Verwerkersovereenkomst

Verwerkersovereenkomst

De ondergetekenden:

1

LARCOZ, die statutair gevestigd is aan de Xxxxxxxx 00 xx Xxxxxx xxx xxx Xxxx en is ingeschreven

in het handelsregister onder het nummer 52.78.33.67, hierbij rechtsgeldig vertegenwoordigd door haar directeur Xxxx Xxxxxx hierna te noemen ‘Verwerker’ (sub 2);

en

2

Ondergetekende, hierna te noemen ‘Opdrachtgever’ (=verwerkingsverantwoordelijke) (sub 1)

Hierna gezamenlijk te noemen: Partijen;

Overwegende dat:

Voor zover Verwerker persoonsgegevens verwerkt ten behoeve van Opdrachtgever in het kader van de Overeenkomst kwalificeert Opdrachtgever krachtens artikel 4, onderdeel 7 en onderdeel 8, van de Verordening als verwerkingsverantwoordelijke voor de Verwerking van Persoonsgegevens en Verwerker als Verwerker;

Partijen in deze Verwerkersovereenkomst, zoals bedoeld in artikel 28, derde lid, van de Verordening, hun afspraken over de Verwerking van Persoonsgegevens door Verwerker wensen vast te leggen.

Komen overeen:

Artikel 1. Begrippen

In deze Verwerkersovereenkomst wordt een aantal begrippen met een beginhoofdletter gebruikt. Onder deze begrippen wordt het volgende verstaan:

1.1 Betrokkene: degene op wie een Persoonsgegeven betrekking heeft.

1.2 Inbreuk in verband met Persoonsgegevens: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens.

1.3 Overeenkomst: de overeenkomst tussen Opdrachtgever en Verwerker.

1.4 Personeel: medewerkers van Verwerker of door haar ingehuurde medewerkers van onderaannemers, die werkzaamheden voor of namens Verwerker verrichten.

1.5 Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon, die Verwerker in het kader van de Overeenkomst ten behoeve van Opdrachtgever verwerkt.

1.6 Verordening: Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van de Richtlijn 95/46/EG (algemene verordening gegevensbescherming).

1.7 Verwerkersovereenkomst: deze overeenkomst inclusief overwegingen en bijbehorende bijlagen.

1.8 Verwerking: een bewerking of een geheel van bewerkingen in het kader van de Overeenkomst met betrekking tot Persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, doorzenden, ter beschikking stellen, wissen of vernietigen.

Artikel 2. Voorwerp van deze Verwerkersovereenkomst

2.1 Deze Verwerkersovereenkomst regelt de Verwerking van Persoonsgegevens door Verwerker in het kader van de Overeenkomst.

2.2 De aard en het doel van de Verwerking, het soort Persoonsgegevens en de categorieën van Betrokkenen zijn in Bijlage 1 omschreven.

2.3 Verwerker garandeert de toepassing van passende technische en organisatorische maatregelen, opdat de Verwerking aan de vereisten van de Verordening voldoet en de bescherming van de rechten van de Betrokkene is gewaarborgd.

2.4 Verwerker garandeert te voldoen aan de vereisten van de toepasselijke wet- en regelgeving betreffende de verwerking van Persoonsgegevens.

Artikel 3. Inwerkingtreding en duur

3.1 Deze Verwerkersovereenkomst treedt in werking op het moment waarop deze door Partijen is ondertekend.

3.2 Deze Verwerkersovereenkomst eindigt nadat en voor zover Verwerker alle Persoonsgegevens overeenkomstig artikel 10 heeft gewist of terugbezorgd.

3.3 Geen van Partijen kan deze Verwerkersovereenkomst tussentijds opzeggen.

Artikel 4. Omvang Verwerkingsbevoegdheid Verwerker

4.1 Verwerker verwerkt de Persoonsgegevens volgens de van toepassing zijnde wettelijk voorschriften.

4.2 Verwerking, anders dan wettelijke voorschriften of in deze Verwerkersovereenkomst beschreven, wordt uitsluitend op basis van een schriftelijke overeenkomst met Opdrachtgever verricht.

4.3 Indien een instructie als bedoeld in het eerste lid naar het oordeel van Verwerker in strijd is met een wettelijk voorschrift inzake gegevensbescherming, stelt hij Opdrachtgever daarvan voorafgaand aan de verwerking in kennis, tenzij een wettelijk voorschrift deze kennisgeving verbiedt.

4.4 Indien Verwerker op grond van een wettelijke verplichting Persoonsgegevens dient te verstrekken, informeert hij Opdrachtgever onmiddellijk, en zo mogelijk voorafgaand aan de verstrekking, tenzij een wettelijk voorschrift deze kennisgeving verbiedt.

Artikel 5. Beveiliging van de Verwerking

5.1 Verwerker treft de technische en organisatorische beveiligingsmaatregelen zoals beschreven in Bijlage 2.

5.2 Partijen erkennen dat het waarborgen van een passend beveiligingsniveau voortdurend kan dwingen tot het treffen van aanvullende beveiligingsmaatregelen. Verwerker streeft een op het risico afgestemd beveiligingsniveau na.

5.3 Indien en voor zover Opdrachtgever daarom uitdrukkelijk schriftelijk verzoekt, zal Verwerker redelijke aanvullende maatregelen treffen met het oog op de beveiliging van de Persoonsgegevens.

5.4 Verwerker verwerkt Persoonsgegevens niet buiten de Europese Unie, behoudens afwijkende wettelijke verplichtingen.

5.5 Verwerker informeert Opdrachtgever zonder onredelijke vertraging zodra hij kennis heeft genomen van onrechtmatige Verwerkingen van Persoonsgegevens of inbreuken op beveiligingsmaatregelen zoals genoemd in het eerste en tweede lid.

5.6 Verwerker verleent Opdrachtgever bijstand bij het doen nakomen van de verplichtingen uit hoofde van de artikelen 32 tot en met 36 van de Verordening.

5.7 Verwerker meldt de komst van zijn Personeel op een locatie van Opdrachtgever tijdig bij Opdrachtgever. Xxxxxxxxx zorgt ervoor dat zijn Personeel zich op verzoek van Opdrachtgever kan legitimeren en kan aantonen dat zij voor of namens haar werkzaam is.

5.8 Indien het Personeel van Verwerker haar Personeel op locatie van Opdrachtgever werkzaamheden verricht, zullen de daar geldende en aangegeven beveiligingsprocedures en huisregels in acht worden genomen.

Artikel 6. Geheimhouding door Personeel van Xxxxxxxxx

6.1 De Persoonsgegevens hebben een vertrouwelijk karakter, zoals bepaald in de Verordening.

6.2 Verwerker ziet er op toe dat haar Personeel de geheimhoudingsverplichting nakomt.

6.3 Partijen maken hetgeen hen bij de uitvoering van de Overeenkomst ter kennis komt, en waarvan zij het vertrouwelijke karakter kennen of redelijkerwijs kunnen vermoeden, op geen enkele wijze verder bekend behalve voor zover enig wettelijk voorschrift of uitspraak van de rechter hen tot bekendmaking daarvan verplicht. Onder een uitspraak van de rechter wordt in dit verband ook verstaan een uitspraak van een instantie die bevoegd is om het geschil te beslechten indien partijen een andere vorm van geschillenbeslechting zijn overeengekomen.

Artikel 7. Subverwerker

Wanneer Xxxxxxxxx een andere verwerker inschakelt om ten behoeve van Opdrachtgever verwerkingsactiviteiten te verrichten, worden aan deze andere verwerker bij een overeenkomst dezelfde verplichtingen inzake gegevensbescherming opgelegd als die welke in deze Verwerkersovereenkomst zijn opgenomen.

Artikel 8. Bijstand vanwege rechten van Betrokkene

Verwerker verleent Opdrachtgever bijstand bij het vervullen van diens plicht om verzoeken om uitoefening van de in hoofdstuk III van de Verordening vastgestelde rechten van de Betrokkene te beantwoorden.

Artikel 9. Inbreuk in verband met Persoonsgegevens

9.1 Verwerker informeert Opdrachtgever zonder onredelijke vertraging, zodra hij kennis heeft genomen van een Inbreuk in verband met Persoonsgegevens, overeenkomstig de afspraken zoals vastgelegd in Bijlage 3.

9.2 Verwerker informeert Opdrachtgever ook na een melding op grond van het eerste lid over ontwikkelingen betreffende de Inbreuk in verband met Persoonsgegevens.

9.3 Partijen dragen de door henzelf in verband met de melding aan de bevoegde toezichthoudende autoriteit en Betrokkene te maken kosten.

Artikel 10. Teruggave Persoonsgegevens

10.1 Deze Verwerkersovereenkomst eindigt nadat en voor zover Verwerker alle Persoonsgegevens overeenkomstig artikel 10 heeft gewist of terugbezorgd.

10.2 Verwerker wist de Persoonsgegevens uiterlijk binnen 3 maanden na afloop van de Overeenkomst, tenzij de wet anders voorschrijft. In dat geval zullen de gegevens worden gewist binnen 3 maanden, nadat de wet dit toestaat.

10.3 Indien Opdrachtgever Persoonsgegevens terugbezorgd wenst, kan een vertegenwoordiger van Opdrachtgever de bedoelde gegevens afhalen op het kantooradres van Verwerker na het maken van een afspraak. De vertegenwoordiger dient zich te legitimeren. De gegevens zullen in PDF-formaat beschikbaar worden gesteld op een fysieke bestandsdrager.

Artikel 11. Informatieverplichting en audit

11.1 Verwerker stelt alle informatie ter beschikking die nodig is om aan te tonen dat de verplichtingen uit deze verwerkingsovereenkomst zijn en worden aangekomen.

11.2 Verwerker verleent alle benodigde medewerking en audits.

Artikel 12. Overige Voorwaarden Verwerking persoonsgegevens

12.1 Voor zover Verwerker in het kader van de uitvoering van de Overeenkomst persoonsgegevens voor Opdrachtgever verwerkt, wordt Verwerker als verwerker aangemerkt. .Verwerker is niet gerechtigd om op enig moment de persoonsgegevens die zij ter beschikking krijgt op enigerlei wijze geheel of gedeeltelijk anders te (doen) gebruiken dan voor de uitvoering van de Overeenkomst, een en ander behoudens afwijkende wettelijke verplichtingen.

12.2 Verwerker zal passende technische en organisatorische beveiligingsmaatregelen treffen om de persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging daarvan, een passend beveiligingsniveau gelet op de risico’s die de verwerking en de aard van de te beschermen gegevens meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen. Verwerker legt de maatregelen schriftelijk vast.

12.3 Verwerker verwerkt persoonsgegevens op behoorlijke en zorgvuldige wijze en in overeenstemming met de toepasselijke wet- en regelgeving alsmede een eventueel toepasselijke gedragscode van Opdrachtgever. Het voorgaande geldt onverkort ook voor grensoverschrijdende verzending en/of distributie en/of verstrekking van persoonsgegevens naar niet EU-landen.

12.4 Verwerker verleent Opdrachtgever haar volledige medewerking om Xxxxxxxxxxx (i) inzage in hun persoonsgegevens te laten krijgen, (ii) persoonsgegevens te laten verwijderen of te corrigeren, en/of (iii) aan te laten tonen dat persoonsgegevens verwijderd of gecorrigeerd zijn indien zij incorrect zijn of, indien Opdrachtgever het standpunt van betrokkene bestrijdt, vast te leggen dat betrokkene zijn persoonsgegevens als incorrect beschouwt.

Aldus overeengekomen en in tweevoud ondertekend,

Plaats: Plaats:

Datum: Datum:

Naam: Naam:

Handtekening Handtekening

Bijlage 1. De Verwerking van Persoonsgegevens

Onderwerp/aard en doel van de Verwerking:

De diensten optioneel zijn en kunnen worden gewijzigd door Opdrachtgever:

• Aanleggen en installeren van producten,

• Oplossen van storingen op locatie,

• Bieden van telefoon Support bij vragen of storingen,

• Uitvoeren van een Jaarlijks onderhoud,

• Meldkamerdiensten,

• Leveren van een GPRS back-up,

• Leveren van een opleveringsbewijs/Certificaat.

Categorie Persoonsgegevens:

Het soort Persoonsgegevens die Verwerker vastlegt als gevolg zijn:

- Gegevens zoals voor- en Achternaam,

- Contactgegevens zoals: adresgegevens, telefoonnummer, e-mailadres, website,

- Account- of lidmaatschapsnummer,

- Installatiegegevens,

- Netwerkgegevens,

- Betalingsgegevens,

- Servicecodes,

- Inhoud correspondentie.

Ontvangers van Persoonsgegevens:

• Personeel van Xxxxxxxxx

• Sub-verwerkers

Bijlage 2. Passende technische en organisatorische maatregelen

Gehanteerde normen en genomen maatregelen t.a.v. de beveiliging van de Verwerking Alarmsysteem en Cameratoezicht

Verwerker heeft een Klasse 2 Alarminstallatie en camerabewaking aangelegd, berekend volgens de VRKI 2017. Tevens zijn er bewaakte tijden voor het in- en uitschakelen.

Toegang tot de gegevens

• Er zijn regels opgenomen in het Interne Beleid over de omgang met Persoonsgegevens. Het Personeel is op de hoogte van de inhoud van dit beleid.

• Er wordt dagelijks een back-up gemaakt van de servers om beschadiging of verlies van (Persoons)gegevens te voorkomen. De back-up wordt gedaan door servers die in een ander datacenter staan dan waar de gegevens zijn opgeslagen.

• Personeel van Verwerker maakt gebruik van sterke wachtwoorden, een combinatie van cijfers, letters en tekens en voor elk systeem gebruikt men een ander wachtwoord.

• Slechts de directie en personeel van Verwerker heeft toegang tot de gegevens via een VPN verbinding. De computer van waaruit de VPN-verbinding wordt opgebouwd is volledig versleuteld waardoor er geen toegang is tot geen enkele data op de harde schijf zonder de gepaste sleutel.

• Alle personeel heeft een Verklaring van Betrouwbaarheid, uitgegeven door Politie.

• Waar mogelijk is antivirus en antimalware software geïnstalleerd en actief.

• Iedere medewerker van Xxxxxxxxx heeft een geheimhoudingsverklaring ondertekend t.a.v. alle gegevens die worden verwerkt.

Bewaartermijn van gegevens tijdens de looptijd van de Overeenkomst NAW-gegevens Opdrachtgevers

De gegevens worden niet gewist zolang de Overeenkomst duurt, daar deze gegevens bij voortduring nodig zijn voor administratieve doeleinden zoals facturering alsook voor de dienstverlening.

Indien de gegevens niet accuraat of uptodate zijn, zullen zij worden aangepast.

Bewaartermijn van gegevens na afloop van de Overeenkomst

Hoe Verwerker omgaat met de hierboven genoemde gegevens na afloop van de Overeenkomst is vastgelegd in de Verwerkersovereenkomst. (Artikel 10. Teruggave Persoonsgegevens)

Maatregelen t.a.v het eigen Personeel van Xxxxxxxxx

De maatregelen die Verwerker heeft getroffen ten aanzien van het eigen Personeel is vastgelegd in de Verwerkersovereenkomst. (Artikel 6. Geheimhouding door Personeel van Xxxxxxxxx)

Bijlage 3. Afspraken betreffende Inbreuken in verband met Persoonsgegevens

Verstrekte informatie bij Inbreuk

Indien er een Inbreuk in verband met Persoonsgegevens heeft plaatsgevonden zal Verwerker betrokken Opdrachtgevers zo snel mogelijk informeren nadat de omvang en wijze van de Inbreuk duidelijk is geworden.

Deze informatie omvat minimaal de volgende gegevens:

1. De aard van de Inbreuk in verband met Persoonsgegevens;

2. De aard van de Persoonsgegevens en Betrokkenen;

3. Welke Betrokkenen het betreft;

4. De waarschijnlijke gevolgen van de Inbreuk in verband met Persoonsgegevens;

5. De maatregelen die Verwerker voorstelt of reeds heeft genomen om de Inbreuk in verband met Persoonsgegevens aan te pakken.

In voorkomend gevallen zullen ook maatregelen ter beperking van de eventuele nadelige gevolgen van de plaatsgevonden Inbreuk hiervan onderdeel uitmaken.