Verwerkersovereenkomst Atlantis Data B.V.

Verwerkersovereenkomst Atlantis Data B.V.

Verwerkerverantwoordelijke is opdrachtgever Xxxxxxxxx is opdrachtnemer

Nemen in aanmerking dat:

a. Partijen een overeenkomst zijn aangegaan (OZO) op basis waarvan Verwerker voor Verwerkingsverantwoordelijke werkzaamheden zal verrichten als bijvoorbeeld ICT dienstverlener (de "Opdracht");

b. Verwerkingsverantwoordelijke ten behoeve van deze werkzaamheden persoonsgegevens aan Verwerke r zal verstrekken (de "Persoonsgegevens"). Verwerkingsverantwoordelijke is voor deze Persoonsgegevens aan te merken als Verwerkingsverantwoordelijke en Verwerker als verwerker in de zin van de Wet bescherming persoonsgegevens (de "Wbp");

c. Partijen, mede gelet op het vereiste van artikel 14 van de Wbp, hun rechten en verplichtingen schrif telijk wensen vast te leggen in onderhavige verwerkersovereenkomst (de "Opdracht"); en

d. waar gerefereerd wordt aan bepalingen uit de Wbp, per 25 mei 2018 de corresponderende bepalingen uit de Algemene Verordening Gegevensbe- scherming (hierna: "AVG") worden bedoeld.

Komen het volgende overeen:

1. ALGEMEEN

1.1 Verwerkingsverantwoordelijke zal de Persoonsgegevens door Verwerker laten verwerken voor zover nodig ten behoeve van ter uitvoering van de werkzaamheden beschreven in de Opdracht. Verwerker dient hierbij de instructies van Verwerkingsverantwoordelijke op te volgen. Verwerker zal, in het kader van de Opdracht, de persoonsgegevens zoals opgenomen in Bijlage 1 gaan verwerken.

1.2 Verwerker zal de Persoonsgegevens onder de voorwaarden van de Overeenkomst verwerken. Verwerker zal de Persoonsgegevens verwerken op behoorlijke en zorgvuldige wijze en in overeenstemming met de Wbp en de AVG en andere toepasselijke reqelqevinq betreffende de ver- werking van Persoonsgegevens.

2. VERPLICHTINGEN VERWERKER

2.1 Verwerker verwerkt de Persoonsgegevens alleen ten behoeve van de uitvoering van de werkzaamheden beschreven in de Opdracht.

Het is Verwerker niet toegestaan de Persoonsgegevens voor enig ander doel, ten eigen nutte, ten nutte van derden en/of voor eigen dan wel reclamedoeleinden van derden te verwerken of op andere wijze te verwerken dan door Verwerkingsverantwoordelijke is vastgesteld. Het is Verwerker, daarnaast, niet toegestaan om haar eigen datasets op enige wijze te verrijken met de datasets afkomstig van Verwerkingsverant- woordelijke.

2.2 Verwerker draagt zorg voor de naleving van de op de verwerking van de Persoonsgegevens toepasselijke wet- en regelgeving, waaronder de Wbp en de AVG. In dat kader voldoet Verwerker aan artikel 13 Wbp om de Persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking. Verwerker neemt in ieder geval de volgende maatregelen:

Antivirus software op hardware waarop persoonsgegevens van Verwerkingsverantwoordelijke verwerkt worden;

Sterke wachtwoorden voor toegang tot systemen waar persoonsgegevens van Verwerkingsverantwoo rdelijke verwerkt worden; Uitvoeren van updates voor besturingssystemen voor hardware waarop persoonsgegevens van Verwerkingsverantwoordelijke verwerkt worden.

Verwerker informeert Verwerkingsverantwoordelijke op diens eerste verzoek daartoe over de door haar getroffen maatregelen aanga ande haar verplichtingen onder deze overeenkomst.

2.3 Verwerker verplicht zich om de beveiligingsmaatregelen periodiek te actualiseren en aan te passen aan de stand der techniek,

2.4 Verwerker zal de Persoonsgegevens niet langer bewaren dan noodzakelijk is voor de uitvoering van de werkzaamheden als beschre ven in de Opdracht dan wel om een op hem rustende wettelijke verplichting na te leven.

2.5 Verwerker verwerkt de Persoonsgegevens alleen in de volgende landen van de Europese Unie . Doorgifte naar landen buiten de Europese Unie is enkel toegestaan met voorafgaande schriftelijke toestemming van Verwerkingsverantwoordelijke. Verwerkingsverantwoordelijke kan de toestemming aan nadere voorwaarden verbinden. Verwerker informeert Verwerkingsverantwoordelijke over de landen waar zij de Persoons- gegevens verwerkt,

2.6 Verwerker mag in het kader van de Overeenkomst gebruik maken van een derde, zonder voorafgaande schriftelijke toestemming van Verwerkingsverantwoordelijke, deze derde wordt alleen ingezet in kader van de opdracht, welke toestemming onderwerp kan zijn van nadere voorwaarden.

2.7 Verwerker zorgt er in ieder geval voor dat deze derden schriftelijk dezelfde plichten op zich nemen als tussen Verwerkingsverantwoor delijke en Verwerker zijn overeengekomen. Verwerker staat in voor een correcte naleving van deze plichten door deze derden en is bij fouten van deze derden zelf aansprakelijk voor alle schade alsof zij zelf de fout(en) heeft begaan. Verwerkingsverantwoordelijke heeft h et recht de mo- gelijk hierbij betrokken overeenkomsten in te zien. Verwerker vrijwaart Verwerkingsverantwoordelijk e van dergelijke claims.

2.8 In alle gevallen van een potentieel datalek of beveiligingslek zoals genoemd in artikel 34a Wbp, informeert Verwerker Verwerkingsverant- woordelijke onverwijld doch uiterlijk binnen 24 uur na ontdekking hiervan . Deze melding zal voor zover mogelijk ook inhouden: de (ver- meende) oorzaak van het lek, de door Verwerker getroffen beveiligingsmaatregelen, het (verwachte en lof bekende) gevolg en de (voorge- stelde) oplossing, contactgegevens voor de opvolging van de melding, het aantal personen waarvan gegevens zijn gelekt (indien geen exact aantal bekend is: het minimale en maximale aantal personen waarvan gegevens zijn gelekt), een omschrijving van de groep personen van wie gegevens zijn gelekt, het soort of de soorten persoonsgegevens die gelekt zijn, de datum waarop het lek heeft plaatsgevonden (indien geen exacte datum bekend is: de periode waarbinnen het lek heeft plaatsgevonden), de datum en het tijdstip waarop het lek bekend is geworden

bij Verwerker of bij een door hem ingeschakelde derde of onderaannemer, of de gegevens versleuteld, gehasht of op een andere manier on- begrijpelijk of ontoegankelijk zijn gemaakt voor onbevoegden, wat de voorgenomen en/of reeds ondernomen maatregelen zijn om het lek te dichten en om de gevolgen van het lek te beperken.

2.9 Verwerker garandeert dat de door haar verstrekte informatie volledig, correct en accuraat is.

2.10 Verwerker zal Verwerkingsverantwoordelijke onverwijld informeren over een verzoek van een betrokkene tot inzage, verbetering, aanvulling, wijziging, afscherming, verwijdering, beperking of verplaatsing. Tenzij andersluidende instructies zal Verwerker dit verzoek ten behoeve van Verwerkingsverantwoordelijke afhandelen,

2.11 Verwerker zal Verwerkingsverantwoordelijke, waar nodig, bijstand verlenen voor het voldoen aan eventuele (wettelijke) meldplichten, ver- zoeken van betrokkenen gericht aan Verwerkingsverantwoordelijke, het uitvoeren van gegevensbeschermingseffectbeoordelingen en andere eisen en plichten neergelegd in de relevante wet- en regelgeving.

2,12 Verwerker staat ervoor in dat de verplichtingen die uit de Overeenkomst voor Verwerker voort vloeien ook zijn opgelegd aan al degenen die onder haar gezag vallen, waaronder ook werknemers van Verwerker. Verwerker zorgt daarbij voor de juiste autorisaties wat betreft toegang tot persoonsgegevens van Verwerkingsverantwoordelijke.

3. AUDIT

3.1 Verwerkingsverantwoordelijke heeft het recht om audits uit te voeren of uit te laten voeren doo r een onafhankelijke derde die aan geheim- houding is gebonden ter controle van naleving van alle punten uit deze Overeenkomst, en alles dat daarmee verban d houdt.

3.2 Deze audit mag in ieder geval eens per jaar plaatsvinden en daarnaast tevens bij een concreet ver moeden van misbruik van persoonsgegevens,

3.3 Verwerker zal aan de audit meewerken en alle voor de audit redelijkerwijs relevante informatie, inclusief ondersteunende gegevens zoals sy- steemlogs en medewerkers, zo tijdig mogelijk en binnen een redelijke termijn (uiterlijk twee weken, tenzij enig redelijk belang zich hiertegen verzet), ter beschikking stellen.

3.4 De bevindingen naar aanleiding van de uitgevoerde audit zullen door Partijen in onderling overleg worden beoordeeld. Als de audit daartoe aanleiding geeft, dan zal Verwerker volgens de instructies van Verwerkingsverantw oordelijke aanpassingen verrichten.

3.5 De kosten van de audit worden door Verwerker gedragen indien er niet conform de Overeenkomst blijkt te zijn gewerkt, en er fouten zijn gevonden, die toegerekend moeten worden aan Verwerker. In ieder ander geval zullen beide Partijen de eigen kosten van de audit dragen.

4. GEHEIMHOUDING

4.1 Verwerker zal ten aanzien van alle gegevens die haar in het kader van de uitvoering van de Xxx xxxxxxxxx ter kennis of beschikking zijn ge- komen en waarvan zij het vertrouwelijk karakter kent of redelijkerwijs kan vermoeden, strikte geheimhouding betrachten en op geen enkele wijze aan derden verstrekken, behoudens voor zover:

a. Bekendmaking en/of verstrekking van die gegevens in het kader van de uitvoering van de Overeenkomst noodzakelijk is;

b. De wet of een rechterlijke uitspraak Verwerker tot bekendmaking en/of verstrekking van die gegevens verplicht, tenzij een andere oplos- sing voorhanden is; Bekendmaking en/of verstrekking van die gegevens met voorafgaande schriftelijke toestemming van de Verwerkings- verantwoordelijke geschiedt; of

c. Het informatie betreft die al rechtmatig openbaar was,

4.2 Ingeval Verwerker bovenstaande geheimhoudingsverplichting schendt, is zij een direct opeisbare boete van EUR 2.500,- per overtreding aan de Verwerkingsverantwoordelijke verschuldigd. In afwijking van artikel 6:92 BW komen partijen overeen dat Verwerkingsverantwoordelijke het recht behoudt om naast de boete, (volledige) schadevergoeding van de Verwerker te vorderen.

5. AANSPRAKELIJKHEID

5.1 Verwerker is aansprakelijk voor de alle schade die door een aan haar toerekenbare tekortkoming in de uitvoering van de Overeenkomst is ontstaan.

5.2 Verwerker vrijwaart Verwerkingsverantwoordelijke voor aanspraken van betrokkenen, van werknemers van Verwerker, de door haar ingescha- kelde hulppersonen en derden en toezichthouders, wegens een aan de Verwerker toe te rekenen schending van de Wbp of andere toepas- selijke regelgeving betreffende de verwerking van Persoonsgegevens.

6. (INTELLECTUELE) EIGENDOMSRECHTEN

Alle (intellectuele) eigendomsrechten op alle bestanden van Persoonsgegevens, gegevensdragers en/of enig ander materiaal waarop Persoons- gegevens zijn opgeslagen, blijven te allen tijde berusten bij Verwerkingsverantwoordelijke.

7. XXXX EN BEËINDIGING VAN DE OVEREENKOMST

7.1 De looptijd van deze Overeenkomst is dezelfde als die van de Opdracht.

7.2 Bij beëindiging van deze Overeenkomst, om welke reden dan ook, zal Verwerker alle Persoonsgegevens van Verwerkingsverantwoordelijke kosteloos conform instructies vernietigen of retourneren op een gebruikelijke gegevensdrager.

7.3 Na beëindiging van deze Overeenkomst, om welke reden dan ook, blijven de bepalingen van kracht die naar hun aard bedoeld zijn om ook na afloop van de Overeenkomst tussen Partijen te blijven gelden.

7.4 Partijen verplichten zich deze Overeenkomst aan te passen indien veranderende wet- en regelgeving dit noodzakelijk maakt.

8. TOEPASSELIJK RECHT EN BEVOEGDE RECHTER

8.1 Deze Overeenkomst en de uitvoering ervan worden beheerst door Nederlands recht.

8.2 Alle geschillen tussen Verwerkingsverantwoordelijke en Verwerker worden bij uitsluiting beslecht door de binnen het arrondissement van Amsterdam bevoegde rechter.

Bijlage 1: Specificatie persoonsgegevens

PERSOONSGEGEVENS

Verwerker verwerkt, in het kader van de Opdracht, de volgende persoonsgegevens in naam en in opdracht van Verwerkingsverantwoor- delijke:

Werkzaamheden van Verwerker	Persoonsgegevens
onder de opdracht
Administratie	Naam contactpersoon administratie Eventueel bankrekeningnummer bij eenmanszaak.
ICT beheer	• naam en achternaam gebruikers van ICT systemen
	• telefoonnummer van xxxxxxxxx
	• evt. Gebruikersnaam en Wacht woorden
	• e-mailadres
CRM	• naam en achternaam
	• telefoonnummers
	• e-rna iladres

Bijzondere persoonsgegevens

De verwerking van persoonsgegevens betreffende iemands godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven, alsmede persoonsgegevens betreffende het lidmaatschap van een vakvereniging is verboden. Hetzelfde geldt voor strafrechtelijke persoonsgegevens en persoonsgegevens over onrechtmatig of hinderlijk gedrag in verband met een opgelegd verbod naar aanleiding van dat gedrag.