VERWERKERSOVEREENKOMST
tussen INFOGROEN SOFTWARE B.V.
&
……………V…e…rw…e…rk…e…r………….
ONDERGETEKENDEN:
1. De besloten vennootschap Infogroen Software B.V. statutair gevestigd en kantoorhoudende te (2391 PT) Hazerswoude aan de Italiëlaan 4, te dezen rechtsgeldig vertegenwoordigd door haar commercieel directeur de xxxx X. Xxxxxxxxx, hierna te noemen: “Infogroen”;
en
2. De …na…am…lo…ze…v…en…no…ot…sc…ha…p …m…et …be…pe…rk…te…aa…ns…p…rak…el…ijk…he…id…….. …Na…am…b…e…dri…jf ………………
statutair gevestigd en kantoorhoudende te …Po…st…co…de… …Pla…a…ts ………………………. aan het
…Ad…re…s ………………………………… , te dezen rechtsgeldig vertegenwoordigd door haar bestuurder …Na…am , hierna te noemen: “Verwerker”;
Infogroen en Verwerker hierna gezamenlijk ook te noemen: de “Partijen”;
OVERWEGENDE DAT:
• Tussen Infogroen en Verwerker een overeenkomst tot stand is gekomen op grond waarvan Verwerker werkzaamheden verricht.
• In het kader van de uitvoering van de Overeenkomst Verwerker de beschikking krijgt over persoonsgegevens zoals bedoeld in de Algemene verordening gegevensbescherming (hierna te noemen: ‘Persoonsgegevens’ en ‘AVG’);
• Met betrekking tot de Persoonsgegevens Infogroen de verwerkingsverantwoordelijke en Verwerker de verwerker is in de zin van de AVG. Een verwerker beperkt zich tot het verwerken van Persoonsgegevens zonder zeggenschap te hebben over het doel van en de middelen voor de verwerking van Persoonsgegevens. Hij neemt geen beslissingen over het gebruik van de gegevens, de verstrekking aan derden en andere ontvangers, de duur van de opslag van de gegevens, etc. Degenen op wie de Persoonsgegevens betrekking hebben, zijn betrokkenen in de zin van de AVG;
• Ingevolge artikel 28 lid 1 AVG Infogroen uitsluitend een beroep doet op verwerkers die afdoende garanties met betrekking tot het toepassen van passende technische en organisatorische maatregelen bieden opdat de verwerking aan de vereisten van de AVG voldoet en de bescherming van de rechten van de betrokkenen is gewaarborgd;
• Ingevolge de AVG Infogroen onder meer verplicht is de verwerking van Persoonsgegevens te beveiligen en een inbreuk in verband met Persoonsgegevens in bepaalde gevallen te melden aan de Autoriteit Persoonsgegevens;
• Partijen wensen hun afspraken over deze verwerking van Persoonsgegevens door Verwerker vast te leggen in deze overeenkomst als bedoeld in artikel 28 lid 3 AVG (hierna te noemen: ‘Verwerkersovereenkomst’).
VERKLAREN TE ZIJN OVEREENGEKOMEN ALS VOLGT:
1. Deze Verwerkersovereenkomst vormt een integraal onderdeel van de Overeenkomst en alle overeenkomsten die daar eventueel uit voortvloeien.
2. Verwerker verplicht zich jegens Infogroen tot al hetgeen waartoe een Verwerker van Persoonsgegevens verplicht is op grond van het bij of krachtens de AVG bepaalde.
3. Verwerker zal de van Infogroen ontvangen Persoonsgegevens of bestanden van Persoonsgegevens uitsluitend in opdracht van en op basis van schriftelijke instructies van Infogroen verwerken voor doeleinden die rechtstreeks voortvloeien uit de werkzaamheden die Partijen met elkaar zijn overeengekomen in de Overeenkomst. Persoonsgegevens zullen worden verwerkt voor minimaal de duur van de service overeenkomst. Een overzicht van de categorieën van betrokkenen en categorieën Persoonsgegevens die Verwerker verwerkt wordt opgenomen in de Privacy Statement (xxx.xxxxxxxxx.xx/xxxxxxx).
4. Het is Verwerker niet toegestaan om andere handelingen met de Persoonsgegevens uit te voeren dan omschreven in deze Verwerkersovereenkomst, tenzij Infogroen hiervoor uitdrukkelijke, schriftelijke toestemming heeft gegeven.
5. Het is Verwerker niet toegestaan bij de verwerking van Persoonsgegevens gebruik te maken van sub-verwerkers, zonder de uitdrukkelijke schriftelijke toestemming van Infogroen. Indien Verwerker met toestemming van Infogroen gebruik maakt van een sub-verwerker om voor rekening van Infogroen verwerkingsactiviteiten te verrichten, worden aan de sub-verwerker bij een overeenkomst dezelfde verplichtingen inzake gegevensbescherming opgelegd als die in deze Verwerkersovereenkomst zijn opgenomen, met name de verplichtingen uit artikel 7. Wanneer de sub-verwerker zijn verplichtingen inzake gegevensbescherming niet nakomt, blijft Verwerker ten aanzien van Infogroen volledig aansprakelijk voor het nakomen van de verplichtingen van die sub- verwerker.
6. Verwerker garandeert dat geen Persoonsgegevens zullen worden verwerkt buiten de Europese Unie en dat geen sprake is van activiteiten van Verwerker binnen de grenzen van de Verenigde Staten die onder de jurisdictie van de Verenigde Staten vallen.
TECHNISCHE EN ORGANISATORISCHE MAATREGELEN
7. Verwerker treft passende technische en organisatorische maatregelen overeenkomstig artikel 32 AVG. Deze maatregelen omvatten onder meer:
- Het vermogen om op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen en diensten te garanderen;
- Het vermogen om bij een fysiek of technisch incident de beschikbaarheid van en de toegang tot de Persoonsgegevens tijdig te herstellen;
- Een procedure voor het op gezette tijden testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging van de verwerking;
- Continuïteitsbeheer;
- Fysieke beveiliging en beveiliging van apparatuur;
- Toegangsbeveiliging;
- Beveiligingsmaatregelen in toepassingssystemen;
- Logging en controle;
- Beheer van technische kwetsbaarheden;
- Incidentenbeheer;
- Constatering van inbreuken in verband met de Persoonsgegevens en beveiligingsincidenten;
- Afhandeling van inbreuken in verband met de Persoonsgegevens en beveiligingsincidenten;
- Waarborgen zodat bij verlies en/of beschadiging van de Persoonsgegevens herstel kan plaatshebben;
- Vernietiging van gegevens bij vervanging of afvoeren van mediadragers.
In de Privacy Statement (xxx.xxxxxxxxx.xx/xxxxxxx) is aangegeven welke specifieke beveiligingsmaatregelen Verwerker heeft genomen ten behoeve van het beschermen van de Persoonsgegevens.
8. De in het voorgaande artikel bedoelde beveiligingsmaatregelen dienen, rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van personen een op het risico afgestemd beveiligingsniveau te waarborgen. Deze maatregelen zijn er mede op gericht onnodige verzameling en onverenigbare verdere verwerking van Persoonsgegevens te voorkomen.
9. De beveiligingsmaatregelen die door Verwerker dienen te worden genomen zijn gebaseerd op een risicoanalyse en dekken de risico’s zodanig af dat aan de betrouwbaarheidseisen wordt voldaan. Naarmate de vereiste betrouwbaarheid c.q. het vereiste beveiligingsniveau hoger is, treft Verwerker meer en zwaardere beveiligingsmaatregelen om de aanwezige risico’s af te dekken en het vereiste beveiligingsniveau daadwerkelijk te garanderen.
10. Verwerker verbindt zich jegens Infogroen om het niveau van zijn technische en organisatorische maatregelen te handhaven, waar mogelijk te verbeteren en te verfijnen en aan te passen aan de voortschrijdende technologische en maatschappelijke ontwikkelingen. Verwerker zal hiertoe actuele ontwikkelingen volgen en additionele voorzieningen treffen voor zover dat redelijkerwijs van hem kan worden verwacht.
11. In de Privacy Statement (xxx.xxxxxxxxx.xx/xxxxxxx) is beschreven welke (groepen) medewerkers toegang hebben tot welke Persoonsgegevens. Verwerker verzekert dat onbevoegd personeel geen toegang heeft tot de Persoonsgegevens en/of de gegevensverwerkende toepassingen. Verwerker verklaart dat ieder van zijn medewerkers die door Verwerker wordt gemachtigd tot toegang tot de Persoonsgegevens verplicht is tot geheimhouding van de Persoonsgegevens waarvan hij kennis neemt. Hiertoe zal Verwerker - voor zover hierin niet reeds is voorzien - de desbetreffende medewerkers een geheimhoudingsverklaring laten ondertekenen.
12. Infogroen stelt periodiek, of wanneer de omstandigheden daar aanleiding toe geven, vast of de door Verwerker getroffen technische en organisatorische maatregelen nog steeds een passend beveiligingsniveau bieden. Van wijzigingen in de dienstverlening door Verwerker stelt Infogroen vast of de gemaakte afspraken nog steeds toereikend zijn en ziet zij er op toe dat na implementatie nog steeds aan de beveiligingseisen wordt voldaan. Infogroen heeft het recht om bij Verwerker een onderzoek in te (laten) stellen met betrekking tot de (kwaliteit van) de getroffen beveiligingsmaatregelen door onafhankelijke deskundigen.
INFORMATIEVERPLICHTINGEN
13. Verwerker stelt alle informatie ter beschikking aan Infogroen die nodig is om de nakoming van de in deze Verwerkersovereenkomst en de AVG opgenomen verplichtingen aan te tonen en audits door Infogroen mogelijk te maken en hier aan bij te dragen.
14. Verwerker stelt Infogroen onmiddellijk in kennis indien naar zijn mening een instructie (gelet op het voorgaande artikel) een inbreuk vormt op de AVG of andere wettelijke bepalingen inzake gegevensbescherming.
15. Verwerker stelt Infogroen te allen tijde in staat en verleent Infogroen bijstand bij het doen nakomen van de verplichtingen op grond van de AVG, meer in het bijzonder de rechten van betrokkenen, zoals, maar niet beperkt tot een verzoek om inzage, verbetering, aanvulling, verwijdering of afscherming van de Persoonsgegevens en het uitvoeren van een gehonoreerd verzet.
16. Verwerker stelt Infogroen te allen tijde in staat en verleent Infogroen bijstand bij het doen nakomen van de verplichtingen op grond van de AVG, meer in het bijzonder de persoonsgegevensbeveiliging en, indien van toepassing, het uitvoeren van een gegevensbeschermingseffectbeoordeling. De persoonsgegevensbeveiliging omvat onder meer de beveiliging van de verwerking en het melden van een inbreuk in verband met de Persoonsgegevens aan de Autoriteit Persoonsgegevens en, indien van toepassing, de betrokkene.
INBREUK IN VERBAND MET PERSOONSGEGEVENS
17. Verwerker is gehouden voldoende technische en organisatorische maatregelen te treffen zodat eventuele beveiligingsincidenten onmiddellijk geconstateerd kunnen worden.
18. Verwerker rapporteert datalekken die (mogelijk) gevolgen hebben voor betrokkenen en/of voor Infogroen onverwijld, maar uiterlijk binnen 24 uur, aan Infogroen. In de Privacy Statement (xxx.xxxxxxxxx.xx/xxxxxxx) is vastgelegd wanneer sprake is van een datalek en zijn afspraken gemaakt over de inhoud van de rapportage van datalekken.
19. Indien Verwerker vaststelt dat sprake is van een datalek, zal zij alle noodzakelijke maatregelen treffen om verdere ontsluiting dan wel verspreiding van Persoonsgegevens te voorkomen. Verwerker zal hiertoe in overleg treden met Infogroen en de aanwijzingen van Infogroen opvolgen. Verwerker zal Infogroen steeds op de hoogte houden van de ontwikkelingen met betrekking tot het datalek en de maatregelen die zij treft om de gevolgen van het datalek te beperken en herhaling van het datalek te voorkomen.
20. Verwerker werkt waar nodig mee aan het adequaat informeren van betrokkenen.
VERLENEN MEDEWERKING AAN TOEZICHTHOUDERS
21. Indien bij of krachtens de wet een toezichthouder is aangesteld voor Infogroen, dan heeft deze toezichthouder te allen tijde het recht onderzoek uit te (laten) voeren bij Verwerker naar de uitvoering van de tussen Infogroen en Verwerker gesloten overeenkomst(en). In het kader van dit onderzoek is de toezichthouder onder meer gerechtigd de onderlinge informatie-uitwisseling, waaronder uitdrukkelijk begrepen de (e-mail)communicatie tussen partijen, en andere relevante documentatie op te vragen en te onderzoeken. Verwerker zal haar volle medewerking verlenen aan een dergelijk onderzoek.
22. Verwerker werkt desgevraagd samen met de Autoriteit Persoonsgegevens bij het vervullen van haar taken.
WIJZIGEN/EINDIGEN OVEREENKOMST
23. Indien een wijziging in de verwerkte Persoonsgegevens of in de betrouwbaarheidseisen daar aanleiding toe geeft, is Infogroen bevoegd heronderhandelingen te voeren over een of meerdere bepalingen van deze Verwerkersovereenkomst dan wel, indien de aard van de wijziging daar aanleiding toe geeft, de Verwerkersovereenkomst tussentijds te beëindigen.
24. Indien de Verwerkersovereenkomst om welke reden dan ook (tussentijds) eindigt, doet Xxxxxxxxx op eerste verzoek van Infogroen datgene wat redelijkerwijs noodzakelijk is om ervoor te zorgen dat een nieuwe leverancier of Infogroen zelf zonder belemmeringen de uitvoering van de werkzaamheden kan overnemen en/of een soortgelijke prestatie ten behoeve van Infogroen kan verrichten.
25. Verwerker verwijdert alle Persoonsgegevens of bezorgt deze terug aan Infogroen en verwijdert alle bestaande kopieën, binnen één maand na afloop van de Verwerkersovereenkomst met Infogroen of zoveel eerder of later als Infogroen daarom uitdrukkelijk verzoekt. Verwerker verwijdert de bestaande kopieën niet indien opslag van de Persoonsgegevens wettelijk is verplicht.
BOETEBEDING EN AANSPRAKELIJKHEID
26. Mocht aan Infogroen een boete worden opgelegd in verband met een inbreuk op de beveiliging van Persoonsgegevens die voortvloeit uit een tekortkoming van Verwerker, verbeurt Verwerker eveneens een direct opeisbare boete ter hoogte van het bedrag van de boete die aan de Infogroen is opgelegd, onverminderd het recht van Infogroen haar volledige schade te verhalen.
Aldus overeengekomen en in tweevoud opgemaakt en getekend te …Pla…a…ts ………………………….…..
op …Da…tu…m…………… .
Verwerker
Infogroen Software B.V. …………………………………………
Namens deze de xxxx X. Xxxxxxxxx Namens deze …Na…am…………………………