VERWERKERS OVEREENKOMST
VERWERKERS OVEREENKOMST
1. [Naam Verwerkingsverantwoordelijke], gevestigd aan de [adres] te [plaats] en ingeschreven in het register van de Kamer van Koophandel onder nummer [KvK-nummer], in deze rechtsgeldig vertegenwoordigd door [titel, naam en functie] (hierna: “Verwerkingsverantwoordelijke”);
en:
2. Van der Laarse Multisupplies B.V., gevestigd aan de F.A. Wentstraat 6 te Aalsmeer (hoofdvestiging) en Xxxxxx Xxxxxxxx 00 te Honselersdijk, ingeschreven in het register van de Kamer van Koophandel onder nummer 70504539, in deze rechtsgeldig vertegenwoordigd door Xxxxx Xxxxxxxxx, adjunct directeur (hierna “Verwerker”),
hierna gezamenlijk ook aan te duiden als: “Partijen” en afzonderlijk als “Partij”. OVERWEGENDE DAT:
(a) Verwerker diensten verricht ten behoeve van Verwerkingsverantwoordelijke, zoals beschreven in de Overeenkomst.
(b) Deze diensten meebrengen dat Persoonsgegevens worden verwerkt.
(c) Verwerker de betreffende gegevens louter in opdracht van Verwerkingsverantwoordelijke verwerkt en niet voor eigen doeleinden.
(d) Per 25 mei 2018 van toepassing zal zijn Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 (Algemene verordening gegevensbescherming).
(e) Partijen in deze Verwerkersovereenkomst de afspraken met betrekking tot de verwerking van Persoonsgegevens in het kader van de diensten wensen vast te leggen.
(f) Deze Verwerkersovereenkomst, indien van toepassing, alle eerdere Overeenkomst(en) van gelijke strekking tussen Partijen vervangt.
VERKLAREN TE ZIJN OVEREENGEKOMEN ALS VOLGT:
Artikel 1. Definities
1.1. In deze Verwerkersovereenkomst wordt onder de volgende met een hoofdletter aangeduide begrippen het volgende verstaan:
a) Algemene Verordening Gegevens Bescherming of AVG: Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Xxxxxxxxx 95/46/EG.
b) Betrokkene: Een geïdentificeerde of identificeerbare natuurlijke persoon (artikel 4 sub 1 AVG).
c) Derde: Een derde als bedoeld in artikel 4 sub 10 AVG.
d) Functionaris voor de Gegevensbescherming: Een functionaris als bedoeld in artikel 37 e.v. AVG.
e) Incident: Een klacht of (informatie)verzoek van een Betrokkene met betrekking tot de verwerking van Persoonsgegevens door Verwerker, een onderzoek naar of beslaglegging door overheidsfunctionarissen op de Persoonsgegevens of een vermoeden dat dit gaat plaatsvinden, een inbreuk in verband met Persoonsgegevens als bedoeld in artikel 4 onder 12 AVG, iedere ongeautoriseerde toegang, verwijdering, verminking, verlies of enige andere vorm van onrechtmatige verwerking van de Persoonsgegevens.
f) Medewerker: De door Partijen voor de uitvoering van deze Verwerkersovereenkomst betrokken natuurlijke persoon die werkzaam is bij of voor een van de Partijen.
g) Overeenkomst: Een of meerdere overeenkomsten tussen Partijen op basis waarvan Persoonsgegevens door Ververwerker worden verwerkt en waar deze Verwerkersovereenkomst op ziet.
h) Partij: Verwerkingsverantwoordelijke of Verwerker.
i) Partijen: Verwerkingsverantwoordelijke en Verwerker.
j) Persoonsgegeven: Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon in de zin van artikel 4 onder 1 AVG.
k) Subverwerker: Iedere niet-ondergeschikte derde partij die door Verwerker is betrokken bij de verwerking van Persoonsgegevens in het kader van de Overeenkomst, niet zijnde Medewerkers.
l) Verwerker: De verwerker als bedoeld in artikel 4 sub 8 AVG
m) Verwerkersovereenkomst: De onderhavige overeenkomst.
n) Verwerkingsverantwoordelijke: De verwerkings- verantwoordelijke als bedoeld in artikel 4 sub 7 AVG
o) Wet bescherming persoonsgegevens: Wet van 6 juli 2000, houdende regels inzake
de bescherming van persoonsgegevens (Wet bescherming persoonsgegevens), inclusief latere wijzigingen.
1.2. Voornoemde en overige begrippen worden geïnterpreteerd overeenkomstig de AVG.
1.3. Waar in deze Verwerkersovereenkomst naar bepaalde normen wordt verwezen (zoals NEN7510) wordt daarmee steeds gedoeld op de meest actuele versie daarvan. Voor zover de betreffende norm niet meer wordt onderhouden, dient in de plaats daarvan de meest actuele versie van de logische opvolger van de betreffende norm gelezen te worden.
Artikel 2. Onderwerp van deze Verwerkersovereenkomst
2.1. Deze overeenkomst heeft betrekking op iedere verwerking van persoonsgegevens in opdracht van de Verwerkingsverantwoordelijke in het kader van de uitvoering van de Overeenkomst.
2.2. Deze Verwerkersovereenkomst maakt onverbrekelijk deel uit van reeds bestaande overeenkomsten. Voor zover het bepaalde in de Verwerkersovereenkomst hiermee strijdig is, prevaleert het bepaalde in de Verwerkersovereenkomst.
Artikel 3. Uitvoering verwerking
3.1. Verwerker garandeert dat hij ten behoeve van Verwerkingsverantwoordelijke uitsluitend Persoonsgegevens zal verwerken voor zover dit noodzakelijk is voor de uitvoering van de Overeenkomst, of Verwerkingsverantwoordelijke daartoe nadere schriftelijke instructies heeft gegeven.
3.2. Verwerker zal redelijke instructies van Verwerkingsverantwoordelijke in verband met de verwerking van de Persoonsgegevens opvolgen. Verwerker stelt Verwerkingsverantwoordelijke op de hoogte indien naar zijn oordeel instructies in strijd zijn met de toepasselijke wetgeving met betrekking tot de verwerking van Persoonsgegevens.
3.3. Onverminderd het bepaalde in het eerste lid van dit artikel 3, is het Verwerker toegestaan om Persoonsgegevens te verwerken indien een wettelijk voorschrift (waaronder begrepen daarop gebaseerde rechterlijke of bestuurlijke bevelen) hem tot een verwerking verplicht. In dat geval stelt de Verwerker voorafgaand aan de verwerking Verwerkingsverantwoordelijke in kennis van de beoogde verwerking en het wettelijk voorschrift, tenzij die wetgeving deze kennisgeving om gewichtige redenen van algemeen belang verbiedt. Verwerker zal Verwerkingsverantwoordelijke, waar mogelijk, in staat stellen zich te verweren tegen deze verplichte verwerking en ook overigens de verplichte verwerking beperken tot het strikt noodzakelijke.
3.4. Verwerker zal de Persoonsgegevens op zorgvuldige wijze verwerken en in overeenstemming met de op hem als Verwerker rustende verplichtingen op grond van de AVG, voor zover nog van toepassing de Wbp, en overige wet- en regelgeving.
3.5. Het is Verwerker toegestaan Persoonsgegevens te verwerken of te laten verwerken door hemzelf of door derden in landen binnen de Europese Unie.
3.6. Verwerker waarborgt dat betrokken Medewerkers een geheimhoudingsovereenkomst hebben getekend.
Artikel 4. Beveiliging Persoonsgegevens en controle
4.1. Verwerker zal zich inspannen voldoende technische en organisatorische maatregelen te nemen met betrekking tot de te verrichten Verwerkingen van Persoonsgegevens, tegen verlies of tegen enige vorm van onrechtmatige Verwerking.
4.2. Verwerkingsverantwoordelijke heeft het recht om een controle op naleving van deze overeenkomst te laten uitvoeren door een onafhankelijke derde die aan geheimhouding is gebonden. Deze controle mag eens per 2 jaar plaatsvinden of eerder indien er een concreet vermoeden bestaat van misbruik van persoonsgegevens. Verwerker zal in alle redelijkheid haar medewerking verlenen aan een dergelijk onderzoek. Verwerker zal eventuele door Verwerkingsverantwoordelijke naar aanleiding van een dergelijk onderzoek in redelijkheid gegeven instructies tot aanpassing van het beveiligingsbeleid binnen een redelijke termijn opvolgen.
4.3. De kosten voor deze controle worden uitsluitend door de Verwerker gedragen indien er niet conform de Verwerkersovereenkomst blijkt te zijn gewerkt, en / of fouten worden gevonden die volledig toegerekend worden aan de Verwerker. In ieder ander geval zullen de kosten van deze controle volledig worden gedragen door Verwerkingsverantwoordelijke
4.3. Partijen erkennen dat beveiligingseisen voortdurend veranderen en dat een effectieve beveiliging frequente evaluatie en regelmatige verbetering van verouderde beveiligingsmaatregelen vereist. Verwerker zal daarom de maatregelen zoals geïmplementeerd op basis van dit artikel 4 periodiek evalueren en, waar nodig, de maatregelen verbeteren om te blijven voldoen aan de verplichtingen onder dit artikel 4. Het voorgaande laat de instructiebevoegdheid van Verwerkingsverantwoordelijke om zo nodig aanvullende maatregelen te (doen) treffen onverlet.
Artikel 5. Monitoring, informatieplichten en incidentenmanagement
5.1. Xxxxxxxxx zal actief monitoren op inbreuken op de beveiligingsmaatregelen.
5.2. Zodra zich een Incident voordoet, heeft voorgedaan of zou kunnen voordoen, is Verwerker verplicht Verwerkingsverantwoordelijke daarvan onmiddellijk in kennis te stellen en daarbij alle relevante informatie te verstrekken over:
1) de aard van het Incident;
2) de (mogelijk) getroffen Persoonsgegevens;
3) de geconstateerde en de vermoedelijke gevolgen van het Incident; en
4) de maatregelen die getroffen zijn of zullen worden om het Incident op te lossen dan wel de gevolgen/schade zoveel mogelijk te beperken.
5.3. Verwerker is, onverminderd de overige verplichtingen uit dit artikel, verplicht om maatregelen te treffen die redelijkerwijs van hem kunnen worden verwacht om het Incident zo snel mogelijk te herstellen dan wel de verdere gevolgen zoveel mogelijk te beperken. Verwerker treedt zonder uitstel in overleg met Verwerkingsverantwoordelijke teneinde hierover nadere afspraken te maken
5.4. Verwerker zal Verwerkingsverantwoordelijke te allen tijde zijn medewerking verlenen en zal de instructies van Verwerkingsverantwoordelijke opvolgen en stelt Verwerkingsverantwoordelijke in staat een deugdelijk onderzoek te verrichten naar het Incident, een correcte respons te formuleren en passende vervolgstappen te nemen ten aanzien van het Incident, waaronder begrepen het informeren van de Autoriteit Persoonsgegevens (AP) en/of de Betrokkene zoals bepaald in artikel 5.8.
5.5. Verwerker zal te allen tijde geschreven procedures voorhanden hebben die hem in staat stellen om Verwerkingsverantwoordelijke van een onmiddellijke reactie over een Incident te voorzien, en om effectief samen te werken met Verwerkingsverantwoordelijke om het Incident af te handelen. Verwerker zal Verwerkingsverantwoordelijke voorzien van een afschrift van dergelijke procedures indien Verwerkingsverantwoordelijke daarom verzoekt.
5.6. Meldingen die worden gedaan op grond van artikel 5.2 worden ogenblikkelijk gericht aan Verwerkingsverantwoordelijke of, indien relevant, aan een door Verwerkingsverantwoordelijke tijdens de duur van deze Verwerkersovereenkomst schriftelijk bekendgemaakte Medewerkers van Verwerkingsverantwoordelijke. Indien Verwerkingsverantwoordelijke een Functionaris voor de Gegevensbescherming (FG) heeft aangesteld, worden de meldingen gericht aan deze FG.
5.7. Het is Verwerker niet toegestaan informatie te verstrekken over Incidenten aan betrokkenen of andere derde partijen, behoudens voor zover Verwerker daartoe wettelijk verplicht is of Partijen anderszins zijn overeengekomen.
5.8. Indien en voor zover Partijen zijn overeengekomen dat Xxxxxxxxx in relatie tot een Incident rechtstreeks contact onderhoudt met autoriteiten of andere derde partijen, dan houdt de Verwerker de Verwerkingsverantwoordelijke daarvan voortdurend op te hoogte.
Artikel 6. Medewerkingsverplichtingen
6.1 De AVG en overige (privacy) wetgeving kent aan de Betrokkene bepaalde rechten toe. Verwerker zal zijn volledige en tijdige medewerking verlenen aan Verwerkingsverantwoordelijke bij de nakoming van de op Verwerkingsverantwoordelijke rustende verplichtingen voortvloeiend uit deze rechten.
6.2. Een door Verwerker ontvangen klacht of een verzoek van een Betrokkene met betrekking tot verwerking van Persoonsgegevens wordt door Verwerker zonder uitstel doorgestuurd naar Verwerkingsverantwoordelijke.
6.3. Op het eerste daartoe strekkende verzoek van Verwerkingsverantwoordelijke zal Verwerker aan Verwerkingsverantwoordelijke alle relevante informatie verstrekken betreffende de aspecten van de door hem verrichte verwerking van Persoonsgegevens zodat Verwerkingsverantwoordelijke, mede aan de hand van die informatie, aan kan tonen dat zij de toepasselijke (privacy) wetgeving naleeft.
6.4. Verwerker zal voorts op eerste verzoek van Verwerkingsverantwoordelijke alle noodzakelijke bijstand verlenen bij de nakoming van de op grond van de toepasselijke privacywetgeving op Verwerkingsverantwoordelijke rustende wettelijke verplichtingen.
Artikel 7. Inschakeling subverwerkers
7.1. Verwerkingsverantwoordelijke verleent toestemming aan Verwerker om zijn activiteiten die bestaan uit het verwerken van Persoonsgegevens uit te besteden aan een Subverwerker.
7.2. Verwerker zal aan deze Subverwerker dezelfde of strengere verplichtingen opleggen als voor hemzelf uit deze Verwerkersovereenkomst en de wet voortvloeien. Verwerker zal deze afspraken schriftelijk vastleggen en zal toezien op de naleving daarvan door de Subverwerker.
7.3. Verwerker blijft volledig verantwoordelijk jegens Verwerkingsverantwoordelijke voor de gevolgen van het uitbesteden van werkzaamheden aan een Subverwerker De toestemming van Verwerkingsverantwoordelijke voor het uitbesteden van werkzaamheden aan een Subverwerker laat onverlet dat voor de inzet van Subverwerkers in een land buiten de Europese Economische Ruimte toestemming vereist is in overeenstemming met artikel 3.5 van deze Verwerkersovereenkomst
Artikel 8. Aansprakelijkheid
8.1. Verwerkingsverantwoordelijke staat er voor in dat verwerking van Persoonsgegevens op basis van deze Overeenkomst niet onrechtmatig is en geen inbreuk maakt op rechten van betrokken(n).
8.2 Verwerker is niet aansprakelijk voor schade die het gevolg is van het niet naleven door Verwerkingsverantwoordelijke van de AVG en andere wet- of regelgeving. Verwerkingsverantwoordelijke vrijwaart Verwerker ook voor aanspraken van
derden op grond van zulke schade, Deze vrijwaring geldt niet alleen voor schade die derden hebben geleden (materiaal en immaterieel) maar ook voor kosten die Verwerker in verband daarmee moet maken, bijvoorbeeld in een eventueel juridische procedure, en de kosten van eventuele boetes die aan Verwerker worden opgelegd ten gevolge van handelen Verwerkingsverantwoordelijke.
8.3 Verwerker stelt de Verwerkingsverantwoordelijke schadeloos doch enkel en alleen voor directe schade die Verwerkingsverantwoordelijke leidt als gevolg van een volledig aan Verwerker toerekenbare tekortkoming. Deze schadeloosstelling is echter beperkt en geheel conform artikel 15 van De Algemene Voorwaarden van Multi Supplies B.V. Aansprakelijkheid voor indirecte schade wordt uitgesloten.
Artikel 9. Kosten
9.1. De kosten voor de verwerking van gegevens die inherent zijn aan de normale uitvoering van de Overeenkomst, worden geacht besloten te liggen in de op grond van de Overeenkomst reeds verschuldigde vergoedingen.
9.2. Enige ondersteuning of enige andere aanvullende dienstverlening die Verwerker op grond van deze Verwerkersovereenkomst dient te verlenen, of die wordt verzocht door Verwerkingsverantwoordelijke, inclusief alle verzoeken tot aanvullende informatie, zullen in rekening worden gebracht bij Verwerkingsverantwoordelijke.
Artikel 10. Duur en beëindiging
10.1. Deze Verwerkersovereenkomst gaat in op de datum van ondertekening en de duur van deze Verwerkersovereenkomst is gelijk aan de duur van de Overeenkomst.
10.2. De Verwerkersovereenkomst maakt na ondertekening ervan door beide Partijen integraal en onlosmakelijk deel uit van de Overeenkomst(en). Beëindiging van de Overeenkomst, op welke grond dan ook (opzegging/ontbinding), heeft tot gevolg dat de Verwerkersovereenkomst eveneens op dezelfde grond beëindigd wordt (en vice versa), tenzij Partijen in voorkomend geval anders overeenkomen.
10.3. Verplichtingen welke naar hun aard bestemd zijn om ook na beëindiging van deze Verwerkersovereenkomst voort te duren, blijven na beëindiging van deze Verwerkersovereenkomst gelden. Tot deze bepalingen behoren bijvoorbeeld die welke voortvloeien uit de bepalingen betreffende geheimhouding, aansprakelijkheid, geschillenbeslechting en toepasselijk recht.
10.4. Ieder der Partijen is gerechtigd, onverminderd hetgeen daartoe bepaald is in de Overeenkomst, de uitvoering van deze Verwerkersovereenkomst en de daarmee samenhangende Overeenkomst op te schorten, dan wel zonder rechterlijke tussenkomst met onmiddellijke ingang te ontbinden, indien:
a.) de andere Partij wordt ontbonden of anderszins ophoudt te bestaan;
b.) de andere Partij aantoonbaar [ernstig] tekortschiet in de nakoming van de verplichtingen die voortvloeien uit deze Verwerkersovereenkomst en die toerekenbare tekortkoming niet binnen 30 dagen is hersteld na een daartoe strekkende schriftelijke ingebrekestelling;
c.) een Partij in staat van faillissement wordt verklaard of surséance van betaling aanvraagt.
10.5. Verwerkingsverantwoordelijke is gerechtigd deze Verwerkersovereenkomst en de Overeenkomst per direct te ontbinden indien Verwerker te kennen geeft niet (langer) te kunnen voldoen aan de betrouwbaarheidseisen die op grond van ontwikkelingen in de wet en/of de rechtspraak aan de verwerking van de Persoonsgegevens worden gesteld.
10.6. Verwerker dient Verwerkingsverantwoordelijke voorafgaand en tijdig te informeren over een voorgenomen overname of eigendomsoverdracht.
10.7. Het is Verwerker niet toegestaan om zonder uitdrukkelijke en schriftelijke toestemming van Verwerkingsverantwoordelijke deze Verwerkersovereenkomst en de rechten en plichten die samenhangen met deze Verwerkersovereenkomst over te dragen aan een derde partij.
Artikel 11. Bewaartermijnen, teruggave en vernietiging van Persoonsgegevens
11.1. Verwerker bewaart de Persoonsgegevens niet langer dan strikt noodzakelijk, waaronder begrepen de wettelijke bewaartermijnen of een eventueel tussen Partijen gemaakte afspraak over bewaartermijnen.
11.2. Bij beëindiging van de Verwerkersovereenkomst, of indien van toepassing aan het einde van de overeengekomen bewaartermijnen, of op schriftelijk verzoek van Verwerkingsverantwoordelijke zal Verwerker, tegen redelijke kosten, naar keuze van Verwerkingsverantwoordelijke, de Persoonsgegevens onherroepelijk (doen) vernietigen of teruggeven aan Verwerkingsverantwoordelijke. Op verzoek van Verwerkingsverantwoordelijke verstrekt Verwerker bewijs van het feit dat de gegevens onherroepelijk zijn vernietigd of verwijderd. Eventuele teruggave van de gegevens zal in een algemeen gangbaar, gestructureerd en gedocumenteerd gegevensformaat langs elektronische weg plaatsvinden. Indien teruggave, onherroepelijke vernietiging of verwijdering niet mogelijk is, stelt Verwerker Verwerkingsverantwoordelijke daarvan onmiddellijk op de hoogte. In dat geval garandeert Verwerker dat hij de Persoonsgegevens vertrouwelijk zal behandelen en niet langer zal verwerken.
Artikel 12. Intellectuele eigendomsrechten
12.1. Voor zover de (verzameling van) Persoonsgegevens wordt beschermd door enig intellectueel eigendomsrecht, verleent Verwerkingsverantwoordelijke toestemming aan Verwerker de Persoonsgegevens te gebruiken in het kader van de uitvoering van deze Verwerkersovereenkomst.
Artikel 13. Slotbepalingen
13.1. De overwegingen maken onderdeel uit van deze Verwerkersovereenkomst.
13.2. In geval van nietigheid c.q. vernietigbaarheid van een of meer bepalingen uit deze Verwerkersovereenkomst, blijven de overige bepalingen onverkort van kracht.
13.3. Op deze Verwerkersovereenkomst is Nederlands recht van toepassing.
13.4. Geschillen over of in verband met deze Verwerkersovereenkomst worden uitsluitend voorgelegd aan de daartoe bevoegde rechter van de vestigingsplaats van Verwerker.
Aldus getekend voor akkoord,
Verwerkingsverantwoordelijke Verwerker
Plaats: Plaats:
Datum: Datum: