VERWERKERSOVEREENKOMST
VERWERKERSOVEREENKOMST
De ondergetekenden:
1. CreaDev Webdesign & Development, gevestigd en kantoorhoudende aan de Xxxxxxx xxx Xxxxxxxxxx 000, 0000XX Xxxxxxxxxx en ingeschreven in het Handelsregister onder nummer 62570927, te dezer zake rechtsgeldig vertegenwoordigd door de xxxx Xxxxxx Xxxxx (directeur), hierna te noemen “CreaDev”,
en
2. Bruin Café Jaxx, statutair gevestigd en kantoorhoudende te Roosendaal aan de Molenstraat 60, 4701 JT, te dezer zake rechtsgeldig vertegenwoordigd door Xxxxx xxx Xxxxxx (eigenaar) hierna te noemen “Opdrachtgever”,
hierna ook afzonderlijk te noemen “Partij”, of gezamenlijk te noemen “Partijen”,
overwegende dat:
(A) XxxxXxx en Opdrachtgever een overeenkomst hebben gesloten op 29 mei 2020, hierna de “Overeenkomst”. In het kader van de uitvoering van de Overeenkomst verleent XxxxXxx diensten aan Opdrachtgever;
(B) XxxxXxx in het kader van de uitvoering van de Overeenkomst ook Persoonsgegevens verwerkt voor Opdrachtgever;
(C) Partijen wettelijk verplicht zijn afspraken te maken en vast te leggen met betrekking tot de verwerking van Persoonsgegevens door XxxxXxx;
(D) Partijen in deze Verwerkersovereenkomst hun afspraken over het verwerken van de Persoonsgegevens door XxxxXxx in opdracht van Opdrachtgever wensen vast te leggen,
Verklaren te zijn overeengekomen als volgt:
1. Definities
1.1. In deze Verwerkersovereenkomst worden de navolgende gedefinieerde begrippen met een begin hoofdletter gebruikt:
“AP”: de Autoriteit Persoonsgegevens, voorheen College Bescherming Persoonsgegevens genoemd, de toezichthoudende autoriteit voor de naleving van de geldende privacywetgeving;
“AVG”: Algemene Verordening Gegevensbescherming, voluit: Verordening (EU) 2016/679 van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG;
“Betrokkene”: de natuurlijke persoon waarop de Persoonsgegevens die CreaDev verwerkt voor Opdrachtgever en/of haar opdrachtgevers in het kader van de uitvoering van de Overeenkomst betrekking hebben;
“Beveiligingsincident”: elke schending van of inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte Persoonsgegevens;
“Verwerkersovereenkomst”: de onderhavige verwerkersovereenkomst inclusief alle bijlagen die onlosmakelijk hieraan zijn verbonden;
“Bijlage”: iedere bijlage bij deze Overeenkomst, die een onlosmakelijk deel daarvan uitmaakt;
"Derde": een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan, niet zijnde de Betrokkene, noch de Opdrachtgever, noch CreaDev, noch de personen die onder rechtstreeks gezag van de Opdrachtgever of de verwerker gemachtigd zijn om de Persoonsgegevens te verwerken;
“Diensten”: alle diensten die CreaDev aan Opdrachtgever verleent, zoals omschreven in de Overeenkomst;
“EER”: Europese Economische Ruimte;
“Persoonsgegevens”: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon die XxxxXxx ontvangt van of verwerkt voor Opdrachtgever in het kader van de uitvoering van de Overeenkomst;
“Sub-verwerker”: een partij die door XxxxXxx wordt ingeschakeld voor de uitvoering van de Overeenkomst en de daarbij horende verwerking van Persoonsgegevens;
“Verwerken”: elke handeling of elk geheel van handelingen met betrekking tot Persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens.
“Verwerker”: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt.
Bijlage 1: te verwerken persoonsgegevens Bijlage 2: beveiligingsmaatregelen
2. Voorwerp van deze Verwerkersovereenkomst
2.1. In het kader van de uitvoering van de Overeenkomst en ten aanzien van de Persoonsgegevens is Opdrachtgever de verwerkingsverantwoordelijke in de zin van artikel 4 onder 7 van de AVG en CreaDev de verwerker in de zin van artikel 4 onder 8 van de AVG.
2.2. XxxxXxx en Opdrachtgever verstrekken elkaar over en weer tijdig alle benodigde informatie om een goede naleving van de geldende privacywet- en regelgeving mogelijk te maken.
2.3. Opdrachtgever staat er tegenover CreaDev voor in dat de inhoud, het gebruik en de verwerking van de Persoonsgegevens niet onrechtmatig zijn en geen inbreuk maken op enig recht van derden. CreaDev is niet gehouden de juistheid, volledigheid of noodzakelijkheid van de Persoonsgegevens te controleren.
2.4. Opdrachtgever vrijwaart XxxxXxx voor aanspraken en boetes van toezichthouders en/of personen van wie de Persoonsgegevens worden verwerkt in het kader van deze Verwerkersovereenkomst of waarvoor Opdrachtgever uit hoofde van de wet anderszins verantwoordelijk is, tenzij Opdrachtgever bewijst dat de feiten die aan de aanspraak ten grondslag liggen uitsluitend aan CreaDev toerekenbaar zijn.
2.5. Deze Verwerkersovereenkomst vormt een bijlage bij de Overeenkomst, en vervangt, indien van toepassing, eerder gemaakte (mondelinge en schriftelijke) afspraken tussen Opdrachtgever in haar hoedanigheid van verantwoordelijke en CreaDev in zijn hoedanigheid van verwerker ter zake van de verwerking van Persoonsgegevens.
2.6. In geval van tegenstrijdigheid tussen de bepalingen uit deze Verwerkersovereenkomst, de bepalingen uit de Overeenkomst en/of eerdere gemaakte afspraken, prevaleren de bepalingen uit deze Verwerkersovereenkomst, tenzij uitdrukkelijk in deze Verwerkersovereenkomst anders is bepaald.
3. Verwerken van Persoonsgegevens
3.1. CreaDev zal de Persoonsgegevens in overeenstemming met de geldende wet- en regelgeving verwerken en heeft de categorieën van Betrokkenen, het soort Persoonsgegevens en de aard en het doel waarvoor de Persoonsgegevens worden verwerkt opgenomen in Bijlage 1. CreaDev zal de Persoonsgegevens niet voor andere doeleinden of op andere wijze gebruiken dan voor het doel waarvoor de Persoonsgegevens zijn verstrekt of haar bekend zijn geworden.
3.2. CreaDev zal de Persoonsgegevens uitsluitend verwerken op basis van de schriftelijke instructies van Opdrachtgever in het kader van de uitvoering van de Overeenkomst en de verleende Diensten, dan wel in verband met een wettelijke verplichting.
3.3. CreaDev zal de Persoonsgegevens niet aan een Derde verstrekken, tenzij deze uitwisseling plaatsvindt in opdracht van Opdrachtgever in het kader van de uitvoering van de Overeenkomst of wanneer dit noodzakelijk is om te voldoen aan een wettelijke verplichting.
3.4. XxxxXxx draagt er zorg voor dat de Persoonsgegevens niet buiten de EER worden verwerkt, tenzij Opdrachtgever in Bijlage 1 daar schriftelijk toestemming voor heeft gegeven.
4. Sub-verwerkers
4.1. XxxxXxx heeft bij de verwerking van de Persoonsgegevens de mogelijkheid om, met schriftelijke toestemming van Opdrachtgever, die niet op onredelijke gronden door Opdrachtgever zal worden onthouden of worden vertraagd, Sub-verwerkers in te schakelen. In Bijlage 1 houden Partijen een geactualiseerde lijst bij met de relevante gegevens over de Sub-verwerkers.
4.2. XxxxXxx zal met de door haar ingeschakelde Sub-verwerkers een overeenkomst sluiten die in overeenstemming is met de relevante wet- en regelgeving en deze Verwerkersovereenkomst. Cr e aDe v z al in ie de r g e v al ie de r e Sub- v e r w e r k e r c on tr actue e l de geheimhoudingsverplichtingen, meldingsverplichtingen en beveiligingsmaatregelen na laten leven met betrekking tot de verwerking van de Persoonsgegevens.
5. Geheimhouding
5.1. XxxxXxx houdt de Persoonsgegevens die zij verwerkt in het kader van de uitvoering van de Overeenkomst geheim en zal alle nodige maatregelen treffen om geheimhouding van de Persoonsgegevens te verzekeren. XxxxXxx zal de verplichting tot geheimhouding tevens opleggen aan haar personeel en alle door haar ingeschakelde personen.
5.2. De in dit artikel bedoelde geheimhoudingsplicht geldt niet indien Opdrachtgever uitdrukkelijk schriftelijk toestemming heeft gegeven om de Persoonsgegevens aan een Derde te verstrekken, of een wettelijke verplichting bestaat om de Persoonsgegevens aan een Derde te verstrekken.
6. Beveiliging Persoonsgegevens
6.1. XxxxXxx zal in overeenstemming met de geldende wettelijke regels technische en organisatorische maatregelen treffen, in stand houden en zo nodig aanpassen om een op het
risico afgestemd beveiligingsniveau te waarborgen. Om hieraan te kunnen voldoen zal Opdrachtgever XxxxXxx informeren over de betrouwbaarheidseisen die op de verwerking van toepassing zijn en tijdig de benodigde informatie verstrekken in geval van wijzigingen in de verwerking van Persoonsgegevens.
6.2. XxxxXxx zal bij het treffen van beveiligingsmaatregelen rekening houden met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van personen.
6.3. Indien Opdrachtgever een beoordeling wenst uit te voeren van een beoogde verwerkingsactiviteit in het kader van de uitvoering van de Overeenkomst zal CreaDev alle redelijke medewerking verlenen om deze beoordeling in overeenstemming met de geldende wet- en regelgeving uit te kunnen voeren. Tevens zal XxxxXxx alle redelijke medewerking verlenen indien een voorafgaande raadpleging van de AP nodig is op grond van de geldende privacywetgeving. Opdrachtgever zal XxxxXxx de in dit kader gemaakte redelijke kosten vergoeden.
6.4. In Bijlage 2 zijn de afspraken tussen Partijen vastgelegd over de concrete technische en organisatorische beveiligingsmaatregelen die CreaDev treft. Deze maatregelen worden periodiek geëvalueerd en indien nodig aangepast. Verwerkingsverantwoordelijke erkent dat zij de in Bijlage 2 opgenomen afspraken voldoende acht voor een passende beveiliging van de Persoonsgegevens in overeenstemming met de geldende wettelijke verplichtingen.
7. Controle
7.1. Opdrachtgever heeft het recht om tenminste eenmaal per jaar op eigen kosten door onafhankelijke deskundigen een audit te laten uitvoeren inzake de verwerking van Persoonsgegevens door Crea Dev ter controle op de naleving van deze Verwerkersovereenkomst. CreaDev zal alle redelijke medewerking verlenen aan een audit, waaronder het verlenen van toegang tot gebouwen en databases en het ter beschikking stellen van alle relevante informatie.
7.2. XxxxXxx zal in overleg met Opdrachtgever de aanbevelingen van de onafhankelijke deskundigen zo spoedig mogelijk uitvoeren. Indien de aanpassingen het gevolg zijn van gewijzigde inzichten of wet- en regelgeving dan komen de kosten daarvan voor rekening van XxxxXxx, tenzij de aanpassingen uitsluitend voor Opdrachtgever worden uitgevoerd in welk geval Opdrachtgever de redelijke kosten voor deze aanpassingen zal vergoeden. Indien de aanpassingen het gevolg zijn van een tekortkoming in de nakoming van de beveiligingseisen uit de Overeenkomst dan zal XxxxXxx deze kosten voor eigen rekening nemen.
7.3. In geval van een onderzoek door de AP of een andere bevoegde autoriteit zal XxxxXxx alle redelijke medewerking verlenen en Opdrachtgever zo snel mogelijk informeren. Partijen zullen met elkaar in overleg treden over de wijze van optreden en de verdeling van de kosten.
8. Beveiligingsincidenten
8.1. XxxxXxx informeert Opdrachtgever zo snel mogelijk nadat XxxxXxx kennis heeft genomen van een Beveiligingsincident met betrekking tot de verwerking van de Persoonsgegevens.
8.2. In geval van een Beveiligingsincident zal XxxxXxx alle redelijke maatregelen treffen om de gevolgen van het incident te beperken en/of een nieuw incident te voorkomen. XxxxXxx zal alle medewerking verlenen aan Opdrachtgever om het Beveiligingsincident te beoordelen en te kunnen voldoen aan haar eventuele wettelijke meldplicht en haar eventuele plicht tot het informeren van Xxxxxxxxxxx.
8.3. Partijen kunnen hun afspraken over de informatie-uitwisseling in verband met incidenten vastleggen in een “Procedure Meldplicht Datalekken” in Bijlage 1. Die procedure kan in overleg door Partijen worden gewijzigd. Die procedure zal in ieder geval worden aangepast indien de regelgeving omtrent de meldplicht datalekken of de uitleg daarvan wijzigt.
8.4. In geval van een Beveiligingsincident bij CreaDev dat leidt tot een meldplicht of een informatieplicht voor Opdrachtgever, zal de melding of in de informatieverstrekking in overleg met XxxxXxx door Opdrachtgever worden verricht. Partijen zullen in goed overleg afspraken maken over de verdeling van de kosten die daarmee zijn gemoeid.
9. Verzoeken van Betrokkenen
9.1. Indien XxxxXxx een verzoek of bezwaar van een Betrokkene ontvangt, zoals een verzoek om informatie, inzage, rectificatie, gegevenswissing, verwerkingsbeperking, overdracht van de Persoonsgegevens, stuurt XxxxXxx dat verzoek onmiddellijk door naar Opdrachtgever.
9.2. XxxxXxx verleent Opdrachtgever alle redelijke medewerking om ervoor te zorgen dat Opdrachtgever binnen de wettelijke termijnen kan voldoen aan de verplichtingen op grond van de geldende wet- en regelgeving. De redelijke kosten voor deze medewerking zullen door Opdrachtgever aan XxxxXxx worden vergoed.
10. Toegang tot de Persoonsgegevens
10.1. De zeggenschap over de Persoonsgegevens blijft volledig berusten bij Opdrachtgever. Op verzoek van Opdrachtgever zal CreaDev alle of een gedeelte van de Persoonsgegevens in gangbaar formaat ter beschikking stellen aan Opdrachtgever.
11. Duur en beëindiging
11.1. Deze Overeenkomst treedt in werking op de datum van ondertekening en eindigt van rechtswege bij beëindiging van de Overeenkomst. Verplichtingen met een duurkarakter blijven tussen partijen in stand, zoals de geheimhoudingsverplichting uit artikel 5 van de Overeenkomst.
11.2. XxxxXxx zal bij beëindiging van de Overeenkomst op verzoek van Opdrachtgever de Persoonsgegevens in een gangbaar formaat ter beschikking stellen aan Opdrachtgever of aan een door Opdrachtgever aangewezen Derde.
11.3. CreaDev zal na overdracht van de Persoonsgegevens aan Opdrachtgever de nog aanwezige Persoonsgegevens vernietigen, tenzij een langere opslag wettelijk verplicht is. XxxxXxx zal tevens zorgdragen voor vernietiging van de Persoonsgegevens bij de Sub-verwerkers.
12. Wijziging Verwerkersovereenkomst
12.1. Bij wijzigingen in de Diensten, regelgeving of andere relevante omstandigheden die van invloed zijn op de verwerking van de Persoonsgegevens, zullen Partijen in overleg treden over een eventueel benodigde wijziging van deze Verwerkersovereenkomst. De wijzigingen in de tekst van deze Verwerkersovereenkomst kunnen uitsluitend schriftelijk door de bevoegde vertegenwoordigers van Partijen worden overeengekomen.
12.2. Wijzigingen in de Bijlagen kunnen door Partijen op ieder moment schriftelijk worden gedaan onder vermelding van het versienummer en de datum van ingang van de nieuwe versie.
13. Toepasselijk recht / Bevoegde rechter
13.1. Op deze Verwerkersovereenkomst is uitsluitend Nederlands recht van toepassing.
13.2. Alle geschillen die ontstaan naar aanleiding van deze Verwerkersovereenkomst worden beslecht op dezelfde wijze als opgenomen in de Overeenkomst.
Aldus overeengekomen en ondertekend,
CreaDev Webdesign & Development Bruin Café Jaxx
Naam: Xxxxxx Xxxxx Naam: Xxxxx xxx Xxxxxx
Functie: Directeur Functie: Eigenaar
Datum: Datum:
Handtekening: Handtekening:
Bijlage 1 – Te verwerken persoonsgegevens
A. Categorieën Betrokkenen
De personen waarop de Persoonsgegevens betrekking hebben zijn in ieder geval:
• Gasten van Bruin Café Jaxx
B. Soort Persoonsgegevens
De Persoonsgegevens die door CreaDev worden verwerkt zijn in ieder geval:
• NAW-gegevens, telefoonnummer, e-mailadres
• Fysieke gesteldheid (geen Corona-klachten)
C. Aard en doel van de verwerking
De aard van de verwerking is de invoer en opslag van gegevens van betrokkenen bij een event georganiseerd door de opdrachtgever;
De Persoonsgegevens worden in ieder geval voor de volgende doelen verwerkt:
• Het toegang verschaffen van personen tot horeca-locatie Bruin Café Jaxx, op basis van een geselecteerd tijdslot
D. Verwerking buiten de EER
De Persoonsgegevens worden niet buiten de EER verwerkt
E. Contactgegevens
Voor vragen of opmerkingen over deze Verwerkersovereenkomst en Bijlagen is de contactpersoon van
Xxxxx xxx Xxxxxx: tel: 0000000000 CreaDev: Xxxxxx Xxxxx, tel: 00 00000000
G. Procedure Meldplicht Datalekken:
Tussen Partijen zijn met betrekking tot de meldplicht datalekken de volgende afspraken gemaakt:
(A) CreaDev registreert alle Beveiligingsincidenten;
(B) In geval van een Beveiligingsincident informeert XxxxXxx Opdrachtgever zo snel mogelijk en zal de relevante informatie over het incident melden;
(C) Opdrachtgever zal beoordelen of een melding verricht dient te worden bij de AP. Opdrachtgever zal daarbij in overleg treden met XxxxXxx;
(D) Voordat Opdrachtgever de melding bij de AP verricht zal Opdrachtgever de inhoud van de melding met XxxxXxx bespreken;
(E) Indien Opdrachtgever oordeelt dat tevens betrokkenen geïnformeerd dienen te worden, zal Opdrachtgever de inhoud van die informatie met XxxxXxx bespreken.
Bijlage 2 – Beveiligingsmaatregelen
Zoals opgenomen in artikel 6 worden hieronder de afspraken tussen Partijen vastgelegd over de concrete technische en organisatorische beveiligingsmaatregelen die door de XxxxXxx zijn geïmplementeerd en worden onderhouden. De getroffen maatregelen zijn opgenomen in deze bijlage en worden aangevuld of gewijzigd indien dat nodig is.
A. Beveiligingsniveau
CreaDev is ISO 27001 gecertificeerd. Dit certificaat voor informatiebeveiliging garandeert dat het optimaliseren van dataveiligheid uitgangspunt is bij alles wat we doen.
B. Maatregelen van verwerker om te zorgen dat uitsluitend bevoegd personeel toegang heeft tot de Persoonsgegevens:
Autorisaties: ieder personeelslid heeft een eigen account en voor dat account worden de benodigde machtigingen afgegeven. Zonder de juiste machtigingen is er geen toegang tot de persoonsgegevens.
Logging: alle handelingen van een account binnen ons portal worden gelogd.
C. Maatregelen om de Persoonsgegevens te beschermen tegen verlies of wijziging en tegen onbevoegde of onrechtmatige verwerking, toegang of openbaarmaking:
Beveiliging systemen voor opslag: alle persoonsgegevens worden at rest versleuteld opgeslagen.
Beveiliging verbindingen: alle verbindingen waarbij persoonsgegevens worden verzonden zijn versleuteld aan de hand van een SSL certificaat.
Toegepaste software wordt up-to-date gehouden.
D. Maatregelen voor opsporen van zwakke plekken en incidentenbeheer:
Gebruikte servers worden continu gemonitord. Ontwikkelde software is en wordt actief onderworpen aan veiligheidstests. Logging mechanismen met alarmeringsfunctie zorgen ervoor dat ongewone activiteit direct gesignaleerd wordt.
Versie
Versie 1 – 29-05-2020