DE ONDERGETEKENDEN:
DE ONDERGETEKENDEN:
1. de besloten vennootschap met beperkte aansprakelijkheid Naam B.V., gevestigd te Plaats en kantoorhoudende te (0000 AA) Plaats aan het adres Adres, ten deze rechtsgeldig vertegenwoordigd door haar directeur, de heer/mevrouw Xxxxxxxxxxx Naam, hierna te noemen: “de verwerkingsverantwoordelijke”;
en
2. de besloten vennootschap met beperkte aansprakelijkheid V-Kam Education B.V., gevestigd en kantoorhoudend te (8281 JD) Genemuiden aan het adres Xxxxxxxxxxxxxxxxx 00, ten deze rechtsgeldig vertegenwoordigd door haar directeur de heer W.J. Beens, hierna te noemen: “de verwerker”;
OVERWEGENDE DAT:
A. de verwerker als sinds 2001 actief is als opleider in kwaliteitsmanagement, arbeidsomstandigheden en veiligheid, maatschappelijk verantwoord ondernemen en milieu en voedselveiligheid, waarbij zij resultaat voor haar klanten en diens medewerkers wil realiseren;
B. de verwerker in dat kader één of meer overeenkomsten tot het leveren van de diensten met de verwerkingsverantwoordelijke heeft gesloten of zal sluiten, hierna gezamenlijk te noemen: “de hoofdovereenkomst”;
C. de verwerker bij het uitvoeren van de hoofdovereenkomst gegevens zal verwerken. Tot die gegevens behoren persoonsgegevens in de zin van de Algemene Verordening
Gegevensbescherming (EU 2016/679) (AVG), hierna te noemen: “de persoonsgegevens”;
D. partijen overeenkomen dat zij elkaar over en weer tijdig alle nodige informatie zullen verstrekken om een goede naleving van de geldende privacywet- en regelgeving mogelijk te maken;
E. partijen op grond van artikel 28 lid 3 AVG gehouden zijn afspraken ter waarborging van de bescherming van persoonsgegevens te maken en deze vast te leggen in een overeenkomst, en daartoe deze verwerkersovereenkomst, hierna te noemen: “deze overeenkomst”, met elkaar sluiten;
KOMEN HET VOLGENDE OVEREEN:
1. Definities in deze overeenkomst
In deze overeenkomst hebben partijen een aantal begrippen gebruikt. De betekenis van die begrippen hebben we hieronder verduidelijkt. Veelal wordt in de opsomming hieronder gebruik gemaakt van de omschrijving van het begrip uit de wet- en regelgeving op het gebied van privacy.
de algemene voorwaarden: de algemene voorwaarden van de verwerker zoals terug te vinden op de website: xxxxx://xxx.x-xxx.xx;
de audit: ten hoogste eenmaal per jaar toegestane controle om na te gaan of de verwerker de bepalingen van deze overeenkomst naleeft;
de AVG: de Algemene Verordening Gegevensbescherming, inclusief de uitvoeringswet van deze verordening;
de betrokkene(n): degene(n) op wie een persoonsgegeven/de persoonsgegevens betrekking heeft/hebben;
bijzondere persoonsgegevens: persoonsgegevens van meer gevoelige aard, zoals gegevens over iemands godsdienst of levensovertuiging, zijn ras, zijn politieke gezindheid, zijn gezondheid en zijn seksuele leven. Ook gegevens over het lidmaatschap van een vakvereniging zijn bijzonder. Hetzelfde geldt voor strafrechtelijke gegevens en gegevens over onrechtmatig of hinderlijk gedrag door een opgelegd verbod naar aanleiding van dat gedrag. Ook gegevens over de financiële of economische situatie van werknemer zijn bijzondere gegevens. Hieronder vallen bijvoorbeeld gegevens over (problematische) schulden, loonbeslag en loon- en betalingsgegevens. Verwerking van bijzondere persoonsgegevens is in beginsel verboden;
de controleur: de door de verwerker goedgekeurde medewerker in dienst van de verwerkingsverantwoordelijke dan wel de door de verwerkingsverantwoordelijke ingeschakelde onafhankelijk (ICT-)deskundige (registeraccountant, registerinformaticus of andere daartoe gecertificeerde auditor) die de audit namens de verwerkingsverantwoordelijke uitvoert;
een datalek: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt of mogelijkerwijs kan leiden de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens.
een derde of derden: een ander of anderen dan de verwerkingsverantwoordelijke of de verwerker
de dienst(en): de specifieke dienst(en) die de verwerkingsverantwoordelijke met de verwerker is overeengekomen, zoals partijen deze hebben vastgelegd in de hoofdovereenkomst dan wel in de offerte;
de hoofdovereenkomst: de overeenkomst die de verwerkingsverantwoordelijke en de verwerker met elkaar hebben gesloten op grond waarvan de verwerker de diensten voor de verwerkingsverantwoordelijke zal uitvoeren;
de medewerkers: medewerkers van de verwerker in de breedste zin van het woord, dus naast werknemers ook uitzendkrachten, zzp’ers, payrollers en overige opdrachtnemers die persoonsgegevens onder het gezag van of in opdracht van de verwerker verwerken;
meldplicht datalekken: de verplichting van de verwerkingsverantwoordelijke tot melding van een datalek aan de Autoriteit Persoonsgegevens (AP) en in sommige gevallen aan de betrokkene(n).
deze overeenkomst: de onderhavige verwerkersovereenkomst;
een persoonsgegeven of persoonsgegevens: een gegeven of gegevens over geïdentificeerde of identificeerbare natuurlijke personen die informatie kunnen verschaffen over een bepaald persoon, bijvoorbeeld over zijn eigenschappen, zijn opvattingen of zijn gedragingen.
een subverwerker: een door de verwerker ingeschakelde derde werker die zij heeft ingezet om specifieke verwerkingsactiviteiten voor de verwerkingsverantwoordelijke te verrichten;
verwerken: onder meer het verzamelen, vastleggen, bewerken, ordenen, structureren, opslaan, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending,
verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van persoonsgegevens;
de verwerker: de besloten vennootschap met beperkte aansprakelijkheid V-Kam Education B.V., die als postadres het volgende adres hanteert: Xxxxxxx 00, 0000 XX Xxxxxxxxxx en is opgenomen in het handelsregister van de Kamer van Koophandel onder nummer 50794078;
een verwerking: een verwerking of een geheel van verwerkingen van (een geheel van) persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens;
de verwerkingsverantwoordelijke: de besloten vennootschap met beperkte aansprakelijkheid Naam B.V., die als postadres het volgende adres hanteert: Postbus nummer, 0000 AA Plaats en is opgenomen in het handelsregister van de Kamer van Koophandel onder nummer 00000000;
de website: de website van de verwerker, te bereiken via xxxxx://xxx.x-xxx.xx.
2. Algemeen
2.1 Deze overeenkomst is een bijlage bij de hoofdovereenkomst die partijen voor de levering van de diensten zijn overeengekomen.
2.2 Alle begrippen in deze overeenkomst hebben de betekenis die de AVG daaraan geeft, tenzij onder de definities van artikel 1 uitdrukkelijk anders is bepaald.
3. Toepasselijkheid en looptijd
3.1 Deze overeenkomst is van toepassing als de verwerker bij levering van de diensten onder de hoofdovereenkomst persoonsgegevens van de verwerkingsverantwoordelijke verwerkt.
3.2 Deze overeenkomst treedt in werking op de datum waarop de hoofdovereenkomst in werking treedt en eindigt op het moment dat de verwerker geen persoonsgegevens meer van de verwerkingsverantwoordelijke onder zich heeft die zij ter uitvoering van de hoofdovereenkomst voor haar (heeft) verwerkt.
3.3 Als de verwerker meer en/of andere persoonsgegevens in opdracht van de verwerkingsverantwoordelijke verwerkt en/of indien zij ze anders verwerkt dan in deze overeenkomst omschreven, geldt deze overeenkomst voor zover dat mogelijk is ook voor die verwerkingen.
3.4 Ter zake de verwerking van een aantal van de persoonsgegevens van de betrokkenen kan de verwerker zelf (mede)verantwoordelijke zijn, voor zover zij contactgegevens en andere gegevens van de betrokkenen nodig heeft om de hoofdovereenkomst te kunnen uitvoeren.
3.5 Voor zover in de algemene voorwaarden van de verwerker bepalingen over de verwerking van persoonsgegevens zijn opgenomen, prevaleren de bepalingen uit deze overeenkomst.
4. Verwerking
4.1 De verwerkingsverantwoordelijke heeft en houdt zeggenschap over de persoonsgegevens (zowel die in het kader van de hoofdovereenkomst als die door verdere verwerking zijn ontstaan) en is daarvoor verantwoordelijk. De verwerkingsverantwoordelijke draagt zorg voor de vastlegging van het doel en de middelen van de verwerking van de persoonsgegevens en stelt vast of zij een rechtmatige grondslag voor de verwerking van de persoonsgegevens heeft.
4.2 De verwerking van persoonsgegevens geschiedt uitsluitend ter uitvoering van de hoofdovereenkomst en dus niet anders dan zoals daarin is voorzien en/of op basis van
schriftelijke instructies van de verwerkingsverantwoordelijke, onder meer met betrekking tot eventuele verstrekking ervan aan derden buiten de Europese Unie.
4.3 De verwerker heeft geen zeggenschap over het doel en de middelen van de verwerking en neemt geen beslissingen over zaken zoals het gebruik van de persoonsgegevens, de bewaartermijn ervan en/of verstrekking ervan persoonsgegevens aan derden. De verwerker zal de persoonsgegevens alleen binnen de Europese Economische Ruimte verwerker, tenzij partijen hierover andere schriftelijke afspraken maken.
4.4 De verwerker mag de persoonsgegevens wel in geanonimiseerde vorm gebruiken voor statistische of marketingdoeleinden. De hoofdovereenkomst geldt als een generieke instructie ter zake. De verwerker verwerkt de persoonsgegevens niet langer of uitgebreider dan noodzakelijk voor de uitvoering van de hoofdovereenkomst.
4.5 Partijen verklaren dat zij conform de bepalingen, zoals deze in de AVG en alle overige privacywet- en regelgeving zijn vastgelegd, zullen handelen.
4.6 Alleen als een wettelijke bepaling haar daartoe verplicht verwerkt de verwerker de persoonsgegevens. In dat geval deelt de verwerker die wettelijke verplichting voorafgaand aan die verwerking aan de verwerkingsverantwoordelijke mee, tenzij die wetgeving deze kennisgeving om gewichtige redenen van algemeen belang verbiedt.
4.7 De verwerker zorgt ervoor dat alleen medewerkers voor wie dat noodzakelijk is voor de uitvoering van hun werkzaamheden toegang tot de persoonsgegevens krijgen, waarbij die toegang beperkt is tot de persoonsgegevens die zij daarvoor nodig hebben. De verwerker zorgt er bovendien voor dat de medewerkers die toegang tot de persoonsgegevens hebben een juiste en volledige instructie hebben gekregen over de omgang met persoonsgegevens en dat zij bekend zijn met hun ter zake geldende verantwoordelijkheden en wettelijke verplichtingen.
5. Beveiligingsmaatregelen
5.1 Partijen zullen conform artikel 32 AVG passende technische en organisatorische maatregelen treffen, zodat zij een op het risico afgestemd beveiligingsniveau kunnen waarborgen.
5.2 De verwerker heeft de door haar getroffen maatregelen beschreven in bijlage I. Deze vormen naar haar oordeel een op het risico van de verwerking van de persoonsgegevens afgestemd beveiligingsniveau. Met ondertekening van deze overeenkomst bevestigt de verwerkingsverantwoordelijke kennis te hebben genomen van die maatregelen en ermee in te stemmen. Als dat naar haar oordeel noodzakelijk is om een passend beveiligingsniveau te blijven bieden, mag de verwerker wijzigingen aanbrengen in de getroffen beveiligingsmaatregelen.
5.3 De verwerker staat er niet voor in dat de beveiliging onder alle omstandigheden doeltreffend is. Als de beveiliging op enig moment onverhoopt mogelijk ontoereikend is, zal de verwerker zich ertoe inspannen dat de beveiliging alsnog aan een niveau voldoet dat gelet op de stand van de techniek, de gevoeligheid van de persoonsgegevens en de aan het treffen van de beveiligingsmaatregelen verbonden kosten niet onredelijk is.
5.4 Op aanwijzen van de verwerkingsverantwoordelijke zal de verwerker de beveiliging verbeteren. De verwerkingsverantwoordelijke vergoedt de kosten hiervan, tenzij de beveiliging zonder de door de verwerkingsverantwoordelijke gewenste wijziging niet aan de vereisten van de AVG voldoet (state of the art-beveiliging, geen onredelijk hoge kosten).
6. Datalekken
6.1 Als sprake is van een datalek zal de verwerker zich naar beste kunnen inspannen de verwerkingsverantwoordelijke daarover zo snel mogelijk, doch uiterlijk binnen twee dagen na ontdekking ervan, op een door de verwerker te bepalen (maar wel gangbare) wijze te informeren. Deze verplichting geldt niet als het niet waarschijnlijk is dat de inbreuk een risico voor de rechten en vrijheden van de betrokkenen inhoudt.
6.2 De verwerkingsverantwoordelijke houdt een register van datalekken bij en beoordeelt op grond van de door de verwerker verstrekte informatie of zij de AP en/of de betrokkenen zal
informeren of niet. Zo ja, dan is de verwerkingsverantwoordelijke verantwoordelijk voor de melding en meldt zij het datalek zo spoedig mogelijk aan de AP en voor zover van toepassing aan de betrokkene(n). De verwerker is daartoe niet gehouden en dus niet aansprakelijk in geval van schending van de op de verwerkingsverantwoordelijke rustende meldplicht zoals bedoeld in artikelen 33 en 34 AVG.
6.3 De verwerker kan haar daarbij desgevraagd tegen het in de hoofdovereenkomst overeengekomen of een vergelijkbaar tarief adviseren. Als dat nodig is, werkt de verwerker mee aan het informeren van de AP en voor zover van toepassing van de betrokkenen.
6.4 De verwerker spant zich naar beste kunnen in om de verstrekte informatie volledig, correct en accuraat te maken. De verwerker zal voorts alle redelijke maatregelen nemen om (verdere) schending van de bepalingen van de AVG te voorkomen en/of te beperken. De verwerkingsverantwoordelijke stemt er bij voorbaat mee in dat de verwerker in dat kader derden kan inschakelen zonder dat zij de verwerkingsverantwoordelijke daarover voorafgaand inlicht.
6.5 De meldplicht van de verwerker aan de verwerkingsverantwoordelijke behelst in ieder geval melding van het feit dat er een datalek is geweest, alsmede:
- wat de (vermeende) oorzaak is van het lek;
- wat het (vooralsnog bekende en/of te verwachten) gevolg is;
- wat de (voorgestelde) oplossing is;
- wat de reeds genomen maatregelen ter voorkoming van een volgend incident zijn; en
- wat de contactgegevens voor de opvolging van de melding zijn.
7. Geheimhouding
7.1 De verwerker houdt de van de verantwoordelijk verkregen persoonsgegevens geheim en verplicht haar medewerkers en eventuele de subverwerkers ook tot geheimhouding.
7.2 Deze geheimhoudingsplicht is niet van toepassing:
a. voor zover de verwerkingsverantwoordelijke uitdrukkelijk toestemming heeft gegeven de informatie aan derden te verschaffen; of
b. als verstrekking van de informatie aan derden logischerwijs noodzakelijk is voor de uitvoering van de hoofdovereenkomst; of
c. als een wettelijke verplichting en/of een rechterlijk bevel en/of een vonnis de verwerker verplicht de informatie aan een derde te verstrekken;
d. ten aanzien van verstrekking van gegevens aan een eventueel in te schakelen subverwerker met wiens inschakeling de verwerkingsverantwoordelijke heeft ingestemd; of
e. als in deze overeenkomst uitdrukkelijk anders is bepaald.
8. Aansprakelijkheid
8.1 De verwerkingsverantwoordelijke draagt, onder meer, de verantwoordelijkheid van de verwerking van persoonsgegevens en is uit dien hoofde volledig aansprakelijk voor (het gestelde doel van) de verwerkingen, het gebruik en de inhoud van de persoonsgegevens, de verstrekking ervan aan derden, de duur van de opslag van de persoonsgegevens, de (vaststelling en inachtneming van de) bewaartermijnen, de wijze van de verwerking en de daartoe gehanteerde middelen. De verwerkingsverantwoordelijke bevestigt dat zij zich haar verantwoordelijkheden realiseert en garandeert dat zij de bepalingen uit de toepasselijke privacywet- en regelgeving naleeft en dat zij de opdracht tot verwerking van de persoonsgegevens in overeenstemming met alle toepasselijke wet- en regelgeving aan de verwerker heeft verstrekt. De verwerkingsverantwoordelijke vrijwaart de verwerker tegen aanspraken van derden die op enigerlei wijze voortvloeien uit niet-naleving van deze garantie. De vrijwaring geldt niet alleen voor de schade die derden hebben geleden (materieel maar ook immaterieel), maar ook voor de
kosten die de verwerker in verband daarmee (heeft) moet(en) maken, bijvoorbeeld ter zake een juridische procedure of ter zake opgelegde boetes.
8.2 De verwerker is jegens de verwerkingsverantwoordelijke slechts aansprakelijk zoals partijen zijn overeengekomen in de hoofdovereenkomst en/of in de algemene voorwaarden van de verwerker.
8.3 Onverminderd het bepaalde in artikel 8 lid 1 en lid 2 van deze overeenkomst is de verwerker slechts aansprakelijk voor schade die door de verwerking is veroorzaakt in het geval dat de verwerker daarbij niet heeft voldaan aan specifiek tot haar gerichte verplichtingen van de AVG of als zij in strijd met de rechtmatige instructies van de verwerkingsverantwoordelijke heeft gehandeld. Alle overige aansprakelijkheid is uitgesloten.
8.4 Voor zover voornoemde aansprakelijkheid niet kan worden uitgesloten en onverminderd het bepaalde in de leden 1, 2 en 3 van dit artikel is deze per gebeurtenis (een reeks van opeenvolgende gebeurtenissen geldt als één gebeurtenis) beperkt tot de vergoeding van directe schade, tot maximaal het bedrag van de door de verwerker onder de hoofdovereenkomst voor de werkzaamheden ontvangen vergoeding ter zake de uitvoering van de diensten die hebben geleid tot de schadeveroorzakende gebeurtenis. De aansprakelijkheid van de verwerker voor directe schade zal in totaal niet meer bedragen dan het bedrag aan ontvangen vergoedingen voor de werkzaamheden onder de hoofdovereenkomst over de drie maanden voorafgaand aan de schadeveroorzakende gebeurtenis.
8.5 Onder directe schade wordt uitsluitend verstaan schade bestaande uit:
- schade direct toegebracht aan stoffelijke zaken (“zaakschade”);
- redelijke en aantoonbare kosten die de verwerkingsverantwoordelijke heeft moeten maken om de verwerker ertoe te manen deze overeenkomst (weer) deugdelijk na te komen;
- redelijke kosten ter vaststelling van de oorzaak en de omvang van de schade voor zover deze betrekking heeft op de directe schade zoals hier bedoeld is; en
- redelijke en aantoonbare kosten die de verwerkingsverantwoordelijke heeft gemaakt ter voorkoming of beperking van de directe schade zoals in dit artikel bedoeld.
8.6 De aansprakelijkheid van de verwerker voor indirecte schade is uitgesloten. Onder indirecte schade wordt verstaan alle schade die geen directe schade is en bestaat uit in ieder geval uit, maar is niet beperkt tot: gevolgschade, gederfde winst, gemiste besparingen, verminderde goodwill, schade door bedrijfsstagnatie, schade door het niet-vaststellen van marketingdoeleinden, schade verband houdende met het gebruik van door de verwerkingsverantwoordelijke voorgeschreven gegevens of databestanden, of verlies, verminking of vernietiging van gegevens of databestanden.
8.7 De in dit artikel bedoelde uitsluitingen en beperkingen komen te vervallen indien en voor zover de schade het gevolg is van opzet of bewuste roekeloosheid van de verwerker of haar bedrijfsleiding.
8.8 Tenzij nakoming door de verwerker blijvend onmogelijk is, is de verwerker slechts aansprakelijk op grond van toerekenbare tekortkoming in de nakoming van de hoofdovereenkomst en/of van deze overeenkomst als voldaan is aan de volgende drie voorwaarden:
1.) de verwerkingsverantwoordelijke de verwerker onverwijld schriftelijk in gebreke stelt, waarbij zij de verwerker een redelijke termijn voor de zuivering van de tekortkoming dient te stellen, én
2.) de verwerker ook na die termijn toerekenbaar blijft tekortschieten in de nakoming van haar verplichtingen, waarbij:
3. de ingebrekestelling een zo volledig en gedetailleerd mogelijke omschrijving van de tekortkoming dient te bevatten, zodat de verwerker in de gelegenheid wordt gesteld adequaat te reageren en de tekortkoming te zuiveren.
8.9 De verwerkingsverantwoordelijke zorgt ervoor dat iedere vordering tot schadevergoeding die zij bij de verwerker indient voldoende is gespecificeerd. Een dergelijk vordering vervalt door het enkele verloop van twaalf (12) maanden na het ontstaan ervan.
9. Overdraagbaarheid van deze overeenkomst
Het is partijen niet toegestaan deze overeenkomst en de rechten en de plichten die ermee samenhangen over te dragen aan een ander, tenzij partijen schriftelijk uitdrukkelijk anders zijn overeenkomen.
10. Rechten van de betrokkenen
10.1 Als een betrokkene zijn verzoek tot uitoefening van zijn wettelijke rechten rechtstreeks aan de verwerker stuurt, zal de verwerker het verzoek binnen uiterlijk vijf (5) werkdagen aan de verwerkingsverantwoordelijke doorsturen en de betrokkene hiervan op de hoogte stellen. De verwerkingsverantwoordelijke zal het verzoek vervolgens zelfstandig afhandelen.
10.2 Als een betrokkene een verzoek als bedoeld in lid 1 van dit artikel rechtstreeks aan de verwerkingsverantwoordelijke stuurt, zal de verwerker - als de verwerkingsverantwoordelijke dit verlangt en voor zover dit mogelijk en redelijk is - medewerking verlenen aan de voldoening aan dat verzoek. De verwerker mag hiervoor redelijke kosten bij de verwerkingsverantwoordelijke in rekening brengen. Als partijen hierover geen nadere afspraken hebben gemaakt, zijn de kosten voor rekening van de verwerkingsverantwoordelijke.
10.3 De verwerker zal een klacht van een betrokkene over de verwerking van persoonsgegevens binnen uiterlijk vijf (5) werkdagen doorsturen aan de verwerkingsverantwoordelijke, die verantwoordelijk is voor de behandeling van de klacht.
11. Audit
11.1 De verwerkingsverantwoordelijke heeft het recht eenmaal per jaar een audit door een onafhankelijke (ICT-)deskundige, hierna te noemen: “de controleur” te laten uitvoeren om te kunnen controleren of de verwerker alle punten uit deze overeenkomst naleeft. De verwerkingsverantwoordelijke zal ervoor zorgdragen dat zij de controleur aan geheimhouding bindt en zal de verwerker voor aanvang van de audit aantonen dat zij daartoe is overgegaan.
11.2 De audit vindt uitsluitend plaats nadat de verwerkingsverantwoordelijke de bij de verwerker aanwezige soortgelijke auditrapportages heeft opgevraagd, heeft beoordeeld en vervolgens redelijke argumenten aanbrengt die een door de audit alsnog rechtvaardigen. De audit wordt gerechtvaardigd als de bij de verwerker aanwezige soortgelijke auditrapportages geen of onvoldoende uitsluitsel geven over de vraag of de verwerker de bepalingen van deze overeenkomst naleeft. De verwerkingsverantwoordelijke kondigt een audit twee weken van tevoren bij de verwerker aan.
11.3 De audit beperkt zich tot de systemen van de verwerker die zij voor de verwerkingen heeft gebruikt. De verwerkingsverantwoordelijke zal de bij de audit gevonden informatie geheimhouden en uitsluitend gebruiken om de naleving door de verwerker van de verplichtingen uit deze overeenkomst te controleren en zal de informatie of delen daarvan zo snel mogelijk wissen. De verwerkingsverantwoordelijke staat ervoor in dat de eventueel ingeschakelde derden deze verplichtingen ook op zich nemen.
11.4 Bij het plaatsvinden van een audit zal de verwerker alle redelijkerwijs relevante informatie en de daartoe bevoegde medewerkers zo tijdig mogelijk en binnen een redelijke termijn ter beschikking stellen. Daarbij geldt dat een termijn van maximaal vier weken redelijk is. De verwerkingsverantwoordelijke zorgt ervoor dat de audit een zo min mogelijk bedrijfsverstorend effect op de overige werkzaamheden van de verwerker heeft.
11.5 Partijen zullen de uitkomsten van de audit in onderling overleg beoordelen en ze al naar gelang de uitkomst van dat overleg al dan niet doorvoeren, of de één of de ander of partijen gezamenlijk. Als het overleg tussen partijen niet tot overeenstemming leidt, wijzen partijen
gezamenlijk een onafhankelijke derde aan die bepaalt of de bevindingen moeten worden doorgevoerd en wie van de partijen daartoe gehouden is. Als partijen geen overeenstemming bereiken over de te aan te wijzen onafhankelijke derde draagt de verwerker drie onafhankelijke derden voor van wie de verwerkingsverantwoordelijke er één kiest.
11.6 De verwerkingsverantwoordelijke draagt de kosten van de audit, tenzij uit die audit blijkt dat de verwerker ernstig verwijtbaar heeft gehandeld of ernstig verwijtbaar nalatig is geweest bij het doorvoeren van de in bijlage I van deze overeenkomst overeengekomen maatregelen. Daarbij geldt dat de kosten voor de controleur altijd voor de verwerkingsverantwoordelijke zijn.
12. Inschakelen van derden
12.1 De verwerkingsverantwoordelijke verleent de verwerker hierbij toestemming om bij de verwerking de in bijlage II genoemde subverwerkers en/of categorieën van subverwerkers in te schakelen. Op diens verzoek zal de verwerker de verwerkingsverantwoordelijke zo spoedig mogelijk informeren over de door haar nieuw in te schakelen subverwerkers.
12.2 De verwerkingsverantwoordelijke heeft het recht bezwaar te maken tegen enige door de verwerker in te schakelen derde. Als de verwerker de door haar beoogde subverwerker door dat bezwaar niet kan inschakelen en dat niet-inschakelen tot hogere kosten voor de verwerker leidt, vergoedt de verwerkingsverantwoordelijke die hogere kosten.
12.3 De verwerker spant zich ervoor in dat de door hem in te schakelen derden schriftelijk dezelfde plichten op zich nemen als tussen de verwerkingsverantwoordelijke en de verwerker zijn overeengekomen ter zake de verwerking van persoonsgegevens.
12.4 In het geval dat een subverwerker de aanvullende verplichtingen uit deze overeenkomst niet allemaal accepteert, kan de verwerkingsverantwoordelijke beslissen de verwerker te ontheffen van de bepalingen die de subverwerker niet heeft geaccepteerd, zodat de verwerker de overeenkomst met de derde toch kan sluiten. Daarbij dient de subverwerker wel ten minste de bepalingen van de AVG na te leven.
13. Einde van de overeenkomst
13.1 Deze overeenkomst eindigt op het moment dat de hoofdovereenkomst eindigt, tenzij de verwerker na beëindiging daarvan, om wat voor reden dan ook, nog altijd persoonsgegevens van de verwerkingsverantwoordelijke verwerkt, in welk geval deze overeenkomst van toepassing blijft zolang de verwerker die persoonsgegevens nog verwerkt.
13.2 De verplichtingen uit deze overeenkomst die naar hun aard bestemd zijn om de beëindiging ervan te overleven, onder meer maar niet beperkt tot de artikelen 7, 8 en 13 van deze overeenkomst, blijven ook na de beëindiging ervan van kracht.
13.3 Indien van toepassing zal de verwerker alle subverwerkers die bij de verwerking van de persoonsgegevens betrokken zijn van de beëindiging van de hoofdovereenkomst op de hoogte stellen en zal zij hen instrueren te handelen zoals partijen in deze overeenkomst zijn overeengekomen.
14. Aanvullen en wijzigen van de overeenkomst
14.1 De verwerker is te allen tijde gerechtigd deze overeenkomst te wijzigen en/of aan te vullen als dit noodzakelijk is om aan (toekomstige) wet- en regelgeving te voldoen. Wijzigingen van ondergeschikt belang, zoals kennelijke verschrijvingen, evidente omissies en overige wijzigingen van vergelijkbare aard, kan de verwerker te allen tijde doorvoeren zonder dat de verwerkingsverantwoordelijke daarmee hoeft in te stemmen en zonder dat zij gerechtigd is de hoofdovereenkomst en/of deze overeenkomst te beëindigen. De meeste actuele versie van deze overeenkomst is te vinden op de website.
14.2 Als de vigerende wetgeving wijzigt, zullen partijen deze overeenkomst conform deze wijziging aanpassen. Aanvullingen en wijzigingen van deze overeenkomst zijn alleen geldig als partijen ze schriftelijk zijn overeengekomen. Onder “schriftelijk” worden ook wijzigingen begrepen die per
partijen per e-mail hebben gecommuniceerd, waarbij de andere partij met die wijziging heeft ingestemd. Als een wijziging tot significante aanpassingen van de hoofdovereenkomst leidt, of als de verwerker door die wijziging niet in een passend niveau van bescherming kan voorzien, geldt dat als een grondslag voor de beëindiging van de hoofdovereenkomst.
15. Bewaartermijnen, verwijdering en back-up
15.1 De verwerker zal de persoonsgegevens binnen dertig dagen na het einde van de hoofdovereenkomst wissen of na tijdig schriftelijk verzoek van de verwerkingsverantwoordelijke daartoe aan haar overdragen. Deze verplichting geldt tenzij de persoonsgegevens in het kader van (wettelijke) verplichtingen van de verwerker langer dienen te worden bewaard of tenzij de verwerkingsverantwoordelijke de verwerker verzoekt de persoonsgegevens langer te bewaren en de verwerker en de verwerkingsverantwoordelijke over de kosten en overige voorwaarden van dat langere bewaren overeenstemming hebben bereikt. De verantwoordelijkheid van de verwerkingsverantwoordelijke tot inachtneming van de wettelijke bewaartermijnen geldt daarbij onverminderd. Eventuele overdracht van (kopieën van) de persoonsgegevens aan de verwerkingsverantwoordelijke geschiedt op haar kosten.
15.2 De verwerkingsverantwoordelijke zal de verwerker adequaat informeren over de (wettelijke) bewaartermijnen van de persoonsgegevens. De verwerker zal de persoonsgegevens niet langer verwerken dan overeenkomstig deze bewaartermijnen. Voor zover persoonsgegevens op enigerlei wijze onder controle van de verwerkingsverantwoordelijke zijn gebleven, zorgt de verwerkingsverantwoordelijke voor de tijdige wissing van die gegevens.
15.3 Onverminderd de specifieke bepalingen uit de hoofdovereenkomst zal de verwerker de persoonsgegevens op eerste verzoek van de verwerkingsverantwoordelijke wissen of aan hem terugbezorgen, en bestaande kopieën ervan verwijderen, tenzij de verwerker wettelijk verplicht is de persoonsgegevens op te slaan. Als de verwerkingsverantwoordelijke daarom verzoekt, zal de verwerker de verwerkingsverantwoordelijke bevestigen dat de gegevens zijn vernietigd.
15.4 De verwerkingsverantwoordelijke mag op eigen kosten controleren of de verwerker de gegevens daadwerkelijk heeft gewist. Artikel 11 van deze overeenkomst is van toepassing op die controle.
15.5 De verwerkingsverantwoordelijke draagt zorg voor de back-up van de persoonsgegevens, tenzij partijen uitdrukkelijk anders (zijn) overeenkomen.
16. Slotbepalingen
16.1 Op verzoek van de verwerkingsverantwoordelijke overhandigt de verwerker alle informatie die nodig is om de nakoming van de in deze overeenkomst neergelegde verplichtingen aan te tonen.
16.2 Partijen werken desgevraagd samen met de AP bij het vervullen van hun taken.
16.3 Op deze overeenkomst is Nederlands recht van toepassing en de Nederlandse rechter is bevoegd kennis te nemen van alle geschillen die voortvloeien uit of samenhangen met de uitvoering van deze overeenkomst.
16.4 Deze overeenkomst is hoger in rang dan alle overeenkomsten die partijen hebben gesloten. Als de verwerkingsverantwoordelijke algemene voorwaarden gebruikt dan zijn de bepalingen daarin niet van toepassing op deze overeenkomst. De bepalingen uit deze overeenkomst gaan boven de bepalingen van de algemene voorwaarden van de verwerker, tenzij expliciet naar een bepaling in de algemene voorwaarden is verwezen.
16.5 Als één of meerdere bepalingen in deze overeenkomst niet geldig blijken te zijn, dan heeft dit geen gevolgen voor de geldigheid van de overige bepalingen van deze overeenkomst. Partijen treden in dat geval met elkaar in overleg om gezamenlijk een nieuwe bepaling op te stellen. Deze bepaling dient zoveel mogelijk in de geest zijn van de ongeldige bepaling te zijn en zo vormgegeven dat de bepaling wel geldig is.
16.6 De volgende medewerkers zullen mededelingen of meldingen die voor uitvoering van deze overeenkomst nodig zijn uitvoeren:
Voor de verwerkingsverantwoordelijke: Voorletters Naam, functie, te bereiken via e- mailadres adres of via telefoonnummer nummer; en
Voor de verwerker: Xxxxxx Xxx Xxxxx, directeur V-Kam Education, te bereiken via het e- mailadres: xxxxxxxxx@x-xxx.xx of via telefoonnummer 06-53342852.
16.7 Zodra deze medewerkers worden vervangen of hun gegevens wijzigen, lichten partijen elkaar daarover zo spoedig mogelijk in.
TEN BEWIJZE WAARVAN:
deze overeenkomst op datum is overeengekomen en vervolgens in tweevoud door partijen is ondertekend, en voorts op iedere pagina is geparafeerd te Genemuiden respectievelijk Plaats:
[naam klant + naam ondertekenaar] | W.J. Xxxxx, directeur V-Kam Education |
Bijlage I: overzicht van door de verwerker getroffen beveiligingsmaatregelen
De verwerker is gecertificeerd volgens de ISO 9001:2015-norm. Om die reden wordt jaarlijks een audit uitgevoerd door een externe deskundige.
Afhankelijk van de te leveren diensten, heeft de verwerker onder meer maar niet beperkt tot de volgende beveiligingsmaatregelen getroffen:
• Maatregelen ten behoeve van de logische toegangscontrole tot persoonsgegevens;
• Beveiliging van de systemen;
• Tweetrapsverificatie voor toegang tot de cloud
• Tweetrapsverificatie voor toegang tot persoonsgegevens
• De medewerkers zijn gebonden aan een geheimhoudingsbeding
• Maatregelen ten behoeve van de fysieke toegangscontrole
• Maatregelen ter zake autorisatie van de systemen
• Clean desk policy
• Automatisch wijzigen van de logingegevens
• Vingerafdruk voor openen mobiel
• Limiet aan aantal inlogpogingen
• Vernietiging vertrouwelijke documenten via invullen
• Intern beveiligingsbeleid
• Automatische virusscan van invullen
• Interne back-u-procedures
• Blacklisted IP-adressen altijd blokkeren
Bijlage II: lijst van ingeschakelde subverwerkers:
Op dit moment niet van toepassing. De verwerker zal wijzigingen zo spoedig mogelijk doorgeven.