Verwerkersovereenkomst
Verwerkersovereenkomst
Ondergetekenden:
I. Bredero-Groep, gevestigd en kantoorhoudende te Hengelo Overijssel aan de Xxxxxxxxxxxxx 000 ter zake rechtsgeldig vertegenwoordigd door Xxxxxxx Xxxxxxx, hierna te noemen: ‘Verwerker’;
en
II. ……………………………………….…….…………………gevestigd en kantoorhoudende te aan
………………………………………………………ter zake rechtsgeldig vertegenwoordigd door hierna te noemen:
‘Verantwoordelijke’;
Nemen het navolgende in aanmerking:
• Verantwoordelijke en Verwerker zijn een overeenkomst aangegaan voor het verrichten van diensten, die er toe leidt of kan leiden dat persoonsgegevens van derden door Verantwoordelijke aan Verwerker ter beschikking worden gesteld.
• Partijen sluiten deze verwerkersovereenkomst ter bevestiging van het feit dat zij een en ander zullen uitvoeren conform de wettelijke bepalingen.
Verklaren te zijn overeengekomen als volgt:
Artikel 1. Definities
De in deze overeenkomst gebruikte woorden of formuleringen hebben de navolgende betekenis:
• Betrokkene: degene op wie een persoonsgegeven betrekking heeft.
• Overeenkomst: de overeenkomst/dienst waarbij Verantwoordelijke aan Verwerker de opdracht heeft gegeven om verwerking(en) van persoonsgegevens te verrichten waarop ook algemene voorwaarden van toepassing zijn.
• Verwerkersovereenkomst: deze verwerkersovereenkomst.
• Persoonsgegevens: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon dat Xxxxxxxxx op grond van de Overeenkomst verwerkt of zal gaan verwerken.
• Verwerken / Verwerking: alle handelingen of reeks van handelingen die wordt uitgevoerd op Persoonsgegevens, al dan niet door geautomatiseerde middelen, zoals het verzamelen, documenteren, opslaan, aanpassen, gebruiken, combineren en / of vernietigen.
• Sub-verwerker: iedere niet-ondergeschikte derde partij die door Xxxxxxxxx is ingeschakeld bij de verwerking van Persoonsgegevens. Dit gaat niet om Personeel
• Algemene Voorwaarden: de Gebruiksvoorwaarden van Verwerker.
Artikel 2. Toepasselijkheid
2.1. Tenzij partijen anders schriftelijk zijn overeengekomen zijn de bepalingen van deze Verwerkersovereenkomst van toepassing op iedere Verwerking door Verwerker op grond van de Overeenkomst.
2.2. Het bepaalde in deze Verwerkersovereenkomst prevaleert boven de Overeenkomst en eventueel op uitvoering van de op de Overeenkomst toepasselijke Algemene Voorwaarden, voor zover het de Verwerking van Persoonsgegevens betreft.
Artikel 3. Verwerking door Verwerker
3.1. Verwerker verwerkt de Persoonsgegevens uitsluitend in opdracht van Verantwoordelijke in het kader van de uitvoering van de werkzaamheden als omschreven in de Overeenkomst, behoudens afwijkende wettelijke verplichtingen, een en ander conform het bepaalde in de Wet Bescherming Persoonsgegevens en de Algemene Verordening Gegevensbescherming (AVG) die vanaf 25 mei 2018 van toepassing is. Verwerker zal de persoonsgegevens niet voor enig ander doel verwerken als omschreven in de Overeenkomst, behoudens afwijkende wettelijke verplichtingen.
3.2. Personeelsleden van Verwerker krijgen uitsluitend toegang tot de Persoonsgegevens voor zover dit noodzakelijk is voor de uitvoering van de Overeenkomst.
3.3. Verwerker mag de Persoonsgegevens verwerken in landen binnen de EER. Daarnaast mag Verwerker de persoonsgegevens doorgeven naar landen buiten de EER, mits aan de daarvoor geldende wettelijke vereisten is voldaan. Verwerker zal Verantwoordelijke op diens verzoek melden naar welk land of welke landen de persoonsgegevens worden doorgegeven.
3.4. Verwerker zal de Persoonsgegevens niet aan derden of Betrokkene(n) verstrekken tenzij met voorafgaande schriftelijke toestemming van Verantwoordelijke of op grond van wettelijke verplichtingen. In geval van wettelijke verplichtingen zal Verwerker Verantwoordelijke daarover zo spoedig mogelijk als toegestaan informeren.
3.5. Verantwoordelijke garandeert dat er in zijn opdracht geen verwerking van bijzondere persoonsgegevens zal plaatsvinden. Indien er wel bijzondere persoonsgegevens worden verwerkt, meldt Verantwoordelijke dat vooraf bij Verwerker en zullen Partijen nadere afspraken overeenkomen voor wat betreft de verwerking van bijzondere persoonsgegevens.
3.6. Verwerker stelt Verantwoordelijke te allen tijde in staat om binnen de wettelijke termijnen te voldoen aan de wettelijke verplichtingen, meer in het bijzonder de rechten van betrokkene(n) zoals, maar niet beperkt tot, een verzoek om inzage, verbetering, aanvulling, verwijdering of afscherming van Persoonsgegevens en het uitvoeren van een gehonoreerd aangetekend verzet.
Artikel 4. Meldplicht datalekken
4.1. Verwerker zal de Verantwoordelijke zo spoedig mogelijk na de eerste ontdekking informeren over alle (vermoedelijke) inbreuken op de beveiliging alsmede andere incidenten die (mede) betrekking kan hebben op de Persoonsgegevens en die op grond van wetgeving moeten worden gemeld aan de toezichthouder of betrokkene(n), onverminderd de verplichting de
gevolgen van dergelijke inbreuken en incidenten zo snel mogelijk ongedaan te maken dan wel te beperken. Verwerker zal voorts, op het eerste verzoek van Verantwoordelijke, alle inlichtingen verschaffen die de Verantwoordelijke noodzakelijk acht om het incident te kunnen beoordelen.
4.2. Verwerker beschikt over een gedegen plan van aanpak betreffende de omgang met en afhandeling van inbreuken en zal de Verantwoordelijke op diens verzoek inzage verschaffen in het plan.
4.3. Verwerker zal het doen van meldingen aan de toezichthouder(s) overlaten aan de Verantwoordelijke.
4.4. Verwerker zal alle noodzakelijke medewerking verlenen aan het zo nodig, op de kortst mogelijke termijn, verschaffen van aanvullende informatie aan de toezichthouder(s) en/of betrokkene(n).
4.5. Verwerker houdt een gedetailleerd logboek bij van alle (vermoedens van) inbreuken op de beveiliging evenals de maatregelen die in vervolg op dergelijke inbreuken zijn genomen en geeft daar op eerste verzoek van de Verantwoordelijke inzage in.
4.6. Melding door Xxxxxxxxx dan wel Verantwoordelijke van datalekken aan bevoegde instanties, krachtens wettelijke verplichting, kunnen nooit leiden tot toerekenbaar tekortschieten of onrechtmatig handelen jegens de andere partij.
Artikel 5. Beveiligingsmaatregelen en inspectie
5.1. Verwerker neemt alle maatregelen om Persoonsgegevens te beveiligen tegen verlies of onrechtmatige toegang. Deze maatregelen zijn beschreven in de Overeenkomst en in de daarop van toepassing zijnde Algemene Voorwaarden en werkprocessen van Verwerker en garanderen een passend beveiligingsniveau bij Verwerking van Persoonsgegevens. Verwerker staat er niet voor in dat de beveiliging onder alle omstandigheden doeltreffend is.
5.2. Verantwoordelijke stelt enkel persoonsgegevens aan Verwerker ter beschikking voor verwerking, indien zij zich ervan heeft verzekerd dat de vereiste beveiligingsmaatregelen zijn getroffen.
5.3. Verwerker staat toe dat Verantwoordelijke de naleving van de beveiligingsmaatregelen door Verwerker inspecteert of laat inspecteren door een onderzoeksinstantie die naar objectieve maatstaven neutraal en deskundig is. Verantwoordelijke staat er jegens Verwerker voor in dat de onderzoeksinstantie volledige geheimhouding jegens derden betracht, behoudens wettelijke verplichting(en), draagt de kosten voor inspectie en verschaft Verwerker een afschrift van het resultaat van de inspectie.
Artikel 6. Verplichtingen Verantwoordelijke / toestemming
6.1. Verantwoordelijke staat er voor in dat verwerking van de Persoonsgegevens conform deze Overeenkomst en de Onderliggende Overeenkomst niet strijdig is met de thans vigerende Wet Bescherming Persoonsgegevens en/of met de Algemene Verordening Gegevensbescherming (AVG) die vanaf 25 mei 2018 van toepassing is.
6.2. Van ‘voorafgaande schriftelijke toestemming’ van Verantwoordelijke als bedoeld in deze Overeenkomst is mede sprake indien het hebben van een dergelijke toestemming voor verwerker evident onmisbaar is om uitvoering te geven aan haar verplichtingen uit de Overeenkomst.
Artikel 7. Aansprakelijkheid, vrijwaring en verdeling van verantwoordelijkheid
7.1. Verantwoordelijke staat er voor in dat de Verwerking van Persoonsgegevens op basis van deze Verwerkersovereenkomst rechtmatig is en geen inbreuk maakt op de rechten van Betrokkene.
7.2. Verwerker is nimmer aansprakelijk voor schade als gevolg van cyber-terreur of aanvallen van internethackers.
7.3. Verwerker is slechts aansprakelijk voor de schade die door de Verwerking is veroorzaakt wanneer bij de Verwerking door Verwerker niet is voldaan aan de specifiek tot verwerkers gerichte verplichtingen uit de AVG of als buiten, dan wel in strijd met, de rechtmatige instructies van Verantwoordelijke is gehandeld. De in de Overeenkomst en de daarbij behorende Algemene Voorwaarden van Verwerker overeengekomen beperking van aansprakelijkheid van Verwerker is op kracht van verplichtingen zoals opgenomen in deze Verwerkersovereenkomst.
7.4. Verantwoordelijke vrijwaart Verwerker voor aanspraken van personen van wie persoonsgegevens zijn geregistreerd of worden verwerkt in het kader van een persoonsregistratie die door Verantwoordelijke wordt gehouden of waarvoor Verantwoordelijke uit hoofde van de wet anderszins verantwoordelijk is, tenzij Verantwoordelijke bewijst dat de feiten die aan de aanspraak ten grondslag liggen uitsluitend aan Verwerker toerekenbaar zijn.
7.5. Indien Verantwoordelijke niet in overeenstemming handelt met de AVG, de Wbp, de Tw en / of andere wet- en regelgeving, zal zij Verwerker vrijwaren voor eventuele aanspraken van derden als gevolg van deze nalatigheid, zoals boetes en schade.
7.6. De toegestane verwerkingen zullen onder controle van Verwerker worden uitgevoerd binnen een (semi)geautomatiseerde omgeving.
7.7. In het geval dat voor een nieuwe verwerking onder deze Verwerkersovereenkomst een gegevensbeschermingseffectbeoordeling of voorafgaande raadpleging van de toezichthouder verplicht is, zal Verwerker, voor zover dat binnen haar macht ligt, hieraan meewerken. Verwerker kan hiervoor redelijke kosten in rekening brengen bij Verantwoordelijke.
7.8. Verwerker zal, indien wettelijk verplicht en noodzakelijk, meewerken aan een eventueel onderzoek door de Autoriteit Persoonsgegevens naar een verwerking onder deze Verwerkersovereenkomst. Verwerker kan hiervoor redelijke kosten in rekening brengen bij Verwerkingsverantwoordelijke.
Artikel 8. Inschakeling derden
8.1. Verwerker is gerechtigd de uitvoering van de werkzaamheden geheel of ten dele uit te besteden aan derden.
8.2. Verwerker blijft in deze gevallen te allen tijde aanspreekpunt en verantwoordelijk voor de naleving van de bepalingen uit deze Verwerkersovereenkomst.
8.3. Bij ondertekening van deze Verwerkersovereenkomst geeft u Algemene toestemming voor het inschakelen van Sub-verwerkers voor het uitoefenen van de desbetreffende werkzaamheden, diensten c.q. Overeenkomst, met inachtneming van de daarvoor toepasselijke privacywetgeving. Verwerker zal Verantwoordelijke op verzoek informeren welke sub-verwerkers hij inschakelt.
8.4. Xxxxxxxxx houdt een actueel register bij van de door hem ingeschakelde derden waarin de identiteit, vestigingsplaats en een beschrijving van de werkzaamheden van de derden zijn opgenomen.
Artikel 9. Beëindiging
9.1. Deze Overeenkomst is voor onbepaalde tijd aangegaan en eindigt van rechtswege op het tijdstip dat de Overeenkomst/verleende diensten eindigt, althans op het moment dat Verwerker aan haar verplichtingen uit hoofde van de Overeenkomst heeft voldaan. Indien de verleende diensten na de beëindiging van de Overeenkomst of bij gebreke daarvan moeten worden voortgezet, dan zijn de bepaling van de Verwerkersovereenkomst blijvend van kracht op deze verdere levering van diensten voor de gehele duur van de verdere samenwerking.
9.2. Behoudens andersluidende schriftelijke opdracht van Verantwoordelijke zal Verwerker in geval van beëindiging van de Overeenkomst onverwijld alle aan haar ter beschikking gestelde Persoonsgegevens aan Verantwoordelijke retourneren en alle digitale kopieën van Persoonsgegevens vernietigen, met schriftelijke bevestiging daarvan aan Verantwoordelijke, behoudens wettelijke verplichting(en) om de Persoonsgegevens niet te vernietigen doch gedurende een bepaalde periode te bewaren.
Artikel 10. Geheimhoudingsplicht
10.1. Personen in dienst van dan wel werkzaam ten behoeve van Verwerker, evenals Xxxxxxxxx zelf, zijn verplicht tot geheimhouding met betrekking tot Persoonsgegevens waarvan zij kennis kunnen nemen, behoudens voor zover een bij, of krachtens de wet gegeven voorschrift tot verstrekking verplicht.
10.2. Indien Verwerker op grond van een wettelijke verplichting gegevens dient te verstrekken, zal Verwerker de grondslag van het verzoek en de identiteit van de verzoeker verifiëren en zal Verwerker de Verantwoordelijke onmiddellijk, voorafgaand aan de verstrekking, ter zake informeren, tenzij wettelijke bepalingen dit verbieden.
Artikel 11. Deelbaarheid
11.1. Indien één of meer bepalingen van deze Overeenkomst niet rechtsgeldig blijkt en/of blijken te zijn zal de Overeenkomst voor het overige van kracht blijven. Partijen zullen over de bepalingen die niet geldend zijn overleggen, teneinde een vervangende regeling te treffen die wel rechtsgeldig is en zoveel mogelijk aansluit bij de strekking van de te vervangen regeling.
Artikel 12. Toepasselijk recht en geschillen
12.1. Nederlands recht is van toepassing op deze Verwerkersovereenkomst.
12.2. In geval van nietigheid c.q. vernietigbaarheid van een of meer bepalingen uit deze Verwerkersovereenkomst, blijven de overige bepalingen onverkort van kracht.
12.3. Algemene Voorwaarden zijn van toepassing
12.4. In alle gevallen waarin deze Verwerkersovereenkomst niet voorziet beslissen Partijen in onderling overleg.
12.5. Partijen zullen de inhoud van deze Verwerkersovereenkomst vertrouwelijk houden.
12.6. Alle geschillen voortvloeiende uit of samenhangende met deze Overeenkomst zullen uitsluitend worden voorgelegd aan de Rechtbank Overijssel, locatie Almelo.
Aldus overeengekomen en in tweevoud ondertekend,
Datum: ………………………….. Datum: …………………………..
Plaats: Hengelo Plaats: …………………………..
Naam: Xxxxxxx Xxxxxxx Naam: …………………..
Namens Verwerker Namens Verantwoordelijk