ONDERGETEKENDEN:
ONDERGETEKENDEN:
I. Organisatie of persoon zoals hieronder weergegeven, verder te noemen
“Verantwoordelijke”.
Naam organisatie: Naam bestuurder: Adres:
Postcode:
Plaats:
en
II. Webtool4all gevestigd en kantoorhoudende te ( 2992 GG ), Barendrecht aan de Klarinetweg 73, in deze rechtsgeldig vertegenwoordigd door haar bestuurder Xxxxx Xxxxxxxxxxxx, verder te noemen “Verwerker”.
Hierna gezamenlijk ook aan te duiden als: “Partijen” en afzonderlijk als “Partij”.
OVERWEGENDE DAT
a) De Verwerker diensten verricht ten behoeve van Verantwoordelijke, zoals beschreven in
de Overeenkomst tussen Partijen;
b) De diensten met zich meebrengen dat Persoonsgegevens door Verwerker worden verwerkt, waarvoor Verantwoordelijke verantwoordelijk is in de zin van de Wet bescherming persoonsgegevens (Wbp) en de Algemene Verordening
Gegevensbescherming (AVG);
c) Verwerker de betreffende gegevens in opdracht en op instructies van Verantwoordelijke verwerkt en niet voor eigen doeleinden. Verwerker is Verwerker in de zin van de Wbp en de AVG;
d) Partijen middels deze Verwerkersovereenkomst de afspraken met betrekking tot de verwerking van Persoonsgegevens in het kader van de diensten wensen vast te leggen.
e) Deze Verwerkersovereenkomst een overeenkomst is in de zin van artikel 14 lid 2 Wbp en artikel 28 lid 3 AVG.
KOMEN OVEREEN ALS VOLGT
Artikel 1. Definities
1.1 In deze Verwerkersovereenkomst hebben begrippen die in de AVG zijn gedefinieerd, dezelfde betekenis. De definitie van “Verwerkingsverantwoordelijke” in de AVG komt overeen met het woord “Verantwoordelijke” in deze overeenkomst.
Artikel 2. Onderwerp en uitvoering van deze Verwerkersovereenkomst
2.1 Verwerker verwerkt Persoonsgegevens in opdracht van Verantwoordelijke gedurende de looptijd van de diensten zoals genoemd in de Overeenkomst tussen Partijen. Verwerker verwerkt Persoonsgegevens ten behoeve van Verantwoordelijke en ter voldoening aan enige wettelijke verplichting.
2.2 De Persoonsgegevens zullen door Verwerker worden verwerkt voor de volgende doeleinden:
a. Het verwerken en emailen
van contactformulieren die door websitebezoekers worden ingevuld en verzonden naar siteeigenaars, zodat contact opgenomen kan worden met de siteeigenaar via de website.
b. Het in de databases opslaan van contactformulieren en webshopgegevens die door websitebezoekers worden ingevuld en verzonden, zodat deze ook in het backends van desbetreffende sites nageslagen kunnen worden, naast de verzonden email zelf.
Zie AVG-Webtool4all, ook t.b.v.:
• Domeinregistratie, provider, registrar
• Hosting, provider, registrar, WHMCS en cPanel
• SSL en AVG gegevens
• Klantgegevens, eigen systemen, Alle NAW, contractgegevens, databases, cPanels, Einddata hosting & domein & SSL, PayGateways, Social Media, Logins
• Mailchimp, Emailadressen, Voornaam, Achternaam
• MonyeBird, facturatie tbv klanten
• MoneyMonk, facturatie tbv klanten
2.3 Bij de verwerking zullen de volgende categorieën Persoonsgegevens worden verwerkt:
a. Naam
b. IPadres
c. Email
2.4 Bij de verwerking kunnen de volgende categorieën Persoonsgegevens potentieel worden verwerkt, afhankelijk van de samenstelling van de in lid 2 van dit artikel genoemde contactformulieren:
a. NAWgegevens
b. Telefoonnummer
c. Geboortedatum
d. Geslacht
e. Administratieve gegevens, zoals nummers van bankrekening of creditcard
2.5 Verantwoordelijke onthoudt zich bij het samenstellen van de in lid 2 van dit artikel genoemde contactformulieren van het expliciet verzoeken om Bijzondere Persoonsgegevens, zoals gedefinieerd in artikel 9 AVG.
2.6 De Persoonsgegevens zullen uitsluitend worden verwerkt voor zover dit noodzakelijk is voor de levering van de diensten. Overige verwerkingen vinden uitsluitend plaats
op basis van schriftelijke instructies van de Verantwoordelijke, onder meer met betrekking tot doorgiften van Persoonsgegevens aan derde landen of een internationale organisatie, tenzij een op de Verwerker van toepassing zijnde wettelijke verplichting tot verwerking verplicht. In dat geval stelt de Verwerker de
Verantwoordelijke, voorafgaand aan de verwerking, in kennis van dat wettelijk voorschrift.
2.7 Verwerker zal, tenzij hij hiervoor uitdrukkelijke voorafgaande – al dan niet geclausuleerde – schriftelijke toestemming heeft verkregen van Verantwoordelijke, geen Persoonsgegevens verwerken of laten verwerken door hemzelf of door derden in landen buiten de Europese Economische Ruimte (EER) zonder een passend beschermingsniveau. Verwerker zal Verantwoordelijke informeren over iedere wijziging van de locatie waar de gegevens van Verantwoordelijke worden opgeslagen, evenals de identiteit van eventuele derde partijen die hierbij betrokken zijn.
Artikel 3. Geheimhouding
3.1 Op alle Persoonsgegevens, ter beschikking gesteld in het kader van deze Verwerkersovereenkomst, rust een geheimhoudingsplicht jegens derden. Verwerker zal deze informatie niet voor een ander doel gebruiken dan waarvoor deze is verkregen, zelfs niet wanneer deze in een zodanige vorm is gebracht dat deze niet tot Betrokkene herleidbaar is. Verwerker zal deze geheimhoudingsplicht ook aan al haar werknemers en door haar eventueel ingeschakelde derden al dan niet Subverwerker, eveneens opleggen.
3.2 Partijen verplichten zich over en weer geen als vertrouwelijk aangemerkte gegevens, of gegevens die redelijkerwijs als zodanig aangemerkt zouden moeten worden, die
de andere partij betreffen, aan derden te openbaren, tenzij het informatie betreft die al van algemene bekendheid is.
3.3 Partijen verplichten zich om personen die door hen worden ingezet bij de uitvoering van deze overeenkomst eenzelfde geheimhoudingsverplichting op te leggen.
3.4 Bij overtreding van dit artikel geldt het recht op schadevergoeding van de overtredende partij ten faveure van de andere partij.
Artikel 4. Verplichtingen Verantwoordelijke
4.1 Verantwoordelijke is in de zin van de AVG verantwoordelijk voor de in het kader van de Overeenkomst te verwerken persoonsgegevens.
4.2 Verantwoordelijke is verantwoordelijk voor verdere verplichtingen volgend uit de AVG zoals het melden van verwerking van persoonsgegeven bij de Autoriteit Persoonsgegevens (AP).
4.3 Verantwoordelijke staat er jegens Verwerker voor in dat de inhoud, het gebruik en/of de verwerking van Persoonsgegevens niet onrechtmatig zijn en geen inbreuk maken
op enig recht van een derde. Verwerker is niet verantwoordelijk voor de rechtmatigheid van de verwerking van Persoonsgegevens door Verantwoordelijke.
4.4 Verantwoordelijke is verplicht om de (beveiligings)updates van de software waarop de Persoonsgegevens worden verwerkt te (laten) installeren, bij gebreke waarvan Verantwoordelijke geen aanspraken op Verwerker zal hebben.
4.5 Verwerker zal Verantwoordelijke erop attenderen zodra updates beschikbaar zijn die essentieel zijn voor de beveiliging.
4.6 Verantwoordelijke vrijwaart Verwerker voor alle schade en tegen alle aanspraken van wie dan ook die ontstaan als gevolg van schending van artikel 4.4 van de Verwerkersovereenkomst.
4.7 Verwerker is jegens Verantwoordelijke niet aansprakelijk voor het niet (kunnen) nakomen van de verplichtingen uit deze Verwerkersovereenkomst indien Verantwoordelijke zich niet houdt aan artikel 4.4 van deze Verwerkersovereenkomst.
Artikel 5. Verplichtingen Verwerker
5.1 Verwerker zal de Persoonsgegevens van Verantwoordelijke logisch gescheiden verwerken van de Persoonsgegevens die hij voor zichzelf of namens derde partijen verwerkt.
5.2 Verwerker stelt Verantwoordelijke – mits tijdig daarom verzocht – te allen tijde in staat om binnen de wettelijke termijnen te voldoen aan de verplichtingen op grond van de
Wbp en de AVG, welke samenhangen met de verwerking door Xxxxxxxxx, zoals – maar niet beperkt tot – een verzoek om inzage, verbetering, aanvulling, verwijdering of afscherming van de Persoonsgegevens en het uitvoeren van een gehonoreerd aangetekend verzet.
5.3 Indien een betrokkene zich direct tot de Verwerker wendt om informatie zal Xxxxxxxxx een zodanig verzoek onmiddellijk melden aan Verantwoordelijke en zich overigens onthouden van verschaffen van informatie aan Xxxxxxxxxx.
5.4 Verwerker zal passende technische en organisatorische maatregelen nemen – voor zover mogelijk – om Verantwoordelijke bijstand te kunnen verlenen bij het inwilligen van verzoeken van Xxxxxxxxxxx om hun de rechten op grond van hoofdstuk III van
de AVG uit te oefenen.
5.5 Verwerker zal actief monitoren op inbreuken op de beveiligingsmaatregelen.
5.6 Verwerker verwerkt de Persoonsgegevens slechts in opdracht van de Verantwoordelijke en zal alle instructies van Verantwoordelijke dienaangaande opvolgen, behoudens afwijkende wettelijke verplichtingen.
5.7 Verwerker is volledig verantwoordelijk voor eventuele Subverwerker(s) en zal deze Subverwerker(s) in het kader van de totale dienstverlening minstens dezelfde verplichtingen ten opzichte van Verantwoordelijke opleggen als voor zichzelf uit deze Verwerkersovereenkomst voortvloeien.
5.8 Verwerker neemt geen Subverwerker in dienst zonder voorafgaande specifieke of algemene schriftelijke toestemming van de Verantwoordelijke conform artikel 28 lid 2 AVG.
5.9 Verwerker zal Verantwoordelijke onverwijld van beveiligingsincidenten op de hoogte
stellen;
5.10 Verwerker zal zich houden aan artikel 32 AVG, verder uitgewerkt in artikel 6 van deze Verwerkersovereenkomst.
5.11 De verwerking van gegevens zal nimmer met zich meebrengen dat de databases van Verwerker worden verrijkt met de gegevens afkomstig uit de datasets van Verantwoordelijke. Het combineren van gegevens afkomstig van Verantwoordelijke is niet toegestaan.
5.12 Verwerker stelt de Verantwoordelijke alle informatie ter beschikking die nodig is om de nakoming van de AVG en deze Verwerkersovereenkomst aan te tonen. Verwerker
zal audits, waaronder inspecties door de Verantwoordelijke of een door de Verantwoordelijke gemachtigde controleur, eens per jaar mogelijk maken en daaraan op alle mogelijke manieren bijdragen. De kosten hiervoor zullen volledig worden gedragen door Verantwoordelijke.
Artikel 6. Beveiliging persoonsgegevens
6.1 Verwerker zal passende technische en organisatorische beveiligingsmaatregelen nemen, die gezien de huidige stand der techniek en de daarmee gemoeide kosten, overeenstemmen met de aard van de te verwerken Persoonsgegevens, ter bescherming van de Persoonsgegevens tegen verlies, verminking of onrechtmatige verwerking, alsmede om de (tijdige) beschikbaarheid van de gegevens te garanderen. Deze maatregelen omvatten in ieder geval:
a. Maatregelen om te waarborgen dat alleen bevoegde mensen toegang hebben tot de Persoonsgegevens voor de bepaalde doeleinden;
b. Maatregelen waarbij de Verwerker voorzieningen zal treffen voor een adequate toegangsbeveiliging tot de Persoonsgegevens, zodat alleen geautoriseerde personen toegang hebben. Verwerker verleent alleen toegang tot de Persoonsgegevens via op naam gestelde accounts, waarbij het gebruik van die accounts adequaat gelogd wordt en waarbij de betreffende accounts alleen toegang geven tot die Persoonsgegevens waartoe de toegang voor de
betreffende persoon noodzakelijk is;
c. Maatregelen om de persoonsgegevens te beschermen tegen onopzettelijke of onrechtmatige vernietiging, onopzettelijk verlies of wijziging, onbevoegde of onrechtmatige opslag, verwerking, toegang of openbaarmaking;
d. Maatregelen om zwakke plekken te identificeren ten aanzien van de verwerking van Persoonsgegevens in de systemen die worden ingezet voor het verlenen
van de diensten aan Verantwoordelijke;
e. Het beveiligen van de diensten door gebruik van een SSL toegangscertificaat, welke Verantwoordelijke verplicht is te gebruiken;
f. Het in werking hebben van een adequaat en uptodatemechanisme om kwaadaardige software, waaronder computervirussen, te detecteren en adequaat af te handelen;
6.2 Verwerker heeft het recht toe te (laten) zien op de naleving van de hiervoor genoemde maatregelen. Verwerker stelt Verantwoordelijke hiertoe eenmaal per jaar in de gelegenheid. De kosten voor de audit zijn voor rekening van Verantwoordelijke.
6.3 Partijen erkennen dat beveiligingseisen voortdurend veranderen en dat een effectieve beveiliging frequente evaluatie en regelmatige verbetering van verouderde beveiligingsmaatregelen vereist. Het beveiligingsbeleid van Verwerker kan derhalve in de loop der tijd eenzijdig wijzigen. Verwerker zal Verantwoordelijke hiervan op de
hoogte houden.
Artikel 7. Beveiligingsincidenten en datalekken
7.1 Zodra zich een incident met betrekking tot de verwerking van de Persoonsgegevens voordoet, heeft voorgedaan of zou kunnen voordoen, of een datalek plaats heeft gevonden (conform de meest recente richtsnoeren/beleidsregels AP meldplicht datalekken en/of een daarvoor in de plaats komende regeling), is Verwerker verplicht Verantwoordelijke daarvan onverwijld in kennis te stellen en daarbij alle relevante informatie te verstrekken omtrent:
a. De aard van het incident;
b. De (mogelijk) getroffen gegevens;
c. De geconstateerde en de vermoedelijke gevolgen van het incident, en
d. De maatregelen die getroffen zijn of zullen worden getroffen om het incident op te lossen, dan wel om gevolgen zoveel mogelijk te beperken.
7.2 Verwerker is, onverminderd de overige verplichtingen, verplicht om maatregelen te treffen die redelijkerwijs van hem kunnen worden verwacht om het incident zo snel mogelijk te herstellen dan wel de verdere gevolgen zoveel mogelijk te beperken. Verwerker treedt onverwijld in overleg met Verantwoordelijke teneinde hierover nadere afspraken te maken.
7.3 De voorgaande leden gelden ook voor een datalek of inbreuk op de beveiliging bij eventuele Subverwerker(s).
7.4 Verwerker zal Verantwoordelijke te allen tijde zijn medewerking verlenen en zal de instructies van Verantwoordelijke opvolgen, met als doel Verantwoordelijke in staat te stellen een deugdelijk onderzoek te verrichten naar het incident, een correcte reactie te formuleren en passende vervolgstappen te nemen ten aanzien van het incident, waaronder begrepen het informeren van de Autoriteit Persoonsgegevens (AP) en/of de betrokkene.
7.5 Verwerker zal te allen tijde geschreven procedures voorhanden hebben die hem in staat stellen om Verantwoordelijke van een onmiddellijke reactie over een incident te voorzien, en om effectief samen te werken met Verantwoordelijke om het incident af te handelen (datalekprotocol) en zal Verantwoordelijke voorzien van een exemplaar van het datalekprotocol indien Verantwoordelijke daarom verzoekt.
7.6 Verantwoordelijke zal, indien naar zijn oordeel noodzakelijk, de AP en/of betrokkenen informeren over een datalek. Het is Verwerker niet toegestaan informatie te verstrekken over incidenten aan betrokkenen of andere derde partijen, behoudens voor zover Verwerker daartoe wettelijk verplicht is.
Artikel 8. Subverwerkers en kettingbeding
8.1 Verwerker zal het verwerken van Persoonsgegevens in opdracht van Verantwoordelijke niet uitbesteden aan een derde partij (Subverwerker) zonder voorafgaande schriftelijke toestemming van Verantwoordelijke.
8.2 Bij het ingaan van de verwerkersovereenkomt wordt tevens overeengekomen dat persoonsgegevens door subverwerkers worden verwerkt waar Verwerker al een overeenkomst mee heeft. Deze subverwerkers zijn:
a. MijnInternetOplossing - registrar
b. Mailchimp (Mail services)
c. Moneybird (facturatie)
d. MoneyMonk (facturatie)
8.3 Verwerker zal aan de door hem ingeschakelde Subverwerker dezelfde of strengere verplichtingen opleggen als voor hemzelf uit deze Verwerkersovereenkomst en de wet voortvloeien. Xxxxxxxxx ziet toe op de naleving daarvan door de Subverwerker. De betreffende afspraken met de Subverwerker zullen schriftelijk worden vastgelegd. Verwerker zal Verantwoordelijke op verzoek afschrift verstrekken van deze overeenkomst.
8.4 Verwerker verplicht zich in de Subverwerkersovereenkomst tevens dit kettingbeding op te nemen, als gevolg waarvan ook de Subverwerker verplicht is eventuele derde(n) die
zij inschakelt te houden aan de verplichtingen voortvloeiend uit artikelen 5, 6 en 7 van deze Verwerkersovereenkomst.
8.5 Indien Verwerker de verplichtingen uit de voorgaande artikelen niet nakomt geldt het recht van Verantwoordelijke op schadevergoeding.
Artikel 9. Aansprakelijkheid
9.1 Partijen zijn ieder verantwoordelijk en aansprakelijk voor hun eigen handelen. Er geldt voor tekortkomingen die voortvloeien uit deze Verwerkersovereenkomst voor Verwerker een beperking van aansprakelijkheid tot maximaal het bedrag waarvoor Verwerker is verzekerd en de aansprakelijkheidsverzekeraar daadwerkelijk bereid is uit te keren.
9.2 Verwerker vrijwaart Verantwoordelijke reeds nu voor alsdan tegen alle aanspraken van derden die ontstaan als gevolg van schending van de toepasselijke weten regelgeving ter zake van de bescherming van Persoonsgegevens door Verwerker.
9.3 Verantwoordelijke vrijwaart Verwerker reeds nu voor alsdan tegen alle aanspraken van derden die ontstaan als gevolg van schending van de toepasselijke weten regelgeving ter zake van de bescherming van Persoonsgegevens door Verantwoordelijke.
Artikel 10. Duur en beëindiging
10.1 De duur van deze Verwerkersovereenkomst komt overeen met de duur van de Overeenkomst tussen Partijen.
10.2 De Verwerkersovereenkomst maakt integraal en onlosmakelijk deel uit van de Overeenkomst. Beëindiging van de Overeenkomst, om welke reden dan ook, heeft tot gevolg dat de Verwerkersovereenkomst eveneens eindigt.
10.3 Beëindiging, ontbinding of opzegging van de Overeenkomst, op welke wijze dan ook, laat verbintenissen van partijen die naar hun aard bedoeld zijn voort te duren na die beëindiging in tact. Tot deze verbintenissen behoren onder meer welke die
voortvloeien uit de bepalingen betreffende geheimhouding, aansprakelijkheid en toepasselijk recht.
10.4 Iedere partij is gerechtigd deze Verwerkersovereenkomst en/of de Overeenkomst met onmiddellijke ingang en zonder rechterlijke tussenkomst te ontbinden, zonder dat
enige aanmaning of ingebrekestelling is vereist en zonder gehoudenheid tot betaling van enige schadevergoeding, indien:
De andere partij surseance van betaling aanvraagt of haar surseance van betaling
wordt verleend;
De andere partij in staat van faillissement wordt verklaard of de andere partij of een
derde het faillissement van die partij aanvraagt;
De onderneming van de andere partij wordt geliquideerd;
De bedrijfsuitvoering van de andere partij wordt gestaakt.
10.5 In afwijking van lid 1 en 2 van dit artikel, blijft deze Verwerkersovereenkomst in stand zolang Verwerker Persoonsgegevens van Verantwoordelijke verwerkt.
Artikel 11. Bewaartermijnen, teruggave en vernietiging Persoonsgegevens
11.1 Verantwoordelijke is gehouden er zorg voor te dragen dat de Persoonsgegevens niet langer worden bewaard dan nodig is voor de in artikel 2.2 genoemde doeleinden. Verantwoordelijke zal Verwerker vooraf instrueren met betrekking tot de bewaartermijnen.
11.2 Bij beëindiging van de Verwerkersovereenkomst zal Verwerker, naar keuze van Xxxxxxxxxxxxxxxxx, de Persoonsgegevens onherroepelijk vernietigen of teruggeven aan Verantwoordelijke. Hiermee verband houdende kosten worden door Verantwoordelijke gedragen. Eventuele teruggave van gegevens zal in een algemeen gangbaar, gestructureerd gegevensformaat langs elektronische weg plaatsvinden. Indien teruggave, onherroepelijke vernietiging of verwijdering niet mogelijk zijn, stelt Verwerker Verantwoordelijke daarvan onmiddellijk op de hoogte. In dat geval garandeert Verwerker dat hij de Persoonsgegevens vertrouwelijk en afgeschermd zal bewaren en niet verder zal verwerken.
11.3 Bij het einde van de Verwerkersovereenkomst zal Verwerker alle Subverwerkers die betrokken zijn bij het verwerken van Persoonsgegevens op de hoogte stellen van de beëindiging. De verplichtingen op grond van het voorgaande lid zijn van overeenkomstige toepassing op deze Subverwerkers. Verwerker zal waarborgen dat
alle betrokken Subverwerkers hieraan uitvoering zullen geven.
Artikel 12. Overige bepalingen
12.1 Het is Partijen niet toegestaan om rechten of verplichtingen uit deze Verwerkersovereenkomst aan derden over te dragen zonder schriftelijke toestemming van de andere partij.
12.2 Alle industriële of intellectuele eigendomsrechten met betrekking tot de onder deze Verwerkersovereenkomst te verwerken of verwerkte Persoonsgegevens berusten te allen tijde bij de Verantwoordelijke.
12.3 Wijzigingen op deze Verwerkersovereenkomst dienen schriftelijk te worden overeengekomen.
12.4 Indien om wat voor reden dan ook een bepaling van deze Verwerkersovereenkomst nietig of vernietigbaar is of wordt, heeft dat slechts gevolgen voor die bepaling. De rest van de Verwerkersovereenkomst blijft volledig van kracht, waarbij partijen zullen trachten om in onderling overleg de nietige/vernietigbare bepaling te vervangen door
een die het meest aansluit bij de geest van voormelde bepaling.
12.5 Indien veranderende wetgeving een wijziging van de Verwerkersovereenkomst noodzakelijk maakt zullen partijen in open en reëel overleg treden om de Verwerkersovereenkomst op de kortst mogelijke termijn aan deze nieuwe wettelijke eisen te laten voldoen. Wanneer dit overleg niet tot resultaat leidt en Verwerker op onredelijke gronden haar medewerking weigert, is Verantwoordelijke gerechtigd de Verwerkersovereenkomst eenzijdig te wijzigen, opdat deze weer voldoet aan de daaraan door de wet gestelde eisen.
12.6 In geval van strijdigheid tussen de bepalingen uit deze Verwerkersovereenkomst en bepalingen uit de Overeenkomst, zullen de bepalingen van de Verwerkersovereenkomst prevaleren voor zover deze inhoudelijk betrekking hebbenop de taken en verantwoordelijkheden tussen Partijen inzake de verwerking vanPersoonsgegevens.
12.7 Op deze Overeenkomst is Nederlands recht van toepassing.
Webtool4all
Naam ondertekenaar: Xxxxx Xxxxxxxxxxxx
Datum: 25 mei 2018 Handtekening