Verwerkersovereenkomst
Verwerkersovereenkomst
1. Bedrijfsnaam (zelf invullen)
ingeschreven bij de Kamer van Koophandel onder nummer:
KVK nummer (invullen)
te dezen rechtsgeldig vertegenwoordigd door: Tekenbevoegd persoon (invullen)
hierna te noemen: ‘Verwerkingsverantwoordelijke’
en
2. Freepack Software B.V.
ingeschreven bij de Kamer van Koophandel onder nummer 28059078 ten dezen rechtsgeldig vertegenwoordigd door haar algemeen directeur Xxx. F. xxx Xxxxxxx, hierna te noemen: ‘Verwerker’
In aanmerking nemende dat,
o Verwerker is aan te merken als een verwerker in de zin van de Algemene Verordening Gegevensbescherming (AVG) en Verwerkingsverantwoordelijke is aan te merken als Verwerkingsverantwoordelijke in de zin van de AVG, aangezien eerstgenoemde ten behoeve van laatstgenoemde gegevens verwerkt, zonder aan diens rechtstreeks gezag te zijn onderworpen en deze Verwerkingsverantwoordelijke het doel en de middelen voor de verwerking van de persoonsgegevens vaststelt;
o Verwerker op grond van zijn dienstverlening aan Verwerkingsverantwoordelijke persoonsgegevens verwerkt;
o de AVG de Verwerkingsverantwoordelijke in de zin van die wet verplicht om een verwerkersovereenkomst te sluiten met een verwerker (verder te noemen: “Verwerkersovereenkomst”);
o door Verwerkingsverantwoordelijke Persoonsgegevens aan Verwerker worden verstrekt en zowel Verwerkingsverantwoordelijke als Verwerker groot belang hechten aan het beschermen daarvan;
o de AVG aan de Verwerkingsverantwoordelijke de plicht oplegt om ervoor te zorgen dat de Verwerker voldoende waarborgen biedt met betrekking tot de technische en organisatorische (beveiligings)maatregelen met betrekking tot de te verrichten werkzaamheden;
o de AVG aan de Verwerkingsverantwoordelijke de plicht oplegt om toe te zien op de naleving van die maatregelen;
o Partijen, mede gelet op het vereiste uit artikel 28 van de AVG, hun rechten en plichten schriftelijk wensen vast te leggen in deze Verwerkersovereenkomst;
komen partijen het navolgende overeen:
Artikel 1: Doel verwerking
1.1 Verwerker verbindt zich onder de voorwaarden van deze Verwerkersovereenkomst in opdracht van Verwerkingsverantwoordelijke persoonsgegevens te verwerken. Verwerking zal uitsluitend plaatsvinden in het kader van de dienstverlening rondom de producten van Freepack Software BV;
1.2 Verwerker zal de persoonsgegevens niet voor enig ander doel verwerken dan zoals door Verwerkingsverantwoordelijke is vastgesteld. Verwerkingsverantwoordelijke zal Verwerker op de hoogte stellen van de verwerkingsdoeleinden voor zover deze niet reeds in deze overeenkomst zijn genoemd;
1.3 De in opdracht van Verwerkingsverantwoordelijke te verwerken persoonsgegevens blijven eigendom van Verwerkingsverantwoordelijke en/of de betreffende betrokkenen;
1.4 Verwerker heeft geen zeggenschap over het doel en de middelen voor de verwerking van de persoonsgegevens en neemt geen beslissingen over het gebruik van deze gegevens, de verstrekking aan derden en de duur van de opslag van de gegevens;
Artikel 2: Verplichtingen Verwerker
2.1 Ten aanzien van de in artikel 1 genoemde verwerkingen zal Verwerker zorg dragen voor de naleving van de toepasselijke wet- en regelgeving, waaronder in ieder geval begrepen de wet- en regelgeving op het gebied van de bescherming van persoonsgegevens, zoals de AVG;
2.2 Verwerker zal Verwerkingsverantwoordelijke op eerste verzoek informeren over de door haar genomen maatregelen aangaande haar verplichtingen onder deze overeenkomst;
2.3 De verplichtingen van de Verwerker die uit deze overeenkomst voortvloeien, gelden ook voor degenen die persoonsgegevens verwerken onder het gezag van Verwerker, waaronder begrepen maar niet beperkt tot werknemers, in de ruimste zin van het woord.
Artikel 3: Doorgifte van persoonsgegevens
3.1 Verwerker mag de persoonsgegevens verwerken in landen binnen de Europese Unie. Doorgifte naar landen buiten de EU is verboden. Verwerker zal Verwerkingsverantwoordelijke melden om welk land of landen het gaat.
3.3 Verwerker is niet gerechtigd bij de verwerking van de Persoonsgegevens een derde in te schakelen zonder voorafgaande schriftelijke toestemming van Verwerkingsverantwoordelijke. Indien Verwerkingsverantwoordelijke zijn toestemming geeft, draagt Verwerker ervoor zorg dat de betreffende derde tenminste dezelfde verplichtingen op zich neemt als opgenomen voor Verwerker in deze overeenkomst.
Artikel 4: Verdeling verantwoordelijkheid
4.1 De overeengekomen verwerkingen zullen door medewerkers van Verwerker worden uitgevoerd binnen een geautomatiseerde omgeving;
4.2 Verwerker is louter verantwoordelijk voor de verwerking van de persoonsgegevens onder deze Verwerkersovereenkomst, overeenkomstig de instructies van Verwerkingsverantwoordelijke en onder de uitdrukkelijke -eindverantwoordelijkheid van Verwerkingsverantwoordelijke. Voor de overige verwerkingen van persoonsgegevens, waaronder in ieder geval begrepen maar niet beperkt tot de verzameling van de persoonsgegevens door de Verwerkingsverantwoordelijke, verwerkingen voor doeleinden die niet door Verwerkingsverantwoordelijke aan verwerker zijn gemeld, verwerkingen door derden en/of voor andere doeleinden, is Verwerker uitdrukkelijk niet verantwoordelijk;
4.3 Verwerkingsverantwoordelijke garandeert dat de inhoud, het gebruik en de opdracht tot de verwerkingen van de persoonsgegevens zoals bedoeld in deze Overeenkomst, niet onrechtmatig is en geen inbreuk maken op enig recht van derden.
Artikel 5: Beveiliging
5.1 Verwerker zal voldoende technische en organisatorische maatregelen nemen met betrekking tot de te verrichten verwerkingen van persoonsgegevens, tegen verlies of tegen enige vorm van onrechtmatige verwerking zoals onbevoegde kennisname, aantasting, wijziging of verstrekking van persoonsgegevens;
5.2 Verwerker heeft in ieder geval de navolgende maatregelen genomen:
▪ Encryptie van digitale bestanden met persoonsgegevens;
▪ Beveiliging van netwerkverbindingen met SSL-technologie;
▪ Aangeleverde bestanden worden verwijderd na afhandelen van de call;
5.3 Verwerker staat toe dat op verzoek van Verwerkingsverantwoordelijke de gegevensverwerkingsfaciliteiten van Verwerker door een door Verwerkingsverantwoordelijke aan te wijzen instantie worden geïnspecteerd;
5.4 Verwerkingsverantwoordelijke zal alle kosten, vergoedingen en onkosten in verband met de inspectie voldoen, met inbegrip van redelijke door Verwerker gemaakte interne kosten;
5.5 Verwerkingsverantwoordelijke zal Verwerker een exemplaar van het inspectierapport verstrekken;
5.6 Verwerker staat er niet voor in dat de beveiliging onder alle omstandigheden doeltreffend is. Indien een uitdrukkelijk omschreven beveiliging in de Verwerkersovereenkomst ontbreekt, zal Verwerker zorgen dat de beveiliging zal voldoen aan een niveau dat, gelet op de stand van de techniek, de gevoeligheid van de persoonsgegevens en de aan het treffen van de beveiliging verbonden kosten, niet onredelijk is;
5.7 Verwerkingsverantwoordelijke stelt alleen persoonsgegevens aan Verwerker ter beschikking voor verwerking, indien zij zich ervan heeft verzekerd dat de vereiste beveiligingsmaatregelen zijn getroffen.
Artikel 6: Meldplicht
6.1 In het geval van een beveiligingsincident en/of een datalek zal Verwerker de Verwerkingsverantwoordelijke daarover onmiddellijk informeren, naar aanleiding waarvan uitsluitend Verwerkingsverantwoordelijke betrokkene zal informeren (indien vereist);
6.2. In het geval van een beveiligingsincident en/of een datalek zal Verwerker in ieder geval melden dat er sprake is van een lek. Daarnaast zal Verwerker melden:
- Wat de oorzaak is van het lek;
- Wat de aard en omvang is van het lek;
- Wat de –te verwachten- gevolgen van het lek zijn;
- Welke maatregelen er zijn genomen;
- Welke oplossing er wordt geboden;
Artikel 7: Afhandeling verzoek cfm artikel 15/16 AVG
7.1 In het geval dat een betrokkene een verzoek tot inzage, zoals bedoeld in artikel 15 AVG, of verbetering, aanvulling, wijziging of afscherming zoals bedoeld in artikel 16 AVG richt aan Verwerker, zal Verwerker het verzoek doorsturen aan Verwerkingsverantwoordelijke, en zal verwerkingsverantwoordelijke het verzoek verder afhandelen. Verwerker mag de betrokkene daarvan op de hoogte stellen.
Artikel 8: Geheimhouding en vertrouwelijkheid
8.1 Op alle persoonsgegevens die Verwerker van Verwerkingsverantwoordelijke ontvangt in het kader van deze overeenkomst, rust een geheimhoudingsplicht jegens derden. Verwerker zal deze informatie niet voor een ander doel gebruiken dan waarvoor zij deze heeft verkregen, zelfs niet wanneer deze in een zodanige vorm is gebracht zodat deze niet tot betrokkenen herleidbaar is;
Artikel 9: Aansprakelijkheid
9.1 De aansprakelijkheid van Verwerker voor schade als gevolg van een toerekenbare tekortkoming in de nakoming van de Verwerkersovereenkomst, dan wel uit onrechtmatige daad of anderszins, is per gebeurtenis –een reeks opeenvolgende gebeurtenissen geldt als 1 gebeurtenis- beperkt tot de vergoeding van directe schade, tot maximaal het bedrag van de door Verwerker ontvangen vergoedingen voor de werkzaamheden onder deze Verwerkersovereenkomst over de 3 maanden voorafgaande aan de schadeveroorzakende gebeurtenis. De aansprakelijkheid van Verwerker voor directe schade zal in totaal nooit meer bedragen dan € 50.000;
9.2 Onder directe schade wordt uitsluitend verstaan alle schade bestaande uit:
- Zaakschade;
- Redelijke en aantoonbare kosten om de Verwerker er toe te manen de Verwerkersovereenkomst deugdelijk na te komen;
- Redelijke kosten ter vaststelling van de oorzaak en de omvang van de schade voor zover betrekking hebbende op de directe schade zoals hier bedoeld;
- Redelijk en aantoonbare kosten die Verwerkingsverantwoordelijke heeft gemaakt ter voorkoming of beperking van de directe schade zoals in dit artikel genoemd.
9.3 De aansprakelijkheid van Verwerker voor indirecte schade is uitgesloten. Onder indirecte schade wordt verstaan alle schade die geen directe schade is en daarmee in ieder geval, doch niet uitsluitend, gevolgschade, gederfde winst, gemiste besparingen, verminderde goodwill, schade door bedrijfsstagnatie, schade door het niet halen van marketingdoeleinden, schade verband houdende met het gebruik van door Verwerkingsverantwoordelijke voorgeschreven gegevens of databestanden, of verlies, verminking of vernietiging van gegevens of databestanden;
9.4 De in dit artikel bedoelde uitsluitingen en beperkingen komen te vervallen indien en voor zover de schade het gevolg is van opzet of bewuste roekeloosheid van Verwerker;
9.5 Tenzij nakoming door Verwerker blijvend onmogelijk is, ontstaat de aansprakelijkheid van Verwerker wegens toerekenbare tekortkoming in de nakoming van de overeenkomst slechts indien Verwerkingsverantwoordelijke de Verwerker direct schriftelijk in gebreke stelt, waarbij een redelijke termijn voor zuivering van de tekortkoming wordt gesteld, en Verwerker ook na die termijn toerekenbaar blijft tekortschieten in de nakoming van haar verplichtingen;
9.6 Verwerker zal zich gedurende de looptijd van de Verwerkersovereenkomst adequaat verzekerd hebben en houden voor aansprakelijkheid conform dit artikel.
Artikel 10: Duur en beëindiging
10.1 Deze Verwerkersovereenkomst komt tot stand door ondertekening van Partijen;
10.2 De geldigheid van deze Verwerkersovereenkomst is gekoppeld aan de duur van de licentieovereenkomst.
10.3 Zodra de Verwerkersovereenkomst, om welke reden dan ook, is beëindigd, zal Xxxxxxxxx alle persoonsgegevens die bij haar aanwezig zijn en eventuele kopieën daarvan verwijderen en/of vernietigen;
10.4 Indien naar het redelijk oordeel van Verwerker een zelfstandige wettelijke verplichting van Verwerker het geheel of gedeeltelijk retourneren of vernietigen van de Persoonsgegevens door Verwerker verbiedt of beperkt zal zij Verwerkingsverantwoordelijke zo spoedig mogelijk schriftelijk in kennis stellen van de wettelijke verplichting en daarbij alle relevante informatie verstrekken die Verwerkingsverantwoordelijke redelijkerwijs nodig heeft om te bepalen of vernietiging kan plaatsvinden en, zo ja, onder welke voorwaarden.
10.5 Indien naar het redelijk oordeel van Verwerkingsverantwoordelijke de wettelijke verplichting (gedeeltelijke) vernietiging van de Persoonsgegevens door Verwerker toelaat zal Verwerker daartoe op verzoek van Verwerkingsverantwoordelijke onverwijld overgaan. Is Verwerkingsverantwoordelijke van oordeel dat vernietiging niet mag plaatsvinden, dan zal zij Verwerker daarvan schriftelijk op de hoogte stellen. Verwerker garandeert in dat geval de vertrouwelijkheid van de Persoonsgegevens jegens Verwerkingsverantwoordelijke en zal de Persoonsgegevens niet Verwerken behalve ter voldoening aan haar bovenbedoelde wettelijke verplichting of na schriftelijke opdracht van Verwerkingsverantwoordelijke.
10.6 Wijziging van deze overeenkomst is slechts mogelijk met wederzijdse instemming van partijen.
Artikel 11: Overdracht rechten en plichten
11.1 Deze Overeenkomst en de rechten en verplichtingen uit deze Overeenkomst kunnen door Verwerker niet aan derden worden overgedragen zonder de voorafgaande schriftelijke toestemming van Verwerkingsverantwoordelijke.
Artikel 12: Deelbaarheid
12.1 Indien één of meer bepalingen van deze Overeenkomst niet rechtsgeldig blijkt te zijn, zal de Overeenkomst voor het overige van kracht blijven. Partijen zullen over de bepalingen welke niet rechtsgeldig zijn overleg plegen, teneinde een vervangende regeling te treffen die wel rechtsgeldig is en zoveel mogelijk aansluit bij de strekking van de te vervangen regeling.
Artikel 13: Toepasselijk recht en geschillenbeslechting
13.1 De Verwerkersovereenkomst en de uitvoering daarvan worden beheerst door Nederlands Recht;
13.2 Alle geschillen welke tussen Partijen mochten ontstaan in verband met de Verwerkersovereenkomst, zullen worden voorgelegd aan de bevoegde rechter in het arrondissement ’s-Gravenhage.
Verwerker zal de volgende bijlage bij deze ondertekende verwerkersovereenkomst bijvoegen:
Verwerker
Bijlage 1: Specificatie persoonsgegevens, betrokkenen en subverwerkers Verwerkingsverantwoordelijke
Datum:
Bijlage 1: Specificatie persoonsgegevens, betrokkenen en subverwerkers
Persoonsgegevens:
Verwerker zal in het kader van artikel 1.1 van de Verwerkersovereenkomst, de volgende (bijzondere) persoonsgegevens verwerken in opdracht van Verwerkingsverantwoordelijke:
• Telefoonnummer
• Financiële gegevens
• E-mailadres
• Geboortedata
• (Pas)foto’s
• NAW-gegevens
• Salarisgegevens inclusief BSN
Van de categorieën betrokkenen:
• Personeel
• Klanten
Subverwerker(s):
• Micros
Via het pakket kunnen persoonsgegevens worden verstuurd (o.a. via Digipoort) naar o.a.:
• Belastingdienst
• UWV
• APG
• Stipp