VerWerkers Overeenkomst (VWO)
VerWerkers Overeenkomst (VWO)
Partijen overwegen als volgt:
A) SQNetworks Cyber Security B.V, hierna te noemen “SQC”, levert diensten die zijn gericht
op het voorkomen van cyber criminaliteit in de breedste zin van het woord (hierna: “Diensten”);
B) partijen een overeenkomst hebben gesloten met betrekking tot de afname van de Diensten door klant (hierna: “Overeenkomst”);
C) in het kader van de uitvoering van de Overeenkomst verwerkt SQC als
verwerker ten behoeve van klant (hierna: “Klant”) Persoonsgegevens in de zin van de Algemene Verordening Gegevensbescherming (hierna: “AVG”);
D) klant moet in dat kader worden aangemerkt als een Verwerkingsverantwoordelijke in de zin van artikel 4 onder 7, AVG (zoals hierna gedefinieerd);
E) SQC moet worden aangemerkt als een Verwerker in de zin van artikel 4, onder 8, AVG (zoals hierna gedefinieerd);
F) de Verwerkingsverantwoordelijke is op grond van artikel 28 lid 3 AVG verplicht een VWO (zoals hierna gedefinieerd) aan te gaan met de Verwerker;
G) partijen in deze VWO afspraken wensen vast te leggen met betrekking tot de verwerking van Persoonsgegevens door SQC;
Partijen bevestigen als volgt:
1. Definities:
1.1. In deze VWO hebben de met een beginhoofdletter geschreven begrippen de volgende betekenis:
a) “Betrokkene”: degene op wie een Persoonsgegeven betrekking heeft, zoals bedoeld in artikel 4, onder 1, AVG;
b) “Verwerker”: degene die ten behoeve van de Verwerkingsverantwoordelijke Persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn xxxxxxxxxxx.Xx deze Overeenkomst moet SQNetworks Cyber Security worden aangemerkt als “Verwerker”;
c) “Verwerkersovereenkomst”: Deze verwerkersovereenkomst;
d) “Functionaris Gegevensverwerking (FG)”: de eventueel door Klant benoemde functionaris als bedoeld in artikel 37 AVG;
e) “Persoonsgegevens”: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon, zoals bedoeld in artikel 4, onder 1, AVG. De Persoonsgegevens zijn en blijven in eigendom van Klant;
f) “Subverwerker”: Een Sub-verwerker is een buiten de organisatie van SQNetworks Cyber Security om staande persoon of instelling die in opdracht van SQNetworks Cyber Security een deel van de Verwerking van Persoonsgegevens uitvoert;
g) “Verwerkersverantwoordelijke”: de natuurlijke persoon, rechtspersoon of ieder ander die of het bestuursorgaan dat, alleen of tezamen met anderen, het doel van en de middelen voor de Verwerking van Persoonsgegevens vaststelt. In deze VWO moet klant worden aangemerkt als “Verwerkingsverantwoordelijke”;
h) “Verwerking (van Persoonsgegevens)”: elke handeling of elk geheel van handelingen met betrekking tot Persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens, zoals bedoeld in artikel 4, onder 2, AVG.
2. Totstandkoming, duur en einde
2.1. Deze VWO treedt in werking op de datum dat Partijen de Overeenkomst (elektronisch) hebben ondertekend;
2.2. Deze VWO zal van kracht zijn gedurende de looptijd van de Overeenkomst,
dan wel voor de duur van de Verwerking door Xxxxxxxxx. De VWO, met uitzondering van artikel 3 en 7, eindigt van rechtswege indien de Overeenkomst tussen Partijen is geëindigd, dan wel beëindigd.
2.3. Partijen kunnen deze VWO niet zelfstandig, tussentijds beëindigen, omdat de VWO onverbrekelijk deel uit maakt van de Overeenkomst.
2.4. Deze VWO kan alleen worden gewijzigd of aangevuld indien uitdrukkelijk en schriftelijk tussen partijen overeengekomen.
3. Voorwerp van de VWO
3.1. Klant staat er voor in dat zij op grond van en in overeenstemming met de AVG, de huidige en toekomstige (nationale en Europese) regelgeving op het gebied van gegevensbescherming en privacy, de door haar verstrekte Persoonsgegevens mag verwerken en aan SQC mag verstrekken. Klant garandeert in het bijzonder dat de inhoud, het gebruik en de opdracht tot de
Verwerking van de Persoonsgegevens zoals bedoeld in deze VWO, niet onrechtmatig is en geen inbreuk maken op enig recht van derden. Klant vrijwaart SQC tegen alle aanspraken en claims die hiermee verband houden.
3.2. Klant staat er voor in dat zij uitsluitend die Persoonsgegevens verwerkt, en daarmee door
SQC laat Verwerken, welke het doel dienen van de Verwerking.
3.3. SQC verricht ten behoeve van Klant Diensten, zulks overeengekomen in de Overeenkomst.
3.4. Bij de uitoefening van de werkzaamheden, zoals overeengekomen in de Overeenkomst, Verwerkt SQC Persoonsgegevens ten behoeve van Klant, waarvoor laatstgenoemde Verwerkingsverantwoordelijke is.
3.5. SQC zal de Persoonsgegevens uitsluitend Verwerken in het kader van de werkzaamheden zoals overeengekomen in de Overeenkomst. SQC Verwerkt Persoonsgegevens slechts in opdracht van Klant en volgt alle redelijke instructies van Klant dienaangaande op, behoudens afwijkende wettelijke verplichtingen. SQC mag echter de Persoonsgegevens gebruiken voor o.a.: kwaliteitsdoeleinden, het doen van wetenschappelijk en/of statistisch onderzoek naar de kwaliteit van haar dienstverlening.
3.6. SQC zal de Persoonsgegevens op een behoorlijke en zorgvuldige wijze, in overeenstemming met de AVG en andere toepasselijke regelgeving betreffende de Verwerking van databescherming en privacy, verwerken.
3.7. SQC zal haar Diensten versleutelen. Op uitdrukkelijk schriftelijk verzoek van Klant zal SQC de Persoonsgegevens met betrekking tot deze VWO op een nader te bepalen wijze vernietigen of versleutelen. Klant staat er voor in dat haar verzoek tot vernietiging of versleuteling correct, volledig en voldoende specifiek is. SQC zal proberen aan het bedoelde uitdrukkelijke schriftelijke verzoek te voldoen. Indien zij echter niet aan het verzoek kan voldoen levert dat geen tekortkoming in de nakoming van deze VWO door SQC op. Partijen zullen dan in onderling overleg komen tot een redelijke oplossing.
3.8. SQC heeft geen zeggenschap over het doel en de middelen voor de Verwerking van Persoonsgegevens. Voor zover niet anders is bepaald in deze VWO, neemt SQC geen beslissingen over het gebruik van de Persoonsgegevens, de verstrekking aan derden en de duur van de opslag van de Persoonsgegevens. De zeggenschap over Persoonsgegevens verstrekt onder deze VWO komt nimmer bij SQC te berusten.
4. Rechten van betrokkenen
4.1. Partijen zullen elkaar informeren over feiten en omstandigheden waarvan zij redelijkerwijze kunnen verwachten dat deze invloed hebben op de verwerking van Persoonsgegevens door de andere Partij.
4.2. SQC verleent Klant medewerking om binnen de wettelijke termijnen te voldoen aan de verplichtingen op grond van de AVG, meer in het bijzonder de rechten van Betrokkenen, zoals, maar niet beperkt tot, een verzoek om inzage, verbetering, aanvulling, verwijdering of afscherming van Persoonsgegevens en het uitvoeren van een gehonoreerd aangetekend verzet.
4.3. Indien SQC (pogingen tot) onrechtmatige of anderszins ongeautoriseerde Verwerkingen of inbreuken op de beveiligingsmaatregelen van de Persoonsgegevens signaleert, zoals bedoeld in artikel 33 van de AVG, zal zij Klant hierover zo spoedig mogelijk inlichten en de redelijkerwijs benodigde maatregelen treffen om (verdere) schending van de AVG of andere regelgeving betreffende de Verwerking van de Persoonsgegevens, te voorkomen of te beperken.
4.4. Klant en SQC spannen zich in te zorgen dat de FG van Klant naar behoren en tijdig wordt betrokken bij aangelegenheden zoals bedoeld in dit artikel 4.
5. Technische en organisatorische maatregelen en procedures
5.1. In aanvulling op artikel 32 AVG zal SQC passende technische en
organisatorische (beveiliging)maatregelen en procedures implementeren. Deze maatregelen en procedures zullen met inachtneming van de stand der techniek en de kosten gemoeid met de implementatie en uitvoering van de maatregelen, een passend beschermingsniveau verzekeren, zulks met inachtneming van de risico’s die het verwerken van de Persoonsgegevens, en de aard daarvan, meebrengen. SQC staat er niet voor in dat de beveiliging onder alle omstandigheden doeltreffend is.
5.2. Partijen zullen elkaar op verzoek van de andere partij periodiek informeren in hoeverre de tussen partijen overeengekomen beveiligings- en continuïteitsplannen worden uitgevoerd en actueel zijn en overleggen met elkaar over eventuele, noodzakelijke bijstellingen.
5.3. SQC verwerkt geen Persoonsgegevens buiten een land van de Europese Unie, tenzij hij daarvoor uitdrukkelijk schriftelijke toestemming van Klant heeft verkregen.
5.4. De door of vanwege SQC aan Klant verstrekte toegangs- of identificatiecodes en certificaten zijn vertrouwelijk en zullen door Klant als zodanig worden behandeld en slechts aan geautoriseerde personeelsleden uit de eigen organisatie van Klant kenbaar worden gemaakt. SQC is gerechtigd toegewezen toegangs- of identificatiecodes en certificaten te wijzigen.
6. Geheimhouding
6.1. SQC is gehouden tot geheimhouding van alle Persoonsgegevens die zij in het kader van de Overeenkomst verwerkt, behoudens in zoverre die Persoonsgegevens
klaarblijkelijk geen geheim of vertrouwelijk karakter hebben, dan wel reeds algemeen bekend zijn.
6.2 Indien en voor zover Klant daarom uitdrukkelijk schriftelijk verzoekt, zal S Q C ten aanzien van de daarbij aangeduide Persoonsgegevens maatregelen treffen met het oog op de geheimhouding daarvan, welke maatregelen onder meer kunnen inhouden de vernietiging van de betrokken Persoonsgegevens zodra de noodzaak voor SQC om daarvan nog langer kennis te nemen, is komen te vervallen.
7. Medewerkers van SQC
7.1. SQC zal schriftelijk vastleggen welke medewerkers toegang hebben tot de door Klant aangeleverde gegevens en hiervoor genoemde schriftelijke vastlegging actualiseren indien er veranderingen zijn.
7.2. De Persoonsgegevens worden slechts verwerkt door geautoriseerde medewerkers van SQC.
7.3. SQC staat er voor in dat de geautoriseerde medewerkers van
SQC zich houden aan de voorschriften van de AVG, en de voorschriften die volgen uit deze VWO.
7.4. XXX zal in haar overeenkomst met haar medewerkers bedingen dat door die personen op overeenkomstige wijze als in artikel 7 bepaald geheimhouding zullen betrachten ten aanzien van alle Persoonsgegevens die zij in het kader van hun werkzaamheden voor Klant verwerken.
7.5. Na afloop van deze VWO blijft dit artikel en de hierin besproken geheimhouding gedurende een periode van 12(twaalf) maanden van kracht.
8. Verwerking van persoonsgegevens in de keten
8.1. Indien en voor zover noodzakelijk voor een juiste uitvoering van de VWO is het SQC toegestaan gebruik te maken van Sub-verwerkers, zonder voorafgaande schriftelijke toestemming van Klant.
8.2. SQC zorgt ervoor dat een Sub-verwerker zich richt naar de instructies van deze VWO, tot geheimhouding verplicht is en de nodige organisatorische en technische maatregelen en procedures ten opzichte van de Verwerking neemt.
Alle relevante verplichtingen uit deze VWO voor de bescherming en beveiliging van de Persoonsgegevens worden overgenomen in de overeenkomst met de Sub-verwerker. Garanties envrijwaringen die SQC in deze VWO doet, gelden daarmee dus onverkort voor haar Sub-verwerkers.
9. Audit
9.1. SQC is zich bewust van de zelfstandige controlebevoegdheden van toezichthouders, meer in het bijzonder, de Autoriteit Persoonsgegevens. Op verzoek van Xxxxx, zal SQC Klant ondersteunen bij het verstrekken van toegang door de toezichthouder voor een onderzoek met betrekking tot de op grond van deze VWO verwerkte Persoonsgegevens.
9.2. Klant kan de bewerkingen en de naleving van deze VWO, eens per kalenderjaar en in overeenstemming met de bepalingen van dit artikel 9 door een onafhankelijke derde, die aan geheimhouding is gebonden, laten controleren. XXX zal aan dit verzoek medewerking verlenen, voor zover redelijkerwijs van SQC kan worden verwacht.
9.3. De audit vindt uitsluitend plaatst nadat Klant de bij SQC aanwezige soortgelijke auditrapportages heeft opgevraagd, beoordeeld en redelijke argumenten aanbrengt die een door Klant geïnitieerde audit alsnog rechtvaardigen. Een dergelijke audit wordt gerechtvaardigd wanneer de bij SQC aanwezige soortgelijke auditrapportages geen of onvoldoende uitsluitsel geven over het naleven van deze VWO door SQC. De door Klant geïnitieerde audit vindt twee weken na voorafgaande aankondiging door Klant, eens per kalenderjaar plaats.
9.4. De kosten die SQC maakt voor de werkzaamheden als bedoeld in dit artikel 9, komen voor rekening van Klant.
9.5. Het uitvoeren van een controle zal niet tot een vertraging van de door S Q C in het kader van de Overeenkomst en deze VWO mogen leiden. Indien dat onverhoopt toch het geval is, zullen partijen in overleg treden teneinde daarvoor zo snel mogelijk een oplossing te vinden.
9.6. Over de uitkomsten van de controle zullen partijen in overleg treden. S Q C voert de door Klant aangegeven aanbevelingen uit, voor zover dat redelijkerwijs van SQC kan worden verwacht, binnen een samen overeen te komen termijn.
10. Verzekering
10.1. SQC heeft zich op een naar verkeersnormen passende en gebruikelijke
wijze verzekerd en houdt zich zodanig verzekerd voor de navolgende risico’s: