacy Voorwaarden Stratech te ondertekenen. Wanneer je dit op prijs stelt, kun je dit uiteraard wel doen. Je kunt de Privacy Voorwaarden Stratech afdrukken, ondertekenen en naar ons opsturen. Dit kan per e-mail (privacy@stratech.nl) of per post (Stratech Automatisering bv, t.a.v. Contactpersoon Privacy, Postbus 3, 7500 AA te Enschede). Wij zullen deze dan ook ondertekenen en naar je terugsturen.

Wij hebben op basis van de AVG privacy voorwaarden opgesteld waarmee jouw organisatie als verwerkersverantwoordelijke en wij als verwerker hier samen aan kunnen voldoen. Dit betreft geen (eenzijdige) wijziging van de voorwaarden die reeds van toepassing zijn op de overeenkomst(en) tussen jouw organisatie en Stratech. Het gaat om een aanvulling op deze voorwaarden, zodat je ons verwerkingen kunt blijven laten uitvoeren.

Wij hebben ervoor gekozen om uniforme afspraken op te stellen ten behoeve van al onze klanten. Dit zijn de Privacy Voorwaarden Stratech. Hiermee voldoet jouw organisatie als verwerkingsverantwoordelijke aan deze bepalingen van de AVG en hoef je hier zelf niet meer mee aan de slag. Wij hebben bewust gekozen voor deze vorm omdat daardoor de afspraken met alle klanten gelijk zijn. Het maken van individuele afspraken met iedere klant kan zorgen voor tegenstrijdige afspraken, waardoor de persoonsgegevens die wij voor jouw organisatie verwerken minder goed beveiligd worden.

Dat hangt af van de afspraken die daarover gemaakt zijn. Maakt jouw organisatie gebruik van onze hostingomgeving? Dan staan de persoonsgegevens in onze hostingomgeving. Is dat niet het geval dan zorg je zelf voor de opslag van jouw gegevens. Informeer in dat geval bij jouw systeembeheerder.

Voor het opstellen van de Privacy Voorwaarden Stratech hebben we de AVG als uitgangspunt genomen. De AVG is echter nog een relatief nieuwe wet waarover nog weinig jurisprudentie bestaat. Als gevolg van jurisprudentie kan de betekenis van bepaalde artikelen in de AVG genuanceerd worden. Om die reden kan het nodig zijn de Privacy Voorwaarden Stratech aan te passen.

Daarnaast bevatten de privacy voorwaarden twee bijlagen. Bijlage 1 is vooral afhankelijk van functionaliteit in de software. Wanneer deze functionaliteit wijzigt of wordt uitgebreid, bijvoorbeeld door een nieuwe module, heeft dit mogelijk consequenties voor de informatie in bijlage 1. Bijlage 2 beschrijft de beveiligingsmaatregelen zoals wij die getroffen hebben. Deze beveiligingsmaatregelen zijn niet statisch. Wij toetsen de maatregelen periodiek en passen deze indien nodig aan. Hierdoor kan de informatie in bijlage 2 wijzigen.

De bescherming van persoonsgegevens gaat niet alleen over wat Stratech als verwerker doet, maar betreft het totaal aan maatregelen van jouw organisatie als verwerkingsverantwoordelijke en door jouw organisatie ingeschakelde verwerkers en hun sub-verwerkers. De verplichtingen van jouw organisatie als verwerkingsverantwoordelijke benoemen wij onder andere om je hierop te wijzen. Als je bijvoorbeeld zorgt dat je alleen gegevens vastlegt welke nodig zijn voor het doel waarvoor deze worden verzameld, kunnen in het geval van een datalek geen gegevens lekken die niet verzameld hadden mogen worden. De eventuele schade voor een betrokkene wordt zo beperkt.

Stratech heeft veel klanten waarvoor Stratech optreedt als verwerker. Als deze klanten allen jaarlijks een audit zouden uitvoeren, betekent dat voor Stratech meerdere audits per werkdag. Dat is onwerkbaar en zorgt voor een forse toename van de kosten en in te zetten personeel. Als verwerker dient Stratech te zorgen voor passende technische en organisatorische maatregelen, waarbij rekening gehouden wordt met de stand der techniek en de uitvoeringskosten. Het uitvoeren van audits op initiatief van individuele klanten zorgt zoals gezegd voor een onredelijke toename van de uitvoeringskosten. Dit kan ondervangen worden door op grond van gangbare standaarden jaarlijks een audit te laten uitvoeren, welke een ISAE 3000 rapportage oplevert. Ook voor jouw organisatie geldt ongetwijfeld dat niet iedere klant periodiek een inspectie doet van jouw organisatie.