DE ONDERGETEKENDEN:
Datum: 21-07-2021
Versie: 4.0
DE ONDERGETEKENDEN:
, gevestigd aan de
, in deze rechtsgeldig vertegenwoordigd door
(titel, naam en functie) (hierna: ‘Verwerkingsverantwoordelijke’)
en
Archive-IT, gevestigd aan de Charles Ruysstraat 12, 5953 NM te Reuver en ingeschreven in het register van de Kamer van Koophandel onder nummer 12039868, in deze rechtsgeldig vertegenwoordigd door X. xx Xxxxxxxxxxxx, CEO (hierna “Verwerker”)
hierna gezamenlijk ook aan te duiden als: “Partijen” en afzonderlijk als “Partij”
Overwegende dat
a. Verwerker diensten verricht ten behoeve van Verwerkingsverantwoordelijke, zoals beschreven in de Hoofdovereenkomst(en) beheer, opslag, fysiek ter beschikking stellen en/of digitaliseren van privacygevoelige dossiers;
b. De diensten met zich meebrengen dat persoonsgegevens worden verwerkt, waarvoor Verwerkingsverantwoordelijke verantwoordelijk is in de zin van de Algemene verordening gegevensbescherming (hierna: AVG);
c. Verwerker de betreffende gegevens louter in opdracht van Verwerkingsverantwoordelijke verwerkt en niet voor eigen doeleinden. Verwerker is in dat kader aan te merken als verwerker in de zin van de AVG;
d. Van toepassing zal zijn de Verordening (EU) 2016/679 van het Europees Parlement (Algemene verordening gegevensbescherming);
e. Partijen middels deze Verwerkersovereenkomst de afspraken met betrekking tot de verwerking van persoonsgegevens in het kader van de diensten wensen vast te leggen;
f. Deze Verwerkersovereenkomst, indien van toepassing, alle eerdere overeenkomst(en) van gelijke strekking tussen Partijen vervangt.
VERKLAREN TE ZIJN OVEREENGEKOMEN ALS VOLGT:
Artikel 1. Definities
1.1 Voor zover begrippen met een hoofdletter niet afzonderlijk gedefinieerd zijn in deze Verwerkersovereenkomst, gelden in deze Verwerkersovereenkomst de definities zoals genoemd in de Hoofdovereenkomst, zijnde de overeenkomst als genoemd in overweging (a) en de toepasselijke Algemene voorwaarden behorende bij de (betreffende) Hoofdovereenkomst(en): digitaliseren, opslag, beheer van (privacygevoelige) dossiers c.q. de levering van SaaS-software. Begrippen uit de AVG, zoals, “Persoonsgegevens”, “Verwerking”, “Verwerkingsverantwoordelijke” en “Verwerker” hebben de betekenis die daaraan is gegeven in de AVG.
+ | Betrokkenen: | Natuurlijk personen wiens persoonsgegevens het |
+ | Derde(n): | betreft. Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een |
dienst of een ander orgaan, niet zijnde de Betrokkene, noch de | ||
Verwerkingsverantwoordelijke, noch de Verwerker, noch de personen die | ||
onder rechtstreeks gezag van de Verwerkingsverantwoordelijke of de | ||
+ | Sub-verwerkers: | Verwerker gemachtigd zijn om de persoonsgegevens te verwerken. Door Verwerker ingeschakelde ondernemingen die een gedeelte van de |
+ | AP: | activiteiten, werkzaamheden verzorgt. Autoriteit Persoonsgegevens. |
Artikel 2. Onderwerp van deze Verwerkersovereenkomst
2.1 Verwerker verwerkt in opdracht van de Verwerkingsverantwoordelijke gedurende de looptijd van de in artikel 1 van deze Verwerkersovereenkomst genoemde Hoofdovereenkomst ten behoeve van Verwerkingsverantwoordelijke en ter voldoening aan enige wettelijke verplichting persoonsgegevens. Een overzicht van de categorieën Persoonsgegevens en de doeleinden waarvoor de persoonsgegevens ten behoeve van Verwerkingsverantwoordelijke worden verwerkt is opgenomen in Annex 1 bij deze Verwerkersovereenkomst.
2.2 Ten aanzien van de fysieke bulkopslag van door Verwerkingsverantwoordelijke aangeleverde fysieke dossiers in dozen (op pallets, archiefmobielen of archive cubes), voorheen bekend als de archiefspecialist activiteiten, heeft het volgende te gelden: de dossiers met de daarin opgenomen persoonsgegevens worden door Verwerkingsverantwoordelijke in de vorm van dozen aangeleverd bij Verwerker. Op de dozen is door Verwerkingsverantwoordelijke een aanduiding aangebracht welke dossiernummers zich in de dozen bevinden. Er vindt door Verwerker geen controle plaats of de door Verwerkingsverantwoordelijke aangegeven dossiers zich daadwerkelijk in de aangeleverde dozen bevinden.
Artikel 3. Uitvoering verwerking
3.1 Verwerker zal optreden als Verwerker en Verwerkingsverantwoordelijke als Verantwoordelijke in de zin van de AVG.
3.2 Verwerker garandeert dat hij ten behoeve van Verwerkingsverantwoordelijke uitsluitend persoonsgegevens zal verwerken voor zover dit noodzakelijk is voor de levering van de prestaties onder de in artikel 1 van deze Verwerkersovereenkomst genoemde Hoofdovereenkomst. Overige verwerkingen zullen uitsluitend worden uitgevoerd in expliciete opdracht van Verwerkingsverantwoordelijke of als daartoe een wettelijke verplichting bestaat na informeren van Verwerkingsverantwoordelijke. Informeren van de Verwerkingsverantwoordelijke blijft achterwege waar dat in strijd zou zijn met de wet. In geen geval zal Verwerker persoonsgegevens verwerken voor eigen doeleinden.
3.3 Verwerker zal alle redelijke instructies van Verwerkingsverantwoordelijke in verband met de verwerking van de persoonsgegevens opvolgen. Een en ander onverlet de verantwoordelijkheid van Verwerkingsverantwoordelijke om zorg te dragen dat diens instructies in overeenstemming met de toepasselijke wetgeving zijn. Voor zover deze instructies extra werkzaamheden (en kosten) met zich brengen voor Verwerker alsmede consequenties kunnen hebben voor een overeengekomen tijdsplanning, eerst nadat Partijen hierover overeenstemming hebben bereikt.
3.4 Verwerker zal de persoonsgegevens aantoonbaar, op behoorlijke en zorgvuldige wijze en in overeenstemming met de op hem als Verwerker op grond van de AVG en Nationale wetgeving op het gebied van privacy rustende verplichtingen verwerken. Partijen sluiten de Hoofdovereenkomst om de expertise die Verwerker heeft als het gaat om het beveiligen en het verwerken van Persoonsgegevens te gebruiken voor de doeleinden die uiteengezet zijn in Annex 1 bij deze Verwerkersovereenkomst. Verwerker is gehouden om, met inachtneming van hetgeen in deze Verwerkersovereenkomst is bepaald, die doeleinden en de bescherming van de persoonsgegevens met passende zorg na te streven.
3.5 Verwerker zal, tenzij hij hiervoor uitdrukkelijke voorafgaande schriftelijke toestemming heeft verkregen van Verwerkingsverantwoordelijke, geen persoonsgegevens verwerken of laten verwerken door hemzelf of door Sub-Verwerker in landen buiten de Europese Economische Ruimte (“EER”).
3.6 Verwerker garandeert dat hij alle persoonsgegevens als strikt vertrouwelijk zal behandelen en dat hij al zijn werknemers, vertegenwoordigers en/of Sub-Verwerker die betrokken zijn bij de verwerking van de Persoonsgegevens van de vertrouwelijke aard van dergelijke (persoons)gegevens op de hoogte zal stellen.
3.7 Verwerker zal waarborgen dat betrokken personen en partijen een
geheimhoudingsovereenkomst hebben getekend en zal Verwerkingsverantwoordelijke op verzoek inzage geven in deze geheimhoudingsovereenkomst. Het is Verwerker niet toegestaan de persoonsgegevens aan enige derde te tonen, te verstrekken of anderszins ter beschikking te stellen, tenzij dit noodzakelijk of toegestaan is ingevolge de opdracht van de in lid 1 genoemde Hoofdovereenkomst of in het geval hiervoor expliciete voorafgaande schriftelijke toestemming van Verwerkingsverantwoordelijke is verkregen of als daartoe wettelijke verplichting bestaat.
3.8 Verwerker zal zijn volledige en tijdige medewerking verlenen aan Verwerkingsverantwoordelijke om:
a. na goedkeuring van en in opdracht van Verwerkingsverantwoordelijke Betrokkenen toegang te laten krijgen tot de hun betreffende persoonsgegevens,
b. persoonsgegevens te verwijderen of te corrigeren,
c. aan te tonen dat persoonsgegevens verwijderd of gecorrigeerd zijn indien zij incorrect zijn (of, ingeval Verwerkingsverantwoordelijke het er niet mee eens is dat persoonsgegevens incorrect zijn, het feit vast te leggen dat de betrokkene zijn persoonsgegevens als incorrect beschouwt)
d. Verwerkingsverantwoordelijke anderszins in de gelegenheid te stellen om aan zijn verplichtingen onder de AVG of andere Nationale toepasselijke wetgeving op het gebied van verwerking van persoonsgegevens uit te oefenen, een en ander voor zover Verantwoordelijke (Verwerkingsverantwoordelijke) dit niet zelf kan. En onder de voorwaarden dat de bescherming van de persoonsgegevens van Derden geborgd is alsmede de vertrouwelijkheid van gegevens van Xxxxxx die naar hun aard vertrouwelijk zijn.
Van toepassing in geval van bulkopslag: Ten aanzien van de fysieke bulkopslag zoals bedoeld in artikel 2.2 geldt het volgende ten aanzien van het bepaalde in dit artikel 3.8: tegen de overeengekomen uurtarieven en voor zover mogelijk met inachtneming van het bepaalde in artikel 2.2.
3.9 Verwerker zal de persoonsgegevens van Verwerkingsverantwoordelijke (voor zover het digitale opslag betreft) logisch gescheiden verwerken van de persoonsgegevens die hij voor zichzelf of namens derden verwerkt.
Artikel 4. Beveiliging persoonsgegevens & controle
4.1 Verwerker zal passende technische en organisatorische beveiligingsmaatregelen nemen, die gezien de huidige stand der techniek en de daarmee gemoeide kosten overeenstemmen met de aard van de te verwerken persoonsgegevens, ter bescherming van de persoonsgegevens tegen verlies, onbevoegde kennisname, verminking of onrechtmatige verwerking, alsmede om de overeengekomen (tijdige) beschikbaarheid van de gegevens te waarborgen. In deze beveiligings- maatregelen zijn de mogelijk in de Hoofdovereenkomst reeds bepaalde maatregelen begrepen. De maatregelen omvatten in ieder geval:
a. Maatregelen om te waarborgen dat enkel bevoegd personeel toegang heeft tot de persoonsgegevens voor de doeleinden die zijn uiteengezet in Annex 1;
b. Maatregelen waarbij de Verwerker zijn medewerkers, onderaannemers (waaronder Sub- verwerkers) uitsluitend toegang geeft tot persoonsgegevens via op naam gestelde accounts, waarbij het gebruik van die accounts adequaat gelogd wordt en waarbij de betreffende accounts alleen toegang geven tot die persoonsgegevens waartoe de toegang voor de betreffende persoon noodzakelijk is;
c. Maatregelen om de persoonsgegevens te beschermen tegen onopzettelijke of onrechtmatige vernietiging, onopzettelijk verlies of wijziging, onbevoegde of onrechtmatige opslag verwerking, toegang of openbaarmaking;
d. Maatregelen om zwakke plekken te identificeren ten aanzien van de verwerking van persoonsgegevens in de systemen die worden ingezet voor het verlenen van diensten aan Verwerkingsverantwoordelijke;
e. Maatregelen om de overeengekomen tijdige beschikbaarheid van de gegevens te waarborgen, een en ander zoals nader uitgewerkt in Annex 2 en in de Hoofdovereenkomst (en eventuele SLA Verwerker).
4.2 Verwerker werkt in overeenstemming met ISO27001 en/of NEN 7510 en heeft een passend, geschreven beveiligingsbeleid geïmplementeerd voor de verwerking van persoonsgegevens, waarin in ieder geval de in lid 1 van dit artikel 4 genoemde maatregelen uiteen zijn gezet.
4.3 Verwerkingsverantwoordelijke heeft het recht toe te (laten) zien op de naleving van de hiervoor onder 4.1 t/m 4.2 genoemde maatregelen door een gecertificeerde interne auditor van Verwerkingsverantwoordelijke of een onafhankelijke gecertificeerde EDP-auditor. Verwerker stelt Verwerkingsverantwoordelijke, indien Verwerkingsverantwoordelijke daarom verzoekt, hiertoe in elk geval eenmaal per jaar in de gelegenheid op een door Partijen in gezamenlijk overleg nader te bepalen tijdstip en verder indien Verwerkingsverantwoordelijke daar aanleiding toe ziet naar aanleiding van gemotiveerd vermoeden van beveiligingsincidenten betreffende persoonsgegevens, zulks te (laten) controleren door de gecertificeerde interne auditor van Verwerkingsverantwoordelijke of een onafhankelijke gecertificeerde EDP-auditor, zulks naar keuze van Verwerkingsverantwoordelijke. Het onderzoek (waaronder begrepen de documentatie en overige gegevens waartoe het onderzoek zich uitstrekt) en de resultaten daarvan zullen door Verwerkingsverantwoordelijke en een eventuele auditor strikt vertrouwelijk worden behandeld behoudens voor zover enig toepasselijk wettelijk voorschrift hen tot mededeling verplicht. Verwerkingsverantwoordelijke zal zorgdragen dat het onderzoek op een zodanige wijze wordt uitgevoerd dat Verwerker geen tot zo min mogelijk hinder hiervan ondervindt. Verwerker zal eventuele door Verwerkingsverantwoordelijke naar aanleiding van een dergelijke controle in redelijkheid gegeven instructies tot noodzakelijke aanpassing van het beveiligingsbeleid om te voldoen aan het gestelde in artikel 4.1 t/m 4.3 binnen een redelijke termijn opvolgen.
4.4 Verwerker zal in alle redelijkheid haar medewerking verlenen aan het onder 4.3 hiervoor bedoelde onderzoek, de tijd die Verwerker hiervoor spendeert is voor eigen kosten.
4.5 Opdrachtnemer zal periodiek de technische- en organisatorische maatregelen die genomen zijn om de verwerking te beveiligen testen, beoordelen en evalueren, al dan niet door inschakeling van een ter zake deskundige derde. Als uit deze beoordeling volgt dat de genomen maatregelen niet langer voldoende zijn, dan zal Opdrachtnemer alle redelijke stappen nemen om het beveiligingsniveau te verbeteren.
Artikel 5. Monitoring, informatieplichten en incidentenmanagement
5.1 Verwerker zal actief monitoren op inbreuken op de beveiligingsmaatregelen en over de resultaten van de monitoring in overeenstemming met dit artikel 5 rapporteren aan Verwerkingsverantwoordelijke.
5.2 Zodra zich een incident zoals bedoeld in artikel 5.5 sub c en d met betrekking tot de verwerking van de persoonsgegevens voordoet, heeft voorgedaan of zou kunnen voordoen, is Verwerker verplicht Verwerkingsverantwoordelijke daarvan zonder onnodige vertraging (doch binnen 36 uur) in kennis te stellen en daarbij alle relevante informatie te verstrekken omtrent
a. De aard van de Inbreuk, waar mogelijk onder vermelding van de categorieën van betrokkenen en persoonsgegevensregisters in kwestie en, bij benadering, het aantal betrokkenen en persoonsgegevensregisters in kwestie;
b. De naam en de contactgegevens van de functionaris voor gegevensbescherming of een ander contactpunt waar meer informatie kan worden verkregen;
c. De waarschijnlijke gevolgen van de Inbreuk;
d. De maatregelen die Opdrachtnemer heeft voorgesteld of genomen om de Inbreuk aan te pakken, waaronder, in voorkomend geval, de maatregelen ter beperking van de eventuele nadelige gevolgen daarvan;
e. Enige andere informatie die Opdrachtgever nodig heeft op basis van de Toepasselijke Privacy Wetgeving.
Verwerker zal Verwerkingsverantwoordelijke zonder onnodige vertraging in kennis stellen van een incident zoals bedoeld in artikel 5.5 sub a en b.
5.3 Verwerker is, onverminderd de overige verplichtingen uit dit artikel, verplicht om maatregelen te treffen die redelijkerwijs van hem kunnen worden verwacht om een incident zoals bedoeld in artikel 5.5 sub c en d zo snel mogelijk ongedaan te maken, dan wel de verdere gevolgen zoveel mogelijk te beperken. Verwerker treedt onverwijld in overleg met Verwerkingsverantwoordelijke teneinde hierover nadere afspraken te maken.
5.4 Verwerker zal Verwerkingsverantwoordelijke zonder onnodige vertraging (doch binnen 36 uur) haar medewerking verlenen en zal de redelijke instructies van Verwerkingsverantwoordelijke opvolgen, met als doel Verwerkingsverantwoordelijke in staat te stellen een deugdelijk onderzoek te verrichten naar het incident zoals bedoeld in artikel 5.5 sub c en d., een correcte respons te formuleren en passende vervolgstappen te nemen ten aanzien van het incident, waaronder begrepen het informeren van de Autoriteit Persoonsgegevens (AP) en/of de betrokkene zoals bepaald in artikel 5.8.
5.5 Onder “incident” wordt in elk geval het volgende verstaan:
a. Een klacht of (informatie)verzoek van een natuurlijk persoon met betrekking tot de verwerking van persoonsgegevens door Xxxxxxxxx;
b. Een onderzoek naar of beslaglegging door overheidsfunctionarissen op de persoonsgegevens of een vermoeden dat dit gaat plaatsvinden;
c. Iedere ongeautoriseerde toegang, verwerking, verwijdering, verminking, verlies of enige vorm van onrechtmatige verwerking van de persoonsgegevens;
d. Een inbreuk op de beveiliging en/of de vertrouwelijkheid, zoals uiteengezet in artikel 3 en 4 van deze Verwerkersovereenkomst, althans ieder ander incident, die/dat leidt (of mogelijk leidt) tot onopzettelijke of onrechtmatige vernietiging, verlies, wijziging, onbevoegde openbaarmaking van – of toegang tot – de persoonsgegevens, of enige aanwijzing dat een dergelijke inbreuk zal plaatsvinden of heeft plaatsgevonden.
5.6 Verwerker zal te allen tijde geschreven procedures voorhanden hebben die hem in staat stellen om Verwerkingsverantwoordelijke van een zonder onnodige vertraging reactie over een incident te voorzien, en om effectief samen te werken met Verwerkingsverantwoordelijke om het incident
af te handelen en zal Verwerkingsverantwoordelijke voorzien van een exemplaar van dergelijke procedures indien Verwerkingsverantwoordelijke daarom verzoekt.
5.7 Meldingen die worden gedaan op grond van dit artikel worden gericht aan de in Annex 3 opgenomen contactpersonen van Verwerkingsverantwoordelijke of, indien relevant, aan een andere door Verwerkingsverantwoordelijke tijdens de duur van deze Verwerkersovereenkomst schriftelijk bekendgemaakte andere contactpersoon van Verwerkingsverantwoordelijke.
5.8 Verwerkingsverantwoordelijke zal, indien naar zijn oordeel noodzakelijk, Betrokkenen en andere Derden waar onder de AP informeren over incidenten. Het is Verwerker niet toegestaan informatie te verstrekken over incidenten aan Betrokkenen of andere Derde partijen, behoudens voor zover Verwerker daartoe wettelijk verplicht is.
5.9 Opdrachtnemer documenteert alle Incidenten, met inbegrip van de feiten omtrent het Incident, de gevolgen daarvan en de genomen corrigerende maatregelen, alsmede alle andere relevante informatie omtrent het Incident.
Artikel 6. Gebruik Sub-verwerkers
6.1 Verwerker is gerechtigd zijn activiteiten die (deels) bestaan uit het verwerken van persoonsgegevens of vereisen dat persoonsgegevens verwerkt uit te besteden aan Sub- verwerkers gevestigd binnen de Europese Economische Ruimte. Verwerker zal Verwerkingsverantwoordelijke tijdig informeren over diens Sub-verwerkers - en wijzigingen daarin - gevestigd binnen de EU/EER. Verwerkingsverantwoordelijke heeft het recht op redelijke gronden bezwaar te hebben tegen deze uitbesteding.
6.2 Verwerker zal aan de door hem ingeschakelde Sub-verwerker vergelijkbare verplichtingen opleggen als voor hemzelf uit deze Verwerkersovereenkomst en de wet voortvloeien en ziet toe op de naleving daarvan door de Sub-verwerker. De betreffende afspraken met de Sub-verwerker zullen schriftelijk worden vastgelegd. Verwerker zal Verwerkingsverantwoordelijke op verzoek afschrift verstrekken van deze overeenkomst(en).
6.3 Niettegenstaande de toestemming van Verwerkingsverantwoordelijke voor het inschakelen van een Sub-verwerker blijft Verwerker volledig aansprakelijk jegens Verwerkingsverantwoordelijke voor de gevolgen van het uitbesteden van werkzaamheden aan een Sub-verwerker. De toestemming van Verwerkingsverantwoordelijke voor het uitbesteden van werkzaamheden aan een Sub-verwerker laat onverlet dat voor de inzet van Sub-verwerkers in een land buiten de Europese Economische Ruimte zonder een passend beschermingsniveau toestemming vereist is in overeenstemming met artikel 3.5 van deze Verwerkersovereenkomst.
Artikel 7. Aansprakelijkheid
7.1 Partijen zijn ieder verantwoordelijk en aansprakelijk voor hun eigen handelen. In dit artikel 7 geregelde aansprakelijkheid heeft uitsluitend betrekking op boetes en schade ten gevolge van verwijtbare tekortkoming in het naleven van de Verwerkersovereenkomst.
7.2 Verwerker is jegens Verwerkingsverantwoordelijke aansprakelijk, uit welke hoofde dan ook en ongeacht de grondslag, voor zover en tot zover partijen dit zijn overeengekomen in de Hoofdovereenkomst (waarvan deze Verwerkersovereenkomst integraal onderdeel uitmaakt), met
dien verstande dat indien de aansprakelijkheid voor verminking, verlies en onrechtmatige verwerking van gegevens is uitgesloten onder de Hoofdovereenkomst, in afwijking daarvan heeft te gelden dat de aansprakelijkheid van Verwerker jegens Verwerkingsverantwoordelijke voor verminking, verlies en onrechtmatige verwerking van persoonsgegevens, uit hoofde van of in verband met deze Verwerkersovereenkomst, ongeacht de grondslag, is beperkt tot vergoeding van aan Verwerker toerekenbare directe schade (waaronder uitdrukkelijk ook gerekend een aan Verwerkingsverantwoordelijke door de Autoriteit Persoonsgegevens opgelegde boete voor zover deze toerekenbaar is aan Verwerker) tot het cumulatief maximum bedrag zoals opgenomen in de Hoofdovereenkomst, bij gebreke waarvan heeft te gelden het cumulatief maximum bedrag van EUR 500.000 (zegge: vijfhonderdduizend euro) voor de gehele looptijd van de Verwerkersovereenkomst, met een sub-cumulatief maximum van EUR 250.000 (zegge: tweehonderdvijftigduizend euro) per contractjaar. Voornoemde aansprakelijkheid van Verwerker voor een eventuele door de Autoriteit Persoonsgegevens opgelegde boete geldt indien Verwerkingsverantwoordelijke Verwerker tijdig en volledig op de hoogte heeft gesteld van een eventuele aanwijzing van de Autoriteit Persoonsgegevens en aan die aanwijzing heeft voldaan, voor zover die aanwijzing op Verwerkingsverantwoordelijke betrekking heeft, en aan Verwerker haar volledige medewerking heeft verleend teneinde een boete af te wenden. Verwerker is niet aansprakelijk voor gevolgschade, waaronder winstderving, omzetderving en gemiste besparingen. Voor zover uit een en hetzelfde of samenhangende feitencomplex aanspraken voortvloeien uit meerdere rechtsverhoudingen tussen partijen, zal er geen sprake zijn van cumulatie van aanspraken. Voornoemde beperkingen en uitsluiting hebben niet te gelden in het geval van opzet of bewuste roekeloosheid van Verwerker.
7.3 Verwerker zal een deugdelijke beroepsaansprakelijkheid en cybercrime verzekering afsluiten.
Artikel 8. Duur en beëindiging
8.1 Deze Verwerkersovereenkomst gaat in op de datum van ondertekening en de duur van deze Verwerkersovereenkomst is gelijk aan de duur van de in artikel 1 genoemde Hoofdovereenkomst.
8.2 De Verwerkersovereenkomst maakt na ondertekening ervan door beide Partijen integraal en onlosmakelijk deel uit van de Hoofdovereenkomst. Beëindiging van de Hoofdovereenkomst, op welke grond dan ook (opzegging/ontbinding), heeft tot gevolg dat de Verwerkersovereenkomst eveneens op dezelfde grond beëindigd wordt (en vice versa), tenzij partijen in voorkomend geval anders overeenkomen.
8.3 Verplichtingen welke naar hun aard bestemd zijn om ook na beëindiging van deze Verwerkersovereenkomst voort te duren, blijven na beëindiging van deze Verwerkersovereenkomst gelden. Tot deze bepalingen behoren onder meer die welke voortvloeien uit de bepalingen betreffende geheimhouding, aansprakelijkheid en toepasselijk recht.
8.4 Ieder der partijen is gerechtigd, onverminderd hetgeen daartoe bepaald is in de Hoofdovereenkomst, de uitvoering van deze Verwerkersovereenkomst en de daarmee samenhangende Hoofdovereenkomst op te schorten, dan wel zonder rechterlijke tussenkomst met onmiddellijke ingang te ontbinden, indien:
a. De andere partij wordt ontbonden of anderszins ophoudt te bestaan anders dan door samenvoeging of reconstructie;
b. De andere partij ernstig toerekenbaar tekortschiet in de nakoming van de verplichtingen die voortvloeien uit deze Verwerkersovereenkomst en die ernstige toerekenbare tekortkoming niet binnen 30 dagen is hersteld na een daartoe strekkende schriftelijke ingebrekestelling;
c. Een partij in staat van faillissement wordt verklaard of surséance van betaling aanvraagt.
8.5 Verwerker informeert zonder onnodige vertraging Verwerkingsverantwoordelijke indien een faillissement dreigt dan wel surséance van betaling, zodat Verwerkingsverantwoordelijke tijdig kan beslissen de persoonsgegevens terug te vorderen alvorens faillissement wordt uitgesproken.
8.6 Verwerkingsverantwoordelijke is gerechtigd deze Verwerkersovereenkomst en de Hoofdovereenkomst per direct op te zeggen indien Verwerker uitdrukkelijk en zonder dat daarover enige twijfel kan bestaan te kennen geeft niet (langer) te kunnen voldoen aan de betrouwbaarheidseisen die op grond van ontwikkelingen in de wet en/of de rechtspraak aan de verwerking van de persoonsgegevens worden gesteld. Artikel 9.2 is van overeenkomstige toepassing.
8.7 In het geval dat een Dienstverleningsovereenkomst is beëindigd zal Opdrachtnemer, ter vrije keuze van Opdrachtgever, de in het kader van de Diensten verwerkte persoonsgegevens vernietigen of terug leveren.
8.8 Opdrachtnemer zal hangende de keuze van Opdrachtgever de persoonsgegevens blijven bewaren. Opdrachtnemer is niet gerechtigd de persoonsgegevens zonder uitdrukkelijke instructie daartoe van Opdrachtnemer te vernietigen.
8.9 Het terug leveren van de persoonsgegevens geschiedt in een algemeen leesbaar en deugdelijk gedocumenteerd bestandsformaat.
8.10 Ongeacht het voorgaande is Opdrachtnemer gerechtigd om de gegevens te bewaren indien wetgeving haar daartoe verplicht.
Artikel 9. Bewaartermijnen, teruggave en vernietiging van Persoonsgegevens
9.1 Verwerker bewaart de persoonsgegevens niet langer dan strikt noodzakelijk en in geen geval langer dan tot het einde van deze Verwerkersovereenkomst of, indien tussen partijen een bewaartermijn is overeengekomen, niet langer dan deze termijn.
9.2 Bij beëindiging van de (Verwerkers)overeenkomst, of indien van toepassing aan het einde van de overeengekomen bewaartermijnen, of op schriftelijk verzoek van Verwerkingsverantwoordelijke zal Verwerker, naar keuze van Verwerkingsverantwoordelijke, de persoonsgegevens – in die zin de metadata/referentiedata - kosteloos vernietigen of teruggeven aan Verwerkingsverantwoordelijke.
Voor wat betreft de teruggave/vernietiging van fysieke archieven (dossiers/dozen/pallets e.d.) zal dit geschieden tegen de reeds overeengekomen vergoeding, dan wel op basis van de dan geldende tarieven.
Voor wat betreft de teruggave van digitale dossiers (datamigratie) zal dit geschieden tegen de reeds overeengekomen vergoeding, dan wel op basis van de dan geldende tarieven.
Op verzoek van Verwerkingsverantwoordelijke verstrekt Verwerker bewijs van het feit dat de gegevens vernietigd of verwijderd zijn. Indien teruggave, vernietiging of verwijdering niet mogelijk zijn, stelt Verwerker Verwerkingsverantwoordelijke daarvan zonder onnodige vertraging op de hoogte. In dat geval garandeert Verwerker dat hij de persoonsgegevens vertrouwelijk zal behandelen en niet langer zal verwerken anders dan noodzakelijk voor het voornoemde.
9.3 Bij het einde van de Verwerkersovereenkomst zal Verwerker alle onderaannemers (waaronder Sub-verwerkers) die betrokken zijn bij het verwerken van persoonsgegevens op de hoogte stellen van de beëindiging van de Verwerkersovereenkomst. De verplichtingen uit artikel 9.2 zijn van overeenkomstige toepassing op deze onderaannemers, en Verwerker zal waarborgen dat alle betrokken onderaannemers hieraan uitvoering zullen geven.
Artikel 10 Kosten
10.1 Tarieven en andere commerciële afspraken met betrekking tot de verwerkingen worden behandeld/overeengekomen in de (hoofd)overeenkomst(en). Er worden voor het realiseren van de afspraken in de Verwerkersovereenkomst geen separate kosten in rekening gebracht, dit tenzij de Gegevensverantwoordelijke eisen stelt die erg specifiek zijn. Dit zal dan in de Hoofdovereenkomst(en) worden beschreven.
Artikel 11. Slotbepalingen
11.1 De overwegingen maken onderdeel uit van deze Verwerkersovereenkomst.
11.2 In het geval van strijdigheid tussen de bepalingen uit deze Verwerkersovereenkomst en bepalingen uit de in artikel 1 genoemde Hoofdovereenkomst zullen de bepalingen van de Verwerkersovereenkomst leidend zijn.
11.3 In geval van nietigheid c.q. vernietigbaarheid van een of meer bepalingen uit deze Verwerkers- overeenkomst, blijven de overige bepalingen onverkort van kracht. Partijen zullen in overleg treden teneinde te komen tot een nieuwe bepaling waarbij de strekking van de nietige bepaling zoveel mogelijk wordt gehandhaafd.
11.4 In alle gevallen waarin deze Verwerkersovereenkomst niet voorziet beslissen partijen in onderling overleg. Wijzigingen op deze Verwerkersovereenkomst kunnen uitsluitend schriftelijk tussen Partijen worden overeengekomen.
11.5 Op deze Verwerkersovereenkomst is louter Nederlands recht van toepassing.
11.6 Eventuele conflicten zullen eerst met elkaar besproken worden waarbij beide partijen zich inspannen om deze in goed overleg met elkaar op te lossen, daarin begrepen de mogelijkheid het geschil te beëindigen door een in onderling overleg vast te stellen mediation of arbitrage.
11.7 Geschillen over of in verband met deze Verwerkersovereenkomst worden uitsluitend voorgelegd aan de bevoegde rechter zoals bepaald in de Hoofdovereenkomst, bij gebreke waarvan het arrondissement van de Verwerkingsverantwoordelijke heeft te gelden.
Ondertekening
Invullen door Gegevensverantwoordelijke | Invullen door Verwerker Archive-IT | |
Plaats | Reuver | |
Datum | ||
Naam * | Xxxx xx Xxxxxxxxxxxx | |
Functie | CEO | |
Handtekening |
* Naam bevoegd vertegenwoordiger
ANNEX 1: Te verwerken persoonsgegevens en doeleinden
Verwerker verwerkt gegevens met als doel deze:
+ In gescande vorm beschikbaar te stellen aan de daartoe geautoriseerde personen van de Verwerkingsverantwoordelijke en/of,
+ Deze te beheren en op aanvraag ter beschikking te stellen op aanvraag aan de daartoe geautoriseerde personen van de Verwerkingsverantwoordelijke en/of,
+ Via SaaS-software aan de Verwerkingsverantwoordelijke ter beschikking te stellen zodat deze digitaal kan werken.
Persoonsgegevens en betrokkenen
De volgende gegevens worden door Verwerkingsverantwoordelijke aan Verwerker Archive-IT verstrekt. De Verwerkingsverantwoordelijke dient hieronder aan te kruisen/in te vullen wat van toepassing is:
⭘ Identificatiegegevens (naam, adres (privé of zakelijk), telefoonnummer).
⭘ Persoonlijke kenmerken (leeftijd, geslacht, burgerlijke staat, geboortedatum, geboorteplaats).
⭘ Medische gegevens (tevens ook identificatiegegevens en/of persoonlijke kenmerken).
⭘ Economische en financiële informatie (inkomen, financiële situatie, fiscale situatie, etc.), (tevens ook identificatiegegevens en/of persoonlijke kenmerken)
⭘ Xxxxxx:
Het betreft persoonsgegevens van de volgende type betrokkenen:
⭘
⭘
ANNEX 2: Beveiligingsmaatregelen
Het doel van informatiebeveiliging is dat kan worden aangenomen dat Verwerker de gegevens, die nodig zijn voor het uitvoeren van de Overeenkomst, heeft beveiligd tegen:
+ Onbevoegde toegang en gebruik, en
+ Verlies van (persoons)gegevens als gevolg van calamiteiten/incidenten en schade aan apparatuur en/of infrastructuur (o.a. in de vorm van back-ups).
Beveiliging is conform de meest recente verklaring van toepasselijkheid ISO 27001 en de NEN7510 van Archive-IT en de daarbij behorende scope van de ISO 27001 en de NEN 7510. De actuele versie van de verklaring van toepasselijkheid en scope is opvraagbaar bij Archive-IT.
Verwerker treft o.a. de volgende technische beveiligingsmaatregelen:
a. Antivirus en malware detectie
b. Beveiligde ontwikkelomgeving
c. Data back-up
d. Log bestanden, controle van log informatie
e. Patch management – systemen
f. Toepassingen op openbare netwerken beveiligen
Verwerker treft o.a. de volgende organisatorische beveiligingsmaatregelen:
a. Beheer van rechten en bevoegdheden/toegang op basis van need to know
b. Bewijsmateriaal verzameling bij security incidenten
c. Business Continuity Plan
d. Bezoekersregistratie
e. Clear Screen en desk beleid
f. Continue bewustzijn programma
g. Disciplinair proces
h. Externe audit
i. Gedragscode
j. Functie/rol beschrijving informatiebeveiliging
k. Incidentmanagementproces
l. Toegangsbeleid
m. Toegangsmatrix beoordelen (toegang op basis van need to know)
n. Video-bewaking
Wat betreft AVG-wetgeving beschikt Archive-IT o.a. over: Artikel 24: Privacy beleid, Privacy handboek
Artikel 25: Privacy by Design en Privacy by Default Artikel 28: Verwerkersovereenkomst
Artikel 30: Register van de Verwerkingen
Artikel 32: Beveiligingsmaatregelen (zie hierboven) Artikel 35: Private Impact Analyses
Artikel 37: Functionaris Gegevensbescherming (DPO) Hoofdstuk 3: Rechten datasubjecten
ANNEX 3: Contactgegevens
Contactpersoon 1 Verwerkersverantwoordelijke
Naam | |
Functie | |
Telefoonnummer | |
E-mailadres |
Contactpersoon 2 Verwerkersverantwoordelijke
Naam | |
Functie | |
Telefoonnummer | |
E-mailadres |
Functionaris Gegevensbescherming (ingeschreven bij Autoriteit Persoonsgegevens) Verwerkersverantwoordelijke
Naam | |
Functie | |
Telefoonnummer | |
E-mailadres | |
Contactpersoon 1 Verwerker | |
Naam | Xxx Xxxxxxx |
Functie | Privacy Officer |
Telefoonnummer | 077 750 11 00 |
E-mailadres | |
Contactpersoon 2 Verwerker | |
Naam | Xxxxx Xxxxxxx |
Functie | Security Officer |
Telefoonnummer | 077 750 11 00 |
E-mailadres |
ANNEX 4: Sub-verwerkers
Onderstaande tabel bevat alle leveranciers (sub-verwerkers) die dossiers van Gegevensverantwoordelijke (kunnen) verwerken, een en ander is afhankelijk van de overeenkomst tussen Gegevensverantwoordelijke en Verwerker. Met al deze ondergenoemde sub-verwerkers heeft Archive-IT een verwerkersovereenkomst afgesloten.
Subverwerker | KvK/website | Service |
2dA | KvK: 54959373 | Digitaliseren + Digitaliseren (bouw)tekeningen groot formaat Transport dossiers + Het eventueel uithalen uit rekken, ophalen, transporteren en afleveren bij Archive-IT van dossiers Hosting data + Hosting dossiers en images van Archive-IT klanten |
Nijmegen | ||
Xxxxxxxxx | KvK: 12034677 | |
Tegelen | ||
Intermax | KvK: 24446212 | |
Rotterdam | ||
Remondis Argentia | KvK: 20036910 | Vertrouwelijk vernietigen van radiologie dossiers Vertrouwelijk vernietigen van papieren dossiers Verzending fysiek opgevraagde dossiers + Het ophalen bij Archive-IT en vervolgens afleveren bij de klant van fysieke - privacygevoelige- dossiers |
Moerdijk | ||
PreZero Nederland | KvK: 01061732 | |
Duiven | ||
PostNL TGN | KvK: 70082340 | |
Hoofddorp |