VERWERKERSOVEREENKOMST
VERWERKERSOVEREENKOMST
Deze verwerkersovereenkomst is van toepassing op alle verwerkingen van persoonsgegevens die worden verricht door xxxxxx.xx (hierna: ‘Verwerker’) in opdracht van u als klant (hierna: ‘Verwerkingsverantwoordelijke’).
Verwerker en Verwerkingsverantwoordelijke hierna gezamenlijk te noemen ‘Partijen’, en ieder afzonderlijk als ‘Partij’.
IN AANMERKING NEMEND DAT:
• Verwerkingsverantwoordelijke beschikt over persoonsgegevens van diverse betrokkenen;
• Verwerkingsverantwoordelijke bepaalde vormen van verwerking wil laten verrichten door Verwerker, waarbij Verwerkingsverantwoordelijke het doel en de middelen aanwijst;
• Verwerker tevens bereid is de wettelijk verplichte maatregelen omtrent beveiliging en andere aspecten van de Algemene Verordening Gegevensbescherming (hierna: AVG) te nemen, voor zover dit binnen haar macht ligt;
• Partijen, mede gelet op het vereiste uit artikel 28 lid 3 AVG, hun rechten en plichten schriftelijk wensen vast te leggen in deze verwerkersovereenkomst (hierna: ‘Overeenkomst’).
KOMEN HET VOLGENDE OVEREEN:
1. De verwerking
1.1. Verwerker verricht ten behoeve van Verwerkingsverantwoordelijke diensten met betrekking tot de applicatie xxxxxx.xx. Het verlenen van de diensten brengt verwerkingen van persoonsgegevens met zich mee. Verwerker verbindt zich deze persoonsgegevens te verwerken onder de voorwaarden van deze Overeenkomst, plus voor die doeleinden die daarmee redelijkerwijs samenhangen of die met nadere instemming worden bepaald.
1.2. De persoonsgegevens die door Verwerker in het kader van de diensten als bedoeld in het vorige artikel worden verwerkt, de categorieën van de betrokkenen van wie deze afkomstig zijn en het doel waarvoor de persoonsgegevens worden verwerkt, zijn opgenomen in Bijlage 1. Verwerker zal de persoonsgegevens niet voor enig ander doel verwerken dan zoals door Verwerkingsverantwoordelijke is vastgesteld, tenzij hiervoor een wettelijke plicht bestaat. Verwerkingsverantwoordelijke zal Verwerker op de hoogte stellen van de verwerkingsdoeleinden voor zover deze niet reeds in deze Overeenkomst zijn genoemd. Verwerker mag echter de persoonsgegevens gebruiken voor kwaliteitsdoeleinden, zoals het enquêteren van de betrokkenen of het doen van wetenschappelijk of statistisch onderzoek naar de kwaliteit van haar dienstverlening.
1.3. De in opdracht van Verwerkingsverantwoordelijke te verwerken persoonsgegevens blijven eigendom van Verwerkingsverantwoordelijke en/of de betreffende betrokkenen.
1.4. Verwerkingsverantwoordelijke garandeert dat de verwerking van persoonsgegevens ter uitvoering van de diensten, op basis van deze Overeenkomst rechtmatig is en
derhalve voldoet aan de voorwaarden uit artikel 6 van de AVG, alsmede dat de verwerking geen inbreuk maakt op de rechten van betrokkene(n).
2. Gebruik persoonsgegevens en uitvoering verwerkingen
2.1. Verwerker zal de in artikel 1 bedoelde persoonsgegevens altijd verwerken op een behoorlijke en zorgvuldige wijze en in overeenstemming met de toepasselijke wet- en regelgeving, waaronder in ieder geval de AVG, en de instructies en aanwijzingen van Verwerkingsverantwoordelijke. Verwerkingsverantwoordelijke garandeert dat zijn instructies aan Verwerker leiden tot een verwerking door Verwerker die in overeenstemming zal zijn met de toepasselijke wet- en regelgeving.
2.2. De verplichtingen van Verwerker die uit deze Overeenkomst voortvloeien, gelden ook voor medewerkers die persoonsgegevens verwerken onder het gezag van Verwerker, waaronder begrepen maar niet beperkt tot werknemers, in de ruimste zin van het woord.
2.3. Verwerkingsverantwoordelijke garandeert dat de inhoud, het gebruik en de opdracht tot de verwerkingen van de persoonsgegevens zoals bedoeld in deze Overeenkomst niet onrechtmatig zijn en geen inbreuk maken op enig recht van derden.
2.4. Verwerker is louter verantwoordelijk voor de verwerking van de persoonsgegevens onder deze Overeenkomst, overeenkomstig de instructies van Verwerkingsverantwoordelijke en onder de uitdrukkelijke (eind-)verantwoordelijkheid van Verwerkingsverantwoordelijke.
3. Doorgifte van persoonsgegevens
3.1. Verwerker mag de persoonsgegevens verwerken in landen binnen de Europese Unie. Doorgifte naar landen buiten de Europese Unie is verboden.
4. Inschakelen sub-verwerkers
4.1. Verwerkingsverantwoordelijke geeft – middels ondertekening van deze Overeenkomst – diens schriftelijke (algemene) toestemming voor het inschakelen van derden, zoals sub-verwerkers. Verwerker verstrekt op eerste verzoek van Verwerkingsverantwoordelijke aan deze een overzicht van de door op dat moment door Verwerker ingeschakelde sub-verwerkers.
4.2. Verwerkingsverantwoordelijke mag bezwaar maken indien het gebruik van een specifieke gemelde derde onaanvaardbaar voor Verwerkingsverantwoordelijke is.
5. Technische- en organisatorische maatregelen
5.1. Verwerker zal zich inspannen voldoende technische en organisatorische maatregelen te nemen met betrekking tot de te verrichten verwerkingen van persoonsgegevens, tegen verlies of tegen enige vorm van onrechtmatige verwerking (zoals onbevoegde kennisname, aantasting, wijziging of verstrekking van de persoonsgegevens).
5.2. Verwerker staat er niet voor in dat de beveiliging onder alle omstandigheden doeltreffend is. Indien een uitdrukkelijk omschreven beveiliging in de Overeenkomst ontbreekt, zal Verwerker zich inspannen de beveiliging te laten voldoen aan een niveau dat, gelet op de stand van de techniek, de gevoeligheid van de persoonsgegevens en de aan het treffen van de beveiliging verbonden kosten, niet onredelijk is.
2 / 7
5.3. Verwerkingsverantwoordelijke heeft zich goed geïnformeerd over de technische en organisatorische maatregelen die Verwerker heeft genomen en verklaart dat deze maatregelen een beveiligingsniveau hebben dat past bij de aard van de persoonsgegevens en de risico’s van de verwerking.
6. Meldplicht
6.1. Verwerkingsverantwoordelijke is te allen tijde verantwoordelijk voor het melden van een beveiligingsincident en/of datalek (waaronder wordt verstaan: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens) aan de toezichthouder en/of betrokkenen. Om Verwerkingsverantwoordelijke in staat te stellen aan deze wettelijke plicht te voldoen, stelt Verwerker Verwerkingsverantwoordelijke uiterlijk binnen 48 uur nadat een datalek bij haar bekend is geworden op de hoogte van het beveiligingsincident en/of het datalek.
6.2. Verwerker verstrekt in geval van een datalek alle relevantie informatie aan Verwerkingsverantwoordelijke met betrekking tot het datalek, waaronder informatie over eventuele ontwikkelingen rond het datalek en de maatregelen die Verwerker treft om aan haar kant de gevolgen van het datalek te beperken en herhaling te voorkomen.
6.3. In geval van een datalek, zal Verwerkingsverantwoordelijke tijdig voldoen aan de wettelijke meldingsplichten aan de Autoriteit Persoonsgegevens en betrokkenen. In geval het niet mogelijk is de Autoriteit Persoonsgegevens tijdig, binnen 72 uur, van alle informatie omtrent het datalek in kennis te stellen, zal Verwerkingsverantwoordelijke binnen 72 uur een incomplete melding doen bij de Autoriteit Persoonsgegevens. De resterende informatie zal alsdan zo spoedig mogelijk in stappen worden verstrekt.
7. Afhandelen verzoeken van betrokkenen
7.1. In het geval dat een betrokkene een verzoek tot uitoefening van zijn/haar wettelijke rechten (artikel 15-22 AVG) richt aan Verwerker, zal Verwerker het verzoek doorsturen aan Verwerkingsverantwoordelijke, en zal Verwerkingsverantwoordelijke het verzoek verder afhandelen. Verwerker mag de betrokkene daarvan op de hoogte stellen.
7.2. Verwerkingsverantwoordelijke zal aan Verwerker alle redelijke kosten vergoeden die Verwerker maakt in het kader van de bijstand die zij aan Verwerkingsverantwoordelijke verleent.
8. Geheimhouding en verantwoordelijkheid
8.1. Op alle persoonsgegevens die Verwerker van Verwerkingsverantwoordelijke ontvangt en/of zelf verzamelt in het kader van deze Overeenkomst, rust een geheimhoudingsplicht jegens derden. Verwerker zal deze informatie niet voor een ander doel gebruiken dan waarvoor zij deze heeft verkregen.
8.2. Verwerker spant zich ervoor in dat alle personen die handelen onder zijn gezag en toegang hebben tot de persoonsgegevens ook onder dezelfde voorwaarden als genoemd in artikel 8.1 geheimhouding in acht nemen.
8.3. Deze geheimhoudingsplicht is niet van toepassing voor zover Verwerkingsverantwoordelijke uitdrukkelijke toestemming heeft gegeven om de
3 / 7
informatie aan derden te verschaffen, de verstrekking geschiedt op basis van de algemene toestemming van Verwerkingsverantwoordelijke zoals bedoeld in artikel
4.1 van deze Overeenkomst, indien het verstrekken van de informatie aan derden logischerwijs noodzakelijk is gezien de aard van de verstrekte opdracht en de uitvoering van deze Overeenkomst, of indien er een wettelijke verplichting bestaat om de informatie aan een derde te verstrekken.
9. Audit
9.1. Verwerkingsverantwoordelijke heeft het recht om maximaal één keer per jaar een audit uit te laten voeren door een onafhankelijke derde die aan geheimhouding is gebonden ter controle van naleving van de beveiligingseisen en alles dat daar direct verband mee houdt. Deze audit mag uitsluitend plaatsvinden bij een concreet vermoeden van misbruik van persoonsgegevens.
9.2. Verwerker zal aan de audit meewerken en alle voor de audit redelijkerwijs relevante informatie, inclusief ondersteunende gegevens zoals systeemlogs, en medewerkers zo tijdig mogelijk ter beschikking stellen.
9.3. Verwerkingsverantwoordelijke dient een audit minimaal 30 dagen voor aanvang schriftelijk aan te kondigen en een audit mag de bedrijfsactiviteiten van Verwerker niet verstoren.
9.4. De bevindingen naar aanleiding van de uitgevoerde audit zullen door Verwerker worden beoordeeld en kunnen, naar eigen goeddunken van Verwerker en op de wijze zoals Verwerker zelf bepaalt, worden doorgevoerd door Verwerker.
9.5. De kosten van de audit worden door Verwerkingsverantwoordelijke gedragen. Hieronder vallen mede de kosten die Verwerker maakt in verband met de audit.
10. Bewaartermijnen
10.1. Verwerker zal de persoonsgegevens niet langer bewaren dan strikt noodzakelijk is voor het verrichten van de werkzaamheden en overeenkomstig wettelijke bewaartermijnen.
10.2. Uitgangspunt is dat het bewaren van persoonsgegevens niet langer noodzakelijk is, doordat het verlenen van de werkzaamheden c.q. de samenwerking is voltooid. Een bewaartermijn van twee jaren daarna wordt door Partijen redelijk gevonden.
11. Aansprakelijkheid
11.1. Verwerkingsverantwoordelijke is aansprakelijk voor boetes en/of dwangsommen van of namens de Autoriteit Persoonsgegevens en/of andere bevoegde autoriteiten die aan de Verwerker worden opgelegd en die zijn toe te schrijven aan een overtreding van de toepasselijke wet- en regelgeving door Verwerkingsverantwoordelijke. In de poging van Xxxxxxxxx een boete of dwangsom te betwisten, is Verantwoordelijke verplicht om:
a. Verwerker op de hoogte te brengen van enig onderzoek of andere aanleiding die zou kunnen leiden tot een (voornemen van) de Autoriteit Persoonsgegevens of een andere toezichthouder tot het opleggen van een boete of last onder dwangsom;
b. in samenspraak met de Verwerker te handelen en te communiceren richting Autoriteit Persoonsgegevens of een andere toezichthouder; én
c. tegen opgelegde boetes in bezwaar en/of beroep te gaan indien daar redelijkerwijs aanleiding voor is.
4 / 7
11.2. Indien een Partij tekortschiet in de nakoming van deze Overeenkomst is deze Partij aansprakelijk voor de schade en kosten die de andere Partij daardoor lijdt of heeft geleden. De aansprakelijkheid van de Verwerker is steeds beperkt tot hetgeen daarover in de overeenkomst ter zake de diensten of de toepasselijke Gebruiksvoorwaarden is bepaald. Bij gebreke daarvan, geldt dat de aansprakelijkheid voor indirecte schade, waaronder mede begrepen gevolgschade, gederfde winst, reputatieschade, gemiste besparingen en schade door bedrijfsstagnatie, ten allen tijde is uitgesloten.
12. Duur en beëindiging
12.1. Deze Overeenkomst komt tot stand door ondertekening van Partijen en op de datum van de laatste ondertekening.
12.2. De duur van deze Overeenkomst is gelijk aan de duur van de overeenkomst(en) met betrekking tot de diensten, inclusief eventuele verlengingen daarvan en bij gebreke daarvan in ieder geval voor de duur van de samenwerking.
12.3. Zodra de Overeenkomst, om welke reden en op welke wijze dan ook, is beëindigd, zal Verwerker - naar keuze van Verwerkingsverantwoordelijke - alle persoonsgegevens die bij haar aanwezig zijn in originele of kopievorm retourneren aan Verwerkingsverantwoordelijke, en/of deze originele persoonsgegevens en eventuele kopieën daarvan verwijderen en/of vernietigen.
12.4. Partijen mogen deze Overeenkomst alleen wijzigen met schriftelijke wederzijdse instemming.
12.5. De beëindiging van deze Overeenkomst zal Partijen niet ontslaan van hun verplichtingen die voortvloeien uit deze Overeenkomst die volgens hun inzicht ook na beëindiging voortgezet moeten worden.
13. Rangorde
13.1. Deze Overeenkomst vormt een aanvulling op de overeenkomst aangaande de diensten en vervangt eventuele eerder gemaakte afspraken tussen Partijen ten aanzien van de verwerking van persoonsgegevens.
13.2. Voor zover enige bepaling van deze Overeenkomst en/of de daarbij horende bijlagen in strijd is met hetgeen in de overeenkomst(en) met betrekking tot de diensten is bepaald, gaat hetgeen in de Overeenkomst c.q. de bijlagen is bepaald voor.
14. Onverbindende bepaling
14.1. Wanneer een bepaling van deze Overeenkomst nietig, vernietigbaar of op een andere manier niet afdwingbaar is of wordt, blijven de overige bepalingen van deze Overeenkomst van kracht. Partijen zullen in dat geval zo spoedig mogelijk met elkaar in overleg treden om de nietige, vernietigbare of anderszins niet afdwingbare bepaling te vervangen door een uitvoerbare alternatieve bepaling. Daarbij zullen Partijen zoveel mogelijk rekening houden met het doel en de strekking van de nietige, vernietigde of anderszins niet afdwingbare bepaling.
15. Toepasselijk recht en geschillen
15.1. Deze Overeenkomst en de uitvoering daarvan worden beheerst door Nederlands recht.
5 / 7
15.2. Alle geschillen die tussen Partijen mochten ontstaan betreffende de inhoud en/of strekking van deze Overeenkomst zullen bij uitsluiting worden onderworpen aan het oordeel van de rechter van het arrondissement waar Verwerker feitelijk bij het aangaan van de Overeenkomst is gevestigd.
Bijlage
Bijlage 1: Omschrijving verwerkingen
6 / 7
Bijlage 1: Omschrijving verwerkingen
Categorie betrokkenen | Categorie persoonsgegevens | Doeleinden verwerking |
Gebruikers en subgebruikers | Gewone persoonsgegevens, zoals: - NAW-gegevens - Telefoonnummer - E-mailadres | het verwerken van de persoonsgegevens ter uitvoering van de diensten die onderdeel uitmaken van de overeenkomst tussen Verwerker en Verwerkingsverantwoordelijke. |
- Bezoekgedrag | ||
- IP-adres | ||
- Handtekening | ||
7 / 7