Versie 1.0 - 2018
OVEREENKOMST BETREFFENDE DE VERWERKING VAN PERSOONSGEGEVENS
(Verkoop)
Door en tussen
Verwerker EN
Verwerkingsverantwoordelijke
Versie 1.0 - 2018
Inhoud
Artikel 1. Definities 3
Artikel 2. Voorwerp van deze Overeenkomst 3
Artikel 3. verwerkING 4
Artikel 4. Verantwoordelijkheden VeRWeRKER 4
ARTIKEL 5. VERANTWOORDELIJKHEDEN VERWERKINGSVERANTWOORDELIJKE 5
Artikel 6. Sub-Verwerkers 5
Artikel 7. Beveiliging en DataLekken 6
Artikel 8. Geheimhouding 6
Artikel 9. Audits 7
Artikel 10. Aansprakelijkheid 7
Artikel 11. wijzigingen 8
Artikel 12. Looptijd en Beëindiging 8
Artikel 13. Toepasselijk recht en geschillenbeslechting 9
Artikel 14. Slotbepalingen 9
Bijlage 1. Beschrijving Verwerkingen persoonsgegevens 11
Bijlage 2. Xxxxxxxxxxxxxxxxxxxxxxx 00
Bijlage 3. Sub-verwerkers 14
VERKOOP OVEREENKOMST INZAKE DE VERWERKING VAN PERSOONSGEGEVENS
Paraaf Unit4
Paraaf Verwerkingsverantwoordelijke
1
DE ONDERGETEKENDEN
1. ………………………………………………………………………………………………………………….., welke statutair gevestigd is te ………………………………………………………………………………. en kantoor houdt te ………………………………………………………………………………………….. aan de …………………………………………………………………………………………………………., ingeschreven in het handelsregister van de Kamer van Koophandel onder nummer …………………), te dezen rechtsgeldig vertegenwoordigd door ………………………………………………………………, hierna te noemen: “Verwerkingsverantwoordelijke”,
en
2. Unit4 Business Software B.V., welke statutair gevestigd is te Utrecht en kantoor houdt te Utrecht aan de Xxxxxxxxxxxxxx 000, ingeschreven in het handelsregister van de Kamer van Koophandel onder nummer 24309362 , te dezen rechtsgeldig vertegenwoordigd door O. Zurr, hierna te noemen: “Verwerker”
Gezamenlijk te noemen: “Partijen”
OVERWEGINGEN:
A. Partijen zijn een (diensten) overeenkomst(en) aangegaan waar ook Persoonsgegevens worden verwerkt, zoals omschreven in Bijlage 1 (hierna: “Hoofdovereenkomst”) waarvan deze overeenkomst als bijlage onderdeel uit maakt.
B. Bij de uitvoering van de Hoofdovereenkomst, stelt Verwerkingsverantwoordelijke ook Persoonsgegevens, waarvoor hij de verantwoordelijke is, aan Verwerker ter beschikking en stelt voor de verwerking daarvan het doel en de middelen vast. Verwerker verwerkt deze Persoonsgegevens in het kader van genoemde Hoofdovereenkomst;
C. Partijen wensen de verwerking van persoonsgegevens door Verwerker door middel van deze Overeenkomst te regelen, conform de Algemene Verordening Gegevensbescherming (EU) 2016/679 (hierna: “AVG”);
D. Deze Overeenkomst, indien van toepassing, alle eerdere overeenkomst(en) van gelijke strekking tussen Partijen vervangt.
VERKOOP OVEREENKOMST INZAKE DE VERWERKING VAN PERSOONSGEGEVENS
Paraaf Unit4
Paraaf Verwerkingsverantwoordelijke
2
KOMEN HET VOLGENDE OVEREEN:
ARTIKEL 1. DEFINITIES
De in deze Overeenkomst met een hoofdletter aangeduide begrippen hebben de betekenis die daaraan in dit artikel wordt toegekend.
1.1 Betrokkene(n): degene(n) op wie een Persoonsgegeven betrekking heeft.
1.2 Bijlage: een bijlage bij de Overeenkomst, die daarvan onlosmakelijk deel uitmaakt.
1.3 Datalek: een schending van de beveiliging die leidt tot onbedoelde of onwettige vernietiging, verlies, wijziging, onbevoegde openbaarmaking van Persoonsgegevens of toegang tot Persoonsgegevens die zijn verzonden, opgeslagen of anderszins verwerkt.
1.4 Derde: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan, niet zijnde de Betrokkene, noch de Verwerkingsverantwoordelijke, noch de Verwerker, noch de personen die onder rechtstreeks gezag van de Verwerkingsverantwoordelijke of de Verwerker gemachtigd zijn om de Persoonsgegevens te verwerken;
1.5 Functionaris voor de Gegevensbescherming (FG): is een professioneel, deskundig persoon die binnen een organisatie toezicht houdt op de toepassing en naleving van de AVG en privacy beleid.
1.6 Hoofdovereenkomst: de overeenkomst(en)tussen Partijen inzake de dienstverlening die Verwerker aan Verwerkingsverantwoordelijke verleent en waarvan deze Overeenkomst als bijlage onderdeel uit maakt.
1.7 Overeenkomst: deze overeenkomst tussen Verwerker en Verwerkingsverantwoordelijke inclusief Bijlagen.
1.8 Persoonsgegeven(s): elk gegeven betreffende een natuurlijk persoon die daardoor direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificatienummer of van één of meer specifieke elementen die kenmerkend zijn voor zijn of haar fysieke, fysiologische, psychische, economische, culturele of sociale identiteit.
1.9 Sub-verwerker: een partij die door Verwerker wordt ingeschakeld voor de uitvoering van de Overeenkomst en de daarbij horende verwerking van Persoonsgegevens;
1.10 Verwerken/Verwerking: elke handeling of geheel van handelingen met betrekking tot de Persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van Persoonsgegevens.
1.11 Verwerker: degene die ten behoeve van de Verwerkingsverantwoordelijke Persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen.
1.12 Verwerkingsverantwoordelijke: de partij die alleen of samen met anderen, het doel van en de middelen voor de Verwerking van de Persoonsgegevens vaststelt.
ARTIKEL 2. VOORWERP VAN DEZE OVEREENKOMST
2.1 Verwerker zal de Persoonsgegevens ten behoeve van Verwerkingsverantwoordelijke Verwerken in het kader van de uitvoering van de Hoofdovereenkomst, onder de voorwaarden van deze Overeenkomst.
2.2 In Bijlage 1 bij deze Overeenkomst zijn onder meer de doeleinden van de Verwerkingen, de middelen voor de Verwerkingen, het type te Verwerken Persoonsgegevens, de bewaartermijn en plaats/land waar de Persoonsgegevens worden Verwerkt vermeld.
VERKOOP OVEREENKOMST INZAKE DE VERWERKING VAN PERSOONSGEGEVENS
Paraaf Unit4
Paraaf Verwerkingsverantwoordelijke
3
2.3 Partijen zullen de Bijlagen bij deze Overeenkomst, indien nodig, gedurende de looptijd van de Overeenkomst steeds aanpassen.
ARTIKEL 3. VERWERKING
3.1 De Persoonsgegevens zullen op behoorlijke en zorgvuldige wijze worden Verwerkt, in overeenstemming met de voorwaarden van deze Overeenkomst en in overeenstemming met de AVG, of de toepasselijke wet- en regelgeving inzake de bescherming van Persoonsgegevens indien deze regels een hoger beschermingsniveau voor de Persoonsgegevens voorschrijven dan de AVG.
3.2 Verwerker en Verwerkingsverantwoordelijke verstrekken elkaar over en weer tijdig alle benodigde informatie om een goede naleving van de geldende privacywet- en regelgeving mogelijk te maken.
3.3 Verwerking van Persoonsgegevens vindt plaats in de plaats/het land zoals is aangegeven in Bijlage 1. Bij ondertekening van de Overeenkomst heeft Verwerkingsverantwoordelijke toestemming gegeven voor Verwerking van de Persoonsgegevens in de landen die zijn opgenomen in Bijlage 1.
3.4 Indien de Verwerking van Persoonsgegevens buiten de Europese Unie (“EU”) plaatsvindt, zal Verwerking alleen plaatsvinden als de Verwerkingsverantwoordelijke zijn schriftelijke toestemming heeft gegeven en op voorwaarde dat de Verwerking zal plaatsvinden op grond van passende waarborgen die voldoende niveau van gegevensbescherming bieden.
ARTIKEL 4. VERANTWOORDELIJKHEDEN VERWERKER
4.1 Verwerker zal de Persoonsgegevens op behoorlijke en zorgvuldige wijze verwerken conform de voorwaarden van deze Overeenkomst en zal zorgdragen voor de naleving van de toepasselijke wettelijke voorschriften inzake de bescherming van Persoonsgegevens.
4.2 Verwerker verwerkt Persoonsgegevens uitsluitend in het kader van de uitvoering van de Hoofdovereenkomst en de schriftelijke instructies die door de Verwerkingsverantwoordelijke zijn gegeven, behoudens hij daartoe wettelijk verplicht is. In dit laatste geval brengt hij de Verwerkingsverantwoordelijke op de hoogte van de wettelijke bepalingen en zijn verplichting.
4.3 Verwerker verwerkt alleen Persoonsgegevens van de Verwerkingsverantwoordelijke voor de doeleinden waarvoor deze zijn ontvangen en om aan de uit hoofde van deze Overeenkomst gedelegeerde verplichtingen te voldoen. Verwerker zal de Persoonsgegevens niet voor andere doeleinden gebruiken.
4.4 Verwerker zal de Persoonsgegevens niet aan een Derde verstrekken, tenzij deze uitwisseling plaatsvindt in opdracht van de Verwerkingsverantwoordelijke in het kader van de uitvoering van de Overeenkomst of wanneer dit noodzakelijk is om te voldoen aan een wettelijke verplichting.
4.5 Verwerker zal de Persoonsgegevens niet wijzigen zonder opdracht daartoe van de Verwerkingsverantwoordelijke.
4.6 Verwerker zal haar redelijke medewerking verlenen aan Verwerkingsverantwoordelijke om aan de verzoeken van een Betrokkene te voldoen met betrekking tot zijn / haar rechten zoals vermeld in de AVG zoals maar niet beperkt tot (i) Betrokkenen inzage te geven in hun Persoonsgegevens, (ii) Persoonsgegevens op verzoek van Xxxxxxxxxxx te verwijderen of corrigeren, en/of (iii) aan te tonen dat Persoonsgegevens na een verzoek daartoe van een Betrokkene verwijderd of gecorrigeerd zijn, en/of
(iv) op verzoek van een Betrokkene de Persoonsgegevens verstrekken die hij/zij aan de Verwerkingsverantwoordelijke heeft verstrekt en deze laatste aan Verwerker heeft verstrekt (v) en op verzoek van de Betrokkene deze gegevens doorzenden naar een andere Verwerkingsverantwoordelijke (“data-portabiliteit”) Verwerker zal de Persoonsgegevens verstrekken in een gestructureerde, veelgebruikte en machine leesbaar format.
VERKOOP OVEREENKOMST INZAKE DE VERWERKING VAN PERSOONSGEGEVENS
Paraaf Unit4
Paraaf Verwerkingsverantwoordelijke
4
4.7 Indien Verwerker een verzoek of bezwaar van een Betrokkene ontvangt, zoals een verzoek om informatie, inzage, rectificatie, wissen van gegevens, verwerkingsbeperking, overdracht van de Persoonsgegevens, stuurt Verwerker dat verzoek onmiddellijk door naar Verwerkingsverantwoordelijke.
4.8 Verwerker houdt een register bij van alle categorieën verwerkingsactiviteiten die namens Verwerkingsverantwoordelijke worden verricht in overeenstemming met de in de AVG genoemde vereisten.
4.9 De Verwerker zal de Verwerkingsverantwoordelijke ondersteunen bij het nakomen van de wettelijke informatieverplichtingen van een toezichthoudende autoriteit of Betrokkenen en zo nodig, indien het de technologie van Verwerker betreft, assistentie verlenen bij een Privacy Impact Assessment (“PIA”).
ARTIKEL 5. VERANTWOORDELIJKHEDEN VERWERKINGSVERANTWOORDELIJKE
5.1 Verwerkingsverantwoordelijke is verantwoordelijk voor de rechtmatigheid van de Verwerking, de naleving van de wettelijke voorschriften inzake de bescherming van Persoonsgegevens, inclusief, maar niet beperkt tot, de bescherming van de rechten van de Betrokkenen.
5.2 Verwerkingsverantwoordelijke is verantwoordelijk voor het vaststellen van het doel en de middelen van de Verwerking van de Persoonsgegevens.
5.3 Verwerkingsverantwoordelijke is verantwoordelijk voor het informeren van de Betrokkenen en het waarborgen van de rechten die Betrokkenen op basis van de AVG en andere toepasselijke privacywet- en regelgeving kunnen uitoefenen, en voor de communicatie met Betrokkenen.
5.4 Verwerkingsverantwoordelijke garandeert dat de Persoonsgegevens correct, ter zake dienend en niet bovenmatig zijn in het licht van de doeleinden waarvoor de Persoonsgegevens (verder) worden Verwerkt.
5.5 De Verwerkingsverantwoordelijke stelt de Verwerker onmiddellijk op de hoogte als er fouten of onregelmatigheden optreden met betrekking tot de Verwerking.
5.6 De Verwerkingsverantwoordelijke is verplicht om alle informatie die de Verwerker nodig heeft voor de Verwerking, tijdig beschikbaar te stellen.
ARTIKEL 6. SUB-VERWERKERS
6.1 Verwerker zal geen Sub-verwerkers inschakelen zonder voorafgaande toestemming van de Verwerkingsverantwoordelijke. Bij ondertekening van de Overeenkomst heeft Verwerkingsverantwoordelijke toestemming gegeven voor het inschakelen van de Sub-verwerker(s) zoals aangegeven in Bijlage 3.
6.2 De Verwerker zal de Verwerkingsverantwoordelijke schriftelijk in kennis stellen van eventuele beoogde wijzigingen met betrekking tot de vervanging van een Sub-verwerker(s). De Verwerkingsverantwoordelijke heeft de mogelijkheid om schriftelijk bezwaar te maken, binnen 7 dagen na schriftelijke kennisgeving hiervan, tegen dergelijke wijzigingen.
6.3 De inschakeling van een Sub-verwerker beïnvloedt op geen enkele wijze de verplichtingen van Verwerker ten opzichte van de Verwerkingsverantwoordelijke. Toegang tot de relevante Persoonsgegevens mag alleen worden toegekend wanneer de Sub-verwerker voldoet aan de van toepassing zijnde verplichtingen van deze Overeenkomst. Verwerker zal met de door haar ingeschakelde Sub-verwerkers een overeenkomst sluiten die in overeenstemming is met de relevante wet- en regelgeving en deze Overeenkomst.
VERKOOP OVEREENKOMST INZAKE DE VERWERKING VAN PERSOONSGEGEVENS
Paraaf Unit4
Paraaf Verwerkingsverantwoordelijke
5
6.4 In Bijlage 3 staat een geactualiseerde lijst met de relevante gegevens over de Sub-verwerkers, de verwerkingsplaats en de beschrijving van de werkzaamheden. Partijen zullen deze Bijlage, indien nodig, gedurende de looptijd van de Overeenkomst steeds aanpassen.
ARTIKEL 7. BEVEILIGING EN DATALEKKEN
7.1 Verwerker zal de technische en organisatorische beveiligingsmaatregelen - die voldoen aan de geldende privacywet- en regelgeving en de stand der techniek, - treffen die nodig zijn om de beschikbaarheid, integriteit en vertrouwelijkheid van Persoonsgegevens te waarborgen en te beveiligen tegen verlies of onrechtmatige Verwerking. Om hieraan te kunnen voldoen zal Verwerkingsverantwoordelijke Verwerker informeren over de betrouwbaarheidseisen die op de Verwerking van toepassing zijn en tijdig de benodigde informatie verstrekken in geval van wijzigingen in de verwerking van Persoonsgegevens.
7.2 De technische en organisatorische beveiligingsmaatregelen zullen steeds zijn beschreven in Bijlage 2 en zullen voldoen aan de daarvoor geldende algemeen geaccepteerde beveiligingsstandaarden. Verwerkingsverantwoordelijke erkent dat zij de in Bijlage 2 opgenomen afspraken voldoende acht voor een passende beveiliging van de Persoonsgegevens in overeenstemming met de geldende wettelijke verplichtingen.
7.3 De Verwerker zal de Verwerkingsverantwoordelijke onverwijld, zonder onnodige vertraging, in kennis stellen nadat zij zich bewust is van een Datalek.
7.4 De in paragraaf 7.3 bedoelde kennisgeving zal ten minste omvatten:
1) de aard van het Datalek, waar mogelijk, de categorieën en bij benadering het benaderde aantal Betrokkenen en de categorieën en het bijbehorende aantal betrokken Persoonsgegevens;
2). de naam en contactgegevens van de FG of ander contactpunt waar meer informatie kan worden verkregen;
3) een beschrijving van de waarschijnlijke gevolgen van het Datalek;
4) de door de Verwerker genomen maatregelen of voorstellen om het Datalek aan te pakken, met inbegrip van, in voorkomend geval, maatregelen om de mogelijke nadelige effecten ervan te beperken.
7.5 De Verwerker zal de Verwerkingsverantwoordelijke ondersteunen bij het nakomen van de wettelijke informatieverplichtingen van een toezichthoudende autoriteit of Betrokkenen, bij Datalekken.
7.6 Als de Verwerker van mening is dat een Verwerking onwettig is, zal hij de Verwerkingsverantwoordelijke onmiddellijk op de hoogte stellen.
ARTIKEL 8. GEHEIMHOUDING
8.1 Verwerker houdt de Persoonsgegevens die zij verwerkt in het kader van de uitvoering van de Overeenkomst geheim en zal alle nodige maatregelen treffen om geheimhouding van de Persoonsgegevens te verzekeren. Verwerker zal de verplichting tot geheimhouding tevens opleggen aan haar personeel en alle door haar ingeschakelde personen die toegang hebben tot Persoonsgegevens.
8.2 De in dit artikel bedoelde geheimhoudingsplicht geldt niet indien Verwerkingsverantwoordelijke uitdrukkelijk schriftelijk toestemming heeft gegeven om de Persoonsgegevens aan een Derde te verstrekken, of een wettelijke verplichting bestaat om de Persoonsgegevens aan een Derde te verstrekken.
VERKOOP OVEREENKOMST INZAKE DE VERWERKING VAN PERSOONSGEGEVENS
Paraaf Unit4
Paraaf Verwerkingsverantwoordelijke
6
ARTIKEL 9. AUDITS
9.1 Verwerker stelt Verwerkingsverantwoordelijke in staat om de naleving door Verwerker van de in deze Overeenkomst genoemde verplichtingen te controleren of te laten controleren door onafhankelijke auditors, op kosten van Verwerkingsverantwoordelijke, zonder vertrouwelijke gegevens van Verwerker te gebruiken en in te zien en zonder de werkprocessen van Verwerker te verstoren. Als uit de controle blijkt dat Xxxxxxxxx niet volledig voldoet aan haar verplichtingen, zal Verwerker de door de controle aangetoonde tekortkomingen zo spoedig als redelijkerwijs mogelijk beëindigen en/of herstellen. In zo een geval zal Verwerker ook de redelijke daadwerkelijk aantoonbaar gemaakte kosten van de audit dragen.
9.2 De controle zal ten hoogste eenmaal per jaar plaatsvinden, tenzij Verwerkingsverantwoordelijke redelijkerwijs aanwijzingen heeft dat Verwerker haar verplichtingen op grond van deze Overeenkomst niet nakomt. Verwerker zal Verwerkingsverantwoordelijke alle gegevens en informatie verstrekken die deze redelijkerwijs nodig heeft voor de controle.
9.3 In geval van een onderzoek door de Autoriteit Persoonsgegevens (“AP”) of een andere bevoegde autoriteit zal Verwerker alle redelijke medewerking verlenen en Verwerkingsverantwoordelijke zo snel mogelijk informeren.
9.4 De Verwerker wijst een contactpersoon aan die de Verwerkingsverantwoordelijke ondersteunt bij het vervullen van wettelijke openbaarmakingsverplichtingen die voortvloeien uit de Verwerking van de Persoonsgegevens en informeert de Verwerkingsverantwoordelijke over de contactgegevens van de contactpersoon.
9.5 De Verwerker zal geen stappen ondernemen tegen enig onderzoek dat wordt ontvangen van Xxxxxxxxxxx of derden, behalve op eerdere instructies van de Verwerkingsverantwoordelijke behoudens Verwerker hiertoe wettelijk is verplicht. Voor zover een Betrokkene de Xxxxxxxxx verzoekt om zijn of haar aanspraken in verband met de gegevensbeschermingswetgeving te handhaven, stuurt de Verwerker dit verzoek onverwijld naar de Verwerkingsverantwoordelijke.
ARTIKEL 10. AANSPRAKELIJKHEID
10.1 Indien een Partij toerekenbaar tekortschiet in de nakoming van de Overeenkomst is deze Partij aansprakelijk voor de schade en kosten die de andere Partij daardoor lijdt of heeft geleden. Behoudens het bepaalde in dit artikel 10 lid 2, 3 en 4 en behoudens in geval van opzet of bewuste roekeloosheid , zijn op de aansprakelijkheid voor alle overige schade die een Partij lijdt als gevolg van een toerekenbare tekortkoming door de andere Partij in de nakoming van de Overeenkomst, de bepalingen in de Hoofdovereenkomst inzake (enige beperking van) aansprakelijkheid van een Partij onverkort van toepassing, echter met dien verstande dat de totale aansprakelijkheid op grond van deze Overeenkomst nooit meer zal bedragen dan een bedrag van i) € 500.000,- of indien dit een hoger bedrag is ii) het aansprakelijkheidsbedrag zoals overeengekomen in de Hoofdovereenkomst.
10.2 Verwerker vrijwaart Verwerkingsverantwoordelijke voor boetes en/of dwangsommen van of namens de AP die aan Verwerkingsverantwoordelijke worden opgelegd en voor aanspraken voor schade van een Betrokkene(n), indien vast is komen te staan dat deze boetes en/of dwangsommen dan wel aanspraken het gevolg zijn van het door de Verwerker bij de Verwerking niet voldoen aan de specifiek tot de Verwerker gerichte verplichtingen van de AVG of andere van toepassing zijnde privacywetgeving.
Om een beroep te kunnen doen op deze vrijwaring is Verwerkingsverantwoordelijke gehouden om:
i. Verwerker onverwijld schriftelijk te informeren over het bestaan en de inhoud van een aanspraak van een Betrokkene of van enig onderzoek of andere aanleiding die zou kunnen leiden tot een voornemen van de AP tot het opleggen van een boete of last onder dwangsom;
ii. in samenspraak met Verwerker te handelen en te communiceren richting de toezichthouder dan wel betreffende Betrokkene;
VERKOOP OVEREENKOMST INZAKE DE VERWERKING VAN PERSOONSGEGEVENS
Paraaf Unit4
Paraaf Verwerkingsverantwoordelijke
7
iii. tegen opgelegde boetes in bezwaar en/of beroep te gaan indien daar redelijkerwijs aanleiding voor is; en
iv. de afhandeling van de zaak, waaronder het treffen van eventuele schikkingen, geheel overlaat aan Xxxxxxxxx. Verwerkingsverantwoordelijke zal daartoe de nodige volmachten, informatie en medewerking aan Verwerker verlenen om zich, indien nodig in naam van Verwerkingsverantwoordelijke, tegen deze rechtsvorderingen te verweren.
10.3 Verwerkingsverantwoordelijke vrijwaart Verwerker voor boetes en/of dwangsommen van of namens de AP die aan Verwerker worden opgelegd en voor aanspraken voor schade van een Betrokkenen(n), indien vast is komen te staan dat deze boetes en/of dwangsommen dan wel aanspraken het gevolg zijn van het door de Verwerkingsverantwoordelijk bij de Verwerking niet voldoen aan de specifiek tot de Verwerkingsverantwoordelijke gerichte verplichtingen van de AVG of andere van toepassing zijnde privacywetgeving.
Om een beroep te kunnen doen op deze vrijwaring is Verwerker gehouden om:
i. Verwerkingsverantwoordelijke onverwijld schriftelijk te informeren over het bestaan en de inhoud van een aanspraak van een Betrokkene of van enig onderzoek of andere aanleiding die zou kunnen leiden tot een voornemen van een toezichthouder tot het opleggen van een boete of last onder dwangsom;
ii. in samenspraak met Verwerkingsverantwoordelijke te handelen en te communiceren richting de toezichthouder dan wel betreffende Betrokkene;
iii. tegen opgelegde boetes in bezwaar en/of beroep te gaan indien daar redelijkerwijs aanleiding voor is; en
iv. de afhandeling van de zaak, waaronder het treffen van eventuele schikkingen, geheel overlaat aan Verwerkingsverantwoordelijke. Verwerker zal daartoe de nodige volmachten, informatie en medewerking aan Verwerkingsverantwoordelijke verlenen om zich, indien nodig in naam van Verantwoordelijke, tegen deze rechtsvorderingen te verweren.
10.4 Voor zover Partijen hoofdelijk aansprakelijk zijn jegens derden, waaronder begrepen Betrokkene(n), of gezamenlijk een boete opgelegd krijgen door de AP, zijn zij jegens elkaar, ieder voor het gedeelte van de schuld dat haar in onderlinge verhouding aangaat, verplicht in de schuld en kosten bij te dragen.
ARTIKEL 11. WIJZIGINGEN
11.1 Partijen zullen ingeval van wijzigingen in door Verwerker en/of Verwerkingsverantwoordelijke uit te voeren werkzaamheden uit hoofde van de Hoofdovereenkomst die mogelijk gevolgen hebben voor de Verwerkingen, steeds met elkaar overleggen over de mogelijk noodzakelijke wijzigingen in deze Overeenkomst, waaronder uitdrukkelijk begrepen wijzigingen in de technische en organisatorische maatregelen als bedoeld in artikel 7 van deze Overeenkomst. De wijzigingen in de tekst van deze Overeenkomst kunnen uitsluitend schriftelijk door de bevoegde vertegenwoordigers van Partijen worden overeengekomen.
11.2 Wijzigingen in de Bijlagen kunnen door Partijen schriftelijk worden gedaan onder vermelding van het versienummer en de datum van ingang van de nieuwe versie.
ARTIKEL 12. LOOPTIJD EN BEËINDIGING
12.1 Deze Overeenkomst is van toepassing zolang Verwerker de Persoonsgegevens in verband met de Hoofdovereenkomst Verwerkt.
12.2 Indien en zodra deze Overeenkomst eindigt, zal Verwerker de documenten, computerschijven en andere gegevensdragers met daarop de Persoonsgegevens aan Verwerkingsverantwoordelijke retourneren of op verzoek van Verwerkingsverantwoordelijke vernietigen of bewaren zoals aangegeven in Bijlage 1. Voor zover de Persoonsgegevens zijn opgenomen in een computersysteem of in een andere vorm waardoor deze redelijkerwijs niet kunnen worden teruggegeven, zal Verwerker de Persoonsgegevens
VERKOOP OVEREENKOMST INZAKE DE VERWERKING VAN PERSOONSGEGEVENS
Paraaf Unit4
Paraaf Verwerkingsverantwoordelijke
8
zoals opgenomen in haar systemen, vernietigen of anonimiseren tenzij Partijen schriftelijk anders overeenkomen.
ARTIKEL 13. TOEPASSELIJK RECHT EN GESCHILLENBESLECHTING
13.1 Op deze Overeenkomst is het recht van toepassing dat van toepassing is op de Hoofdovereenkomst, voor zover dwingendrechtelijke bepalingen zich daar niet tegen verzetten.
13.2 Geschillen die voortvloeien uit of verband houden met deze Overeenkomst zullen bij uitsluiting worden beslecht door de rechter die bevoegd is kennis te nemen van geschillen inzake de Hoofdovereenkomst.
ARTIKEL 14. SLOTBEPALINGEN
14.1 Indien een Partij onderworpen is aan verdere verplichtingen van geheimhouding en de andere Partij hiervan schriftelijke op de hoogte heeft gesteld, is de andere Partij verplicht ook deze verplichtingen ook na te leven.
14.2 Indien de individuele bepalingen van deze Overeenkomst of delen ervan ongeldig zijn of ongeldig worden, is dit niet van invloed op de overige bepalingen van de Overeenkomst. Partijen zullen in gezamenlijk overleg zo een ongeldig artikel wijzigen in een geldig artikel.
14.3 Contractwijzigingen en aanvullingen bij deze Overeenkomst moeten schriftelijke worden overeengekomen.
14.4 Bij tegenstrijdigheden tussen bepalingen van deze Overeenkomst en de Hoofdovereenkomst of bepalingen van andere bijlagen van de Hoofdovereenkomst, prevaleren eerstgenoemde bepalingen.
14.5 Na beëindiging van deze Overeenkomst blijven de bepalingen, die naar hun aard bestemd zijn om ook nadien van kracht te blijven, waaronder begrepen de geheimhoudingsverplichting en de aansprakelijkheid, onverminderd van kracht.
BIJLAGEN
Bijlage 1 Beschrijving verwerking Persoonsgegevens
Bijlage 2 Beveiligingsmaatregelen
Bijlage 3 Sub-verwerkers.
VERKOOP OVEREENKOMST INZAKE DE VERWERKING VAN PERSOONSGEGEVENS
Paraaf Unit4
Paraaf Verwerkingsverantwoordelijke
9
TEN BLIJKE WAARVAN
Aldus overeengekomen en in tweevoud getekend.
Unit4 Business Software B.V. Naam: O. Zurr Functie: General Manager SME Datum: 14 juni 2018 | Naam: Functie: Datum: |
VERKOOP OVEREENKOMST INZAKE DE VERWERKING VAN PERSOONSGEGEVENS
Paraaf Unit4
Paraaf Verwerkingsverantwoordelijke
10
BIJLAGE 1. BESCHRIJVING VERWERKINGEN PERSOONSGEGEVENS
1. HOOFDOVEREENKOMST
Partijen zijn de volgende een (diensten)overeenkomst(en) aangegaan waarin ook Persoonsgegevens worden verwerkt (“Hoofdovereenkomst”) waarvan deze Overeenkomst als bijlage onderdeel uit maakt.
Overeenkomst met betrekking tot Multivers
2. TE VERWERKEN PERSOONSGEGEVENS:
Unit4 zal als Verwerker bij zijn werkzaamheden, toegang krijgen tot de volgende Persoonsgegevens:
Klant/werknemers namen Klant/werknemers adressen Klant/werknemers contactgegevens Klant/werknemers nummer Klant/werknemers IBAN en KvK-nr Klant/werknemers Contract informatie
En eventueel andere Persoonsgegevens die in Vrije velden bij Unit4 Multivers zijn opgeslagen door de Verwerkingsverantwoordelijke
3. AARD EN DOELEINDE(N) VERWERKING:
Meer specifiek stelt de Verwerkingsverantwoordelijke aan de Verwerker/Unit4 de gegevens ter beschikking voor de volgende werkzaamheden:
• Eventueel in de database bestaande persoonsgegevens die noodzakelijk zijn voor het online verwerken van gegevens bij het factureren door de Verwerkingsverantwoordelijke.
Verder heeft de Verwerker toegang tot Persoonsgegevens bij het:
• online Verwerken van bankmutaties in de database.
• onlinetransacties die de Verwerkingsverantwoordelijke gebruikt bij zijn dagelijkse werkzaamheden voor bijvoorbeeld webshoptransacties.
4. BESCHRIJVING VERWERKING(EN) EN MIDDELEN
Verwerker zal de hiervoor genoemde Persoonsgegevens niet actief gebruiken behalve als de Persoonsgegevens noodzakelijk zijn voor het factureringsverkeer van de Verwerkingsverantwoordelijke, de gebruiker van Unit4 Multivers.
Leveren van support op de Unit4 Multivers applicatie. Hosting van de Unit4 Multivers applicatie.
5. BEWAARTERMIJN
Verwerker zal de Persoonsgegevens bewaren voor de duur van de werkzaamheden, of zoveel langer als in deze overeenkomst wordt bepaald.
VERKOOP OVEREENKOMST INZAKE DE VERWERKING VAN PERSOONSGEGEVENS
Paraaf Unit4
Paraaf Verwerkingsverantwoordelijke
11
Na de overeengekomen bewaartermijn zal Verwerker de Persoonsgegevens aan Verwerkingsverantwoordelijke retourneren in een veelgebruikt, machine leesbaar format of op eerste verzoek van Verwerkingsverantwoordelijke vernietigen of anonimiseren zonder deze nog verder te gebruiken en zonder een kopie te behouden, met inachtneming van de wettelijke bewaartermijnen in Nederland.
6. INFORMATIE MET BETREKKING TOT LAND/PLAATS VAN VERWERKING VAN PERSOONSGEGEVENS
DE VERWERKING VAN DE PERSOONSGEGEVENS VOOR ZOVER VAN TOEPASSING, VINDT PLAATS IN BELGIË.
7. CONTACTGEGEVENS
Voor vragen of opmerkingen over de Bewerkersovereenkomst en Bijlagen is de contactpersoon van
VERANTWOORDELIJKE: [contactgegevens]
VERWERKER: Unit4 Business Software B.V.
Data Protection Officer XXX@xxxx0.xxx
VERKOOP OVEREENKOMST INZAKE DE VERWERKING VAN PERSOONSGEGEVENS
Paraaf Unit4
Paraaf Verwerkingsverantwoordelijke
12
BIJLAGE 2. BEVEILIGINGSMAATREGELEN
Zoals opgenomen in art. 7 van deze Overeenkomst, worden hieronder de afspraken tussen Partijen vastgelegd over de concrete technische en organisatorische beveiligingsmaatregelen. De getroffen maatregelen zijn opgenomen in deze Bijlage en worden aangevuld of gewijzigd indien dat nodig is. Verwerkingsverantwoordelijke acht genoemde maatregelen passend voor de Verwerking van de Persoonsgegevens.
De online-omgeving en de hosting wordt verzorgd door sub-verwerker Aspex.
Unit4 en Aspex hebben gezamenlijk de volgende set van beveiligingsmaatregelen genomen.
o Er is een beveiligingsbeleid dat periodiek geüpdatet wordt
o Er zijn geheimhoudingsverplichtingen in de arbeidscontracten.
o Alle data wordt afgeschermd per klant door middel van rechten.
o Alle data wordt afgeschermd per klant door middel van id + wachtwoord.
o Er worden backups genomen van alle systemen en er is een disaster recovery plan.
o Alle kritische componenten zijn opgezet in een High Availability modus. In geval van calamiteiten in het ene datacenter wordt er overgeschakeld op een ander datacenter.
o Het beveiligingsprogramma van Aspex is opgebouwd op basis van ISO 27001.
o De sub-verwerker Aspex beschikt over een ISAE 3402 type II certificaat, welke door Unit4 jaarlijks wordt gecontroleerd.
o De toegang van de Aspex-medewerkers tot de data wordt maandelijks gecontroleerd.
o Er zijn procedures van kracht die voor nieuwe, vertrekkende of muterende medewerker rechten toekennen of wegnemen.
o Alle toegang tot data verloopt over beveiligde verbindingen.
o Alle data wordt afgeschermd op basis van een rechtensysteem.
o Het beveiligingsbeleid is gebaseerd op risico.
o Periodiek wordt een risico-analyse uitgevoerd om zwakke plekken te detecteren en aan te pakken.
o Er is een incident management proces voor efficiënt en effectief opvolgen van incidenten.
De toegang tot de online-omgeving vanuit Unit4 is beperkt tot enkele gebruikers die in het kader van hun opdracht toegang moeten hebben. Deze personen zijn uitdrukkelijk alleen gerechtigd tot activiteiten die noodzakelijk zijn voor het onderhoud van de software en het verlenen van ondersteuning.
VERKOOP OVEREENKOMST INZAKE DE VERWERKING VAN PERSOONSGEGEVENS
Paraaf Unit4
Paraaf Verwerkingsverantwoordelijke
13
BIJLAGE 3. SUB-VERWERKERS
Lijst van Sub-verwerkers.
Sub-verwerker | Verwerkingsplaats | Werkzaamheden Sub-verwerker |
ASPEX nv Antwerpen | Antwerpen (BE) | Datacenter |
VERKOOP OVEREENKOMST INZAKE DE VERWERKING VAN PERSOONSGEGEVENS
Paraaf Unit4
Paraaf Verwerkingsverantwoordelijke
14