Verwerkersovereenkomst Algemene Verordening Gegevensbescherming (AVG)

Verwerkersovereenkomst Algemene Verordening Gegevensbescherming (AVG)

Verwerkersovereenkomst

Deze Verwerkersovereenkomst maakt integraal onderdeel uit van eerdere afspraken tussen Partijen (hierna: “de Overeenkomst”).

Partijen:

• MX-Relay, gevestigd Nederland te Den Haag, ingeschreven bij de Kamer van Koophandel onder nummer 27295135 en kantoorhoudende aan de Taag 77, 2491CS, en vertegenwoordigd door haar vertegenwoordigers (hierna: “Verwerker”);

en

(gelieve in te vullen)

• Bedrijfsnaam: _____________________________________________________________________

Gevestigd in _______________________________ , ingeschreven bij de Kamer van Koophandel onder nummer __________________ en kantoorhoudende aan _______________________________

en vertegenwoordigd door: Dhr/Mrs ___________________________________________________

(hierna: “Verwerkingsverantwoordelijke”);

hierna afzonderlijk te noemen “Partij” dan wel gezamenlijk “Partijen”,

in aanmerking nemende dat

• Verwerkingsverantwoordelijke gebruik wil maken van de diensten van Verwerker en Partijen ten behoeve daarvan de Overeenkomst hebben gesloten;

• Verwerkingsverantwoordelijke de beschikking heeft over persoonsgegevens van diverse betrokkenen in de zin van artikel 4 lid 1 van de Algemene Verordening Gegevensbescherming (hierna: “AVG”) en bepaalde vormen van verwerking wil laten verrichten door Verwerker ten behoeve van de uitvoering van de Overeenkomst;

• Verwerker bij de uitvoering van de Overeenkomst in sommige gevallen aangemerkt kan worden als Verwerker in de zin artikel 4 lid 8 van de AVG;

• Verwerkingsverantwoordelijke aangemerkt wordt als Verwerkingsverantwoordelijke in de zin van artikel 4 lid 7 van de AVG;

• Waar in deze verwerkersovereenkomst gesproken wordt over persoonsgegevens, hiermee persoonsgegevens in de zin van artikel 4 onder 1 van de AVG bedoeld worden;

• Verwerker bereid is verplichtingen omtrent beveiliging en andere aspecten van de AVG na te komen, alsmede om Verwerkingsverantwoordelijke in staat te stellen om hierop toe te zien;

• Partijen, mede gelet op het vereiste uit artikel 28 van de AVG, hun rechten en plichten schriftelijk wensen vast te leggen middels deze verwerkersovereenkomst (hierna: “Verwerkersovereenkomst”);

• waar gerefereerd wordt aan bepalingen uit de AVG, tot 25 mei 2018 de corresponderende bepalingen uit de Wet bescherming persoonsgegevens worden bedoeld.

zijn als volgt overeengekomen

1. Doeleinden van de verwerking

   1. Verwerker verbindt zich onder de voorwaarden van deze Verwerkersovereenkomst in opdracht van Verwerkingsverantwoordelijke persoonsgegevens te verwerken. Verwerking zal uitsluitend plaatsvinden in het kader van het uitvoeren van de Overeenkomst en alle daarbij horende handelingen. Overige verwerkingen zullen uitsluitend worden uitgevoerd in expliciete opdracht van Verwerkingsverantwoordelijke of als daartoe een wettelijke verplichting bestaat na informeren van Verwerkingsverantwoordelijke.

   2. De persoonsgegevens die door Verwerker in het kader van de Overeenkomst (zullen) worden verwerkt, alsmede de categorieën van betrokkenen waarop de persoonsgegevens betrekking hebben, zijn opgenomen in Bijlage 1.

   3. Verwerker zal de persoonsgegevens niet voor enig ander doel verwerken dan zoals door Verwerkingsverantwoordelijke is vastgesteld. Verwerkingsverantwoordelijke zal Verwerker op de hoogte stellen van de verwerkingsdoeleinden voor zover deze niet uit deze Verwerkersovereenkomst blijken.

   4. Verwerker heeft geen zeggenschap over het doel en de middelen voor de verwerking van persoonsgegevens. Verwerker neemt geen zelfstandige beslissingen over de ontvangst en het gebruik van de persoonsgegevens, de verstrekking aan derden en de duur van de opslag van persoonsgegevens.

   5. De in opdracht van Verwerkingsverantwoordelijke te verwerken persoonsgegevens blijven eigendom van Verwerkingsverantwoordelijke en/of de betreffende betrokkenen.

2. Verplichtingen Verwerker

   1. Verwerker garandeert de naleving van de toepasselijke wet- en regelgeving, waaronder in ieder geval begrepen de wetgeving op het gebied van de bescherming van persoonsgegevens, namelijk op dit moment de AVG.

   2. Verwerker zal Verwerkingsverantwoordelijke, op diens eerste verzoek daartoe, informeren over de door haar genomen maatregelen aangaande haar verplichtingen onder deze Verwerkersovereenkomst en de AVG.

   3. De verplichtingen van de Verwerker die uit deze Verwerkersovereenkomst voortvloeien, gelden ook voor degenen die persoonsgegevens verwerken onder het gezag van Verwerker, waaronder begrepen maar niet beperkt tot werknemers, in de ruimste zin van het woord.

   4. Verwerker zal de Verwerkingsverantwoordelijke onmiddellijk in kennis stellen indien naar zijn mening een instructie van de Verwerkingsverantwoordelijke in strijd is met relevante privacywet- en regelgeving.

   5. Verwerker zal Verwerkingsverantwoordelijke de noodzakelijke medewerking verlenen, wanneer er in het kader van de verwerking een gegevensbeschermingseffectbeoordeling, of een voorafgaande raadpleging van de toezichthouder, noodzakelijk mocht zijn.

3. Doorgifte van persoonsgegevens

   1. Het is Verwerker uitsluitend toegestaan om persoonsgegevens te verwerken binnen de Europese Unie. Doorgifte naar landen buiten de Europese Unie is niet toegestaan, tenzij Verwerkingsverantwoordelijke daarvoor voorafgaand schriftelijk toestemming heeft gegeven en met inachtneming van de wettelijke regels omtrent de doorgifte van persoonsgegevens naar landen buiten de Europese Unie. Verwerkingsverantwoordelijke is gerechtigd om aan de toestemming nadere voorwaarden te verbinden.

4. Verdeling van verantwoordelijkheid

   1. De toegestane verwerkingen worden uitgevoerd binnen een (semi-)geautomatiseerde omgeving onder controle van Verwerker.

   2. Verwerker is louter verantwoordelijk voor de verwerking van de persoonsgegevens onder deze Verwerkersovereenkomst, overeenkomstig de instructies van Verwerkingsverantwoordelijke en onder de uitdrukkelijke (eind)verantwoordelijkheid van Verwerkingsverantwoordelijke. Voor alle overige verwerkingen van persoonsgegevens, waaronder in ieder geval begrepen maar niet beperkt tot de verzameling van de persoonsgegevens door de Verwerkingsverantwoordelijke, verwerkingen voor doeleinden die niet door Verwerkingsverantwoordelijke aan Verwerker zijn gemeld, verwerkingen door derden en/of voor andere doeleinden, is Verwerker niet verantwoordelijk. De verantwoordelijkheid voor deze verwerkingen rust uitsluitend bij Verwerkingsverantwoordelijke.

5. Meldplicht

   1. In het geval van (een vermoeden van) een beveiligingslek en/of een datalek (waaronder wordt verstaan: een inbreuk op de beveiliging van persoonsgegevens die leidt tot een aanzienlijke kans op ernstige nadelige gevolgen, dan wel ernstige nadelige gevolgen heeft, voor de bescherming van persoonsgegevens) zal Verwerker de Verwerkingsverantwoordelijke daarover onverwijld dan wel uiterlijk binnen 24 uur informeren nadat het lek bij hem bekend is geworden. Verwerker staat er voor in dat de verstrekte informatie volledig, correct en accuraat is. De meldplicht geldt ongeacht de impact van het lek.

   2. Verwerker dient te beschikken over een gedegen plan van aanpak betreffende de omgang met en afhandeling van datalekken en zal dit plan verstrekken aan Verwerkingsverantwoordelijke, op diens eerste verzoek daartoe. Verwerker stelt Verwerkingsverantwoordelijke op de hoogte van eventuele wijzigingen in het plan van aanpak.

   3. Verwerker zal op verzoek van Verwerkingsverantwoordelijke meewerken aan het informeren van de ter zake relevante autoriteiten en/of betrokkenen.

   4. Verwerker zal de oorzaak of oorzaken van het lek zo snel mogelijk wegnemen en alles in het werk stellen om de gevolgen van het lek zoveel mogelijk te beperken.

   5. De meldplicht behelst in ieder geval het melden van het feit dat er een (vermoeden van een) lek is geweest, alsmede:

• wat de (vermeende) oorzaak is van het lek;

• wat het (vooralsnog bekende en/of te verwachten) gevolg is;

• contactgegevens voor de opvolging van de melding;

• het aantal personen waarvan gegevens gelekt zijn (indien geen exact aantal bekend is: het minimale en maximale aantal personen waarvan gegevens zijn gelekt);

• een omschrijving van de groep personen van wie gegevens zijn gelekt;

• het soort of de soorten persoonsgegevens die zijn gelekt;

• de datum en het tijdstip waarop het lek heeft plaatsgevonden (indien geen exacte datum en/of tijdstip bekend is: de periode waarbinnen het lek heeft plaatsgevonden);

• of de gegevens versleuteld, gehasht of op een andere manier onbegrijpelijk of ontoegankelijk zijn gemaakt voor onbevoegden;

• wat de (voorgestelde) oplossing is;

• wat de voorgenomen en/of reeds ondernomen maatregelen zijn om het lek te dichten en om de gevolgen van het lek te beperken.

Als op het moment van de melding nog niet alle hierboven beschreven informatie voorhanden is, zal Verwerker de nog ontbrekende informatie zo spoedig mogelijk nasturen.

6. Op het eerste verzoek van Verwerkingsverantwoordelijke zal Verwerker nadere informatie verschaffen over het lek.

6. Beveiliging

   1. Verwerker zal voldoende passende technische en organisatorische maatregelen nemen met betrekking tot de te verrichten verwerkingen van persoonsgegevens, tegen verlies of tegen enige vorm van onrechtmatige verwerking (zoals onbevoegde kennisname, aantasting, wijziging of verstrekking van de persoonsgegevens). De maatregelen zullen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau waarborgen gelet op de risico’s die de verwerking en de aard van de te beschermen gegevens met zich meebrengen.

   2. Verwerker heeft in ieder geval de volgende maatregelen genomen:

• logische toegangscontrole, gebruik makend van sterke wachtwoorden;

• fysieke maatregelen voor toegangsbeveiliging;

• automatische logging van alle handelingen rond de persoonsgegevens;

• encryptie (versleuteling) van digitale bestanden met persoonsgegevens;

• organisatorische maatregelen voor toegangsbeveiliging;

• beveiliging van netwerkverbindingen via Secure Socket Layer (SSL) of vergelijkbare technologie;

• doelgebonden toegangsbeperkingen;

• controle op toegekende bevoegdheden.

3. Verwerker zal de door haar genomen beveiligingsmaatregelen periodiek evalueren en aanpassen of verscherpen, teneinde te allen tijde een passend beveiligingsniveau te waarborgen ten aanzien van de persoonsgegevens die zij ten behoeve van Verwerkingsverantwoordelijke verwerkt of laat verwerken door derden of onderaannemers.

7. Afhandeling verzoeken van betrokkenen

   1. In het geval dat een betrokkene bij Verwerker een verzoek indient tot uitoefening van enig wettelijk recht, zal Verwerker het verzoek doorsturen aan Verwerkingsverantwoordelijke en de betrokkene hiervan op de hoogte stellen. Verwerkingsverantwoordelijke zal het verzoek verder zelfstandig afhandelen. Indien blijkt dat Verwerkingsverantwoordelijke hulp nodig heeft van Verwerker voor de uitvoering van een verzoek van een betrokkene, dan zal Verwerker hiervoor onverwijld na verzoek van Verwerkingsverantwoordelijke haar medewerking verlenen.

8. Geheimhoudingsplicht

   1. Op alle persoonsgegevens die Verwerker van Verwerkingsverantwoordelijke ontvangt en/of zelf verzamelt in het kader van deze Verwerkersovereenkomst, rust een geheimhoudingsplicht jegens derden. Verwerker zal deze informatie niet voor een ander doel gebruiken dan waarvoor zij deze heeft verkregen, zelfs niet wanneer deze in een zodanige vorm is gebracht zodat deze niet tot betrokkenen herleidbaar is.

   2. Deze geheimhoudingsplicht is niet van toepassing voor zover Verwerkingsverantwoordelijke uitdrukkelijke toestemming heeft gegeven om de informatie aan derden te verschaffen, indien het verstrekken van de informatie aan derden logischerwijs noodzakelijk is gezien de aard van de verstrekte opdracht en de uitvoering van deze Verwerkersovereenkomst, of indien er een wettelijke verplichting bestaat om de informatie aan een derde te verstrekken.

9. Audit

   1. Verwerkingsverantwoordelijke heeft verplichtingen tegenover de betrokkenen (de personen wier persoonsgegevens door de Verwerker ten behoeve van Verwerkingsverantwoordelijke worden verwerkt). Die verplichtingen zien onder meer op het verstrekken van informatie, het geven van xxxxxx in persoonsgegevens, het corrigeren van persoonsgegevens en het verwijderen van persoonsgegevens.

   2. De verantwoordelijkheid van de nakoming van deze verplichtingen rust op Verwerkingsverantwoordelijke. Verwerker zal alle noodzakelijke medewerking verlenen aan de door Verwerkingsverantwoordelijke na te komen verplichtingen. Verwerker staat er in dat kader voor in dat hij een opdracht van Verwerkingsverantwoordelijke tot het uitvoeren van een bepaalde persoonsgegevensverwerking of tot het verschaffen van bepaalde informatie omtrent door haar uitgevoerde persoonsgegevensverwerkingen steeds binnen 3 werkdagen zal uitvoeren.

   3. Xxxxxxxxx is gerechtigd voor deze werkzaamheden kosten in rekening te brengen.

10. Aansprakelijkheid

    1. Omtrent aansprakelijkheid geldt het bepaalde in de opgenomen overeenkomst

11. Duur en beëindiging

    1. Deze Verwerkersovereenkomst komt tot stand door ondertekening van Partijen en op de datum van de laatste ondertekening.

    2. De Verwerkersovereenkomst is aangegaan voor de duur zoals bepaald in de Overeenkomst tussen Partijen en bij gebreke daarvan in ieder geval voor de duur van de samenwerking.

    3. De Verwerkersovereenkomst kan tussentijds niet worden opgezegd.

    4. Bij beëindiging, ontbinding of opzegging van deze Verwerkersovereenkomst, op verzoek, op welke grond of wijze dan ook, zal Verwerker uit eigen beweging (i) aan Verwerkingsverantwoordelijke alle persoonsgegevens ter beschikking stellen op de wijze en in het format dat Verwerkingsverantwoordelijke wenst, (ii) per direct de verwerking van de persoonsgegevens staken, (iii) alle documenten waarin de persoonsgegevens zijn vastgelegd aan Verwerkingsverantwoordelijke ter beschikking stellen, en (iv) alle persoonsgegevens die elektronisch zijn opgeslagen permanent van de gegevensdrager verwijderen, of voor zover permanente verwijdering van de gegevensdrager niet mogelijk is, de gegevensdrager vernietigen. Verwerker zal op eerste verzoek van Verwerkingsverantwoordelijke schriftelijk bevestigen aan Verwerkingsverantwoordelijke dat Verwerker aan alle verplichtingen uit hoofde van dit artikel heeft voldaan.

12. Overige bepalingen

    1. De Verwerkersovereenkomst en de uitvoering daarvan worden beheerst door Nederlands recht.

    2. Alle geschillen, welke tussen Partijen mochten ontstaan in verband met de Verwerkersovereenkomst, zullen worden voorgelegd aan de bevoegde rechter in het arrondissement waar Verwerkingsverantwoordelijke gevestigd is.

    3. Logs en metingen gedaan door Verwerkingsverantwoordelijke gelden als dwingend bewijs, behoudens tegenbewijs te leveren door Verwerker.

    4. Indien de privacywetgeving wijzigt, zullen partijen meewerken deze Verwerkersovereenkomst aan te passen teneinde aan deze wetgeving te kunnen (blijven) voldoen.

Aldus overeengekomen en getekend,

MX-Relay Partner

_____/_____/___________ _____/_____/___________

datum datum

_______________________ ___________________

naam naam

handtekening handtekening

BIJLAGE 1 – SOORTEN PERSOONSGEGEVENS EN CATEGORIEËN BETROKKENEN

1. Soorten persoonsgegevens

Verwerker verwerkt, in het kader van de Overeenkomst, de volgende persoonsgegevens in naam en in opdracht van Verwerkingsverantwoordelijke:

• Naam, Adres en Woonplaats

• E-mailadressen

• Telefoonnummers

• Organisatiegegevens

• Conversiegegevens contacten (clicks/downloads/inschrijvingen etc)

• Device gegevens (desktop of mobiel, besturingsysteem)

2. Categorieën betrokkenen

De verwerkte persoonsgegevens zijn afkomstig van de volgende categorieën van betrokkenen:

• Klanten

• Prospects

• Partners

• Medewerkers organisatie

• Websitebezoekers

• Eventbezoekers

• Overige volgers organisatie (alle overige contacten die aangemeld staan op onze nieuwsbrieven)