VERWERKERSOVEREENKOMST

VERWERKERSOVEREENKOMST

Laatste update: Juni 2022

ARTIKEL 1. INTRODUCTIE

Deze Verwerkersovereenkomst geldt tussen:

Invato B.V. handelend onder de handelsnaam Invato, xxxxx://xxx.xxxxxx.xx (“Verwerker”), Geregistreerd bij de Kamer van Koophandel onder nummer: 73505021. En de Opdrachtnemer van Xxxxxx B.V., in deze Verwerkersovereenkomst genoemd de “Verwerkingsverantwoordelijke”, een en ander bepaald en aangevuld in de Algemene Voorwaarden die integraal van toepassing zijn op de rechtsverhouding tussen Verwerker en Verwerkingsverantwoordelijke (“Partijen”).

1.1. De in deze Verwerkersovereenkomst gebruikte woorden hebben de volgende betekenis(sen):

a. AVG: Verordening (EU) 2016/679 van het Europees Parlement betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens;

b. Betrokkene: de levende natuurlijke persoon op wie een Persoonsgegeven betrekking heeft;

c. Verwerkersovereenkomst: deze Verwerkersovereenkomst waarbij Verwerkingsverantwoordelijke aan Verwerker opdracht heeft gegeven om bepaalde diensten te verlenen in het kader waarvan Verwerker de Verwerkingen zal verrichten;

d. Overeenkomst: deze Verwerkersovereenkomst inclusief toepasselijke bijlagen;

e. Persoonsgegevens: alle data en informatie over een geïdentificeerde of identificeerbare natuurlijke persoon, die Verwerker op grond van deze overeenkomst Verwerkt;

f. Privacywetgeving: alle van toepassing zijnde wet- en regelgeving met betrekking tot de Verwerking en bescherming van persoonsgegevens, waaronder maar niet beperkt tot de AVG en in Nederland de Uitvoeringswet AVG;

g. Uitvoeringswet AVG: Regels ter uitvoering van Verordening (EU) 2016/679 van het Europees Parlement betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (PbEU 2016, L 119) (Uitvoeringswet Algemene verordening gegevensbescherming);

h. Verwerken/Verwerking: een bewerking of een geheel bepaalde bewerkingen ten aanzien van persoonsgegevens uitgevoerd via geautomatiseerde wijzen, onder meer het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen,

opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van persoonsgegevens.

2. REIKWIJDTE VERWERKERSOVEREENKOMST

2.1. Tenzij Partijen anders schriftelijk zijn overeengekomen, zijn de bepalingen van deze Verwerkersovereenkomst van toepassing op iedere Verwerking door Verwerker op grond van de Verwerkersovereenkomst.

2.2. Verwerker Verwerkt Persoonsgegevens ten behoeve van Verwerkingsverantwoordelijke, overeenkomstig diens uitdrukkelijke instructies en onder diens verantwoordelijkheid en op de wijze vastgelegd in deze Verwerkersovereenkomst.

2.3. Verwerker Verwerkt de Persoonsgegevens slechts in opdracht van de Verwerkingsverantwoordelijke, tenzij afwijkende wettelijke verplichtingen gelden.

3. ALGEMENE VERPLICHTINGEN VERWERKER

3.1. Verwerker heeft geen zeggenschap over het doel van en de middelen voor de Verwerking van Persoonsgegevens en neemt geen zelfstandige besluiten over het gebruik van de Persoonsgegevens, de verstrekking aan derden en de duur van de opslag van Persoonsgegevens.

3.2. Verwerker stelt Verwerkingsverantwoordelijke meteen schriftelijk op de hoogte indien een instructie naar het redelijk oordeel van Verwerker inbreuk oplevert op de toepasselijke Privacywetgeving.

3.3. Xxxxxxxxx stelt op eerste verzoek van Verwerkingsverantwoordelijke alle informatie ter beschikking die nodig is om de nakoming van in deze Verwerkersovereenkomst neergelegde verplichtingen aan te tonen.

3.4. Verwerker moet zorgdragen voor de naleving van de voorwaarden die op grond van de toepasselijke Privacywetgeving worden gesteld aan het Verwerken van Persoonsgegevens.

3.5. Verwerker geeft alleen toegang tot de Persoonsgegevens aan haar werknemers en opdrachtnemers voor zover dit nodig is voor het verrichten van de diensten op grond van de Verwerkersovereenkomst.

3.6. Verwerker zal de Persoonsgegevens niet langer dan een redelijke en bij wet bepaalde termijn Verwerken, tenzij Verwerkingsverantwoordelijke hiertoe uitdrukkelijk schriftelijk opdracht heeft gegeven.

4. VERSTREKKING PERSOONSGEGEVENS AAN DERDEN

4.1. Verwerker zal geen Persoonsgegevens aan een derde partij verstrekken of ter beschikking stellen tenzij (i) dit expliciet is toegestaan in de Verwerkersovereenkomst, (ii) op grond van een uitdrukkelijke schriftelijke opdracht van Verwerkingsverantwoordelijke of (iii) op bevel van een gerechtelijke of bestuurlijke instantie, op voorwaarde dat Verwerker in dat geval Verwerkingsverantwoordelijke binnen 24 uur na ontvangst van een dergelijk bevel daarvan in kennis stelt om Verwerkingsverantwoordelijke zodoende in staat te stellen daartegen een haar ter beschikking staand rechtsmiddel in te stellen.

4.2. Indien Verwerker van oordeel is dat zij op grond van een wettelijke verplichting Persoonsgegevens ter beschikking moet stellen aan een daartoe bevoegde instantie zal zij daar niet toe overgaan, dan na overleg met en goedkeuring van Verwerkingsverantwoordelijke. Zij zal Verwerkingsverantwoordelijke zo spoedig mogelijk schriftelijk in kennis stellen van de wettelijke verplichting en daarbij alle relevante informatie verstrekken die Verwerkingsverantwoordelijke redelijkerwijs nodig heeft om de vereiste maatregelen te treffen om te bepalen of verstrekking kan plaatsvinden. Indien verstrekking kan plaatsvinden zal Verwerkingsverantwoordelijke daarbij de voorwaarden bekendmaken.

5. VERWERKING BUITEN NEDERLAND

5.1. Verwerker mag de Persoonsgegevens enkel buiten Nederland Verwerken met voorafgaande schriftelijke toestemming van Verwerkingsverantwoordelijke, waaraan Verwerkingsverantwoordelijke voorwaarden kan verbinden.

6. VERZOEKEN VAN BETROKKENEN

6.1. Verwerker dient Verwerkingsverantwoordelijke op de hoogte te stellen van alle verzoeken die rechtstreeks van Betrokkenen zijn ontvangen met betrekking tot de rechten van Betrokkenen op grond van de toepasselijke wetgeving, waaronder maar niet beperkt tot verzoeken tot inzage, rectificatie, verwijdering, beperking van de verwerking of overdracht van de Persoonsgegevens.

6.2. Verwerker geeft aan een verzoek genoemd in het vorige artikel alleen gevolg indien Verwerkingsverantwoordelijke de Verwerker daartoe schriftelijk opdracht heeft gegeven. Verwerker zal Verwerkingsverantwoordelijke door middel van geschikte technische en organisatorische maatregelen op haar eerste verzoek alle medewerking verlenen bij het vervullen van diens plicht om verzoeken om uitoefening van de vastgestelde rechten van de Betrokkenen te beantwoorden.

6.3. Verwerker handelt alle verzoeken om inlichtingen van Verwerkingsverantwoordelijke met betrekking tot de Verwerking van de Persoonsgegevens behoorlijk af en met de juiste urgentie.

Xxxxxxxxx stelt op eerste verzoek van Verwerkingsverantwoordelijke alle informatie ter beschikking die nodig is om de nakoming van de verplichtingen van Verwerkingsverantwoordelijke als neergelegd in deze Verwerkersovereenkomst en artikel 28 AVG aan te tonen.

7. INSCHAKELEN DERDEN DOOR VERWERKER BIJ UITVOERING VERWERKERSOVEREENKOMST

7.1. Verwerker mag uitsluitend na voorafgaande schriftelijke toestemming van Verwerkingsverantwoordelijke een derde inschakelen bij de uitvoering van deze Verwerkersovereenkomst, onder de voorwaarden die Verwerkingsverantwoordelijke daarbij stelt. Indien een derde na schriftelijke toestemming van Verwerkingsverantwoordelijke wordt ingeschakeld om ten behoeve van Verwerkingsverantwoordelijke specifieke verwerkingsactiviteiten te verrichten (als sub-verwerker), zal Verwerker aan deze andere derde bij overeenkomst minstens dezelfde verplichtingen inzake de Verwerking en bescherming van Persoonsgegevens opleggen als de verplichtingen die zijn opgenomen in deze Verwerkersovereenkomst.

8. GEHEIMHOUDING

8.1. Verwerker zal de Persoonsgegevens en andere informatie verkregen van Verwerkingsverantwoordelijke strikt geheim houden, waarbij zij minstens eenzelfde mate van zorg zal betrachten als die, die zij ten aanzien van de bescherming van haar eigen informatie van zeer vertrouwelijke aard in acht neemt.

8.2. Verwerker zal de Persoonsgegevens of andere informatie verkregen van Verwerkingsverantwoordelijke niet openbaar maken, verstrekken, verspreiden of op andere wijze bekend maken aan andere personen dan haar werknemers die van de Persoonsgegevens of andere informatie verkregen van Verwerkingsverantwoordelijke kennis moeten kunnen nemen voor hun werkzaamheden voor de Verwerker.

8.3. Verwerker zal werknemers pas toegang geven tot de Persoonsgegevens en andere informatie verkregen van Verwerkingsverantwoordelijke, nadat zij zijn geïnformeerd over het vertrouwelijke karakter van de Persoonsgegevens en andere informatie verkregen van Verwerkingsverantwoordelijke. Verwerker legt het in deze Verwerkersovereenkomst bepaalde ook op aan haar werknemers en andere derden die worden ingeschakeld.

9. MELDPLICHT DATALEKKEN

9.1. Verwerker dient Verwerkingsverantwoordelijke onverwijld, en in ieder geval uiterlijk binnen 48 uur nadat Xxxxxxxxx ervan kennis heeft gekregen, in kennis te stellen van iedere inbreuk op de beveiliging van de Verwerking van Persoonsgegevens.

9.2. Verwerker dient Verwerkingsverantwoordelijke in ieder geval informatie te verstrekken over het volgende in het geval van een datalek: (i) de aard van de inbreuk, waar mogelijk onder vermelding van de categorieën van Betrokkenen in kwestie en, bij benadering, het aantal Betrokkenen in kwestie; (ii) de (mogelijk) getroffen Persoonsgegevens en, bij benadering, het aantal getroffen Persoonsgegevens in kwestie; (iii) de vastgestelde en verwachte gevolgen van de inbreuk voor de Verwerking van de Persoonsgegevens en de daarbij betrokken personen; en

(iv) de maatregelen die Verwerker heeft getroffen en zal treffen om de inbreuk te bestrijden, waaronder, in voorkomend geval, de maatregelen ter beperking van de eventuele negatieve gevolgen van de inbreuk.

9.3. De kennisgeving als bedoeld in de artikel zal door Verwerker worden gericht aan een door Verwerkingsverantwoordelijke aan te wijzen contactpersoon. Verwerkingsverantwoordelijke zal Verwerker schriftelijk informeren over de contactgegevens van deze contactpersoon. De kennisgeving zal zowel telefonisch als per e-mail worden gedaan. Na ontvangst van de kennisgeving zal Verwerkingsverantwoordelijke Verwerker informeren over de wijze waarop Verwerkingsverantwoordelijke, indien noodzakelijk, een eventueel datalek zal melden bij de Autoriteit Persoonsgegevens.

9.4. Verwerker erkent dat Verwerkingsverantwoordelijke wettelijk verplicht is om een inbreuk op de beveiliging die betrekking heeft of kan hebben op de Persoonsgegevens die Verwerker Verwerkt, aan Betrokkenen en/of autoriteiten te melden. Een dergelijke melding door Verwerkingsverantwoordelijke zal nimmer als tekortkoming in de nakoming van deze Verwerkersovereenkomst of Verwerkersovereenkomst of anderszins als onrechtmatige handeling worden beschouwd.

9.5. Verwerker zal alle maatregelen treffen die nodig zijn om de schade van een inbreuk op de beveiliging te beperken en zal Verwerkingsverantwoordelijke ondersteunen bij meldingen aan Betrokkenen en de bevoegde autoriteiten.

9.6. Verwerker zal ervoor zorgen dat (mogelijk) bewijs met betrekking tot de inbreuk bedoeld in artikel 9.1 en 9.2, inclusief maar niet beperkt tot log files, analyses van netwerkverkeer en access control data, zo veel als mogelijk bewaard blijft en op verzoek aan Verwerkingsverantwoordelijke ter beschikking wordt gesteld.

10. BEWAARTERMIJN PERSOONSGEGEVENS

10.1. Indien bepaalde Persoonsgegevens naar het oordeel van Verwerkingsverantwoordelijke niet langer bewaard mogen of behoeven worden zal Verwerker op schriftelijke verzoek van Verwerkingsverantwoordelijke, bepaalde Persoonsgegevens vernietigen en hiervan een bevestiging sturen aan Verwerkingsveranwoordelijke.

11. BEVEILIGINGSMAATREGELEN EN INSPECTIE

11.1. Verwerker zal conform artikel 32 AVG alle passende organisatorische en technische maatregelen nemen om de Persoonsgegevens te beveiligen tegen verlies of enige vorm van verwerking die onrechtmatig is. Deze maatregelen, garanderen een passend beveiligingsniveau gelet op de stand van de techniek, de uitvoeringskosten, alsook gelet op de aard, de omvang, context en verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico's die Verwerking van de Persoonsgegevens die de Verwerker Verwerkt met zich meebrengen voor de rechten en vrijheden van de Betrokkenen.

11.2. Verwerker dient Verwerkingsverantwoordelijke te informeren als een van de beveiligingsmaatregelen verandert.

11.3. Verwerker erkent dat Verwerkingsverantwoordelijke de naleving van de beveiligingsmaatregelen door Verwerker mag onderzoeken of auditen. Zulks kan worden uitgevoerd door een onafhankelijke derde partij die gehoudenis aan geheimhoudingsverplichtingen.

11.4. Verwerkingsverantwoordelijke zal alle kosten, vergoedingen en onkosten in verband met de in het vorige artikel genoemde derde partij betalen, inclusief redelijke kosten van Verwerker.

11.5. Verwerkingsverantwoordelijke zal Verwerker altijd op diens verzoek een exemplaar geven van de resultaten van een onderzoek of audit.

12. VERPLICHTINGEN VERWERKINGSVERANTWOORDELIJKE

12.1. Verwerkingsverantwoordelijke is ten aanzien van de Verwerking van Persoonsgegevens volgens deze Verwerkersovereenkomst de 'Verwerkingsverantwoordelijke' zoals omschreven in artikel 4.7 AVG.

12.2. Verwerkingsverantwoordelijke gaat akkoord en staat er voor in dat de Verwerking van de Persoonsgegevens altijd in overeenstemming is met de toepasselijke Privacywetgeving.

13. AANSPRAKELIJKHEID

13.1. Verwerker is aansprakelijk voor alle schade voortvloeiende uit of verband houdend met het niet-nakomen van deze Verwerkersovereenkomst dan wel handelen in strijd met de toepasselijke Privacywetgeving.

13.2. Verwerker vrijwaart Verwerkingsverantwoordelijke tegen aanspraken van derden, waaronder Betrokkenen en toezichthouders, in verband met het toerekenbaar tekortschieten van Verwerker in de nakoming van de Verwerkersovereenkomst of overtreding door Verwerker van de toepasselijke Privacywetgeving en zal alle daarmee verband houdende en daaruit voortvloeiende kosten vergoeden, waaronder schade kosten van juridische bijstand en boetes van toezichthoudende organen.

14. BEËINDIGING

14.1. De Verwerkersovereenkomst is voor onbepaalde tijd aangegaan en eindigt op het tijdstip dat de samenwerking tussen Partijen eindigt.

14.2. Tenzij een schriftelijke opdracht van de Verwerkingsverantwoordelijke anders bepaalt, zal Verwerker in geval van beëindiging van de samenwerking tussen Partijen meteen alle aan haar ter beschikking gestelde Persoonsgegevens aan Verwerkingsverantwoordelijke teruggeven en alle digitale kopieën van Persoonsgegevens vernietigen. Indien een dergelijke opdracht in strijd is met de wettelijke verplichting die rust op Verwerker, dan wordt de Verwerkingsverantwoordelijke op de hoogte gesteld.

15. OVERDRACHT RECHTEN EN PLICHTEN

15.1. Deze Verwerkersovereenkomst en de rechten en verplichtingen daarin kunnen door Verwerker niet aan derden worden overgedragen zonder de voorafgaande schriftelijke toestemming van Verwerkingsverantwoordelijke.

16. GELDIGHEID

16.1. Indien één of meer bepalingen van deze Verwerkersovereenkomst niet rechtsgeldig zijn, zal het voor het overige van kracht blijven. Partijen zullen over de bepalingen welke niet rechtsgeldig blijken te zijn direct overleg plegen om een vervangende regeling te treffen die wel

rechtskracht heeft en die zoveel mogelijk aansluit bij de strekking van de regeling die vervangen dient te worden.

17. TOEPASSELIJKHEID RECHT EN GESCHILLEN

17.1. Nederlands recht is van toepassing op deze Verwerkersovereenkomst.

17.2. Alle geschillen voortvloeiende uit of samenhangende met deze Overeenkomst zullen uitsluitend worden voorgelegd aan de bevoegde rechter te Groningen.