Partijen:

Partijen:

a. Opdrachtgever, de rechtspersoon of natuurlijk persoon met wie Verwerker een Overeenkomst heeft gesloten, hierna te noemen: “Verantwoordelijke”,

en

b. Opdrachtnemer, te weten Stecal VOF, statutair gevestigd te Alphen aan den Rijn, vertegenwoordigd door X. Xxxxxxx en S.R. Keijzer, hierna te noemen: “Verwerker”,

c. gezamenlijk aan te duiden als “Partijen”

Overwegende dat:

Deze Verwerkersovereenkomst is van toepassing van het moment dat partijen een Overeenkomst hebben gesloten indien er door Verwerker persoonsgegevens worden verwerkt voor Verantwoordelijke. De toepasselijkheid van Verwerkersovereenkomsten van Verantwoordelijke worden uitdrukkelijk van de hand gewezen.

1. Definities

De hierna en hiervoor gebruikte begrippen volgen uit de Algemene Verordening Gegevensbescherming en hebben de volgende betekenis:

1.1. Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (Betrokkene); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.’

1.2. Verwerking: een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedures, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.

1.3. Verwerkingsverantwoordelijke: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt; wanneer de doelstellingen van en de middelen voor deze verwerking in het Unierecht of het lidstatelijke recht worden vastgesteld, kan daarin worden bepaald wie de verwerkingsverantwoordelijke is of volgens welke criteria deze wordt aangewezen.

1.4. Verwerker: een natuurlijk persoon of rechtspersoon, een overheidsinstantie, een dienst of ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijk persoonsgegevens verwerkt.

1.5. Betrokkene: geïdentificeerde of identificeerbaar natuurlijk persoon op die wie de verwerkte persoonsgegevens betrekking hebben.

1.6. Verwerkersovereenkomst: deze overeenkomst inclusief de bijlagen.

1.7. Overeenkomst: de hoofdovereenkomst waar deze Verwerkersovereenkomst uit voortvloeit.

1.8. Inbreuk in verband met Persoonsgegevens: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens.

1.9. Gegegevensbeschermseffectbeoordeling: het uitvoeren van een beoordeling, voorafgaand aan het uitvoeren van een verwerking, van het effect van de beoogde verwerkingsactiviteiten op de bescherming van Persoonsgegevens.

1.10. Toezichthoudende autoriteit: een onafhankelijke overheidsinstantie verantwoordelijk voor het toezicht op de naleving van de wet in verband met de verwerking van Persoonsgegevens. In Nederland is dit de Autoriteit Persoonsgegevens.

2. Totstandkoming, duur en beëindiging van deze Verwerkersovereenkomst

2.1. Deze Verwerkersovereenkomst is onderdeel van de Overeenkomst en zal gelden voor zolang de Overeenkomst duurt. Indien de Overeenkomst

eindigt, eindigt deze Verwerkersovereenkomst automatisch; de Verwerkersovereenkomst kan niet apart worden ontbonden.

2.2. Na beëindiging van deze Verwerkersovereenkomst zullen de lopende verplichten voor Verwerker, zoals het melden van Datalekken, waarbij de Persoonsgegevens van Verantwoordelijke betrokken zijn, en de plicht tot geheimhouding blijven voortduren.

3. Verwerken Persoonsgegevens

3.1. Verwerker zal alleen Persoonsgegevens verwerken in opdracht van Verantwoordelijke en Verwerker heeft geen zeggenschap over de Persoonsgegevens.

3.2. Verwerker zal de Persoonsgegevens niet op een andere manier verwerken dan vastgelegd in de Overeenkomst of Privacy Reglement, tenzij Verantwoordelijke hier schriftelijk toestemming voor verleend.

3.3. Verwerker houdt zich aan de wet en verwerkt de Persoonsgegevens op een behoorlijke, zorgvuldige en transparante wijze.

3.4. Het is Verwerker toegestaan andere personen, organisaties of andere derden in te schakelen bij het verwerken van de Persoonsgegevens, zolang deze derden voldoen aan alle eisen in deze Verwerkingsovereenkomst en Verwerker eindverantwoordelijke blijft.

3.5. Wanneer Verantwoordelijke een verzoek krijgt van een Betrokkene die zijn of haar privacy rechten wenst uit te voeren, zal Verwerker hier binnen 14 dagen aan mee werken. Deze rechten bestaan uit een verzoek om inzage, verbetering, aanvulling, verwijdering of afscherming, bezwaar maken tegen de verwerking van de persoonsgegevens en een verzoek tot overdraagbaarheid van de eigen Persoonsgegevens.

3.6. Wanneer Verantwoordelijke verzoekt om informatie bij Verwerker, dan zal Verwerker deze informatie binnen 5 werkdagen verstrekken in het kader van Gegevensbeschermingeffectbeoordeling.

4. Doorgifte van Persoonsgegevens

4.1. Verwerker verwerkt Persoonsgegevens in landen binnen de Europese Unie. Verantwoordelijke geeft Xxxxxxxxx daarnaast toestemming voor verwerking van Persoonsgegevens in landen buiten de Europese Unie, met in acht name van de daarvoor gelde wet- en regelgeving.

4.2. Verwerkt zal - op verzoek van Verantwoordelijke - melden om welke land of landen het geen gaat uit het eerste lid van dit artikel.

5. Beveiligen van Persoonsgegevens

5.1. Verwerker draagt er zorg voor dat de Persoonsgegevens voldoende zijn beveiligd. Om verlies en onrechtmatige verwerkingen te voorkomen dient Verwerker passende technische en organisatorische maatregelen toe te passen. Deze maatregelen zijn afgestemd op het risico van de verwerking.

5.2. Verwerker heeft een artikel opgenomen in het Privacy Reglement over de beveiliging. Dit reglement zal minimaal jaarlijks worden herzien om risico’s te beperken.

6. Geheimhouding

6.1. Verwerker is verplicht tot geheimhouding over de verstrekte Persoonsgegevens door Verantwoordelijke, tenzij dit op basis van wettelijke verplichtingen niet mogelijk is.

6.2. Verwerker zorgt voor geheimhoudingsverklaringen bij personeel, ingeschakelde derden of zij die toegang hebben tot de verstrekte Persoonsgegevens.

7. Verantwoordelijkheid

7.1. Partijen zullen zorg dragen voor de naleving van toepasselijke regelgeving en privacywetgeving. De toegestane verwerkingen zullen door Verwerker worden uitgevoerd

7.2. Verwerker is louter verantwoordelijk voor verwerkingen van Persoonsgegevens genoemd in deze Verwerkersovereenkomst of de Overeenkomst, waaronder in ieder geval begrepen maar niet beperkt tot de verzameling van de Persoonsgegeven door Verantwoordelijke. Verwerkingen die niet door Verantwoordelijke aan Verwerker zijn gemeld, verwerkingen door derden en/of voor andere doeleinden, is Xxxxxxxxx niet verantwoordelijk.

7.3. Het is aan de Verantwoordelijke om te beoordelen of Verwerker afdoende garanties geeft met betrekking tot het toepassen van technische en organisatorische maatregelen die de Verwerking eisen, aan de vereisten van de Algemene Verordening Gegevensbescherming.

7.4. Verantwoordelijke draagt er zorg voor dat te allen tijde de inhoud, het gebruik en de opdracht tot verwerking van Persoonsgegevens, niet onrechtmatig is en geen inbreuk maakt op de rechten van derden.

7.5. Verantwoordelijke is niet aansprakelijk van aanspraken van Betrokken of andere personen en organisaties waar Xxxxxxxxx een samenwerking mee heeft of waarvan Verwerker Persoonsgegevens van verwerkt, als dit gevolg is van onrechtmatigheid of nalatig handelen van Verwerker.

7.6. Verantwoordelijke vrijwaart Verwerker van eventuele schade, aanspraken van derden en door toezichthouders opgelegde boetes, indien Verantwoordelijk in strijd handelt met deze Verwerkersovereenkomst en/of de Algemene Verordening Gegevensbescherming en/of andere toepasselijke wet- en regelgeving.

8. Datalekken

8.1. In het geval van ontdekking van een Datalek zal Verwerker binnen 24 uur per e-mail of telefoon (zoals genoemd bovenaan deze Verwerkersovereenkomst) Verantwoordelijk op de hoogte stellen en informeren volgens de Meldplicht Datalekken.

8.2. Verwerker houdt Verantwoordelijke op de hoogte van ontwikkelingen rondom het Datalek en de maatregelen die getroffen worden om de omvang het Datalek te beperken, te beëindigen en te voorkomen.

8.3. Het is Verwerker toegestaan een melding te doen bij de Toezichthouder met betrekking tot een Datalek. Verwerker zal geen melding doen bij Betrokkenen. Dit is de verantwoordelijkheid van Verantwoordelijke.

8.4. Eventuele kosten die voortvloeien om het Datalek op te lossen of te voorkomen komen voor rekening van de Partij die de kosten maakt.

9. Audit

9.1. Verantwoordelijke heeft het recht om audits te laten uitvoeren door een onafhankelijke deskundige die aan geheimhouding is gebonden ter controle van naleving van alle punten uit deze Verwerkersovereenkomst.

9.2. Een audit kan enkel plaatsvinden nadat Verantwoordelijke bij Verwerker auditrapportages zijn opgevraagd, heeft beoordeeld en redelijke argumenten aanbrengt die een door Verantwoordelijke geïnitieerde audit rechtvaardigt.

9.3. Een audit wordt gerechtvaardigd wanneer de door Verwerker auditrapportages geen of onvoldoende uitsluitsel geven over de naleving van deze Verwerkersovereenkomst.

9.4. Een audit geïnitieerd door Verantwoordelijke vindt twee weken na voorafgaande aankondiging door Verantwoordelijke, maximaal éénmaal per jaar plaats.

9.5. Verwerker zal aan de audit meewerken en alle voor de audit redelijkerwijs relevante informatie, inclusief ondersteunende gegevens en medewerker, binnen een redelijke termijn van twee weken ter beschikking stellen.

9.6. De redelijke kosten voor de audit worden door Verantwoordelijke gedragen, met dien verstande dat de kosten voor de in te huren deskundigen altijd door Verantwoordelijke worden gedragen.

10. Teruggave Persoonsgegevens en bewaartermijn

10.1. Na het beëindigen van de Overeenkomst dient Verwerker alle Persoonsgegevens van Verantwoordelijke over te dragen. Persoonsgegevens die niet overgedragen kunnen worden zal Verwerker vernietigen.

10.2. Persoonsgegevens die Verwerker volgens de wettelijke bewaartermijn moet bewaren zullen op verzoek van Verantwoordelijke na deze termijn vernietigd worden.

10.3. Verwerker zal aan Verantwoordelijke verklaren dat er na de overdracht geen Persoonsgegevens meer in bezit zijn van Verwerker.

11. Algemeen

11.1. De Verwerkersovereenkomst is een onderdeel van de Overeenkomst. Alle rechten en verplichtingen uit de Overeenkomst zijn van toepassing op de Verwerkersovereenkomst.

11.2. Bij tegenstrijdigheden tussen de bepalingen in de Verwerkersovereenkomst en de Overeenkomst, gelden de bepalingen uit de Overeenkomst.

11.3. Afwijkingen op deze Verwerkersovereenkomst zijn slechts geldig wanneer Partijen dit schriftelijk en ondertekend vastleggen of anders hebben vastgesteld in de Overeenkomst.

11.4. Op deze Verwerkersovereenkomst is het Nederlands Recht van toepassing.

Laatste aanpassing: 16 april 2018