Versie: 1
Verwerkersovereen- komst
Versie: 1
Datum: 16-5-2018
Deze verwerkersovereenkomst in het kader van de Algemene Verordening Gegevensbescherming (AVG) is van toepassing op alle vormen van verwerking van persoonsgegevens die Spin in het Web B.V. ten behoeve van een wederpartij aan wie wij dien- sten leveren (de opdrachtgever) uitvoert.
Deze verwerkersovereenkomst maakt integraal onderdeel uit van de afspraken tussen deze partijen, zoals vastgelegd in een overeenkomst, abonnementsvoorwaarden of op een andere ma-
nier. De invoering van de AVG per 25-5-2018 maakt een verwerkersovereenkomst wettelijk noodzakelijk: zonder deze kunnen wij geen verwerkingsdomein ter beschik- king stellen.
1. Definities
1.1. Spin in het Web: Spin in het Web B.V., in zijn hoedanigheid van gegevensverwer- ker in de zin van de AVG.
1.2. Opdrachtgever: elke wederpartij met wie Spin in het Web een overeenkomst of afspraak tot dienstverlening is aangegaan en die, in de hoedanigheid van ver- werkingsverantwoordelijke in de zin van de AVG, Spin in het Web gegevens laat verwerken. De opdrachtgever kan gelijkwaardig worden aangeduid met hij of zij.
1.3. Partijen: Spin in het Web en opdrachtgever samen.
1.4. Verwerkingsdomein: een onder één noemer te vangen combinatie van veelal digitale mogelijkheden die door Spin in het Web aan opdrachtgever ter beschik- king wordt gesteld en waarin opdrachtgever uit eigen naam gegevens kan ont- vangen, bewaren, verwerken en/of ter beschikking van derden kan stellen. Voorbeelden van zulke verwerkingsdomeinen zijn webruimte voor websites en (opslag van) e-mail, databases, applicatie-backends, exclusieve serverruimte en andere combinaties van communicatie, verwerking en opslag van gegevens, in- clusief log-regels en back-ups. Een opdrachtgever kan meerdere verwerkingsdo- meinen tot zijn of haar beschikking hebben.
1.5. Overeenkomst: elke overeenkomst, werkafspraak, abonnementsafspraak of combinatie van één of meerdere hiervan tussen partijen waarbij Spin in het Web diensten verleent aan opdrachtgever.
1.6. Gegevensverwerking / gegevens verwerken: het opslaan in en verwerken van (persoons)gegevens binnen het verwerkingsdomein, waarbij inbegrepen het tij- delijk opslaan of loggen van transactionele sporen van het verwerken van zulke gegevens.
2. Doeleinden van de verwerking
2.2. Voor wat betreft deze gegevensverwerking geldt Spin in het Web in termen van de AVG als Verwerker en op- drachtgever als Verwerkingsverantwoordelijke.
2.3. Opdrachtgever kan binnen zijn verwerkingsdomein gege- vens verwerken.
2.4. Spin in het Web is verantwoordelijk voor de technische en andere voorwaarden die het gebruik van het verwerkingsdomein mogelijk maken en beheert afhanke- lijk van de afspraken ook (delen van) het verwerkingsdomein op technisch of in- houdelijk niveau.
2.5. Bepaalde delen van de algemene infrastructuur van Spin in het Web worden tot een verwerkingsdomein gerekend – voor zover (sporen van) gegevens uit dat verwerkingsdomein daarin opgeslagen of verwerkt worden.
2.6. Spin in het Web heeft geen directe invloed op de in een verwerkingsdomein be- waarde persoonsgegevens en de categorieën daarvan.
2.7. Opdrachtgever stelt het doel en de wettelijke gronden van de gegevensverwer- king binnen haar verwerkingsdomein vast en is hiervoor verantwoordelijk.
2.8. Tenzij expliciet anders is overeengekomen gaat Spin in het Web ervan uit dat de binnen het verwerkingsdomein bewaarde persoonsgegevens onder de categorie standaard persoonsgegevens vallen. Spin in het Web neemt dan ook veiligheids- maatregelen die bij deze categorie passen.
2.9. Indien opdrachtgever bijzondere persoonsgegevens - in de zin van de AVG – in het verwerkingsdomein wil bewaren maakt zij daarvoor expliciete afspraken met Spin in het Web. Partijen stellen dan gezamenlijk de benodigde versleuteling en beveiliging vast.
2.10. Indien de in het vorige lid genoemde afspraken niet zijn gemaakt, zal opdracht- gever zelf (laten) zorgdragen voor een zodanige versleuteling of anonimisering van de betreffende gegevens, dat deze gedurende de tijd dat ze in het verwer- kingsdomein worden bewaard niet door derden als bijzonder persoonsgegeven te gebruiken zijn, noch daartoe zijn terug te leiden.
2.11. Spin in het Web zal de in het verwerkingsdomein bewaarde gegevens enkel op- slaan en niet voor een eigen doel gebruiken, tenzij handelend namens de op- drachtgever of ten behoeve van technische diagnose op basis van metagegevens en sporen van de bewaarde gegevens met het doel de operationele systemen van Spin in het Web te beschermen en optimaliseren en de overeenkomst te kunnen uitvoeren.
2.12. Het verwerken van de bewaarde gegevens door Spin in het Web als Verwerker wijzigt het eigendom ervan niet.
2.13. Opdrachtgever staat in voor de rechtmatigheid van de gegevensverwerking.
3. Verplichtingen van Verwerker
3.1. Dit artikel gaat over de verplichtingen van Spin in het Web met betrekking tot de in artikel 2.1 bedoelde werk- zaamheden, naast de verplichtingen die Spin in het Web vanuit de toepasselijke wet- en regelgeving heeft. De hier genoemde verplichtingen gelden ook voor diegenen die voor Spin in het Web persoonsgegevens verwerken, waaronder medewerkers in de ruimste zin van het woord.
3.2. Spin in het Web zal opdrachtgever op dienst eerste verzoek daartoe informeren over alle maatregelen die wij hebben genomen met betrekking tot verplichtin- gen die uit deze verwerkersovereenkomst voortvloeien.
3.3. Spin in het Web zal opdrachtgever onmiddellijk informeren wanneer een op- dracht, instructie, of handeling van de opdrachtgever naar de mening van Spin in het Web in strijd is met de wet- en regelgeving op het gebied van de gegevens- bescherming. Spin in het Web heeft echter geen controlerende rol met betrek- king tot de gegevensverwerking van de opdrachtgever.
3.4. Spin in het Web zal voor zover redelijkerwijs mogelijk de opdrachtgever bijstaan ten behoeve van gegevensbeschermingseffectbeoordelingen (DPIA’s). De tijd die Spin in het Web hieraan moet besteden wordt als incidentele werkzaamhe- den in rekening gebracht bij de opdrachtgever.
4. Algemene verwerking van persoonsgegevens en door- gifte
4.1. Spin in het Web verwerkt door de aard van zijn dienstverlening zelf ook per- soonsgegevens die afkomstig zijn van de opdrachtgever, bezoekers, e-mailaf- zenders en dergelijke. Deze eigen registraties zijn beschreven in het gegevens- register van Spin in het Web, dat via onze website of helpdesk is op te vragen.
4.4. Spin in het Web staat in voor correcte naleving van de plichten uit deze overeen- komst door zijn subverwerkers.
4.5. De onder lid 4.2 en 4.3 bedoelde leveranciers en hun landen staan vermeld in het gegevensregister.
5. Beveiliging
5.1. Spin in het Web spant zich in om haar systemen en organisatie te beveiligen te- gen verlies of onrechtmatige verwerking van de gegevens in de gegevensver- werking, zoals onbevoegde kennisname, aantasting, wijziging of verstrekking van persoonsgegevens.
5.2. Deze beveiliging houdt in elk geval, maar niet uitsluitend in: bewustzijn, kennis en competentie van medewerkers met betrekking tot gegevensbescherming, VOG van me- dewerkers, fysieke beveiliging van ruimtes, digitale be- veiliging, tijdige updates, firewalls, anti-virusmaatrege- len, anti-aanvalmaatregelen, logging, autorisatiebeleid, sterke wachtwoorden en sterk wachtwoordbeheer, vei- lige back-ups, data-encryptie en versleutelde verbindin- gen, expliciete veiligheidscommunicatie met leveranciers.
5.3. Spin in het Web staat er niet voor in dat de in dit artikel bedoelde maatregelen altijd doeltreffend zijn. Wel spant Spin in het Web zich in om de beveiliging te la- ten voldoen aan een niveau dat redelijk is, gezien de stand van de techniek, de aard van de algemene persoonsgegevens of specifieke afspraken over bijzon- dere persoonsgegevens, en de bijbehorende kosten.
5.4. Opdrachtgever voert alleen dan gegevensverwerking in het verwerkingsdomein uit, wanneer hij zich ervan heeft vergewist dat de beveiliging ervan in orde is.
5.5. Opdrachtgever is verantwoordelijk voor het deel van de beveiliging waarop hij invloed heeft, zoals de wijze van verbinden met het verwerkingsdomein, het pu- bliceren of niet publiceren van broncode en inloggegevens en de inhoud en sterkte van wachtwoorden.
5.6. Opdrachtgever is verantwoordelijk voor naleving van de door partijen afgespro- ken maatregelen.
6. Meldplicht
6.1. Spin in het Web brengt de opdrachtgever binnen redelijke termijn en op een vol- gens Spin in het Web passende manier op de hoogte van een aangetroffen bevei- ligings- of datalek, voor zover deze betrekking heeft op het verwerkingsdomein, zodat de opdrachtgever – als verwerkingsverantwoordelijke – aan zijn mel- dingsplicht richting betrokkenen of toezichthouder kan voldoen.
6.2. Spin in het Web geeft de opdrachtgever in voorkomende gevallen desgevraagd alle informatie die nodig is voor een formele melding: aard van de inbreuk, waar- schijnlijke gevolgen van de inbreuk met betrekking tot gegevens in het verwer- kingsdomein, voorgestelde maatregelen ter beperking en voorkoming van de in- breuk.
6.3. Omdat de gegevensverwerking tot op bepaalde hoogte buiten het zicht van Spin in het Web plaatsvindt kan Spin in het Web mogelijk niet alle informatie leveren die de opdrachtgever volgens de meldplicht moet leveren, zoals aard en catego- rie van de betrokken persoonsgegevens.
7. Verzoeken
7.1. Verzoeken tot uitoefening van zijn of haar wettelijke rechten van een betrok- kene worden door de opdrachtgever afgehandeld.
7.2. Afhankelijk van de overeenkomst kan de opdrachtgever Spin in het Web inscha- kelen voor de uitvoering van de werkzaamheden die nodig zijn om aan het ver- zoek te voldoen.
7.3. Indien een betrokkene een verzoek bij Spin in het Web neerlegt en dit verzoek naar het oordeel van Spin in het Web (mede) betrekking heeft op een verwerkingsdomein van de opdrachtgever, dan zal Spin in het Web het ver- zoek aan hem doorsturen. Spin in het Web mag de be- trokkene in dat geval daarvan op de hoogte stellen en de naam- en contactgegevens van de opdrachtgever aan de betrokken doorgeven. Afhandeling vindt dan vervolgens plaats alsof het verzoek bij de opdrachtgever was neerge- legd.
7.4. In het geval dat een verzoek als bedoeld in het eerste lid van dit artikel inhoudt dat onderdelen van het verwerkingsdomein waartoe de klant zelf geen directe toegang heeft moeten worden doorzocht of gewijzigd – zoals back-ups of logbe- standen – dan voert Spin in het Web dit in opdracht van de opdrachtgever uit. Deze werkzaamheden vallen onder de noemer algemeen systeembeheer en zullen als incidenteel werk worden doorberekend.
8. Audit
8.1. Opdrachtgever mag ten hoogste eenmaal per jaar om een onderzoek vragen naar naleving van de bepalingen van deze overeenkomst. Dit wordt in dit artikel een audit genoemd. Indien er sprake is van een concreet vermoeden van mis- bruik van persoonsgegevens geldt het maximum van eens per jaar niet.
8.2. De audit wordt uitgevoerd door een onafhankelijke derde die gebonden is aan geheimhouding tegenover eenieder met uitzondering van de partijen.
8.3. Spin in het Web zal aan de audit meewerken en alle voor de audit redelijkerwijs relevante informatie, en arbeidstijd van medewerkers ter beschikking stellen.
8.4. In plaats van het toestaan van audits kan Spin in het Web ook op eigen kosten een onafhankelijk onderzoek laten doen naar algemene naleving door Spin in het Web van de bepalingen uit de verwerkersovereenkomsten. Spin in het Web le- vert dan op verzoek van de opdrachtgever binnen 3 maanden na een auditver- zoek een afschrift van het onderzoeksrapport. De opdrachtgever neemt bij voorbaat genoegen met deze vorm van auditing, en mag alleen alsnog een eigen audit uitvoeren wanneer het onderzoeksrapport bij levering ouder is dan 12 maanden, of in het geval van een concreet vermoeden van misbruik van per- soonsgegevens.
8.5. Alle rapportages en verslagen van de auditor, schriftelijk, digitaal of mondeling, en alle overhandigde onderzoeksrapporten worden door de opdrachtgever ge- heimgehouden.
8.6. Spin in het Web zal de bevindingen uit audit en onderzoek ter harte nemen en naar eigen goeddunken en voor eigen rekening toepassen.
8.7. De kosten van de audit komen voor rekening van de opdrachtgever. Hieronder vallen ook de kosten die Spin in het Web moet maken voor het meewerken aan de audit, waaronder arbeidsloon.
9. Aansprakelijkheid
9.1. De algemene afspraken over beperkte aansprakelijkheid uit de overeenkomst zijn ook geldig voor wat betreft de rol van Xxxx in het Web als verwerker, met de aanvullingen uit dit artikel specifiek van toepassing op deze rol.
9.2. Spin in het Web is niet aansprakelijk voor indirecte schade als gevolg van de gegevensverwerking of proble- men daarmee. Onder indirecte schade wordt verstaan alle schade die geen directe schade is en daarmee in ieder geval, maar niet beperkt tot, gevolgschade, gederfde winst, gemiste besparingen, verminderde goodwill, schade door bedrijfsstagnatie, schade door het niet beha- len van marketingdoeleinden, schade verband houdende met het gebruik van door opdrachtgever voorgeschreven
gegevens of databestanden, of verlies, verminking of vernietiging van gegevens of databestanden.
9.3. De uitsluitingen en beperkingen uit dit artikel worden op hun beurt beperkt door wettelijke grenzen, zoals in het geval van opzet of bewuste roekeloosheid van medewerkers van Spin in het Web.
10. Duur, toepasselijkheid en beëindiging
10.1. Bij alle overeenkomsten die op of na 25 mei 2018 worden afgesloten treedt deze verwerkersovereenkomst integraal in werking, tenzij in de overeenkomst anders is bepaald, en voor zover deze betrekking hebben op het leveren van een verwerkingsdomein door Spin in het Web aan opdrachtgever.
10.2. Voor overeenkomsten als bedoeld in het vorige lid, maar die voor 25 mei 2018 zijn ingegaan, geldt dat deze verwerkersovereenkomst – versie 1 - wordt geacht per 25 mei 2018 te zijn toegevoegd aan de voorwaarden van die overeenkomst, tenzij opdrachtgever hiervan afziet. In het geval dat de opdrachtgever deze ver- werkersovereenkomst niet toe wil passen is het aan hem – als verwerkingsver- antwoordelijke – om andere afspraken te maken met Spin in het Web of af te zien van gegevensverwerking in het verwerkingsdomein.
10.3. Vanwege de nieuwe wettelijke eisen die aan opdrachtgever worden gesteld, is het al dan niet toepassen van deze verwerkersovereenkomst geen grond voor tussentijdse opzegging van de overeenkomst.
10.4. De verwerkersovereenkomst is aangegaan voor de duur van de overeenkomst. Indien deze duur niet helder is vast te stellen geldt deze overeenkomst in elk ge- val voor de duur van de samenwerking tussen de partijen.
10.5. Bij beëindiging of niet tijdig in werking treden van deze verwerkersovereen- komst (of een door partijen bedongen alternatieve verwerkersovereenkomst), ligt de verantwoordelijkheid voor het staken van de verwerking bij de opdracht- gever als verwerkingsverantwoordelijke. Bij beëindiging van de overeenkomst zal Spin in het Web alle gegevens in het verwerkingsdomein verwijderen, met uitzondering van de gegevens die Spin in het Web vanwege wettelijke bepa- lingen moet bewaren. Opdrachtgever krijgt de gelegenheid om vóór de beëindi- ging alle gegevens te kopiëren. Bij tussentijdse opzegging van de verwerkers- overeenkomst, of het niet in werking treden ervan, terwijl de overeenkomst nog doorloopt, dient opdrachtgever zelf zorg te dragen voor het (laten) verwijderen van de gegevens.
10.6. Spin in het Web kan deze verwerkersovereenkomst van tijd tot tijd herzien. De gewijzigde versie wordt steeds gepubliceerd op onze website en gaat drie maan- den na publicatie in. Indien de nieuwe versie concrete wijzingen bevat, die niet alleen wijzigingen in formulering zijn en die niet vanuit een gewijzigde wettelijke
verplichting moeten worden opgenomen, kan de op- drachtgever per ingangsdatum van de nieuwe versie, de onderliggende overeenkomst opzeggen. Anders wordt de opdrachtgever geacht akkoord te zijn met de nieuwe ver- sie.
11. Toepasselijk recht
11.1. Deze verwerkersovereenkomst en de uitvoering ervan worden beheerst door Nederlands recht.
11.2. Alle geschillen die tussen partijen mochten ontstaan in verband met deze ver- werkersovereenkomst, en die niet door onderling goed overleg en/of mediation kunnen worden opgelost, zullen worden voorgelegd aan de bevoegde rechter in het arrondissement waarin Spin in het Web is gevestigd.
11.3. Wanneer een bepaling uit deze verwerkersovereenkomst vanwege een gerech- telijke uitspraak ongeldig wordt verklaard, blijft de rest van de verwerkersover- eenkomst gelden en wordt deze geacht te zijn aangevuld met een bepaling die de geest van de geschrapte bepaling benadert en wel voldoet aan de eisen der wet.