VERWERKERSOVEREENKOMST CONTINU BEZOEKERSONDERZOEK uitgevoerd door HENDRIK BEERDA BRAND CONSULTANCY B.V.
VERWERKERSOVEREENKOMST CONTINU BEZOEKERSONDERZOEK uitgevoerd door XXXXXXX XXXXXX BRAND CONSULTANCY B.V.
tussen:
1. ‘Opdrachtgever’ of ‘Verantwoordelijke’; en
2. Xxxxxxx Xxxxxx Brand Consultancy, statutair gevestigd en kantoorhoudende te (1016 EE) Amsterdam, aan Xxxxxxxxxxxxx 000 C, hierna te noemen ‘Opdrachtnemer’ of ‘Verwerker’,
Hierna gezamenlijk te noemen de ‘Partijen’ of ieder afzonderlijk als de ‘Partij’. Overwegende dat:
a. Partijen een overeenkomst hebben gesloten (‘Hoofdovereenkomst’), waarbij Opdrachtnemer voor Opdrachtgever het zogenaamde Continu Bezoekersonderzoek uitvoert, en waarop de Algemene Voorwaarden van Xxxxxxx Xxxxxx Brand Consultancy B.V. van toepassing zijn.
b. Op grond van deze Hoofdovereenkomst Verwerker persoonsgegevens van Verantwoordelijke verwerkt;
c. Privacywetgeving, inclusief nationale wetten ter uitvoering van de Privacyrichtlijn en de Algemene Verordening Gegevensbescherming, vereist dat dergelijke verwerkingen worden geregeld door een overeenkomst of rechtshandeling die de Verwerker bindt aan de Verantwoordelijke en waarin het onderwerp en de duur van de verwerking, de aard en het doel van de verwerking, de verplichtingen van de Verwerker in verband met beveiligingsincidenten en datalekken, het soort persoonsgegevens en de categorieën van betrokkenen, en de rechten en verplichtingen van de Verantwoordelijke worden omschreven; en
d. Partijen de bovenstaande vereisten in de onderhavige verwerkersovereenkomst (‘Verwerkersovereenkomst’) wensen te regelen, welke overeenkomst een integraal onderdeel is van de Hoofdovereenkomst.
Partijen verklaren te zijn overeengekomen als volgt:
Artikel 1. Definities en Interpretatie
1.1. ‘Betrokkene’, ‘Persoonsgegevens’, ‘Verantwoordelijke’, en ‘Verwerker’ hebben de betekenis zoals bedoeld in de Privacywetgeving. Daarnaast hebben de volgende woorden en zinsdelen de volgende betekenis:
‘Beveiligingsincident’ een daadwerkelijke, verwachte of vermoedelijke i) schending van technische en organisatorische beveiligingsmaatregelen welke leidt tot onbedoelde of onrechtmatige vernietiging, verlies, wijziging, onbevoegde openbaarmaking of toegang tot gegevens, met inbegrip van Persoonsgegevens, ii) schending van Privacywetgeving of deze Verwerkersovereenkomst door (een huidige of voormalige werknemer, aannemer of agent van Partijen of door een andere persoon of derde, en/of iii) gebeurtenis waarbij de beveiliging, vertrouwelijkheid, integriteit of beschikbaarheid van
gegevens, waaronder Persoonsgegevens, zijn of redelijkerwijs kunnen zijn gecompromitteerd;
‘Privacywetgeving’ de Privacy Richtlijn (95/46/EG) en de Richtlijn privacy en elektronische communicatie (2002/58/EG), de nationale wetten ter uitvoering van deze richtlijnen en/of, in voorkomend geval, de verordening (EU) 2016/679 (‘Algemene Verordening Gegevensbescherming’) en elke wetgeving of verordening die het voorgaande van tijd tot tijd wijzigt of aanvult;
2. Werkzaamheden
2.1. De voorwaarden van deze Verwerkersovereenkomst zijn van toepassing op de Persoonsgegevens die de Verwerker of onderaannemers, verwerken tijdens het verlenen van diensten in het kader van de Hoofdovereenkomst, zoals weergegeven in Annex 1. Partijen komen overeen dat de Verantwoordelijke de verwerkingsverantwoordelijke van de Persoonsgegevens is of een verwerker van Persoonsgegevens namens een andere verwerkingsverantwoordelijke. Partijen komen verder overeen dat Verwerker de Persoonsgegevens verwerkt in het kader van uitvoering van de Hoofdovereenkomst.
2.2. De Verwerker verwerkt alleen die Persoonsgegevens zoals verder gespecificeerd in Annex 1 en voert deze verwerkingshandelingen alleen uit met betrekking tot de uit de Hoofdovereenkomst voortvloeiende en in deze Verwerkersovereenkomst of anderszins goedgekeurde met voorafgaande schriftelijke toestemming van de Verantwoordelijke nader beschreven aard en doeleinden van de verwerking. Verwerker zal in dit kader redelijke instructies van de Verantwoordelijke in verband met de verwerking opvolgen.
2.3. De Verwerker verwerkt de Persoonsgegevens in overeenstemming met de Privacywetgeving die van toepassing is op de verwerking van Persoonsgegevens onder deze Verwerkersovereenkomst, waarbij ook rekening wordt gehouden met afzonderlijke verplichtingen die de Verantwoordelijke krachtens Privacywetgeving kan hebben. De Verwerker stelt de Verantwoordelijke in kennis wanneer een instructie van de Verantwoordelijke betreffende de verwerking van Persoonsgegevens naar haar mening inbreuk maakt op Privacywetgeving of andere toepasselijke wetgeving.
2.4. De Verwerker zorgt ervoor dat alle Persoonsgegevens die door de Verwerker zijn gecreëerd namens de Verantwoordelijke nauwkeurig zijn en zo nodig bijgewerkt worden en zorgt ervoor dat de Persoonsgegevens die onjuist of onvolledig zijn worden gewist of gerectificeerd overeenkomstig de instructies van de Verantwoordelijke..
2.5. De Verwerker zal geen Persoonsgegevens verwerken in- of doorgeven aan een land, gebied of organisatie buiten de Europese Economische Ruimte (‘EER’) zonder voorafgaande schriftelijke toestemming van de Verantwoordelijke (en de Verwerker zorgt ervoor dat elke onderaannemer aan hetzelfde voldoet).
3. Beveiliging
3.1. De Verwerker ontwikkelt, implementeert en onderhoudt een informatiebeveiligingsbeleid dat vereist dat de Verwerker passende technische en organisatorische maatregelen neemt om Persoonsgegevens, in het licht van de huidige stand van de techniek, te beschermen tegen inbreuken op beveiliging, vertrouwelijkheid of integriteit en andere ongeautoriseerde of onwettige vormen van verwerking.
4. Beveiligingsincidenten
4.1. In geval van een Beveiligingsincident zullen Partijen elkaar onverwijld (uiterlijk binnen twee werkdagen) op de hoogte stellen via een kennisgeving en op een zodanige wijze dat de andere partij kan voldoen aan van toepassing zijnde wetgeving betreffende Beveiligingsincidenten, Een kennisgeving van een Beveiligingsincident kan onder omstandigheden mondeling
geschieden, maar zal zo spoedig mogelijk worden gevolgd door een schriftelijke bevestiging. Verwezen wordt naar Annex 2.
4.2. Zodra een partij op de hoogte is van een Beveiligingsincident, zal deze partij noodzakelijke en passende maatregelen nemen om de gevolgen van het Beveiligingsincident te onderzoeken, te reduceren en te herstellen en de andere partij te helpen ervoor te zorgen dat zij kan voldoen aan de Privacywetgeving en eventuele wettelijke en/of contractuele verplichtingen (zoals verplichtingen om derden in kennis te stellen, inclusief toezichthouders en betrokkenen) in verband met het Beveiligingsincident.
4.3. Partijen dienen zich te onthouden van het op enigerlei wijze verstrekken van of delen van informatie over Beveiligingsincidenten aan derde partijen en/of betrokkenen, behoudens voor zover een partij daartoe wettelijk verplicht is of Partijen anderszins zijn overeengekomen.
5. Samenwerking en betrokkenen
5.1. Partijen zullen elkaar onverwijld (uiterlijk binnen twee werkdagen) in kennis stellen, tenzij uitdrukkelijk door toepasselijke wetgeving verboden, in geval van i) een klacht in verband met de verwerking van Persoonsgegevens onder de Verwerkersovereenkomst, ii) een verzoek, vraag of bevel tot de productie, verwerking of toegang tot persoonsgegevens, of iii) verzoeken van betrokkenen, waaronder verzoeken tot toegang, rectificatie, blokkering van verwerking van persoonsgegevens, data-overdraagbaarheid en soortgelijke verzoeken. De Verwerker reageert niet op dergelijke verzoeken, tenzij met voorafgaande toestemming van de Verantwoordelijke; Partijen werken op dit punt samen en ondersteunen elkaar bij het afhandelen en beantwoorden van dergelijke klachten, verzoeken en bevelen. Dit houdt voor Verwerker in dat op het eerste daartoe strekkende verzoek van de Verantwoordelijke alle relevante informatie aan haar wordt verstrekt betreffende de aspecten van de door de Verwerker verrichte verwerking van Persoonsgegevens.
6. Onderaanneming
6.1. De Verwerker kan zijn verplichtingen uit hoofde van deze Verwerkersovereenkomst uitbesteden aan een derde partij met uitdrukkelijke voorafgaande schriftelijke toestemming van de Verantwoordelijke (welke toestemming niet op onredelijke gronden zal worden onthouden) en middels een schriftelijke overeenkomst met de onderaannemer (‘Subverwerker’), welke overeenkomst dezelfde verplichtingen oplegt als aan de Verwerker onder deze Verwerkersovereenkomst dan wel uit de Privacywetgeving of andere toepasselijke wetgeving voortvloeit.
7. Aansprakelijkheid
7.1. De Verwerker is slechts aansprakelijk voor de schade die door verwerking is veroorzaakt wanneer bij de verwerking niet is voldaan aan de specifiek tot de Verwerkers gerichte verplichtingen uit deze overeenkomst of buiten dan wel in strijd met de rechtmatige instructies van de Verantwoordelijke is gehandeld. De aansprakelijkheid van Verwerker is voor zover nodig beperkt conform de regeling in de Algemene Voorwaarden van HBBC.
8. Audit en Controle
8.1. De Verwerker houdt informatie bij met betrekking tot de verwerking van de Persoonsgegevens door hem in het kader van deze Verwerkersovereenkomst, waaronder met betrekking tot de verplichtingen en maatregelen op grond van de Artikelen 2.1, 3, 4, 5 en 6 (‘Bescheiden’). Op verzoek van de Verantwoordelijke verstrekt de Verwerker deze Bescheiden aan de Verantwoordelijke.
8.2. Verantwoordelijke heeft het recht toe te (laten) zien op de naleving van de hiervoor onder Artikel 3 genoemde maatregelen. De Verwerker verstrekt de Verantwoordelijke, zijn daartoe gemachtigde vertegenwoordigers en/of de onafhankelijke auditor die door de Verantwoordelijke is aangewezen, zo vaak als Verantwoordelijke daar aanleiding toe ziet in
het kader van de uitvoering van deze Verwerkersovereenkomst en bij (het vermoeden van) informatie- of privacy-incidenten, en met inachtneming van een redelijke termijn van kennisgeving toegang tot de informatie, locaties en Bescheiden van de Verwerker.
8.3. Verwerker zal eventuele door Verantwoordelijke naar aanleiding van dergelijke audits en controles in redelijkheid gegeven instructies tot aanpassing van het beveiligingsbeleid binnen een redelijke termijn opvolgen.
8.4. Elke partij draagt haar eigen kosten voor de in dit Artikel 8 beschreven audits en controles.
9. Termijn en Beëindiging
9.1. Deze Verwerkersovereenkomst vangt aan nadat opdrachtgever het aanbod langs elektronische weg heeft aanvaard en blijft van kracht tot de beëindiging of afloop van de Hoofdovereenkomst.
9.2. Indien de Hoofdovereenkomst eindigt, eindigt deze Verwerkersovereenkomst automatisch; de Verwerkersovereenkomst kan niet tussentijds of separaat worden opgezegd.
9.3. Alle bepalingen van deze Verwerkersovereenkomst die uitdrukkelijk of impliciet zijn bedoeld om van kracht te blijven na beëindiging of afloop van deze Verwerkersovereenkomst blijven volledig van kracht.
10. Overig
10.1. Na beëindiging of aflopen van deze Verwerkersovereenkomst zal de Verwerker op schriftelijk verzoek van de Verantwoordelijke binnen 30 dagen alle Persoonsgegevens verwijderen. In alle andere gevallen is de algemene regeling van de Algemene Voorwaarden van toepassing.
10.2. Deze Verwerkersovereenkomst wordt beheerst door en geïnterpreteerd in overeenstemming met Nederlands recht.
10.3. Wijzigingen van deze Verwerkersovereenkomst zijn slechts van kracht indien zij schriftelijk zijn vastgelegd en ondertekend door Partijen (of hun gemachtigde vertegenwoordigers).
ANNEX 1
In deze Annex 1 is onderstaand schema opgenomen dat Verwerker en Verantwoordelijke samen in moeten vullen bij het sluiten van deze Verwerkersovereenkomst. Het geeft een zo volledig mogelijk overzicht van Persoonsgegevens die verwerkt worden in het kader van de door Verwerker aangeboden en te leveren diensten.
Beschrijving proces/activiteiten
Gestandaardiseerd online onderzoeksinstrument waarmee vrijetijdsorganisaties zelf hun bezoekers kunnen bevragen. Bezoekers kunnen op 3 manieren voor deelname aan het onderzoek worden uitgenodigd: 1. Via een (anonieme) standaardbrief die bijvoorbeeld bij de entree van opdrachtgever wordt uitgereikt, 2. Door een (gepersonaliseerde) e-mail vanuit het e-mail- of crm-programma van opdrachtgever, 3. Door een (gepersonaliseerde) e-mail vanuit het onderzoeksinstrument, waarbij opdrachtgever e-mailadressen van bezoekers heeft ingeladen (via een aparte webapplicatie of door het uploaden van een excel-bestand). De onderzoeksgegevens worden verrijkt door Whooze.
Overzicht
Welke (persoons)gegevens | Doel verwerking | Grondslag verwerking | Bewaartermijn | Subverwerkers |
Database 1: met door de | Uitvoering | Toestemming | 6 maanden nadat | Onderzoeksbureau |
opdrachtgever ingevoerde e- | opdracht | van bezoeker | gegevens ingevuld | No Ties. |
xxxxxxxxxxxx (met daaraan | onderzoek | van | zijn | |
gekoppeld de volgende gegevens | opdrachtgever | |||
uit het onderzoek: geslacht, | ||||
voornaam, naam, taal, datum + tijd | ||||
van invoer van het e-mailadres én | ||||
status van de vragenlijst). | ||||
Database 2 van geïnteresseerden | Uitvoering | Toestemming | 6 maanden nadat | Onderzoeksbureau |
om ‘ambassadeur’ van de | opdracht | van bezoeker | gegevens ingevuld | No Ties |
betreffende organisatie te worden | onderzoek | van | zijn | |
Tot mei 2018 waren dit | opdrachtgever | |||
persoonsgegevens die de | ||||
respondent voor dit doel in het | ||||
onderzoek heeft ingevuld. Na mei | ||||
2018 zijn dit de minimaal | ||||
noodzakelijk gegevens, namelijk | ||||
emailadres. | ||||
Database 3 met nieuwsbrief- | Uitvoering | Toestemming | 6 maanden nadat | Onderzoeksbureau |
geïnteresseerden (met geslacht, | opdracht | van bezoeker | gegevens ingevuld | No Ties |
achternaam, e-mailadres, taal en | onderzoek | van | xxxx | |
invulmoment). | opdrachtgever | |||
Database 4 van mensen die | Uitvoering | Toestemming | 6 maanden nadat | Onderzoeksbureau |
interesse hebben in de verloting | opdracht | van bezoeker | gegevens ingevuld | No Ties |
van een prijs (met geslacht, | onderzoek | van | xxxx | |
achternaam, e-mailadres, taal en | opdrachtgever | |||
invulmoment). | ||||
Database 5 Uit de | Uitvoering | Toestemming | 6 maanden nadat | Onderzoeksbureau |
onderzoekegegevens wordt een | opdracht | van bezoeker | gegevens ingevuld | No Ties |
aparte database gevormd met | onderzoek | van | zijn (daarna blijft | Xxxxxx |
daarin de door de bezoekers | opdrachtgever | alleen | ||
ingevoerde postcodes, | Whoozeprofiel | |||
huisnummers en toevoegingen. | behouden) | |||
Deze database wordt door Whooze | ||||
verrijkt met levensstijlprofielen. |
ANNEX 2: MELDING BEVEILIGINGSINCIDENTEN
A. Meld Beveiligingsincidenten via de onderstaande contactgegevens. Als het primaire contact niet binnen 24 uur reageert kunt u contact opnemen met een van de twee andere contacten. Ook de contactgegevens van Verwerker staan hieronder ter volledigheid vermeld.
Contactgegevens Verantwoordelijke
De bij verwerker bekende contactgegevens
Organisatie
Xxxxxxx Xxxxxx Brand Consultancy Xxxxxxxxxxxxx 000-x
1016 EE Amsterdam
m: 06 51054909
e: xxxx@xxxxxxxxxxxxx.xx xxx.xxxxxxxxxxxxx.xx KvK-nummer 34244079
Contactpersoon Verwerker
B. Onderdeel van deze Annex vormt het ‘Meldingsformulier Beveiligingsincident’ dat als basis dient voor het (kunnen) doen van een melding. In totaal dient de volgende informatie bij een melding doorgegeven te worden:
- Samenvatting van het Beveiligingsincident (incl. datum en tijdstip, geschat aantal bestanden, geschat aantal betrokkenen, de (mogelijk) getroffen persoonsgegevens, soort beveiligingsincident, de geconstateerde en/of vermoedelijke gevolgen voor betrokkene(en) van het incident);
- Getroffen technische en organisatorische maatregelen om het Beveiligingsincident aan te pakken, maatregelen om de mogelijke negatieve gevolgen ervan te beperken en verdere Beveiligingsincidenten te voorkomen; en
- Verdere (relevante) informatie die de andere partij nodig kan hebben om te voldoen aan de wettelijke verplichtingen ten aanzien van Beveiligingsincidenten, waaronder in ieder geval het (kunnen) doen van een eventuele melding bij de Autoriteit Persoonsgegevens en/of het informeren van betrokkene(n).