WEBSITE: E-MAIL:
WEBSITE: E-MAIL:
xxx.xxxxxxxx.xx xxxx@xxxxxxxx.xx
ADRES: Xxxxxxxxx xxx Xxxxxxxxxx 00
IT PC/ PLAATS: 0000 XX XXXXX
Verwerkersovereenkomst
Opgemaakt op: 07-10-2016
Laatste wijziging: 19-02-2022
Partijen
Buskruit Internet, gevestigd te Gouda aan de Noothoven van Goorstraat 23 (2806 RB); ingeschreven in het handelsregister onder nummer 51740079, vertegenwoordigd door xxx. X. xx Xxxx. Hierna te noemen: ‘Verwerker’
En
De wederpartij aan wie zij diensten levert, hierna te noemen: ‘verwerkersverantwoordelijke’
Nemen het volgende in overweging:
a. Dat Verwerker en Verwerkersverantwoordelijke een overeenkomst hebben gesloten waarin Verwerker zich verbindt tot hosting en/of beheer van een website of webapplicatie voor Verwerkersverantwoordelijke;
b. dat Verwerkersverantwoordelijke beschikt over persoonsgegevens van diverse betrokkenen;
c. dat Verwerkersverantwoordelijke bepaalde vormen van verwerking wil laten verrichten door de Verwerker, waarbij de Verwerkersverantwoordelijke doel en middelen aanwijst;
d. dat de Verwerker hiertoe bereid is en tevens bereid is verplichtingen omtrent beveiliging en andere aspecten van de Wet bescherming persoonsgegevens na te komen, voor zover dit binnen zijn macht ligt;
e. Dat Verwerkersverantwoordelijke ten aanzien van de verwerking van persoonsgegevens is aan te merken als verwerkersverantwoordelijke in de zin van artikel 1 sub d Wbp;
f. Dat Verwerker ten aanzien van de verwerking van persoonsgegevens is aan te merken als Verwerker in de zin van artikel 1 sub e Wbp;
g. dat Partijen, mede gelet op het vereiste uit artikel 14 lid 5 van de Wet bescherming persoonsgegevens, hun rechten en plichten schriftelijk wensen vast te leggen.
Komen het volgende overeen:
Artikel 1. Overeenkomst
1.1. Verwerker verzorgt in opdracht van Verwerkersverantwoordelijke het beheer en/of de hosting van één of meerdere online applicaties c.q. websites en alle ingevoerde data door Verwerkersverantwoordelijke
1.2. Verwerker draagt zorg voor een dagelijkse back-up van alle data van Verwerkersverantwoordelijke.
1.3. Verwerker zorgt voor een doelmatige beveiliging van de te gebruiken webapplicatie. Zie art. 8 van deze overeenkomst.
Artikel 2. Verwerking persoonsgegevens
2.1. Verwerker zal in het kader van de overeenkomst met Verwerkersverantwoordelijke persoonsgegevens verwerken. Verwerker zal de persoonsgegevens verwerken op behoorlijke en zorgvuldige wijze en in
IBAN: XX00 XXXX 000 000 0000
BIC: XXXXXX0X
KvK: 51740079
BTW: NL002268478B40
�..�.J..
BUSKiU IT
ADRES: Xxxxxxxxx xxx Xxxxxxxxxx 00
PC/ PLAATS: 0000 XX XXXXX
overeenstemming met de Wbp en andere toepasselijke regelgeving betreffende de verwerking van Persoonsgegevens.
2.2. Verwerking van de persoonsgegevens zal uitsluitend plaatsvinden in het kader van het beheer en/of de hosting van de online applicaties c.q. websites.
2.3. Verwerker zal de persoonsgegevens niet voor enig ander doel verwerken dan zoals door verwerkersverantwoordelijke is vastgesteld. Verwerkersverantwoordelijke zal Verwerker op de hoogte stellen van de verwerkingsdoeleinden voor zover deze niet reeds in deze Verwerkersovereenkomst zijn genoemd.
2.4. De in opdracht van verwerkersverantwoordelijke te verwerken persoonsgegevens blijven eigendom van Verwerkersverantwoordelijke en/of de betreffende betrokkenen.
2.5. Verwerker heeft geen zeggenschap over het doel en de middelen voor de verwerking van Persoonsgegevens en neemt geen beslissingen over het gebruik van de persoonsgegevens, de verstrekking aan derden en de duur van de opslag van persoonsgegevens.
2.6. Verwerker zal passende technische en organisatorische maatregelen nemen, in stand houden en zo nodig aanpassen om de persoonsgegevens van Verwerkersverantwoordelijke te beveiligen om onrechtmatige verwerking te voorkomen.
Artikel 3 Inzet Subverwerkers
3.1. Verwerker is gerechtigd de uitvoering van de Verwerkersovereenkomst geheel of ten dele uit te besteden aan Subverwerkers. Verwerker blijft voor Verwerkersverantwoordelijke te allen tijde aanspreekpunt en verantwoordelijk voor de naleving van de bepalingen uit deze Verwerkersovereenkomst.
3.2. Verwerker zal aan subverwerkers dezelfde of soortgelijke verplichtingen opleggen als voor zichzelf uit deze Verwerkersovereenkomst voortvloeien en Verwerker zal toezien op de naleving daarvan door subverwerkers.
3.3. Verwerker blijft volledig aansprakelijk jegens verwerkersverantwoordelijke voor de gevolgen van het uitbesteden van werkzaamheden aan subverwerkers.
3.4. Voor de inzet van subverwerkers in een land buiten Nederland is afzonderlijke voorafgaande schriftelijke toestemming vereist van verwerkersverantwoordelijke.
Artikel 4 Meldplicht Datalekken
4.1. Verwerker is verplicht Verwerkersverantwoordelijke direct schriftelijk te informeren (doch uiterlijk binnen 12 uur) over een inbreuk op webhosting waarvan kan worden vermoed dat deze inbreuk leidt tot een (risico op) onbevoegd kennisnemen, verlies, onrechtmatige verwerking van de Persoonsgegevens of tot een andere vorm van inbreuk. De in dit lid vermelde kennisgeving aan Verwerkersverantwoordelijke omvat in ieder geval:
a. De vermeende oorzaak van de inbreuk;
b. de aard en de omvang van de Inbreuk (en de getroffen Persoonsgegevens);
c. de door Verwerker genomen maatregelen en de nog te nemen maatregelen om de Inbreuk te (doen) beëindigen dan wel door negatieve gevolgen van de Inbreuk te beperken.
4.2. Verwerker zal in geval van een Inbreuk alle instructies van Verwerkersverantwoordelijke dienaangaande opvolgen. Verwerker zal meewerken aan het adequaat informeren van de bevoegde autoriteiten en betrokkene(n).
4.3. Verwerker doet geen informatie uitgaan over de Inbreuk zonder schriftelijke toestemming van de Verwerkersverantwoordelijke.
�..�.J..
BUSKiU IT
ADRES: Xxxxxxxxx xxx Xxxxxxxxxx 00
PC/ PLAATS: 0000 XX XXXXX
4.4. Partijen komen uitdrukkelijk overeen dat een Inbreuk wordt aangemerkt als een voldoende zwaarwegende reden voor Verwerkersverantwoordelijke om de Verwerkersovereenkomst en eventuele andere tussen partijen gesloten overeenkomsten op te zeggen of te ontbinden.
4.5. Verwerkersverantwoordelijke meldt (indien verplicht) de inbreuk aan een toezichthouder/ autoriteit. Een dergelijke melding zal nimmer als een tekortkoming van deze Verwerkersovereenkomst, van een Onderliggende Overeenkomst of als een onrechtmatige daad worden beschouwd.
Artikel 5 Verplichtingen verwerkersverantwoordelijke
5.1. Verwerkersverantwoordelijke is ten aanzien van de Verwerking van Persoonsgegevens krachtens deze Verwerkersovereenkomst de 'Verwerkersverantwoordelijke' zoals omschreven in artikel 1 sub d Wbp.
5.2. Verwerkersverantwoordelijke staat er voor in dat de verwerking van de persoonsgegevens zoals omschreven in deze Verwerkersovereenkomst in overeenstemming is met de wbp.
Artikel 6 Geheimhouding
6.1. Op alle persoonsgegevens en overige data die Verwerker van verwerkersverantwoordelijke ontvangt en/of zelf verzamelt in het kader van deze Verwerkersovereenkomst, rust een geheimhoudingsplicht jegens derden. Deze geheimhoudingsplicht blijft voortduren na het eindigen van deze overeenkomst. Verwerker zal deze informatie niet voor een ander doel gebruiken dan waarvoor hij deze heeft verkregen, zelfs niet wanneer deze in een zodanige vorm is gebracht zodat deze niet tot betrokkenen herleidbaar is.
6.2. Deze geheimhoudingsplicht is niet van toepassing voor zover:
a. Verwerkersverantwoordelijke uitdrukkelijke toestemming heeft gegeven om de informatie aan derden te verschaffen;
b. het verstrekken van de informatie aan derden logischerwijs noodzakelijk is gezien de aard van de verstrekte opdracht en de uitvoering van deze Verwerkersovereenkomst;
c. er een wettelijke verplichting bestaat om de informatie aan een derde te verstrekken.
Artikel 7 Doorgifte van persoonsgegevens
7.1. Verwerker mag de Persoonsgegevens enkel buiten de Europese Unie verwerken met voorafgaande schriftelijke toestemming van de verwerkersverantwoordelijke. Doorgifte van persoonsgegevens naar landen buiten de Europese Unie is verboden.
7.2. Verwerker zal Verwerkersverantwoordelijke melden wanneer hij in een ander land dan Nederland Persoonsgegevens verwerkt.
7.3. Verwerker zal geen Persoonsgegevens of andere data aan een derde verstrekken of ter beschikking stellen tenzij op grond van:
a. een uitdrukkelijke schriftelijke opdracht van Verwerkersverantwoordelijke;
b. op bevel van een gerechtelijke of bestuurlijke instantie, op voorwaarde dat Verwerker in dat geval verwerkersverantwoordelijke binnen 24 uur na ontvangst van een dergelijk bevel daarvan in kennis stelt om verwerkersverantwoordelijke zodoende in staat te stellen daartegen een haar ter beschikking staand rechtsmiddel in te stellen.
7.4. Indien Verwerker van oordeel is dat hij op grond van een wettelijke verplichting Persoonsgegevens ter beschikking dient te stellen aan een daartoe bevoegde instantie zal hij daar niet toe overgaan, dan na overleg met en
�..�.J..
BUSKiU IT
ADRES: Xxxxxxxxx xxx Xxxxxxxxxx 00
PC/ PLAATS: 0000 XX XXXXX
goedkeuring van Verwerkersverantwoordelijke. Verwerker zal Verwerkersverantwoordelijke zo spoedig mogelijk schriftelijk in kennis stellen van de wettelijke verplichting en daarbij alle relevante informatie verstrekken die Verwerkersverantwoordelijke redelijkerwijs nodig heeft om de benodigde maatregelen te treffen om te bepalen of verstrekking kan plaatsvinden en, zo ja, onder welke voorwaarden. Daarnaast zal Verwerker:
a. alles in het werk stellen om de verstrekking te beperken tot hetgeen wettelijk verplicht is;
b. verwerkersverantwoordelijke in staat stellen om de rechten van Verwerkersverantwoordelijke en Betrokkenen uit te oefenen en de belangen van Verwerkersverantwoordelijke en Betrokkenen te verdedigen.
Artikel 8 Beveiliging
8.1. Verwerker zal alle passende technische en organisatorische maatregelen treffen om de Persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen zullen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau garanderen, gelet op de risico’s die verwerking en de aard van de te beschermen Persoonsgegevens met zich brengen. Verwerker garandeert dat hij in ieder geval in Bijlage B afgesproken technische en organisatorische maatregelen heeft getroffen, en treft voorts alle technische en organisatorische maatregelen die noodzakelijk zijn om de Persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking.
8.2. Verwerkersverantwoordelijke en Verwerker zullen de Verwerking van Persoonsgegevens beveiligen overeenkomstig de voorschriften gesteld bij of krachtens de Wbp en bij of krachtens overige wetgeving ten aanzien van het verwerken van Persoonsgegevens.
8.3. De door of vanwege Verwerker aan Verwerkersverantwoordelijke verstrekte toegangs- of identificatiecodes en certificaten zijn vertrouwelijk en zullen door Verwerkersverantwoordelijke als zodanig worden behandeld. Verwerker is gerechtigd toegewezen toegangs- of identificatiecodes en certificaten te wijzigen.
8.4. Verwerker is gerechtigd het beveiligingsniveau van de persoonsgegevens te verhogen. Indien van toepassing zal hij verwerkersverantwoordelijke op de hoogte stellen.
Artikel 9 Aansprakelijkheid
9.1. Verwerker is aansprakelijk voor alle schade die voortvloeit uit of verband houdt met het niet-nakomen van deze Verwerkersovereenkomst dan wel handelen in strijd met de Wbp.
9.2. Verwerker vrijwaart Verwerkersverantwoordelijke tegen aanspraken van derden, waaronder Betrokkenen, in verband met het toerekenbaar tekortschieten van Verwerker in de nakoming van deze Verwerkersovereenkomst.
9.3. Verwerker vrijwaart Verwerkersverantwoordelijke tegen aanspraken in verband met overtreding van de Wbp door Xxxxxxxxx en zal alle daarmee verband houdende en daaruit voortvloeiende kosten (waaronder mede begrepen kosten van juridische bijstand) en schade van verwerkersverantwoordelijke vergoeden.
Artikel 10. Tekortkoming in nakoming
Indien Partijen toerekenbaar tekortschieten in de nakoming van hun verplichtingen uit deze Verwerkersovereenkomst kunnen zij elkaar in gebreke stellen, tenzij nakoming blijvend onmogelijk is. De ingebrekestelling geschiedt schriftelijk, waarbij aan de andere Partij een redelijke termijn wordt gegund om alsnog haar verplichtingen na te komen. Deze termijn is een fatale termijn. Indien nakoming binnen deze termijn uitblijft, is de Partij in verzuim.
�..�.J..
BUSKiU IT
Artikel 11. Audit
ADRES: Xxxxxxxxx xxx Xxxxxxxxxx 00
PC/ PLAATS: 0000 XX XXXXX
11.1. Verwerkersverantwoordelijke heeft het recht om audits bij Verwerker uit te voeren. Verwerker zal in deze meewerken en ondersteuning verlenen. Verwerkersverantwoordelijke kan dat na toestemming van Verwerker daartoe zelf doen of hij kan dat laten doen door een onafhankelijke auditor.
11.2. Wanneer Verwerkersverantwoordelijke een derde inschakelt ten behoeve van de uitvoering van het onderzoek verplicht Verwerkersverantwoordelijke de derde tot geheimhouding.
11.3. Verwerkersverantwoordelijke draagt de kosten van de audit.
Artikel 12. Duur en beëindiging
12.1. Deze Verwerkersovereenkomst gaat in voor onbepaalde tijd.
12.2. In geval van beëindiging om welke reden dan ook, zal Verwerker alle Persoonsgegevens en overige data die hij onder zich heeft, inclusief eventuele kopieën van deze Persoonsgegevens zodanig verwijderen en/of vernietigen dat hergebruik van de data uitgesloten is.
12.3. Verplichtingen die naar hun aard bestemd zijn om ook na beëindiging van de Verwerkersovereenkomst voort te duren, blijven na het einde van de Verwerkersovereenkomst bestaan. Tot voornoemde bepalingen behoren onder andere de bepalingen ten aanzien van geheimhouding, gevolgen van beëindiging, boete, aansprakelijkheid, toepasselijk recht en bevoegde rechter.
Artikel 13. Overdracht rechten en plichten
13.1. Deze Verwerkersovereenkomst en de rechten en verplichtingen uit deze Verwerkersovereenkomst kunnen door Verwerker niet aan derden worden overgedragen zonder de voorafgaande schriftelijke toestemming van Verwerkersverantwoordelijke.
13.2. Het is Verwerker niet toegestaan om de rechten en verplichtingen uit deze Verwerkersovereenkomst te bezwaren of in te brengen in een maatschap of rechtspersoon, zonder de voorafgaande schriftelijke toestemming van Verwerkersverantwoordelijke.
Artikel 14. Deelbaarheid
Indien één of meer bepalingen van deze Verwerkersovereenkomst niet rechtsgeldig blijkt te zijn, zal de Verwerkersovereenkomst voor het overige van kracht blijven. Partijen zullen over de bepalingen welke niet rechtsgeldig zijn overleg plegen, teneinde een vervangende regeling te treffen die wel rechtsgeldig is en zoveel mogelijk aansluit bij de strekking van de te vervangen regeling.
Artikel 15. Intellectuele eigendomsrechten
15.1. Alle intellectuele eigendomsrechten - waaronder auteursrechten, databankrechten en alle overige rechten van intellectuele eigendom alsmede soortgelijke rechten tot bescherming van informatie - op de verzameling van data en Persoonsgegevens, kopieën of bewerkingen daarvan, berusten te allen tijde bij Verwerkersverantwoordelijke. Verwerker erkent de intellectuele eigendomsrechten van Verwerkersverantwoordelijke en verbindt zich ertoe het bestaan daarvan niet te betwisten.
�..�.J..
BUSKiU IT
ADRES: Xxxxxxxxx xxx Xxxxxxxxxx 00
PC/ PLAATS: 0000 XX XXXXX
15.2. Alle intellectuele eigendomsrechten - waaronder auteursrechten, databankrechten en alle overige rechten van intellectuele eigendom alsmede soortgelijke rechten tot bescherming van informatie - op de producten en dienstverlening van Verwerker, berusten te allen tijde bij Verwerker. Verwerkersverantwoordelijke erkent de intellectuele eigendomsrechten van Verwerker en verbindt zich ertoe het bestaan daarvan niet te betwisten.
Artikel 16. Toepasselijk recht en geschillen
1. Nederlands recht is van toepassing op deze Verwerkersovereenkomst.
2. Deze Verwerkersovereenkomst kan slechts worden gewijzigd door middel van een schriftelijk stuk waarin uitdrukkelijk staat vermeld dat het stuk bedoelt een dergelijke wijziging aan te brengen en dat door ter zake bevoegde vertegenwoordigers van Partijen is ondertekend.
Bijlage A: Definities
Betrokkene: betrokkene in de zin van de Wet bescherming persoonsgegevens;
Verwerkersovereenkomst: deze overeenkomst.
Datalek: een inbreuk op de beveiliging van Persoonsgegevens die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen, dan wel ernstige nadelige gevolgen heeft voor de bescherming van Persoonsgegevens die door hem worden verwerkt;
Persoonsgegevens: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon dat Xxxxxxxxx op grond van de overeenkomst tussen Verwerker en Verwerkersverantwoordelijke verwerkt of dient te verwerken;
Persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon; Verwerken/verwerking: alle handelingen of reeks handelingen uitgevoerd op persoonsgegevens, al dan niet door geautomatiseerde middelen, zoals verzamelen, vastleggen, structureren, opslaan, aanpassen of wijzigen, ophalen, raadplegen (zowel bedoeld, als onbedoeld), gebruiken, bekendmaken door overdracht, verspreiding of anderszins beschikbaar maken, afstemmen of combineren, blokkeren, wissen of vernietigen.
Wbp: Wet bescherming persoonsgegevens.
Bijlage B: Getroffen beveiligingsmaatregelen
1. Algemene maatregelen
✓ IT-voorzieningen en apparatuur zijn fysiek beschermd tegen toegang door onbevoegden en tegen schade en storingen.
✓ In alle toepassingssystemen zijn beveiligingsmaatregelen ingebouwd waaronder een adequaat toegangsbeheer.
✓ Het netwerk en de informatiesystemen worden actief gemonitord en beheerd. Er is tevens een procedure beschikbaar om eventuele datalekken af te handelen. Onderdeel hiervan is het informeren van de Verwerkingsverantwoordelijke.
�..�.J..
BUSKiU IT
ADRES: Xxxxxxxxx xxx Xxxxxxxxxx 00
PC/ PLAATS: 0000 XX XXXXX
✓ De Verwerker installeert tijdig oplossingen die de leveranciers uitbrengen voor beveiligingslekken. Dit alles uitsluitend indien en voor zover de betreffende software door de Verwerker is/wordt geleverd, of gebruikt, of onderhouden ten behoeve van de Verwerkingsverantwoordelijke.
✓ De Verwerkingsverantwoordelijke meldt datalekken die onder een wettelijke meldplicht vallen bij de betreffende toezichthouder (veelal de Autoriteit Persoonsgegevens).
2. Serverbeveiliging
✓ Voor de hosting van de server wordt gebruik gemaakt van een Virtual Private Server (VPS).
✓ De VPS-beheersoftware wordt 24/7 gemonitord en geüpdatet door een gerenommeerde VPS-aanbieder.
✓ De toegang tot de VPS is beveiligd met sterke wachtwoorden van minimaal 12 tekens, bestaande uit zowel letters als cijfers en speciale tekens.
✓ De toegang tot de VPS is beperkt tot een enkele gebruiker, niet zijnde ‘root’.
✓ Het OS op de VPS wordt maandelijks voorzien van de meest recente software-updates.
✓ De VPS is voorzien van een SSL-certificaat waarmee al het dataverkeer tussen de server en de clients wordt versleuteld.
✓ Er is een externe back-upserver ingericht, waarop de dagelijkse (versleutelde) back-ups worden opgeslagen.
3. Webhostingbeveiliging
✓ De admin- en reseller-accounts op de server zijn beveiligd met sterke wachtwoorden van minimaal 12 tekens, bestaande uit zowel letters als cijfers en speciale tekens. Ook is 2FA ingeschakeld voor deze accounts.
✓ Na tien mislukte inlogpogingen wordt het IP-adres automatisch geblokkeerd.
✓ De afnemer van de dienst ‘webhosting’ krijgt toegang tot een ‘control panel’ middels een sterk wachtwoord van tenminste 8 tekens bestaande uit hoofdletters en kleine letters. Ook kan 2FA worden ingeschakeld.
✓ De afnemer van de dienst ‘webhosting’ kan in het ‘control panel’ zelf de domeinen en bijbehorende instellingen (SSL, DNS, mail etc.) beheren.
✓ De afnemer van de dienst ‘webhosting’ krijgt de gelegenheid een gratis Let’s Encrypt SSL-certificaat in te stellen.
4. Applicatie- en websitebeveiliging (mits in beheer bij Buskruit)
✓ De website of applicatie, hierna te noemen applicatie, is alleen te benaderen via het HTTPS-protocol.
✓ De applicatie maakt gebruik van sessiebeveiliging.
✓ Alle acties op door ons ontwikkelde applicaties worden gelogd in een MySQL-database.
✓ Alle data wordt per klant in een aparte MySQL-database met eigen gebruiker opgeslagen.
✓ De MySQL-databases zijn niet vanaf externe IP-adressen te benaderen.
✓ De wachtwoorden van de gebruikers moeten minimaal 12 tekens lang zijn en bestaan uit zowel letters als cijfers.
✓ Alle wachtwoorden van de gebruikers zijn gehashed (versleuteld) opgeslagen in een MySQL-database.
✓ Na drie mislukte inlogpogingen wordt de toegang gedurende 10 minuten geblokkeerd.
✓ Per gebruiker kan ingesteld worden dat hij na een in te stellen aantal seconden, automatisch wordt uitgelogd bij inactiviteit.
✓ De klant is de optie aangeboden om meerdere niveaus van toegang in te stellen in de applicatie, het is aan de klant zelf of hij hier gebruik van wil maken.