VERWERKERSOVEREENKOMST
VERWERKERSOVEREENKOMST
Tussen: ..……………………………
“Verwerkingsverantwoordelijke”
en
Van Delen Telecom B.V.
“Verwerker”
Datum: …Da…g …M…aa…nd ………….
DE ONDERGETEKENDEN:
1. De besloten vennootschap , statutair gevestigd
te ……………………………. en kantoorhoudende te aan het adres
…………………………………………………………… .
Hierna ook te noemen: “Verwerkingsverantwoordelijke”, hierbij rechtsgeldig ver-
tegenwoordigd door ………………………………..
en
2. De besloten vennootschap Van Delen Telecom B.V., statutair gevestigd te Barne- veld en kantoorhoudende te Barneveld aan het adres Xxxxxxxxxxxxxxxx 00, 0000 XX Xxxxxxxxx, Hierna ook te noemen “Verwerker”, hierbij rechtsgeldig vertegen- woordigd door de heer X.X. xxx Xxxxx, Directeur.
OVERWEGENDE DAT:
I. Verwerkingsverantwoordelijke heeft met Verwerker een of meer overeenkomsten gesloten tot het leveren van diverse diensten door Verwerker aan Verwerkingsver- antwoordelijke of zal een dergelijke overeenkomst sluiten. Deze overeenkomst of deze overeenkomsten gezamenlijk wordt of worden hierna als “Verwerkersovereenkomst” aangeduid.
II. Verwerker zal bij het uitvoeren van de Verwerkersovereenkomst gegevens verwer- ken waarvoor Verwerkingsverantwoordelijke verantwoordelijk is en blijft. Tot die ge- gevens behoren persoonsgegevens in de zin van de Algemene Verordening Gege-
xxxxxxxxxxxxxxx (EU 2016/679) hierna de “AVG”.
III. Partijen willen, gelet op het bepaalde in artikel 28 AVG, de voorwaarden van de ver- werking van deze persoonsgegevens in deze overeenkomst vastleggen
ZIJN HET VOLGENDE OVEREENGEKOMEN:
1. Definities en bijlagen
1.1 Tot deze Verwerkersovereenkomst behoren:
o Bijlage 1: Een beschrijving die betrekking heeft over deze overeenkomst en van toepassing is voor zover bij het leveren van de diensten onder de Verwerkersover- eenkomst een of meer verwerkingen plaatsvinden die zijn opgenomen.
o Bijlage 2: De subverwerkers en/of categorieën subverwerkers waarmee de gegevens gedeeld worden.
1.2 Op deze Verwerkersovereenkomst zijn de reeds geldende Algemene Voorwaarden van Verwerker van overeenkomstige toepassing. Indien er sprake is van innerlijke te- genstrijdigheid tussen de Algemene Voorwaarden van Verwerker en deze Verwer- kersovereenkomst, prevaleert deze Verwerkersovereenkomst. Eventuele innerlijke tegenstrijdigheid laat de toepassing van de overige bepalingen van de Algemene Voorwaarden van Verwerker onverlet.
1.3 In deze Verwerkeringsovereenkomst betekenen de volgende begrippen hetgeen daar bij hieronder is vermeld wanneer zij met een hoofdletter worden geschreven:
a. Betrokkene: degene op wie een persoonsgegeven betrekking heeft als bedoeld in artikel 4 sub 1 AVG
b. Verwerker: degene die ten behoeve en in opdracht van de Verwerkingsverantwoor- delijke persoonsgegevens verwerkt, zonder zeggenschap te hebben over het doel
van en de middelen voor de verwerking van persoonsgegevens (ook “Verwer- ker”/”Processor” genoemd in artikel 4 sub 8 AVG).
c. Datalek: een door Verwerker geconstateerde inbreuk op de beveiligingsmaatrege- len (een beveiligingsincident), waarbij persoonsgegevens verloren zijn gegaan, of onrechtmatige verwerking redelijkerwijs niet valt uit te sluiten (artikel 4 sub 12 AVG)
d. Persoonsgegevens: gegevens betreffende een geïdentificeerde of identificeerbare natuurlijke persoon, welke Verwerker bij of in verband met het uitvoeren van de diensten van Verwerkingsverantwoordelijke verwerkt (artikel 4 sub 1 AVG).
e. “Verwerkingsverantwoordelijke”: leiding van de entiteit die alleen of tezamen met anderen, het doel van en de middelen voor de verwerking van de Persoonsgegevens vaststelt (artikel 4 sub AVG)
f. Verwerking: verzamelen, vastleggen en ordenen, bewaren, bijwerken en wijzigen, opvragen, raadplegen en gebruiken, verstrekken, verspreiden, koppelen en of af- schermen, wissen of vernietigen van persoonsgegevens (artikel 4 sub 2 AVG)
2. Doeleinden van de verwerking
2.1 Deze Verwerkersovereenkomst regelt de Verwerking van Persoonsgegevens door Verwerker in het kader van de Overeenkomst. De categorieën van Betrokkenen, het soort Persoonsgegevens, de aard en het doel waarvoor de Persoonsgegevens worden verwerkt zijn opgenomen in Bijlage 1.
2.2 Verwerker verwerkt de Persoonsgegevens uitsluitend in opdracht van en op basis van schriftelijke instructies van Verwerkingsverantwoordelijke behoudens afwijkende wettelijke voorschriften die op Verwerker van toepassing zijn
2.3 Indien Verwerker op grond van een wettelijke verplichting Persoonsgegevens dient te verstrekken, informeert hij Verwerkingsverantwoordelijke onmiddellijk, en zo mogelijk voorafgaand aan de verstrekking.
2.4 Verwerker heeft geen zeggenschap over het doel van en de middelen voor de Verwerking van Persoonsgegevens.
3. Beveiliging
3.1 Verwerker neemt alle technische en organisatorische beveiligingsmaatregelen die op grond van de AVG en in het bijzonder op grond van artikel 32 AVG van haar worden geëist.
3.2 Verwerker draagt ervoor zorg dat personen, niet beperkt tot werknemers, die bij Verwerker deelnemen aan de Verwerkingen zijn gebonden aan een geheimhoudingsverplichting ter zake van de Persoonsgegevens.
4. Datalekken en meldplicht
4.1 Verwerker zal Verwerkingsverantwoordelijke op de hoogte stellen van iedere “inbreuk in verband met persoonsgegevens” als bedoeld in artikel 4 sub 12 van AVG.
Hierna: “Datalek”.
4.2 Verwerker verschaft “Verwerkingsverantwoordelijke” tijdig alle informatie die zij bezit en die nodig is om aan de verplichtingen uit artikel 33 van AVG te voldoen. Verwerker verschaft de betreffende informatie overigens zo snel mogelijk in een door Verwerker te bepalen gangbaar formaat.
Dit houdt in dat Verwerker de Verwerkingsverantwoordelijke onverwijld op de hoogte brengt indien het duidelijk is dat dat Datalek waarschijnlijk een risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Datalekken waarbij duidelijk is dat die geen risico inhouden voor de rechten en vrijheden van natuurlijke personen kan verwerker zon- der uitstel melden maar ook op een later tijdstip mits dit zonder onredelijke vertraging ge- schiedt. Indien er ruimte is voor twijfel omtrent de vraag of het al dan niet waarschijnlijk is dat een Datalek een risico inhoudt voor rechten en vrijheden van natuurlijke personen, meldt Verwerker het Datalek altijd onverwijld aan de Verantwoordelijke.
4.3 Verwerker verleent de Verwerkingsverantwoordelijke, voor zover redelijkerwijs mogelijk en rekening houdend met de aard van de verwerkingen en de stand van de techniek, bijstand bij het voldoen aan de verplichtingen uit artikel 35 en 36 van AVG.
5. Inschakeling subverwerkers
5.1 Verwerker is niet gerechtigd bij de Verwerking van derde als subverwerker in te schakelen zonder voorafgaande toestemming van de Verwerkingsverantwoordelijke. Die toestemming kan ook betrekking hebben op categorieën van subverwerkers. In dat geval informeert de Verwerker, de Verwerkingsverantwoordelijke schriftelijk over toevoegingen of vervangingen van door hem ingeschakelde subverwerkers. De Verwerkingsverantwoordelijke kan binnen 30 dagen daarna bezwaar maken tegen een specifieke subverwerker die Verwerker inschakelt. In dat geval kan Verwerker eventuele hogere kosten van de oorspronkelijke subverwerker bij de Verwerkingsverantwoordelijke in rekening brengen.
5.2 Indien Verwerkingsverantwoordelijke zijn toestemming
geeft, draagt verwerker ervoor zorg dat de betreffende derde een overeenkomst sluit waarin hij zich tenminste houdt aan dezelfde wettelijke verplichtingen en de eventuele aanvullende verplichtingen uit deze overeenkomst als die Verwerker heeft.
5.3 Ingeval de toestemming betrekking heeft op bepaald soort providers, licht Verwerker de Verwerkingsverantwoordelijke in over de door hem ingeschakelde subverwerkers. De Verwerkingsverantwoordelijke kan dan bezwaar maken tegen toevoegingen of vervangingen met betrekking tot de subverwerkers van Verwerker.
5.4 De Verwerkingsverantwoordelijke geeft hierbij toestemming voor het inschakelen van de in Bijlage 2 opgenomen subverwerkers en/of categorieën van subverwerkers.
6. Geheimhoudingsplicht
6.1 Verwerker houdt de Persoonsgegevens geheim. Verwerker draagt ervoor zorg dat de Persoonsgegevens niet direct of indirect ter beschikking komen van een provider. Onder derden wordt ook het personeel van Verwerker begrepen voor zover het niet noodzakelijk is dat zij kennis nemen van de Persoonsgegevens. Dit gebod geldt niet indien in deze overeenkomst anders is bepaald en/of voor zover een wettelijk voorschrift of vonnis tot enige bekendmaking verplicht.
6.2 Verwerker zal de Verwerkingsverantwoordelijke op de hoogte stellen van ieder verzoek van een ander dan de betrokkenen tot kennisneming, verstrekking of andere vorm van opvragen en mededeling van de Persoonsgegevens, in strijd met de in dit artikel opgenomen geheimhoudingsplicht tenzij de wet dat verbiedt.
7. Bewaartermijnen en wissen
7.1 De Verwerkingsverantwoordelijke is verantwoordelijk voor het bepalen van de bewaartermijnen met betrekking tot de Persoonsgegevens. Voor zover Persoonsgegevens onder controle van de Verwerkingsverantwoordelijke zijn (bijvoorbeeld in het geval van hosting diensten) wist hij die zelf tijdig.
7.2 Na afloop van de overeenkomst draagt verwerker, naar gelang de keuze van Verwerkingsverantwoordelijke, zorg voor het wissen of retourneren van alle persoonsgegevens. Verwerker verwijdert kopieën, behoudens afwijkende wettelijke voorschriften.
7.3 Verwerker zal op verzoek van de Verwerkingsverantwoordelijke verklaren dat het wissen in het voorgaande lid bedoeld heeft plaatsgevonden. De verwerkingsverantwoordelijke kan op eigen kosten een controle laten uitvoeren of dat inderdaad is gebeurd. Artikel 10 van deze overeenkomst is van toepassing op die controle. Verwerker zal voor zover nodig alle subverwerkers die betrokken zijn bij de verwerking van de Persoonsgegevens op de hoogte stellen van een beëindiging van de Verwerkersovereenkomst en zal hen instrueren te handelen zoals hierin bepaald is.
7.4 Tenzij partijen anders afspreken, draagt de Verwerkingsverantwoordelijke zelf zorg voor een back up van de Persoonsgegevens.
8. Rechten van Betrokkenen
8.1 Indien Verwerkeringsverantwoordelijke zelf toegang heeft tot de Persoonsgegevens vol doet hij zelf aan alle verzoeken van de betrokkenen met betrekking tot de Persoonsgegevens. Verwerker zal eventueel door Verwerker ontvangen verzoeken onverwijld aan de Verwerkingsverantwoordelijke doorgeven.
8.2 Alleen voor zover het in het voorgaande lid bedoelde niet mogelijk is, zal verwerker zijn volledige en tijdige medewerking verlenen aan Verwerkingsverantwoordelijke om:
(i) Na goedkeuring van en in opdracht van de Verwerkingsverantwoordelijke betrokke- nen toegang te laten krijgen tot de hun betreffende Persoonsgegevens.
(ii) Persoonsgegevens te verwijderen of te corrigeren.
(iii) Aan te tonen dat Persoonsgegevens verwijderd of gecorrigeerd zijn indien zij incorrect zijn (of, ingeval de Verwerkingsverantwoordelijke het er niet mee eens is dat de Persoonsgegevens incorrect zijn, het feit vast te leggen dat de betrokkene zijn Persoonsgegevens als incorrect beschouwt).
(iv) De betreffende Persoonsgegevens aan de Verwerkingsverantwoordelijke dan wel aan een door de Verwerkingsverantwoordelijke aangewezen derde te verstrekken in een gestructureerde, gangbare en machine leesbare vorm en
(v) De Verwerkingsverantwoordelijke anderszins de gelegenheid te stellen om aan zijn verplichtingen onder de AVG of aan andere toepasselijke wetgeving op het gebied van verwerking van Persoonsgegevens te voldoen.
8.3 De kosten van en eisen aan de in het voorgaande lid genoemde medewerking stellen partijen gezamenlijk vast. Zonder een afspraak daaromtrent zijn de kosten voor de Verwerkingsverantwoordelijke.
9. Aansprakelijkheid
9.1 de Verwerkingsverantwoordelijke draagt, onder meer, de verantwoordelijkheid en is uit dien hoofde volledig aansprakelijk voor (het gestelde doel van) de Verwerkingen, het gebruik en de inhoud van de Persoonsgegevens, de verstrekking aan derden, de duur van de opslag van de Persoonsgegevens, de wijze van verwerking en de daartoe gehanteerde middelen.
9.2 Verwerker is tegenover de Verwerkingsverantwoordelijke aansprakelijk zoals bepaald in de Verwerkersovereenkomst.
10. Controle
10.1 De Verwerkingsverantwoordelijke heeft het recht de naleving van de overeengekomen afspraken van deze overeenkomst een maal per jaar op eigen kosten te controleren
of deze te laten controleren door een onafhankelijke registeraccountant of registerinformaticus.
10.2 Verwerker stelt de Verwerkingsverantwoordelijke alle informatie ter beschikking die nodig is om aan te tonen dat wordt voldaan aan de verplichtingen in artikel 28 in AVG.
Indien de door de Verwerkingsverantwoordelijke ingeschakelde derde een
instructie geeft die naar mening van de Verwerker inbreuk oplevert op de AVG dan stelt de verwerker, de Verwerkingsverantwoordelijke daar van onmiddellijk in kennis.
10.3 Het onderzoek van de Verwerkingsverantwoordelijke zal zich altijd beperken tot de systemen van Verwerker die voor de Verwerkingen worden gebruikt. De Verwerkingsverantwoordelijke zal de bij de controle gevonden informatie geheim
houden en alleen gebruiken om de naleving door verwerker van de verplichtingen uit deze overeenkomst te controleren en de informatie of delen daarvan zo snel als kan wissen.
11. Overige bepalingen
11.1 Wijzigingen van deze overeenkomst zijn uitsluitend geldig indien deze tussen partijen schriftelijk zijn overeengekomen.
11.2 Partijen zullen deze overeenkomst aanpassen aan gewijzigde of aangevulde regelgeving, aanvullende instructies van de relevante autoriteiten en voortschrijdend inzicht in de toepassing van de AVG (bijvoorbeeld door, maar niet beperkt tot, jurisprudentie of rapporten), de introductie van standaardbepalingen en/of andere gebeurtenissen of inzichten die een dergelijke aanpassing nodig maken.
11.3. De bepalingen van deze overeenkomst blijven gelden voor zover nodig voor de afwikkeling van deze overeenkomst en voor zover die bedoeld zijn het einde van deze overeenkomst te overleven. Tot die laatste categorie bepalingen behoren onder meer, zonder daartoe te zijn beperkt, de bepalingen omtrent geheimhouding en geschillen.
11.4 Op deze overeenkomst is uitsluitend Nederlands recht van toepassing.
Aldus overeengekomen en ondertekend op: Ddadg- mMma–an2d018
Door: Door:
Namens: [Verwerkingsverantwoordelijke] Namens: [Verwerker]
Op: Te:
Op: Te:
Bijlage 1
Verwerkingen van persoonsgegevens.
Deze bijlage is onderdeel van de verwerkersovereenkomst en moet door partijen geparafeerd worden.
I. De Persoonsgegevens die partijen verwachten te verwerken:
□ Telefoonnummer
□ E-mailadres
□ Geboortedatum
□ Geslacht
□ Beroep
□ Gegevens met betrekking tot transacties/aankoopgeschiedenis/betalingen
□ Gegevens met betrekking tot de nationaliteit, BSN-nummers.
□ Financiële data (bankrekeningnummer, creditcardnummer)
□ Credit scoring
□ Xxxxxx, namelijk……………………………………………………………………………………………….
……………………………………………………………………………………………………………………..
II. Het gebruik (= wijze(n) van verwerking) van de Persoonsgegevens en de doeleinden van en de middelen voor de verwerking:
……………………………………………………………………………………………………………………..
……………………………………………………………………………………………………………………..
III. De gebruiks- en bewaartermijnen van de (verschillende soorten) Persoonsgegevens:
……………………………………………………………………………………………………………………..
…………………………………………………………………………………………………………………….
Paraaf:
Bijlage 2
Subverwerkers/categorieën van subverwerkers
Deze bijlage is onderdeel van de Verwerkersovereenkomst en moet door partijen geparafeerd worden.
In deze bijlage staat een voerzicht van de subverwerkers zoals genoemd in art 5.4 van deze overeenkomst
□ Vodafone
□ KPN
□ Telfort
□ T-Mobile
□ X2Com
□ Routit
□ Simpoint
□ Dearbites
□ ISG (InternedService Group)
Paraaf: