VERWERKERSOVEREENKOMST CONFORM DE AVG PETIT .VERBINDT..

VERWERKERSOVEREENKOMST CONFORM DE AVG PETIT .VERBINDT..

Partijen:

1. Petit .verbindt.. B.V. gevestigd te Nuth aan de Stationstraat 59, ten deze rechtsgeldig vertegenwoordigd door X.Xxxxxx, financieel directeur, hierna te noemen: “Verwerker” en

2. ……… <naam relatie> gevestigd te …….. aan de , ten deze rechtsgeldig

vertegenwoordigd door …………., functie…., hierna te noemen: “Verwerkingsverantwoordelijke”.

In overweging nemende dat:

a. Met ingang van 25 mei 2018 de Algemene Verordening Gegevensbescherming (AVG) in werking treedt;

b. De Verwerker met de Verwerkingsverantwoordelijke een overeenkomst is aangegaan ten aanzien van (een) de volgende diensten:

• Levering en onderhouden van telefonieoplossingen c.q. bedrijfstelefoniecentrales.

• Levering en onderhouden van Cloud Telefonie Diensten.

• Levering van SIP-Trunk(s).

• Levering en onderhouden van algemeen internet en/of dataverbindingen.

• Levering en onderhouden van beveiligingsoplossing /camerabewakingsoplossingen.

• Levering en onderhouden van voertuigvolgsystemen.

• Levering en onderhouden van oplossing m.b.t. mobiele telefonie.

• Levering en onderhouden van aanverwante diensten/producten.

c. Gezien het vorenstaande dient Petit .verbindt.. als Verwerker en de relatie als Verwerkingsverantwoordelijke in de zin van de AVG te worden aangemerkt.

d. In het onderstaande leggen partijen schriftelijk vast de wijze waarop in overeenstemming met de AVG en andere toepasselijke wet- en regelgeving, Persoonsgegevens die nodig zijn voor de juiste uitvoering van de overeenkomst(en) tussen partijen, zullen worden verwerkt.

Komen overeen als volgt:

1. Definities

In het onderstaande worden een aantal begrippen, die in deze overeenkomst worden gebruikt, nader verduidelijkt. Dit gebeurt onder andere door verwijzing naar de wettelijke omschrijving van het begrip, maar ook waar mogelijk met niet-limitatieve voorbeelden.

1.1 AVG: de Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de Verwerking van Persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (Algemene verordening gegevensbescherming).

1.2 Betrokkene: de geïdentificeerde of identificeerbare natuurlijke persoon op wie de Persoonsgegevens betrekking hebben, zoals bedoeld in artikel 4 onder 1) AVG.

1.3 Bijlage: een bijlage bij deze Verwerkersovereenkomst, die een integraal onderdeel vormt van deze Verwerkersovereenkomst.

1.4 Derden: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan, niet zijnde de Betrokkene, noch de Verwerkingsverantwoordelijke, noch de Verwerker, noch de personen die onder rechtstreeks gezag van de Verwerkingsverantwoordelijke of de Verwerker gemachtigd zijn om Persoonsgegevens te verwerken, zoals bedoeld in artikel 4 onder 10) AVG.

1.5 Inbreuk in verband met Persoonsgegevens: een (vermoeden van een) inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte Persoonsgegevens, zoals bedoeld in artikel 4 onder 12) AVG.

1.6 Medewerker: de door Verwerker ingeschakelde werknemers en andere personen waarvan de werkzaamheden onder zijn verantwoordelijkheid vallen en die worden ingeschakeld door Verwerker ter uitvoering van de overeenkomst.

1.7 Meldplicht: de verplichting tot het melden van een “inbreuk in verband met

Persoonsgegevens” aan de toezichthoudende autoriteit en (in sommige gevallen) aan Betrokkene(n), op basis van de AVG.

1.8 Onderliggende overeenkomst: de overeenkomst zoals hierboven bedoeld in de overwegingen onder A.

1.9 Ontvanger: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan, al dan niet een Derde, aan wie/waaraan de Persoonsgegevens worden verstrekt, zoals bedoeld in artikel 4 onder 9) AVG.

1.10 Overeenkomst: de overeenkomst die tussen Verwerkingsverantwoordelijke en Verwerker is gesloten en op grond waarvan Verwerker Persoonsgegevens ten behoeve van de uitvoering van deze overeenkomst voor Verwerkingsverantwoordelijke verwerkt.

1.11 Persoonsgegevens: alle informatie over een Betrokkene; als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator zoals bedoeld in artikel 4 onder 1) AVG.

1.12 Schriftelijk: op schrift gesteld of langs de elektronische weg, zoals bedoeld in artikel 6:227a van het Burgerlijk Wetboek.

1.13 Sub-verwerker: een andere verwerker, die Verwerker inschakelt om voor rekening van de Verwerkingsverantwoordelijke specifieke verwerkingsactiviteiten te verrichten.

1.14 Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens: de toepasselijke wet- en regelgeving en/of (nadere) verdragen, verordeningen, richtlijnen, besluiten, beleidsregels, instructies en/of aanbevelingen van een bevoegde overheidsinstantie betreffende de Verwerking van Persoonsgegevens, tevens omvattende toekomstige wijziging hiervan en/of aanvulling hierop, inclusief lidstaatrechtelijke uitvoeringswetten van de AVG en de Telecommunicatiewet.

1.15 Toezichthoudende autoriteit: één of meer onafhankelijke overheidsinstanties die verantwoordelijk is of zijn voor het toezicht op de toepassing van de AVG, teneinde de grondrechten en fundamentele vrijheden van natuurlijke personen in verband met de Verwerking van hun Persoonsgegevens te beschermen en het vrije verkeer van Persoonsgegevens binnen de Unie te vergemakkelijken, zoals bedoeld in artikel 4 onder

21) en artikel 51 AVG. In Nederland is dit de Autoriteit Persoonsgegevens.

1.16 Verwerkersovereenkomst: de onderhavige overeenkomst inclusief Bijlagen, zoals bedoeld in artikel 28 lid 3 AVG.

1.17 Verwerking: een bewerking of een geheel van bewerkingen met betrekking tot Persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés.

2. Toepasselijkheid en looptijd

2.1 Deze Overeenkomst is van toepassing op iedere Verwerking die door Verwerker wordt gedaan op basis van de Onderliggende overeenkomst met Verwerkingsverantwoordelijke.

2.2 Deze Overeenkomst is onlosmakelijk verbonden met de Onderliggende overeenkomst en eindigt op hetzelfde moment als de Onderliggende overeenkomst. Het is voor Partijen niet mogelijk om deze Overeenkomst los van de Onderliggende overeenkomst tussentijds op te zeggen.

2.3 Artikel 6 van onderhavige Overeenkomst blijft gelden, ook nadat de Overeenkomst is beëindigd.

3. Verwerking

3.1 Verwerker en Sub-verwerker verwerken de Persoonsgegevens, uitsluitend op de manier die nodig is om op juiste wijze invulling te kunnen geven aan de met Verwerkingsverantwoordelijke overeengekomen Onderliggende overeenkomst. Verdere of andere verwerking is verboden, tenzij Verwerker op grond van de wet- of regelgeving verplicht is om anders te handelen.

3.2 De Verwerking geschiedt onder de verantwoordelijkheid van de Verwerkingsverantwoordelijke. Verwerker heeft geen zeggenschap over het doel en de middelen van de Verwerking en neemt geen beslissingen over zaken als het gebruik van Persoonsgegevens, de bewaartermijn van de verwerkte Persoonsgegevens en het verstrekken van Persoonsgegevens aan Derden. Verwerkingsverantwoordelijke moet er voor zorgen dat zij het doel en de middelen van de Verwerking van de Persoonsgegevens duidelijk heeft vastgesteld.

3.3 De Verwerkingsverantwoordelijke is wettelijk verplicht er voor te zorgen dat de AVG en andere wet- en regelgeving op het gebied van privacy wordt nageleefd. In het bijzonder dient Verwerkingsverantwoordelijke vast te stellen of er sprake is van een rechtmatige grondslag voor het Verwerken van de Persoonsgegevens als bedoeld in artikel 6 van de AVG. Verwerker zorgt ervoor dat zij voldoet aan de op Verwerker van toepassing zijnde regelgeving op het gebied van de Verwerking van Persoonsgegevens en de afspraken die Partijen hebben gemaakt in deze Overeenkomst.

3.4 Verwerker zorgt ervoor dat enkel haar Medewerkers voor wie het verwerken van de Persoonsgegevens voor een juiste uitvoering van de Onderliggende overeenkomst noodzakelijk is, toegang hebben tot de Persoonsgegevens, met uitzondering van hetgeen in artikel 3.5 is bepaald. Deze Medewerkers zijn op juiste en volledige wijze geïnstrueerd over de omgang met Persoonsgegevens en zijn bekend met de verantwoordelijkheden en verplichtingen van de AVG.

3.5 Verwerker is gerechtigd om voor een juiste uitvoering van de Onderliggende overeenkomst Derden (sub-Verwerkers) in te schakelen, bijvoorbeeld als deze Derden over specialistische kennis of middelen beschikken waarover Xxxxxxxxx zelf niet beschikt. Deze Derden zullen op gelijke wijze worden geïnstrueerd als de Medewerkers en zoals omschreven hiervoor onder 3.4. Met ondertekening van deze overeenkomst geeft Verwerkingsverantwoordelijke toestemming voor het inschakelen van de Derden die genoemd zijn in de Bijlage. Voor het inschakelen van overige Derden zal eerst toestemming aan de Verwerkingsverantwoordelijke worden gevraagd. Het weigeren van het inschakelen van Derden kan er in bepaalde gevallen echter wel toe leiden dat de Onderliggende overeenkomst wordt beëindigd.

3.6 Verwerkingsverantwoordelijke kan in het kader van de Onderliggende overeenkomst Verwerker verzoeken om Persoonsgegevens te zoeken, te wijzigen of te verbeteren. Teneinde de Onderliggende overeenkomst zo efficiënt en snel mogelijk op een juiste wijze te kunnen uitvoeren, zal Xxxxxxxxx ook rechtstreeks van Betrokkene(n) ontvangen schriftelijke verzoeken om inzage, wijziging of verbetering van Persoonsgegevens verwerken.

3.7 Verwerker zal de Persoonsgegevens enkel Verwerken binnen de Europese Economische Ruimte (EER), tenzij anders schriftelijk is overeengekomen.

3.8 Verwerker zal te allen tijde een aan haar door Derden gericht verzoek om Persoonsgegevens ter beschikking te stellen door leiden naar de Verwerkingsverantwoordelijke. Eerst na toestemming van de Verwerkingsverantwoordelijke zal Verwerker aan een dergelijk verzoek gevolg geven, tenzij Verwerker op welke wijze dan ook verplicht is gegevens te verstrekken zonder toestemming van de Verwerkingsverantwoordelijke. In het geval dat de gegevens verstrekt mogen worden zullen Partijen in overleg treden over de wijze waarop en welke gegevens Partijen ter beschikking zullen stellen.

4. Beveiligingsmaatregelen

4.1 Verwerker en Sub-verwerker hebben beveiligingsmaatregelen genomen. Dit is echter geen garantie voor het onder alle omstandigheden doeltreffend zijn. Bij het nemen van de beveiligingsmaatregelen is rekening gehouden met de stand van de techniek en met de kosten van de beveiligingsmaatregelen.

4.2 Verwerkingsverantwoordelijke is op de hoogte van de getroffen beveiligingsmaatregelen en verklaart dat deze maatregelen een beveiligingsniveau hebben dat past bij de aard van de Persoonsgegevens en de risico’s van de verwerking.

4.3 Verwerker informeert Verwerkingsverantwoordelijke zodra een van de beveiligingsmaatregelen substantieel wijzigt.

4.4 Indien Verwerkingsverantwoordelijke de wijze waarop Verwerker de beveiligingsmaatregelen naleeft wil laten inspecteren, dan kan zij hiertoe een verzoek doen. Partijen zullen hier alsdan passende afspraken voor maken waarbij in ieder geval wordt overeengekomen dat de kosten van een inspectie voor rekening

van de Verwerkingsverantwoordelijke komen en Verwerkingsverantwoordelijke een afschrift van het inspectierapport overlegt aan Verwerker.

5. Inbreuk op de bescherming van Persoonsgegevens en andere beveiligingsincidenten

5.1 In geval van een Inbreuk op de bescherming van Persoonsgegevens, stelt Verwerker of Subverwerker de Verwerkingsverantwoordelijke hiervan op de hoogte. Verwerker streeft er naar om dit binnen 24 uur nadat zij op de hoogte is gekomen van de Inbreuk, te doen. Er zal worden gehandeld conform het protocol als omschreven in Bijlage A. Verwerker zal Verwerkingsverantwoordelijke daarbij voorzien van de informatie die nodig is om, indien aan de orde, een juiste en volledige melding te doen aan de Toezichthoudende Autoriteit en de Betrokkene(n) in het kader van de Meldplicht. Tevens zal Verwerker Verwerkingsverantwoordelijke informeren over de maatregelen die naar aanleiding van de genoemde Inbreuk zijn genomen.

5.2 De melding van de Inbreuk aan de bevoegde Toezichthoudende Autoriteit en (eventueel) Betrokkene(n) is te allen tijde de verantwoordelijkheid van de Verwerkingsverantwoordelijke.

6. Aansprakelijkheid

6.1 Verwerkingsverantwoordelijke staat er voor in dat de Verwerking van Persoonsgegevens op basis van de Onderliggende overeenkomst niet onrechtmatig is en geen inbreuk maakt op de rechten van Betrokkene(n).

6.2 Verwerker is niet aansprakelijk voor schade die het gevolg is van het niet naleven van de AVG, of andere wet- of regelgeving, door de Verwerkingsverantwoordelijke. Verder vrijwaart Verwerkingsverantwoordelijke Verwerker ook voor vergelijkbare aanspraken van Xxxxxx. De vrijwaring geldt niet alleen voor de schade die Derden hebben geleden (materieel maar ook immaterieel), maar ook voor de kosten die Verwerker moet maken ter verwerping van deze aanspraken en/of eventuele boetes die aan Verwerker worden opgelegd.

6.3 De in de Onderliggende overeenkomst en in de daarbij behorende algemene voorwaarden overeengekomen beperking van de aansprakelijkheid van Verwerker is in deze onverkort van kracht.

7. Beëindiging en teruggave/vernietiging Persoonsgegevens

7.1 Als de Onderliggende overeenkomst eindigt, zal Verwerker de aan haar verstrekte Persoonsgegevens aan Verwerkingsverantwoordelijke terug overdragen of op verzoek verwijderen. Verwerker zal een kopie van de Persoonsgegevens bewaren als zij hiertoe op grond van wet- of (beroeps)regelgeving verplicht is.

7.2 De kosten van het verzamelen en overdragen van Persoonsgegevens bij het eindigen van de Onderliggende overeenkomst komen voor rekening van de Verwerkingsverantwoordelijke. Datzelfde geldt voor de kosten van de vernietiging van de Persoonsgegevens.

8. Slotbepalingen

8.1 Op deze Overeenkomst is Nederlands recht van toepassing, de Nederlandse rechter is bevoegd kennis te nemen van alle geschillen die voortvloeien uit of samenhangen met deze Overeenkomst.

8.2 Deze Overeenkomst is onlosmakelijk verbonden met alle andere tussen Partijen gesloten overeenkomsten ter juiste uitvoering waarvan Persoonsgegevens dienen te worden verwerkt.

8.3 Mededelingen in het kader van deze Overeenkomst zullen door Partijen worden gedaan aan onderstaande de contactpersonen. Als de gegevens behorend bij de bovengenoemde Medewerkers veranderen, of als zij worden vervangen door andere Medewerkers, dan lichten Partijen elkaar daarover in.

Aldus overeengekomen te, Nuth op (datum)

Plaats relatie (datum)

Handtekening Verwerker

Handtekening Verwerkingsverantwoordelijke

Bijlage A: Protocol melding “Inbreuk in verband met Persoonsgegevens”.

Bij het melden van, of het vermoeden ervan, een “Inbreuk in verband met Persoonsgegevens” dient onderstaand protocol gevolgd te worden en de gevraagde informatie verstrekt.

Melder:

Naam:

Functie:

Email adres:

Telefoonnummer:

Mobiel telefoonnummer:

Samenvatting incident:

Wanneer vond het incident plaats?

Datum:

Tijd:

Periode:

Wat is de aard van het incident?

Lezen (vertrouwelijk):

Kopiëren Veranderen (integriteit):

Verwijderen/vernietigen:

Diefstal Onbekend:

Mogelijke consequenties van de inbreuk voor de betrokken personen waar de Persoonsgegevens betrokken zijn bij het incident.

Van hoeveel personen zijn Persoonsgegevens betrokken bij het incident?: Minimaal:

Maximaal:

Wat is de oorzaak van het incident “Inbreuk in verband met Persoonsgegevens”?:

Vervolgacties naar aanleiding van het incident “Inbreuk in verband met Persoonsgegevens”: