Verwerkersovereenkomst
Conceptversie — nog niet juridisch getoetst. Deze tekst kan wijzigen.
Deze verwerkersovereenkomst (concept) beschrijft de afspraken tussen jouw organisatie (verwerkingsverantwoordelijke) en Bayana (verwerker) over de verwerking van persoonsgegevens van leden binnen het platform.
Rolverdeling
Jouw organisatie bepaalt het doel en de middelen van de gegevensverwerking en is verwerkingsverantwoordelijke. Bayana verwerkt persoonsgegevens uitsluitend in opdracht van jouw organisatie, voor het leveren van de ledenadministratie- en contributiedienst, en niet voor eigen doeleinden.
Doel en duur
De verwerking is beperkt tot wat nodig is voor ledenadministratie, contributiebeheer, bankimport en matching, communicatie en export, zoals beschreven in de productdocumentatie. De overeenkomst loopt zolang jouw organisatie gebruikmaakt van Bayana en eindigt bij beëindiging van het account.
Subverwerkers
Bayana maakt gebruik van subverwerkers voor database-, opslag-, netwerk-, e-mail- en betaaldiensten (zie het privacybeleid voor de actuele lijst). Bij inzet van een nieuwe subverwerker wordt de organisatie hierover geïnformeerd.
Beveiligingsmaatregelen
Technische en organisatorische maatregelen omvatten onder meer: schema-per-tenant-scheiding tussen organisaties, wachtwoordhashing met Argon2, kortlevende toegangstokens, restrictieve standaardrechten (deny-default) en een onwijzigbaar (append-only) auditlog van elke schrijfactie.
Meldplicht datalekken
Bayana meldt een vermoeden van een datalek dat gevolgen kan hebben voor de persoonsgegevens van jouw leden zonder onredelijke vertraging aan jouw organisatie, zodat je organisatie zelf kan beoordelen of melding bij de Autoriteit Persoonsgegevens en/of betrokkenen nodig is.
Bijstand bij AVG-rechten
Bayana ondersteunt jouw organisatie, voor zover redelijkerwijs mogelijk, bij het afhandelen van verzoeken van leden over inzage, rectificatie, verwijdering of overdraagbaarheid van hun gegevens.
Teruggave of verwijdering bij einde overeenkomst
Bij beëindiging van het account kan jouw organisatie de gegevens exporteren (onder meer via de .xlsx-export). Na de overeengekomen bewaartermijn worden de gegevens verwijderd, tenzij een wettelijke bewaarplicht anders vereist.
Controle en audit
Jouw organisatie kan redelijke informatie opvragen over de naleving van deze overeenkomst. De precieze audit-vorm wordt nader uitgewerkt in de definitieve, juridisch getoetste versie.