Verwerkersovereenkomst
Verwerkersovereenkomst
Partijen:
Opdrachtgever, hierna te noemen: “Verwerkingsverantwoordelijke”, “U” of “Uw”; en
GetMonkeys NL B.V., gevestigd te Rokin 75, kantoor 4.3 te Amsterdam, hierna te noemen: “Verwerker”, “Wij”, “Ons” of “Onze”;
hierna gezamenlijk aangeduid als “Partijen”, “We” of “Wij Gezamenlijk”
Overwegingen:
A. U bent met ons overeengekomen dat wij bepaalde diensten verlenen (de “Onderliggende opdracht”). Wij Verwerken daarbij de Persoonsgegevens die vermeld staan in de Bijlage die bij deze Verwerkersovereenkomst hoort.
B. Wij zijn - vanwege het uitvoeren van deze Onderliggende opdracht én met betrekking tot de Persoonsgegevens die Wij hierbij zullen Verwerken - aan te merken als “Verwerker” en U als “Verantwoordelijke”. In deze Verwerkersovereenkomst leggen We onze wederzijdse rechten en verplichtingen vast.
Partijen komen het volgende overeen:
1. Definities
In deze Verwerkersovereenkomst wordt een aantal begrippen gebruikt. De betekenis van die begrippen is hieronder verduidelijkt. De genoemde begrippen worden in deze Verwerkersovereenkomst met een hoofdletter geschreven. Veelal wordt in de opsomming hieronder gebruik gemaakt van de omschrijving van het begrip uit de wet- en regelgeving op het gebied van privacy.
Betrokkene: Degene op wie een Persoonsgegeven betrekking heeft.
Sub-verwerker: Een andere verwerker die door de Verwerker wordt ingezet om ten behoeve van de Verwerkingsverantwoordelijke specifieke verwerkingsactiviteiten te verrichten.
Datalek: Een inbreuk op de beveiliging, zoals bedoeld in artikel 4 lid 12 AVG, die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens.
Derden: Anderen dan U en Wij en Onze Medewerkers.
Medewerkers Personen die werkzaam zijn bij U of bij Ons, ofwel in dienstbetrekking dan wel tijdelijk ingehuurd.
Onderliggende opdracht: De opdracht zoals hierboven bedoeld in de overwegingen onder
A.
Verwerkersovereenkomst: Deze verwerkersovereenkomst.
Persoonsgegevens: De persoonsgegevens in de zin van AVG die Verwerker in opdracht en ten behoeve van Verwerkingsverantwoordelijke Verwerkt in het kader van de Onderliggende opdracht, zoals nader aangeduid in Bijlage 1
Verwerken / Verwerking: Een bewerking of een geheel van bewerkingen met betrekking tot
persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.
AVG Algemene Verordening Gegevensbescherming.
2. Toepasselijkheid en looptijd
2.1 Deze Verwerkersovereenkomst is van toepassing op iedere Verwerking die door Ons als Verwerker wordt gedaan op basis van de Onderliggende opdracht (en de daaruit volgende toepasselijke algemene voorwaarden), gegeven door U als Verantwoordelijke.
2.2 Deze Verwerkersovereenkomst treedt in werking op de datum waarop de Onderliggende opdracht van kracht wordt en eindigt op het moment dat wij geen Persoonsgegevens meer onder ons hebben die wij in het kader van de Onderliggende Opdracht voor u Verwerken. Het is niet mogelijk om deze Verwerkersovereenkomst tussentijds op te zeggen.
2.3 Artikel 6 en 7 van deze Verwerkersovereenkomst blijven gelden, ook nadat de Verwerkersovereenkomst (of de Onderliggende opdracht) is geëindigd.
3. Verwerking
3.1 Wij Verwerken de Persoonsgegevens uitsluitend op de manier die Wij met U hebben afgesproken in de Onderliggende opdracht. Dit Verwerken doen Wij niet langer of uitgebreider dan noodzakelijk voor de uitvoering van deze Onderliggende opdracht. De Verwerking vindt plaats volgens Uw schriftelijke instructies, tenzij Wij op grond van de wet- of regelgeving verplicht zijn om anders te handelen (bijvoorbeeld bij het maken van een afweging of een melding van een “ongebruikelijke transactie” moet worden gedaan in het kader van de Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft)).
Indien een instructie, naar onze mening, een inbreuk maakt op de AVG stellen wij U daarvan onmiddellijk in kennis.
3.2 De Verwerking vindt plaats onder Uw verantwoordelijkheid. Wij hebben geen zeggenschap over het doel en de middelen van de Verwerking en nemen geen beslissingen over zaken als het gebruik van Persoonsgegevens, de bewaartermijn van de voor u Verwerkte Persoonsgegevens en het verstrekken van Persoonsgegevens aan Derden. U moet ervoor zorgen dat U het doel en de middelen van de Verwerking van de Persoonsgegevens duidelijk heeft vastgesteld. De zeggenschap over de Persoonsgegevens berust nooit bij Ons. Als Wij een zelfstandige verplichting mochten hebben op basis van wettelijke voorschriften dan leven Wij deze verplichtingen na.
3.3 U bent wettelijk verplicht de vigerende wet- en regelgeving op het gebied van privacy na te leven. In het bijzonder dient u vast te stellen of er sprake is van een rechtmatige grondslag voor het Verwerken van de Persoonsgegevens. Wij zorgen ervoor dat Wij voldoen aan de op ons als Verwerker van toepassing zijnde regelgeving op het gebied van de Verwerking van Persoonsgegevens en de afspraken die We hebben gemaakt in deze Verwerkersovereenkomst.
3.4 Wij zorgen ervoor dat alleen Onze Medewerkers toegang hebben tot de Persoonsgegevens. De uitzondering hierop is opgenomen in artikel 3.5 en 3.6. Wij beperken de toegang tot Medewerkers voor wie de toegang noodzakelijk is voor hun werkzaamheden, waarbij de toegang beperkt is tot Persoonsgegevens die deze Medewerkers nodig hebben voor hun werkzaamheden. Wij zorgen er bovendien voor dat de Medewerkers die toegang hebben tot de Persoonsgegevens een juiste en volledige instructie hebben gekregen over de omgang met Persoonsgegevens en dat zij bekend zijn met de verantwoordelijkheden en wettelijke verplichtingen.
3.5 Verwerker is niet bevoegd om de Persoonsgegevens op enige wijze door Sub-verwerkers te laten Verwerken, anders dan (i) als toegestaan ingevolge deze Verwerkersovereenkomst of de Onderliggende opdracht, of (ii) met de voorafgaande schriftelijke goedkeuring van Verwerkingsverantwoordelijke.
3.6 Niettegenstaande artikel 3.5 geeft Verwerkingsverantwoordelijke haar algemene toestemming dat Verwerker de Sub-verwerkers inschakelt voor de in Bijlage 1 genoemde diensten. In het geval van een beoogde verandering inzake de toevoeging of vervanging van andere Sub-verwerkers waarvoor Verwerkingsverantwoordelijke een algemene toestemming geeft, l icht Verwerker Verwerkingsverantwoordelijke hierover vooraf in, waarbij Verwerkingsverantwoordelijke de mogelijkheid wordt geboden om tegen deze verandering bezwaar te maken. Dit bezwaar moet worden gemaakt binnen 4 weken nadat Verwerkingsverantwoordelijke hierover is geïnformeerd. Het is Verwerkingsverantwoordelijke toegestaan bezwaar te maken op redelijke gronden, waarbij de volgende omstandigheden in ieder geval, doch niet limitatief, geacht worden redelijke gronden te zijn:
a. de beoogde andere Sub-verwerker zal Persoonsgegevens buiten de Europese Economische Ruimte Verwerken, is niet gebonden aan bindende bedrijfsvoorschriften voor verwerkers, niet gecertificeerd op basis van de EU-US Privacy Shield, en is niet bereid akkoord te gaan met standaardbepalingen inzake gegevensbescherming die conform artikel 46 AVG zijn vastgesteld;
b. Verwerkingsverantwoordelijke kan aantonen dat het onwaarschijnlijk is dat de beoogde andere Sub-verwerker zal kunnen voldoen aan de verplichtingen voortvloeiend uit deze Verwerkersovereenkomst; of
c. Verwerkingsverantwoordelijke kan aantonen dat het aannemelijk is dat het inschakelen of de vervanging van de beoogde andere Sub-verwerker een onredelijk risico inhoudt voor de bescherming van Persoonsgegevens.
In het geval Verwerkingsverantwoordelijke tijdig en op redelijke gronden bezwaar maakt tegen het inschakelen of de vervanging van de beoogde andere Sub-verwerker, dan is het Verwerker toegestaan om binnen een redelijke termijn een alternatief te bieden om de relevante dienst voor te zetten. Indien dat alternatief redelijkerwijs niet acceptabel is voor Verwerkingsverantwoordelijke, of indien Verwerker geen alternatief biedt, dan is het Verwerkingsverantwoordelijke toegestaan om die relevante dienst op te zeggen, die niet zonder het inschakelen of de vervanging van de beoogde andere Sub-verwerker kan worden verleend.
3.7 Verwerker is verantwoordelijk en aansprakelijk voor door haar ingeschakelde Sub-verwerkers in de nakoming van diens verplichtingen ten aanzien van de Verwerking van Persoonsgegevens. Verwerker dient in ieder geval die voorwaarden te verbinden aan deze inschakelingen die equivalent zijn aan de voorwaarden onder deze Verwerkersovereenkomst.
3.8 Voor zover mogelijk verlenen Wij U bijstand bij het vervullen van Uw verplichtingen om verzoeken om uitoefening van rechten van Betrokkenen af te handelen. Als Wij (rechtstreeks) verzoeken ontvangen van Xxxxxxxxxx(n) om uitoefening van hun rechten (bijvoorbeeld inzage, wijziging of verwijdering van Persoonsgegevens), dan zenden Wij deze verzoeken door naar U. U handelt deze verzoeken zelf af, waarbij Xxx U natuurlijk behulpzaam kunnen zijn als Wij in het kader van de Onderliggende opdracht toegang hebben tot deze Persoonsgegevens. Hiervoor kunnen wij kosten in rekening brengen indien de ondersteuning verdergaat dan de Onze verplichtingen als Verwerker conform de AVG.
3.9 Wij zullen de Persoonsgegevens alleen Verwerken binnen de Europese Economische Ruimte, tenzij Wij hierover met U andere afspraken hebben gemaakt. Deze afspraken leggen Wij Gezamenlijk schriftelijk vast, of per e-mail. Met ondertekening van deze Verwerkersovereenkomst geeft u toestemming voor de Verwerkingen buiten de EER die in de bij deze Verwerkersovereenkomst horende Bijlage worden genoemd.
3.10 Als Wij een verzoek krijgen om Persoonsgegevens ter beschikking te stellen dan doen Wij dit alleen als het verzoek is gedaan door een daartoe bevoegde instantie. Bovendien beoordelen Wij eerst of Wij van mening zijn dat het verzoek bindend is, of dat Wij op grond van gedrags- en beroepsregels aan het verzoek moeten voldoen. Als er geen strafrechtelijke of andere juridische belemmeringen zijn, dan stellen Wij U op de hoogte van het verzoek. Wij proberen dat op zodanig korte termijn te doen, dat het voor U mogelijk is om eventuele rechtsmiddelen tegen de verstrekking van de Persoonsgegevens in te stellen. Als Wij U op de hoogte mogen stellen dan zullen Wij ook met U overleggen over de wijze waarop en welke gegevens Wij ter beschikking zullen stellen.
4. Beveiligingsmaatregelen
4.1 Wij hebben de beveiligingsmaatregelen genomen die zijn genoemd in de Bijlage die bij deze Verwerkersovereenkomst hoort. Bij het nemen van de beveiligingsmaatregelen is rekening gehouden met de te mitigeren risico’s, de stand van de techniek en de kosten van de beveiligingsmaatregelen.
4.2 U heeft zich goed geïnformeerd over de beveiligingsmaatregelen die Wij hebben genomen en bent van mening dat deze maatregelen een beveiligingsniveau hebben dat past bij de aard van de Persoonsgegevens en de omvang, context, doeleinden en risico’s van de Verwerking.
4.3 Wij informeren U als een van de beveiligingsmaatregelen substantieel wijzigt.
4.4 Wij bieden passende waarborgen voor de toepassing van de technische en organisatorische beveiligingsmaatregelen met betrekking tot de te verrichten Verwerkingen. Als U de wijze waarop Wij
de beveiligingsmaatregelen naleven wilt laten inspecteren, dan kunt U hiertoe een verzoek aan Ons doen. Wij zullen hierover Gezamenlijk met U afspraken maken. De kosten van een inspectie zijn voor Uw rekening. U stelt aan Xxx een kopie van het inspectierapport ter beschikking.
5. Datalekken
5.1 Als er sprake is van een Datalek dan stellen Wij U daarvan op de hoogte. Wij streven ernaar dit te doen binnen 48 uur nadat wij dit Xxxxxxx hebben ontdekt, of zo snel mogelijk nadat wij daarover door Onze Sub-verwerkers zijn geïnformeerd. Nadere afspraken over de wijze waarop zijn opgenomen in artikel
11 van deze Verwerkersovereenkomst. Wij zullen U daarbij voorzien van de informatie die U redelijkerwijs nodig heeft om - indien nodig - een juiste en volledige melding te doen aan de Autoriteit Persoonsgegevens en eventueel de Betrokkene(n) c.q. wij zenden de melding van onze Sub-verwerker aan u door. Ook van de door Ons, of onze Sub-verwerker, naar aanleiding van het Datalek genomen maatregelen houden Wij U op de hoogte.
5.2 De melding van Datalekken aan de Autoriteit Persoonsgegevens en (eventueel) Betrokkene(n) is altijd Uw eigen verantwoordelijkheid.
5.3 Het (bij)houden van een register van Datalekken is altijd Uw eigen verantwoordelijkheid.
6. Geheimhoudingsplicht:
6.1 Wij houden de van u verkregen Persoonsgegevens geheim en verplichten Onze Medewerker en eventuele Sub-verwerkers ook tot geheimhouding. Tenzij U schriftelijk toestemming verleend om de Persoonsgegevens te verstrekken of als het wettelijk verplicht is tot het verstrekken daarvan.
7. Aansprakelijkheid
7.1 U staat ervoor in dat de Verwerking van Persoonsgegevens op basis van deze Verwerkersovereenkomst niet onrechtmatig is en geen inbreuk maakt op de rechten van Betrokkene(n).
7.2 Wij zijn niet aansprakelijk voor schade die het gevolg is van het door U niet naleven van de AVG of andere wet- of regelgeving. U vrijwaart ons ook voor aanspraken van Xxxxxx op grond van zulke schade. De vrijwaring geldt niet alleen voor de schade die Derden hebben geleden (materieel maar ook immaterieel), maar ook voor de kosten die Wij in verband daarmee moeten maken, bijvoorbeeld in een eventuele juridische procedure, en de kosten van eventuele boetes die aan Ons worden opgelegd ten gevolge van Uw handelen.
7.3 De in de Onderliggende opdracht en daarbij behorende algemene voorwaarden overeengekomen beperking van Onze aansprakelijkheid is van kracht op de verplichtingen zoals opgenomen in deze Verwerkersovereenkomst, met dien verstande dat een of meerdere schadevorderingen uit hoofde van deze Verwerkersovereenkomst en/of de Onderliggende opdracht nimmer tot overschrijding van de beperking kan leiden.
7.4 Onverminderd artikel 7.1 t/m 7.3 kan Verwerker geen beroep doen op de aansprakelijkheidsbeperking opgenomen in de Onderliggende opdracht in geval van schade die een Betrokkene lijdt en waarvoor Verwerker conform artikel 82 AVG aansprakelijk is.
8. Overdraagbaarheid Verwerkersovereenkomst
8.1 Het is voor U en Ons, behalve als Wij Gezamenlijk schriftelijke anders afspreken, niet toegestaan om deze Verwerkersovereenkomst en de rechten en de plichten die samenhangen met deze Verwerkersovereenkomst over te dragen aan een ander.
9. Beëindiging en teruggave / vernietiging Persoonsgegevens
9.1 Als de Onderliggende opdracht wordt beëindigd dan zullen Wij de door U aan Ons verstrekte Persoonsgegevens aan U terug overdragen of – als U Ons daarom verzoekt – vernietigen. Wij zullen uitsluitend een kopie van de Persoonsgegevens bewaren als Wij hiertoe op grond van wet- of (beroeps)regelgeving verplicht zijn.
9.2 De kosten van het verzamelen en overdragen van Persoonsgegevens bij het eindigen van de Onderliggende opdracht zijn voor Uw rekening. Datzelfde geldt voor de kosten van de vernietiging van de Persoonsgegevens. Als U daarom vraagt dan geven Xxx U vooraf een kosteninschatting.
10. Aanvullingen en wijziging Verwerkersovereenkomst
10.1 Aanvullingen en wijzigingen op deze Verwerkersovereenkomst zijn alleen geldig als ze op schrift zijn gesteld. Onder “schriftelijk” worden ook wijzigingen begrepen die per e-mail zijn gecommuniceerd, gevolgd door een akkoord per e-mail van de andere partij.
10.2 Een wijziging in de Verwerkte Persoonsgegevens of in de betrouwbaarheidseisen, de privacyregelgeving of uw eisen kan aanleiding zijn om deze Verwerkersovereenkomst aan te vullen of te wijzigen. Indien dit leidt tot significante aanpassingen in de Onderliggende opdracht, of wanneer Wij niet kunnen voorzien in een passend niveau van bescherming, kan dit voor Ons reden zijn om de Onderliggende opdracht te beëindigen.
11. Slotbepalingen
11.1 Op Uw verzoek stellen Wij U alle informatie ter beschikking die nodig is om de nakoming van de in deze Verwerkersovereenkomst neergelegde verplichtingen aan te tonen. Wij maken audits mogelijk, waaronder inspecties, door U of een door U gemachtigde controleur en dragen eraan bij. De kosten van dergelijke verzoeken, audits of inspecties zijn voor Uw rekening. Ook eventuele audits bij Onze Sub-verwerkers zijn voor Uw rekening.
11.2 Partijen werken desgevraagd samen met de toezichthoudende autoriteit bij het vervullen van haar taken.
11.3 Op deze Verwerkersovereenkomst is Nederlands recht van toepassing, de Nederlandse rechter is bevoegd kennis te nemen van alle geschillen die voortvloeien uit of samenhangen met deze Verwerkersovereenkomst.
11.4 Deze Verwerkersovereenkomst is hoger in rang dan andere door Ons met U gesloten overeenkomsten, waaronder begrepen maar niet beperkt tot de Onderliggende opdracht. Als U algemene voorwaarden gebruikt dan zijn deze niet van toepassing op deze Verwerkersovereenkomst. De bepalingen uit deze Verwerkersovereenkomst gaan boven de bepalingen in Onze algemene voorwaarden, tenzij expliciet naar een bepaling in de algemene voorwaarden wordt verwezen.
11.5 Als één of meerdere bepalingen in deze Verwerkersovereenkomst niet geldig blijken te zijn, xxx heeft dit geen gevolgen voor de geldigheid van de andere bepalingen in deze Verwerkersovereenkomst. Wij treden dan met U in overleg om Gezamenlijk een nieuwe bepaling op te stellen. Deze bepaling zal zoveel als mogelijk in de geest zijn van de ongeldige bepaling, maar dan uiteraard zo vormgegeven dat de bepaling wel geldig is.
Bijlage 1
Technische en organisatorische maatregelen
Verwerker verklaart de navolgende technische en organisatorische beveiligingsmaatregelen te hebben getroffen om te kunnen voldoen aan de bepalingen van deze Verwerkersovereenkomst te kunnen voldoen.
Vertrouwelijkheid
• Fysieke toegangsbeveiliging tot Persoonsgegevens
• Elektronische toegangsbeveiliging tot Persoonsgegevens door middel van tweestapsidentificatie
• Wachtwoordbeleid Integriteit
• Doorgifte van persoonsgegevens uitsluitend in het kader van de Onderliggende Opdracht Beschikbaarheid
• Beveiliging van Persoonsgegevens door middel van backups en mogelijkheden tot herstel
Sub-verwerkers
Lijst met activiteiten van Sub-verwerkers waarvoor Verwerkingsverantwoordelijke een algemene toestemming geeft:
- Datavisualisatie diensten (ten tijde van afsluiten overeenkomst: Visionplanner BV);
Persoonsgegevens
Verwerker kan in het kader van de Verwerkersovereenkomst de volgende Persoonsgegevens verwerken in opdracht van Verantwoordelijke:
• Naam, adres, Woonplaats
• Emailadres
• Telefoonnummers
• Geslacht
• Financiële gegevens
• Geboortedatum
• BSN nummer
• Bank- en inkomensgegevens
De Persoonsgegevens van de navolgende categorieën Betrokkenen kunnen worden verwerkt:
• Medewerkers