ALGEMENE VERWERKERSOVEREENKOMST
ALGEMENE VERWERKERSOVEREENKOMST
(hierna: “Verwerkersovereenkomst”) Laatst bijgewerkt: 2024-05-16
Miles Research is een full-service marktonderzoeksorganisatie. Binnen het vakgebied, en dus ook bij Miles Research, staat informatie centraal. Klanten van Xxxxx Research moeten er op kunnen vertrouwen dat hun informatie bij Miles Research in veilige handen is. Met deze algemene verwerkersovereenkomst wil Xxxxx Research laten zien hoe zij omgaat met het verwerken van persoonsgegevens t.a.v. de wet- en regelgeving op het gebied van de Algemene Verordening Gegevensbescherming.
Wij passen waar nodig deze verwerkersovereenkomst aan op basis van wetswijzigingen en rechtspraak alsmede aanwijzingen van de Autoriteit Persoonsgegevens. Het verdient daarom aanbeveling deze tekst met enige regelmaat te raadplegen op onze website.
Partijen:
1. Opdrachtgever, hierna te noemen: “Verwerkingsverantwoordelijke”, en
2. Miles Research B.V., statutair gevestigd te 5104 JC DONGEN aan de Xxxx Xxx 00, geregistreerd in het handelsregister van de Kamer van Koophandel onder nummer 55307361, hierna te noemen: “Verwerker”,
Hierna gezamenlijk te noemen: “Partijen” en afzonderlijk als “Partij”. OVERWEGENDE DAT:
a) Verwerkingsverantwoordelijke Persoonsgegevens van diverse betrokkenen door Verwerker wil laten verwerken, ten behoeve van de uitvoering van de overeenkomst die met Verwerker is gesloten;
b) De verwerkingsverantwoordelijke bepaalde vormen van verwerking wil laten verrichten door de Verwerker, waarbij de Verwerkingsverantwoordelijke het doel en de middelen aanwijst;
c) De Verwerker hiertoe bereid is en tevens bereid is verplichtingen omtrent beveiliging en andere aspecten van de Algemene Verordening Gegevensbescherming na te komen, voor zover dit binnen zijn macht ligt;
d) Partijen, mede gelet op het vereiste uit Artikel 28 lid 3 AVG, hun rechten en plichten schriftelijk wensen vast te leggen middels deze Verwerkersovereenkomst;
e) De algemene bepalingen uit de Verwerkersovereenkomst gelden voor alle verwerkingen in de uitvoering van de Hoofdovereenkomst.
ZIJN ALS VOLGT OVEREENGEKOMEN:
Artikel 1. Definities
1.1 In deze Verwerkersovereenkomst wordt onder de volgende met een hoofdletter aangeduide begrippen het volgende verstaan:
a) Algemene Verordening Gegevensbescherming of AVG: Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG;
b) Betrokkene: een geïdentificeerde of identificeerbare natuurlijke persoon (artikel 4 sub 1 AVG);
c) Beveiligingsinbreuk: iedere ongeautoriseerde toegang, verwijdering, verminking, verlies of enige andere vorm van onrechtmatige verwerking van de Persoonsgegevens;
d) Datalek: een inbreuk in verband met Persoonsgegevens als bedoeld in artikel 4 onder 12 AVG;
e) Derde: een derde als bedoeld in artikel 4 sub 10 AVG;
f) Dienst: de werkzaamheden die Verwerker ten behoeve van Verwerkingsverantwoordelijke verricht en die zijn neergelegd in de Hoofdovereenkomst;
g) Functionaris voor de Gegevensbescherming: een functionaris als bedoeld in artikel 37 e.v. AVG;
h) Incident:
i. Een klacht of (informatie)verzoek van een Betrokkene met betrekking tot de verwerking van Persoonsgegevens door Verwerker;
ii. Schending van de geheimhoudingsplicht;
iii. Verlies van vertrouwelijke gegevens.
i) Medewerker: de door Partijen voor de uitvoering van deze Verwerkersovereenkomst betrokken natuurlijke persoon die werkzaam is bij of voor een van de Partijen;
j) Persoonsgegeven: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon in de zin van artikel 4 onder 1 AVG;
k) Subverwerker: iedere niet-ondergeschikte derde partij die door Xxxxxxxxx is betrokken bij de verwerking van Persoonsgegevens in het kader van de Overeenkomst, niet zijnde Medewerkers;
l) Third Party Memorandum: een verklaring van een onafhankelijke externe deskundige over de maatregelen die een Verwerker heeft getroffen;
m) Verwerker: de verwerker als bedoeld in artikel 4 sub 8 AVG;
n) Verwerkersovereenkomst: deze overeenkomst;
o) Verwerkingsverantwoordelijke: de verwerkingsverantwoordelijke als bedoeld in artikel 4 sub 7 AVG;
Artikel 2. Onderwerp van deze Verwerkersovereenkomst
2.1 Deze Verwerkersovereenkomst heeft betrekking op de verwerking van Persoonsgegevens door Xxxxxxxxx in opdracht van de Verwerkingsverantwoordelijke in het kader van de uitvoering van de Hoofdovereenkomst.
2.2 Deze Verwerkersovereenkomst maakt onverbrekelijk deel uit van de Hoofdovereenkomst. Voor zover het bepaalde in de Verwerkersovereenkomst strijdig is met het bepaalde in de Hoofdovereenkomst, prevaleert het bepaalde in de Verwerkersovereenkomst.
Artikel 3. Rechten en plichten van Verwerker
3.1 Verwerking door Xxxxxxxxx vindt uitsluitend op schriftelijke instructies van Verwerkingsverantwoordelijke plaats gedurende de looptijd van de Hoofdovereenkomst of voor zover noodzakelijk voor de uitvoering van de Hoofdovereenkomst. Verwerker mag de Persoonsgegevens niet ten eigen nutte, ten nutte van derden, en/of voor eigen dan wel reclamedoeleinden c.q. andere doeleinden verwerken, behoudens op hem rustende afwijkende dwingendrechtelijke verplichtingen. Verwerker stelt Verwerkingsverantwoordelijke onmiddellijk op de hoogte indien naar zijn oordeel instructies in strijd zijn met de toepasselijke wetgeving met betrekking tot de verwerking van Persoonsgegevens.
3.2 Verwerker zal de Persoonsgegevens verwerken op behoorlijke en zorgvuldige wijze en in overeenstemming met de AVG en andere toepasselijke wet- en regelgeving betreffende de verwerking van Persoonsgegevens, zoals de Gedragscode van de Data & Insights Network (voorheen MOA). Verwerker zal in dat kader ten minste een register van verwerkingen aanleggen als bedoeld in artikel 30 AVG en Verwerkingsverantwoordelijke op eerste verzoek een kopie van dat register verstrekken.
3.3 Voor de uitvoering van de Hoofdovereenkomst kunnen uitsluitend de categorieën Persoonsgegevens worden verwerkt die in Bijlage A zijn gespecificeerd. In Bijlage A staat per Dienst beschreven welke (groepen) Medewerkers toegang hebben tot de Persoonsgegevens en welke Verwerkingen door Medewerkers zijn toegestaan.
3.4 Verwerker zal Persoonsgegevens die haar in het kader van de Hoofdovereenkomst ter beschikking zijn gesteld niet langer bewaren dan noodzakelijk is voor de uitvoering van deze Hoofdovereenkomst of om een op hem rustende wettelijke verplichting na te komen. In Bijlage A staat per (onderdeel van de) Dienst gespecificeerd hoe lang Persoonsgegevens worden bewaard.
3.5 Verwerker is verplicht Verwerkingsverantwoordelijke onmiddellijk te informeren over toekomstige wijzigingen in de uitvoering van de Verwerkersovereenkomst als ook de Hoofdovereenkomst, zodat Verwerkingsverantwoordelijke kan toezien op de naleving van afspraken met Verwerker. Hieronder wordt mede begrepen de inschakeling van (nieuwe) Subverwerkers, onverminderd het bepaalde in artikel 4 (Inzet van Subverwerkers) en artikel 13 (Wijziging).
3.6 Op het eerste daartoe strekkende verzoek van Verwerkingsverantwoordelijke zal Verwerker aan Verwerkingsverantwoordelijke alle relevante informatie verstrekken betreffende de aspecten van de door hem verrichte verwerking van Persoonsgegevens zodat Verwerkingsverantwoordelijke, mede aan de hand van die informatie, aan kan tonen dat zij de toepasselijke (privacy) wetgeving naleeft.
3.7 Onverminderd het bepaalde in het eerste lid van dit artikel 3, is het Verwerker toegestaan om Persoonsgegevens te verwerken indien een wettelijk voorschrift (waaronder begrepen daarop gebaseerde rechterlijke of bestuurlijke bevelen) hem tot een verwerking verplicht. In dat geval stelt de Verwerker voorafgaand aan de verwerking Verwerkingsverantwoordelijke in kennis van de beoogde verwerking en het wettelijk voorschrift, tenzij die wetgeving deze kennisgeving om gewichtige redenen van algemeen belang verbiedt. Verwerker zal Verwerkingsverantwoordelijke, waar mogelijk, in staat stellen zich te verweren tegen deze verplichte verwerking en ook overigens de verplichte verwerking beperken tot het strikt noodzakelijke.
3.8 Indien de dienstverlening door Verwerker de verwerking van gezondheidsgegevens of andere bijzondere Persoonsgegevens impliceert, garandeert Verwerker dat hij niet in strijd met de wetgeving zal handelen.
Artikel 4. Inzet van Subverwerkers
4.1 Zonder de voorafgaande schriftelijke toestemming van Verwerkingsverantwoordelijke verleent Verwerker aan derden, waaronder Subverwerkers en aan groepsmaatschappijen waartoe Verwerker behoort, zoals dochter- of zustermaatschappijen, geen toegang tot de Persoonsgegevens. Verwerkingsverantwoordelijke zal deze toestemming niet op onredelijke gronden onthouden. Bij het verlenen van toestemming is Verwerkingsverantwoordelijke gerechtigd voorwaarden te verbinden of de toestemming in tijd te beperken.
4.2 Aan toestemming van de Verwerkingsverantwoordelijke voor de inschakeling van Subverwerkers bij het leveren van de Dienst zullen in ieder geval de volgende voorwaarden worden verbonden:
a) Verwerker heeft een schriftelijke overeenkomst met de desbetreffende Subverwerker waarin in ieder geval het volgende is opgenomen:
Een verplichting dat de Subverwerker dient te handelen in overeenstemming met alle bepalingen uit de Verwerkersovereenkomst inclusief de Bijlagen met betrekking tot de Verwerking van Persoonsgegevens;
Een verplichting dat de Subverwerker alle aanwijzingen met betrekking tot de verwerking van Persoonsgegevens van Verwerkingsverantwoordelijke en Verwerker opvolgt;
Een verplichting van de Subverwerker om de Persoonsgegevens uitsluitend in opdracht en volgens de instructies van Verwerker te verwerken;
Een verplichting van de Subverwerker om zelf geen subsubverwerkers in te schakelen, zonder de voorafgaande schriftelijke toestemming van Verwerkingsverantwoordelijke;
Een verplichting dat de Subverwerker de Verwerker (en daarmee de Verwerkingsverantwoordelijke) in staat stelt zijn verplichtingen in het geval van een vermoedelijk of daadwerkelijk Incident na te komen.
b) Verwerker geeft pas toegang aan de Subverwerker na de toestemming van Verwerkingsverantwoordelijke; en
c) Op verzoek van Verwerkingsverantwoordelijke stelt de Verwerker de schriftelijke gemaakte afspraken tussen Verwerker en Subverwerker ter beschikking.
4.3 De door Verwerkingsverantwoordelijke gegeven toestemming laat onverlet de verantwoordelijkheid en aansprakelijkheid van Verwerker voor de nakoming van de Verwerkersovereenkomst.
4.4 Indien Verwerkingsverantwoordelijke een algemene schriftelijke toestemming geeft voor het inschakelen van Subverwerkers voor het leveren van de Dienst dan is deze algemene toestemming opgenomen in Bijlage A. Indien nieuwe Subverwerkers worden ingeschakeld, of er treden wijzigingen op, dan dient Verwerker de Verwerkingsverantwoordelijke vooraf schriftelijk op de hoogte te stellen en een termijn te geven om bezwaar te maken. Verwerker garandeert dat bij elke Subverwerker de voorwaarden uit artikel 4 lid 2 in acht zijn genomen. Verwerkingsverantwoordelijke moet te allen tijde een overzicht kunnen opvragen bij Verwerker van de ingeschakelde Subverwerkers.
Artikel 5. Beveiliging
5.1 Verwerker zal passende technische en organisatorische maatregelen nemen om Persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging daarvan, een passend beveiligingsniveau gelet op de risico’s die de Verwerking en de aard van de te beschermen Persoonsgegevens meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere Verwerking te voorkomen. Verwerker legt de maatregelen schriftelijk vast en draagt er zorg voor dat de beveiliging zoals bedoeld in dit artikellid voldoet aan de beveiligingseisen op grond van de AVG. In Bijlage B zijn de beveiligingsmaatregelen beschreven die de Verwerker in ieder geval zal toepassen.
Artikel 6. Meldplicht en Incidenten
6.1 In het geval van een Incident – inbegrepen een Datalek en/of Beveiligingsinbreuk -zal Verwerker de Verwerkingsverantwoordelijke direct, zonder onnodige vertraging, na eerste ontdekking, informeren.
6.2 Verwerker zal alle redelijkerwijs benodigde maatregelen treffen om (verdere) onbevoegde kennisneming, wijziging, en verstrekking dan wel anderszins onrechtmatige verwerking te voorkomen of te beperken en een schending van beveiligingsmaatregelen, schending van de geheimhoudingsplicht of verder verlies van vertrouwelijke gegevens te beëindigen en in de toekomst te voorkomen, onverminderd enig recht van Verwerkingsverantwoordelijke op schadevergoeding of
andere maatregelen. Deze bepaling is van toepassing op Incidenten bij de Verwerker en haar eventuele Subverwerkers.
6.3 De informatieplicht van Verwerker behelst in ieder geval de in de Bijlage C beschreven gegevens voor zover toepasselijk. Verwerker garandeert dat de verstrekte informatie volledig, correct en accuraat is.
6.4 Verwerker zal Verwerkingsverantwoordelijke te allen tijde haar medewerking verlenen en zal de instructies van Verwerkingsverantwoordelijke opvolgen en stelt Verwerkingsverantwoordelijke in staat een deugdelijk onderzoek te verrichten naar het Incident, een correcte respons te formuleren en passende vervolgstappen te nemen ten aanzien van het Incident, waaronder begrepen het informeren van de Autoriteit Persoonsgegevens (AP) en/of de Betrokkene zoals bepaald in artikel 6.6.
6.5 Het is Verwerker niet toegestaan informatie te verstrekken over Incidenten aan Xxxxxxxxxx(n) of andere derde partijen, behoudens voor zover Verwerker daartoe wettelijk verplicht is of Partijen anderszins zijn overeengekomen.
6.6 Verwerker maakt schriftelijke afspraken met Subverwerkers over het melden van Incidenten aan Verwerker, die de Verwerker en Verwerkingsverantwoordelijke in staat stellen verplichtingen in het geval van een Incident na te leven. In deze afspraken moet in ieder geval de verplichting worden opgenomen dat de Subverwerker de Verwerker direct na de eerste ontdekking zal informeren over een Incident – inbegrepen een Datalek en/of Beveiligingsinbreuk - en op verzoek van Verwerkingsverantwoordelijke zal meewerken aan het informeren van de bevoegde autoriteiten en Betrokkene(n).
Artikel 7. Audit
7.1 Verwerkingsverantwoordelijke heeft het recht om steeds wanneer daar aanleiding toe is de naleving van deze Verwerkersovereenkomst en de wettelijke bepalingen die op de verwerking van de persoonsgegevens van toepassing zijn, te laten controleren door middel van een audit uit te voeren door een IT auditor.
7.2 In het kader van het in lid 1 van dit artikel bepaalde zal Verwerker onder meer:
a) de benodigde ruimte(s) en gegevens toegankelijk maken en/of ter beschikking stellen alsmede alle medewerking te verlenen opdat de controle kan worden uitgevoerd;
b) Verwerkingsverantwoordelijke proactief informeren over relevante wijzigingen in haar organisatie of prestaties;
c) in geval van de goedgekeurde inschakeling van derde(n), met deze derde(n) overeenkomen dat Verwerkingsverantwoordelijke gerechtigd is de in het eerste lid van dit artikel bedoelde controle ook uit te oefenen bij deze derde(n).
7.3 Verwerkingsverantwoordelijke en/of de door haar ingeschakelde auditor zal de bij de controle gevonden informatie geheim houden en alleen gebruiken om naleving door Verwerker van de verplichtingen uit deze Verwerkersovereenkomst en de AVG te controleren.
7.4 De kosten voor het inzetten van een eventuele auditor en/of eigen personeel van Verwerkingsverantwoordelijke zijn voor rekening van Verwerkingsverantwoordelijke, tenzij uit de audit volgt dat Verwerker een of meerdere verplichtingen onder deze Verwerkersovereenkomst of de AVG niet nakomt. Verwerker draagt zelf de eventuele eigen kosten die verband houden met de audit.
7.5 Wanneer bij de controle onregelmatigheden worden aangetroffen zal Verwerker binnen redelijke termijn een verbeterplan opstellen en afstemmen met Verwerkingsverantwoordelijke. Voor zover Verwerkingsverantwoordelijke direct aanbevelingen doet aan Verwerker voortvloeiende uit de
controle, garandeert Verwerker deze binnen de door Verwerkingsverantwoordelijke te bepalen redelijke termijn uit te voeren.
Artikel 8. Internationaal verkeer
8.1 Verwerker garandeert dat iedere verwerking van Persoonsgegevens welke door of namens Verwerker met inbegrip van de door haar ingeschakelde Subverwerkers wordt verricht in verband met het uitvoeren van de Overeenkomst binnen de Europese Economische Ruimte (EER) plaats zal vinden of naar of vanuit landen die een passend beschermingsniveau waarborgen in overeenstemming met de van toepassing zijnde privacyregelgeving. Zonder de voorafgaande schriftelijke toestemming van Verwerkingsverantwoordelijke mag Verwerker derhalve geen Persoonsgegevens doorgeven naar of opslaan in een land buiten de EER of Persoonsgegevens toegankelijk maken vanuit een niet-EER land, tenzij dit land een passend beschermingsniveau heeft. Aan deze toestemming kan Verwerkings- verantwoordelijke voorwaarden verbinden, waaronder maar niet beperkt tot de verplichting voor Verwerker om aan te tonen dat voldaan is aan de wettelijke vereisten ten aanzien van gegevensverkeer met landen buiten de EER.
8.2 Indien de technische karakteristieken van een transmissiemedium een dergelijke garantie onmogelijk maken, zal de transmissie van gegevens uitsluitend versleuteld plaatsvinden waarbij voor de versleuteling geavanceerde (zijnde minstens zo geavanceerd als in de markt gebruikelijk) technieken zullen worden gebruikt. Verwerker verschaft voorafgaand aan het sluiten van de Verwerkersovereenkomst inzicht in de locatie(s) waarop de Verwerking plaatsvindt.
Artikel 9. Opsporingsverzoeken
9.1 Indien Verwerker een verzoek of een bevel van een Nederlandse of buitenlandse toezichthouder, overheidsinstantie of een opsporings-, strafvorderings- of nationale veiligheidsinstantie ontvangt om (inzage in) Persoonsgegevens te verschaffen, dan zal Verwerker de Verwerkingsverantwoordelijke onverwijld informeren. Bij de behandeling van het verzoek of bevel zal Verwerker alle instructies van Verwerkingsverantwoordelijke acht nemen (waaronder de instructie om de behandeling van het verzoek of bevel geheel of gedeeltelijk aan Verwerkingsverantwoordelijke over te laten) en alle redelijkerwijs benodigde medewerking verlenen aan Verwerkingsverantwoordelijke.
9.2 Indien het Verwerker op grond van het verzoek of bevel is verboden om te voldoen aan zijn verplichtingen op grond van het bovenstaande, dan zal Verwerker de redelijke belangen van Verwerkingsverantwoordelijke behartigen. Verwerker zal daartoe in ieder geval:
Juridisch laten toetsen in hoeverre Verwerker wettelijk verplicht is om aan het verzoek of bevel te voldoen; en het Verwerker daadwerkelijk is verboden om aan haar verplichtingen jegens Verwerkingsverantwoordelijke op grond van het bovenstaande te voldoen;
Alleen aan het verzoek of bevel meewerken indien zij hiertoe wettelijk verplicht is en waar mogelijk (in rechte) bezwaar maken tegen het verzoek of bevel of het verbod om Verwerkingsverantwoordelijk hierover te informeren of haar instructies op te volgen;
Niet meer of andere Persoonsgegevens verstrekken dan strikt noodzakelijk om aan het verzoek of bevel te voldoen.
Artikel 10. Rechten van Betrokkenen
10.1 Verwerker zal haar volledige medewerking verlenen opdat Verwerkingsverantwoordelijke kan voldoen aan zijn wettelijke verplichtingen in het geval dat een Betrokkene zijn rechten uitoefent op grond van de AVG of andere toepasselijke regelgeving betreffende de verwerking van Persoonsgegevens. Een Betrokkene heeft op grond van de AVG de volgende rechten:
Het recht op inzage, correctie en verwijdering van Persoonsgegevens;
Het recht op vergetelheid;
Het recht op dataportabiliteit;
Het recht op beperking van de verwerking;
Het recht om bezwaar te maken tegen de gegevensverwerking.
10.2 Indien een Betrokkene met betrekking tot de uitvoering van zijn rechten onder de AVG direct contact opneemt met Verwerker, dan gaat Verwerker hier- behoudens uitdrukkelijke andersluidende instructie van Verwerkingsverantwoordelijke - in eerste instantie niet (inhoudelijk) op in, maar bericht hij dit onverwijld aan Verwerkingsverantwoordelijke met een verzoek om nadere instructies.
10.3 Als Verwerker de Dienst rechtstreeks aanbiedt aan Betrokkene van wie Persoonsgegevens worden verwerkt, is Verwerker verplicht om, uitsluitend op verzoek van Verwerkingsverantwoordelijke, op een makkelijk toegankelijke en permanent beschikbare manier de Betrokkene te informeren middels een ‘privacy statement’ die het volgende omvat:
De naam en het adres van Verwerkingsverantwoordelijke en Verwerker;
De doeleinden waarvoor Persoonsgegevens worden verwerkt;
De rechtsgrond(en) voor de verwerking van Persoonsgegevens;
De categorieën Persoonsgegevens die Verwerker verwerkt;
Beveiliging van de Persoonsgegevens;
De derden aan wie Persoonsgegevens toegankelijk worden gemaakt;
De landen waarnaar Persoonsgegevens worden overgedragen;
Bewaartermijn;
De rechten van Betrokkene;
Indien aangesteld: taken en contactgegevens FG.
Artikel 11. Vrijwaring
Opdrachtgever vrijwaart Verwerker voor alle aanspraken, behoudens opzet en/of grove schuld door Xxxxxxxxx, bij schending van het gestelde bij of krachtens wet- en regelgeving aangaande gegevensbescherming of de uitvoering van deze overeenkomst. Indien Verwerker een subverwerker heeft ingeschakeld, dan is Verwerker volledig aansprakelijk voor het nakomen van alle verplichtingen door deze subverwerker, maar niet voor subverwerkers waarvan de Opdrachtgever de Verwerker verplicht heeft om mee samen te werken, voor de werkzaamheden besloten in de opdracht van deze overeenkomst.
Artikel 12. Maatregelen toezichthouder
Indien de toezichthouder in het kader van haar taak als handhaver een maatregel of boete oplegt aan Verwerkingsverantwoordelijke en indien de oorzaak voor het opleggen van de maatregel of boete te wijten is aan het niet nakomen van de in de Verwerkersovereenkomst gemaakte afspraken door Xxxxxxxxx, dan kan Verwerkingsverantwoordelijke alle kosten voor deze maatregel of boete verhalen op Verwerker. Tevens heeft Verwerkingsverantwoordelijke het recht om de Hoofdovereenkomst en deze Verwerkersovereenkomst in bovengenoemde situatie met onmiddellijke ingang te ontbinden zonder dat de Verwerker aanspraak kan maken op enige vorm van schadevergoeding.
Artikel 13. Wijziging
13.1 Indien een wijziging in de te verwerken Persoonsgegevens of een risicoanalyse van de verwerking van Persoonsgegevens daartoe aanleiding geeft treden partijen op eerste verzoek van Verwerkingsverantwoordelijke in overleg over het aanpassen van de gemaakte afspraken binnen de Verwerkersovereenkomst.
13.2 De nieuw te maken afspraken dienen voorafgaand aan de toepassing daarvan schriftelijk te zijn vastgelegd en deel uit te maken van de Verwerkersovereenkomst.
13.3 De wijzigingen kunnen nooit tot gevolg hebben dat Verwerkingsverantwoordelijke niet kan voldoen aan de AVG en overige relevante wet- en regelgeving met betrekking tot Persoonsgegevens.
Artikel 14. Duur en beëindiging
14.1 De duur van de Verwerkersovereenkomst wordt in eerste instantie aangegaan voor de duur van twee (2) jaar.
14.2 Deze Verwerkersovereenkomst wordt zonder opzegging automatisch voor opvolgende periodes van twee (2) jaar verlengd.
14.3 De Verwerkersovereenkomst is niet los van de Hoofdovereenkomst te beëindigen.
14.4 Beëindiging van de Hoofdovereenkomst, op welke grond dan ook (opzegging/ontbinding), heeft tot gevolg dat de Verwerkersovereenkomst eveneens op dezelfde grond beëindigd wordt (en vice versa), tenzij Partijen in voorkomend geval anders overeenkomen.
14.5 Deze Verwerkersovereenkomst kan door een van de partijen worden opgezegd met inachtneming van een opzegtermijn van drie (3) maanden voorafgaand aan het einde van de initiële termijn of enige verlenging daarvan.
14.6 Partijen hebben het recht deze Verwerkersovereenkomst geheel of gedeeltelijk met onmiddellijke ingang te ontbinden in het geval de andere Partij surseance van betaling of faillissement aanvraagt of dit aan haar wordt verleend en van een toerekenbare tekortkoming in de nakoming van een wezenlijke verplichting op grond van deze Verwerkersovereenkomst die – indien het verzuim niet al van rechtswege is ingetreden – niet binnen een redelijke termijn van dertig (30) dagen na een ingebrekestelling door de tekortschietende Partij is gezuiverd.
Artikel 15. Bewaartermijnen, teruggave en vernietiging van Persoonsgegevens
15.1 Verwerker bewaart de Persoonsgegevens niet langer dan strikt noodzakelijk, waaronder begrepen de wettelijke bewaartermijnen of een eventueel tussen Partijen gemaakte afspraak over bewaartermijnen zoals vastgelegd in Bijlage A. In geen geval bewaart Verwerker de Persoonsgegevens langer dan tot het einde van deze Verwerkersovereenkomst. Verwerkingsverantwoordelijke bepaalt of en zo ja hoe lang gegevens bewaard moeten blijven.
15.2 Bij beëindiging van de Verwerkersovereenkomst, of indien van toepassing aan het einde van de overeengekomen bewaartermijnen, of op schriftelijk verzoek van Verwerkingsverantwoordelijke zal Verwerker, tegen redelijke kosten, naar keuze van Verwerkingsverantwoordelijke, de Persoonsgegevens onherroepelijk (doen) vernietigen of teruggeven aan Verwerkingsverantwoordelijke. Op verzoek van Verwerkingsverantwoordelijke verstrekt Verwerker bewijs van het feit dat de gegevens onherroepelijk zijn vernietigd of verwijderd. Eventuele teruggave van de gegevens zal in een algemeen gangbaar, gestructureerd en gedocumenteerd gegevensformaat langs elektronische weg plaatsvinden. Indien teruggave, onherroepelijke vernietiging of verwijdering niet mogelijk is, stelt Verwerker Verwerkingsverantwoordelijke daarvan onmiddellijk op de hoogte. In dat geval garandeert Verwerker dat hij de Persoonsgegevens vertrouwelijk zal behandelen en niet langer zal verwerken.
Artikel 16. Vertrouwelijkheid
16.1 Indien vertrouwelijkheid van gegevens niet in de Hoofdovereenkomst of elders is geregeld, geldt dat Partijen alle (Persoons)gegevens en overige informatie waarvan zij het vertrouwelijk karakter kennen of redelijkerwijs kunnen vermoeden en die hen in het kader van de uitvoering van de Hoofdovereenkomst of Verwerkersovereenkomst ter kennis of beschikking komen, geheim houden en op geen enkele wijze verder intern of extern bekendmaken en/of aan derden verstrekken, behalve voor zover:
Bekendmaking en/of verstrekking van die (Persoons)gegevens en overige informatie in het kader van de uitvoering van de Overeenkomst noodzakelijk is;
Enig dwingendrechtelijk wettelijk voorschrift of rechterlijke uitspraak partijen tot bekendmaking en/of verstrekking van die (Persoons)gegevens of overige informatie verplicht , waarbij partijen eerst de andere Partij hiervan op de hoogte stellen;
Bekendmaking en/of verstrekking van die (Persoons)gegevens en overige informatie geschiedt met voorafgaande schriftelijke toestemming van de andere Partij; dan wel
Het informatie betreft die al rechtmatig openbaar was op een andere wijze dan door het handelen of nalaten van een der Partijen.
16.2 Verwerker waarborgt dat betrokken Medewerkers en Subverwerkers een geheimhoudingsovereenkomst hebben getekend en geeft Verwerkings-verantwoordelijke op verzoek inzage in deze geheimhoudingsovereenkomst.
16.3 Partijen verlenen op verzoek van de andere Partij hun medewerking aan het uitoefenen van toezicht door of namens de andere Partij op de bewaring en het gebruik van vertrouwelijke (Persoons)gegevens en overige informatie door de andere Partij.
16.4 Partijen stellen alle (Persoons)gegevens en overige informatie die zij in het kader van de uitvoering van de Hoofdovereenkomst onder zich hebben, inclusief eventueel daarvan gemaakte kopieën, op eerste verzoek aan de andere Partij ter beschikking.
Artikel 17. Slotbepalingen
17.1 De overwegingen maken onderdeel uit van deze Verwerkersovereenkomst.
17.2 In het geval van strijdigheid tussen de bepalingen uit deze Verwerkersovereenkomst en bepalingen uit de Hoofdovereenkomst zullen de bepalingen van de Verwerkersovereenkomst leidend zijn, met uitzondering van data, niet zijnde persoonsgegevens, indien dit nadrukkelijk anders is bepaald in de Hoofdovereenkomst.
17.3 In geval van nietigheid c.q. vernietigbaarheid van een of meer bepalingen uit deze Verwerkersovereenkomst, blijven de overige bepalingen onverkort van kracht.
17.4 In alle gevallen waarin deze Verwerkersovereenkomst niet voorziet beslissen partijen in onderling overleg.
Artikel 18. Toepasselijk recht en geschilbeslechting
18.1 Op deze Verwerkersovereenkomst is Nederlands recht van toepassing.
18.2 Partijen zullen zich inspannen conflicten in onderling overleg op te lossen. Hierbij is inbegrepen de mogelijkheid het geschil te beëindigen door een in onderling overleg vast te stellen mediation of arbitrage.
18.3 Alle geschillen, welke tussen Partijen mochten ontstaan in verband met de Verwerkersovereenkomst, zullen worden voorgelegd aan de bevoegde rechter in de plaats waar Verwerkingsverantwoordelijke gevestigd is.
Korte omschrijving diensten | Het leveren van advies, diensten en technologie op het gebied van marktonderzoek en data analyse. (English: Providing consultancy, services and technology in the field of market research and data analysis.) |
Aard van de verwerking | Controleren en inlezen in het systeem van adresbestanden / persoonsgegevens deelnemers onderzoek Gepersonaliseerde uitnodigingen (e-mail en papier) verzorgen voor deelname onderzoek Verzamelen en analyseren antwoorden respondenten Aanmaken accounts ten behoeve van toegang Xxxxx Research Portaal |
Soort persoonsgegevens | NAW, contactgegevens (met name e-mailadres; telefoonnummers), inloggegevens, verrijkingskenmerken zoals aangeleverd door opdrachtgever (bijv. klantrelatieduur, medewerkersfunctie, leeftijd, geslacht). Er is geen sprake van bijzondere persoonsgegevens. |
Categorieën van betrokkenen | Klanten (directe), medewerkers van klanten, klanten van klanten (indirecte), studenten, cliënten, bezoekers van evenementen/congressen. |
Doeleinden van de verwerking | Uitnodigen tot deelname onderzoek, analyse en rapportage, toegang geven tot webportaal |
Goedgekeurde subverwerkers | Checkmarket (onderdeel van Medallia); vestiging Medallia France, 00-00 Xxx xxx Xxxxxxxx, 00000 Xxxxx, Xxxxxx SaaS software |
CM; Xxxxxxxxxxxx 00, Xxxxx, Xxxxxxxxx Hosting | |
Azure/Microsoft cloud; Agriport 60, Middenmeer, Nederland. Platform as a Service (PaaS) | |
Open AI platform; The Liffey Trust Centre, 000-000 Xxxxxxx Xxxxxx Xxxxx, Xxxxxx 0, X00 XX00, Xxxxxxx Uitsluitend API gebruik is goedgekeurd; AI services | |
Afspraken bewaartermijnen persoonsgegevens | Persoonsgegevens worden binnen 6 maanden na verstrijken van de looptijd van een project zoals omschreven in de hoofdovereenkomst verwijderd. Overige projectgegevens worden tenminste 24 maanden van afloop van de hoofdovereenkomst bewaard. In overleg met de opdrachtgever kan van deze termijnen afgeweken worden. |
Doorgifte buiten EU | Nee |
Bijlage A: Specificatie verwerking Persoonsgegevens (Risicoklasse I persoonsgegevens (basis)) Verwerking persoonsgegevens is van toepassing op de volgende producten en diensten van Verwerker:
Bijlage B: Omschrijving nadere beveiligingsmaatregelen
Getroffen beveiligingsmaatregelen | Risicoklasse van verwerking zoals vermeld in Bijlage A (laag/midden/hoog) |
Miles Research is ISO 27001 en 27701 gecertificeerd. Risicoklasse I = basis | |
Medewerkers hebben een tweestapsinlog met authenticatie via een authenticator app en een persoonsgebonden inlog. | |
Er wordt een logfile bijgehouden waaruit kan worden vastgesteld welke medewerkers wanneer hebben ingelogd. | |
De medewerkers van Xxxxx Research zijn contractueel gebonden aan geheimhouding, zorgvuldigheid en misbruik is strafbaar. | |
De systemen waarmee wordt gewerkt met persoonsgegevens zitten op beveiligde verbinding met SSL. | |
De hosting omgeving van de subverwerker Checkmarket beschikt over de volgende certificaten: PCI DSS Level 1, SOC 1/SSAE 16/ISAE 3402 (formerly SAS 70 Type II), ISO 27001, FISMA Moderate, FIPS 140-2. Een DPA is van toepassing. | |
Open AI platform: voldoet aan GDPR (AVG). De Open AI API is geëvalueerd door een externe beveiligingsauditor en voldoet aan SOC 2 Type 2. De Open AI API wordt jaarlijks onderworpen aan penetratietests door derden, waarbij zwakke plekken in de beveiliging worden geïdentificeerd. Er is een DPA afgesloten. Vestiging binnen EU: OpenAI Ireland Ltd, The Liffey Trust Centre, 000-000 Xxxxxxx Xxxxxx Xxxxx, Xxxxxx 0, X00 XX00, Xxxxxxx | |
Alleen betrokken medewerkers hebben toegang tot Checkmarket, waarbinnen persoonsgegevens zijn opgeslagen. | |
Er is een beveiliging tegen verlies data (back-up, twee gescheiden opslagruimten. | |
Miles Research laat haar systemen minimaal een keer per jaar testen middels ethical hackers via Deloitte, waarbij zwakke plekken meteen worden opgelost. | |
Persoonsgegevens worden na overleg met Opdrachtgever verwijderd of binnen 6 maanden na afronding van een project. | |
Het kantoor van Xxxxx is beveiligd middels een alarmsysteem met koppeling meldkamer. Deuren worden gesloten wanneer een medewerker de kamer verlaat. | |
1. De beveiligingsmaatregelen waar naar wordt verwezen in artikel 5 van de Verwerkersovereenkomst omvatten in ieder geval:
a) maatregelen om te waarborgen dat enkel bevoegde Medewerkers toegang hebben tot de Persoonsgegevens voor de doeleinden die zijn uiteengezet;
b) maatregelen waarbij de Verwerker zijn Medewerkers en Subverwerkers uitsluitend toegang geeft tot Persoonsgegevens via op naam gestelde accounts, waarbij het gebruik van die accounts adequaat gelogd wordt en waarbij de betreffende accounts alleen toegang geven tot die
Pagina | 12 van 13 |
Persoonsgegevens waartoe de toegang voor de betreffende (rechts)persoon noodzakelijk is;
c) maatregelen om de Persoonsgegevens te beschermen tegen onopzettelijke of onrechtmatige vernietiging, onopzettelijk verlies of wijziging, onbevoegde of onrechtmatige opslag, verwerking, toegang of openbaarmaking;
d) maatregelen om zwakke plekken te identificeren ten aanzien van de verwerking van Persoonsgegevens in de systemen die worden ingezet voor het verlenen van diensten aan Verwerkingsverantwoordelijke;
e) maatregelen om de tijdige beschikbaarheid van de Persoonsgegevens te garanderen;
f) maatregelen om te waarborgen dat Persoonsgegevens logisch gescheiden worden verwerkt van de Persoonsgegevens die hij voor zichzelf of namens derde partijen verwerkt.
2. Xxxxxxxxx werkt aantoonbaar in overeenstemming met ISO27001 en heeft een passend, geschreven beveiligingsbeleid geïmplementeerd voor de verwerking van Persoonsgegevens, waarin in ieder geval de onder 1 genoemde maatregelen uiteen zijn gezet.
3. Verwerker zal Verwerkingsverantwoordelijke desgevraagd onverwijld schriftelijk informatie verstrekken met betrekking tot (de organisatie van) de beveiliging van Persoonsgegevens.
Bijlage C: Informatie die moet worden verstrekt bij een Datalek, Beveiligingsinbreuk en Incident
Als Verwerker de Verwerkingsverantwoordelijke moet informeren op grond van artikel 6, zal zij de volgende gegevens verschaffen:
Contactgegevens melder (naam, functie, e-mailadres en telefoonnummer);
Gegevens over het Datalek, Beveiligingsinbreuk of Incident;
Een samenvatting van het Datalek, Beveiligingsinbreuk of Incident waarbij de inbreuk op de beveiliging van Persoonsgegevens zich (mogelijk) heeft voorgedaan;
Omschrijving van de (mogelijk) getroffen Persoonsgegevens;
Omschrijving van hoeveel personen de Persoonsgegevens zijn betrokken bij het Datalek, Beveiligingsinbreuk of Incident;
Wanneer het Datalek, Beveiligingsinbreuk of Incident plaatsvond;
De gevolgen die het Datalek, Beveiligingsinbreuk of Incident kan hebben voor de persoonlijke levenssfeer van Xxxxxxxxxxx;
Vervolgacties naar aanleiding van het Datalek, Beveiligingsinbreuk of Incident
Welke technische en organisatorische maatregelen heeft uw organisatie getroffen om de inbreuk aan te pakken en om verdere inbreuken te voorkomen?
Technische beschermingsmaatregelen
Zijn de Persoonsgegevens versleuteld, gehasht of op een andere manier onbegrijpelijk of ontoegankelijk gemaakt voor onbevoegden?
Als de Persoonsgegevens geheel of deels onbegrijpelijk of ontoegankelijk zijn gemaakt, op welke manier is dit dan gebeurd?
Internationale aspecten
Heeft de inbreuk betrekking op personen in andere EU-landen?