Maak een account aan
Maak een account aan

Verwerkersovereenkomst

ReportSecurely
Skiwo AS · Pilestredet 17, 0164 Oslo · privacy@reportsecurely.com
Effective date: 23 January 2026

Dit document is voor uw gemak vertaald. In geval van discrepantie prevaleert de Engelse versie.

Deze Verwerkersovereenkomst ("DPA") maakt deel uit van de overeenkomst tussen de klant ("Verwerkingsverantwoordelijke") en Skiwo AS, exploitant van het Report Securely platform ("Verwerker"), voor de levering van klokkenluidersregeling en beveiligde meldingsdiensten (de "Dienst").

Deze DPA wordt aangegaan in overeenstemming met de vereisten van Artikel 28 van de Algemene Verordening Gegevensbescherming (EU) 2016/679 ("AVG") en regelt de verwerking van persoonsgegevens door de Verwerker namens de Verwerkingsverantwoordelijke.

1. Definities

Termen die in deze DPA worden gebruikt hebben dezelfde betekenis als in de AVG, tenzij anders gedefinieerd. "Persoonsgegevens" betekent alle persoonsgegevens die door de Verwerker worden verwerkt namens de Verwerkingsverantwoordelijke in verband met de Dienst. "Subverwerker" betekent elke derde partij die door de Verwerker wordt ingeschakeld om Persoonsgegevens te verwerken namens de Verwerkingsverantwoordelijke.

2. Reikwijdte en doel van verwerking

De Verwerker verwerkt Persoonsgegevens uitsluitend met het doel de Dienst aan de Verwerkingsverantwoordelijke te leveren, zoals beschreven in de hoofddienstovereenkomst en deze DPA.

De categorieën betrokkenen omvatten: melders (klokkenluiders), personen die in meldingen worden genoemd, zaakbehandelers en geautoriseerde gebruikers binnen de organisatie van de Verwerkingsverantwoordelijke. De soorten persoonsgegevens die worden verwerkt kunnen omvatten: namen, contactgegevens, inhoud van meldingen, communicatie tussen melders en zaakbehandelers, zaakmetadata en auditlogboeken.

De duur van de verwerking komt overeen met de looptijd van de hoofddienstovereenkomst, plus eventuele bewaartermijn die vereist is door toepasselijke wetgeving of overeengekomen tussen de partijen.

3. Verplichtingen van de Verwerker

De Verwerker zal:

  • Persoonsgegevens alleen verwerken op basis van gedocumenteerde instructies van de Verwerkingsverantwoordelijke, tenzij dit wettelijk verplicht is
  • Ervoor zorgen dat personen die gemachtigd zijn om Persoonsgegevens te verwerken gebonden zijn aan geheimhoudingsverplichtingen
  • Passende technische en organisatorische maatregelen implementeren om een beveiligingsniveau te waarborgen dat past bij het risico
  • Geen andere verwerker (subverwerker) inschakelen zonder voorafgaande schriftelijke toestemming van de Verwerkingsverantwoordelijke
  • De Verwerkingsverantwoordelijke bijstaan bij het beantwoorden van verzoeken van betrokkenen onder AVG artikelen 15–22
  • De Verwerkingsverantwoordelijke bijstaan bij het waarborgen van naleving van AVG artikelen 32–36 (beveiliging, melding van datalekken, effectbeoordelingen)
  • Naar keuze van de Verwerkingsverantwoordelijke alle Persoonsgegevens verwijderen of retourneren bij beëindiging van de Dienst, tenzij bewaring wettelijk verplicht is
  • Alle informatie die nodig is om naleving van de verplichtingen in deze DPA en AVG artikel 28 aan te tonen beschikbaar stellen aan de Verwerkingsverantwoordelijke

4. Beveiligingsmaatregelen

De Verwerker implementeert en onderhoudt de volgende technische en organisatorische beveiligingsmaatregelen:

  • Versleuteling van data tijdens transport (TLS 1.2 of hoger) en in rust (AES-256)
  • Rolgebaseerde toegangscontrole met principe van minimale privileges
  • Auditlogboeken van alle significante acties binnen het platform
  • Regelmatige beveiligingstests en kwetsbaarheidsbeoordelingen
  • Veilige softwareontwikkelingspraktijken volgens OWASP-richtlijnen
  • Geautomatiseerde back-ups met versleutelde opslag
  • Strikte beveiligingsheaders (HSTS, CSP, X-Frame-Options)

De Verwerker beoordeelt en actualiseert deze maatregelen regelmatig om de huidige stand van de techniek en de aard, omvang en doeleinden van de verwerking te weerspiegelen.

5. Subverwerkers

De Verwerkingsverantwoordelijke verleent algemene toestemming aan de Verwerker om subverwerkers in te schakelen, onder voorbehoud van de voorwaarden in deze sectie.

De Verwerker stelt de Verwerkingsverantwoordelijke op de hoogte van voorgenomen wijzigingen met betrekking tot de toevoeging of vervanging van subverwerkers, waarbij de Verwerkingsverantwoordelijke de mogelijkheid krijgt bezwaar te maken tegen dergelijke wijzigingen.

Wanneer de Verwerker een subverwerker inschakelt, legt deze dezelfde gegevensbeschermingsverplichtingen op als uiteengezet in deze VVA door middel van een contract, waarbij wordt gewaarborgd dat de subverwerker voldoende garanties biedt om passende technische en organisatorische maatregelen te implementeren.

De Verwerker blijft volledig aansprakelijk jegens de Verwerkingsverantwoordelijke voor de uitvoering van de verplichtingen van de subverwerker.

6. Gegevensoverdrachten

Alle Persoonsgegevens worden opgeslagen en verwerkt binnen de Europese Economische Ruimte (EER).

De Verwerker mag geen Persoonsgegevens overdragen naar een land buiten de EER of aan een internationale organisatie, tenzij: (a) de Verwerkingsverantwoordelijke voorafgaande schriftelijke toestemming heeft gegeven, en (b) passende waarborgen zijn getroffen in overeenstemming met AVG Hoofdstuk V, zoals EU-standaardcontractbepalingen of een adequaatheidsbesluit van de Europese Commissie.

7. Melding van datalekken

De Verwerker stelt de Verwerkingsverantwoordelijke onverwijld in kennis nadat hij kennis heeft genomen van een datalek met betrekking tot Persoonsgegevens die worden verwerkt onder deze DPA.

De melding omvat: een beschrijving van de aard van het lek, de categorieën en het geschatte aantal betrokkenen, de waarschijnlijke gevolgen van het lek, en de genomen of voorgestelde maatregelen om het lek aan te pakken.

8. Auditrechten

De Verwerker stelt alle informatie beschikbaar aan de Verwerkingsverantwoordelijke die nodig is om naleving van de verplichtingen uit AVG artikel 28 en deze DPA aan te tonen, en werkt mee aan audits, inclusief inspecties, uitgevoerd door de Verwerkingsverantwoordelijke of een andere door de Verwerkingsverantwoordelijke gemandateerde auditor.

Audits worden uitgevoerd met redelijke kennisgeving en tijdens normale kantooruren, en mogen de bedrijfsvoering van de Verwerker niet onredelijk verstoren.

9. Verwijdering en retournering van gegevens

Bij beëindiging van de Dienst verwijdert of retourneert de Verwerker, naar keuze van de Verwerkingsverantwoordelijke, alle Persoonsgegevens aan de Verwerkingsverantwoordelijke en verwijdert bestaande kopieën, tenzij toepasselijke wetgeving voortdurende opslag vereist.

De Verwerkingsverantwoordelijke kan voorafgaand aan beëindiging een gegevensexport aanvragen in een algemeen gebruikt, machineleesbaar formaat.

10. Aansprakelijkheid

De aansprakelijkheid van elke partij onder deze DPA is onderworpen aan de beperkingen en uitsluitingen zoals uiteengezet in de hoofdovereenkomst tussen de partijen.

Niets in deze DPA beperkt de aansprakelijkheid van een partij voor schendingen van gegevensbeschermingswetgeving voor zover deze aansprakelijkheid niet kan worden beperkt onder toepasselijk recht.

11. Toepasselijk recht

Deze DPA wordt beheerst door Noors recht. Elk geschil dat voortvloeit uit of verband houdt met deze DPA valt onder de exclusieve jurisdictie van de rechtbank van Oslo, tenzij dwingend recht anders bepaalt.

12. Contact

Voor vragen over deze DPA of gegevensbeschermingskwesties, neem contact op met:
Skiwo AS
Pilestredet 17, 0164 Oslo, Norway
Email: privacy@reportsecurely.com