Verwerkersovereenkomst

Verwerkersovereenkomst

Partijen:

Opdrachtgever, geregistreerd bij de Kamer van Koophandel onder nummer 70146403 gevestigd te Xxxxxx, 0000 XX aan de Xxxxxxxxx 00-X hierna ook te noemen: “Verwerkingsverantwoordelijke”

en

CT-Veterinair B.V., geregistreerd bij de Kamer van Koophandel onder nummer 70146403 kantoorhoudende te Xxxxxx, 0000 XX aan de Velperweg 67-A, (hierna: “CT-Veterinair of “Verwerker”).

Overwegingen:

A. Verwerkingsverantwoordelijke en CT-Veterinair zijn een overeenkomst aangegaan voor de verlening van diensten voor de bij Verwerkingsverantwoordelijke aangesloten consumenten. Voor het verrichten van deze diensten is het noodzakelijk dat CT-Veterinair in opdracht van Verwerkingsverantwoordelijke Persoonsgegevens verwerkt waarvoor Verwerkingsverantwoordelijke verantwoordelijk is.

B. Verwerkingsverantwoordelijke en CT-Veterinair wensen in deze overeenkomst de wederzijdse rechten en verplichtingen voor de Verwerking van Persoonsgegevens door CT-Veterinair vast te leggen overeenkomstig de relevante wet en regelgeving.

1 Partijen zijn het volgende overeengekomen:

1.1 De in deze overeenkomst gebruikte woorden of formuleringen hebben de volgende betekenis, tenzij de AVG of de Uitvoeringswet AVG anders bepaalt:

a Betrokkene: degene op wie (een) Persoonsgegeven(s) betrekking heeft/hebben;

b Hoofdovereenkomst: de overeenkomst(en) voor het verrichten van medische onderzoeken aan de huisdieren van de bij Verwerkingsverantwoordelijke aangesloten consumenten, waarbij Verwerkingsverantwoordelijke aan CT-Veterinair opdracht heeft gegeven om Verwerkingen te verrichten;

c Overeenkomst: deze verwerkersovereenkomst;

d Persoonsgegevens: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon dat CT-Veterinair op grond van de Hoofdovereenkomst Verwerkt of dient te Verwerken;

e Verwerken/verwerking: alle handelingen of reeks handelingen uitgevoerd op Persoonsgegevens, al dan niet door geautomatiseerde middelen, zoals verzamelen, vastleggen, structureren, opslaan, aanpassen of wijzigen, ophalen, raadplegen, gebruiken, bekendmaken door overdracht, verspreiding of anderszins beschikbaar maken, afstemmen of combineren, blokkeren, wissen of vernietigen.

f AVG: Algemene Verordening Gegevensbescherming (Verordening van de Europese Unie 2016/679 van 27 april 2016).

2 Toepasselijkheid

2.1 Tenzij Partijen schriftelijk anders zijn overeengekomen, zijn de bepalingen van deze Overeenkomst van toepassing op iedere Verwerking door CT-Veterinair op grond van de Hoofdovereenkomst. De afspraken in deze overeenkomst hebben voorrang boven alle bepalingen in reeds gesloten overeenkomsten, waaronder de Hoofdovereenkomst.

3 Verwerking door CT-veterinair

3.1 CT-Veterinair neemt de bescherming van Persoonsgegevens serieus en zal daarom zoveel als voor haar naar redelijkheid mogelijk zorgdragen voor de naleving van de voorwaarden die op grond van de AVG, de Uitvoeringswet AVG en andere relevante wet- en regelgeving worden gesteld aan het verwerken van Persoonsgegevens.

3.2 CT-Veterinair zal uitsluitend persoonsgegevens verwerken voor zover dat noodzakelijk is om aan haar verplichtingen uit de Hoofdovereenkomst te voldoen.

3.3 CT-Veterinair verwerkt de Persoonsgegevens slechts in opdracht en volgens de instructies van Verwerkingsverantwoordelijke en met het doel als bepaald in deze overeenkomst en de Hoofdovereenkomst. CT-Veterinair zal geen zelfstandige beslissing nemen over het gebruik en de duur van de opslag van de Persoonsgegevens. CT-Veterinair zal Persoonsgegevens bovendien niet met een ander doel dan de uitvoering van de Hoofdovereenkomst laten verwerken door derden. Op de in dit artikel genoemde uitgangspunten wordt uitsluitend afgeweken als de (Nederlandse) wet of autoriteiten daartoe verplichten.

3.4 Om uitvoering aan de overeenkomst te kunnen geven zal CT-Veterinair de in bijlage 1 opgesomde persoonsgegevens verwerken.

3.5 CT-Veterinair zal de Persoonsgegevens bewaren voor de duur als opgenomen in bijlage 2.

3.6 De Persoonsgegevens waartoe CT-Veterinair op grond van de Hoofdovereenkomst toegang heeft, worden met de grootste zorg behandeld. Om de veiligheid van de Persoonsgegevens zoveel mogelijk te kunnen waarborgen verschaft CT-Veterinair enkel toegang tot de Persoonsgegevens aan haar werknemers voor zover dat nodig is voor het verrichten van de diensten op grond van de Hoofdovereenkomst. CT-Veterinair en de aan haar verbonden personen betrachten uiteraard geheimhouding ten aanzien van de onder deze Overeenkomst verwerkte Persoonsgegevens.

3.7 De verwerking van persoonsgegevens door of namens

CT-Veterinair vindt slechts buiten de Europese Economische Ruimte (EER) plaats indien aan de door artikel 44 AVG gestelde voorwaarden wordt voldaan.

3.8 Indien CT-Veterinair op grond van een bevel van een gerechtelijke of bestuurlijke instantie gehouden is om Persoonsgegevens

aan een derde te verstrekken zal CT-Veterinair Verwerkings- verantwoordelijke daar binnen 7 werkdagen na ontvangst van een dergelijk bevel en voordat door CT-Veterinair op het bevel is

Paraaf CT-Veterinair Paraaf Verwerkingsverantwoordelijke Pagina 1/6

gehandeld over informeren om Verwerkings-verantwoordelijke in staat te stellen tegen het dwangmiddel bezwaar of beroep aan te tekenen. De verantwoordelijkheid om rechtsmiddelen tegen een dergelijk bevel aan te wenden ligt uitdrukkelijk bij Verwerkings- verantwoordelijke. Als de betreffende wetgeving op grond waarvan het bevel is gegeven, kennisgeving van Verwerkings- verantwoordelijke door CT-Veterinair op grond van gewichtige redenen van algemeen belang verbiedt, vindt kennisgeving niet plaats.

3.9 Indien CT-Veterinair van oordeel is dat op grond van een wettelijke verplichting Persoonsgegevens ter beschikking moeten worden gesteld aan een daartoe bevoegde instantie, stelt CT-Veterinair Verwerkings-verantwoordelijke daarvan schriftelijk in kennis, waarna, op verzoek van Verwerkingsverantwoordelijke, eventueel ook de betreffende wettelijke verplichting wordt benoemd en relevante informatie zal worden verstrekt. De kennisgeving vindt niet plaats als de betreffende wetgeving kennisgeving op grond van gewichtige redenen van algemeen belang verbiedt.

3.10 CT-Veterinair zal Verwerkingsverantwoordelijke in kennis stellen van alle verzoeken met betrekking tot inzage in de Persoonsgegevens die rechtstreeks van een Betrokkene zijn ontvangen.

3.11 CT-Veterinair maakt voor haar dienstverlening gebruik van diensten van derden die daardoor kunnen worden aangemerkt als sub-verwerker. Bij de selectie van deze partijen hanteert CT-Veterinair de hoogste standaarden met betrekking tot de verwerking van Persoonsgegevens. De door CT-Veterinair gehanteerde normen zien onder andere op het bieden van afdoende garanties met betrekking tot het toepassen van passende technische en organisatorische maatregelen door de sub-verwerker zodat de verwerking aan de wettelijke

verplichtingen voldoet en de bescherming van de rechten van de Betrokkenen worden gewaarborgd. Op verzoek zal CT-Veterinair de gegevens van de sub-verwerkers verschaffen.

Verwerkingsverantwoordelijke geeft algemene toestemming voor het inschakelen van sub-verwerkers.

3.12 Verwerkingsverantwoordelijke gaat hierbij akkoord met en geeft toestemming in algemene zin, als bedoeld in lid 2 van artikel 28 AVG, voor toekomstige uitbreidingen c.q. wijzigingen van het personeelsbestand bij CT-Veterinair en het laten verrichten van Verwerkingen door andere c.q. nieuwe medewerkers van

CT-veterinair.

4 Meldplicht datalekken

4.1 CT-Veterinair zal Verwerkingsverantwoordelijke, nadat

CT-Veterinair ervan kennis heeft gekregen, in kennis stellen van iedere inbreuk op de beveiliging (van welke aard dan ook) die (mede) betrekking heeft of kan hebben op de verwerking van Persoonsgegevens. CT-Veterinair zal Verwerkings- verantwoordelijke, indien mogelijk, inlichten over (i) de aard van

de inbreuk; (ii) de (mogelijk) getroffen Persoonsgegevens; (iii) de vastgestelde en verwachte gevolgen van de inbreuk voor de

verwerking van Persoonsgegevens en de daarbij betrokken personen; en (iv) de maatregelen die CT-Veterinair heeft getroffen en zal treffen om de negatieve gevolgen van de inbreuk te beperken.

4.2 Ter bevordering van de dienstverlening door CT-Veterinair en de beveiliging van Persoonsgegevens is Verwerkings- verantwoordelijke verplicht CT-Veterinair zo snel mogelijk, doch binnen 24 uur, te informeren over ieder lek van Persoonsgegevens waarvan zij kennis heeft genomen. Verwerkingsverantwoordelijke is aansprakelijk en vrijwaart CT-Veterinair voor alle schade die ontstaat of is ontstaan door nalatigheid van Verwerkings- verantwoordelijke omtrent deze verplichting.

4.3 De verantwoordelijkheid voor het melden van een datalek bij de autoriteiten en/of bij Betrokkenen berust te allen tijde bij Verwerkingsverantwoordelijke.

5 Beveiligingsmaatregelen en inspectie

5.1 Om ervoor te zorgen dat de Persoonsgegevens zoveel mogelijk worden beschermd neemt CT-Veterinair maatregelen om Persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking. Indien door Verwerkings- verantwoordelijke aanvullende maatregelen worden gewenst, kan in overleg met CT-Veterinair worden bekeken of de gewenste maatregelen mogelijk en/of doeltreffend zijn en tegen welke kosten de aanvullende maatregelen kunnen worden aangeboden. Mocht een van de beveiligingsmaatregelen van CT-Veterinair worden gewijzigd, dan wordt dit onderdeel van het door

CT-Veterinair gevoerde beleid ten aanzien van de bescherming van de in opdracht van Verwerkingsverantwoordelijke verwerkte persoonsgegevens, welke op verzoek aan Verwerkings- verantwoordelijke kan wordt verstrekt.

5.2 CT-Veterinair heeft vertrouwen in de genomen beveiligings- maatregelen en biedt Verwerkingsverantwoordelijke de mogelijkheid om de naleving van de beveiligingsmaatregelen door CT-Veterinair te inspecteren of te laten inspecteren door een neutrale en deskundige onderzoeksinstantie. Uiteraard wordt aan het onderzoek wel de voorwaarde gesteld dat geheimhouding van Persoonsgegevens en van de bevindingen van het onderzoek tegenover derden wordt gegarandeerd.

5.3 Omdat de in artikel 5.2 bedoelde inspecties belastend zijn voor de bedrijfsvoering van CT-Veterinair komen partijen overeen dat deze inspecties alleen plaatsvinden nadat Verwerkings- verantwoordelijke de bij CT-Veterinair aanwezige soortgelijke inspectierapportages heeft opgevraagd en beoordeeld en voldoende zwaarwegende, redelijke argumenten aanbrengt die een door Verwerkingsverantwoordelijke geïnitieerde inspectie alsnog rechtvaardigen. Een inspectie is gerechtvaardigd indien de bij CT-Veterinair aanwezige soortgelijke inspectierapportages geen of onvoldoende uitsluitsel geven over het naleven van deze Overeenkomst door CT-veterinair. De door Verwerkings- verantwoordelijke geïnitieerde inspectie vindt twee weken na

Paraaf CT-Veterinair Paraaf Verwerkingsverantwoordelijke Pagina 2/6

voorafgaande aankondiging door Verwerkingsverantwoordelijke, en maximaal eens per jaar plaats.

5.4 Alle kosten, vergoedingen en onkosten in verband met de inspectie, met inbegrip van personeelskosten en overige interne kosten, zoals winstderving, die CT-Veterinair moet maken ter ondersteuning van de inspectie komen voor rekening van Verwerkingsverantwoordelijke.

5.5 Verwerkingsverantwoordelijke zal CT-Veterinair direct na ontvangst een exemplaar van het rapport van de Inspectie verstrekken.

6 Verplichtingen Verwerkingsverantwoordelijke

6.1 Verwerkingsverantwoordelijke gaat ermee akkoord en staat ervoor in dat de verschaffing van de Persoonsgegevens overeenkomstig deze overeenkomst in overeenstemming is met de AVG, de Uitvoeringswet AVG en overige relevante wet- en regelgeving. Verwerkingsverantwoordelijke is zelf verantwoordelijk voor het toezicht hierop, middels de haar toekomende maatregelen.

7 Aansprakelijkheid

7.1 Alle verwerkingen vinden plaats onder verantwoordelijkheid van de Verwerkingsverantwoordelijke. CT-Veterinair is niet aansprakelijk voor schade, tenzij de schade het gevolg is van opzet of bewuste roekeloosheid aan de zijde van CT-veterinair. In het geval CT-Veterinair aansprakelijk is jegens Verwerkings- verantwoordelijke of Betrokkene is deze aansprakelijkheid beperkt tot het bedrag dat door de verzekeraar van CT-Veterinair wordt uitgekeerd. Als de verzekeraar van CT-Veterinair niet tot uitkeren overgaat is de aansprakelijkheid van CT-Veterinair

beperkt tot een bedrag ter hoogte van 15% van het factuurbedrag over de afgelopen zes maanden. Aansprakelijkheid van

CT-Veterinair vanwege gevolgschade, waaronder maar niet beperkt tot: omzet- of winstderving en reputatieschade, is uitgesloten.

7.2 Verwerkingsverantwoordelijke is gehouden om CT-Veterinair zo spoedig mogelijk, doch binnen 72 uur nadat Verwerkings- verantwoordelijke dit heeft geconstateerd/ontdekt of

redelijkerwijs had kunnen constateren/ontdekken te informeren over iedere vermeende aanspraak op CT-veterinair. Na de informatieverschaffing zal CT-Veterinair de schade, indien

CT-Veterinair van mening is hiervoor aansprakelijk te zijn, kosteloos naar redelijkheid beperken en herstellen. Pas wanneer deze remedie geen uitkomst biedt om de schade effectief te verhelpen, heeft Verwerkingsverantwoordelijke recht op vergoeding van de door haar geleden schade. Wanneer Verwerkingsverantwoordelijke CT-Veterinair omtrent de schade/ aansprakelijkheid te laat heeft geïnformeerd, vervalt het recht op enige remedie.

8 Beëindiging

8.1 De Overeenkomst is voor onbepaalde tijd aangegaan en eindigt op het moment dat de Hoofdovereenkomst eindigt.

8.2 Tenzij partijen schriftelijk anders overeenkomen, zal CT-Veterinair in geval van beëindiging van de Overeenkomst – voor zover mogelijk - alle aan haar ter beschikking gestelde Persoons- gegevens binnen een termijn van 4 weken aan Verwerkings- verantwoordelijke retourneren en alle digitale kopieën van Persoonsgegevens vernietigen. Indien naar het oordeel van

CT-Veterinair een wettelijke verplichting het geheel of gedeeltelijk retourneren of vernietigen van de Persoonsgegevens door

CT-Veterinair verbiedt of beperkt, zal zij Verwerkings- verantwoordelijke schriftelijk informeren over de toepasselijke wet- en regelgeving.

9 Overdracht rechten en plichten

9.1 Vanwege de vertrouwelijke aard van de dienstverlening zullen partijen de rechten en verplichtingen uit deze overeenkomst niet zonder schriftelijke toestemming van de andere partij aan derden overdragen.

10 Deelbaarheid

10.1 Indien één of meer bepalingen van deze Overeenkomst niet rechtsgeldig blijkt te zijn, zal de Overeenkomst voor het overige van kracht blijven. Partijen zullen over de bepalingen die niet rechtsgeldig blijken te zijn overleg plegen, teneinde een vervangende regeling te treffen die wel rechtsgeldig is en zoveel mogelijk aansluit bij de strekking van de te vervangen regeling.

10.2 Indien de Europese Commissie en/of de Autoriteit Persoonsgegevens, of diens rechtsopvolgers, zou besluiten om standaardcontractbepalingen vast te stellen als bedoeld in artikel 28 lid 7 en 8 AVG, zullen deze standaardcontractbepalingen tussen partijen gelden vanaf het moment dat ze in werking treden. Indien de bepalingen afwijken van de relevante bepalingen uit de Overeenkomst, dan zullen ze daarvoor in de plaats treden.

11 Toepasselijk recht en geschillen

11.1 Nederlands recht is van toepassing op deze Overeenkomst.

11.2 Alle geschillen voortvloeiende uit of samenhangende met deze Overeenkomst zullen uitsluitend worden voorgelegd aan de bevoegde rechter van het arrondissement waarin CT-Veterinair haar hoofdvestigingsplaats heeft.

Paraaf CT-Veterinair Paraaf Verwerkingsverantwoordelijke Pagina 3/6

Ondergetekenden verklaren voor zover nodig te handelen met toestemming van vertegenwoordigingsbevoegde en staan hiervoor in.

Aldus in tweevoud opgemaakt en ondertekend,

Op ...... - ...... - 20 te           

CT-Veterinair namens deze: X.X.Xxxxxx

Op ...... - ...... - 20 te           

Verwerkingsverantwoordelijke namens deze:

Paraaf CT-Veterinair Paraaf Verwerkingsverantwoordelijke Pagina 4/6

Specificatie persoonsgegevens en betrokkenen

Persoonsgegevens

CT-Veterinair zal in het kader van de Overeenkomst, de volgende (bijzondere) persoonsgegevens verwerken in opdracht van Verwerkingsverantwoordelijke:

• NAW-gegevens,

• Telefoonnummer,

• E-mailadres,

• Historie,

• Gegevens over het/de huisdier(en),

• Overige relevante door de betrokkene gedeelde gegevens.

Van de categorieën betrokkenen:

• Consumenten,

• Medewerkers van Verwerkersverantwoordelijke.

Verwerkingsverantwoordelijke staat ervoor in dat voor de verwerking van de in deze bijlage omschreven persoonsgegevens een geldige grond als bedoeld in artikel 6 AVG aanwezig is en vrijwaart CT-Veterinair voor iedere aansprakelijkheid dienaangaande. Daarnaast staat de verwerkingsverantwoordelijke ervoor in dat de in deze bijlage beschreven persoonsgegevens en categorieën betrokkenen volledig en correct zijn, en vrijwaart CT-Veterinair voor enige aanspraken die resulteren uit gebreken en een incorrecte weergave door Verwerkingsverantwoordelijke.

Paraaf CT-Veterinair Paraaf Verwerkingsverantwoordelijke Pagina 5/6

Bewaartermijn persoonsgegevens

CT-Veterinair zal de Persoonsgegevens bewaren conform onderstaand overzicht.

CATEGORIE BETROKKENEN

Consumenten

Medewerkers van Verwerkersverantwoordelijke

Medewerkers van Verwerkersverantwoordelijke

NAW-gegevens, e-mailadres

GEGEVENS

Naam, adres, woonplaats, telefoonnummer, e-mailadres, historie, overige relevante gegevens,

Naam, e-mailadres

BEWAARTERMIJN

Duur van de Hoofdovereenkomst

Duur van de Hoofdovereenkomst

7 jaar na beëindiging van de Hoofdovereenkomst.

DOELEINDE

Uitvoering van de overeenkomst

Uitvoering van de overeenkomst, gerechtvaardigd belang van

CT-Veterinair Administratieve en fiscale verplichtingen

Paraaf CT-Veterinair Paraaf Verwerkingsverantwoordelijke Pagina 6/6