VERWERKERSOVEREENKOMST- versie 2018.01

VERWERKERSOVEREENKOMST- versie 2018.01

1. Opdrachtgever: de partij die opdracht geeft;

2. Opdrachtnemer: VOF Xxxxx xx Xxxx Plat, handelend onder de naam “Van der Wagen Sinia Administratie en Advies”.

in aanmerking nemend dat:

• opdrachtnemer diensten verricht ten xxxxxxx van opdrachtgever, zoals beschreven in de opdrachtbevestiging (hierna: de diensten);

• de diensten met zich brengen dat persoonsgegevens worden verwerkt, waarvoor opdrachtgever verwerkingsverantwoordelijke is in de zin van de Algemene Verordening Gegevensbescherming (hierna: AVG);

• opdrachtnemer de betreffende gegevens verwerkt xxxxxx in opdracht van opdrachtgever en niet voor eigen doeleinden. Opdrachtnemer is in dat kader aan te merken als verwerker in de zin van de AVG;

• partijen verplicht zijn op grond van de geldende privacy wet- en regelgeving afspraken te maken en deze vast te leggen met betrekking tot de verwerking van persoonsgegevens door opdrachtnemer;

• partijen middels deze overeenkomst de afspraken met betrekking tot de verwerking van persoonsgegevens in het kader van de diensten wensen vast te leggen.

komen het volgende overeen.

Artikel 1. Diensten waarbij persoonsgegevens worden verwerkt

1. Opdrachtnemer verricht ten behoeve van opdrachtgever de in zoals beschreven opdrachtbevestiging. Het verlenen van de diensten brengt verwerkingen van persoonsgegevens met zich waarvoor opdrachtgever verwerkingsverantwoordelijke is in de zin van de AVG. Opdrachtnemer fungeert daarbij als verwerker in de zin van de AVG.

2. Opdrachtnemer en opdrachtgever verstrekken elkaar over en weer tijdig alle benodigde informatie om een goede naleving van de geldende privacywet- en regelgeving mogelijk te maken.

Artikel 2. Uitgangspunten bij het verwerken van persoonsgegevens

1. Opdrachtnemer zal de in artikel 1 bedoelde persoonsgegevens te allen tijde verwerken op behoorlijke en zorgvuldige wijze en in overeenstemming met de toepasselijke wet- en regelgeving (waaronder de AVG), de (specifieke) instructies en aanwijzingen van opdrachtgever alsmede een eventueel toepasselijke gedragscode van opdrachtgever.

2. Opdrachtnemer zal de persoonsgegevens voorts louter verwerken voor zover noodzakelijk voor het verlenen van de diensten en/of het uitvoeren van de specifieke instructies en aanwijzingen van opdrachtgever. Het is opdrachtnemer niet toegestaan persoonsgegevens voor andere doeleinden te verwerken, tenzij daartoe een wettelijke verplichting bestaat.

3. Opdrachtnemer zal de verwerking van persoonsgegevens louter binnen de grenzen van de Europese Economische Ruimte (“EER”) (doen) uitvoeren.

Artikel 3. Beveiligings- en betrouwbaarheidsmaatregelen en gegevensbeschermingseffectbeoordeling

1. Opdrachtnemer zal in overeenstemming met de geldende wettelijke regels de beveiliging van persoonsgegevens waarborgen en technische- en organisatorische maatregelen nemen om de persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen zullen passend zijn, rekening houdend met de stand van de techniek en de kosten die ermee gemoeid zijn en zullen er mede op gericht zijn onnodige verzamelingen en verdere verwerking van persoonsgegevens te voorkomen. Opdrachtnemer zal in dat kader ten minste een niveau van beveiliging realiseren en de beveiligingsmaatregelen treffen zoals beschreven in bijlage 1 bij deze overeenkomst.

2. Opdrachtnemer zal voorts maatregelen treffen teneinde een passende mate van betrouwbaarheid (beschikbaarheid, integriteit en vertrouwelijkheid) van de verwerkte persoonsgegevens te garanderen. In dat kader zullen ten minste de in bijlage 2 gespecificeerde maatregelen door opdrachtnemer worden getroffen.

3. Indien opdrachtgever een beoordeling wenst uit te voeren van een beoogde verwerkingsactiviteit in het kader van de uitvoering van de diensten, zal opdrachtnemer alle redelijke medewerking verlenen om deze beoordeling in overeenstemming met de geldende wet- en regelgeving uit te kunnen voeren. Tevens zal opdrachtnemer alle redelijke medewerking verlenen indien een voorafgaande raadpleging van de Autoriteit Persoonsgegevens nodig is op grond van de geldende privacywetgeving. Opdrachtgever zal opdrachtnemer de in dit kader gemaakte redelijke kosten vergoeden.

Artikel 4. Meldplicht (beveiligings)incidenten

1. Zodra zich een inbreuk op de beveiliging in verband met persoonsgegevens voordoet als bedoeld in artikel 33 AVG, die betrekking heeft (of kan hebben) op de persoonsgegevens waarvoor opdrachtgever verwerkingsverantwoordelijke is en die op grond van de AVG mogelijk moet worden gemeld aan de Autoriteit Persoonsgegevens en/of de betrokkene, zal opdrachtnemer opdrachtgever hierover zo spoedig mogelijk na ontdekking informeren, doch uiterlijk binnen 48 uur na ontdekking, ongeacht of op het moment van ontdekking nog onduidelijk is of de inbreuk op grond van de AVG inderdaad gemeld dient te worden en onverminderd de eigen verplichtingen van opdrachtnemer in dat geval direct zelf doeltreffende maatregelen te nemen teneinde de uit de inbreuk voortvloeiende negatieve gevolgen zo veel mogelijk ongedaan te maken en verdere negatieve gevolgen zo veel mogelijk te beperken.

2. Opdrachtnemer houdt een gedetailleerd logboek bij van alle incidenten als bedoeld in het vorige artikel, evenals de maatregelen die in vervolg op dergelijke incidenten zijn genomen, en geeft daar op eerste verzoek van opdrachtgever xxxxxx in.

3. Voor zover opdrachtgever het noodzakelijk acht de betrokkenen te informeren over één of meer incidenten als bedoeld in de voorgaande artikelen zal opdrachtnemer daar alle noodzakelijke medewerking aan verlenen.

4. Partijen leggen hun afspraken over de informatie-uitwisseling in verband met incidenten vast in een "Procedure Meldplicht Datalekken". De procedure is toegevoegd als bijlage 3. Deze bijlage kan te allen tijde in overleg door partijen worden gewijzigd. De bijlage zal in ieder geval worden aangepast indien de regelgeving omtrent de meldplicht datalekken of de uitleg daarvan wijzigt.

5. Opdrachtnemer is nimmer aansprakelijk voor de op opdrachtgever rustende (correcte en/of tijdige) meldplicht in de zin van de AVG. Het is opdrachtnemer toegestaan om met de Autoriteit Persoonsgegevens in contact te treden inzake een voorgevallen incident.

Artikel 5. Geheimhouding

1. Opdrachtnemer zal de persoonsgegevens die in het kader van de diensten worden verwerkt, evenals alle andere informatie die opdrachtnemer in het kader van de uitvoering van de onderhavige overeenkomst ter kennis komt, tegenover derden strikt geheim houden en niet openbaar maken, anders dan voor zover noodzakelijk voor het verlenen van de diensten dan wel voor zover een wettelijk voorschrift of rechterlijk bevel opdrachtnemer tot mededeling c.q. verstrekking verplicht. Tevens zal opdrachtnemer alle nodige maatregelen treffen om geheimhouding van de persoonsgegevens te garanderen. Opdrachtnemer staat er voor in en garandeert dat alle personen die handelen onder zijn gezag en/of toegang hebben tot de persoonsgegevens eveneens onder dezelfde voorwaarden geheimhouding zullen betrachten ten aanzien van voornoemde informatie.

2. De in dit artikel bedoelde geheimhoudingsplicht geldt niet indien opdrachtgever uitdrukkelijk schriftelijk toestemming heeft gegeven om de persoonsgegevens aan een derde te verstrekken, of een wettelijke verplichting bestaat om de persoonsgegevens aan een derde te verstrekken.

Artikel 6. Bewaren van persoonsgegevens

Opdrachtnemer zal de persoonsgegevens die hij verwerkt in het kader van de diensten niet langer bewaren dan noodzakelijk. Uitgangspunt daarbij is dat het bewaren van persoonsgegevens niet langer noodzakelijk is nadat het verlenen van de diensten is voltooid, tenzij de verwerker op andere gronden gehouden is de persoonsgegevens te bewaren.

Opdrachtnemer zal opdrachtgever informeren wanneer hij de gegevens niettemin langer wenst te bewaren, onder vermelding van de redenen hiertoe, evenals de wettelijke grondslag voor dit bewaren.

Artikel 7. Teruggave dan wel vernietiging persoonsgegevens

1. Indien en zodra het bewaren van persoonsgegevens zoals bedoeld in artikel 6 niet langer plaats zal vinden, zal opdrachtnemer opdrachtgever de keuze geven de verwerkte persoonsgegevens hetzij (1) (terug) te leveren c.q. over te dragen, dan wel (2) te vernietigen. Opdrachtnemer zal hangende de keuze van opdrachtgever de persoonsgegevens blijven bewaren voor rekening en risico van opdrachtgever en met dien verstande dat opdrachtgever zijn keuze binnen een periode van één maand kenbaar moet maken aan opdrachtnemer.

Artikel 8. Medewerking aan verzoeken van betrokkenen

Opdrachtgever heeft op grond van de AVG verplichtingen tegenover de betrokkenen (de personen wier persoonsgegevens door de opdrachtnemer ten behoeve van opdrachtgever worden verwerkt). Die verplichtingen zien onder meer op het verstrekken van informatie, het geven van xxxxxx in persoonsgegevens, het corrigeren van persoonsgegevens, het verwijderen van persoonsgegevens, het beperken van verwerking en overdracht van de persoonsgegevens. De verantwoordelijkheid van de nakoming van deze verplichtingen rust op opdrachtgever. Indien opdrachtnemer een verzoek of bezwaar van een betrokkene ontvangt, stuurt opdrachtnemer dat verzoek onmiddellijk door naar opdrachtgever.

Opdrachtnemer zal alle noodzakelijke medewerking verlenen aan de door opdrachtgever na te komen verplichtingen. Opdrachtnemer staat er in dat kader voor in dat hij een opdracht van opdrachtgever tot het uitvoeren van een bepaalde persoonsgegevensverwerking of tot het verschaffen van bepaalde informatie omtrent door hem uitgevoerde persoonsgegevensverwerkingen steeds binnen 3 werkdagen zal uitvoeren. Opdrachtnemer is gerechtigd voor deze werkzaamheden kosten in rekening te brengen.

Artikel 9. Inschakeling subverwerkers

Opdrachtnemer kan, met behoud van volledige aansprakelijkheid voor de naleving van de verplichtingen uit de onderhavige overeenkomst, de verwerking van persoonsgegevens of delen daarvan uitbesteden aan een derde, een zogenaamde subverwerker, mits:

a. opdrachtnemer middels een schriftelijke overeenkomst met de subverwerker borgt dat de betreffende subverwerker zich eveneens richt naar de instructies van opdrachtgever; en

b. opdrachtnemer middels een schriftelijke overeenkomst met de subverwerker borgt dat alle verplichtingen die op grond van deze overeenkomst rusten op opdrachtnemer mede komen te rusten op deze subverwerker; en

c. opdrachtnemer opdrachtgever tijdig vooraf informeert over het inschakelen van de subverwerker en in dat kader ten minste de naam en afschrift van de met de betreffende subverwerker (reeds of bijna) gesloten schriftelijke overeenkomst verstrekt; en

d. opdrachtgever schriftelijk heeft ingestemd met inschakeling van de subverwerker.

Artikel 10. Controle

1. Opdrachtgever is gerechtigd, al dan niet door een externe partij, te (laten) controleren of en zo ja in hoeverre opdrachtnemer de verplichtingen uit deze overeenkomst naleeft. Opdrachtnemer zal aan een dergelijke controle zijn volledige medewerking verlenen, waaronder uitdrukkelijk wordt verstaan het verlenen van toegang tot de locatie waarop de diensten worden verleend, het geven van inzage in de administratie met betrekking tot de diensten en al het overige dat noodzakelijk is om te kunnen controleren in hoeverre opdrachtnemer zich aan de verplichtingen uit onderhavige overeenkomst houdt.

2. In geval van een onderzoek door de Autoriteit Persoonsgegevens of een andere bevoegde autoriteit zal opdrachtnemer alle redelijke medewerking verlenen en opdrachtgever zo snel mogelijk informeren. Partijen zullen met elkaar in overleg treden over de wijze van optreden en de vergoeding van de door opdrachtnemer gemaakte kosten.

Artikel 11. Aansprakelijkheid

1. Ten aanzien van de aansprakelijkheid van opdrachtnemer onder deze overeenkomst en de in deze overeenkomst opgenomen vrijwaringsverplichtingen voor opdrachtnemer geldt onverkort de in artikel (verwijzen naar artikel dat ziet op beperking van de aansprakelijkheid en is opgenomen in de overeenkomst van opdracht met betrekking tot de dienstverlening) van de overeenkomst van opdracht opgenomen regeling inzake de beperking van aansprakelijkheid.

2. Onverminderd het bepaalde in dit artikel, is opdrachtnemer slechts aansprakelijk voor de schade die door de verwerking is veroorzaakt wanneer bij deze verwerking niet is voldaan aan specifiek tot de opdrachtnemer gerichte verplichtingen van de AVG of indien in strijd met de rechtmatige instructies van opdrachtgever is gehandeld.

Artikel 12. Vrijwaring

Opdrachtnemer vrijwaart opdrachtgever voor alle schade die verband houden met handhaving door de toezichthouder(s) en eventuele door de toezichthouder(s) aan opdrachtgever opgelegde boetes, voor zover die kosten en boetes verband houden met doen of nalaten van opdrachtnemer dat op grond van deze overeenkomst aan opdrachtnemer is toe te rekenen.

Artikel 13. Duur van de overeenkomst

De duur van deze overeenkomst is gelijk aan de duur van de overeenkomst(en) met betrekking tot de diensten, met dien verstande dat de duur van de onderhavige overeenkomst naar rato wordt verlengd zolang het terug leveren dan wel vernietigen van gegevens overeenkomstig artikel 7 nog niet is voltooid.

Artikel 14. Wijzigingen en aanvullingen op de overeenkomst

In geval van wijzigingen in de diensten, regelgeving of andere relevante omstandigheden die van invloed zijn op de verwerking van de persoonsgegevens zullen partijen in overleg treden over de eventueel benodigde wijziging van de verwerkersovereenkomst. Eventuele aanvullingen of wijzigingen op deze overeenkomst zijn alleen geldig voor zover ze schriftelijk (waaronder per e-mail) zijn vastgelegd. Mondelinge mededelingen, toezeggingen of afspraken zullen schriftelijk (dan wel per e-mail) worden bevestigd.

Wijzigingen in de bijlagen kunnen door partijen op ieder moment schriftelijk worden gedaan onder vermelding van het versienummer en de datum van ingang van de nieuwe versie.

Artikel 15. Wijziging overeenkomst bij gewijzigde omstandigheden

Indien een wijziging in de verwerkte persoonsgegevens of een wijziging in de betrouwbaarheidseisen opdrachtgever aanleiding geeft deze overeenkomst (waaronder de bijlagen) te wijzigen en opdrachtnemer niet bereid is op redelijke voorwaarden met die wijziging in te stemmen c.q. te kennen geeft deze (gewijzigde) diensten niet te kunnen verrichten, is opdrachtgever gerechtigd deze overeenkomst en de bijbehorende overeenkomst met betrekking tot de diensten met onmiddellijke ingang op te zeggen.

Artikel 16. Gevolgen van het beëindigen van de overeenkomst

1. Artikel 7 is van overeenkomstige toepassing bij het, op welke grond dan ook, eindigen van de overeenkomst. Artikel 5 en artikel 19 blijven ook na het beëindigen van de overeenkomst van kracht.

2. Opdrachtnemer zal bij beëindiging van de overeenkomst op verzoek van opdrachtgever en tegen vergoeding van de redelijke kosten de persoonsgegevens in een gangbaar formaat ter beschikking stellen aan opdrachtgever of aan een door opdrachtgever aangewezen derde.

3. Opdrachtnemer zal na overdracht van de persoonsgegevens aan opdrachtgever de nog aanwezige persoonsgegevens vernietigen, tenzij een langere opslag wettelijk verplicht is. Opdrachtnemer zal tevens zorgdragen voor vernietiging van de persoonsgegevens bij de subverwerkers.

Artikel 17. Rangorde

Voor zover enige bepaling van deze overeenkomst en/of de daarbij horende bijlagen in strijd is met hetgeen in de overeenkomst(en) met betrekking tot de diensten is bepaald, prevaleert hetgeen in de onderhavige overeenkomst c.q. de bijlagen is bepaald.

Artikel 18. Leesbaarheid

Omwille van de leesbaarheid is steeds “hij, hem of zijn” gebruikt in de tekst. Uiteraard kan hiervoor ook “zij of haar” worden gelezen.

Artikel 19. Toepasselijk recht en bevoegde rechter

Op deze overeenkomst is Nederlands recht uitsluitend van toepassing. Behoudens voor zover de overeenkomst(en) met betrekking tot de diensten een exclusief bevoegde rechter aanwijzen, is de rechter gevestigd in het arrondissement waar opdrachtnemer woonplaats heeft exclusief bevoegd.

AVG statement voor klanten

De persoonsgegevens die worden verwerkt zijn beschermd op meerdere niveaus met de hoogste beveiligingsgraad. De gegevensopslag is afgeschermd van direct contact met Internet en wordt op kantoor zelf opgeslagen, en niet in een cloudomgeving.

Alleen door meerdere beschermingslagen heen met AES-256 encryptie en met juiste inloggegevens kan men toegang tot de gegevens krijgen. Alleen personeel van Van der Wagen-Sinia kan hierbij. De ICT beheerder kan hier ook bij, maar mag deze gegevens niet verder verwerken anders dan om zijn functie uit te voeren voor het onderhoud van het automatiseringsysteem.

Toegang tot de gegevensopslag op de server is fysiek en virtueel beveiligd. De werkstations zijn met BitLocker beveiligd en bevatten bovendien normaliter uberhaupt geen persoonsgegevens.

Er worden meerdere backups gemaakt om de veiligheid van de gegevens te garanderen, met een maximum bewaartermijn van 3 maanden. De backups zelf zijn ook met AES-256 encryptie beveiligd. Bij een verzoek tot verwijdering van gegevens zal in de actieve opslag de gegegevens volgens de wetgeving worden verwijderd, maar het kan maximaal 3 maanden duren totdat alle gegevens permanent verwijderd zijn uit de backupopslag.