VERWERKERKSOVEREENKOMST
VERWERKERKSOVEREENKOMST
inzake de geheimhouding en Verwerking van Persoonsgegevens DE ONDERGETEKENDEN
Bedrijfsnaam Verwerkingsverantwoordelijke ,
statutair gevestigd te ,
in deze vertegenwoordigd door ,
in zijn hoedanigheid van Promotional Webshop (Magento) gebruiker ; Hierna te noemen: “Verwerkingsverantwoordelijke“ (in de zin van de Wbp en AVG)
En
Bedrijfsnaam Verwerker Promidata B.V. ,
Promidata B.V., statutair gevestigd te Kerkrade , in deze vertegenwoordigd door Xxx Xxxxxxxxxx , in zijn hoedanigheid van leverancier van Promotional Webshop (Magento) ; Hierna te noemen: “Verwerker“ (in de zin van de Wbp en AVG)
Hierna gezamenlijk te noemen de “Partijen” en afzonderlijk “Partij”,
OVERWEGENDE DAT:
(a) Verwerker Diensten verricht ten behoeve van Verwerkingsverantwoordelijke, zoals beschreven in het MasterContract.
(b) De Diensten met zich meebrengen dat Persoonsgegevens worden verwerkt, waarvoor Verwerkingsverantwoordelijke verantwoordelijke is in de zin van de Wet bescherming Persoonsgegevens (hierna: Wbp) en de Algemene Verordening Gegevensbescherming (AVG).
(c) Verwerker de betreffende Persoonsgegevens louter in opdracht van Verwerkingsverantwoordelijke verwerkt en niet voor eigen doeleinden. Verwerker is in dat kader aan te merken als verwerker in de zin van de Wbp.
(d) Per 25 mei 2018 van toepassing zal zijn Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 (Algemene Verordening Gegevensbescherming).
(e) Partijen middels deze Verwerkersovereenkomst de afspraken met betrekking tot de Verwerking van Persoonsgegevens in het kader van de Diensten wensen vast te leggen.
(f) Deze Verwerkersovereenkomst, indien van toepassing, alle eerdere overeenkomst(en) van gelijke strekking tussen Partijen vervangt.
Promidata B.V.
Bezoekadres: Xxxxxxxxxxx 00, 0000 XX Xxxxxxxx
Telefoon: 045-204 5040 40 E-mail: xxxx@xxxxxxxxx.xxx Website: xxx.xxxxxxxxx.xxx
KvK: 53178904
KOMEN HET VOLGENDE OVEREEN:
Artikel 1. Definities
(a) Betrokkene is degene op wie een Persoonsgegeven betrekking heeft.
(b) Verwerkersovereenkomst is de onderhavige overeenkomst.
(c) Bijzondere gegevens zijn Persoonsgegevens als bedoeld in artikel 16 van de Wbp en artikel 9 van de AVG.
(d) Datalek is een inbreuk op de beveiliging als bedoeld in artikel 13 jo. Artikel 34a van de Wbp.
(e) Dienst is de onder de Hoofdovereenkomst(MasterContract) te leveren Dienst van Verwerker.
(f) Gebruiker is een op enigerlei wijze aan Verwerkingsverantwoordelijke verbonden (natuurlijke) persoon, zoals personeel, die door de Verwerkingsverantwoordelijke geautoriseerd is tot (een bepaald deel) van de Dienst.
(g) Hulpleverancier is een Partij die door de Verwerker is ingeschakeld om te ondersteunen bij het uitvoeren van de Dienst. Indien een Hulpleverancier in opdracht van Verwerker Persoonsgegevens verwerkt, is deze Hulpleverancier tevens aan te merken als Subverwerker.
(h) Persoonsgegeven is elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon, die op welke wijze dan ook door Verwerker verwerkt wordt of zal worden in het kader van de Hoofdovereenkomst.
(i) Subverwerker is een Hulpleverancier die in opdracht van Verwerker Persoonsgegevens verwerkt.
(j) Verwerking is elke handeling of elk geheel van handelingen met betrekking tot Persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding, of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens.
Artikel 2. Onderwerp van de Verwerkersovereenkomst
2.1 Verwerker verwerkt in opdracht van de Verwerkingsverantwoordelijke gedurende de looptijd van de in artikel 1 van deze Verwerkersovereenkomst genoemde Hoofdovereenkomst ten behoeve van Verwerkingsverantwoordelijke en ter voldoening aan enige wettelijke verplichting Persoonsgegevens. Een overzicht van de categorieën Persoonsgegevens en de doeleinden waarvoor de Persoonsgegevens ten behoeve van Verwerkingsverantwoordelijke worden verwerkt is opgenomen in Annex 1 bij deze Verwerkersovereenkomst.
2.2 Verwerker garandeert dat al haar personeel, op enigerlei wijze betrokken bij de Verwerking van Persoonsgegevens, zich houdt aan de voorschriften van de Wbp en AVG aan hetgeen verder uit deze Verwerkersovereenkomst voortvloeit.
Artikel 3. Uitvoering Verwerking
3.1 Verwerker garandeert dat hij ten behoeve van Verwerkingsverantwoordelijke uitsluitend Persoonsgegevens zal verwerken voor zover dit noodzakelijk is voor de levering van de Prestaties onder de in artikel 1 van deze Verwerkersovereenkomst genoemde Hoofdovereenkomst. Overige Verwerkingen zullen uitsluitend worden uitgevoerd in expliciete opdracht van Verwerkingsverantwoordelijke of als daartoe een wettelijke verplichting bestaat na informeren van Verwerkingsverantwoordelijke. In geen geval zal Verwerker Persoonsgegevens verwerken voor eigen doeleinden.
3.2 Verwerker zal alle redelijke instructies van Verwerkingsverantwoordelijke in verband met de Verwerking van de Persoonsgegevens opvolgen. Verwerker stelt Verwerkingsverantwoordelijke onmiddellijk op de hoogte indien naar zijn oordeel instructies in strijd zijn met de toepasselijke wetgeving met betrekking tot de Verwerking van Persoonsgegevens.
3.3 Verwerker zal de Persoonsgegevens aantoonbaar, op behoorlijke en zorgvuldige wijze en in overeenstemming met de op hem als Verwerker op grond van de Wbp en AVG en overige wetgeving rustende verplichtingen verwerken. Partijen sluiten de Hoofdovereenkomst om de expertise die Verwerker heeft als het gaat om het beveiligen en het verwerken van Persoonsgegevens te gebruiken voor de doeleinden die uiteengezet zijn in Annex 1 bij deze Verwerkersovereenkomst. Verwerker is gehouden om, met inachtneming van hetgeen in deze Verwerkersovereenkomst is bepaald, die doeleinden en de bescherming van de Persoonsgegevens met maximale zorg na te streven.
3.4 Het is Verwerker toegestaan om Hulpleveranciers in te schakelen om aan de opdracht te voldoen met dien verstande dat dit geen Hulpleveranciers zullen zijn die gevestigd zijn buiten de Europese Unie. In het geval dat Verwerker een leverancier inschakelt dient deze sub- Verwerkersovereenkomst(en) te sluiten met deze Hulpleverancier(s) en zal zij deze op eerste verzoek van Verwerkingsverantwoordelijke aan Verwerkingsverantwoordelijke ter hand stellen. Verwerker zal dezelfde of strengere verplichtingen opleggen aan de sub-verwerker die uit deze Verwerkersovereenkomst of uit de wet voortvloeien en ziet toe op de naleving hiervan.
3.5 Het staat Verwerker vrij om te wisselen van Hulpleverancier. Verwerker draagt de verantwoordelijkheid om een nieuwe Hulpleverancier dezelfde of strengere verplichtingen op te leggen die uit deze Verwerkersovereenkomst of uit de wet voortvloeien en ziet toe op de naleving hiervan. Verwerker zal Verwerkingsverantwoordelijke tijdig informeren over een eventuele wisseling. Verwerkingsverantwoordelijke kan een overstap naar een andere Hulppleverancier niet blokkeren. Als Verwerkingsverantwoordelijke van mening is dat hij of door de wisseling niet meer aan de wettelijke verplichtingen kan voldoen zullen Verwerker en Verwerkingsverantwoordelijke in overleg treden over een alternatieve (maatwerk) oplossing.
3.6 Verwerker garandeert dat hij alle Persoonsgegevens als strikt vertrouwelijk zal behandelen en dat hij al zijn werknemers, vertegenwoordigers en/of Hulpleveranciers die betrokken zijn bij de Verwerking van de Persoonsgegevens van de vertrouwelijke aard van dergelijke (Persoons)gegevens op de hoogte zal stellen. Verwerker zal waarborgen dat betrokken personen en Partijen een geheimhoudingsovereenkomst hebben getekend en zal Verwerkingsverantwoordelijke op verzoek inzage geven in deze geheimhoudingsovereenkomst. Het is Verwerker niet toegestaan de Persoonsgegevens aan enige derde te tonen, te verstrekken of anderszins ter beschikking te stellen, tenzij dit noodzakelijk of toegestaan is ingevolge de opdracht beschreven in de Hoofdovereenkomst of in het geval hiervoor expliciete voorafgaande schriftelijke toestemming van Verwerkingsverantwoordelijke is verkregen.
3.7 Verwerker zal zijn volledige en tijdige medewerking verlenen aan Verwerkingsverantwoordelijke om (i) na goedkeuring van en in opdracht van Verwerkingsverantwoordelijke Betrokkenen toegang te laten krijgen tot de hun betreffende Persoonsgegevens, (ii) Persoonsgegevens te verwijderen of te corrigeren, (iii) aan te tonen dat Persoonsgegevens verwijderd of gecorrigeerd zijn indien zij incorrect zijn (of, ingeval Verwerkingsverantwoordelijke het er niet mee eens is dat Persoonsgegevens incorrect zijn, het feit vast te leggen dat de Betrokkene zijn Persoonsgegevens als incorrect beschouwt) en (iv) Verwerkingsverantwoordelijke anderszins in de gelegenheid te stellen om aan zijn verplichtingen onder de Wbp en AVG of andere toepasselijke wetgeving op het gebied van Verwerking van Persoonsgegevens te voldoen.
3.8 Verwerker zal de Persoonsgegevens van Verwerkingsverantwoordelijke logisch gescheiden verwerken van de Persoonsgegevens die hij voor zichzelf of namens derde Partijen verwerkt.
Artikel 4. Persoonsgegevens
4.1 Verwerker zal passende technische en organisatorische maatregelen nemen om Persoonsgegevens te beveiligen tegen verlies, onbevoegde kennisname, verminking of enige vorm van onrechtmatige Verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau
gelet op de risico’s die de Verwerking en de aard van te beschermen gegevens met zich meebrengen conform artikel 13 van de Wbp en artikel 32 van de AVG. In deze beveiligingsmaatregelen zijn de mogelijk in de Hoofdovereenkomst reeds bepaalde maatregelen begrepen. De maatregelen omvatten in ieder geval:
(a) maatregelen om te waarborgen dat enkel bevoegd personeel toegang heeft tot de Persoonsgegevens voor de doeleinden die zijn uiteengezet in Annex 1;
(b) maatregelen waarbij de Verwerker zijn medewerkers en eventuele Hulpleveranciers uitsluitend toegang geeft tot Persoonsgegevens via op naam gestelde accounts, waarbij het gebruik van die accounts adequaat gelogd wordt en waarbij de betreffende accounts alleen toegang geven tot die Persoonsgegevens waartoe de toegang voor de betreffende persoon noodzakelijk is;
(c) maatregelen om de Persoonsgegevens te beschermen tegen onopzettelijke of onrechtmatige vernietiging, onopzettelijk verlies of wijziging, onbevoegde of onrechtmatige opslag Verwerking, toegang of openbaarmaking;
(d) maatregelen om zwakke plekken te identificeren ten aanzien van de Verwerking van Persoonsgegevens in de systemen die worden ingezet voor het verlenen van Diensten aan Verwerkingsverantwoordelijke;
4.2 Verwerker werkt in overeenstemming met ISO27001 en heeft een passend, geschreven beveiligingsbeleid geïmplementeerd voor de Verwerking van Persoonsgegevens, waarin in ieder geval de in lid 1 van dit artikel 4 genoemde maatregelen uiteen zijn gezet.
4.3 Verwerkingsverantwoordelijke heeft het recht toe te (laten) zien op de naleving van de hiervoor onder 4.1 t/m 4.4 genoemde maatregelen. Verwerker stelt Verwerkingsverantwoordelijke, indien Verwerkingsverantwoordelijke daarom verzoekt, hiertoe in elk geval eenmaal per jaar in de gelegenheid op een door Partijen in gezamenlijk overleg nader te bepalen tijdstip en verder indien Verwerkingsverantwoordelijke daar aanleiding toe ziet naar aanleiding van (vermoeden van) informatie- of privacy-incidenten, zulks te (laten) controleren. Verwerker zal eventuele door Verwerkingsverantwoordelijke naar aanleiding van een dergelijke controle in redelijkheid gegeven instructies tot aanpassing van het beveiligingsbeleid binnen een redelijke termijn opvolgen.
4.4 Verwerkingsverantwoordelijke is zich bewust van de zelfstandige controlebevoegdheden van de Autoriteit Persoonsgegevens en zal deze toezichthouders toegang verstrekken en medewerking verlenen aan een onderzoek met betrekking tot de op grond van deze Verwerkersovereenkomst verwerkte Persoonsgegevens.
4.5 Verwerker zal in alle redelijkheid haar medewerking verlenen aan het onder 4.5 en 4.6 bedoelde onderzoek. Eventuele kosten die Verwerker moet maken om aan een dergelijk verzoek te voldoen, mogen door Verwerker aan Verwerkingsverantwoordelijke in rekening worden gebracht.
4.6 Partijen erkennen dat beveiligingseisen voortdurend veranderen en dat een effectieve beveiliging frequente evaluatie en regelmatige verbetering van verouderde beveiligingsmaatregelen vereist. Verwerker zal daarom de maatregelen zoals geïmplementeerd op basis van dit artikel 4 periodiek evalueren, verscherpen, aanvullen of verbeteren om te blijven voldoen aan de verplichtingen onder dit artikel 4.
Artikel 5. Informatie-uitwisseling en incidentenmanagement
5.1 Partijen zullen elkaar informeren over feiten waarvan zij redelijkerwijze kunnen verwachten dat deze invloed hebben op de Verwerking van Persoonsgegevens waar deze Verwerkersovereenkomst op ziet.
5.2 Verwerker zal actief monitoren op inbreuken op beveiligingsmaatregelen en over de resultaten van de monitoring rapporteren aan Verwerkingsverantwoordelijke in overeenstemming met dit artikel.
5.3 Verwerker zal Verwerkingsverantwoordelijke onverwijld op de hoogte stellen van ieder incident met betrekking tot de Verwerking van de Persoonsgegevens wat zich voordoet, heeft voorgedaan of zou kunnen voordoen. Verwerker verstrekt daarbij alle relevante informatie omtrent (1) de aard van het incident, (2) de (mogelijk) getroffen Persoonsgegevens, (3) de geconstateerde en de vermoedelijke gevolgen van het incident, en (4) de maatregelen die getroffen zijn of zullen worden om het incident op te lossen dan wel de gevolgen/schade zoveel mogelijk te beperken.
5.4 Verwerker is verplicht om maatregelen te treffen die redelijkerwijs van hem kunnen worden verwacht om het incident zo snel mogelijk te herstellen dan wel de verdere gevolgen zoveel mogelijk te beperken. Verwerker treedt onverwijld in overleg met Verwerkingsverantwoordelijke teneinde hierover nadere afspraken te maken.
5.5 Verwerker zal Verwerkingsverantwoordelijke te allen tijde haar medewerking verlenen en zal de instructies van Verwerkingsverantwoordelijke opvolgen, met als doel Verwerkingsverantwoordelijke in staat te stellen een deugdelijk onderzoek te verrichten naar het incident, een correcte respons te formuleren en passende vervolgstappen te nemen ten aanzien van het incident, waaronder begrepen het informeren van de Autoriteit Persoonsgegevens en/of de Betrokkenen.
5.6 Onder ‘incident’ wordt in elk geval het volgende verstaan:
(a) een klacht of (informatie) verzoek van een natuurlijk persoon met betrekking tot de Verwerking van Persoonsgegevens door Verwerker;
(b) een onderzoek naar of beslaglegging door overheidsfunctionarissen op de Persoonsgegevens of een vermoeden dat dit gaat plaatsvinden;
(c) iedere ongeautoriseerde toegang, Verwerking, verwijdering, verminking, verlies of enige vorm van onrechtmatige Verwerking van de Persoonsgegevens;
(d) een inbreuk op de beveiliging en/of de vertrouwelijkheid, zoals uiteengezet in artikel 4. van de Verwerkersovereenkomst, en/of ieder ander incident dat leidt (of mogelijk leidt) tot onrechtmatige vernietiging, verlies, wijziging, onbevoegde openbaarmaking van, of onbevoegde toegang tot, de Persoonsgegevens. Of enige aanwijzing dat een dergelijke inbreuk zal plaatsvinden of heeft plaatsgevonden.
5.7 Verwerker zal te allen tijde procedures voorhanden hebben die haar in staat stellen om Verwerkingsverantwoordelijke van een onmiddellijke reactie over een incident te voorzien en om effectief samen te werken met Verwerkingsverantwoordelijke om het incident af te handelen. Verwerker zal Verwerkingsverantwoordelijke voorzien van een exemplaar van dergelijke procedures wanneer Verwerkingsverantwoordelijke daarom verzoekt.
5.8 Meldingen die worden gedaan door Verwerker op grond van dit artikel worden gericht aan de in Annex 2 opgenomen werknemer van Verwerkingsverantwoordelijke, of indien relevant, aan een andere door Verwerkingsverantwoordelijke schriftelijk bekendgemaakte werknemer van Verwerkingsverantwoordelijke.
5.9 Verwerkingsverantwoordelijke zal, indien naar haar oordeel noodzakelijk, Betrokkenen en andere derden waaronder de Autoriteit Persoonsgegevens informeren over incidenten. Het is Verwerker niet toegestaan informatie te verstrekken over incidenten aan Xxxxxxxxxxx of andere derde Partijen, tenzij Verwerkingsverantwoordelijke hier schriftelijk opdracht toe geeft of Verwerker hiertoe wettelijk verplicht is.
Artikel 6. Gebruik Hulpleveranciers
6.1 Verwerker zal aan (de) eventueel door hem ingeschakelde derde(n) dezelfde of strengere verplichtingen opleggen als voor hemzelf uit deze Verwerkersovereenkomst en de wet voortvloeien en ziet toe op de naleving daarvan door (de) derde(n). De betreffende afspraken met (de) derde(n) zullen schriftelijk worden vastgelegd. Verwerker zal Verwerkingsverantwoordelijke op verzoek afschrift verstrekken van deze overeenkomst(en).
6.2 Verwerker blijft volledig aansprakelijk jegens Verwerkingsverantwoordelijke voor de gevolgen van het uitbesteden van werkzaamheden aan een derde.
6.3 Voor de inzet van derden in een land buiten de Europese Economische Ruimte zonder een passend beschermingsniveau is altijd expliciet toestemming vereist van Verwerkingsverantwoordelijke.
Artikel 7. Aansprakelijkheid
7.1 Partijen zijn ieder verantwoordelijk en aansprakelijk voor hun eigen handelen. De in dit artikel geregelde aansprakelijkheid heeft uitsluitend betrekking op boetes en schade ten gevolge van verwijtbare tekortkoming in het naleven van de Verwerkersovereenkomst.
7.2 Verwerker vrijwaart de Verwerkingsverantwoordelijke en stelt de Verwerkingsverantwoordelijke schadeloos voor claims, acties, aanspraken van derden en voor verliezen, schade of kosten, waaronder boetes en dwangsommen van de Autoriteit Persoonsgegevens die Verwerkingsverantwoordelijke maakt of lijdt en die rechtstreeks of indirect voortvloeien uit of tot stand komen in verband met een verwijtbare tekortkoming door Verwerker en/of diens hulpleveranciers in de nakoming van zijn verplichtingen onder deze Verwerkersovereenkomst en/of enige schending door Xxxxxxxxx en/of diens Hulpleveranciers van de van toepassing zijnde wetgeving op het gebied van Verwerking van Persoonsgegevens in verband met de opdracht genoemd in de Hoofdovereenkomst, waaronder in elk geval begrepen de Wbp, AVG en -indien van toepassing- Wgbo.
7.3 De totale aansprakelijkheid van Verwerker wegens een toerekenbare tekortkoming in de nakoming van deze Verwerkersovereenkomst is beperkt tot maximaal het jaarbedrag van de tussen Verwerker en Verwerkingsverantwoordelijke gesloten overeenkomst (meetperiode huidig jaar -1) tenzij de verzekering van Verwerker in het betreffende geval een hoger bedrag uitkeerd. In dat geval is de aansprakelijkheid beperkt tot het bedrag dat door de de verzekering van Verwerker wordt uitgekeerd. De aansprakelijkheid van Verwerker voor indirecte schade, gevolgschade, gederfde winst, gemiste besparingen, verminderde goodwill, schade door
bedrijfsstagnatie en schade als gevolg van afnemers van Verwerkingsverantwoordelijke is uitgesloten, tenzij de verzekering van Verwerker in het betreffende geval overgaat tot uitkering. In dat geval is de aansprakelijkheid beperkt tot het bedrag dat door de verzekering van Verwerker wordt uitgekeerd.
7.4 Partijen dragen zorg voor afdoende dekking van de aansprakelijkheid, bijvoorbeeld in de vorm van een Cyber Security verzekering.
Artikel 8. Duur en beëindiging
8.1 Deze Verwerkersovereenkomst gaat in op de datum van ondertekening en de duur van deze Verwerkersovereenkomst is gelijk aan de duur van de genoemde termijn in de Hoofdovereenkomst.
8.2 De Verwerkersovereenkomst maakt na ondertekening ervan door beide Partijen integraal en onlosmakelijk deel uit van de Hoofdovereenkomst. Beëindiging van de Hoofdovereenkomst, op welke grond dan ook (opzegging/ontbinding), heeft tot gevolg dat de Verwerkersovereenkomst eveneens op dezelfde grond beëindigd wordt (en vice versa), tenzij Partijen in voorkomend geval anders overeenkomen.
8.3 Verplichtingen welke naar hun aard bestemd zijn om ook na beëindiging van deze Verwerkersovereenkomst voort te duren, blijven na beëindiging van deze Verwerkersovereenkomst gelden. Tot deze bepalingen behoren onder meer die welke voortvloeien uit de bepalingen betreffende geheimhouding, aansprakelijkheid en toepasselijk recht.
8.4 Ieder der Partijen is gerechtigd, onverminderd hetgeen daartoe bepaald is in de Hoofdovereenkomst, de uitvoering van deze Verwerkersovereenkomst en de daarmee samenhangende Hoofdovereenkomst op te schorten, dan wel zonder rechterlijke tussenkomst met onmiddellijke ingang te ontbinden, indien:
(a) de andere Partij wordt ontbonden of anderszins ophoudt te bestaan;
(b) de andere Partij aantoonbaar tekortschiet in de nakoming van de verplichtingen die voortvloeien uit deze Verwerkersovereenkomst en die ernstige toerekenbare tekortkoming niet binnen 30 dagen is hersteld na een daartoe strekkende schriftelijke ingebrekestelling;
(c) een Partij in staat van faillissement wordt verklaard of surséance van betaling aanvraagt.
8.4 Verwerker informeert ogenblikkelijk Verwerkingsverantwoordelijke indien een faillissement dreigt dan wel surséance van betaling, zodat Verwerkingsverantwoordelijke tijdig kan beslissen de Persoonsgegevens terug te vorderen alvorens faillissement wordt uitgesproken.
8.5 Verwerkingsverantwoordelijke is gerechtigd deze Verwerkersovereenkomst en de Hoofdovereenkomst per direct te ontbinden indien Verwerker te kennen geeft niet (langer) te kunnen voldoen aan de betrouwbaarheidseisen die op grond van ontwikkelingen in de wet en/of de rechtspraak aan de Verwerking van de Persoonsgegevens worden gesteld. Artikel 9.2 is van overeenkomstige toepassing.
Artikel 9. Bewaartermijnen, teruggave en vernietiging van Persoonsgegevens
9.1 Verwerker zal de Persoonsgegevens niet langer bewaren dan nodig is voor de in artikel 3.1 genoemde doelen. De Verwerkingsverantwoordelijke zal waar de Persoonsgegevens niet meer nodig zijn de Verwerkingsverantwoordelijke raadplegen ter zake de voortzetting van het bewaren van die Persoonsgegevens.
9.2 Bij beëindiging van de Verwerkersovereenkomst, of indien van toepassing aan het einde van de overeengekomen bewaartermijnen, of op schriftelijk verzoek van Verwerkingsverantwoordelijke zal Verwerker, tegen de daarvoor op dat moment geldende tarieven die via een offerte kenbaar worden gemaakt, naar keuze van Verwerkingsverantwoordelijke, de Persoonsgegevens onherroepelijk vernietigen of teruggeven aan Verwerkingsverantwoordelijke. Op verzoek van Verwerkingsverantwoordelijke verstrekt Verwerker bewijs van het feit dat de Persoonsgegevens onherroepelijk vernietigd of verwijderd zijn. Eventuele teruggave van de Persoonsgegevens zal in een algemeen gangbaar, gestructureerd gegevensformaat langs elektronische weg plaatsvinden. Indien teruggave, onherroepelijke vernietiging of verwijdering niet mogelijk zijn, stelt Verwerker Verwerkingsverantwoordelijke daarvan onmiddellijk op de hoogte. In dat geval garandeert Verwerker dat hij de Persoonsgegevens vertrouwelijk zal behandelen en niet langer zal verwerken.
9.3 Bij het einde van de Verwerkersovereenkomst zal Verwerker alle Hulpleveranciers die betrokken zijn bij het verwerken van Persoonsgegevens op de hoogte stellen van de beëindiging van de Verwerkersovereenkomst. De verplichtingen uit artikel 9.2 zijn van overeenkomstige toepassing op deze Hulpleveranciers, en Verwerker zal waarborgen dat alle betrokken Hulpleveranciers hieraan uitvoering zullen geven.
Artikel 10. Informeren van Xxxxxxxxxxx
10.1 Verwerkingsverantwoordelijke zal haar volledige medewerking verlenen opdat Verwerker kan voldoen aan alle wettelijke verplichtingen als een Betrokkene zijn rechten uitoefent op grond van de Wbp, AVG of andere toepasselijke regelgeving betreffende de Verwerking van Persoonsgegevens.
10.2 Indien een Betrokkene met betrekking tot de uitvoering van zijn rechten onder de Wbp of AVG direct contact opneemt met Verwerker, dan gaat Verwerker hier - behoudens uitdrukkelijke andersluidende instructie van Verwerkingsverantwoordelijke - in eerste instantie niet (inhoudelijk) op in, maar bericht zij dit onverwijld aan Verwerkingsverantwoordelijke met een verzoek om nadere instructies.
Artikel 11. Slotbepalingen
11.1 In het geval van strijdigheid tussen de bepalingen uit deze Verwerkersovereenkomst en bepalingen uit de genoemde Hoofdovereenkomst zullen de bepalingen van de Verwerkersovereenkomst leidend zijn.
11.2 In geval van nietigheid c.q. vernietigbaarheid van een of meer bepalingen uit deze Verwerkersovereenkomst, blijven de overige bepalingen onverkort van kracht.
11.3 In alle gevallen waarin deze Verwerkersovereenkomst niet voorziet beslissen Partijen in onderling overleg.
Artikel 12. Toepasselijk recht en geschillen
12.1 Op deze Verwerkersovereenkomst is Nederlands recht van toepassing.
12.2 In geval van een geschil, geeft de meest gerede van Partijen aan de andere Partij schriftelijk te kennen, dat er sprake is van een geschil, alsmede een summiere opgave van hetgeen naar het oordeel van die Partij het onderwerp van het geschil is.
12.3 Alle geschillen welke naar aanleiding van of ten gevolge van deze Verwerkersovereenkomst tussen Partijen en hun rechtsopvolgers mochten ontstaan, worden beslecht door de daartoe bevoegde rechter binnen het arrondissement van Verwerkingsverantwoordelijke.
12.4 Het hiervoor bepaalde laat onverlet de verplichting van Partijen zich maximaal in te spannen om geschillen, verband houdende met en/of voortvloeiende uit de uitvoering van de Verwerkersovereenkomst, zoveel mogelijk in onderling overleg op te lossen.
Aldus opgemaakt en ondertekend in tweevoud,
Naam en handtekening verantwoordelijk voor de Verwerkingsverantwoordelijke
Naam: E-mailadres:
Functie: Telefoonnummer:
Ondertekening:
-------------------------------
Naam en handtekening verantwoordelijk voor de Verwerker
Naam: _ Xxx Xxxxxxxxxx E-mailadres: _ xxx@xxxxxxxxx.xxx
Functie: _ Bedrijfsleider Telefoonnummer: _ 06-144 74 122
Ondertekening:
-------------------------------
Annex 1 Persoonsgegevens en bewaartermijnen
Versienummer 1, datum laatste aanpassing: 18-04-2018
Doeleinden
Verwerkingsverantwoordelijke maakt gebruik van de door Verwerker beschikbaargestelde Magento Webshop software (Promotional Webshop). Verwerker is verantwoordelijk voor het up-to-date houden, het beveiligen en hosten van deze online applicatie. Verwerkingsverantwoordelijke is verantwoordelijk voor het invoeren van de persoonsgegevens van en door haar B2B klanten.
Persoonsgegevens
De volgende (categorieën) Persoonsgegevens verwerkt Verwerker namens Verwerkingsverantwoordelijke. Het gaat niet enkel om de Persoonsgegevens die Verwerkingsverantwoordelijke direct aan Verwerker verstrekt, maar ook om persoonsgegevens van Gebruiker t.b.v. het gebruik van de applicatie.
Normale persoonsgegevens:
Gegeven | Van toepassing |
Nationaliteit | Ja |
Geslacht | Ja |
Geboortedatum en/of leeftijd | Xxx |
Naam | Ja |
Adres | Ja |
Woonplaats | Ja |
E-mailadres(sen) of andere adressen voor elektronische communicatie | Ja |
Telefoonnummer(s) | Xx |
Personeelsnummer | Nee |
KVK-nummer | Nee |
IP-adres(sen) | Nee |
(Andere) toegangs- of identificatiegegevens | Ja |
Kenteken | Nee |
Paspoort(kopieën) of kopieën van andere legitimatiebewijzen | Nee |
Bankrekeningnummer(s) | Nee |
Overige financiële gegevens | Ja |
IQ | Nee |
Audio- of video opname | Nee |
Bijzondere persoonsgegevens:
Gegeven | Van toepassing |
Ras | Nee |
Godsdienst of levensovertuiging | Nee |
Politieke voorkeur | Nee |
Seksuele leven | Nee |
Lidmaatschap vakvereniging(en) | Nee |
Strafrechtelijke persoonsgegevens | Nee |
Opgelegd verbod n.a.v. hinderlijk gedrag | Nee |
(Medische) gegegevens over de gezondheid | Nee |
Genetische gegevens (DNA) | Nee |
Biometrische gegevens t.b.v. identificatie | Nee |
Burgerservicenummer (BSN) | Nee |
(Pas)foto('s) (gezichtsherkenning) | Nee |
Bewaartermijnen
Persoonsgegevens worden door de Verwerker niet langer bewaard dan noodzakelijk is voor de uitvoering van deze Overeenkomst of om een op hem rustende wettelijke verplichting na te komen. Voor Persoonsgegevens die worden verwerkt ten behoeve van de juiste werking van de Dienst (logging, back-up voorzieningen etc.) gelden de volgende bewaartermijnen:
Bewaartermijn: Maximaal 1 maand na het ontbinden van deze Overeenkomst
Annex 2 Hulpleveranciers en contactgegevens
Versienummer 1, datum laatste aanpassing: 18-04-2018
Hulpleveranciers
Verwerker zet de onderstaande Hulpleverancier(s) in bij de uitvoering van de dienst. Daarnaast gelden de afspraken voor de inzet van Hulpleveranciers die zijn beschreven in artikel 3 lid 5 van deze Verwerkersovereenkomst.
Naam organisatie: hostNET Medien GmbH Korte omschrijving van de dienstverlening: Hosting
Mate van verwerking van Persoonsgegevens: Hosting Plaats/Land van verwerking: Duitsland
Naam organisatie: Milkycode GmbH
Korte omschrijving van de dienstverlening: Technische realisatie functionaliteiten Magento Mate van verwerking van Persoonsgegevens: Kan zich toegang verschaffen tot
Plaats/Land van verwerking: Duitsland
Onze klanten, de gebruikers van Promotional Webshop, oftewel de Verwerkingsverantwoordelijken, kunnen zelf op eigen titel ook Hulpleverancier(s) voor hun webshops inschakelen, zoals bijvoorbeeld Gateway3D, Mollie en/of Kiyoh. Als zij beslissen deze Hulpleverancier(s) in te schakelen dan zullen zij zelf ook een Verwerkersovereenkomst met deze partijen moeten afsluiten.
Daarnaast dienen zij in hun Privacybeleid op hun Webshop o.a. de volgende teksten op te nemen:
Payment processors
Mollie
Voor het afhandelen van een (deel van) de betalingen in onze webwinkel maken wij gebruik van het platform van Mollie. Mollie verwerkt uw naam, adres en woonplaatsgegevens en uw betaalgegevens zoals uw bankrekening- of creditcardnummer. Xxxxxx heeft passende technische en organisatorische maatregelen genomen om uw persoonsgegevens te beschermen. Xxxxxx behoudt zich het recht voor uw gegevens te gebruiken om de dienstverlening verder te verbeteren en in het kader daarvan (geanonimiseerde) gegevens met derden te delen. Alle hierboven genoemde waarborgen met betrekking
tot de bescherming van uw persoonsgegevens zijn eveneens van toepassing op de onderdelen van Xxxxxx’x dienstverlening waarvoor zij derden inschakelen. Xxxxxx bewaart uw gegevens niet langer dan op grond van de wettelijke termijnen is toegestaan.
Beoordelingen
Kiyoh
Wij verzamelen reviews via het platform van Kiyoh. Als u een review achterlaat via Kiyoh dan bent u verplicht om uw naam, woonplaats en e-mailadres op te geven. Kiyoh deelt deze gegevens met ons, zodat wij de review aan uw bestelling kunnen koppelen. Kiyoh publiceert uw naam en woonplaats eveneens op de eigen website. In sommige gevallen kan Kiyoh contact met u opnemen om een toelichting op uw review te geven. In het geval dat wij u uitnodigen om een review achter te laten delen wij uw naam en e- mailadres met Kiyoh. Zij gebruiken deze gegevens enkel met het doel u uit te nodigen om een review achter te laten. Kiyoh heeft passende technische en organisatorische maatregelen genomen om uw persoonsgegevens te beschermen. Kiyoh behoudt zich het recht voor om ten behoeve van het leveren van de dienstverlening derden in te schakelen, hiervoor hebben wij aan Kiyoh toestemming gegeven. Alle hierboven genoemde waarborgen met betrekking tot de bescherming van uw persoonsgegevens zijn eveneens van toepassing op de onderdelen van Xxxxx’x dienstverlening waarvoor zij derden inschakelen. Kiyoh bewaart uw persoonsgegevens zolang u de
Annex 3 Beveiligingsmaatregelen
Versienummer 1, datum laatste aanpassing: 18-04-2018 Promotional Webshop:
Gebruikersauthenticatie is vereist om in te loggen in Promotional Webshop en om gegevens van de server op te vragen. Wachtwoorden binnen Promotional Webshop worden gehasht opgeslagen. Als de klant zijn wachtwoord verliest, kan het door ons niet meer worden teruggehaald. Datzelfde geldt voor de wachtwoorden van de klanten van de Verwerkingsverantwoordelijke. Het wachtwoord moet dan worden gereset. Alle klantendatabases worden op individuele servers gescheiden gehouden om corruptie en overlap tussen klanten te voorkomen. Promotional Webshop kan HTTPS beveiligd worden indien de klant dit wenst, authenticatie is vereist om toegang te krijgen tot Promotional Webshop. Promotional Webshop draait onder het operating systeem Free BSD en gebruikt als database systeem MySQL 5.6. Beide systemen worden regelmatig bijgewerkt met de nieuwste beveiligingspatches. Promotional Webshop wordt beveiligd door de Firewall van onze Datacenter-Hulpleverancier hostNET Medien GmbH.
In-house gegevens worden beveiligd met onze eigen Palo Alto-firewall. Ook deze firewall wordt regelmatig bijgewerkt met de nieuwste beveiligingspatches. Anti-virus signatures worden elke 5 minuten bijgewerkt. Alle Promotional Webshop databases worden dagelijks gebackupt en elke dagelijkse backup wordt 1 week bewaard. Daarnaast wordt elke maand ook een maandelijkse backup gemaakt die vervolgens 1 jaar wordt bewaard.
ProMaS:
ProMaS systeem werkt met een eenvoudig te resetten token die alleen opgehaald kan worden met een username/wachtwoord. Alle data verstuurd naar of van ProMaS is versleuteld met behulp van TLS/SSL. Er is geen verkeer mogelijk over een niet beveiligde verbinding. Wachtwoorden worden gehasht opgeslagen met behulp van een unieke SALT per gebruiker. Naast email, (versleutelde) wachtwoord, persoonsnamen, bedrijfsnamen (ook A-nummers voor leveranciers) worden er geen persoonlijk gegevens opgeslagen (denk hierbij aan adressen, informatie over personen), wel wordt natuurlijk alle benodigde informatie opgeslagen (wie welke leverancier geselecteerd heeft, met welke marge ingesteld, webshop URL etc.)
Om dataverlies tegen te gaan wordt iedere week een backup gemaakt van de database die beveiligd opgeslagen wordt op een Amazon service die alleen bereikbaar is met inloggegevens. Deze backup wordt ook iedere week getest. We bewaren al deze backups 1 maand lang.
Contactgegevens
Bij vragen over de Bijlage, de geleverde Dienst en/of voor het melden van een Datalek door Verwerker aan Verwerkingsverantwoordelijke als bedoeld in artikel 5 kan contact opgenomen worden met:
Naam: Xxx Xxxxxxxxxx
Functie: Bedrijfsleider
E-mailadres: xxx@xxxxxxxxx.xxx
Telefoonnummer: 06-144 74 122