Bijlage 1 bij Algemene Leveringsvoorwaarden Scanlaser B.V.
Bijlage 1 bij Algemene Leveringsvoorwaarden Scanlaser B.V.
Bijzondere Bepalingen Bescherming Persoonsgegevens
Indien en voor zover de opdracht onder de Overeenkomst het Verwerken van Persoonsgegevens door Verwerker ten be- hoeve van doeleinden van Verwerkingsverantwoordelijke omvat, is het bepaalde in deze Bijlage 1 daarop van toepassing in aanvulling op de algemene bepalingen van de Algemene Leveringsvoorwaarden Scanlaser B.V. waarbij in geval van tegenstrijdigheid tussen een bepaling in deze Bijzondere Bepalingen Bescherming Persoonsgegevens en een bepaling in de algemene bepalingen, de bepaling in deze Bijzondere Bepalingen Bescherming Persoonsgegevens prevaleert.
1. Definities
In deze Bijzondere bepalingen bescherming per- soonsgegevens worden naast de begrippen (in kleine letter geschreven) zoals gehanteerd in de gel- dende toepasselijke wetgeving ter bescherming van persoonsgegevens (betrokkene, verwerken, etc.), de volgende begrippen (met hoofdletter geschreven) gehanteerd, met de volgende betekenis ongeacht of deze in meervoud of enkelvoud worden gebruikt:
Inbreuk: inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde ver- strekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte Persoonsgegevens;
Overeenkomst: elke opdracht die Verwerkingsver- antwoordelijke verstrekt aan Verwerker waarop de Algemene Leveringsvoorwaarden van Verwerker van toepassing zijn;
Persoonsgegevens: de persoonsgegevens zoals be- doeld in de zin van de Toepasselijke Wet die door Verwerker ten behoeve van Verwerkingsverantwoor- delijke onder de Overeenkomst worden verwerkt;
Bijlage 1: de onderhavige bijlage welke deel uit- maakt van de Overeenkomst;
Toepasselijke Wet: de toepasselijke geldende wet- en regelgeving ter bescherming van persoonsge- gevens, waaronder sinds 25 mei 2018 de Algemene Verordening Gegevensbescherming - Verordening (EU) 2016/679 van 27 april 2016 betreffende de be- scherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffen- de het vrije verkeer van die gegevens en tot intrek- king van Richtlijn 95/46/EG - (de “AVG”) en – vanaf moment in werking treden - bijbehorende geldende Nationale uitvoerende regelgeving (de “UAVG”).
Verwerkingsverantwoordelijke: opdrachtgever en/of klant van Scanlaser B.V.
Verwerker: Scanlaser B.V.
Partijen: de gezamenlijke aanduiding voor Verwerkers- verantwoordelijke en Verwerker.
2. Uitvoering verwerking
2.1 Verwerker verwerkt de Persoonsgegevens onder de verantwoordelijkheid van Verwerkingsverantwoorde- lijke op basis van diens schriftelijke instructies (waar- onder mede begrepen de opdracht zoals verwoord in de Overeenkomst en de instructies in deze Bijlage
1) met betrekking tot de verwerking van Persoons- gegevens, behoudens een afwijkende wettelijke ver- plichting.
2.2 Een en ander laat onverlet de verantwoordelijkheid van Verwerkingsverantwoordelijke om zorg te dra- gen dat diens instructies in overeenstemming met de toepasselijke wetgeving zijn. Voor zover deze instructies de verplichtingen van Verwerker onder de Overeenkomst (inclusief Bijlage 1) overstijgen en
kosten met zich meebrengen voor Verwerker alsmede consequenties kunnen hebben voor een overeenge- komen tijdsplanning, ontstaat de verplichting tot het uitvoeren van dergelijke instructies pas nadat Partijen hierover schriftelijk overeenstemming hebben bereikt.
2.3 Verwerker zal de Persoonsgegevens op behoorlijke en zorgvuldige wijze verwerken zoals nader gespe- cificeerd in de Overeenkomst en deze Bijlage 1 con- form de Toepasselijke Wet.
2.4 Verwerkingsverantwoordelijke staat er jegens Ver- werker voor in dat de inhoud, het gebruik door of namens Verwerkingsverantwoordelijke en de op- gedragen verwerking niet onrechtmatig is en geen inbreuk maakt op rechten van betrokkenen alsmede dat de Persoonsgegevens zijn verkregen op een
wijze die overeenstemt met de geldende wettelijke voorschriften, in het bijzonder die voortvloeien uit de Toepasselijke Wet.
2.5 Verwerker zal de Persoonsgegevens niet langer bewaren dan nodig is voor de nakoming van de ver- plichtingen op grond van de Overeenkomst.
2.6 Verwerker zal, indien dit redelijkerwijs binnen zijn invloedsfeer ligt en rekening houdende met de aard van de Verwerking, door middel van passende tech- nische en organisatorische maatregelen, voor zover mogelijk, haar bijstand verlenen aan de Verwerkings- verantwoordelijke bij het vervullen van diens wettelij- ke plichten op grond van de Toepasselijke Wet, zoals
– waar relevant – het uitvoeren van een gegevens- beschermingseffectbeoordeling (artikel 35 AVG) en voldoen aan de rechten van betrokkenen onder de Toepasselijke Wet. Verwerker heeft het recht de re- delijke kosten die hiermee gemoeid zijn in rekening te brengen bij Verwerkingsverantwoordelijke.
3. Beveiliging persoonsgegevens
3.1 Verwerker zal passende technische en organisatori- sche beveiligingsmaatregelen nemen, die gezien de huidige stand der techniek en de daarmee gemoei- de kosten overeenstemmen met de kenbare aard van de Persoonsgegevens en de opdracht waarin de gegevens worden verwerkt, ter bescherming van de Persoonsgegevens tegen verlies of onrechtmatige verwerking, zoals bedoeld artikel 32 AVG.
3.2 Verwerkingsverantwoordelijke zal Verwerker zonder onredelijke vertraging op de hoogte stellen van een aanwijzing of andere mededeling ontvangen van een daartoe bevoegde autoriteit (zoals de Autoriteit Per- soonsgegevens) betreffende de Persoonsgegevens.
4. Audit
4.1 Verwerkingsverantwoordelijke heeft het recht toe te zien op de naleving door Xxxxxxxxx van diens verplichtingen onder deze Bijlage 1. Verwerker stelt Verwerkingsverantwoordelijke, indien Verwerkings-
verantwoordelijke daarom verzoekt, hiertoe eenmaal per jaar in de gelegenheid op een door Partijen in gezamenlijk overleg nader te bepalen datum en tijd- stip en binnen een in gezamenlijk overleg nader te bepalen scope van het onderzoek.
In aanvulling op het voorgaande heeft Verwerkings- verantwoordelijke – op een in gezamenlijk overleg nader te bepalen datum en tijdstip en binnen een in gezamenlijk overleg nader te bepalen scope van het onderzoek – het recht om vaker dan eenmaal per jaar
toe te zien op de naleving door Xxxxxxxxx van diens verplichtingen onder deze Bijlage 1 indien en voor zover Verwerkingsverantwoordelijke een gegrond vermoeden heeft dat Verwerker daaraan niet voldoet.
4.2 Verwerker zal in alle redelijkheid en tegen vergoe- ding van haar kosten aan het in artikel 4.1 bedoelde onderzoek haar medewerking verlenen.
4.3 De kosten van het in artikel 4.1 bedoelde onderzoek komen voor rekening van Verwerkingsverantwoorde- lijke tenzij en voor zover uit voornoemd onderzoek blijkt dat Verwerker toerekenbaar tekort is geschoten in diens verplichtingen onder deze Bijlage 1, in welk geval de redelijke werkelijke kosten van het onder- zoek voor rekening van Verwerker zullen zijn onder overlegging van de daaraan ten grondslag liggende facturen.
4.4 Het onderzoek (waaronder begrepen de documenta- tie en overige gegevens waartoe het onderzoek zich uitstrekt) en de resultaten daarvan zullen door Ver- werkingsverantwoordelijke vertrouwelijk worden be- handeld en alleen met voorafgaande toestemming van Verwerker aan een derde op enige wijze inzich- telijk gemaakt mogen worden, welke toestemming niet op onredelijke gronden zal worden onthouden. Toestemming is niet vereist in het geval verstrekking aan een derde geschiedt op basis van een wettelijke verplichting en/of een rechtmatig verzoek van een bevoegde autoriteit.
4.5 Verwerkingsverantwoordelijke zal zorg dragen dat het onderzoek op een zodanige wijze wordt uitgevoerd dat Verwerker zo min mogelijk hinder hiervan onder- vindt en onder de voorwaarden dat de bescherming van de persoonsgegevens van derden geborgd is alsmede de vertrouwelijkheid van gegevens van der- den die naar hun aard vertrouwelijk zijn. Verwerkings- verantwoordelijke zal zorgdragen dat de controle is beperkt tot hetgeen noodzakelijk is om op basis van objectieve criteria vast te stellen of Verwerker voldoet aan diens verplichtingen onder deze Bijlage 1.
4.6 Verwerkingsverantwoordelijke zal Verwerker zo spoedig mogelijk een volledige en ongewijzigde kopie van de onderzoeksresultaten ter beschikking stellen in een voor Verwerker eenvoudig leesbare en duurzame vorm voor zover de onderzoeksresultaten betrekking hebben op Verwerker (en diens eventuele sub-verwerkers).
4.7 In het geval van een wetswijziging in de Toepas- selijke Wet, zullen Partijen zo spoedig mogelijk in overleg treden om zo nodig aanpassingen door te voeren in de organisatorische en beveiligingsmaat- regelen en/of deze Bijlage 1 als gevolg van de wijzi- ging en wie welke kosten daarvan zal dragen.
5. Geheimhouding
5.1 Verwerker is verplicht tot geheimhouding van de Per- soonsgegevens die door Verwerkingsverantwoordelij- ke aan haar worden verstrekt, behoudens voor zover:
(a) openbaarmaking/verstrekking noodzakelijk voort- vloeit uit de opdracht zoals beschreven in de Overeenkomst (inclusief deze Bijlage 1);
(b) voortvloeit uit een aanvullende schriftelijke in- structie van Verwerkingsverantwoordelijke; of
(c) uit een wettelijke verplichting; daaronder begre- pen: verwerking die noodzakelijk is uit hoofde van een bevoegd gegeven rechterlijk bevel; een door het bevoegd gezag gegeven last; een bevoegd gegeven aanwijzing of rechtmatig verzoek van de relevante toezichthouder (zoals de Autoriteit Per- soonsgegevens); of
(d) hiervoor voorafgaande schriftelijke toestemming van Verwerkingsverantwoordelijke is verkregen.
5.2 Verwerker draagt ervoor zorg dat eenieder die onder diens gezag handelt, verplicht is tot geheimhouding van de Persoonsgegevens waarvan hij/zij kennis- neemt overeenkomstig het gestelde in het vorige lid.
6. Beveiligingsincidenten (Meldplicht Datalekken)
6.1 Indien Verwerker een Inbreuk ontdekt, zal Verwerker
i) zonder onredelijke vertraging na ontdekking daar- van Verwerkingsverantwoordelijke overeenkomstig de Toepasselijke Wet daarover informeren; en ii) re- delijke maatregelen conform het bepaalde in artikel 3 treffen om de Inbreuk te beperken en verdere en toekomstige Inbreuk te voorkomen.
6.2 Verwerker zal Verwerkingsverantwoordelijke, rekening houdend met de aard van de verwerking en de infor- matie die hem ter beschikking staat, in alle redelijk- en billijkheid ondersteunen en op de hoogte houden van (nieuwe ontwikkelingen ten aanzien van) de Inbreuk.
6.3 De kennisgeving aan de Verwerkingsverantwoordelij- ke omvat in ieder geval:
(a) de (vooralsnog bekende en/of te verwachten) ge- volgen van de Inbreuk;
(b) welke categorieën Persoonsgegevens zijn getrof- fen door de Inbreuk;
(c) of en hoe de betreffende Persoonsgegevens crypto-
grafisch waren beveiligd;
(d) de (voorgestelde) maatregelen om de gevolgen van de Inbreuk te beperken of verdere Inbreuken te voorkomen;
(e) de (vooralsnog) bekende, categorieën betrokkenen;
(f) het (vooralsnog) bekende, bij benadering, aantal betrokkenen; en
(g) eventueel afwijkende contactgegevens voor de opvolging van de melding.
De kennisgeving zal geschieden per e-mail/telefoon/ sms aan de functionaris of contactpersoon voor de gegevensbescherming van Verwerkingsverantwoor- delijke.
6.4 Verwerker zal waar nodig Verwerkingsverantwoor- delijke assisteren bij het adequaat informeren van de toezichthouder(s) en betrokkenen over het be- treffende beveiligingsincident conform het daarover bepaalde in de Toepasselijke Wet.
6.5 Onverlet het bepaalde in artikel 5.1, zullen Partijen over en weer strikte geheimhouding in acht nemen ten aanzien van eventuele Inbreuken en zullen In- breuken enkel aan de bevoegde toezichthouder(s) en eventuele betrokkene(n) rapporteren overeen- komstig het bepaalde in de Toepasselijke Wet.
7. Gebruik sub-verwerkers
7.1 Verwerker is gerechtigd om in het kader van deze Bijlage 1 gebruik te maken van diensten van sub-ver- werkers binnen de Europese Economische Ruimte alsmede van derden in landen waarvan de Europese Commissie heeft bepaald dat deze landen een pas- send beschermingsniveau bieden.
7.2 Verwerker zal aan de door hem ingeschakelde
sub-verwerker dezelfde verplichtingen opleggen als voor hemzelf uit deze Bijlage 1 voortvloeien.
8. Aansprakelijkheid
8.1 Verwerker is aansprakelijk, uit welke hoofde en op welke rechtsgrond dan ook, voor zover en tot zover partijen dit zijn overeengekomen in de Overeen- komst.
Een door de bevoegde toezichthouder (in NL: de Autoriteit Persoonsgegevens) aan Verwerkingsver- antwoordelijke opgelegde bestuurlijke boete kan nimmer op Verwerker worden verhaald indien die bevoegde toezichthouder de mate van verwijtbaar- heid van beide partijen bij het opleggen van de bestuurlijke boete heeft meegenomen en overeen- komstig (de) boete(s) aan (een der) Partijen heeft opgelegd.
8.2 Dit artikel blijft buiten toepassing indien en voor zo- ver het strijdig is met dwingend recht.
Kamer van Koophandel Zaandam Dossiernummer 35017036
Gedeponeerd bij de Kamer van Koophandel en Fabrie- ken voor Amsterdam, 26 juli 2018
Scanlaser bv
Xxxxxxx 000, 0000 XX Xxxxxxx
Xxxxx Xxxxxxxxx 0, 0000 XX Xxxxxxx
Telefoon (000) 000 00 00