Addendum Verwerking
Addendum Verwerking
Dit Addendum inzake Verwerking maakt onlosmakelijk deel uit van de Algemene Voorwaarden die gelden tussen VionA, handelsnaam van Kadunk Ventures B.V. gevestigd te Rotterdam, kantoorhoudende aan de Xxxxxxxxxxxx 0, hierbij rechtsgeldig vertegenwoordigd door Xxxxxx Xxxxxxx, directeur (hierna te noemen: “Verwerker”) en Opdrachtgever (hierna te noemen: “Verwerkingsverantwoordelijke”), gezamenlijk hierna ook te noemen “Partijen”.
Dit addendum is van kracht op het moment dat er een Overeenkomst tot stand is gekomen. De looptijd is gelijk aan de gesloten Overeenkomst.
Overwegende dat:
1. Verwerkingsverantwoordelijke gebruik wil maken van de diensten van Verwerker ten behoeve van de automatiseringen, in beheer bij Verwerker.
2. Partijen hiertoe op een separate overeenkomst hebben getekend ten aanzien van de door Verwerker te verrichten dienst.
3. Verwerker in het kader van de Overeenkomst persoonsgegevens (hierna: “Persoonsgegevens”) in de zin van de Wet bescherming persoonsgegevens (hierna: “Wbp”) en de Algemene Verordening Gegevensbescherming (hierna: “AVG”) zal verwerken ten behoeve van Verwerkingsverantwoordelijke;
4. Partijen - mede ter uitvoering van het bepaalde in artikel 14 lid 2 Wbp en artikel 28 lid 3 AVG - in de onderhavige aanvullende overeenkomst (hierna: “Verwerkersovereenkomst”) een aantal voorwaarden wensen vast te leggen die van toepassing zijn op hun relatie in verband met de genoemde activiteiten in opdracht van en ten behoeve van Verwerkingsverantwoordelijke;
5. De in de onderhavige overeenkomst gehanteerde definities van “Verwerker” (“bewerker” in de Wbp), “Verwerkingsverantwoordelijke” (“verantwoordelijke” in de Wbp), “persoonsgegevens”, “verwerken” en “verwerking” in overeenstemming zijn met van toepassing zijnde definities zoals gehanteerd in artikel 1 van de Wbp en artikel 4 AVG;
6. Partijen zich ervan bewust zijn dat tot 25 mei 2018 de Wbp van toepassing is op deze Verwerkersovereenkomst en vanaf 25 mei 2018 de AVG en de intentie hebben met de onderhavige Verwerkersovereenkomst aan de toepasselijke wetgeving te voldoen.
Verklaren te zijn overeengekomen als volgt:
Artikel fi Onderwerp van de Verwerkersovereenkomst
1. Verwerkingsverantwoordelijke is verantwoordelijk voor de verwerking van de Persoonsgegevens in het kader van uitvoering van de Overeenkomst. Verwerker heeft geen zelfstandige zeggenschap over de Persoonsgegevens.
2. De Verwerker verwerkt Persoonsgegevens slechts in opdracht van de Verwerkingsverantwoordelijke in het kader van de uitvoering van de Overeenkomst, in overeenstemming met de door Verwerkingsverantwoordelijke bepaalde doeleinden en middelen en de bewaartermijnen zoals beschreven in Bijlage 1, alsmede in overeenstemming met eventuele overige door de Verwerkingsverantwoordelijke verstrekte schriftelijke instructies, tenzij een op Verwerker van toepassing zijnde Unierechtelijke of lidstaatrechtelijke bepaling Verwerker tot verwerking verplicht, in welk geval stelt Verwerker Verwerkingsverantwoordelijke, voorafgaand aan de verwerking, in kennis van dat wettelijk
voorschrift, tenzij die wetgeving deze kennisgeving om gewichtige redenen van algemeen belang verbiedt.
3. Verwerkingsverantwoordelijke garandeert dat zijn instructies aan Verwerker leiden tot een verwerking door Xxxxxxxxx die in overeenstemming zal zijn met toepasselijke regelgeving en geen inbreuk zal maken op enig recht van derden.
Artikel 2 Technische en organisatorische voorzieningen (beveiliging)
1. Verwerkingsverantwoordelijke stelt enkel Persoonsgegevens aan Verwerker ter beschikking voor verwerking, indien Verwerkingsverantwoordelijke zich ervan heeft verzekerd dat de vereiste beveiligingsmaatregelen zijn getroffen, welke mede gelet op het bepaalde in artikel 32 AVG een passend beschermingsniveau garanderen, gelet op de stand van de techniek en de kosten van de tenuitvoerlegging, gelet op de risico’s die de verwerking en de aard van de te beschermen gegevens met zich meebrengen, van welke beveiligingsmaatregelen een overzicht is opgenomen in Bijlage 2.
2. Verwerkingsverantwoordelijke is gerechtigd de maatregelen en de naleving van de op Verwerker rustende verplichtingen te controleren.
3. In geval Verwerker kennis heeft genomen van een inbreuk op de beveiliging zoals omschreven in artikel 34a Wbp en/of artikel 4 lid 12 AVG (hierna: “Datalek”), zal Verwerker Verwerkingsverantwoordelijke zo spoedig mogelijk, en waar mogelijk binnen 24 (vierentwintig) uur nadat het Datalek ter kennis van Verwerker is gekomen, informeren.
4. Indien zich, ondanks het feit dat Verwerker maatregelen zoals afgestemd met Verwerkingsverantwoordelijke heeft doorgevoerd, een Datalek voordoet, kan Verwerkingsverantwoordelijke Verwerker niet aansprakelijk houden voor enige door Verwerkingsverantwoordelijke als gevolg hiervan geleden schade.
Artikel 3 Inschakeling derden
1. Verwerker besteedt de verplichtingen die voortvloeien uit de Overeenkomst niet uit aan derden, tenzij Verwerkingsverantwoordelijke daarvoor voorafgaande schriftelijke toestemming heeft gegeven.
2. Verwerker zal eventuele subverwerkers verplichten de bepalingen van de Verwerkersovereenkomst na te leven. Verwerker maakt gebruikt van de diensten van de in bijlage 1 genoemde subverwerkers. Verwerker blijft te allen tijde verantwoordelijk voor het handelen of nalaten van de subverwerkers.
Artikel 4 Doorgifte naar derde landen
1. Het is Verwerker niet toegestaan de Persoonsgegevens door te geven en/of op te (laten) slaan in landen buiten de Europese Unie, tenzij Verwerker uitdrukkelijke schriftelijke toestemming van Verwerkingsverantwoordelijke heeft hiervoor en dit op grond van toepasselijke (Europese) privacyregelgeving toegestaan bijvoorbeeld omdat het betreffende land een passend beschermingsniveau biedt of gebruik wordt gemaakt van een daartoe bestemd ongewijzigd modelcontract, goedgekeurd door de Europese Commissie, (hierna: “EC Modelcontract”), met inachtneming van de overige bepalingen van de Verwerkersovereenkomst. Uitzondering hierop is het gebruik van Google Services, Microsoft Services en AWS, tenzij anders overeengekomen.
2. Indien doorgifte naar Verwerker of een derde partij in een land zonder passend beschermingsniveau plaatsvindt met toestemming van Verwerkingsverantwoordelijke, dan zal op deze doorgifte een ongewijzigd EC Modelcontract van toepassing zijn, dan zal zijn
ondertekend door Xxxxxxxxx en bijgesloten bij de Verwerkersovereenkomst. Verwerker garandeert dat alle subverwerkers die met toestemming van Verwerkingsverantwoordelijke worden ingeschakeld, het EC Modelcontract mede ondertekenen.
Artikel 5 Bijstand verlenen
1. Verwerker zal, rekening houdend met de aard van de verwerking, Verwerkingsverantwoordelijke door middel van passende technische en organisatorische maatregelen, voor zover mogelijk, bijstand verlenen die noodzakelijk is voor Verwerkingsverantwoordelijke om te kunnen voldoen aan verzoeken van betrokkenen wiens Persoonsgegevens worden verwerkt als bedoeld in artikel 35 en 36 van de Wbp en Hoofdstuk III van de AVG alsmede verzoeken van de bevoegde toezichthouder van Verwerkingsverantwoordelijke.
2. Verwerker zal, rekening houdend met de aard van de verwerking en de hem ter beschikking staande informatie Verwerkingsverantwoordelijke bijstand verlenen bij het doen nakomen van de verplichtingen uit hoofde van de artikelen 32 tot en met 36 AVG, waarbij Verwerker gerechtigd is in voorkomend geval aan Verwerkingsverantwoordelijke redelijke kosten in rekening te brengen.
Artikel 6 Vertrouwelijkheid
1. Verwerker, alsmede al haar medewerkers die toegang hebben tot de Persoonsgegevens, zullen de Persoonsgegevens waarvan zij kennisnemen geheim houden, tenzij een wettelijk voorschrift hen tot mededeling verplicht.
2. Verwerker zal al haar medewerkers die betrokken zijn bij de uitvoering van de Overeenkomst terzake een geheimhoudingsverklaring laten tekenen. Xxxxxxxxx neemt alle maatregelen die nodig zijn om te garanderen dat deze geheimhoudingsplicht wordt nagekomen.
Artikel 7 Xxxxxxxxxxxx & verwijdering
Na beëindiging van de Overeenkomst, naar gelang de keuze van Verwerkingsverantwoordelijke, wist Verwerker binnen 6 maanden alle Persoonsgegevens of bezorgt Verwerker alle Persoonsgegevens terug aan Verwerkingsverantwoordelijke, en verwijdert bestaande kopieën, tenzij opslag van Persoonsgegevens op grond van geldende regelgeving verplicht is.
Artikel 8 Aansprakelijkheid
1. Indien Verwerker aansprakelijk is jegens Verwerkingsverantwoordelijke voor schade uit welke hoofde dan ook, onverminderd het bepaalde in artikel 2 lid 4, is Verwerker alleen aansprakelijk voor directe schade die Verwerkingsverantwoordelijke lijdt als gevolg van een aan Verwerker toerekenbare tekortkoming en/of onrechtmatige daad. De totale aansprakelijkheid onder de Overeenkomst, inclusief de Verwerkersovereenkomst, of overtreding door Verwerker en/of sub-bewerker(s) van de toepasselijke (Europese) privacyregelgeving, zal nooit meer bedragen dan €5.000,-.
2. Verwerker is nooit aansprakelijk voor gevolgschade, waaronder mede begrepen zuivere vermogensschade, gederfde winst, en immateriële schade. In het bijzonder is Verwerker niet aansprakelijk voor schade in verband met en/of als gevolg van:
a. beëindiging of wijziging van de geleverde dienst;
b. communicatiegebreken in verband met hardware-, software-, netwerk- of andere computerproblemen;
c. het gebruik van door Verwerkingsverantwoordelijke voorgeschreven gegevens of databestanden;
d. verlies, verminking of vernietiging van gegevens of databestanden; en/of,
e. ontoegankelijkheid van de dienst van Verwerker.
3. Voor zover nakoming niet blijvend onmogelijk is, ontstaat de aansprakelijkheid van Verwerker wegens toerekenbare tekortkoming in de nakoming van de Verwerkersovereenkomst slechts indien Verwerkingsverantwoordelijke Verwerker onverwijld en deugdelijk schriftelijk in gebreke stelt, waarbij een redelijke termijn ter zuivering van de tekortkoming wordt gesteld, en Verwerker ook na die termijn toerekenbaar tekort blijft schieten in de nakoming van haar verplichtingen. De ingebrekestelling dient een zo volledig en gedetailleerd mogelijke omschrijving van de tekortkoming te bevatten, zodat Verwerker in staat is adequaat te reageren.
4. Voorwaarde voor het ontstaan van enig recht op schadevergoeding is steeds dat Verwerkingsverantwoordelijke de schade zo spoedig mogelijk na het ontstaan daarvan schriftelijk bij Verwerker meldt. Ieder vordering tot schadevergoeding jegens Verwerker vervalt door het enkele verloop van zes (6) maanden na het ontstaan van de vordering.
Artikel 9 Controle & toezicht
Verwerkingsverantwoordelijke is gerechtigd, op eigen kosten, de maatregelen en de naleving van de op Verwerker rustende verplichtingen te controleren, op voorwaarde dat Verwerkingsverantwoordelijke Verwerker daarvan vijf (5) werkdagen van tevoren op de hoogte stelt en op voorwaarde dat Verwerkingsverantwoordelijke bij de inspectie de redelijke aanwijzingen van Verwerker opvolgt en de inspectie de bedrijfsvoering van Verwerker niet onredelijk verstoort.
Artikel fi0 Overige bepalingen
1. In geval van strijdigheid van (een of meer bepalingen uit) de Verwerkersovereenkomst met (een of meer bepalingen uit) andere overeenkomsten tussen Verwerkingsverantwoordelijke en Verwerker, prevaleert de Verwerkersovereenkomst.
2. Deze overeenkomst heeft een looptijd gelijk aan de Overeenkomst en kan niet tussentijds worden beëindigd. Artikelen die gezien hun aard, onder meer in het kader van de afwikkeling van de Verwerkersovereenkomst, bestemd zijn om na het einde van de Verwerkersovereenkomst van toepassing te blijven, waaronder – maar niet beperkt tot – artikel 6 (Vertrouwelijkheid), artikel 7 (Verstrekking & verwijdering) en artikel 10 lid 5 en 6, blijven onverminderd van kracht na beëindiging van de Verwerkersovereenkomst.
3. Wijziging van de Verwerkersovereenkomst is slechts mogelijk door schriftelijke overeenstemming door Partijen.
4. In het geval enige bepaling van de Verwerkersovereenkomst nietig wordt verklaard of vernietigd wordt of blijkt dat een wijziging in (een bepaling van) de Verwerkersovereenkomst wegens gewijzigde omstandigheden noodzakelijk is voor naleving van de toepasselijke wet- en regelgeving op het gebied van privacy, zullen de overige bepalingen onverminderd van kracht blijven. Partijen zullen dan een nieuwe bepaling vaststellen ter vervanging van de nietige/vernietigde bepaling dan wel de Verwerkersovereenkomst zodanig wijzigen om deze in lijn te brengen met de toepasselijke wet- en regelgeving op het gebied van privacy, waarbij zoveel mogelijk de strekking van de nietige/vernietigde bepaling in acht zal worden genomen.
5. Op de Verwerkersovereenkomst is Nederlands recht van toepassing.
6. Geschillen tussen Verwerkingsverantwoordelijke en Verwerker worden uitsluitend voorgelegd aan de bevoegde rechter in het arrondissement Rotterdam.
Bijlage fi
Doeleinden die met de Verwerking van gegevens door de Verwerker worden nagestreefd zijn de navolgenden:
1. Het realiseren en onderhouden van de proces automatisering in beheer bij Verwerker.
2. Het verrichten van werkzaamheden die nodig zijn om de ontwikkeling en het testen van proces automatisering te bewerkstelligen.
Middelen voor de verwerking omvatten;
1. (Web)servers (OTAP-straat).
2. Hosting soft- en hardware.
3. Hardware, waarmee medewerkers van de verwerker de applicatie(s) ontwikkelen en beheren
4. Netwerk Leverancier en hosting provider.
5. Implementatie van software ten behoeve van performancemonitoring en (gebruikers)statistieken.
Soort persoonsgegevens van de te verwerken data;
Alle herleidbare (niet geanonimiseerde) persoonsgegevens welke in de (web)applicatie(s) verwerkt worden vallen onder deze verwerkersovereenkomst
Bewaartermijnen
De gegevens blijven gedurende de levensduur van de applicatie aanwezig, tenzij anders overeengekomen in de hoofdovereenkomst.
Gebruik van de gegevens
De Verwerker verwerkt de gegevens alleen voor het beheren en verder ontwikkelen van de proces automatisering.
Verstrekking aan derden
Verwerker zal geen gegevens verstrekken aan derden, tenzij ze gesommeerd worden daartoe door een bevoegde overheidsinstantie.
Subverwerkers
Robocorp Inc. | Robotleverancier |
Microsoft Inc. | Robotleverancier |
Redkiwi B.V. | Webontwikkeling |
Gripp B.V. | Administratie |
Google LLC | Communicatie / Dataverwerking |
Xxxx.xxx | Api Platform |
Mailgun | Email communicatie |
Incidenteel maakt verwerker gebruik van de diensten van freelancers ontwikkelaars voor ontwikkeling. Deze hebben echter geen of beperkte toegang tot de productieomgevingen met persoonsgegevens.
Bijlage 2:
Overzicht van door de Verwerkingsverantwoordelijke verzochte beveiligingsmaatregelen, indien applicaties worden ontwikkeld voor Verwerkingsverantwoordelijke.
Onderstaande is een overzicht van de beveiligingsmaatregelen die de Verwerker neemt. Deze maatregelen zijn aan verandering onderhevig, maar veranderingen mogen niet leiden tot een lager niveau van de algemene beveiliging. Deze maatregelen gelden voor de IT infrastructuur in beheer van VionA. Voor SaaS oplossingen gelden de beveiligingsmaatregelen die desbetreffende subverwerkers implementeren.
Hosting
VionA maakt gebruik van hosting leveranciers met wie de volgende afspraken zijn gemaakt.
● Back up: Gegevens en bronbestanden worden wekelijks gebackupt. Bewaartermijn backups bedraagt 2 weken.
● Redundantie: Hostingprovider zorgt ervoor dat data wordt gebackupt naar een geografisch andere locatie binnen Nederland of de EU.
● Beschikbaarheid: Het datacenter is voorzien van noodstroom voorzieningen en heeft meerdere internetverbindingen.
● De hostingprovider draagt zorg voor de netwerkbeveiliging en de fysieke beveiliging (waaronder toegangscontrole) van de servers.
Beveiliging
● Verwerker stelt het gebruik van versleutelde verbindingen (SSL) voor de verzending van gegevens en bestanden van en naar de webapplicatie verplicht.
● Verwerker update de server software en de applicatie. Tevens verzorgt de verwerker de monitoring van de server en applicatie
● Verwerker hanteert een systeem van gebruikersrechten om de toegang tot gegevens te beperken tot de medewerkers en functies die deze toegang nodig hebben. Er zijn ook processen gedefinieerd om daar op toe te zien, zoals het off-boarding proces wanneer een medewerker uit dienst gaat, waarmee wordt geborgd dat de gebruikersrechten worden ingetrokken.
● Verwerker zal de applicatie(s) voorzien van een vorm van beveiliging, zowel technisch als organisatorisch en op zijn minst voldoen aan een niveau dat gelet op de stand van de techniek, de gevoeligheid van de (persoons-)gegevens en de aan de beveiliging verbonden kosten, passend en redelijk is.