Verwerkersovereenkomst
Verwerkersovereenkomst
Verwerker verricht diensten ten behoeve van Verantwoordelijke. Deze diensten brengen met zich mee dat persoonsgegevens worden verwerkt, waarvoor Verantwoordelijke verwerkingsverantwoordelijke is in de zin van de Algemene Verordening Gegevensbescherming (hierna: AVG);
Verwerker verwerkt de betreffende gegevens louter in opdracht van Verantwoordelijke en niet voor eigen doeleinden. Verwerker is in dat kader aan te merken als verwerker in de zin van de AVG;
Partijen zijn verplicht op grond van de geldende privacy wet- en regelgeving afspraken te maken en deze vast te leggen met betrekking tot de verwerking van persoonsgegevens door Verwerker;
Partijen wensen middels deze overeenkomst de afspraken met betrekking tot de verwerking van persoonsgegevens in het kader van de diensten vast te leggen.
1. Algemeen
In deze verwerkersovereenkomst wordt verstaan onder:
1.1. Algemene voorwaarden: de Algemene voorwaarden van Verwerker, die onverkort van toepassing zijn op iedere afspraak tussen Verwerker en Verantwoordelijk en van welke Algemene voorwaarden deze verwerkerovereenkomst onlosmakelijk deel uitmaken.
1.2. Verwerker: De besloten vennootschap met beperkte aansprakelijkheid Xxx.xx, statutair gevestigd te Sittard en kantoorhoudende te Sittard, correspondentieadres Xxxxxxxxxx 00, 0000XX Xxxxxxx.
1.3. Gegevens: de persoonsgegevens zoals omschreven in Annex 1.
1.4. Verantwoordelijke: de natuurlijke persoon of rechtspersoon die aan Verwerker opdracht heeft gegeven tot het verrichten van Werkzaamheden, eveneens Verantwoordelijke.
1.5. Overeenkomst: elke afspraak tussen Verantwoordelijke en Verwerker tot het verrichten van Werkzaamheden door Verwerker ten behoeve van de Verantwoordelijke.
1.6. Verantwoordlijke: de Verantwoordelijke die als natuurlijk persoon of rechtspersoon aan de Verwerker opdracht heeft gegeven tot het verrichten van Werkzaamheden.
1.7. Werkzaamheden: alle werkzaamheden waartoe opdracht is gegeven, of die door Verwerker uit anderen hoofde worden verricht. Het voorgaande geldt in de ruimste zin van het woord.
2. Toepasselijkheid verwerkersovereenkomst
2.1. Deze verwerkersovereenkomst is van toepassing op alle gegevens die in het kader van de uitvoering van de Overeenkomst met Verantwoordelijke door Verwerker worden
verzameld voor Verantwoordelijke, alsmede op alle uit de Overeenkomst voor Verwerker voortvloeiende Werkzaamheden en de in dat kader te verzamelen gegevens.
2.2. Verantwoordelijke is verantwoordelijk voor de verwerking van de Gegevens betreffende bepaalde categorieën van betrokkenen, zoals omschreven in Annex 1.
2.3. Bij de uitvoering van de Overeenkomst verwerkt Verwerker bepaalde persoonsgegevens voor Verantwoordelijke.
2.4. Dit is een verwerkersovereenkomst in de zin van artikel 28 lid 3 Algemene Verordening Gegevensbescherming (AVG), waarin de rechten en verplichtingen ten aanzien van de verwerking van de persoonsgegevens schriftelijk is geregeld, waaronder ten aanzien van de beveiliging. Deze verwerkersovereenkomst is ten opzichte van Verantwoordelijke bindend voor Verwerker.
2.5. Deze verwerkersovereenkomst maakt, net als de Algemene voorwaarden van Verwerker, onderdeel uit van de Overeenkomst en alle toekomstige overeenkomsten tussen partijen.
3. Reikwijdte verwerkersovereenkomst
3.1. Met het geven van de opdracht tot het verrichten van Werkzaamheden heeft Verantwoordelijke aan Verwerker de opdracht gegeven om de Gegevens te verwerken namens de Verantwoordelijke op de wijze zoals omschreven in Annex 1 in overeenstemming met de bepalingen van deze verwerkersovereenkomst.
3.2. Verwerker verwerkt de Xxxxxxxx uitsluitend in overeenstemming met deze verwerkersovereenkomst, met name met hetgeen is opgenomen in Annex 1. Verwerker bevestigt de Gegevens niet voor andere doeleinden te verwerken.
3.3. De zeggenschap over de Gegevens komt nooit bij Verwerker te rusten.
3.4. De Verantwoordelijke kan additionele, schriftelijke instructies aan Verwerker geven vanwege aanpassingen of wijzigingen in de van toepassing zijnde regelgeving op het gebied van bescherming van persoonsgegevens.
3.5. Verwerker verwerkt Xxxxxxxx enkel in de Europese Economische Ruimte.
4. Geheimhouding
4.1. Verwerker en de personen die in dienst zijn van Verwerker dan wel werkzaamheden voor hem verrichten, voor zover deze personen toegang hebben tot persoonsgegevens, verwerken de Gegevens slechts in opdracht van Verantwoordelijke, behoudens afwijkende wettelijke verplichtingen.
4.2. Verwerker en de personen die in dienst zijn van Verwerker dan wel werkzaamheden voor hem verrichten, voor zover deze personen toegang hebben tot persoonsgegevens, zijn verplicht tot geheimhouding van de persoonsgegevens waarvan zij kennis nemen, behoudens voor zover enig wettelijk voorschrift hen tot mededeling verplicht of uit een taak de noodzaak tot mededeling voortvloeit.
5. Geen verdere verstrekking
5.1. Verwerker zal de gegevens niet delen met of verstrekken aan derden, tenzij Verwerker daartoe voorafgaande, schriftelijke toestemming of opdracht heeft verkregen van Verantwoordelijke of op grond van dwingendrechtelijke regelgeving daartoe verplicht is. Indien Verwerker op grond van dwingendrechtelijke regelgeving verplicht is om de
Gegevens te delen met of te verstrekken aan derden, dan zal de Verwerker de Verantwoordelijke hierover schriftelijk informeren, tenzij dit niet is toegestaan..
6. Beveiligingsmaatregelen
6.1. Rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van personen, treft Verwerker passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen. De belangrijkste beveiligingsmaatregelen die thans zijn genomen, zijn in Annex 2 bepaald.
6.2. Verwerker zorgt voor maatregelen die er mede op gericht zijn onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen.
6.3. De Gegevens worden uitsluitend opgeslagen en verwerkt binnen de Europese Economische Ruimte.
7. Toezicht op naleving
7.1. Verwerker zal Verantwoordelijke op diens verzoek en voor diens rekening inlichtingen verschaffen over de Verwerking van de Gegevens door Verwerker of Sub-verwerkers. Verwerker zal de gevraagde inlichtingen zo snel mogelijk verstrekken, doch uiterlijk binnen 1 maand.
7.2. Verantwoordelijke heeft eenmaal per jaar en voor eigen rekening het recht om een door Verantwoordelijke en Verwerker gezamenlijk aan te wijzen onafhankelijke derde een inspectie te laten uitvoeren om te verifiëren of Verwerker de verplichtingen onder de AVG en deze verwerkersovereenkomst nakomt. Verwerker zal daaraan alle redelijkerwijs noodzakelijke medewerking verlenen. Verwerker heeft het recht om haar kosten die gepaard gaan met de inspectie in rekening te brengen bij Verantwoordelijke.
7.3. Verwerker zal in het kader van haar verplichting onder lid 1 van dit artikel aan Verantwoordelijke dan wel een daartoe door Verantwoordelijke ingeschakelde derde in ieder geval:
7.3.1. alle relevante inlichtingen en documenten verstrekken;
7.3.2. toegang verlenen tot alle relevante gebouwen, informatiesystemen en Gegevens van Verantwoordelijke.
7.4. Verantwoordelijke en Verwerker zullen zo spoedig mogelijk na het gereedkomen van het rapport met elkaar in overleg treden om de eventuele risico’s en tekortkomingen te adresseren. Verwerker zal op kosten van Verantwoordelijke maatregelen nemen om de geconstateerde risico’s en tekortkomingen op een voor Verantwoordelijke acceptabel niveau te brengen respectievelijk op te heffen, tenzij partijen schriftelijk anders overeen zijn gekomen.
8. Meldplicht (beveiligings)incidenten
8.1. Zo spoedig mogelijk nadat Xxxxxxxxx kennis neemt van een incident of datalek dat (mede) betrekking heeft of kan hebben op de Gegevens, stelt Verwerker Verantwoordelijke hiervan op de hoogte via de bij Verwerker bekende contactgegevens van Verantwoordelijke en zal Verwerker informatie verstrekken over: de aard van het
incident, de getroffen Gegevens, de vastgestelde en verwachte gevolgen van het incident op de Gegevens en de maatregelen die Verwerker heeft getroffen en zal treffen.
8.2. Verwerker zal Verantwoordelijke ondersteunen bij meldingen aan betrokkenen en/of autoriteiten.
8.3. Verwerker is nimmer aansprakelijk voor de op Verantwoordelijke rustende (correcte en/of tijdige) meldplicht in de zin van AVG. Het is Verwerker toegestaan om met de Autoriteit Persoonsgegevens in contact te treden inzake een voorgevallen incident.
9. Sub-verwerkers
9.1. Verantwoordelijke geeft Verwerker voorafgaande (algemene) toestemming om zijn verplichtingen uit te besteden aan derden, en Verwerker schakelt ter uitvoering van de Overeenkomst sub-verwerkers in. Verwerker geeft Verantwoordelijke een termijn van 7 werkdagen om bezwaar te maken tegen het inschakelen van sub-verwerkers. Verwerker zal de sub-verwerkers pas inschakelen indien de termijn van 7 dagen is verstreken zonder dat Verantwoordelijke bezwaar heeft gemaakt, of indien Verantwoordelijke heeft aangegeven geen bezwaar te maken tegen het inschakelen van de sub-verwerker.
9.2. Verwerker draagt er zorg voor dat de sub-verwerker is onderworpen aan deze verwerkersovereenkomst dan wel aan een sub-verwerkersovereenkomst die soortelijke plichten bevat als deze verwerkersovereenkomst en eenzelfde beschermingsniveau.
10. Medewerkingsplichten en rechten van betrokkenen
10.1.Verwerker zal Verantwoordelijke op verzoek medewerking verlenen in geval van een klacht, vraag of verzoek van een betrokkene, dan wel onderzoeken of inspecties door de Autoriteit Persoonsgegevens.
10.2.Verwerker zal Verantwoordelijke op diens verzoek en voor diens rekening bijstaan bij het uitvoeren van een gegevensbeschermingseffectbeoordeling.
10.3.Als Verwerker rechtsreeks van een betrokkene een verzoek om inzage, correctie of verwijdering van zijn of haar Gegevens ontvangt, informeert Verwerker Verantwoordelijke binnen 1 maand over de ontvangst van het verzoek. Verwerker voert zo snel mogelijk alle instructies uit die Verantwoordelijke schriftelijk aan Verwerker geeft als gevolg van zodanig verzoek van betrokkene. Verwerker treft de noodzakelijke passende technische en organisatorische maatregelen die nodig zijn om te voldoen aan dergelijke instructies van Verantwoordelijke.
10.4.Indien instructies van Verantwoordelijke aan Verwerker strijd opleveren met enige wettelijke bepalingen omtrent gegevensbescherming, meldt Verwerker dit bij Verantwoordelijke.
11. Duur en beëindiging
11.1.Deze verwerkersovereenkomst is geldig zolang Verwerker de opdracht heeft van Verantwoordelijke om Xxxxxxxx te verwerken op grond van de Overeenkomst tussen Verantwoordelijke en Verwerker. Zolang door Verwerker Werkzaamheden worden verricht ten behoeve van Verantwoordelijk is deze verwerkersovereenkomst op deze relatie van toepassing.
11.2.Indien en zodra het bewaren van persoonsgegevens zoals bedoeld in artikel 11.1 niet langer plaats zal vinden, zal Verwerker Verantwoordelijke de keuze geven de verwerkte
persoonsgegevens hetzij (1) (terug) te leveren c.q. over te dragen, dan wel (2) te vernietigingen. Verwerker zal hangende de keuze van Verantwoordelijke de persoonsgegevens blijven bewaren voor rekening en risico van Verantwoordelijke en met dien verstande dat Verantwoordelijke zijn keuze binnen een periode van 1 maand kenbaar moet maken aan Verwerker.
11.3.Bij beëindiging van de Overeenkomst tussen Verantwoordelijke en Verwerker kan Verantwoordelijke binnen 2 maanden na beëindigen van de Overeenkomst aan Verwerker verzoeken om alle documenten, computerdisks en andere gegevensdrager, waarop of waarin zich gegevens bevinden, te retourneren aan Verantwoordelijke, voor rekening van Verantwoordelijke. In geval van retournering zal Verwerker de gegevens verstrekken in de vorm zoals bij Verwerker aanwezig. Voor zover de Gegevens zich in een computersysteem bevinden of in een andere vorm waardoor de Gegevens redelijkerwijs niet kunnen worden versterkt aan Verantwoordelijke, zal Verwerker aan Verantwoordelijke een toegankelijke, leesbare kopie van de Gegevens verstrekken. Na het verstrijken van deze termijn zal Verwerker tot definitieve vernietiging van de Gegevens overgaan, tenzij Verwerker op grond van een wettelijke plicht gehouden is Gegevens op te slaan.
11.4.Onverlet hetgeen voor het overige in dit artikel 11 is bepaald, zal Verwerker na beëindiging van de Overeenkomst geen Gegevens houden noch gebruiken.
00.0.Xx wijze van vernietiging wordt vastgesteld in overleg met Verantwoordelijke. Na vernietiging verstrekt de Verwerker hiervan een schriftelijke bevestiging aan de Verantwoordelijke.
11.6.Deze verwerkersovereenkomst vervangt per datum van ondertekening van deze overeenkomst eventuele eerder tussen partijen gesloten verwerkersovereenkomsten (voorheen ook ‘bewerkersovereenkomst’ of ‘privacyvoorwaarden’ genoemd).
12. Aansprakelijkheid
12.1.Ten aanzien van de aansprakelijkheid van Verwerker onder deze overeenkomst en de in deze overeenkomst opgenomen vrijwaringsverplichtingen voor Verwerker geldt onverkort de in de algemene voorwaarden opgenomen regeling inzake de beperking van aansprakelijkheid.
12.2.Onverminderd het bepaalde in dit artikel, is Verantwoordelijke slechts aansprakelijk voor de schade die door de verwerking is veroorzaakt wanneer bij deze verwerking niet is voldaan aan specifiek tot de Verwerker gerichte verplichtingen van de AVG of indien in strijd met de rechtmatige instructies van Verantwoordelijke is gehandeld.
12.3.Verantwoordelijke is aansprakelijk voor de verwerking van persoonsgegevens in het kader van deze overeenkomst. Verantwoordelijke garandeert dat de opdracht tot verwerking de persoonsgegevens in overeenstemming is met de geldende wet- en regelgeving. Verantwoordelijke vrijwaart Verwerker tegen alle aanspraken van derden, waaronder de toezichthouder(s), welke voortvloeien uit het niet naleven van deze garantie.
13. Nietigheid
13.1.Indien 1 of meerdere bepalingen uit deze verwerkersovereenkomst nietig zijn of vernietigd worden, blijven de overige voorwaarden volledig van toepassing. Indien enige bepaling van deze verwerkersovereenkomst niet rechtsgeldig is, zullen partijen over de
inhoud van een nieuwe bepaling onderhandelen, welke bepaling de inhoud van de oorspronkelijke bepaling zo dicht mogelijk benaderd.
14. Toepasselijk recht en forumkeuze
14.1.Op deze verwerkersovereenkomst is Nederlandse recht van toepassing.
14.2.Alle geschillen in verband met de verwerkersovereenkomst of de uitvoering daarvan worden voorgelegd aan de bevoegde rechter bij de rechtbank Limburg.
Voor akkoord met deze verwerkersovereenkomst, inclusief Annex 1 en 2
Sittard, 22 mei 2018
Namens Xxx.xx BV
G.J.P. Leijdekkers
Datum: Bedrijfsnaam:
Naam bevoegd ondertekenaar:
Annex 1
Xxxxxxxx, doeleinden en categorieën van betrokkenen
De Verantwoordelijke laat de Verwerker de volgende Gegevens door Verwerker verwerken in het kader van de opdracht
Voor het reserveersysteem:
Door Verantwoordelijke geleverde reserveringsdata Voor de restaurantwebsite:
Website bezoekers data
Contactformulier gegevens Voor het marketingpakket:
Reserveringsgegevens uit beheerde reserveersystemen
Gegevens uit sociale media accounts
Gegevens
Voor het reserveersysteem:
Naam, telefoonummer, e-mailadres Voor de restaurantwebsite:
Naam, e-mailadres, inhoud contactverzoek, browser headers, IP-adres Voor het marketingpakket:
Naam, e-mailadres, telefoonnummer, allergieën uit reserveringen Persoonsgegevens ontvangen uit de beheerde sociale media accounts
Doeleinden
De werkzaamheden waarvoor bovengenoemde Gegevens mogen worden verwerkt, uitsluitend indien noodzakelijk, zijn in ieder geval:
1. De werkzaamheden, te beschouwen als de primaire dienstverlening, in het kader waarvan Xxxxxxxxxxxxxxxxx een opdracht heeft verstrekt aan Verwerker alsmede de daarvan afgeleide opdrachten waaronder kunnen vallen
1.1. het bijhouden van een reserveringsoverzicht
1.2. het ter beschikking stellen van een website
1.3. het beheren van profielen, recensies en onderhoud van sociale media
2. het onderhoud, waaronder updates en releases van het door Verwerker dan wel sub- verwerker aan Verantwoordelijke ter beschikking gestelde systeem;
3. het gegevens- en (technische) beheer, ook door een sub-verwerker.
4. de hosting, ook door een sub-verwerker.
Categorieën van betrokkenen
De gegevens die verwerkt worden betreffende de volgende categorieën van betrokkenen Voor het reserveersysteem:
Aanvrager van de reservering Voor de restaurantwebsite:
Websitebezoeker Voor het marketingpakket:
Aanvrager van de reservering
Volger, liker, commenter, etc op sociale media
Annex 2
Beveiligingsmaatregelen
De Verwerker heeft in ieder geval de volgende beveiligingsmaatregelen getroffen:
1. Dagelijkse backup- en mogelijkheid voor herstelprocedures;
2. Beveiliging van netwerkverbindingen;
3. Beperkte toewijzing van bevoegdheden gerubriceerd per functie voor personen die met de uitvoering van de verwerking belast zijn (inclusief een periodieke controle hierop);
4. Deels wordt gewerkt met encryptie van persoonsgegevens tijdens elektronische overdracht naar externe partijen;
5. Implementatie van beveiligingsbeleid;
6. Implementatie van gedragscode voor personeel;
7. Geheimhoudingsverklaringen in arbeidscontracten contracten met derden;
8. Indringeralarm op de bedrijfspanden;
9. Verplicht gebruik van toegangscontrole door middel van wachtwoorden en/of persoonlijke toegangscodes;
10. Logging en controle van toegang tot de persoonsgegevens;
11. (sub)verwerkersovereenkomsten met derden;
12. Veilige wijze voor het opslaan van gegevensbestanden.