Verwerkersovereenkomst – Kooi Trading B.V.
Verwerkersovereenkomst – Kooi Trading B.V.
Kooi Trading B.V., hierna te noemen “Verwerker”, gevestigd en kantoorhoudende te Drachten aan Xxxxxxxxx 00, 0000 XX Xxxxxxxxx, verwerkt persoonsgegevens voor u, hierna te noemen “Verwerkingsverantwoordelijke”, in de zin van artikel 4 lid 2 en artikel 28 AVG op basis van de hoofdovereenkomst. Met betrekking tot de verplichtingen inzake gegevensbescherming zijn de volgende bepalingen, hierna de “Verwerkersovereenkomst”, van toepassing:
In aanmerking nemende dat:
A. Dat Partijen een overeenkomst hebben gesloten met betrekking tot dienstverlening door Kooi Trading B.V., hierna te noemen “Hoofdovereenkomst”;
B. Dat verwerker in het kader van de uitvoering van de Verwerkersovereenkomst toegang heeft tot Persoonsgegevens, in de zin van de Algemene Verordening Gegevensbescherming (AVG), van Verwerkingsverantwoordelijke en/of van klanten van Verwerkingsverantwoordelijke (hierna “Persoonsgegevens”), al dan niet met de opdracht om deze Persoonsgegevens te verwerken;
C. Dat Partijen met betrekking tot de verwerking van Persoonsgegevens overeenkomen om daarbij de bepalingen van deze Verwerkersovereenkomst in acht te nemen;
D. Dat Verwerker bij toegang tot Persoonsgegevens zowel de nationale en internationale wet- en regelgeving als de bepalingen van deze Verwerkersovereenkomst in acht zal nemen.
1.1. Betrokkene: degene op wie een Persoonsgegeven betrekking heeft.
1.2. Verwerker: degene die ten behoeve van de Verwerkingsverantwoordelijke Persoonsgegevens verwerkt zonder aan zijn rechtstreeks gezag te zijn onderworpen.
1.3. Datalek: een inbreuk op de beveiliging van Persoonsgegevens die nadelige gevolgen heeft voor de bescherming van persoonsgegevens.
1.4. Personeel: de door Partijen voor de uitvoering van deze Verwerkersovereenkomst in te schakelen personen, welke onder hun verantwoordelijkheid zullen werken.
1.5. Persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon.
1.6. Subverwerker: derde die door Verwerker wordt ingeschakeld om ten behoeve van Verwerker Persoonsgegevens te verwerken zonder aan het rechtstreeks gezag van Verwerker te zijn onderworpen. In het geval van de dienstverlening van Kooi Trading B.V. is dit in ieder geval Kooi Service & Security Centre B.V. gevestigd en kantoorhoudende te Drachten aan Xxxxxxxxx 00, 0000 XX.
1.7. Verwerkingsverantwoordelijke: De Verwerkingsverantwoordelijke voor de Verwerking in de zin van de AVG. Indien Verwerkingsverantwoordelijke Persoonsgegevens verwerkt in opdracht van een klant, geldt de klant voor deze Verwerkersovereenkomst als Verwerkingsverantwoordelijke.
Versie 1.3 Datum: 29-3-2022
1.8. Verwerking: Elke handeling of elk geheel van handelingen met betrekking tot Persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, evenals het afschermen, uitwisselen of vernietigen van gegevens.
1.9. Hoofdovereenkomst: Overeenkomst waarin de dienstverlening door Xxxx Xxxxxxx
B.V. in staat gespecificeerd, met name wat voor dienstverlening en duur van de dienstverlening.
2. Onderwerp, Doel & Bewaartermijn
2.1 Indien Verwerker zich in de Hoofdovereenkomst heeft verplicht tot het verwerken van Persoonsgegevens, zal Verwerker dit doen met grote zorgvuldigheid en in overeenstemming met de doeleinden van de verwerking en daarbij zowel de nationale en internationale wet- en regelgeving met betrekking tot Persoonsgegevens, met name de voorschriften uit de AVG-verordening, en de bepalingen van deze Verwerkersovereenkomst in acht nemen; indien en voor zover de Verwerkingsverantwoordelijke de Verwerker vooraf tijdig heeft gewezen op de aanwezigheid van Persoonsgegevens en de plaats waar deze Persoonsgegevens zich bevinden.
2.2 Het doel van de verwerking door Xxxxxxxxx is het uitvoeren van de Hoofdovereenkomst en de daarin gespecifieerde dienstverlening van Kooi Trading
B.V. welke is overeengekomen door Verwerkingsverantwoordelijke en Verwerker.
2.3 De verwerking van persoonsgegevens onder deze Verwerkersovereenkomst heeft betrekking op:
• (onbevoegde) betrokkenen welke mogelijke op videobeelden herkenbaar zijn;
• contact- en bedrijfsgegevens van Verwerkingsverantwoordelijke (waaronder, maar niet beperkt tot, naam, adres, telefoonnummer, e-mail adres, KvK-nummer & bankrekeningnummer).
2.4 De bewaartermijnen van de persoonsgegevens zijn vastgesteld conform wet- en regelgeving en is in interne documentatie geborgd. De bewaartermijnen zijn op schriftelijk verzoek inzichtelijk.
3. Verplichtingen van de Verwerkingsverantwoordelijke
3.1 Verwerkingsverantwoordelijke staat er voor in dat zij zich houdt aan alle voorschriften uit de AVG. Verwerkingsverantwoordelijke heeft de nodige beveiligingsmaatregelen getroffen.
3.2 Verwerkingsverantwoordelijke zal wijzigingen met betrekking tot de Verwerking (indien van toepassing) en de eventuele gevolgen daarvan tijdig, in principe binnen 10 werkdagen, aan Verwerker bekend maken.
3.3 Verwerkingsverantwoordelijke staat er voor in dat haar personeel zich houdt aan de voorschriften van de AVG-verordening en het gestelde in deze Verwerkersovereenkomst, indien en voor zover zij op enigerlei wijze betrokken zijn bij de Verwerking van Persoonsgegevens.
3.4 Verwerkingsverantwoordelijke garandeert dat de opdracht tot de Verwerking van de Persoonsgegevens (indien van toepassing) niet onrechtmatig is en geen inbreuk maakt op rechten van derden.
3.5 Verwerkingsverantwoordelijke geeft Xxxxxxxxx toestemming om in het kader van de uitvoering van de Hoofdovereenkomst en deze Verwerkersovereenkomst derde(n) in te schakelen voor de Verwerking.
4.1 Verwerker zal de Persoonsgegevens slechts inzien en/of verwerken indien en voor zover dit noodzakelijk is voor de uitvoering van de Hoofdovereenkomst en zal alle redelijke instructies van Verwerkingsverantwoordelijke opvolgen.
4.2 Verwerker zal de Persoonsgegevens niet opslaan op een locatie buiten de Europese Economische Ruimte of doorgeven aan landen buiten de Europese Economische Ruimte, zonder voorafgaande schriftelijke toestemming van Verwerkingsverantwoordelijke.
Verwerkingsverantwoordelijke kan voorwaarden verbinden aan haar toestemming.
4.3 Verwerker staat er voor in dat haar Personeel op de hoogte is van de eisen die de AVG-verordening stelt en zich houdt aan de voorschriften van de AVG- verordening en het gestelde in deze Verwerkersovereenkomst, indien en voor zover zij op enigerlei wijze betrokken zijn bij de Verwerking van Persoonsgegevens. De werknemers van Verwerker zijn gehouden aan een geheimhoudingsplicht.
4.4 Verwerker zal op eerste verzoek van Verwerkingsverantwoordelijke onmiddellijk alle kopieën van Verwerkingsverantwoordelijke afkomstige en/of in opdracht van Verwerkingsverantwoordelijke verwerkte Persoonsgegevens aan Verwerkingsverantwoordelijke ter hand stellen of desgevraagd vernietigen.
Verplichtingen met betrekking tot Verwerking
De artikelen 4.5 t/m 4.7 zijn alleen van toepassing indien Verwerker zich heeft verplicht tot Verwerking.
4.5 Verwerker zal passende technische en organisatorische beveiligingsmaatregelen treffen om de Persoonsgegevens te beveiligen tegen verlies en tegen onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging daarvan, een passend beveiligingsniveau gelet op de risico's die de verwerking en de aard van de te beschermen gegevens meebrengen.
4.6 Verwerker verleent Verwerkingsverantwoordelijke haar volledige en tijdige medewerking om Xxxxxxxxxxx inzage in hun persoonsgegevens te laten krijgen, hun persoonsgegevens te laten verwijderen of te corrigeren, en/of aan te laten tonen dat deze persoonsgegevens verwijderd of gecorrigeerd zijn of, indien Verwerkingsverantwoordelijke het standpunt van Betrokkene bestrijdt, vast te leggen dat Betrokkene zijn Persoonsgegevens als incorrect beschouwt.
4.7 Verwerker neemt adequate interne beheersmaatregelen om de verplichtingen uit deze Verwerkersovereenkomst na te komen en legt deze vast op een manier die controle op de naleving ervan eenvoudig mogelijk maakt. Bij Verwerking van Persoonsgegevens worden activiteiten en incidenten met betrekking tot de Persoonsgegevens vastgelegd in logbestanden.
4.8 Op aangeven van Verwerkingsverantwoordelijke werkt Verwerker mee aan encryptie bij transport van vertrouwelijke informatie over netwerken. Indien dit leidt tot hogere kosten voor Verwerker, zal Verwerkingsverantwoordelijke deze kosten vergoeden.
4.9 Verwerkingsverantwoordelijke kan eenmaal per jaar de Verwerking van Persoonsgegevens laten controleren op correcte naleving van de Verwerkersovereenkomst door middel van een onderzoek door een onafhankelijke register EDP-Auditor. De Auditor zal worden verplicht tot geheimhouding. Verwerker zal alle door de Auditor gevraagde informatie verstrekken. Alle kosten van het onderzoeken komen voor rekening van Verwerkingsverantwoordelijke.
4.10 Inhoud en omvang van de opdracht tot Verwerking en de daarvoor te betalen vergoeding is conform hetgeen daarover is geregeld in de Hoofdovereenkomst. Verwerker zal instructies van Verwerkingsverantwoordelijke met betrekking tot de verwerkingen en/of opslag van Persoonsgegevens opvolgen.
5.1 Verwerker kan de uitvoering van de Verwerkersovereenkomst geheel of ten dele uitbesteden aan een Subverwerker, na voorafgaande schriftelijke toestemming van Verwerkingsverantwoordelijke. Verwerkingsverantwoordelijke zal de toestemming in redelijkheid niet onthouden. Verwerker blijft voor Verwerkingsverantwoordelijke te allen tijde aanspreekpunt en verantwoordelijk voor de naleving van de bepalingen uit deze Verwerkersovereenkomst.
5.2 Verwerker zal aan de Subverwerker dezelfde verplichtingen opleggen als voor hemzelf uit deze Verwerkersovereenkomst voortvloeien en toezien op de naleving daarvan door Subverwerker.
5.3 Verwerker is volledig aansprakelijk jegens Verwerkingsverantwoordelijke voor de gevolgen van het uitbesteden van werkzaamheden aan een Subverwerker.
5.4 Artikel 4.2 geldt onverkort ook voor de Subverwerker.
5.5 Verwerker werkt momenteel bij de uitvoering van de Hoofdovereenkomst met de in
Bijlage 1 genoemde Subverwerkers, met wie Verwerkingsverantwoordelijke instemt.
6. Verstrekken van Persoonsgegevens
6.1 Het is Verwerker niet toegestaan Persoonsgegevens aan anderen dan Verwerkingsverantwoordelijke te verstrekken, tenzij op grond van een wettelijke verplichting of met schriftelijke toestemming van Verwerkingsverantwoordelijke. Verwerker zal iedere verstrekking aan een derde schriftelijk bevestigen met vermelding van alle betrokken partijen en/of personen.
6.2 Indien Verwerker, al dan niet op verzoek, aan Verwerkingsverantwoordelijke Persoonsgegevens verstrekt, zal Verwerkingsverantwoordelijke deze verstrekte Persoonsgegevens nimmer publiceren of verspreiden zonder hier een rechterlijke bevel aan ten grondslag ligt en schaadt hierbij nimmer de eer en goede naam van de Verwerker. Bij het overtreden van dit artikel verbeurt Verwerkingsverantwoordelijke een boete ter hoogte van €10.000 per voorval per dag aan de Verwerker.
6.3 Indien Verwerker op grond van een wettelijke verplichting Persoonsgegevens dient te verstrekken, zal Verwerker:
• de grondslag van het verzoek en de identiteit van de verzoeker verifiëren en, voorafgaand aan de verstrekking, Verwerkingsverantwoordelijke ter zake informeren;
• de verstrekking beperken tot hetgeen wettelijk verplicht is;
• Verwerkingsverantwoordelijke in staat stellen om de rechten van Verwerkingsverantwoordelijke en Betrokkenen uit te oefenen en de belangen van Verwerkingsverantwoordelijke en Betrokkenen te verdedigen.
7.1 Verwerkingsverantwoordelijke en Verwerker zullen de Persoonsgegevens –en indien van toepassing de Verwerking daarvan beveiligen overeenkomstig de voorschriften gesteld in de AVG-verordening, en in overige (bijzondere) wetgeving en Europese regels en richtlijnen ten aanzien van het verwerken van Persoonsgegevens. Het niveau van de beveiliging dient in overeenstemming te zijn met gangbare standaarden zoals ISO27001.
7.2 Verwerkingsverantwoordelijke en Verwerker zullen zich maximaal inspannen om de Persoonsgegevens te beveiligen en beveiligd te houden tegen indringers en tegen van buiten komend onheil alsmede onzorgvuldig, ondeskundig of ongeoorloofd gebruik. Beide partijen nemen maatregelen om de beveiliging te garanderen. Deze maatregelen omvatten in ieder geval, maar beperken zich niet tot toegangsbeveiliging, fysieke beveiliging, cryptografie en continuïteitsbeheer.
7.3 Indien Verwerkingsverantwoordelijke daarom schriftelijk verzoekt, zal Verwerker ten aanzien van de daarbij aangeduide Persoonsgegevens bijzondere maatregelen treffen voor de beveiliging en/of de geheimhouding daarvan. Indien dit leidt tot hogere kosten voor Verwerker, zal Verwerkingsverantwoordelijke deze kosten vergoeden.
8.1 Wanneer zich een datalek voordoet bij Verwerker, meldt Verwerker dit onmiddellijk, maar in ieder geval zo spoedig mogelijk, aan Verwerkingsverantwoordelijke onder opgave van de aard van het datalek, de (vermoedelijke) gevolgen daarvan en de maatregelen die zijn getroffen om de gevolgen te verhelpen of te beperken.
8.2 In de AVG is er een Meldplicht Datalekken opgenomen. Dit houdt in dat organisaties direct een melding moeten doen bij de Autoriteit Persoonsgegevens zodra er een ernstig datalek heeft plaatsgevonden. Partijen zullen de meldplicht opvolgen en zo nodig nadere afspraken maken over de invulling van de meldplicht en over de wijze van opsporen en vaststellen van beveiligingsincidenten en hun oorzaak.
9.1 Alle gegevens van Verwerkingsverantwoordelijke en haar klanten zijn vertrouwelijk en zullen door Xxxxxxxxx als zodanig worden behandeld. Verwerker is gehouden tot geheimhouding van alle Persoonsgegevens en informatie die zij verwerkt, of waarvan zij in het kader van de Hoofdovereenkomst of deze Verwerkersovereenkomst kennis krijgt.
9.2 De geheimhouding is niet van toepassing op informatie:
• Die openbaar bekend is zonder dat deze openbaarmaking een gevolg is van een ongeoorloofde daad;
• Xxxxxxx vrijgave is vereist op grond van enige wettelijke bepaling of Rechterlijk bevel, één en ander op voorwaarde van voorafgaande schriftelijke kennisgeving van de openbarende partij, aan de partij wiens informatie het betreft;
• Die een Partij onafhankelijk ontwikkeld heeft;
• Die een Partij reeds in haar bezit heeft zonder verplichting tot vertrouwelijkheid.
10.1 Alle intellectuele eigendomsrechten, waaronder inbegrepen auteursrechten, databankrechten en alle overige rechten van intellectuele eigendom alsmede soortgelijke rechten tot bescherming van informatie op de verzameling van data en Persoonsgegevens, kopieën of bewerkingen daarvan, berusten bij Verwerkingsverantwoordelijke (of een klant van Verwerkingsverantwoordelijke).
10.2 Alle intellectuele eigendomsrechten - waaronder auteursrechten, databankrechten en alle overige rechten van intellectuele eigendom alsmede soortgelijke rechten tot bescherming van informatie - op de producten en dienstverlening van Verwerker, berusten bij Verwerker.
11. Aansprakelijkheid en verzekering
11.1 Voor zover Verwerker aansprakelijk is voor schade uit hoofde van deze Verwerkersovereenkomst, is de totale aansprakelijkheid van Verwerker beperkt tot vergoeding van de directe schade, en dit tot maximaal het bedrag van de voor het gebruik van de dienst of het product betaalde vergoeding in de 6 maanden voorafgaand aan het ontstaan van de schade.
11.2 Aansprakelijkheid van Verwerker door indirecte schade is uitgesloten. Onder indirecte schade vallen gevolgschade, gederfde winst, gemiste besparingen, verminderde goodwill, schade door bedrijfsstagnatie, en schade als gevolg van aanspraken van derden.
12.1 De Verwerkersovereenkomst treedt in werking op de dag van de ondertekening van Hoofdovereenkomst door Partijen.
12.2 De bepalingen over duur en beëindiging van de Hoofdovereenkomst gelden als bepalingen over duur en beëindiging van de Verwerkersovereenkomst. Wanneer de Hoofdovereenkomst om welke reden dan ook eindigt, eindigt ook de Verwerkersovereenkomst.
12.3 In geval van beëindiging van de Verwerkersovereenkomst zal Verwerker alle Persoonsgegevens van Verwerkingsverantwoordelijke vernietigen.
12.4 Verplichtingen die naar hun aard bestemd zijn om ook na beëindiging van de Verwerkersovereenkomst voort te duren, blijven na beëindiging gelden. Tot deze verplichtingen behoren onder meer de bepalingen betreffende geheimhouding, overdracht en vernietiging, aansprakelijkheid en toepasselijk recht.
13.1 Elke Partij kan de Hoofdovereenkomst geheel of gedeeltelijk te ontbinden indien de wederpartij toerekenbaar tekortschiet in de nakoming van de
Verwerkersovereenkomst en ook na ingebrekestelling de tekortkoming niet is opgeheven, onverminderd het recht op schadevergoeding.
13.2 Elke Partij kan de Hoofdovereenkomst met onmiddellijke ingang zonder ingebrekestelling geheel of gedeeltelijk ontbinden indien de wederpartij surséance van betaling wordt verleend, indien ten aanzien van de wederpartij faillissement wordt aangevraagd, indien de onderneming van de wederpartij wordt geliquideerd of beëindigd anders dan ten behoeve van reconstructie of samenvoeging van ondernemingen.
14.1 Wijzigingen van deze Verwerkersovereenkomst of aanvullingen daarop worden tussen Verwerker en Verwerkingsverantwoordelijke schriftelijk overeengekomen. Wijzigingen of aanvullingen worden vastgelegd in een addendum bij deze overeenkomst en zijn bindend als dit addendum door beide Partijen is ondertekend.
14.2 Eventuele uit deze Verwerkersovereenkomst voortvloeiende geschillen zullen, nadat een poging om het geschil in onderling overleg op te lossen vruchteloos is gebleken, worden beslecht door arbitrage volgens de regels en procedures van het Nederlands Arbitrage Instituut, waarbij de arbiter(s) Nederlands recht zullen toepassen.
Bijlage 1 Lijst van Subverwerkers
Xxxxxxxxx werkt momenteel samen met de volgende subverwerkers bij de uitvoering van de Hoofdovereenkomst, met wie Verwerkingsverantwoordelijke instemt.
• Kooi Service & Security Centre B.V. (Nederland):
Monitoring and Alarm Receiving Centre: het verwerken van de videobeelden. Xxxxxxxxx 00, 0000 XX, Xxxxxxxx.