Gegevensverwerkingsovereenkomst
Gegevensverwerkingsovereenkomst
TUSSEN:
Kunst in Kaart , een vennootschap naar Nederlands recht, statutair gevestigd in Utrecht aan de Xxxxxxxxxxxx 00 en kantoor houdende in Utrecht aan de Xxxxxxxxxxxx 00
zoals ingeschreven bij de Kamer van Koophandel onder nummer de “Verwerkingsverantwoordelijke”), EN
62796941
(hierna te noemen:
Xxxxxxxxxxxx.xx BV, een vennootschap naar Nederlands recht, statutair gevestigd in Deventer en kantoor houdende aan Keulenstraat 4, 7418 ET, zoals ingeschreven bij de Kamer van Koophandel onder nummer 08119373 (hierna te noemen: de “Verwerker”).
1. Verwerken van Persoonsgegevens. Verwerkingsverantwoordelijke en Verwerker erkennen dat de Diensten met zich mee kunnen brengen dat er gegevens worden verwerkt of opgeslagen die door Verwerkingsverantwoordelijke aan Verwerker zijn verstrekt (“Gegevens van Verwerkingsverantwoordelijke”), welke onder meer Persoonsgegevens of gegevens die worden gereguleerd door privacy- en gegevensbeschermingswetten, kunnen betreffen. Behoudens voor zover anderszins vereist door toepasselijke wetgeving, zal Verwerker derhalve alleen handelen op basis van de redelijke instructies van Verwerkingsverantwoordelijke en zijn Gelieerde Ondernemingen bij het verwerken of opslaan van Gegevens van Verwerkingsverantwoordelijke en zal Verwerker volledig voldoen aan alle toepasselijke wetten, richtlijnen, regelingen en regels inzake gegevensbescherming en de bescherming van Persoonsgegevens.
2. Naleving van EU-wetgeving inzake gegevensbescherming. Verwerker voldoet volledig aan de EU Richtlijn inzake Gegevensbescherming 95/46/EG (inclusief alle amendementen daarop, met inbegrip van, maar niet beperkt tot de Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (de “AVG”)) (de “EU Gegevensbeschermingswet”) en alle ondergeschikte, toepasselijke wetgeving die de EU Gegevensbeschermingswet met betrekking tot de door Verwerker uit te voeren verwerking implementeert (de “Lokale Gegevensbeschermingswetten”), en onderneemt alle acties en treft alle maatregelen die redelijkerwijs noodzakelijk zijn om Verwerkingsverantwoordelijke en de Gelieerde Ondernemingen van Verwerkingsverantwoordelijke in staat te stellen aan zijn/hun verplichtingen op grond van dergelijke wetten, richtlijnen, regelingen en regels, waaronder, zonder beperking, de EU Gegevensbeschermingswet en Lokale Gegevensbeschermingswetten, te voldoen. Voor de toepassing van deze Overeenkomst zullen de termen Persoonsgegevens, Betrokkene, Verwerkingsverantwoordelijke en Gegevensverwerker de in de AVG gegeven betekenis hebben.
3. Naleving van instructies van de Verwerkingsverantwoordelijke. Verwerker zal in zijn hoedanigheid van een Gegevensverwerker van Gegevens van Verwerkingsverantwoordelijke:
3.1 alleen in opdracht van de Verwerkingsverantwoordelijke handelen en hij erkent bij dezen uitdrukkelijk dat hij geen rechten, eigendomstitels of belangen bezit met betrekking tot Gegevens van Verwerkingsverantwoordelijke, noch deze voor zowel het verleden als de toekomst met ingang van de Ingangsdatum van deze Overeenkomst te hebben verworven c.q. te zullen verwerven in verband met verleende diensten en geleverde producten;
3.2 volledig verantwoordelijk zijn voor alle werknemers of onderaannemers van Verwerker die toegang hebben tot Gegevens van Verwerkingsverantwoordelijke en de Gegevensverwerker zal, onverminderd eventuele bestaande contractuele regelingen tussen de Partijen, alle Persoonsgegevens strikt vertrouwelijk behandelen en zijn werknemers, agenten en/of goedgekeurde Subverwerkers die betrokken zijn bij het verwerken van de Persoonsgegevens, op de hoogte stellen van de vertrouwelijke aard van de Persoonsgegevens. De Gegevensverwerker zorgt ervoor dat al deze personen of partijen een passende geheimhoudingsovereenkomst hebben ondertekend of anderszins gebonden zijn aan een geheimhoudingsplicht of een passende wettelijke geheimhoudingsverplichting hebben;
3.3 Verwerkingsverantwoordelijke direct kennisgeven van verzoeken die zijn gedaan door Xxxxxxxxxxx of een handhavingsinstantie in verband met de verwerking van Persoonsgegevens zodat de Verwerkingsverantwoordelijke kan reageren op een dergelijk verzoek;
3.4 de Gegevens van Verwerkingsverantwoordelijke niet langer bewaren dan is toegestaan door toepasselijke wetgeving en op verzoek van Verwerkingsverantwoordelijke direct alle Persoonsgegevens op zijn servers of servers van derden overdragen aan Verwerkingsverantwoordelijke en/of deze Persoonsgegevens daarvan verwijderen, naargelang hetgeen van toepassing is.
4. Doel van verwerking. Verwerker verwerkt alleen Gegevens van Verwerkingsverantwoordelijke voor de in Bijlage 1 vermelde doeleinden of op schriftelijke instructies van Verwerkingsverantwoordelijke en zal geen andere Subverwerkers inschakelen dan die opgesomd staan in Bijlage 2. Verwerker informeert Verwerkingsverantwoordelijke over een eventuele toevoeging of vervanging van deze Subverwerkers en geeft Verwerkingsverantwoordelijke daarbij de kans om bezwaar te maken tegen zulke wijzigingen. Verwerker zorgt ervoor dat de Subverwerker gebonden is aan dezelfde gegevensbeschermingsverplichtingen van Verwerker uit hoofde van deze Gegevensverwerkingsovereenkomst, houdt toezicht op de naleving daarvan en moet in het bijzonder aan zijn Subverwerkers de verplichting opleggen om passende technische en organisatorische maatregelen te nemen op zodanige wijze dat de verwerking aan de vereisten van de EU Gegevensbeschermingswet voldoet.
5. Rechten van Betrokkene. Indien een Betrokkene een door de wet aan hem verleend recht met betrekking tot de Persoonsgegevens die betrekking hebben op hem wenst uit te oefenen (bijv. een recht tot inzage of correctie) en een verzoek daartoe indient bij Verwerkingsverantwoordelijke, zijn Gelieerde Ondernemingen of Verwerker, zal Verwerker samenwerken met Verwerkingsverantwoordelijke om aan dat verzoek te voldoen.
6. EU grensoverschrijdende doorgifte van gegevens. De verwerking of opslag door Verwerker van Persoonsgegevens die onder de zeggenschap staan van Verwerkingsverantwoordelijke of een van zijn Gelieerde Ondernemingen met een statutaire vestigingsplaats in de Europese Economische Ruimte (“EER”) of Zwitserland, of van Vertrouwelijke Informatie of gegevens van Diensten of Te leveren producten uit hoofde van deze Overeenkomst, zou een grensoverschrijdende doorgifte van Persoonsgegevens naar een land buiten Zwitserland of de EER kunnen inhouden, dat niet wordt geacht een adequaat beschermingsniveau te hebben. Ingeval Verwerker Gegevens van Verwerkingsverantwoordelijke doorgeeft aan een land buiten de EER of Zwitserland dat geen adequaat beschermingsniveau biedt, zal hij in zijn hoedanigheid van Gegevensverwerker volledig voldoen aan de EU-modelcontractbepalingen voor de doorgifte van Persoonsgegevens als uiteengezet in het Besluit van de Commissie van 5 februari 2010 (2010/87/EU) (de “Bepalingen”), hier bijgevoegd als Bijlage 2.
7. Teruggave en verwijdering van de Persoonsgegevens. Op schriftelijk verzoek kan Verwerkingsverantwoordelijke van Verwerker verlangen dat deze alle Gegevens van Verwerkingsverantwoordelijke verwijdert, inclusief, zonder beperking, alle Persoonsgegevens uit alle elektronische databasebestanden die worden gebruikt in verband met de diensten van Verwerker.
8. Gegevensbeveiliging. Verwerker zorgt ervoor dat hij passende technische en organisatorische beveiligingsmaatregelen invoert, en toeziet op de naleving daarvan, om Persoonsgegevens te beschermen tegen onopzettelijke of onrechtmatige verwerking of onopzettelijk verlies, wijziging, onbevoegde bekendmaking of toegang, met name wanneer de verwerking de verzending van Persoonsgegevens over een netwerk behelst, en tegen alle andere onrechtmatige vormen van verwerking. In het bijzonder voert Verwerker de in Bijlage 3 genoemde technische en organisatorische maatregelen in.
9. Kennisgeving van inbreuk in verband met gegevens. Verwerker zal Verwerkingsverantwoordelijke bij ontdekking van een inbreuk op en/of onbevoegde toegang tot zijn systeem of eventuele gerelateerde systemen of netwerken, waarbij sprake is van het (mogelijke) verlies of de onbevoegde bekendmaking van Gegevens van Verwerkingsverantwoordelijke (inclusief Persoonsgegevens), Vertrouwelijke Informatie van Verwerkingsverantwoordelijke en/of door Verwerker gecreëerde elektronische bestanden die uit hoofde van deze Overeenkomst in bewaring zijn bij of onder de zeggenschap staan van Verwerker, aanstonds, maar in ieder geval binnen vierentwintig (24) bedrijfsuren, schriftelijk op de hoogte stellen van een dergelijke beveiligingsinbreuk (of per telefoon en e-mail als dat sneller is) alsmede van eventuele acties die zijn ondernomen om de effecten van een dergelijk
verlies of dergelijke bekendmaking te beperken en Verwerker zal verdere acties ondernemen die hij redelijkerwijs noodzakelijk acht om te voorkomen dat een dergelijk verlies of dergelijke bekendmaking zich opnieuw voordoet.
10. Ondersteuning in geval van kennisgeving van een inbreuk in verband met gegevens. Indien er een beveiligingsinbreuk met invloed op Gegevens van Verwerkingsverantwoordelijke (waaronder Persoonsgegevens) wordt ontdekt op of in verband met systemen van Verwerker of een ander soort elektronisch medium of opslagapparaat, die afhankelijk van de feiten en omstandigheden kan leiden tot een kennisgeving van een inbreuk in verband met gegevens aan de Autoriteit Persoonsgegevens krachtens toepasselijk recht, zal Verwerker redelijke ondersteuning en medewerking verlenen aan het onderzoek van de beveiligingsinbreuk. Verwerker zal, zonder daarin uitputtend te zijn, Verwerkingsverantwoordelijke voorzien van een beschrijving van de beveiligingsinbreuk, de soort gegevens die het onderwerp vormden van de inbreuk en andere informatie die Verwerkingsverantwoordelijke redelijkerwijs kan opvragen betreffende de getroffen Betrokkenen. De Partijen komen overeen om te goeder trouw af te stemmen over het opstellen van de inhoud van daarmee verband houdende openbare verklaringen of eventuele vereiste kennisgevingen aan de getroffen Betrokkenen.
11. Duur en beëindiging
11.1 Deze Gegevensverwerkingsovereenkomst treedt in werking op 17-05-2018.
11.2 Beëindiging of afloop van deze Gegevensverwerkingsovereenkomst zal de Gegevensverwerker niet ontslaan van zijn geheimhoudingsverplichtingen krachtens artikel 2, 3 en 7.
11.3 De Gegevensverwerker zal Persoonsgegevens verwerken tot de datum van beëindiging van de Overeenkomst, tenzij hij andere instructies ontvangt van de Verwerkingsverantwoordelijke, of totdat deze gegevens worden teruggegeven of vernietigd in opdracht van de Verwerkingsverantwoordelijke.
12. Overige bepalingen
12.1 In geval van tegenstrijdigheid tussen de bepalingen van deze Gegevensverwerkingsovereenkomst en de bepalingen van de Dienstovereenkomst, zullen de bepalingen van deze Gegevensverwerkingsovereenkomst prevaleren.
12.2 Op deze Gegevensverwerkingsovereenkomst is Nederlands recht van toepassing. Eventuele geschillen voortvloeiend uit of in verband met deze Gegevensverwerkingsovereenkomst zullen uitsluitend worden gehoord door de bevoegde rechter van Midden-Nederland. Ondertekend voor en namens Verwerkingsverantwoordelijke
Verwerkingsverantwoordelijke Verwerker
Kunst in Kaart Xxxxxxxxxxxx.xx BV
Ondertekend: Ondertekend:
Naam: Xxxxxx xxx Xxxxxxx Naam: Xxxxxxx Xxxxxx
Titel: Algemeen directeur Titel: Commercieel Directeur
Datum: 17 mei 2018 Datum: 17 mei 2018
Bijlage 1: Doel van verwerking
Het onderwerp/aard en doel van de Verwerking:
Het produceren en verzenden van bestelde product(en)
Categorieën Persoonsgegevens en Betrokkenen
Opdrachtnemer (Verwerker) zal de volgende categorieën persoonsgegevens verwerken in opdracht van de Opdrachtgever (Verwerkingsverantwoordelijke):
☒ NAW-gegevens
☐ Financiële gegevens
☐ Identificatiegegevens
☐ Persoonlijke kenmerken
☐ Correspondentie / interactie
☐ Beeld- en geluidopnamen
☐ Gebruiks- en loggegevens
☐ Bijzondere gegevens, zoals ras of etnische afkomst, gegevens over gezondheid
Van de volgende categorieën betrokkenen:
☐ Nieuwsbrief inschrijvers
☒ (mogelijke) Klanten
☐ Personeel
☐ Leveranciers
☐ Sollicitanten
☐ Websitebezoekers
BIJLAGE 2 - Modelcontractbepalingen (doorgiftes van Verwerkingsverantwoordelijke naar verwerker)
1. DEFINITIES
1.1 Voor de toepassing van de Bepalingen:
(a) hebben de termen “persoonsgegevens”, “bijzondere categorieën van gegevens”, “verwerken/verwerking”, “Verwerkingsverantwoordelijke”, “Verwerker”, “Betrokkene” en “toezichthoudende autoriteit” voor 25 mei 2018 dezelfde betekenis als in Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens, en met ingang van 25 mei 2018 dezelfde betekenis als in Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (Algemene verordening gegevensbescherming);
(b) “Gegevensexporteur” is Verwerkingsverantwoordelijke, die de persoonsgegevens doorgeeft na voorafgaande schriftelijke toestemming van zijn Gelieerde Ondernemingen met een vestigingsplaats in de Europese Economische Ruimte of Zwitserland (“Verwerkingsverantwoordelijke”). Een overzicht van de betrokken Verwerkingsverantwoordelijken is hierbij bijgevoegd als Bijlage A.
(c) “Gegevensimporteur(s)” is Gegevensverwerker, die als de Verwerker overeenkomt om van de Gegevensexporteur persoonsgegevens te ontvangen die bestemd zijn om namens deze te worden verwerkt na de doorgifte in overeenstemming met zijn instructies en de bepalingen van de Modelcontractbepalingen en die niet onderhevig is aan een systeem van een derde
land dat adequate bescherming biedt in de zin van artikel 25 lid 1 van Richtlijn 95/46/EG of, volgend 25 mei 2018, artikel 45 van de Algemene verordening gegevensbescherming;
(d) “Subverwerker” is elke Verwerker die door de Gegevensimporteur of door een andere Subverwerker van de Gegevensimporteur wordt ingeschakeld en die overeenkomt om van de Gegevensimporteur of van een andere Subverwerker van de Gegevensimporteur persoonsgegevens te ontvangen die uitsluitend bestemd zijn voor namens de Gegevensexporteur uit te voeren verwerkingsactiviteiten na de doorgifte in overeenstemming met zijn instructies, de bepalingen van de Modelcontractbepalingen en de bepalingen van het schriftelijke subcontract;
(e) de “toepasselijke gegevensbeschermingswet” is de wetgeving die de fundamentele rechten en vrijheden van individuen beschermt en, in het bijzonder, hun recht op privacy met betrekking tot de verwerking van persoonsgegevens, en die geldt voor een Verwerkingsverantwoordelijke in de Lidstaat waarin de respectieve Verwerkingsverantwoordelijke en/of Gegevensexporteur gevestigd is;
(f) “technische en organisatorische beveiligingsmaatregelen” zijn die maatregelen die erop gericht zijn om persoonsgegevens te beschermen tegen onopzettelijke of onrechtmatige vernietiging of onopzettelijk verlies, wijziging, onbevoegde bekendmaking of toegang, met name wanneer de verwerking de verzending van gegevens over een netwerk behelst, en tegen alle andere onrechtmatige vormen van verwerking.
2. DETAILS VAN DE DOORGIFTE
2.1 De details van de doorgifte en met name de bijzondere categorieën van persoonsgegevens indien van toepassing zijn aangegeven in de Mantelovereenkomst Diensten d.d. XXXXXX tussen Gegevensexporteur en Gegevensimporteur.
3. BEPALING DERDE-BEGUNSTIGDE
3.1 De Betrokkene kan als derde-begunstigde jegens de Gegevensexporteur deze bepaling 3, bepalingen 4(b) tot en met 4(i), 5(a) tot en met 5(e) en 5(g) tot en met 5(j), 6.1 en 6.2, 7, 8.2 en 9 tot en met 12 doen gelden.
3.2 De Betrokkene kan jegens de Gegevensimporteur deze bepaling 3.2, bepalingen 5(a) tot en met 5(e) en 5(g), 6, 7, 8.2 en 9 tot en met 12 doen gelden, in gevallen waarin de Gegevensexporteur feitelijk verdwenen is of rechtens is opgehouden te bestaan, tenzij een opvolgende entiteit alle wettelijke verplichtingen van de Gegevensexporteur door een contract of van rechtswege op zich heeft genomen, als gevolg waarvan deze entiteit de rechten en verplichtingen van de Gegevensexporteur op zich neemt, in welk geval de Betrokkene deze bepalingen kan doen gelden jegens een dergelijke entiteit.
3.3 De Betrokkene kan jegens de Subverwerker deze bepaling 3.3, bepalingen 5(a) tot en met 5(e) en 5(g), 6, 7, 8.2 en 9 tot en met 12 doen gelden, in gevallen waarin zowel de Gegevensexporteur als de Gegevensimporteur feitelijk verdwenen zijn of rechtens zijn opgehouden te bestaan of insolvent zijn geworden, tenzij een opvolgende entiteit alle wettelijke verplichtingen van de Gegevensexporteur door een contract of van rechtswege op zich heeft genomen, als gevolg waarvan deze entiteit de rechten en verplichtingen van de Gegevensexporteur op zich neemt, in welk geval de Betrokkene deze bepalingen kan doen gelden jegens een dergelijke entiteit. Een dergelijke derden- aansprakelijkheid van de Subverwerker zal beperkt zijn tot zijn eigen verwerkingsactiviteiten op grond van de Bepalingen.
3.4 De Partijen maken er geen bezwaar tegen dat een Betrokkene wordt vertegenwoordigd door een vereniging of ander orgaan als de Betrokkene dit uitdrukkelijk wenst en als dit wordt toegestaan door nationale wetgeving.
4. VERPLICHTINGEN VAN DE GEGEVENSEXPORTEUR
4.1 De Gegevensexporteur komt overeen en garandeert:
(a) dat de verwerking, inclusief de doorgifte zelf, van de persoonsgegevens is uitgevoerd, en zal worden blijven uitgevoerd, in overeenstemming met de relevante bepalingen van de toepasselijke gegevensbeschermingswet (en, indien van toepassing, is gemeld aan de relevante autoriteiten van de Lidstaat waarin de Gegevensexporteur is gevestigd) en niet de relevante bepalingen van die Staat schendt;
(b) dat hij de Gegevensimporteur heeft geïnstrueerd en gedurende de looptijd van de diensten voor verwerking van persoonsgegevens zal instrueren om de doorgegeven persoonsgegevens alleen namens de Gegevensexporteur te verwerken en in overeenstemming met de toepasselijke gegevensbeschermingswet en de Bepalingen;
(c) dat de Gegevensimporteur voldoende garanties geeft met betrekking tot de technische en organisatorische beveiligingsmaatregelen, zoals geïnstrueerd door de Gegevensexporteur krachtens artikel 7.8 van de Mantelovereenkomst Diensten;
(d) dat na beoordeling van de eisen van de toepasselijke gegevensbeschermingswet de beveiligingsmaatregelen passend zijn om persoonsgegevens te beschermen tegen onopzettelijke of onrechtmatige vernietiging of onopzettelijk verlies, wijziging, onbevoegde bekendmaking of toegang, met name wanneer de verwerking de verzending van gegevens over een netwerk behelst, en tegen alle andere onrechtmatige vormen van verwerking, en dat deze maatregelen een mate van beveiliging bieden die passend is voor de risico's die zich voordoen bij de verwerking en de aard van de te beschermen gegevens, met inachtneming van de stand van de techniek en de kosten van de implementatie daarvan;
(e) dat hij zorgt dat de beveiligingsmaatregelen worden nageleefd;
(f) dat, indien de doorgifte bijzondere categorieën van gegevens betreft, de Betrokkene is geïnformeerd of zal worden geïnformeerd voor,
of zo spoedig mogelijk na, de doorgifte dat zijn gegevens zouden kunnen worden verzonden naar een derde land dat geen adequate bescherming biedt in de zin van Richtlijn 95/46/EG;
(g) dat hij kennisgevingen die hij ontvangt van de Gegevensimporteur of een Subverwerker krachtens bepaling 5(b) en bepaling 8.3, zal doorsturen naar de toezichthoudende autoriteit inzake gegevensbescherming als de Gegevensexporteur besluit om door te gaan met de doorgifte of de schorsing van de doorgifte van gegevens op te heffen;
(h) dat hij desgevraagd een kopie van de Bepalingen ter beschikking zal stellen aan de Betrokkenen, inclusief een korte samenvatting van de beveiligingsmaatregelen, alsmede een kopie van een eventueel contract voor subverwerkingsdiensten die moet worden gesloten in overeenstemming met de Bepalingen, tenzij er in de Bepalingen of het contract commerciële informatie staat, in welk geval hij dergelijke commerciële informatie mag verwijderen;
(i) dat, in het geval van subverwerking, de verwerkingsactiviteit wordt uitgevoerd in overeenstemming met bepaling 11 door een Subverwerker die ten minste hetzelfde beschermingsniveau biedt voor de persoonsgegevens en de rechten van Betrokkenen als de Gegevensimporteur op grond van de Bepalingen; en
(j) dat hij zorgt voor naleving van bepalingen 4(a) tot en met 4(i).
5. VERPLICHTINGEN VAN DE GEGEVENSIMPORTEUR
5.1 De Gegevensimporteur komt overeen en garandeert:
(a) om de persoonsgegevens alleen namens de Gegevensexporteur te verwerken en in overeenstemming met zijn instructies en de Bepalingen; indien hij om wat voor redenen dan ook niet kan zorgen voor een dergelijke naleving, komt hij overeen om de Gegevensexporteur terstond te informeren over zijn onvermogen tot naleving, in welk geval de Gegevensexporteur het recht heeft om de
doorgifte van gegevens op te schorten en/of het contract te beëindigen;
(b) dat hij geen reden heeft om aan te nemen dat de op hem van toepassing zijnde wetgeving hem verhindert bij het opvolgen van de van de Gegevensexporteur ontvangen instructies en het vervullen van zijn verplichtingen op grond van het contract en dat in geval van een wijziging in deze wetgeving die waarschijnlijk een substantieel negatief effect zal hebben op de in de Bepalingen vastgelegde garanties en verplichtingen, hij de wijziging direct zal melden aan de Gegevensexporteur zodra hij zich daarvan bewust is, in welk geval de Gegevensexporteur het recht heeft om de doorgifte van gegevens op te schorten en/of het contract te beëindigen;
(c) dat hij de technische en organisatorische beveiligingsmaatregelen heeft ingevoerd zoals geïnstrueerd door de Gegevensexporteur voordat hij de doorgegeven persoonsgegevens is gaan verwerken;
(d) dat hij de Gegevensexporteur terstond op de hoogte zal stellen van:
een wettelijk bindend verzoek om bekendmaking van de persoonsgegevens door een rechtshandhavingsinstantie tenzij hem dat anderszins is verboden, zoals een strafrechtelijk verbod om de vertrouwelijkheid van een rechtshandhavingsonderzoek te behouden;
een onopzettelijke of onbevoegde toegang; en
een verzoek dat rechtstreeks van de Betrokkenen is ontvangen zonder daarop te reageren, tenzij hij anderszins geautoriseerd is om dat te doen;
dat hij vlot en naar behoren zal omgaan met alle verzoeken om inlichtingen van de Gegevensexporteur met betrekking tot zijn verwerking van de doorgegeven Persoonsgegevens en zich zal houden aan het advies van de toezichthoudende instantie met betrekking tot de verwerking van de doorgegeven gegevens;
dat hij op verzoek van de Gegevensexporteur zijn gegevensverwerkende faciliteiten zal
onderwerpen aan een audit van de verwerkingsactiviteiten die vallen onder de Bepalingen, welke audit zal worden uitgevoerd door de Gegevensexporteur of een inspectie-instantie die is samengesteld uit onafhankelijke leden, beschikt over de vereiste professionele kwalificaties, gebonden wordt aan een geheimhoudingsplicht en geselecteerd wordt door de Gegevensexporteur, waar van toepassing, in overeenstemming met de toezichthoudende autoriteit;
dat hij desgevraagd een kopie van de Bepalingen ter beschikking zal stellen aan de Betrokkene, of een eventueel bestaand contract voor subverwerking, tenzij er in de Bepalingen of het contract commerciële informatie staat, in welk geval hij dergelijke commerciële informatie mag verwijderen, met inbegrip van een korte samenvatting van de beveiligingsmaatregelen in die gevallen waarin de Betrokkene niet in staat is om een kopie van de Gegevensexporteur te verkrijgen;
dat, in het geval van subverwerking, hij de Gegevensexporteur van tevoren heeft geïnformeerd en diens voorafgaande schriftelijke toestemming heeft verkregen;
dat de verwerkingsdiensten van de Subverwerker zullen worden uitgevoerd in overeenstemming met bepaling 11; en
dat hij terstond een kopie van een eventuele Subverwerkersovereenkomst die hij sluit op grond van de Bepalingen verstuurt naar de Gegevensexporteur.
6. AANSPRAKELIJKHEID
6.1 De partijen komen overeen dat een Betrokkene die schade heeft geleden als gevolg van een inbreuk op de in bepaling 3 of in bepaling 11 genoemde verplichtingen door enige partij of Subverwerker, het recht heeft om compensatie te ontvangen van de Gegevensexporteur voor de geleden schade.
6.2 Als een Betrokkene niet in staat is om een vordering tot schadevergoeding in te stellen in overeenstemming met lid 1 tegen de Gegevensexporteur, voortvloeiend uit een
inbreuk door de Gegevensimporteur of zijn Subverwerker van een van hun in bepaling 3 of in bepaling 11 genoemde verplichtingen, omdat de Gegevensexporteur feitelijk verdwenen is of rechtens is opgehouden te bestaan of insolvent is geworden, komt de Gegevensimporteur overeen dat de Betrokkene een vordering kan instellen tegen de Gegevensimporteur als ware hij de Gegevensexporteur, tenzij een opvolgende entiteit alle wettelijke verplichtingen van de Gegevensexporteur door een contract of van rechtswege op zich heeft genomen, in welk geval de Betrokkene zijn rechten kan doen gelden jegens een dergelijke entiteit.
6.3 De Gegevensimporteur mag zich niet beroepen op een inbreuk op zijn verplichtingen door een Subverwerker teneinde zijn eigen aansprakelijkheid te ontwijken.
6.4 Als een Betrokkene niet in staat is om een vordering in te stellen tegen de Gegevensexporteur of Gegevensimporteur als genoemd in leden 1 en 2, voortvloeiend uit een inbreuk door de Subverwerker op een van hun in bepaling 3 of in bepaling 11 genoemde verplichtingen, omdat zowel de Gegevensexporteur als de Gegevensimporteur feitelijk verdwenen zijn of rechtens zijn opgehouden te bestaan of insolvent zijn geworden, komt de Subverwerker overeen dat de Betrokkene een vordering kan instellen tegen de Subverwerker met betrekking tot zijn eigen verwerkingsactiviteiten op grond van de Bepalingen als ware hij de Gegevensexporteur of de Gegevensimporteur, tenzij een opvolgende entiteit alle wettelijke verplichtingen van de Gegevensexporteur of de Gegevensimporteur door een contract of van rechtswege op zich heeft genomen, in welk geval de Betrokkene zijn rechten kan doen gelden jegens een dergelijke entiteit. De aansprakelijkheid van de Subverwerker zal beperkt zijn tot zijn eigen verwerkingsactiviteiten op grond van de Bepalingen.
7. BEMIDDELING EN RECHTSGEBIED
7.1 De Gegevensimporteur komt overeen dat als de Betrokkene jegens hem de rechten van een derde-begunstigde inroept en/of schadevergoeding vordert op grond van de Bepalingen, de Gegevensimporteur het besluit van de Betrokkene zal accepteren:
(a) om het geschil door te verwijzen voor bemiddeling door een onafhankelijk persoon of, indien van toepassing, door de toezichthoudende autoriteit;
(b) om het geschil door te verwijzen naar de rechter in de Lidstaat waarin de Gegevensexporteur gevestigd is.
7.2 De Partijen komen overeen dat de door de Betrokkene gemaakte keuze niet zijn materiële of procedurele rechten om verhaal te zoeken in overeenstemming met andere bepalingen van nationaal of internationaal recht zal benadelen.
8. SAMENWERKING MET TOEZICHTHOUDENDE AUTORITEITEN
8.1 De Gegevensexporteur komt overeen om een kopie van dit contract te deponeren bij de toezichthoudende autoriteit indien deze daarom verzoekt of indien een dergelijke deponering op grond van de toepasselijke gegevensbeschermingswet wordt vereist.
8.2 De Partijen komen overeen dat de toezichthoudende autoriteit het recht heeft om een audit uit te voeren ten aanzien van de Gegevensimporteur en een eventuele Subverwerker, die dezelfde reikwijdte heeft en onderhevig is aan dezelfde voorwaarden als die van toepassing zouden op een audit van de Gegevensexporteur op grond van de toepasselijke gegevensbeschermingswet.
8.3 De Gegevensimporteur informeert de Gegevensexporteur terstond over het bestaan van wetgeving die op hem of eventuele Subverwerkers van toepassing is en die verhindert dat een audit van de Gegevensimporteur of een eventuele Subverwerker krachtens lid 2 wordt uitgevoerd. In een dergelijke geval heeft de Gegevensexporteur het recht om de maatregelen te nemen die zijn voorzien in bepaling 5(b).
9. TOEPASSELIJK RECHT
9.1 De Bepalingen worden beheerst door het recht van het land waarin de Gegevensexporteur is gevestigd, namelijk Spanje.
10. AANPASSING VAN HET CONTRACT
10.1 De Partijen verbinden zich ertoe om de Bepalingen niet aan te passen of te wijzigen. Dit vormt geen belemmering voor de Partijen om bepalingen over bedrijfsgerelateerde kwesties waar nodig toe te voegen, zolang deze niet in strijd zijn met de Bepalingen.
11. SUBVERWERKING
11.1 De Gegevensimporteur zal geen van zijn verwerkingsactiviteiten die hij namens de Gegevensexporteur op grond van de Bepalingen uitvoert, zonder de voorafgaande schriftelijke toestemming van de Gegevensexporteur uitbesteden. Indien de Gegevensimporteur zijn verplichtingen op grond van de Bepalingen met de toestemming van de Gegevensexporteur uitbesteedt, zal hij dit alleen doen middels een schriftelijke overeenkomst met de Subverwerker die dezelfde verplichtingen oplegt aan de Subverwerker als die worden opgelegd aan de Gegevensimporteur op grond van de Bepalingen. Indien de Subverwerker niet aan zijn gegevensbeschermingsverplichtingen op grond van een dergelijke schriftelijke overeenkomst voldoet, blijft de Gegevensimporteur volledig aansprakelijk jegens de Gegevensexporteur voor de uitvoering van de verplichtingen van de Subverwerker op grond van een dergelijke overeenkomst.
(a) Het voorafgaande schriftelijke contract tussen de Gegevensimporteur en de Subverwerker voorziet ook in een bepaling derde-begunstigde zoals vastgelegd in bepaling 3 voor gevallen waarin de Betrokkene niet in staat is om de vordering tot schadevergoeding genoemd in lid
1 van bepaling 6 in te stellen tegen de Gegevensexporteur of de Gegevensimporteur omdat zij feitelijk verdwenen zijn of rechtens zijn opgehouden te bestaan of insolvent zijn geworden, en er geen opvolgende entiteit is die alle wettelijke verplichtingen van de
Gegevensexporteur of de Gegevensimporteur door een contract of van rechtswege op zich heeft genomen. Een dergelijke derden- aansprakelijkheid van de Subverwerker zal beperkt zijn tot zijn eigen verwerkingsactiviteiten op grond van de Bepalingen.
11.2 De bepalingen met betrekking tot gegevensbeschermingsaspecten voor subverwerking van het in lid 1 genoemde contract worden beheerst door het recht van het land waarin de Gegevensexporteur is gevestigd, namelijk Spanje.
11.3 De Gegevensexporteur houdt een lijst bij van subverwerkingsovereenkomsten die op grond van de Bepalingen zijn gesloten en gemeld door de Gegevensimporteur krachtens bepaling 5(j), welke lijst ten minste één keer per jaar zal worden geactualiseerd. De lijst zal beschikbaar zijn voor de toezichthoudende autoriteit van de Gegevensexporteur.
12. VERPLICHTINGEN NA DE BEËINDIGING VAN DIENSTEN VOOR VERWERKING VAN PERSOONSGEGEVENS
12.1 De Partijen komen overeen dat bij de beëindiging van de levering van gegevensverwerkingsdiensten, de Gegevensimporteur en de Subverwerker, naar keuze van de Gegevensexporteur, alle doorgegeven persoonsgegevens en de kopieën daarvan zullen teruggeven aan de Gegevensexporteur of alle persoonsgegevens zullen vernietigen en zullen certificeren tegenover de Gegevensexporteur dat zij dit gedaan hebben, tenzij wetgeving die van toepassing is op de Gegevensimporteur hem verhindert bij het teruggeven of vernietigen van de doorgegeven persoonsgegevens, in hun geheel of voor een deel. In dat geval garandeert de Gegevensimporteur dat hij instaat voor de vertrouwelijkheid van de doorgegeven persoonsgegevens en niet meer actief de doorgegeven persoonsgegevens zal verwerken.
12.2 De Gegevensimporteur en de Subverwerker garanderen dat zij op verzoek van de Gegevensexporteur en/of de toezichthoudende
autoriteit hun gegevensverwerkende faciliteiten zullen onderwerpen aan een audit van de in lid 1 genoemde maatregelen.
GEGEVENSEXPORTEUR GEGEVENSIMPORTEUR
Kunst in Kaart Xxxxxxxxxxxx.xx BV
Ondertekend: Ondertekend:
Naam: Xxxxxx xxx Xxxxxxx Naam: Xxxxxxx Xxxxxx
Titel: Algemeen directeur Titel: Commercieel directeur
Datum: 17 mei 2018 Datum: 17 mei 2018
BIJLAGE 3 - Technische en organisatorische beveiligingsmaatregelen
In het bijzonder zal Verwerker, om de Diensten namens en/of ten behoeve van Verwerkingsverantwoordelijke en haar Gelieerde Ondernemingen uit te voeren, de volgende technische en organisatorische maatregelen invoeren en in stand houden:
1. Om te voorkomen dat onbevoegde personen toegang verkrijgen tot gegevensverwerkende systemen waarin Persoonsgegevens worden verwerkt of gebruikt (fysieke toegangscontrole), zal Verwerker passende maatregelen nemen om fysieke toegang te voorkomen.
2. Om te voorkomen dat gegevensverwerkende systemen worden gebruikt zonder autorisatie (systeemtoegangscontrole), zal het volgende worden toegepast: authenticatie via wachtwoorden en/of twee-stappen-authenticatie. Toegang tot de datacenters is beperkt en beschermd door een firewall/VLAN. Daarnaast worden momenteel de volgende beveiligingsprocessen toegepast: patch- en kwetsbaarhedenmanagement en firewalls.
3. Om te zorgen dat personen die het recht hebben om een gegevensverwerkend systeem te gebruiken alleen toegang hebben tot de Persoonsgegevens waarvoor zij specifiek geautoriseerd zijn, en dat Persoonsgegevens niet kunnen worden gelezen, gekopieerd, gewijzigd of verwijderd zonder autorisatie tijdens de verwerking of het gebruik en/of na opslag (toegangscontrole gegevens), zijn Persoonsgegevens alleen toegankelijk en te beheren door naar behoren geautoriseerde medewerkers, is directe toegang tot een database om gegevens op te vragen beperkt tot geautoriseerde medewerkers en worden er toegangsrechten tot de applicatie vastgesteld en gehandhaafd.
4. Om te zorgen dat Persoonsgegevens niet kunnen worden gelezen, gekopieerd, gewijzigd of verwijderd zonder autorisatie tijdens elektronisch(e) verzending of transport, en dat het mogelijk is om te controleren en vast te stellen aan welke beoogde entiteiten Persoonsgegevens worden doorgegeven door middel van gegevenstransmissiefaciliteiten (transmissiecontrole), zal Verwerker voldoen aan de volgende vereisten: Behoudens voor zover anderszins bepaald in de Dienstspecificaties, worden doorgiftes van gegevens naar buiten de dienstomgeving versleuteld. Sommige diensten, zoals socialmediadiensten, zijn mogelijk zo te configureren dat zij toegang toestaan tot websites die niet-versleutelde berichten vereisen. De inhoud van berichten (inclusief adressen van verzender en ontvanger) die zijn verzonden via een e-mail- of berichtenservice zijn mogelijk niet versleuteld zodra zij via zulke diensten zijn ontvangen. Verwerkingsverantwoordelijke is uitsluitend verantwoordelijk voor de resultaten van haar besluit om niet-versleutelde berichten te gebruiken.
5. Om te zorgen dat het mogelijk is om te controleren en vast te stellen of en door wie Persoonsgegevens zijn ingevoerd in gegevensverwerkende systemen, gewijzigd of verwijderd (inputcontrole), zal Verwerker voldoen aan de volgende vereisten: de bron van Persoonsgegevens staat onder controle van Verwerkingsverantwoordelijke of haar Gelieerde Ondernemingen, en integratie van Persoonsgegevens in het systeem wordt beheerd door beveiligde VPN-connectiviteit en voor zover
toepasselijk, door beveiligde bestandsoverdracht (d.w.z. via webservices of ingevoerd in de applicatie).
6. Om te zorgen dat Persoonsgegevens strikt in overeenstemming met de redelijke instructies van Verwerkingsverantwoordelijke worden verwerkt, moet Verwerker de instructies van Verwerkingsverantwoordelijke betreffende het verwerken van Persoonsgegevens opvolgen; dergelijke instructies worden gespecificeerd in de Overeenkomst en kunnen van tijd tot tijd aanvullend worden verstrekt op schrift door Verwerkingsverantwoordelijke.
7. Indien van toepassing in verband met de Diensten die Verwerker zal leveren aan Verwerkingsverantwoordelijke: Verwerker zal regelmatig back-ups maken en deze back-ups beveiligen om te zorgen dat Persoonsgegevens worden beschermd tegen onopzettelijk(e) vernietiging of verlies.
8. Indien van toepassing in verband met de Diensten die Verwerker zal leveren aan Verwerkingsverantwoordelijke en haar Gelieerde Ondernemingen: om te zorgen dat Persoonsgegevens die verzameld zijn voor verschillende doeleinden, afzonderlijk kunnen worden verwerkt, worden gegevens uit verschillende omgevingen van Verwerkingsverantwoordelijke of haar Gelieerde Ondernemingen bewaard in afzonderlijke bestanden op de systemen van Verwerker.