Verwerkersovereenkomst Chuck’s Webdesign
Verwerkersovereenkomst Xxxxx’x Webdesign
Versie 24 april 2017
Deze Verwerkersovereenkomstmaakt integraal onderdeel uit van de afspraken tussen Partijen overeengekomen op (hierna: 'de Overeenkomst').
Partijen
• gevestigd aan de te , Kamer van Koophandel nummer en rechtsgeldig vertegenwoordigd door (hierna: 'Verantwoordelijke');
en
• Chuck’s Webdesign gevestigd aan de Xxxxxxxxxxx 00, 0000XX Xxxxxx, Kamer van Koophandel nummer 62407066 en rechtsgeldig vertegenwoordigd door Xxx Xxxxxxxx (hierna: 'Bewerker');
Verantwoordelijke en Bewerker gezamenlijk hierna ook te noemen: 'Partijen',
in aanmerking nemende dat
• Verantwoordelijke gebruik wenst te maken van de diensten van Xxxxxxxx;
• Verantwoordelijke en Bewerker ten behoeve van het voorgaande een Overeenkomst hebben gesloten waarop Algemene Voorwaarden van toepassing zijn;
• Bewerker bij de uitvoering van de Overeenkomst in sommige gevallen aangemerkt kan worden als Bewerker in de zin van artikel 1 sub e van de Wet bescherming persoonsgegevens (hierna: 'Wbp');
• Verantwoordelijke aangemerkt wordt als verantwoordelijke in de zin van artikel 1 sub d van de Wbp of in voorkomende gevallen als Bewerker, in welk geval Bewerker de rol van Sub-bewerker vervult;
• waar in deze bewerkersovereenkomst gesproken wordt over persoonsgegevens, hiermee persoonsgegevens in de zin van artikel 1 sub a van de Wbp bedoeld worden;
• Bewerker bereid is verplichtingen omtrent beveiliging en andere aspecten van de Wbp na te komen, voor zover dit binnen zijn macht ligt;
• de Wbp aan de Verantwoordelijke de plicht oplegt om ervoor zorg te dragen dat Bewerker voldoende waarborgen biedt ten aanzien van de technische en organisatorische beveiligingsmaatregelen met betrekking tot de te verrichten verwerkingen;
• de Wbp daarnaast aan de Verantwoordelijke de plicht oplegt om toe te zien op de naleving van die maatregelen;
• Partijen, mede gelet op het vereiste uit artikel 14 lid 5 van de Wbp, hun rechten en plichten schriftelijk wensen vast te leggen middels deze bewerkersovereenkomst (hierna: 'Bewerkersovereenkomst');
• waar gerefereerd wordt aan bepalingen uit de Wbp, per 25 mei 2018 de corresponderende bepalingen uit de Algemene Verordening Gegevensbescherming worden bedoeld;
Artikel 1. Doeleinden van verwerking
1.1. Bewerker verbindt zich onder de voorwaarden van deze Bewerkersovereenkomst in opdracht van Verantwoordelijke persoonsgegevens te verwerken. Verwerking zal uitsluitend plaatsvindenin het kader van de Overeenkomst, de doeleinden die daarmee samenhangen en die doeleindendie met nadere instemming worden bepaald. Verantwoordelijke bepaalt zelf welke (soorten) persoonsgegevens hij door Xxxxxxxx laat verwerken en op welke (categorieën) betrokkenen deze persoonsgegevens betrekking hebben; Bewerker heeft hierop geen invloed.
1.2. Bewerker zal de persoonsgegevens niet voor enig ander doel verwerken dan zoals door Verantwoordelijke is vastgesteld. Verantwoordelijke zal Bewerker op de hoogte stellen van de verwerkingsdoeleinden voor zover deze niet reeds in deze Bewerkersovereenkomst zijn genoemd.
1.3. De Bewerker heeft geen zeggenschap over het doel van de verwerking van persoonsgegevens. Bewerker neemt geen beslissingen over de ontvangst en het gebruik van de persoonsgegevens, de verstrekking aan derden en de duur van de opslag van persoonsgegevens.
Artikel 2. Verplichtingen Bewerker
2.1. Ten aanzien van de in artikel 1 genoemde verwerkingen zal Bewerker zorg dragen voor de naleving van de voorwaarden die, op grond van de Wbp, worden gesteld aan het verwerken van persoonsgegevens door Xxxxxxxx.
2.2. Bewerker zal Verantwoordelijke, op diens verzoek daartoe, informeren over de door haar genomen maatregelen aangaande haar verplichtingen onder deze bewerkersovereenkomst.
2.3. De verplichtingen van de Bewerker die uit deze Bewerkersovereenkomst voortvloeien, gelden ook voor degenen die persoonsgegevens verwerken onder het gezag van Bewerker.
Artikel 3. Doorgifte van persoonsgegevens
3.1. Bewerker mag de persoonsgegevens verwerken in landen binnen de Europese Unie. Bewerker mag de persoonsgegevens ook verwerken in landen buiten de Europese Unie, maar alleen als daarover schriftelijke afspraken zijn gemaakt met Verantwoordelijke.
3.2. Bewerker zal Verantwoordelijke op diens verzoek melden om welk land of landen het gaat.
Artikel 4. Verdeling van verantwoordelijkheid
4.1. Bewerker is louter verantwoordelijk voor de verwerking van de persoonsgegevens onder deze Bewerkersovereenkomst, overeenkomstig de instructies van Verantwoordelijke en onder de uitdrukkelijke (eind)verantwoordelijkheid van Verantwoordelijke. Voor alle overige verwerkingen van persoonsgegevens, waaronder in ieder geval begrepen maar niet beperkt tot de verzameling van de persoonsgegevens door de Verantwoordelijke, verwerkingen voor doeleinden die niet door Verantwoordelijke aan Bewerker zijn gemeld,
verwerkingen door derden en/of voor andere doeleinden, is Xxxxxxxx niet verantwoordelijk. De verantwoordelijkheid voor deze verwerkingen rust bij Verantwoordelijke.
4.2 Verantwoordelijke vrijwaart Bewerker voor aansprakelijkheid, boetes en/of andere negatieve gevolgen voortvloeiende uit het niet nakomen door Verantwoordelijke van de relevante privacywet- en regelgeving of deze Bewerkersovereenkomst.
Artikel 5. Inschakelen van derden of onderaannemers
5.1. Bewerker mag in het kader van de Bewerkersovereenkomst gebruik maken van derden of onderaannemers.
5.2. Bewerker zorgt ervoor dat deze derden dezelfde plichten op zich nemen als tussen Verantwoordelijke en Bewerker zijn overeengekomen. Bewerker staat in voor een correcte naleving van deze plichten door deze derden en is bij fouten van deze derden zelf jegens Verantwoordelijke aansprakelijk voor schade die de derde heeft veroorzaakt, alsof Bewerker de schade zelf had veroorzaakt.
Artikel 6. Beveiliging
6.1. Bewerker zal zich inspannen passende technische en organisatorische maatregelen te nemen met betrekking tot de te verrichten verwerkingen van persoonsgegevens ten behoeve van Verantwoordelijke, tegen verlies of tegen enige vorm van onrechtmatige verwerking (zoals onbevoegde kennisname, aantasting, wijziging of verstrekking van de persoonsgegevens).
6.2. Verantwoordelijke zal enkel persoonsgegevens door Bewerker laten verwerken indien Verantwoordelijke van mening is dat de door Bewerker genomen beveiligingsmaatregelen een passend beschermingsniveau waarborgen.
Artikel 7. Meldplicht
7.1. In het geval van een datalek (waaronder wordt verstaan: een inbreuk op de beveiliging van persoonsgegevens die leidt tot een aanzienlijke kans op nadelige gevolgen, dan wel nadelige gevolgen heeft, voor de bescherming van persoonsgegevens, in de zin van artikel 34a Wbp) zal Bewerker zich naar beste kunnen inspannen om Verantwoordelijke daarover binnen 36 uur te informeren nadat Xxxxxxxx het datalek heeft vastgesteld.
7.2. Indien de wet- en/of regelgeving dit vereist zal Bewerker, tegen vergoeding van de kosten die zij daarvoor maakt, meewerken aan het informeren van de ter zake relevante autoriteiten en eventueel betrokkenen. Verantwoordelijke is en blijft verantwoordelijk voor het melden aan de relevante autoriteiten en betrokkenen.
7.3. De meldplicht behelst in ieder geval het melden van het feit dat er een lek is geweest, alsmede:
• wat de (vermeende) oorzaak is van het lek;
• wat het (vooralsnog bekende en/of te verwachten) gevolg is;
• wat de (voorgestelde) oplossing is;
• wat de reeds ondernomen maatregelen zijn;
• wie de contactpersoon is voor de opvolging van de melding.
7.4. Indien Bewerker op het moment van de melding nog niet over alle in artikel 7.3 opgenomen informatie beschikt, zal Xxxxxxxx zich inspannen de ontbrekende informatie zo spoedig mogelijk na te sturen.
Artikel 8. Afhandeling verzoeken van betrokkenen
8.1. In het geval dat een betrokkene een verzoek tot inzage, zoals bedoeld in artikel 35 Wbp, of verbetering, aanvulling, wijziging of afscherming, zoals bedoeld in artikel 36 Wbp, richt aan Bewerker, zal Bewerker het verzoek doorsturen aan Verantwoordelijke en de betrokkene hiervan op de hoogte stellen. Verantwoordelijke zal het verzoek vervolgens verder zelfstandig afhandelen.
Artikel 9. Geheimhouding en vertrouwelijkheid
9.1. Op alle persoonsgegevens die Bewerker ten behoeve van Verantwoordelijke verwerkt in het kader van deze Bewerkersovereenkomst, rust een geheimhoudingsplicht jegens derden. Bewerker zal deze informatie niet voor een ander doel gebruiken dan waarvoor zij deze heeft verkregen.
9.2. Deze geheimhoudingsplicht is niet van toepassing voor zover Verantwoordelijke uitdrukkelijke toestemming heeft gegeven om de informatie aan derden te verschaffen, indien het verstrekken van de informatie aan derden logischerwijs noodzakelijk is gezien de aard van de verstrekte opdracht en de uitvoering van deze Bewerkersovereenkomst, of indien het verstrekken van informatie verplicht is op grond van een rechterlijke uitspraak, relevante wet- en/of regelgeving, of een bevoegd gegeven bevel van een overheidsinstantie.
Artikel 10. Controle
10.1. Bewerker zal Verantwoordelijke in staat stellen om zijn wettelijke plichten ten aanzien van het controleren van de door Bewerker ten behoeve van Verantwoordelijke uit te voeren verwerkingen van persoonsgegevens na te komen, door certificeringen en vergelijkbare controlemiddelen die zij ten aanzien van zichzelf en door haar ingeschakelde derden of
onderaannemers onder zich heeft, op verzoek van Verantwoordelijke ter beschikking te stellen.
10.2. Naast het in het vorige lid bepaalde heeft Verantwoordelijke het recht om audits uit te laten voeren door een onafhankelijke deskundige derde die aan geheimhouding is gebonden, ter controle van de naleving van artikelen 6 en 7 van deze Bewerkersovereenkomst.
10.3. De door Verantwoordelijke geïnitieerde audit vindt minimaal twee weken na voorafgaande aankondiging door Verantwoordelijke en maximaal eens per jaar plaats.
10.4. De bevindingen naar aanleiding van de uitgevoerde audit zullen door Partijen in onderling overleg worden beoordeeld en, naar aanleiding daarvan, al dan niet worden doorgevoerd door één van de Partijen of door beide Partijen gezamenlijk.
10.5. De kosten voor de door Verantwoordelijke geïnitieerde audit worden door de Verantwoordelijke gedragen.
Artikel 11. Aansprakelijkheid
11.1. Bewerker is enkel aansprakelijk voor directe schade die het gevolg is van een toerekenbare tekortkoming in de nakoming van deze Bewerkersovereenkomst en die is ontstaan door de werkzaamheden van Xxxxxxxx. Voor indirecte schade is Xxxxxxxx niet aansprakelijk.
11.2. Onder directe schade wordt verstaan: schade geleden door Verantwoordelijke, die het directe gevolg is van verlies of verminking van persoonsgegevens, alsmede de redelijke en aantoonbare kosten die Verantwoordelijke moet maken om Bewerker ertoe te manen de Bewerkersovereenkomst deugdelijk na te komen, de redelijke en aantoonbare kosten ter vaststelling van de oorzaak en omvang van de schade waarvoor Xxxxxxxx aansprakelijk gesteld kan worden, en de redelijke en aantoonbare kosten die Verantwoordelijke heeft moeten maken om de schade waarvoor Bewerker aansprakelijk gesteld kan worden te voorkomen of te beperken.
11.3. Onder indirecte schade wordt verstaan: alle schade die geen directe schade is, waaronder (doch niet uitsluitend) gevolgschade, gederfde winst, gemiste besparingen, verminderde goodwill en schade door bedrijfsstagnatie.
11.4. Indien Bewerker aansprakelijk mocht zijn uit hoofde van lid 1 van het onderhavige artikel, of schade die anderszins uit de wet voortvloeit, dan zal in geen geval de totale vergoeding voor schade hoger zijn dan een bedrag gelijk aan de vergoeding(en) die Verantwoordelijke onder de Overeenkomst in drie maanden voorafgaand aan de schadebrengende gebeurtenis aan Bewerker heeft betaald, met een maximum van EUR 1.000,- incl. btw, waarbij een reeks van gebeurtenissen als één gebeurtenis geldt.
11.5. Enige aansprakelijkheid van Bewerker die voortvloeit uit de vorige leden van dit artikel ontstaat slechts nadat Verantwoordelijke Bewerker onverwijld na ontdekking van de schade schriftelijk in gebreke stelt, waarbij Bewerker een redelijke termijn wordt gesteld om de tekortkoming ongedaan te maken, en Bewerker ook na verloop van de gestelde termijn tekort blijft schieten in de nakoming van haar verplichtingen, tenzij nakoming door Bewerker blijvend onmogelijk is. De ingebrekestelling dient een zo volledig en gedetailleerd mogelijke
beschrijving van de tekortkoming te bevatten, zodat Bewerker in staat wordt gesteld adequaat te reageren.
11.6. De in dit artikel gestelde uitsluitingen en beperkingen van aansprakelijkheid komen te vervallen indien Verantwoordelijke bewijst dat een en ander is veroorzaakt door opzet of daaraan gelijk te stellen grove schuld van de bedrijfsleiding van Bewerker.
11.7. Iedere vordering tot schadevergoeding door Verantwoordelijke tegen Xxxxxxxx die niet gespecificeerd en expliciet is gemeld aan Bewerker, vervalt door het enkele verloop van twaalf maanden na het moment waarop de vordering is ontstaan.
Artikel 12. Duur en beëindiging
12.1. Deze Bewerkersovereenkomst is aangegaan voor de duur zoals bepaald in de Overeenkomst tussen Partijen en daarna voor de duur van de verdere samenwerking.
12.2. De Bewerkersovereenkomst kan tussentijds niet worden opgezegd.
12.3. Partijen mogen deze Bewerkersovereenkomst alleen wijzigen met wederzijdse instemming en zullen hun medewerking verlenen om de Bewerkersovereenkomst aan te passen aan eventuele nieuwe of aangepaste privacywetgeving.
12.4. Na beëindiging van de Bewerkersovereenkomst vernietigt Bewerker de van Verantwoordelijke ontvangen persoonsgegevens onverwijld, tenzij partijen anders overeen komen.
Artikel 13. Overige bepalingen
13.1. De Bewerkersovereenkomst en de uitvoering daarvan worden beheerst door het Nederlands recht.
13.2. Alle geschillen, welke tussen Partijen mochten ontstaan in verband met de Bewerkersovereenkomst, zullen worden voorgelegd aan de bevoegde rechter in het arrondissement waar Bewerker is gevestigd.
13.3. Logs en metingen gedaan door Xxxxxxxx gelden als dwingend bewijs.
13.4. In geval van strijdigheid van verschillende documenten of de bijlagen daarvan, geldt de volgende rangorde:
1. de Overeenkomst;
2. deze Bewerkersovereenkomst;
3. het Service Level Agreement;
4. de Algemene Voorwaarden;
5. eventuele aanvullende voorwaarden.
Aldus overeengekomen en getekend,
Verantwoordelijke Bewerker
Datum: Datum:
…. - …. - …………….. 21-03-2018
Naam: Naam:
Xxx Xxxxxxxx
Handtekening: Handtekening: