Verwerkersovereenkomst Ondergetekenden:
Verwerkersovereenkomst Ondergetekenden:
Wolters Kluwer Nederland B.V., statutair gevestigd te Deventer (7418 CJ) aan de Staverenstraat 15
(hierna te noemen: “Verantwoordelijke”),
en
<Naam verwerker> statutair gevestigd <n.a.w. gegevens> (hierna te noemen: “Verwerker”), hierna gezamenlijk te noemen: “Partijen” en elk afzonderlijk: een “Partij”.
Verklaren te zijn overeengekomen als volgt:
Artikel 1 Definities
Termen als “verwerking”, “persoonsgegevens”, "betrokkene", “verantwoordelijke” en “verwerker” hebben de betekenis die daaraan is toegekend in Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (Algemene Verordening Gegevensbescherming: “AVG”).
Artikel 2 Onderwerp van deze Gegevensverwerkersovereenkomst
2.1 Deze Gegevensverwerkingsovereenkomst is uitsluitend van toepassing op de verwerking van persoonsgegevens in het kader <aangegeven wat de activiteit is van de leverancier> (hierna te noemen: de “Werkopdracht”).
2.2 Gedurende de uitvoering van de Werkopdracht kan Verwerker persoonsgegevens
(“Persoonsgegevens”) verwerken ten behoeve en in opdracht van Verantwoordelijke in het kader van de uitvoering van de Werkopdracht met Verantwoordelijke. Een overzicht van de categorieën Persoonsgegevens, de doeleinden waarvoor zij worden verwerkt en een beschrijving van de verwerkingsactiviteit(en) zijn opgenomen in Bijlage 1 bij deze Gegevensverwerkersovereenkomst. Verantwoordelijke is bij uitsluiting verantwoordelijk voor het bepalen van de doeleinden waarvoor en de manier waarop Persoonsgegevens (moeten) worden verwerkt.
Artikel 3 Uitvoering van Verwerking
3.1 Verwerker treedt op als de verwerker en Verantwoordelijke treedt op als de verantwoordelijke.
3.2 Verwerker garandeert dat hij de Persoonsgegevens uitsluitend ten behoeve van Verantwoordelijke zal verwerken op een manier die nodig is voor de uitvoering van de Werkopdracht zoals genoemd in Artikel 2 en opgenomen in Bijlage 1 bij deze Gegevensverwerkersovereenkomst. Andere verwerkingsactiviteiten vinden uitsluitend plaats indien Verantwoordelijke daartoe schriftelijk opdracht geeft of indien er een wettelijke verplichting daartoe bestaat. Het is Verwerker in geen geval toegestaan de Persoonsgegevens voor eigen gebruik of voor dat van anderen te verwerken.
3.3 Verwerker dient alle redelijke instructies van Verantwoordelijke op te volgen in verband met de verwerking van de Persoonsgegevens in overeenstemming met deze Gegevensverwerkersovereenkomst en de Werkopdracht. Indien Verwerker verplicht is de Persoonsgegevens te verwerken als gevolg van EU-wetgeving of van wetgeving van een lidstaat waaraan Verwerker onderworpen is, zal Verwerker Verantwoordelijke vóór de verwerking in kennis stellen van die wettelijke verplichting. Verwerker stelt Verantwoordelijke er onmiddellijk van in kennis indien instructies naar zijn mening in strijd zijn met de toepasselijke wetgeving inzake de verwerking van persoonsgegevens of met de Werkopdracht tussen Partijen.
3.4 Verwerker verwerkt de Persoonsgegevens aantoonbaar, op correcte en zorgvuldige wijze en in overeenstemming met zijn verplichtingen als verwerker krachtens de AVG. Verwerker leeft
tevens de voorschriften na die op Verantwoordelijke van toepassing zijn krachtens de desbetreffende nationale of lokale wetgeving inzake gegevensbescherming.
3.5 Verwerker zal passende technische en organisatorische maatregelen doorvoeren en aanhouden om de Persoonsgegevens te allen tijde te beschermen tegen onopzettelijke of onrechtmatige vernietiging of onopzettelijk(e) verlies, wijziging, onbevoegde bekendmaking, toegang, of verwerking. Verwerker mag alle instrumenten gebruiken die hij nodig acht om die doelstellingen te bereiken. Verwerker zal het IT-beveiligingsbeleid van Verantwoordelijke (met alle daarin van tijd tot tijd aangebrachte wijzigingen) naleven.
3.6 Verwerker verleent zijn volledige medewerking aan Verantwoordelijke om:
(i) betrokkenen toe te staan toegang te verkrijgen tot hun Persoonsgegevens na goedkeuring en in opdracht van Verantwoordelijke,
(ii) Persoonsgegevens te wissen of te rectificeren,
(iii) te bewijzen dat persoonsgegevens zijn gewist of gerectificeerd indien zij onjuist zijn (of, in het geval dat Verantwoordelijke het er niet mee eens is dat de Persoonsgegevens onjuist zijn, het feit vast te stellen dat betrokkene zijn Persoonsgegevens onjuist acht),
(iv) Verantwoordelijke te assisteren bij een Gegevensbeschermingeffectbeoordeling zoals vereist op grond van art. 35 AVG die betrekking heeft op de door Verwerker aan Verantwoordelijke verleende diensten en de Persoonsgegevens die door Verwerker ten behoeve van Verantwoordelijke worden Verwerkt, en
(v) Verantwoordelijke anderszins de gelegenheid te bieden om te voldoen aan diens verplichtingen op grond van de AVG of andere toepasselijke wetgeving op het gebied van verwerking van persoonsgegevens.
3.7 Verwerker bewaart en verwerkt de Persoonsgegevens betreffende Verantwoordelijke strikt gescheiden van de Persoonsgegevens die hij voor zichzelf of ten behoeve van derden verwerkt.
Artikel 4 Internationale doorgifte
4.1 De Verwerker zal de Persoonsgegevens uitsluitend verwerken binnen de Europese Economische Ruimte ("EER") en de Persoonsgegevens niet overdragen naar, of anderszins verwerken in, een jurisdictie buiten de EER, tenzij de Verantwoordelijke daartoe voorafgaande schriftelijke toestemming heeft gegeven aan welke toestemming de Verantwoordelijke aanvullende voorwaarden en vereisten mag stellen, zoals het aangaan van de standaardbepalingen inzake gegevensbescherming zoals bedoeld in artikel 46 lid 2 sub c AVG.
Artikel 5 Geheimhouding
5.1 Onverminderd enige andere contractuele geheimhoudingsverplichtingen van Verwerker, garandeert Verwerker dat hij alle Persoonsgegevens strikt vertrouwelijk zal behandelen en dat hij al zijn werknemers, agenten en/of erkende subverwerkers die betrokken zijn bij de verwerking van de Persoonsgegevens zal informeren over de vertrouwelijke aard van die informatie en van de Persoonsgegevens. Verwerker zorgt ervoor dat alle personen en partijen de juiste contractuele verplichtingen op het gebied van geheimhouding, gegevensbescherming en gegevensbeveiliging hebben ondertekend, welke verplichtingen minstens zo beperkend zijn als deze Gegevensverwerkingsovereenkomst, en dat zij het bepaalde in deze Gegevensverwerkingsovereenkomst naleven. Verwerker verstrekt Verantwoordelijke op verzoek een kopie van deze overeenkomsten. Het is Verwerker niet toegestaan de Persoonsgegevens te tonen, te verstrekken of anderszins beschikbaar te stellen aan derden, tenzij dit nodig of toegestaan is op grond van de Werkopdracht zoals genoemd in Artikel 2 en opgenomen in Bijlage 1, of in het geval dat hiertoe expliciete voorafgaande schriftelijke toestemming van Verantwoordelijke is verkregen.
5.2 Partijen dienen alle informatie die Verwerker uit hoofde van Artikel 6 en 7 van deze Gegevensverwerkingsovereenkomst aan Verantwoordelijke moet verstrekken strikt vertrouwelijk te behandelen.
Artikel 6 Beveiliging & verificatie van Persoonsgegevens
6.1 Onverminderd eventuele andere beveiligingsstandaarden die elders door Partijen zijn
overeengekomen zal Verwerker aantoonbaar, in overeenstemming met de huidige ISO/IEC 27001-norm (de norm voor informatiebeveiliging) passende technische en organisatorische beveiligingsmaatregelen nemen, die gezien de huidige stand der techniek en de bijbehorende kosten in overeenstemming zijn met de aard van de te verwerken Persoonsgegevens, teneinde de Persoonsgegevens te allen tijde te beveiligen tegen onopzettelijke of onrechtmatige vernietiging of onopzettelijk(e) verlies, wijziging, onbevoegde bekendmaking, toegang of onrechtmatige verwerking. Deze maatregelen omvatten in elk geval:
(a) maatregelen om ervoor te zorgen dat er uitsluitend toegang tot de Persoonsgegevens kan worden verkregen door bevoegde medewerkers die die toegang tot de Persoonsgegevens nodig hebben voor de doeleinden als uiteengezet in Bijlage 1 bij deze Gegevensverwerkingsovereenkomst;
(b) maatregelen ter bescherming van de Persoonsgegevens tegen onopzettelijke of onrechtmatige vernietiging, onopzettelijk(e) verlies of wijziging, onbevoegde of onrechtmatige opslag, verwerking, toegang of bekendmaking;
(c) maatregelen om kwetsbaarheden vast te stellen op het gebied van de verwerking van de Persoonsgegevens in de systemen die worden gebruikt voor het verlenen van diensten aan Verantwoordelijke; en
(d) de maatregelen die Partijen zijn overeengekomen in Bijlage 3.
6.2 Verwerker dient te allen tijde te beschikken over een passend, schriftelijk beveiligingsbeleid voor wat betreft de verwerking van Persoonsgegevens, waarin in elk geval de in Artikel 6.1. genoemde maatregelen worden beschreven. Op verzoek van Verantwoordelijke verstrekt Verwerker een kopie van dat beveiligingsbeleid, laat hij zien welke maatregelen hij heeft genomen op grond van dit artikel 6 en wijzigt hij zijn beveiligingsbeleid conform de verdere schriftelijke instructies van Verantwoordelijke.
6.3 Verantwoordelijke heeft het recht om de naleving van de hierboven in Artikel 6.1 en 6.2. genoemde maatregelen te controleren en te toetsen. Die controle kan verricht worden door een onafhankelijke derde. Op verzoek van Verantwoordelijke biedt Verwerker Verantwoordelijke hiertoe in elk geval eens per jaar de gelegenheid op een door Partijen in onderling overleg te bepalen tijdstip of, indien Verantwoordelijke dit nodig acht, naar aanleiding van (vermoede) gegevens- of privacy-incidenten. Verwerker dient alle instructies van Verantwoordelijke naar aanleiding van die controle om het beveiligingsbeleid te wijzigen, op te volgen.
6.4 Verwerker verleent zijn medewerking aan Verantwoordelijke en stelt alle informatie waarom Verantwoordelijke verzoekt op eigen kosten aan Verantwoordelijke ter beschikking om aan te tonen dat Verwerker de in deze Gegevensverwerkersovereenkomst opgenomen verplichtingen nakomt, met name voor wat betreft de in Artikel 6.3. genoemde inspectie.
6.5 De kosten van de controle zijn voor rekening van Verantwoordelijke, tenzij uit de controle blijkt dat Verwerker de Gegevensverwerkingsovereenkomst niet naleeft. In dat geval zijn de kosten van de controle voor rekening van Xxxxxxxxx.
6.6 Partijen erkennen dat beveiligingsvereisten continu aan verandering onderhevig zijn en dat effectieve beveiliging frequente evaluatie en regelmatige verbetering van verouderde beveiligingsmaatregelen vereist. Verwerker zal derhalve de maatregelen die op grond van dit artikel 6 zijn doorgevoerd continu evalueren en deze maatregelen aanscherpen, aanvullen of verbeteren om aan zijn verplichtingen op grond van dit artikel 6 te blijven voldoen.
6.7 Verantwoordelijke is gerechtigd Verwerker opdracht te geven aanvullende beveiligingsmaatregelen te treffen. Wanneer een wijziging van de Werkopdracht nodig is voor de uitvoering van die opdracht zullen Partijen te goeder trouw onderhandelen over een wijziging van de Werkopdracht.
Artikel 7 Toezicht, informatieverplichtingen en incidentmanagement
7.1 Verwerker houdt actief toezicht op eventuele niet-naleving van de beveiligingsmaatregelen en rapporteert de resultaten van het toezicht aan Verantwoordelijke in overeenstemming met dit artikel 7 binnen de wettelijk vastgestelde termijnen.
7.2 Zodra een incident betreffende de verwerking van de Persoonsgegevens in verband met beveiligingsmaatregelen plaatsvindt, heeft plaatsgevonden of zou kunnen plaatsvinden, is Verwerker verplicht Verantwoordelijke daarvan te allen tijde onmiddellijk (in ieder geval
binnen 24 uur) in kennis te stellen en alle relevante informatie te verstrekken over de aard van het incident, over het risico dat gegevens onrechtmatig zijn of kunnen worden verwerkt en over de maatregelen die zijn of zullen worden genomen om het incident op te lossen of om de gevolgen/schade zo veel mogelijk te beperken. Xxxxxxxxx geeft tevens aan wie de contactpersoon bij Verwerker is met wie Verantwoordelijke contact kan opnemen naar aanleiding van dit incident. Verwerker neemt alle redelijke maatregelen om de gevolgen te verzachten en om eventuele schade voortvloeiend uit het incident tot een minimum te beperken.
7.3 Verwerker zal te allen tijde zijn medewerking aan Verantwoordelijke verlenen en de instructies van Verantwoordelijke onmiddellijk opvolgen om Verantwoordelijke in staat te stellen het incident grondig te onderzoeken, een juiste respons te formuleren en om geschikte verdere stappen te ondernemen naar aanleiding van het incident.
7.4 Onder de term “incident” wordt in elk geval verstaan:
(a) een klacht of een verzoek (om informatie) van een natuurlijke persoon met betrekking tot de verwerking van de Persoonsgegevens door Verwerker;
(b) een onderzoek naar of inbeslagname van de Persoonsgegevens door overheidsfunctionarissen, of enige aanwijzing dat dit binnenkort zal plaatsvinden;
(c) onbevoegde of onopzettelijke toegang, verwerking, uitwissing, verlies of enige vorm van onrechtmatige verwerking van de Persoonsgegevens;
(d) niet-naleving van de beveiliging en/of geheimhouding zoals uiteengezet in Artikel 32 AVG of Artikel 5 en 6 van deze Gegevensverwerkersovereenkomst, die leidt tot het verlies of enige vorm van onrechtmatige verwerking, met inbegrip van onopzettelijke of onrechtmatige vernietiging, verlies, wijziging, onbevoegde bekendmaking van, of toegang tot, de Persoonsgegevens, of enige aanwijzing dat zo'n niet-naleving heeft plaatsgevonden of binnenkort zal plaatsvinden.
7.5 In geval van een incident zoals bedoeld in Artikel 7.4(d) stelt Verwerker Verantwoordelijke daarvan binnen 24 uur na ontdekking van het incident in kennis. In die kennisgeving wordt vermeld:
(i) de aard van het incident;
(ii) de datum en het tijdstip waarop het incident heeft plaatsgevonden en werd ontdekt;
(iii) de (aantallen) betrokkenen die nadelige gevolgen hebben ervaren van het incident;
(iv) welke categorieën Persoonsgegevens bij het incident waren betrokken; en
(v) of, en zo ja welke, beveiligingsmaatregelen - zoals encryptie - zijn genomen om de Persoonsgegevens onbegrijpelijk of ontoegankelijk te maken voor personen die niet bevoegd zijn toegang tot deze gegevens te verkrijgen. Alleen Verantwoordelijke mag openbare autoriteiten daarvan in kennis stellen.
7.6 Verwerker dient te allen tijde te beschikken over schriftelijke procedures waarmee hij onmiddellijk jegens Verantwoordelijke kan reageren op een incident en effectief zijn medewerking kan verlenen aan Verantwoordelijke bij de aanpak van het incident, en Verantwoordelijke op diens verzoek een kopie van die procedures te verstrekken.
7.7 Alle kennisgevingen die krachtens dit artikel 7 plaatsvinden moeten worden gericht aan de medewerker van Verantwoordelijke die in Bijlage 2 bij deze Gegevensverwerkingsovereenkomst is genoemd of, indien van belang, aan een andere door Verantwoordelijke tijdens de looptijd van deze Gegevensverwerkersovereenkomst schriftelijk aangewezen medewerker van Verantwoordelijke.
7.8 Indien dit nodig is op grond van toepasselijk recht informeert Verantwoordelijke de betrokkenen, toezichthoudende autoriteiten en andere derden over de incidenten. Het is Verwerker niet toegestaan om informatie over incidenten aan betrokkenen of andere derden te verstrekken, behalve wanneer Verwerker hiertoe wettelijk verplicht is.
Artikel 8 Gebruik van Onderaannemers
8.1 Het is Verwerker zonder de voorafgaande schriftelijke toestemming van Verantwoordelijke niet toegestaan zijn activiteiten zoals beschreven in de Werkopdracht aan een derde (subverwerker) uit te besteden.
8.2 Verwerker zal dezelfde, of strengere, verplichtingen aan de door hem ingeschakelde subverwerker opleggen als die voor hemzelf voortvloeien uit deze
Gegevensverwerkersovereenkomst en de wet, en toezicht houden op naleving daarvan door die derde.
8.3 Niettegenstaande de toestemming van Verantwoordelijke voor de inschakeling van een derde, blijft Verwerker volledig aansprakelijk jegens Verantwoordelijke voor de gevolgen van uitbesteding van de activiteiten aan een subverwerker. De toestemming van Verantwoordelijke voor het uitbesteden van activiteiten aan een subverwerker heeft geen invloed op de vereiste van toestemming in overeenstemming met Artikel 4.1 van deze Gegevensverwerkersovereenkomst voor de inzet van subverwerkers in een land buiten de Europese Economische Ruimte zonder passend beschermingsniveau.
Artikel 9 Aansprakelijkheid en vrijwaring
9.1 Verwerker vrijwaart Verantwoordelijke en stelt Verantwoordelijke schadeloos tegen alle claims, acties, vorderingen van derden en verliezen, schade of kosten die door Verantwoordelijke zijn gemaakt of geleden en die direct of indirect voortvloeien uit of zich voordoen in verband met niet-nakoming door Verwerker of subverwerker van de in deze Gegevensverwerkingsovereenkomst opgenomen verplichtingen en/of enige overtreding door Verwerker of subverwerker van toepasselijke wetgeving op het gebied van verwerking van persoonsgegevens in verband met de in Artikel 2 genoemde Bijlage 1, waaronder in elk geval de AVG.
Artikel 10 Duur en beëindiging
10.1 Deze Verwerkersovereenkomst treedt in werking gelijktijdig met en wordt aangegaan voor de duur van de hoofdovereenkomst. Deze Verwerkersovereenkomst zal automatisch eindigen op de datum dat de hoofdovereenkomst eindigt, zonder dat daar een afzonderlijke kennisgeving voor vereist is. Bepalingen die gezien hun aard en strekking bedoeld zijn om voort te duren na beëindiging van deze Verwerkersovereenkomst zullen ook na beëindiging voortduren.1
10.2 Direct na beëindiging van deze Verwerkersovereenkomst zal de Verwerker onverwijld naar keuze van de Verantwoordelijke de Persoonsgegevens wissen of aan de Verantwoordelijke of aan een door de Verantwoordelijke aangegeven derde bezorgen in een door de Verantwoordelijke vastgesteld format en bestaande kopieën van de Persoonsgegevens en/of andere informatiedragers die Persoonsgegevens bevatten en/of daarop betrekking hebben vernietigen, tenzij de Verwerker een wettelijke verplichting heeft om de Persoonsgegevens te behouden.2
10.3 Beëindiging of afloop van deze Gegevensverwerkingsovereenkomst ontslaat Gegevensverwerker niet van zijn verplichtingen waarvan het de bedoeling is dat zij ook na beëindiging of afloop van de Gegevensverwerkingsovereenkomst blijven gelden, waaronder de verplichtingen die zijn afgeleid uit artikel 5, 6, 9 en 11 van deze Gegevensverwerkingsovereenkomst.
Artikel 11 Bewaartermijnen, retournering en vernietiging van Persoonsgegevens
11.1 Het is Verwerker niet toegestaan de Persoonsgegevens langer te bewaren dan strikt noodzakelijk is en in elk geval niet langer dan tot het einde van deze Gegevensverwerkersovereenkomst of, indien een bewaartermijn is overeengekomen door Partijen, niet langer dan die termijn.
11.2 Bij beëindiging van deze Gegevensverwerkersovereenkomst, of indien van toepassing aan het einde van de afgesproken bewaartermijnen, of op schriftelijk verzoek van Verantwoordelijke zal Verwerker de Persoonsgegevens onmiddellijk vernietigen of ze aan Verantwoordelijke retourneren, naar keuze van Verantwoordelijke. Op verzoek van Verantwoordelijke zal Verwerker bewijs verstrekken van het feit dat de gegevens zijn vernietigd of verwijderd. Indien retournering, vernietiging of verwijdering niet mogelijk is, stelt Verwerker Verantwoordelijke daarvan onmiddellijk in kennis. In dat geval garandeert Verwerker dat hij de Persoonsgegevens vertrouwelijk zal behandelen en niet langer zal verwerken.
1 Artikel 28 lid 3 AVG
2 Artikel 28 lid 3 sub g) AVG
11.3 Aan het einde van de Gegevensverwerkersovereenkomst stelt Xxxxxxxxx alle derden die bij de verwerking van de Persoonsgegevens betrokken zijn in kennis van de beëindiging van de Gegevensverwerkersovereenkomst en garandeert hij dat alle betrokken derden de Persoonsgegevens zullen vernietigen of ze aan Verantwoordelijke zullen overdragen, naar keuze van Verantwoordelijke.
Artikel 12 Bescheiden
12.1 Verwerker houdt een nauwkeurig, actueel schriftelijk logboek bij van alle verwerking van Persoonsgegevens die hij ten behoeve van Verantwoordelijke heeft verricht. Het schriftelijk logboek dient onder meer de volgende informatie te bevatten:
(i) de categorieën ontvangers aan wie de Persoonsgegevens zijn of zullen worden bekendgemaakt;
(ii) voor zover er sprake is van doorgifte van Persoonsgegevens aan een derde buiten de Europese Economische Ruimte, een lijst van die doorgiften (waaronder de naam van het land en de organisatie in kwestie buiten de Europese Economische Ruimte) en documentatie van de passende waarborgen die voor die doorgiften zijn ingevoerd; en
(iii) een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen waarnaar in deze Gegevensverwerkersovereenkomst wordt verwezen. Verwerker zal Verantwoordelijke op diens verzoek een kopie van het logboek verstrekken.
Artikel 13 Slotbepalingen
13.1 In het geval van strijdigheid tussen het bepaalde in deze Gegevensverwerkersovereenkomst en het bepaalde in de Werkopdracht prevaleert het bepaalde in de Gegevensverwerkersovereenkomst.
13.2 Op deze Gegevensverwerkersovereenkomst is Nederlands recht van toepassing. Eventuele geschillen die voortvloeien uit of in verband met deze Gegevensverwerkersovereenkomst zullen uitsluitend worden voorgelegd aan de bevoegde rechtbank te Amsterdam.
Wolters Kluwer Nederland B.V. <Naam verwerker>
Bijlage 1
Betrokkenen, aard persoonsgegevens, doeleinden en beschrijving van verwerkingsactiviteit(en)
[Wat zijn dit voor gegevens, klantgegevens? werknemers gegevens? of gegevens? Graag deze
benoemen.]
[Aard van de gegevens: is dit naam? email? N.a.w. gegevens?]
[Doeleinden: reden van de uitvoering van de overeenkomst?] [Wat wordt er met de info gedaan?] [Doorgave van persoonsgegevens naar derde landen? Op basis van welk beveiligingsmechanisme?]
Bijlage 2
Contactgegevens Wolters Kluwer Nederland
Naam | Functie | Tel nummer | E mail |
Xxxxx Xxxxxxxx | Strategic Buyer | 06 3032 9675 | |
[Interne klant] |
Bijlage 3
Beveiligingsmaatregelen
[Opgave leverancier]