VERWERKERSOVEREENKOMST - DOORGIFTE

VERWERKERSOVEREENKOMST - DOORGIFTE

De gezondheidsprofessional, die zich akkoord verklaart met deze overeenkomst (de "Verwerkingsverantwoordelijke"), heeft de instructie gegeven aan de besloten Xxxxxxxxxxxx met beperkte aansprakelijkheid (B.V.) Energetica Natura (de "Verwerker”) om het profiel en de aankoopgegevens van de klanten van de Verwerkingsverantwoordelijke die op de website van de Verwerker een aankoop hebben geplaatst met gebruik van de adviescode van de Verwerkingsverantwoordelijke (‘gekoppelde klanten’), door te geven (de “Doorgifte”). Deze verwerking door de Verwerker is louter ten behoeve van de Verwerkingsverantwoordelijke. De Verwerkingsverantwoordelijke en de Verwerker leggen de voorwaarden voor deze verwerking in deze overeenkomst (de “Verwerkersovereenkomst – Doorgifte”) vast in overeenstemming met Artikel 28 van de Algemene Verordening Gegevensbescherming 2016/679 van 27 april 2016 (de "Algemene Verordening Gegevensbescherming" of "AVG").

Verwerkingsverantwoordelijke en Verwerker worden hierna ook elk afzonderlijk aangeduid als een “Partij” of gezamenlijk als de “Partijen”.

1. DOEL VAN DE OVEREENKOMST

1.1. Deze Verwerkersovereenkomst – Doorgifte beschrijft de rechten en plichten van de Verwerkingsverantwoordelijke en van de Verwerker bij de verwerking van Persoonsgegevens ten behoeve van de Verwerkingsverantwoordelijke.

1.2. Bijlage I bevat een omschrijving van de verwerkingsactiviteit, met inbegrip van de verwerkingsdoeleinden en de aard van de verwerking, de categorieën van betrokkenen (de “Betrokkenen”) en persoonsgegevens die de Verwerker verwerkt ten behoeve van de Verwerkingsverantwoordelijke (de “Persoonsgegevens”), en de duur van de verwerking.

1.3. De Verwerkersovereenkomst – Doorgifte ontslaat de Verwerker niet van de verplichtingen waaraan de Verwerker krachtens de Algemene Verordening Gegevensbescherming of andere wetgeving is onderworpen.

1.4. De voorwaarden van de Verwerkersovereenkomst - Doorgifte moeten geïnterpreteerd worden in de zin en geest van de Algemene Verordening Gegevensbescherming. Indien deze laatstgenoemde geen duidelijke en ondubbelzinnige interpretatie biedt, moet aan de begrippen de betekenis gegeven worden die de intentie van de Partijen zo dicht mogelijk benadert.

2. RECHTEN EN PLICHTEN VAN DE VERWERKINGSVERANTWOORDELIJKE

2.1. De Verwerkingsverantwoordelijke is er verantwoordelijk voor dat de verwerking van Persoonsgegevens plaatsvindt met inachtneming van de Algemene Verordening

Gegevensbescherming (zie Artikel 24 AVG), toepasselijke dwingende EU of nationale wetgeving inzake gegevensbescherming en de Verwerkersovereenkomst – Doorgifte.

2.2. De Verwerkingsverantwoordelijke heeft het recht en de plicht om beslissingen te nemen over de doeleinden van en de middelen voor de verwerking van de Persoonsgegevens.

2.3. Onverminderd de algemeenheid van het voorgaande, garandeert de Verwerkingsverantwoordelijke de rechtmatigheid van de verwerking van de Persoonsgegevens. In het bijzonder, maar niet beperkt hiertoe, garandeert de Verwerkingsverantwoordelijke de geldige toestemming van de klanten te hebben verkregen voor de Doorgifte. De Verwerkingsverantwoordelijke erkent uitdrukkelijk de Verwerker integraal te zullen vrijwaren voor enige schade die de Verwerker zou lijden als gevolg van de niet-naleving van dit artikel.

2.4. In zoverre dat de Verwerkingsverantwoordelijke niet als een verwerkingsverantwoordelijke, maar als een verwerker wordt beschouwd onder de toepasselijke gegevensbeschermingswetgeving voor (een deel van) de Doorgifte, zal de Verwerkingsverantwoordelijke zich ervan verzekeren dat hij de vereiste toestemming heeft om met betrekking tot de Doorgifte. Met betrekking tot dergelijke verwerking wordt de Verwerker beschouwd als een subverwerker. De bepalingen van de Verwerkersovereenkomst - Doorgifte zijn in dat geval mutatis mutandis van toepassing.

3. RECHTEN EN PLICHTEN VAN DE VERWERKER

3.1. De Verwerker verwerkt de Persoonsgegevens alleen op basis van schriftelijke instructies van de Verwerkingsverantwoordelijke zoals voorzien in Bijlage I, tenzij de Verwerker onderworpen is aan een dwingende wettelijke verplichting onder toepasselijk Europees of nationaal recht die de Verwerker een andere verwerkingsactiviteit oplegt. In dat geval informeert de Verwerker de Verwerkingsverantwoordelijke over die wettelijke verplichting alvorens tot de verwerking over te gaan, tenzij die wettelijke verplichting zulks verbiedt op grond van redenen van zwaarwegend algemeen belang. De Verwerkingsverantwoordelijke kan tijdens de gehele duur van de verwerking van de Persoonsgegevens ook verdere instructies geven, maar deze instructies moeten altijd schriftelijk, waaronder elektronisch, worden vastgelegd en bewaard.

3.2. Indien de Verwerker zijn mandaat overschrijdt of zelf het doel van en de middelen voor de verwerking bepaalt, wordt hij voor die verwerkingsactiviteit als verwerkingsverantwoordelijke beschouwd.

3.3. De Verwerker heeft het recht om een kopie van de Persoonsgegevens te maken indien dit noodzakelijk is voor de Verwerkingsdoeleinden die hem door de Verwerkingsverantwoordelijke zijn toegewezen overeenkomstig de Verwerkersovereenkomst - Doorgifte. De Verwerker kan ook back-ups maken. De

Verwerker dient zich voor het gebruik van deze kopieën en back-ups aan dezelfde regels te houden als voor het gebruik van de originele Persoonsgegevens.

3.4. De Verwerker verbindt zich ertoe de Verwerkingsverantwoordelijke alle informatie te verstrekken die de Verwerkingsverantwoordelijke in staat stelt aan te tonen dat de verwerking in overeenstemming met de Algemene Verordening Gegevensbescherming geschiedt.

3.5. Op uitdrukkelijk verzoek van de Verwerkingsverantwoordelijke verstrekt de Verwerker de Verwerkingsverantwoordelijke een kopie van de Persoonsgegevens die krachtens de Verwerkersovereenkomst – Doorgifte worden verwerkt.

3.6. De Verwerker stelt de Verwerkingsverantwoordelijke onmiddellijk op de hoogte als de instructies van de Verwerkingsverantwoordelijke naar het oordeel van de Verwerker in strijd zijn met de AVG of de toepasselijke gegevensbeschermingsbepalingen van de Unie of de lidstaat.

4. BIJSTAND AAN DE VERWERKINGSVERANTWOORDELIJKE

4.1. Indien de Betrokkene een verzoek tot uitoefening van de in hoofdstuk III van de AVG vastgelegde rechten richt tot de Verwerker, stelt de Verwerker de Verwerkingsverantwoordelijke zo snel als mogelijk hiervan op de hoogte. Op verzoek van de Verwerkingsverantwoordelijke staat de Verwerker de Verwerkingsverantwoordelijke bij door middel van passende technische en organisatorische maatregelen bij de vervulling van de verplichtingen van de Verwerkingsverantwoordelijke om te reageren op deze verzoeken van de Betrokkene.

4.2. Rekening houdende met de aard van de verwerking en de informatie beschikbaar voor de Verwerker, staat de Verwerker de Verwerkingsverantwoordelijke bij voor de naleving van:

a. de verplichting van de Verwerkingsverantwoordelijke om een beoordeling uit te voeren van het effect van de beoogde verwerkingsactiviteit op de bescherming van de Persoonsgegevens (een gegevensbeschermingseffectbeoordeling);

b. de verplichting van de Verwerkingsverantwoordelijke om de bevoegde toezichthoudende autoriteit voor de verwerking te raadplegen wanneer uit een gegevensbeschermingseffectbeoordeling blijkt dat de verwerking een groot risico met zich mee zou brengen indien de Verwerkingsverantwoordelijke geen maatregelen zou treffen om het risico te beperken.

5. VERTROUWELIJKHEID

5.1. De Verwerker en elke andere persoon die gemachtigd is om de Persoonsgegevens te verwerken, eerbiedigt de vertrouwelijkheid en integriteit van de Persoonsgegevens. De Verwerker verleent alleen toegang tot de Persoonsgegevens die namens de

Verwerkingsverantwoordelijke worden verwerkt aan personen die onder het gezag van de Verwerker staan en die zich tot geheimhouding hebben verbonden of onder een passende wettelijke geheimhoudingsplicht vallen.

5.2. De geheimhoudingsplicht in Artikel 5.1 blijft van kracht na de beëindiging van de Verwerkersovereenkomst - Doorgifte.

6. BEVEILIGING VAN DE VERWERKING

6.1. Rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van personen, treffen de Verwerkingsverantwoordelijke en de Verwerker, krachtens Artikel 32 van de AVG, passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen.

De Verwerkingsverantwoordelijke beoordeelt de risico’s voor de rechten en vrijheden van natuurlijke personen die inherent zijn aan de verwerking en legt maatregelen op om deze risico’s te beperken.

6.2. De Verwerker dient ook – onafhankelijk van de Verwerkingsverantwoordelijke – de risico’s voor de rechten en vrijheden van natuurlijke personen die inherent zijn aan de verwerking te beoordelen en maatregelen te nemen om deze risico’s te beperken. Daartoe verstrekt de Verwerkingsverantwoordelijke de Verwerker alle informatie die nodig is om dergelijke risico’s vast te stellen en te evalueren.

6.3. In geval van accidentele of onwettige vernietiging, verlies, ongeoorloofde toegang tot of verwerking van de Persoonsgegevens ("Datalek"), stelt de Verwerker de Verwerkingsverantwoordelijke daarvan in kennis zonder onredelijke vertraging nadat de Verwerker kennis heeft gekregen van het Datalek. De Verwerkingsverantwoordelijke stelt de bevoegde toezichthoudende autoriteit en/of de Betrokkenen in kennis van het Datalek overeenkomstig de Artikelen 33 en 34 van de AVG.

6.4. De Verwerker verleent de Verwerkingsverantwoordelijke alle redelijke bijstand om de Verwerkingsverantwoordelijke in staat te stellen zijn verplichtingen uit hoofde van de Artikelen 33 en 34 AVG na te komen.

7. GEBRUIK VAN SUBVERWERKERS

7.1. De Verwerker schakelt geen andere verwerker (een “Subverwerker”) in voor de uitvoering van de Verwerkersovereenkomst – Doorgifte zonder de voorafgaande algemene schriftelijke toestemming van de Verwerkingsverantwoordelijke.

7.2. De Verwerker heeft de algemene toestemming van de Verwerkingsverantwoordelijke voor het inschakelen van Subverwerkers. De Verwerker stelt de Verwerkingsverantwoordelijke binnen een redelijke termijn vooraf schriftelijk in kennis van voorgenomen wijzigingen met betrekking tot de toevoeging of vervanging van Subverwerkers, zodat de Verwerkingsverantwoordelijke de mogelijkheid heeft om bezwaar te maken tegen dergelijke wijzigingen voordat de betrokken Subverwerker(s) in dienst wordt (worden) genomen. De lijst van Subverwerkers die reeds door de Verwerkingsverantwoordelijke zijn erkend, is opgenomen in Bijlage I.

7.3. Wanneer de Verwerker een Subverwerker inschakelt voor het uitvoeren van specifieke verwerkingsactiviteiten namens de Verwerkingsverantwoordelijke, worden aan die Subverwerker dezelfde gegevensbeschermingsverplichtingen opgelegd als die welke in de Verwerkersovereenkomst – Doorgifte zijn vastgelegd bij overeenkomst of in een andere rechtshandeling krachtens Europees of nationaal recht, waarbij met name voldoende garanties worden geboden inzake de implementatie van passende technische en organisatorische maatregelen, zodat de verwerking voldoet aan de eisen van de Verwerkersovereenkomst – Doorgifte en de AVG.

De Verwerker is derhalve verantwoordelijk dat de Subverwerker ten minste voldoet aan de verplichtingen waaraan de Verwerker krachtens de Verwerkersovereenkomst

– Doorgifte en de AVG is onderworpen.

7.4. Een kopie van een dergelijke subverwerkersovereenkomst en latere wijzigingen worden – op verzoek van de Verwerkingsverantwoordelijke – aan de Verwerkingsverantwoordelijke voorgelegd, zodat de Verwerkingsverantwoordelijke de mogelijkheid heeft om na te gaan of de Verwerker de verplichtingen in Artikel 7.3 naleeft. Bepalingen over bedrijfsgerelateerde kwesties die geen invloed hebben op de wettelijke gegevensbeschermingsinhoud van de overeenkomst met de Subverwerker, hoeven niet aan de Verwerkingsverantwoordelijke te worden voorgelegd.

7.5. Indien de Subverwerker zijn verplichtingen inzake gegevensbescherming niet nakomt, blijft de Verwerker ten opzichte van de Verwerkingsverantwoordelijke aansprakelijk voor de nakoming van de verplichtingen van de Subverwerker.

8. DOORGIFTE VAN GEGEVENS AAN DERDE LANDEN OF INTERNATIONALE ORGANISATIES

8.1. Doorgifte van de Persoonsgegevens naar derde landen of internationale organisaties door de Verwerker vindt altijd plaats met inachtneming van hoofdstuk V van de AVG.

8.2. Wanneer de doorgifte naar derde landen of internationale organisaties, waartoe de Verwerker geen opdracht heeft gekregen van de Verwerkingsverantwoordelijke, verplicht is krachtens EU of nationale wetgeving waaraan de Verwerker is onderworpen, stelt de Verwerker de Verwerkingsverantwoordelijke in kennis van die wettelijke verplichting, tenzij die wetgeving dergelijke informatie om zwaarwichtige redenen van algemeen belang verbiedt.

9. AUDIT EN INSPECTIE

9.1. Eenmaal per kalenderjaar en telkens wanneer er redelijke aanwijzingen zijn van een inbreuk op de Verwerkersovereenkomst – Doorgifte of de Algemene Verordening Gegevensbescherming, bijvoorbeeld maar niet beperkt tot, in het geval van een Datalek, is de Verwerkingsverantwoordelijke gerechtigd (om een auditor aan te stellen) om, na redelijke voorafgaande kennisgeving aan de Verwerker, een audit of inspectie van de verwerking van de Persoonsgegevens door de Verwerker uit te voeren. De Verwerker stelt alle redelijke informatie ter beschikking die nodig is voor het uitvoeren van de audit/inspectie door de Verwerkingsverantwoordelijke of een auditor. De audit/inspectie wordt in omvang, wijze en duur beperkt tot hetgeen redelijkerwijs noodzakelijk is om het doel ervan te bereiken, en mag de activiteiten van de Verwerker niet onnodig onderbreken.

9.2. De Verwerker zal de redelijke middelen (voornamelijk tijd) vrijmaken die de Verwerkingsverantwoordelijke nodig heeft om de audit/inspectie te kunnen uitvoeren. De Verwerkingsverantwoordelijke draagt alle (overige) kosten van de audit/inspectie.

10. XXXX EN BEËINDIGING VAN DE OVEREENKOMST

10.1. Deze Verwerkersovereenkomst – Doorgifte gaat van kracht van zodra de Verwerkingsverantwoordelijke aan de Verwerker de instructie geeft voor de Doorgifte

(i) via e-mail / brief of (ii) door het daartoe relevante “Ja”-vakje aan te vinken op de website van de Verwerker en blijft van kracht voor zolang de Verwerkingsverantwoordelijke niet uitdrukkelijk aangeeft aan de Verwerker de Doorgifte te willen stopzetten.

10.2. Bij beëindiging van de Verwerkersovereenkomst – Doorgifte zal de Verwerker de verwerking beëindigen. De Verwerker zal alle Persoonsgegevens, evenals elke bestaande kopie of back-up die is gemaakt in overeenstemming met Artikel 3.3 van

de Verwerkersovereenkomst - Doorgifte, die in het bezit zijn van de Verwerker wissen of teruggeven, tenzij de opslag van de Persoonsgegevens wettelijk vereist is.

10.3. De Verwerker zorgt ervoor dat iedere Subverwerker bij beëindiging van de Doorgifte de verwerking van de Persoonsgegevens beëindigt en alle Persoonsgegevens uit zijn bestanden verwijdert.

11. SLOTBEPALINGEN

11.1. De bepalingen in de gebruiksvoorwaarden voor de website van de Verwerker zijn van toepassing op deze Verwerkersovereenkomst – Doorgifte. In geval van eventuele tegenstrijdige bepalingen tussen deze gebruiksvoorwaarden en/of enige andere overeenkomst tussen de Partijen en de Verwerkersovereenkomst – Doorgifte, hebben de bepalingen van de Verwerkersovereenkomst – Doorgifte voorrang.

11.2. Indien een (deel van een) bepaling van de Verwerkersovereenkomst – Doorgifte ongeldig, onwettig of niet-afdwingbaar wordt verklaard, heeft dit geen gevolg voor enige andere bepaling van de Verwerkersovereenkomst – Doorgifte, die volledig van kracht blijft. In dergelijk geval heeft de Verwerker het recht om de ongeldige, onwettige of onafdwingbare bepaling te vervangen door een geldige, wettige en afdwingbare bepaling die de oorspronkelijke intentie van de desbetreffende bepaling zo dicht mogelijk benadert.

11.3. Geen van de Partijen zal worden geacht afstand te hebben gedaan van één van de rechten voortvloeiend uit de Verwerkersovereenkomst – Doorgifte of van één van de rechten ontstaan uit een fout of inbreuk gepleegd door de andere Partij, tenzij de eerste Partij dergelijke afstand uitdrukkelijk en schriftelijk heeft bevestigd.

11.4. De Verwerker behoudt zich het recht voor om de Verwerkersovereenkomst – Doorgifte van tijd tot tijd te wijzigen mits vier weken voorafgaande kennisgeving aan de Verwerkingsverantwoordelijke. Na het verloop van deze termijn, is de aangepaste verwerkersovereenkomst van toepassing op elke verdere Doorgifte.

*

* *

Bijlage I – Verwerkingsdoeleinden, aard van de verwerking, categorieën van Betrokkenen, categorieën van Persoonsgegevens, Subverwerkers

1. Verwerkingsdoeleinden

- Het verkrijgen van inzage door de Verwerkingsverantwoordelijke in de aankoopgegevens van zijn/haar gekoppelde klanten.

2. Aard van de verwerking

- Het verzamelen, vastleggen, opslaan en verstrekken door middel van doorzending van de Persoonsgegevens.

3. Categorieën van Betrokkenen

- Gekoppelde klanten van de Verwerkingsverantwoordelijke die gebruik hebben gemaakt van de adviescode van de Verwerkingsverantwoordelijke.

4. Categorieën van Persoonsgegevens

- Klantengegevens (naam, e-mailadres, profiel) van gekoppelde klanten;

- Aankoopgegevens.

5. Duur van de verwerking

- Voor de duur van het gebruik van de Mijn Energetica account door de Verwerkingsverantwoordelijke.

- De aankoop- en persoonsgegevens worden gedurende een termijn van 3 kalenderjaren bewaard voor de gezondheidsprofessional.

6. Subverwerkers

- Calibrate N.V.