Juridisch document

Verwerkersovereenkomst

Conform AVG/GDPR Artikel 28 — Edu-V Afsprakenstelsel v4.1 — SURF-normenkader IBP

JK Uniq Workx / Uniq Learn — Januari 2026

VERWERKERSOVEREENKOMST

Deze overeenkomst is opgesteld en overeengekomen tussen:

  1. De onderwijsinstelling, in de zin van de vigerende wet- en regelgeving voor het (middelbaar beroeps)onderwijs, rechtsgeldig vertegenwoordigd door haar bevoegd gezag (hierna te noemen: "Onderwijsinstelling" of "Verwerkingsverantwoordelijke");
  2. JK Uniq Workx, handelend onder de naam Uniq Learn, een eenmanszaak naar Nederlands recht, rechtsgeldig vertegenwoordigd door de eigenaar (hierna te noemen: "Verwerker").

Hierna gezamenlijk te noemen: "Partijen" en ieder afzonderlijk een "Partij".

NEMEN HET VOLGENDE IN AANMERKING:

  • Partijen hebben een overeenkomst (de "Hoofdovereenkomst" of "Pilotovereenkomst") gesloten dan wel zullen deze sluiten, op grond waarvan Verwerker digitale SaaS-diensten en applicaties levert aan de Onderwijsinstelling, specifiek gericht op 3D-Digital Twins en interactieve leermodules voor het techniekonderwijs;
  • Verwerker verwerkt bij de uitvoering van deze Hoofdovereenkomst in opdracht en ten behoeve van de Onderwijsinstelling persoonsgegevens, waaronder begrepen maar niet beperkt tot gegevens van onderwijsdeelnemers (studenten) en personeel;
  • De Onderwijsinstelling kwalificeert ten aanzien van deze verwerkingen als Verwerkingsverantwoordelijke en JK Uniq Workx kwalificeert uitsluitend als Verwerker in de zin van de Algemene Verordening Gegevensbescherming (EU 2016/679, hierna: "AVG");
  • Partijen de afspraken omtrent de zorgvuldige, veilige en rechtmatige omgang met persoonsgegevens wensen vast te leggen in deze Verwerkersovereenkomst, hiermee uitvoering gevend aan artikel 28 lid 3 van de AVG en rekening houdend met de normen en uitgangspunten zoals vastgelegd in het Edu-V afsprakenstelsel en de beginselen van het SURF-normenkader.

PARTIJEN KOMEN HET VOLGENDE OVEREEN:

Artikel 1: Onderwerp, Doeleinden van de Verwerking en Rolverdeling

  1. Deze Overeenkomst is uitsluitend van toepassing op de verwerking van persoonsgegevens door Verwerker in het kader van de uitvoering van de Hoofdovereenkomst ten behoeve van de Onderwijsinstelling.
  2. Verwerker verwerkt de persoonsgegevens louter op basis van de gedocumenteerde instructies van de Onderwijsinstelling en uitsluitend voor zover dit strikt noodzakelijk is voor het leveren, onderhouden en technisch beveiligen van het Uniq Learn platform.
  3. Het is Verwerker uitdrukkelijk verboden om de verstrekte persoonsgegevens te verwerken voor eigen doeleinden, voor doeleinden van derden, of om deze aan te wenden voor commerciële profilering, gerichte aanbiedingen of advertentiedoeleinden gericht aan de betrokkenen, hetgeen direct correspondeert met de vereisten uit het Edu-V afsprakenstelsel.
  4. Een gedetailleerde specificatie van de aard van de verwerking, de categorieën van persoonsgegevens en de categorieën van betrokkenen is vastgelegd in de Privacybijsluiter, welke als Bijlage 1 een onlosmakelijk onderdeel van deze Overeenkomst vormt. Verwerker garandeert dat er in geen enkel geval bijzondere persoonsgegevens (zoals medische gegevens of biometrie) of strafrechtelijke persoonsgegevens worden verwerkt in de zin van artikel 9 en 10 AVG.
  5. De Onderwijsinstelling heeft en behoudt de volledige, zelfstandige zeggenschap over het bepalen van het doel en de middelen van de verwerking van de persoonsgegevens. Verwerker ondersteunt de Onderwijsinstelling hierin voor zover redelijkerwijs mogelijk en verplicht onder de vigerende privacywetgeving.

Artikel 2: Beveiligingsmaatregelen (TOM's) en Integriteit

  1. Verwerker treft in overeenstemming met artikel 32 AVG en in afstemming met de relevante beveiligingsnormen in het onderwijs (zoals het ROSA certificeringsschema en het SURF-normenkader IBP), alle passende technische en organisatorische maatregelen om een beveiligingsniveau te waarborgen dat is afgestemd op de risico's die de verwerking met zich meebrengt voor de rechten en vrijheden van natuurlijke personen.
  2. De overeengekomen maatregelen zijn erop gericht de beschikbaarheid, integriteit en vertrouwelijkheid van de systemen te garanderen, teneinde onbedoelde of onrechtmatige vernietiging, verlies, wijziging of ongeautoriseerde verstrekking van gegevens te voorkomen. Een gedetailleerd overzicht van deze maatregelen, waaronder encryptie-protocollen, patch-management en wachtwoordbeleid, is vastgelegd in de Beveiligingsbijlage (Bijlage 2).
  3. Verwerker zal de in Bijlage 2 beschreven maatregelen periodiek evalueren en waar de technologische ontwikkelingen of het dreigingslandschap daartoe nopen, deze aanscherpen of actualiseren, mits dit niet leidt tot een verlaging van het overeengekomen beschermingsniveau.
  4. De Onderwijsinstelling erkent dat zij zelfstandig verantwoordelijk blijft voor de veilige toegang en het gebruik van de diensten aan haar zijde. Dit omvat, doch is niet beperkt tot, het afdwingen van een strikt en veilig inlog- en wachtwoordbeleid voor de door haar geautoriseerde docenten en studenten, alsmede het beheer en de intrekking van accounts.

Artikel 3: Geheimhouding en Vertrouwelijkheid

  1. Op alle persoonsgegevens die Verwerker in het kader van deze Overeenkomst van of namens de Onderwijsinstelling ontvangt, rust een absolute plicht tot geheimhouding.
  2. Verwerker waarborgt dat eenieder die onder zijn gezag of verantwoordelijkheid toegang verkrijgt tot de persoonsgegevens (zoals eventueel toekomstig ingeschakelde medewerkers of freelance ontwikkelaars), uitsluitend toegang heeft op basis van het strikte need-to-know principe en zich voorafgaand contractueel tot geheimhouding heeft verplicht.
  3. De geheimhoudingsplicht als bedoeld in lid 1 geldt niet indien en voor zover Verwerker op grond van dwingend Unierecht of nationaalrechtelijke bepalingen dan wel een in kracht van gewijsde gegane rechterlijke uitspraak verplicht is gegevens te verstrekken. Verwerker zal de Onderwijsinstelling onmiddellijk in kennis stellen van een dergelijk bevel of verzoek, voorafgaand aan de verstrekking, tenzij het betreffende recht Verwerker deze kennisgeving om gewichtige redenen van algemeen belang verbiedt.

Artikel 4: Inschakeling van Onderverwerkers (Sub-processors)

  1. De Onderwijsinstelling verleent hierbij aan Verwerker uitdrukkelijke algemene toestemming voor het inschakelen van derde partijen als onderverwerkers ter verdere uitvoering van verwerkingsactiviteiten (zoals hosting en applicatiebeheer).
  2. De onderverwerkers die ten tijde van het sluiten van deze Overeenkomst door Verwerker zijn ingeschakeld, waaronder in ieder geval TransIP B.V. (voor infrastructuur en database-hosting) en Ploi.io (voor server management en analytics), zijn gespecificeerd in Bijlage 1. Partijen erkennen dat deze entiteiten hun infrastructuur uitsluitend binnen de Europese Economische Ruimte (EER) of onder adequate Europese regelingen exploiteren.
  3. In het geval dat Verwerker voornemens is nieuwe onderverwerkers toe te voegen of bestaande te vervangen, stelt Verwerker de Onderwijsinstelling daarvan schriftelijk of via elektronische weg op de hoogte. De Onderwijsinstelling heeft vervolgens dertig (30) dagen de tijd om gemotiveerd en uitsluitend op basis van wezenlijke tekortkomingen in de privacy-compliance schriftelijk bezwaar te maken.
  4. Indien de Onderwijsinstelling bezwaar maakt, treden Partijen in goed overleg om een werkbare oplossing te vinden. Indien Partijen niet tot overeenstemming komen, heeft Verwerker het recht de Hoofdovereenkomst en de onderhavige Overeenkomst met inachtneming van een redelijke opzegtermijn te beëindigen, zonder tot enige schadevergoeding jegens de Onderwijsinstelling gehouden te zijn.
  5. Verwerker legt de in te schakelen onderverwerker door middel van een verwerkersovereenkomst ten minste dezelfde verplichtingen inzake gegevensbescherming op als in de onderhavige Overeenkomst zijn vastgelegd. Verwerker blijft onverminderd aansprakelijk jegens de Onderwijsinstelling voor de nakoming van deze verplichtingen door de ingeschakelde onderverwerker.

Artikel 5: Meldplicht Inbreuken (Datalekken)

  1. Indien Verwerker een inbreuk in verband met persoonsgegevens vaststelt die waarschijnlijk een risico inhoudt voor de rechten en vrijheden van de betrokkenen, informeert Verwerker de Onderwijsinstelling hierover zonder onredelijke vertraging.
  2. Ter voorkoming van voorbarige meldingen en valse positieven (zoals niet-kwaadaardige netwerkanomalieën), komen Partijen overeen dat Verwerker deze melding uiterlijk binnen achtenveertig (48) uur na de definitieve vaststelling van een daadwerkelijke inbreuk aan de verantwoordelijk contactpersoon (of de Functionaris voor Gegevensbescherming) van de Onderwijsinstelling zal overbrengen.
  3. De kennisgeving omvat, voor zover de informatie op dat moment redelijkerwijs beschikbaar is: de aard van de inbreuk, geschatte getroffen betrokkenen, mogelijke gevolgen, en genomen of voorgestelde herstelmaatregelen.
  4. Verwerker verleent volledige medewerking aan het onderzoek en documentatie ter ondersteuning van de meldplicht aan de Autoriteit Persoonsgegevens, indien de Onderwijsinstelling hiertoe gehouden is.

Artikel 6: Ondersteuning bij Rechten van Betrokkenen

  1. Verwerker ondersteunt de Onderwijsinstelling bij het voldoen aan verzoeken van betrokkenen op grond van hoofdstuk III van de AVG (zoals inzage, rectificatie, verwijdering en dataportabiliteit).
  2. Indien een betrokkene zich rechtstreeks tot Verwerker wendt, zal Verwerker dit verzoek onverwijld doorgeleiden naar de Onderwijsinstelling en niet zelfstandig uitvoeren zonder uitdrukkelijke instructie.
  3. De kosten van deze ondersteuning worden gedragen door de Onderwijsinstelling indien de ondersteuning substantiële inspanning vereist boven het normale functioneren van het platform.

Artikel 7: Auditrecht en Kostenallocatie

  1. Verwerker stelt alle informatie ter beschikking die nodig is om de naleving van de verplichtingen uit deze Overeenkomst aan te tonen en maakt audits, waaronder inspecties, door de Onderwijsinstelling of een door deze gemachtigde controleur mogelijk.
  2. De Onderwijsinstelling geeft Verwerker ten minste dertig (30) dagen voorafgaand schriftelijk kennis van het voornemen tot een audit, onder vermelding van de exacte scope, methodologie en tijdsvenster.
  3. Alle kosten verbonden aan de audit, inclusief externe controleurs en interne uren van Verwerker, komen volledig voor rekening van de Onderwijsinstelling, ongeacht de uitkomst van de audit, tenzij er sprake is van grove nalatigheid of opzet van Verwerker zoals vastgesteld door de controleur.
  4. Verwerker mag volstaan met het overleggen van certificeringen van onderverwerkers (zoals ISO 27001 documenten van TransIP) in plaats van fysieke inspecties, indien deze documenten voldoende zekerheid bieden over de naleving.

Artikel 8: Duur, Beëindiging en Vernietiging van Data

  1. Deze Overeenkomst treedt in werking op de datum van ondertekening van de Hoofdovereenkomst en is onlosmakelijk verbonden met de uitvoering van de pilot met de Uniq Learn applicaties. De duur van deze Overeenkomst is derhalve gelijk aan de looptijd van de Hoofdovereenkomst.
  2. Zodra de Hoofdovereenkomst wordt beëindigd of ontbonden, eindigt deze Overeenkomst van rechtswege. De bepalingen inzake geheimhouding (Artikel 3) en de uitsluiting van aansprakelijkheid behouden hun gelding na beëindiging.
  3. Bij beëindiging van de diensten met betrekking tot de verwerking zal Verwerker, naar de uitdrukkelijke keuze van de Onderwijsinstelling, alle verwerkte persoonsgegevens onomkeerbaar vernietigen dan wel retourneren in een gestandaardiseerd, machineleesbaar formaat (zoals .CSV of .JSON).
  4. De vernietiging of retournering van de dataset zal uiterlijk binnen dertig (30) dagen na de feitelijke beëindigingsdatum plaatsvinden. Dit lid is niet van toepassing voor zover dwingende Unierechtelijke of lidstaatrechtelijke bepalingen opslag van de persoonsgegevens voorschrijven, of wanneer de data volledig en onomkeerbaar is geanonimiseerd voor statistische doeleinden of algoritme-optimalisatie waardoor identificatie van enig individu definitief is uitgesloten.

Artikel 9: Aansprakelijkheid en Toepasselijk Recht

  1. De algehele aansprakelijkheid van Verwerker ten aanzien van deze Overeenkomst en de verwerking van persoonsgegevens is, gezien de omvang van de pilot en het karakter van de onderneming, strikt onderworpen aan en gelimiteerd tot de aansprakelijkheidsbepalingen en maxima zoals neergelegd in de Hoofdovereenkomst dan wel de Algemene Voorwaarden van JK Uniq Workx.
  2. Verwerker is nimmer aansprakelijk voor schade ontstaan als direct gevolg van het handelen op instructie van de Onderwijsinstelling, noch voor schade die is ontstaan wegens ontoereikend wachtwoordbeheer, falend toegangsbeleid of nalatigheid gepleegd door eindgebruikers aan de zijde van de Onderwijsinstelling.
  3. Op deze Verwerkersovereenkomst en de uitvoering daarvan is uitsluitend het Nederlands recht van toepassing.
  4. Geschillen die voortvloeien uit of in verband staan met deze Overeenkomst, worden in eerste aanleg bij uitsluiting voorgelegd aan de bevoegde rechter in het arrondissement waar de onderneming van Verwerker is gevestigd, onverminderd het recht van de Autoriteit Persoonsgegevens om bevoegdheden uit te oefenen.

ALDUS OVEREENGEKOMEN, OPGEMAAKT EN ONDERTEKEND:

De Onderwijsinstelling (Verwerkingsverantwoordelijke):

Naam Instelling: _________________________________

Vertegenwoordigd door: _________________________________

Functie: _________________________________

Datum: _________________________________

Handtekening: _________________________________

JK Uniq Workx / Uniq Learn (Verwerker):

Naam Verwerker: _________________________________

Vertegenwoordigd door: _________________________________

Functie: _________________________________

Datum: _________________________________

Handtekening: _________________________________

Bijlage 1: Specificatie van Persoonsgegevens, Betrokkenen en Onderverwerkers (Privacybijsluiter)

De Verwerkingsverantwoordelijke draagt middels deze bijlage de Verwerker formeel op om onderstaande verwerkingen uit te voeren. Deze bijsluiter is geïnspireerd op de modellen van het Edu-V afsprakenstelsel.

Domein:

Leermiddel & Ondersteuning (3D-Digital Twins en interactieve techniekmodules MBO)

Aard van Verwerking:

Verzamelen, opslaan, beveiligen, beschikbaar stellen in interface en verwijderen.

Categorie Betrokkenen Doeleinden van Verwerking Categorieën van Persoonsgegevens Maximale Bewaartermijn
Studenten (MBO) Leveren van toegang tot de leermodules; het bijhouden en inzichtelijk maken van interacties en scores ten behoeve van de docent; authenticatie en technische support. • Volledige voornaam en achternaam
• Zakelijk e-mailadres (verstrekt door school)
• Inloggegevens (SSO ID of non-plain text wachtwoord)
• Geboortedatum (ter vaststelling van leeftijd conform AVG art. 8)
• Studievoortgang, toetsresultaten, voltooiingsstatus van 3D-modules
• Persoonlijke notities (versleuteld opgeslagen via applicatie-encryptie)
• Activiteitstijd per blok per dag (anonieme heartbeat, geen toetsaanslagen)
• Toestemmingstijdstip en IP-adres (AVG art. 7 — aantoonbaarheid toestemming) 		30 dagen na het formeel beëindigen van de Pilotovereenkomst of op eerder, specifiek schriftelijk verzoek van de Onderwijsinstelling tot wissing.
Docenten en Onderwijspersoneel Faciliteren van een administratief docentendashboard om voortgang van cohorten te monitoren; communicatie omtrent applicatie-beheer, functionaliteiten en datalek- of supportmeldingen. • Volledige voornaam en achternaam
• Zakelijk e-mailadres (verstrekt door school)
• Inloggegevens en admin-rechten
• Klassenkoppelingen (structuur toewijzing)
• Toestemmingstijdstip en IP-adres (AVG art. 7 — aantoonbaarheid toestemming) 		30 dagen na het beëindigen van de Pilotovereenkomst of na het definitief ontkoppelen en opheffen van het docentaccount.

Geregistreerde en goedgekeurde Onderverwerkers (Artikel 4)

Naam Onderverwerker en Locatie Geregistreerde Rol / Verwerkingsfunctie Waarborgen & Privacy Compliance Mechanismen
TransIP B.V.
(Nederland, EER)		 Facilitering van Cloud hosting (Virtual Private Servers), fysieke opslag van de centrale database, applicatie-files en off-site backups. Data wordt uitsluitend gehost in Nederlandse datacenters. Provider is ISO 27001 (Informatiebeveiliging), ISO 9001 en NEN 7510 (Zorg/gevoelige data) gecertificeerd.
Ploi.io
(Nederland, EER)		 Uitvoeren van geautomatiseerd server management, deployment van code, en leverancier van ingebouwde privacy-vriendelijke analytics (Matomo). Implementeert privacy by design. Self-hosted Matomo analytics verwerkt bezoekersdata zonder advertentietracking of cross-site tracking en is volledig AVG/GDPR compliant conform artikel 28 AVG.

Bijlage 2: Beveiligingsbijlage (Technische en Organisatorische Maatregelen)

Verwerker stelt, analoog aan de vereisten van artikel 32 AVG en in de geest van de ROSA IBP certificering vanuit Edu-V, de continuïteit en vertrouwelijkheid van het Uniq Learn platform veilig middels de onderstaande structurele Technical and Organizational Measures (TOM's).

Organisatorische Waarborgen en Governance:

  • Need-to-Know Autorisatie: De toegang tot de database en broncode van het SaaS-platform is structureel beperkt tot de eigenaar/hoofdbeheerder van JK Uniq Workx. Geen enkele (sub)aannemer krijgt ongeautoriseerd toegang tot klantdata zonder actieve screening en non-disclosure agreements (NDA's).
  • Privacy by Design & Kennisbeleid: Het beheer van het platform is gestoeld op principes geleid door een juridisch (CIPP/E niveau) bewustzijn, hetgeen betekent dat features worden ontworpen zonder onnodige data-inzameling en de standaardinstellingen op maximale privacy staan (Privacy by Default).
  • Datalek Respons Protocol: Er is een actief logboek- en meldingsprotocol van kracht om afwijkingen, gedetecteerd door Ploi.io server-monitoring, accuraat te onderzoeken, met als doel de rapportage binnen de 48-uur venster (Art. 5.2) te verzekeren.

Technische Beveiligingsmaatregelen:

Dreigingsprofiel / Beveiligingsdomein Geïmplementeerde Technische Maatregel (Uniq Learn Architectuur)
Data In Transit (Netwerkbeveiliging) Al het verkeer tussen de student/docent en het platform loopt geforceerd over SSL/TLS (minimaal versie 1.2, bij voorkeur TLS 1.3). Cryptografische certificaten worden automatisch vernieuwd via monitoring.
Data At Rest (Opslag en Backups) Opslagmedia in de TransIP datacenters maken gebruik van encryptie at rest. Geautomatiseerde databases worden periodiek en geïsoleerd geback-upt in een in Nederland gepositioneerd fallback-datacenter om continuïteit bij ransomware-aanvallen of fysiek falen te borgen.
Authenticatie (Logical Access) en Wachtwoorden Wachtwoorden van studenten en docenten worden louter cryptografisch gehasht opgeslagen (met behulp van state-of-the-art protocollen zoals Bcrypt of Argon2). Verwerker of enige beheerder kan deze wachtwoorden niet herleiden. Beheerderstoegang tot Ploi en TransIP is afgeschermd middels Multi-Factor Authenticatie (MFA).
Vulnerability & Patch Management Beheersysteem Ploi.io detecteert en implementeert noodzakelijke beveiligingspatches op serverniveau. De codebase van Uniq Learn (zoals de framework afhankelijkheden) wordt structureel geaudit op verouderde pakketten om inbraak (zoals remote code execution) te voorkomen.
Applicatieve Veiligheid & CSRF-preventie De SaaS-applicatie dwingt strikte Role-Based Access Control (RBAC) af en utiliseert actieve CSRF-tokens ter preventie van 'Cross-Site Request Forgery' aanvallen, waardoor sessie-hijacking door kwaadaardige derden (zoals infostealers) gemitigeerd wordt.
Fysieke Beveiliging van Datacenters Fysieke beveiliging wordt gedelegeerd aan de uiterst beveiligde faciliteiten van TransIP. Deze kennen 24/7 bewaking, strikte biometrische toegangsrestricties, gesegmenteerde noodstroom-arrays en state-of-the-art branddetectie.
Privacy-Vriendelijke Monitoring Voor het meten van het platformgebruik ter stabiliteitsverbetering wordt uitsluitend een lokale, geanonimiseerde vorm van Matomo ingezet via Ploi.io. Er worden geen invasieve analytische cookies van externe Big Tech geplaatst en IP-adressen worden lokaal gemaskeerd.