Verwerkersovereenkomst

De partijen

Verwerker

FestivalManager

info@festivalmanager.nl
festivalmanager.nl

Verwerkingsverantwoordelijke

De organisatie

De organisatie die een overeenkomst heeft gesloten met FestivalManager voor het gebruik van het platform.

1 Definities

AVG: de Algemene Verordening Gegevensbescherming (EU) 2016/679.
Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon.
Verwerking: elke bewerking van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde processen.
Verwerkingsverantwoordelijke: de organisatie die het doel en de middelen van de verwerking vaststelt.
Verwerker: FestivalManager, die persoonsgegevens verwerkt ten behoeve van de Verwerkingsverantwoordelijke.
Subverwerker: een derde partij die door de Verwerker wordt ingeschakeld voor (een deel van) de verwerking.
Datalek: een inbreuk in verband met persoonsgegevens als bedoeld in artikel 4 lid 12 AVG.

2 Doel en aard van de verwerking

2.1 FestivalManager verwerkt persoonsgegevens uitsluitend ten behoeve van de uitvoering van het FestivalManager platform, zoals omschreven in de Overeenkomst.

2.2 FestivalManager verwerkt geen persoonsgegevens voor eigen doeleinden of voor doeleinden van derden, tenzij een wettelijke verplichting dit vereist.

2.3 FestivalManager handelt uitsluitend op basis van gedocumenteerde instructies van de Verwerkingsverantwoordelijke, tenzij een wettelijke verplichting anders vereist.

3 Categorieën persoonsgegevens en betrokkenen

FestivalManager verwerkt de volgende categorieën persoonsgegevens van medewerkers van de Verwerkingsverantwoordelijke:

Identificatiegegevens

Naam en e-mailadres

Contactgegevens

Telefoonnummer en woonplaats

Profielgegevens

Geboortedatum, T-shirt maat, dieetwensen, bio, profielfoto

Noodcontactgegevens

Naam en telefoonnummer noodcontact

Dienstgegevens

Roosters, ingeplande en geclaimde diensten, inzethistorie

Accountgegevens

Inloggegevens (gehashed wachtwoord) en platformrol

Er worden geen bijzondere categorieën persoonsgegevens (zoals gezondheidsgegevens of BSN) verwerkt, tenzij de Verwerkingsverantwoordelijke deze zelf invoert in het platform.

4 Verplichtingen van FestivalManager

FestivalManager verplicht zich tot het volgende:

Verwerking uitsluitend op basis van instructies van de Verwerkingsverantwoordelijke.
Geheimhoudingsplicht voor alle medewerkers die toegang hebben tot de persoonsgegevens.
Passende technische en organisatorische maatregelen treffen (zie artikel 5).
De Verwerkingsverantwoordelijke ondersteunen bij het nakomen van verzoeken van betrokkenen (inzage, verwijdering, etc.).
Na beëindiging van de dienst alle persoonsgegevens verwijderen of teruggeven, conform artikel 9.
Alle informatie beschikbaar stellen die nodig is om naleving van deze overeenkomst aan te tonen.

5 Beveiligingsmaatregelen

FestivalManager treft de volgende passende technische en organisatorische beveiligingsmaatregelen:

Encryptie in transit

Alle dataoverdracht via TLS 1.2 of hoger (HTTPS).

Gehashte wachtwoorden

Wachtwoorden worden opgeslagen als bcrypt-hash, nooit in plaintext.

Rolgebaseerde toegang

Gebruikers zien uitsluitend gegevens van hun eigen organisatie.

Regelmatige backups

Dagelijkse databasebackups met bewaarperiode van minimaal 14 dagen.

Minimale toegang

FestivalManager-medewerkers hebben alleen toegang voor support-doeleinden.

EU-hosting

Servers bevinden zich binnen de Europese Unie.

6 Subverwerkers

6.1 FestivalManager maakt gebruik van de volgende subverwerkers:

Subverwerker	Dienst	Locatie
Eigen servers	Hosting, database, bestandsopslag	Nederland / EU

6.2 FestivalManager informeert de Verwerkingsverantwoordelijke voorafgaand aan het inschakelen van nieuwe subverwerkers. De Verwerkingsverantwoordelijke heeft het recht hiertegen bezwaar te maken.

6.3 FestivalManager legt aan subverwerkers dezelfde verplichtingen op als in deze overeenkomst zijn vastgelegd.

7 Datalekken & meldplicht

7.1 FestivalManager meldt een (vermoedelijk) datalek aan de Verwerkingsverantwoordelijke binnen 24 uur na ontdekking, zodat de Verwerkingsverantwoordelijke haar meldplicht bij de Autoriteit Persoonsgegevens (72 uur) kan nakomen.

7.2 De melding bevat ten minste: de aard van het datalek, de betrokken categorieën en aantallen persoonsgegevens, de vastgestelde en vermoedelijke gevolgen, en de genomen en te nemen maatregelen.

7.3 FestivalManager verleent alle medewerking aan de Verwerkingsverantwoordelijke bij het afhandelen en onderzoeken van het datalek.

8 Auditrecht

8.1 De Verwerkingsverantwoordelijke heeft het recht om de naleving van deze overeenkomst te controleren via een audit door een onafhankelijke derde.

8.2 Een audit wordt schriftelijk aangekondigd met een vooraankondiging van minimaal 30 kalenderdagen.

8.3 De kosten van een audit zijn voor rekening van de Verwerkingsverantwoordelijke, tenzij uit de audit blijkt dat FestivalManager tekortschiet in de naleving.

8.4 FestivalManager verleent alle redelijke medewerking aan een audit en stelt benodigde documentatie beschikbaar.

9 Looptijd en beëindiging

9.1 Deze verwerkersovereenkomst heeft dezelfde looptijd als de hoofdovereenkomst (Overeenkomst voor gebruik van het FestivalManager platform).

9.2 Na beëindiging van de hoofdovereenkomst verwijdert of retourneert FestivalManager, naar keuze van de Verwerkingsverantwoordelijke, alle persoonsgegevens — tenzij een wettelijke bewaarplicht van toepassing is.

9.3 Data is beschikbaar voor export gedurende 30 kalenderdagen na beëindiging. Daarna worden gegevens definitief verwijderd.