Verwerkersovereenkomst.

Verwerkersovereenkomst.

Hoe wij de persoonsgegevens van jouw klanten verwerken.

Voor het laatst gewijzigd: 30-7-2018 XxxxxXxxxXxxxxx.xx heeft twee petten op.

XxxxxXxxxXxxxxx.xx als verwerker

Voor de verwerking van persoonsgegevens van betrokkenen namens onze klanten, zoals hun klanten, prospects en websitebezoekers, zijn wij de verwerker (processor). Daar is deze verwerkersovereenkomst voor bedoeld.

XxxxxXxxxXxxxxx.xx als verwerkingsverantwoordelijke

Voor de verwerking van persoonsgegevens van betrokkenen waar wij rechtstreeks contact mee hebben, zoals onze klanten, prospects en bezoekers van onze website, zijn wij de verwerkingsverantwoordelijke (controller). Daarvoor is deze verwerkersovereenkomst niet bedoeld. Daarvoor hebben we een aparte privacyverklaring opgesteld.

VO artikel 1. De rolverdeling

Jij als klant van XxxxxXxxxXxxxxx.xx bent de verwerkingsverantwoordelijke (de controller) omdat jij zowel het doel als de middelen voor de verwerking bepaald. Hierna noemen we jou dus 'jij' of 'je' of 'jou' of 'jouw' tenzij het nodig is om extra duidelijk te zijn. In dat geval voegen we het woord Controller toe, omdat jij immers de controle over de persoonsgegevens hebt.

Wij, XxxxxXxxxXxxxxx.xx, zijn de verwerker (processor) van persoonsgegevens namens jou als onze klant. Hierna noemen we ons dus 'wij' of 'we' of 'ons' of 'onze' tenzij het nodig is om extra duidelijk te zijn. In dat geval voegen we het woord Processor toe, omdat wij immers de de persoonsgegevens processen (verwerken).

Als jij namens anderen persoonsgegevens door ons laat verwerken, dan is die ander de verwerkingsverantwoordelijke, ben jij de verwerker en zijn wij jouw subverwerker.

Als hostingprovider hebben wij vele toeleveranciers die persoonsgegevens verwerken. Zowel van onze eigen klanten, prospects en websitebezoekers, als ook van jouw klanten, prospects en websitebezoekers. Dat zijn onze sub-verwerkers.

VO artikel 2. Uitgangspunten

1. De begrippen die in deze Verwerkersovereenkomst gehanteerd worden en die in de Algemene Verordening Gegevensbescherming (AVG) gedefinieerd worden, hebben de betekenis die in de AVG daaraan is toegekend.

2. Hetgeen beschreven staat in deze verwerkingsovereenkomst wordt beschouwd als jouw volledige, allesomvattende schriftelijke instructies aan ons.

VO artikel 3. Doeleinden van de verwerking

1. Wij verbinden ons ertoe om onder de voorwaarden van deze Verwerkersovereenkomst in opdracht van jou als Controller Persoonsgegevens te verwerken. De verwerking zal uitsluitend plaatsvinden in het kader van het uitvoeren van de Overeenkomst, plus die doeleinden die daarmee redelijkerwijs samenhangen of die met nadere schriftelijke instemming worden bepaald.

2. Wij zullen de persoonsgegevens niet voor enig ander doel verwerken dan het uitvoeren van de Overeenkomst, plus die doeleinden die daarmee redelijkerwijs samenhangen. Jij zult ons schriftelijk en vooraf op de hoogte stellen van de verwerkingsdoeleinden voor zover deze niet reeds in deze Verwerkingsovereenkomst zijn genoemd. In artikel 14 van deze verwerkersovereenkomst is vastgelegd om welke categorieën van betrokkenen en persoonsgegevens het gaat.

3. Wij hebben geen zeggenschap over het doel en de middelen voor de verwerking van Persoonsgegevens. Wij nemen geen beslissingen over de ontvangst en het gebruik van de Persoonsgegevens, de verstrekking aan derden (met uitzondering van onze subverwerkers) en de duur van de opslag van Persoonsgegevens.

VO artikel 4. Verplichtingen van ons als Processor

1. Ten aanzien van de in artikel 3 genoemde verwerkingen zullen wij zorg dragen voor de naleving van de voorwaarden die, op grond van de AVG, worden gesteld aan het verwerken van Persoonsgegevens.

2. Wij zullen Persoonsgegevens en andere gegevens verwerken die door of namens jou aan ons zullen worden aangeleverd.

3. Wij zullen jou, op jouw verzoek daartoe en binnen een redelijke termijn, informeren over de door ons genomen maatregelen aangaande onze verplichtingen onder deze Verwerkersovereenkomst.

4. De verplichtingen van ons die uit deze Verwerkersovereenkomst voortvloeien, gelden ook voor degenen die Persoonsgegevens verwerken onder ons gezag.

5. Wij zullen jou in kennis stellen indien naar onze mening een instructie van jou in strijd is met relevante privacywet- en regelgeving.

6. Wij zullen jou naar alle redelijkheid en voor zover het binnen onze macht ligt de noodzakelijke medewerking verlenen wanneer er bij jou in het kader van de verwerking een gegevensbeschermingseffectbeoordeling, of voorafgaande raadpleging van de toezichthouder, noodzakelijk mocht zijn. Mogelijke kosten die hieruit voort kunnen vloeien zijn voor jouw rekening.

VO artikel 5. Doorgifte van persoonsgegevens

1. Wij mogen van jou de persoonsgegevens verwerken in landen binnen en buiten de Europese Unie, met inachtneming van de relevante wet- en regelgeving.

2. Wij zullen jou, op jouw verzoek daartoe, melden om welk land of landen het gaat.

VO artikel 6. Verdeling van verantwoordelijkheid

1. Zowel jij als wij zullen zorg dragen voor de naleving van toepasselijke privacywet- en regelgeving.

2. De toegestane verwerkingen zullen door ons worden uitgevoerd binnen een (semi-

)geautomatiseerde omgeving.

3. Wij zijn louter verantwoordelijk voor de verwerking van de Persoonsgegevens onder deze Verwerkersovereenkomst, overeenkomstig jouw instructies en onder de uitdrukkelijke (eind)verantwoordelijkheid van jou als Controller. Voor alle overige verwerkingen van Persoonsgegevens, waaronder in ieder geval begrepen maar niet beperkt tot de verzameling van de Persoonsgegevens door jou, verwerkingen voor doeleinden die niet schriftelijk middels een aangetekende brief door jou aan ons zijn gemeld en door ons vooraf zijn goedgekeurd, verwerkingen door derden en/of voor andere doeleinden, zijn wij niet verantwoordelijk. De verantwoordelijkheid voor deze verwerkingen rust uitsluitend bij jou als Controller.

4. Jij garandeert dat de inhoud, het gebruik en de opdracht tot verwerkingen van Persoonsgegevens, zoals bedoeld in deze Verwerkersovereenkomst, niet onrechtmatig is en geen inbreuk maakt op enig recht van derden.

VO artikel 7. Inschakelen van derden of onderaannemers

1. Jij verleent ons hierbij toestemming om bij de verwerking derden (subverwerkers) in te schakelen.

2. Op jouw verzoek zullen wij jou binnen een redelijke termijn informeren over de door ons ingeschakelde subverwerkers. Jij hebt het recht om bezwaar te maken tegen het inschakelen van een subverwerker. Dit bezwaar dient schriftelijk, binnen twee weken en door argumenten ondersteund, te worden ingediend. Dit kan echter wel betekenen dat we de overeengekomen Dienst niet langer kunnen verlenen, in welks geval er geen restitutie zal plaatsvinden.

3. Wij zorgen er voor dat deze derden dezelfde plichten op zich nemen als tussen ons en jou zijn overeengekomen.

VO artikel 8. Beveiliging

1. Wij zullen ons inspannen passende technische en organisatorische maatregelen te nemen met betrekking tot de te verrichten verwerkingen van Persoonsgegevens,

tegen verlies of tegen enige vorm van onrechtmatige verwerking (zoals onbevoegde kennisname, aantasting, wijziging of verstrekking van de persoonsgegevens).

2. Wij staan er niet voor in dat de beveiliging onder alle omstandigheden doeltreffend is. Wij zullen ons inspannen om de beveiliging te laten voldoen aan een niveau dat, gelet op de stand van de techniek, de gevoeligheid van de Persoonsgegevens en de aan het treffen van de beveiliging verbonden kosten, niet onredelijk is.

3. Jij stelt enkel Persoonsgegevens ter verwerking aan ons ter beschikking, als jij jezelf ervan hebt verzekerd dat de vereiste beveiligingsmaatregelen zijn getroffen. Jij bent verantwoordelijk voor de naleving van de door jou en ons samen afgesproken maatregelen.

VO artikel 9. Meldplicht

1. In het geval van een beveiligingslek en/of een datalek (waaronder wordt verstaan: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidde tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens) zullen wij ons naar beste kunnen inspannen om jou daarover zo snel mogelijk te informeren naar aanleiding waarvan jij beoordeelt of jij de toezichthoudende autoriteiten en/of betrokkenen zult informeren of niet. Wij spannen ons naar beste kunnen in om de verstrekte informatie volledig, correct en accuraat te maken.

2. Indien de wet- en/of regelgeving dit vereist zullen wij meewerken aan het informeren van de terzake relevante autoriteiten en eventueel betrokkenen. Jij bent verantwoordelijk voor het melden naar de relevante autoriteiten.

3. De meldplicht omvat in ieder geval het melden van het feit dat er een lek is geweest, alsmede:

• Wat de (vermeende) oorzaak van het lek is;

• Wat het (vooralsnog bekende en/of te verwachten) gevolg is;

• Wat de (voorgestelde) oplossing is;

• Wat de reeds ondernomen maatregelen zijn;

• Contactgegevens voor de opvolging van de melding;

• Wie geïnformeerd is (zoals betrokkene zelf, jij als Controller, toezichthouder).

VO artikel 10. Afhandeling verzoeken van betrokkenen

1. In het geval dat een betrokkene een verzoek over zijn persoonsgegevens richt aan ons, zullen wij het verzoek doorsturen aan jou en de betrokkene hiervan op de hoogte stellen. Jij zult het verzoek vervolgens verder zelfstandig afhandelen. Indien blijkt dat jij hulp nodig hebt van ons voor de uitvoering van een verzoek van een betrokkene, zullen wij, voor zover dit redelijkerwijs van ons verwacht kan worden, hieraan meewerken en kunnen we jou hiervoor kosten in rekening brengen.

VO artikel 11. Geheimhouding en vertrouwelijkheid

1. Op alle Persoonsgegevens die wij van jou ontvangen en/of zelf verzamelen in het kader van deze Verwerkersovereenkomst, rust een geheimhoudingsplicht jegens derden. Wij zullen deze informatie niet voor een ander doel gebruiken dan waarvoor wij deze hebben verkregen, tenzij deze in een zodanige vorm is gebracht dat deze niet tot betrokkenen herleidbaar is.

2. Deze geheimhoudingsplicht is niet van toepassing:

1. Voor zover jij toestemming hebt gegeven om de informatie aan derden te verschaffen; of

2. Als het verstrekken van de informatie aan derden logischerwijs noodzakelijk is voor de uitvoering van de Overeenkomst of deze Verwerkersovereenkomst; of

3. Als er een wettelijke verplichting bestaat om de informatie aan een derde te verstrekken.

VO artikel 12. Audit

1. Jij hebt het recht om, niet meer dan één (1) keer per jaar, audits uit te laten voeren door een onafhankelijke ICT-deskundige die aan geheimhouding is gebonden ter controle van naleving van alle punten uit deze Verwerkersovereenkomst.

2. Deze audit vindt uitsluitend plaats bij een concreet en goed onderbouwd vermoeden van misbruik van persoonsgegevens.

3. Wij zullen aan de audit meewerken en alle voor de audit redelijkerwijs relevante informatie, inclusief ondersteunende gegevens zoals systeemlogs, en medewerkers zo tijdig mogelijk en binnen een redelijke termijn ter beschikking stellen.

4. De bevindingen naar aanleiding van de uitgevoerde audit zullen door jou en ons in onderling overleg worden beoordeeld en, naar aanleiding daarvan, al dan niet worden doorgevoerd door jou, door ons of gezamenlijk. Hierbij heb jij recht op inzage in de conclusies en eventueel voorgestelde maatregelen die in de rapportage van de audit vermeld worden. Je hebt geen recht op inzage in de concrete details van de beveiligingsmaatregelen die wij treffen, voor zover aanwezig in de rapportage, omdat dit een beveiligingsrisico op zichzelf inhoudt.

5. De redelijke kosten voor de audit worden door jou gedragen, met dien verstande dat de kosten voor de in te huren ICT-deskundige altijd door jou zullen worden gedragen.

VO artikel 13. Duur en opzegging

1. De Verwerkersovereenkomst is aangegaan voor de duur zoals bepaald in de Overeenkomst tussen jou en ons en bij gebreke daarvan in ieder geval voor de duur van de samenwerking.

2. De Verwerkersovereenkomst kan tussentijds niet worden opgezegd.

3. Net als de rest van deze Algemene Voorwaarden, mogen wij deze Verwerkersovereenkomst te allen tijde wijzigen. Dat kan nodig zijn als we aanpassingen doen in de manier waarop we persoonsgegevens verwerken of wanneer we met bepaalde subverwerkers gaan werken. Uiteraard zullen wij elke wijziging via e-mail aan jou communiceren. De nieuwste versie wordt weergegeven in de sectie 'Voor het laatst gewijzigd'.

4. Na beëindiging van de Verwerkersovereenkomst vernietigen wij de van jou ontvangen Persoonsgegevens binnen één maand, tenzij we samen anders overeenkomen.

VO artikel 14. Specificatie van de verwerkingen die wij namens jou doen

1. De AVG vereist onder andere dat wij in deze overeenkomst vastleggen welke soorten persoonsgegevens wij namens jou in het kader van artikel 3.1 verwerken en welke categorieën van betrokkenen het betreft. Dat wordt beschreven in dit artikel.

Soorten persoonsgegevens:

• NAW-gegevens (zoals naam, adres, woonplaats, land)

• Persoonsgegevens (geboortedatum, geslacht)

• Contactgegevens (zoals telefoonnummer, e-mailadres)

• Bedrijfsgegevens (zoals bedrijfsnaam, bedrijfsvorm, KvK nummer, BTW nummer)

• Betaalgegevens (zoals IBAN, BIC, bankrekeningnummer, Creditcard gegevens)

• Logingegevens (zoals gebruikersnaam en wachtwoord)

• Online identificatoren (zoals avatar, gebruikersnaam, ip-adres, emailadres, locatiegegevens, bezoekgedrag)

Van de categorieën betrokkenen:

• Jouw mogelijke klanten (prospects)

• Jouw accounthouders

• Jouw websitebezoekers

• Jouw klanten

• Jouw personeel

2. Het is jou uitdrukkelijk en onder alle omstandigheden verboden om bijzondere persoonsgegevens via onze systemen, producten en diensten te verwerken.

3. Jij staat ervoor in dat de in dit artikel omschreven persoonsgegevens en categorieën betrokkenen volledig en correct zijn, en vrijwaart ons voor enige gebreken en aanspraken die resulteren uit een incorrecte weergave door jou.