OVEREENKOMST GEGEVENSBESCHERMING [UW BEDRIJFSNAAM]
OVEREENKOMST GEGEVENSBESCHERMING [UW BEDRIJFSNAAM]
Deze Overeenkomst betreffende gegevensbescherming ("Overeenkomst") gedateerd op: [DATUM] (i) handelend voor eigen rekening en namens en voor rekening van [UW BEDRIJFSNAAM] of een Gelieerde onderneming van [UW BEDRIJFSNAAM] ([gezamenlijk,] "[UW BEDRIJFSNAAM]"); en (ii) _Sunrise Medical B.V. en Sunrise Medical HCM B.V of een Gelieerde onderneming van Sunrise Medical B.V. en/of Sunrise Medical HCM B.V. (([gezamenlijk,] "[Sunrise Medical]"). handelend voor eigen rekening [en namens en voor rekening van elke Partnerverkoper ([gezamenlijk,]"Verkoper"), elk zijnde een “Partij” en gezamenlijk de “Partijen”.
[UW BEDRIJFSNAAM] houdt zich bezig met [voorbeeld: advisering, distributie en service van producten en diensten]; de verkoper houdt zich bezig met advisering, distributie en service van producten en diensten [op grond van werk-/aankooporders ("SOW/PO")]
1. Definities
1.1 In deze Overeenkomst hebben de volgende termen de hierna vermelde betekenis en verwante termen worden dienovereenkomstig uitgelegd:
(a) "Ingangsdatum Overeenkomst" heeft de betekenis die eraan wordt gegeven in deel 2;
(b) “Wetten inzake gegevensbescherming“ betekent (i) Richtlijn 95/46/EG en, vanaf 25 mei 2018, Verordening (EU) 2016/679 (“AVG“) samen met de toepasselijke wetgeving die deze implementeert of aanvult, of anderszins met betrekking tot de verwerking van Persoonsgegevens van natuurlijke personen, (ii) voor zover niet begrepen in lid (i), nationale wetgeving, (iii) de nationale wetgeving van de Zwitserse Bondsstaat inzake de bescherming van Betrokkenen met betrekking tot de verwerking van Persoonsgegevens en inzake het vrije verkeer van dergelijke gegevens, zoals van tijd tot tijd gewijzigd, en andere gegevensbescherming- of privacywetgeving die van tijd tot tijd van kracht is in de Zwitserse Bondsstaat;
(c) “Modelcontractbepalingen“ betekent de modelcontractbepalingen voor de overdracht van persoonsgegevens aan Verwerkers gevestigd in derde landen, zoals goedgekeurd door de Europese Commissie in Besluit 2010/87/EU of elke andere reeks door de Europese Commissie goedgekeurde bepalingen die deze wijzigen of vervangen;
(d) “Persoonsgegevens [UW BEDRIJFSNAAM]“ betekent alle Persoonsgegevens verwerkt door een Verkoper of enige Partnerverkoper (i) namens [UW BEDRIJFSNAAM]; of (ii) anderszins verwerkt door een Verkoper, in elk geval krachtens of in verband met instructies gegeven door [UW BEDRIJFSNAAM] in overeenstemming met de overeenkomst en de SOW/PO
1.2 De termen “Verwerkingsverantwoordelijke“, “Betrokkene“, “Persoonsgegevens“, “Inbreuk in verband met persoonsgegevens“, “Verwerking“ en “Verwerker“ hebben dezelfde betekenis zoals beschreven in de Wetten inzake gegevensbescherming en verwante termen worden dienovereenkomstig uitgelegd.
2. Opstelling van deze Overeenkomst
Deze Overeenkomst wordt geacht door de Partijen te zijn overeengekomen en treedt in werking op de Ingangsdatum Overeenkomst, zijnde de vroegste datum van (i) de datum waarop deze Overeenkomst door Xxxxxxxx is ondertekend; en (ii) dertig kalenderdagen na de datum waarop deze Overeenkomst door [UW BEDRIJFSNAAM] aan de Verkoper is verzonden (“Ontvangstdatum”), behalve daar waar [UW BEDRIJFSNAAM] binnen de dertig kalenderdagen na de Ontvangstdatum van de Verkoper schriftelijk bezwaar ontvangt tegen de voorwaarden van deze Overeenkomst. In dat geval werken de Partijen onverwijld en te goeder trouw samen om de bezwaren van de Verkoper op te lossen en overeenstemming te bereiken over een opstelling van deze Overeenkomst die aanvaardbaar is voor de Partijen, in welk geval de Ingangsdatum Overeenkomst de datum is waarop de overeengekomen opstelling van het Overeenkomst wordt ondertekend door de Partijen.].
3. Rollen van de Partijen
De Partijen erkennen en stemmen ermee in dat met betrekking tot de Verwerking van de Persoonsgegevens van [UW BEDRIJFSNAAM], en zoals vollediger omschreven in Bijlage 1, [UW BEDRIJFSNAAM] optreedt als Verwerkingsverantwoordelijke en de Verkoper als Verwerker.
4. Beschrijving van de Verwerking van Persoonsgegevens
In Bijlage 1 bij deze Overeenkomst hebben de Partijen wederzijds uiteengezet wat zij verstaan onder de Persoonsgegevens van [UW BEDRIJFSNAAM] die verwerkt moeten worden door de Verkoper overeenkomstig deze Overeenkomst, zoals vereist in artikel 28(3) van de AVG. Van tijd tot tijd kan [UW BEDRIJFSNAAM] redelijke wijzigingen in Bijlage 1 aanbrengen door middel van een schriftelijke kennisgeving aan de Verkoper, wanneer [UW BEDRIJFSNAAM] dit redelijkerwijs noodzakelijk acht om aan deze vereisten te voldoen. Bijlage 1 creëert geen enkele verplichting of rechten voor een Partij.
5. Voorwaarden voor gegevensverwerking
5.1 Bij de Verwerking van Persoonsgegevens van [UW BEDRIJFSNAAM] moet de Verkoper alle toepasselijke wetten inzake gegevensbescherming naleven en mag hij niet opzettelijk of uit nalatigheid iets doen waardoor [UW BEDRIJFSNAAM] zijn verplichtingen hieromtrent schendt.
5.2 De Verkoper zal:
5.2.1 enkel de soorten Persoonsgegevens van [UW BEDRIJFSNAAM] verwerken met betrekking tot de betrokkenen-categorieën voor de doeleinden van de overeenkomst en de SOW/PO en voor de specifieke doeleinden per geval, zoals uiteengezet in Bijlage 1 van deze overeenkomst, en anders uitsluitend volgens de gedocumenteerde instructies van [UW BEDRIJFSNAAM], voor het verrichten van de diensten en voor zover nodig voor het nakomen van zijn verplichtingen krachtens de overeenkomst en de SOW/PO [inclusief met betrekking tot de overdracht van Persoonsgegevens van [UW BEDRIJFSNAAM] naar een derde land buiten de Europese Unie of aan een internationale organisatie] (tenzij vereist door de wetten van de Unie of een lidstaat die van toepassing zijn op de Verkoper, in welk geval de Verkoper [UW BEDRIJFSNAAM] [of de relevante Gelieerde onderneming van [UW BEDRIJFSNAAM]] op de hoogte brengt van die wettelijke verplichting voorafgaand aan de Verwerking, tenzij die wet zulke informatie verbiedt op grond van belangrijke redenen van openbaar belang); de Verkoper zal [UW BEDRIJFSNAAM] onmiddellijk op de hoogte brengen als volgens de Verkoper een instructie inbreuk maakt op de Wetten inzake gegevensbescherming;
5.2.2 redelijke maatregelen nemen om de betrouwbaarheid te waarborgen van personen die toegang kunnen hebben tot de Persoonsgegevens van [UW BEDRIJFSNAAM] en ervoor zorgen dat zij verklaard hebben zich de vertrouwelijkheid te respecteren of dat zij een passende wettelijke verplichting tot vertrouwelijkheid op hen van toepassing is, en dat de toegang strikt wordt beperkt tot die personen die toegang moeten hebben tot de relevante Persoonsgegevens van [UW BEDRIJFSNAAM], zoals strikt noodzakelijk voor de doeleinden die zijn uiteengezet in deel 5.2.1 hierboven, binnen de context van de plichten van die persoon jegens de Verkoper;
5.2.3 de technische en organisatorische maatregelen die zijn uiteengezet in de overeenkomst en de SOW/PO uitvoeren en onderhouden en, rekening houdend met de stand van de techniek, de uitvoeringskosten, de aard, omvang, context en doeleinden van de Verwerking, evenals de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van natuurlijke personen, alle verdere passende technische en organisatorische maatregelen nemen die nodig zijn om een beveiligingsniveau te waarborgen afgestemd op het risico van de Verwerking van Persoonsgegevens van [UW BEDRIJFSNAAM] in overeenstemming met artikel
32 AVG. Elke wijziging van dergelijke overeengekomen maatregelen die [UW
BEDRIJFSNAAM] vereist, zal worden afgehandeld via een overeengekomen veranderingsproces tussen de Verkoper en [UW BEDRIJFSNAAM];
5.2.4 geen toestemming geven aan derden om de Persoonsgegevens van [UW BEDRIJFSNAAM] (" Subverwerker") te verwerken zonder de voorafgaande schriftelijke toestemming van [UW BEDRIJFSNAAM]. Een dergelijke toestemming hangt af van de voorwaarde dat de Verkoper voldoet aan de bepalingen van artikel 28(4) AVG;
5.2.5 [UW BEDRIJFSNAAM] [of de betreffende [UW BEDRIJFSNAAM] Filiaal] onmiddellijk op de hoogte te stellen van elke mededeling van een Betrokkene met betrekking tot de Verwerking van [UW BEDRIJFSNAAM] Persoonsgegevens, of enige andere communicatie (inclusief van een toezichthoudende autoriteit) met betrekking tot enige verplichting krachtens de Wetten inzake gegevensbescherming met betrekking tot de [UW BEDRIJFSNAAM] Persoonsgegevens en, met inachtneming van de aard van de Verwerking, onmiddellijk alle redelijke hulp bieden aan [UW BEDRIJFSNAAM] [of het betreffende [UW BEDRIJFSNAAM] Filiaal] om op dergelijke communicatie te reageren, inclusief door alle nodige technische en organisatorische maatregelen te nemen voor de vervulling van de verplichting van [UW BEDRIJFSNAAM] [of het betreffende [UW BEDRIJFSNAAM] Filiaal] om te reageren op verzoeken betreft de uitoefening van de rechten van een Betrokkene zoals vastgelegd in hoofdstuk III AVG.
5.2.6 [UW BEDRIJFSNAAM] [of de betreffende Gelieerde onderneming van [UW BEDRIJFSNAAM]] onverwijld, en in elk geval binnen 24 (vierentwintig) uur, op de hoogte brengen na het constateren van of bij een redelijk vermoeden van een Inbreuk in verband met de persoonsgegevens met betrekking tot de Persoonsgegevens van [UW BEDRIJFSNAAM]. Deze kennisgeving dient alle informatie te bevatten die redelijkerwijs vereist is door [UW BEDRIJFSNAAM] [en elke Gelieerde onderneming van [UW BEDRIJFSNAAM]] om te voldoen aan zijn verplichtingen krachtens de Wetten voor gegevensbescherming;
5.2.7 onverminderd enig ander deel van deze Overeenkomst, alle redelijke hulp verlenen aan [UW BEDRIJFSNAAM] [en de Gelieerde ondernemingen van [UW BEDRIJFSNAAM]] met betrekking tot hun verplichtingen uit hoofde van artikel 32 tot en met 36 AVG, rekening houdend met de aard van de Verwerking en de informatie waarover de Verkoper beschikt; en
5.2.8 Verwerking van de Persoonsgegevens van [UW BEDRIJFSNAAM] onmiddellijk stoppen na de beëindiging of het verstrijken van de overeenkomst en de SOW/PO en naar keuze van [UW BEDRIJFSNAAM], de Persoonsgegevens van [UW BEDRIJFSNAAM] retourneren of veilig verwijderen, evenals alle kopieën ervan, en in alle gevallen een schriftelijke verklaring verstrekken aan [UW BEDRIJFSNAAM] dat volledig voldaan is aan dit deel 5.2.8, tenzij (en uitsluitend voor zover en zolang) de wetgeving van de Unie of de lidstaat de opslag van de persoonsgegevens vereist.
6. Sub-verwerking
Vanaf de Ingangsdatum Overeenkomst, voor de doeleinden van deel 5.2.4, machtigt [UW BEDRIJFSNAAM] de Verkoper om Subverwerkers in te zetten, die reeds door de Verkoper worden gebruikt voor het leveren van Diensten onder de overeenkomst en de SOW/PO.
7. Overdracht
Vanaf het begin van de desbetreffende overdracht zijn op [UW BEDRIJFSNAAM] [en/of elke Gelieerde onderneming van [UW BEDRIJFSNAAM]] (als de "gegevensexporteur") en de Verkoper [en/of elke Partnerverkoper] (als de "gegevensimporteur") de Modelcontractbepalingen van toepassing (mutatis mutandis, naargelang het geval) met betrekking tot enige overdracht (of verdere overdracht) van [UW BEDRIJFSNAAM] [of een Gelieerde onderneming van [UW BEDRIJFSNAAM]] aan de Verkoper [en/of een Partnerverkoper], waar een dergelijke overdracht anders verboden zou zijn door de Wetten inzake gegevensbescherming (of door de voorwaarden van overeenkomsten inzake gegevensoverdracht die zijn ingevoerd om aan de wetgeving inzake gegevensbescherming te voldoen). Bijlage 1 bij de Modelcontractbepalingen wordt geacht vooraf te zijn ingevuld met de relevante onderdelen van Bijlage 1 bij deze Overeenkomst.
De Verkoper zal [UW BEDRIJFSNAAM] onverwijld schriftelijk op de hoogte brengen als (i) hij niet langer kan voldoen aan zijn verplichtingen krachtens het EU-VS Privacy Shield, of (ii) als het EU- VS Privacy Shield ongeldig is of niet meer toereikend om te voldoen aan de overdrachtsvereisten onder de toepasselijke Wetten voor gegevensbescherming, en de Verkoper zal (i) onmiddellijk redelijke stappen ondernemen om de gevolgen van niet-naleving van de toepasselijke verplichtingen krachtens deze Overeenkomst te verhelpen, en/of (ii) te goeder trouw een dialoog aangaan met [UW BEDRIJFSNAAM] om een nieuw mechanisme voor gegevensoverdracht te bepalen om de doeleinden van de overeenkomst en de SOW/PO te behalen. Omdat de Verkoper optreedt als Verwerker met betrekking tot Persoonsgegevens die zijn ontvangen op grond van een gegevensoverdracht vallend onder het Privacy Shield, zijn principes 1 (kennisgeving), 2 (keuze) en 5b (retentie) en bijbehorende aanvullende principes alleen van toepassing op de Verkoper voor zover [UW BEDRIJFSNAAM], na overleg met de Verkoper, redelijkerwijs heeft vastgesteld dat de Verkoper de geschikte Partij is om het principe of het gerelateerde aanvullende principe toe te passen en de Verkoper heeft ingestemd met maatregelen om aan die vereisten te voldoen.
8. Beveiliging
[UW BEDRIJFSNAAM] kan de Verkoper een schriftelijke kennisgeving sturen indien, naar het redelijk oordeel van [UW BEDRIJFSNAAM], de technische en organisatorische beveiligingsmaatregelen die door de Verkoper zijn genomen op grond van deze overeenkomst, moeten worden gewijzigd om rekening te houden met een wijziging in de Wetgeving inzake gegevensbescherming en de Verkoper moet dergelijke wijzigingen onmiddellijk doorvoeren zonder extra kosten voor [UW BEDRIJFSNAAM]. Een dergelijke schriftelijke kennisgeving omvat een beschrijving van de wetswijziging en details van de vereiste wijziging.
9. Voorrang
De bepalingen van deze overeenkomst zijn een aanvulling op de bepalingen van de SOW/PO. In geval van tegenstrijdigheden tussen de bepalingen van deze overeenkomst en de SOW/PO en die van de Hoofdovereenkomst prevaleren de bepalingen van deze overeenkomst.
10. Scheidbaarheid
De Partijen komen overeen dat, indien enig deel van deze overeenkomst door een rechtbank of bevoegde autoriteit als onwettig of niet-afdwingbaar wordt beschouwd, dit geen invloed heeft op de geldigheid of uitvoerbaarheid van andere onderdelen van deze overeenkomst.
TEN BLIJKE WAARVAN deze overeenkomst wordt aangegaan vanaf de Ingangsdatum overeenkomst.
("[UW BEDRIJFSNAAM]") “Sunrise Medical”
Handtekening Handtekening
Naam Naam
Titel Titel
[DATUM] Ondertekeningsdatum
Bijlage 1: Beschrijving van de Verwerking van Persoonsgegevens van [UW BEDRIJFSNAAM]
Deze bijlage bevat details aangaande de Verwerking van Persoonsgegevens van [UW BEDRIJFSNAAM], zoals vereist door artikel 28(3) AVG.
Onderwerp en duur van de Verwerking van Persoonsgegevens
Het onderwerp en de duur van de Verwerking van de Persoonsgegevens van [UW BEDRIJFSNAAM] gedurende 7 jaar.
De aard en het doel van de Verwerking van de Persoonsgegevens
De aard en het doel van de Verwerking van de Persoonsgegevens van [UW BEDRIJFSNAAM] met het oog op de advisering, distributie en service van het desbetreffende product en dienst.
De categorieën van Betrokkenen waarop de Persoonsgegevens van [UW BEDRIJFSNAAM] betrekking hebben
Klantgegevens: Naam, titel, geslacht, functietitel, geboortedatum, persoonlijke contactgegevens (adres, telefoonnummer, e-mailadres), werkcontactgegevens (telefoonnummer, e-mailadres), personeelsnummer, spraakopnamen (inclusief telefoongesprekken), foto, persoonlijke gegevens in vergader-, telefoon- of aanwezigheidsnota's, [prestatiecijfers / -rapporten,] [bankgegevens,] [nationaal ID-nummer,] [belastingcode,] [recht op werk of paspoortgegevens,] [naaste familie / naam en contactgegevens voor noodgevallen en/of zorgondersteuning] [achtergrondcontroles], etnische achtergrond, anatomische gegevens en ziektebeeld.
De soorten Persoonsgegevens van [UW BEDRIJFSNAAM] die moeten worden verwerkt
Namen, adressen ((adres, telefoonnummer, e-mailadres), titels, telefoonnummers, e-mailadres.
Anatomische gegevens en ziektebeeld.
Speciale gegevenscategorieën
Lichamelijke/ geestelijke gezondheid, Handicap of medische toestand, etnische achtergrond van de betrokkene, Religieuze overtuigingen, minderjarigen en genderidentiteit.
De rechten en plichten van [UW BEDRIJFSNAAM] en Gelieerde ondernemingen van [UW BEDRIJFSNAAM]
[UW BEDRIJFSNAAM]/ contractpartner hebben elk een intern document- en gegevensbewaarbeleid en de persoonsgegevens die gedeeld worden krachtens deze overeenkomst worden opgeslagen en verwijderd in overeenstemming met het relevante beleid.
Gegevensexporteur & Gegevensimporteur
De gegevensexporteur en de gegevensimporteur delen persoonsgegevens met het oog op de advisering, distributie en service van het desbetreffende product en dienst.
Verwerkingshandelingen (indien van toepassing)
Op de persoonsgegevens die worden overgedragen worden de volgende basisverwerkingsactiviteiten uitgevoerd: Advisering, distributie en service van het desbetreffende product en dienst.