VERWERKERSOVEREENKOMST TORENVLIET YAMAHA CENTER AMSTERDAM B.V.
VERWERKERSOVEREENKOMST TORENVLIET YAMAHA CENTER AMSTERDAM B.V.
ONDERGETEKENDEN:
1. De partij waarmee Xxxxxxxxx een samenwerkingsverband/opdracht heeft voor de verkoop, onderhoud en reparatie van Yamaha producten waaronder: buitenboordmotoren, ATV’s, waverunnners, generatoren en boten, hierna te noemen: (“Verantwoordelijke”)
en
2. Torenvliet Yamaha Center Amsterdam B.V., statutair gevestigd te Xxxxxxxxxxxx 000, 0000 XX Xxxxxxxxx Xxxxxxxx en ingeschreven in het Handelsregister van de Kamer van Koophandel onder nummer 78391105 ("Verwerker").
Verantwoordelijke en Verwerker hierna gezamenlijk "Partijen".
IN AANMERKING NEMENDE DAT:
• Verwerker voor Verantwoordelijke diensten verleent, welke separaat zijn overeengekomen middels één of meerdere bestellingen/diensten en waarop de algemene voorwaarden van Verwerker van toepassing zijn (zoals hieronder gedefinieerd);
• Verantwoordelijke bepaalde vormen van verwerking van deze Persoonsgegevens wil laten verrichten door Verwerker (de "Opdracht");
• Verwerker bereid is tot verwerking van de Persoonsgegevens;
De Verantwoordelijke bepaalde vormen van verwerking wil laten verrichten door de Verwerker, waarbij de Verantwoordelijke doel en middelen aanwijst; Verantwoordelijke heeft ten behoeve van de diensten en de daarmee te verwerken persoonsgegevens geen privacy impact assessment gedaan;
• Verwerker de Persoonsgegevens onder verantwoordelijkheid van Verantwoordelijke zal verkrijgen; en
• Partijen, mede gelet op het bepaalde in de AVG (zoals hieronder gedefinieerd), hun rechten en verplichtingen in verband met de verwerking van de Persoonsgegevens door Xxxxxxxxx xxxxxx vast te leggen.
VERKLAREN TE ZIJN OVEREENGEKOMEN ALS VOLGT:
Artikel 1 - Definities
AVG De Algemene Verordening Gegevensbescherming, inclusief uitvoeringswet van deze verordening, of de Wet Bescherming Persoonsgegevens indien deze overeenkomst wordt aangegaan vóór 25 mei 2018.
Betrokkene Degene op wie een Persoonsgegeven betrekking heeft.
Bijlage De bijlage van deze overeenkomst met een overzicht van de Persoonsgegevens die Partijen verwachten te verwerken, de wijze van verwerking van die gegevens, de doeleinden en de middelen van de verwerking en de gebruiks- en bewaartermijnen van de Persoonsgegevens.
Datalek Elke situatie waarin door een beveiligingsincident Persoonsgegevens onbedoeld worden ingezien door een onbevoegde, kwijtraken, vernietigd worden, aangepast worden of onrechtmatig worden verwerkt.
Opdracht Alle dienstverlening van Verwerker aan Verantwoordelijke en iedere andere vorm van samenwerking, waarbij Verwerker
Persoonsgegevens verwerkt waarvoor Verantwoordelijke verantwoordelijk is in de zin van de AVG, ongeacht het rechtskarakter van de overeenkomst waaronder dat geschiedt.
DPIA Data Protection Impact Assessement (gegevensbeschermingseffectbeoordeling) zoals bedoeld in de AVG.
Persoonsgegeven Elk gegeven betreffende een geïdentificeerd of identificeerbare natuurlijke persoon, dat Xxxxxxxxx bij of in verband met het uitvoeren van de Opdracht verkrijgt.
Subverwerker Elke partij die door de Verwerker wordt ingeschakeld om, in opdracht van de Verwerker, de Persoonsgegevens te verwerken waarvoor de Verwerker bij deze overeenkomst door de Verantwoordelijke is gemachtigd.
Artikel 2 - De Betrokkenen
1. Ter uitvoering van de Opdracht verwerkt de Verwerker Persoonsgegevens van Betrokkenen. De Betrokkenen van wie Persoonsgegevens worden verwerkt, zijn:
a. Werknemers die in dienst zijn bij de Verantwoordelijke
b. Bezoekers van het kantoor of kantoren van de Verantwoordelijke
c. Bezoekers van de website van de Verantwoordelijke
d. Leveranciers of derden die goederen of diensten leveren aan de Verantwoordelijke
2. Gegevens van andere Betrokkenen worden niet door de Verwerker voor de Verantwoordelijke verwerkt.
Artikel 3 - Uitvoering verwerking
1. Verwerker verbindt zich om onder de voorwaarden van deze overeenkomst en in overeenstemming met de AVG en/of andere toepasselijke wet- en regelgeving de Opdracht uit te voeren voor Verantwoordelijke.
2. Verantwoordelijke heeft en houdt volledige zeggenschap over de Persoonsgegevens. Verwerker verwerkt de Persoonsgegevens op behoorlijke en zorgvuldige wijze.
3. Verwerker verwerkt de Persoonsgegevens uitsluitend voor de Opdracht conform de schriftelijke instructies van Verantwoordelijke, in overeenstemming met de door Verantwoordelijke in de bijlage bepaalde doeleinden en middelen en met inachtneming van de door de Verantwoordelijke in de bijlage vastgestelde bewaartermijnen.
4. Verwerker schakelt geen Subverwerker in zonder de voorafgaande schriftelijke toestemming van de Verantwoordelijke.
5. Verantwoordelijke geeft bij deze schriftelijk toestemming aan Verwerker om één of meer Subverwerkers in te schakelen bij de verwerking van Persoonsgegevens.
6. Verwerker legt jegens Subverwerkers dezelfde verplichtingen op als Verantwoordelijke in deze overeenkomst aan Verwerker heeft opgelegd.
7. Verwerker blijft jegens Verantwoordelijke verantwoordelijk voor de correcte nakoming van deze overeenkomst.
8. Verwerker informeert Verantwoordelijke op het moment dat Verwerker begint met het delen van Persoonsgegevens aan de Subverwerker.
Artikel 4 - Rechten van betrokkenen
1. Verwerker draagt er zorg voor dat Xxxxxxxxxx al zijn rechten voortvloeiende uit de AVG en/of andere toepasselijke wet- en regelgeving kan uitoefenen.
2. Verwerker zal verder op eerste verzoek van Verantwoordelijke zo spoedig mogelijk, maar uiterlijk binnen vijf werkdagen nadat daartoe een verzoek is gedaan, overgaan tot:
a. het verstrekken van de benodigde informatie;
b. het verbeteren, aanvullen, verwijderen of het afschermen van de Persoonsgegevens; en
c. Het overdragen van de gegevens aan de Verantwoordelijke of aan een door de Verantwoordelijke aangewezen partij.
Artikel 5 - Data Protection Impact Assessment
1. De Verwerker ondersteunt en verleent medewerking aan de Verantwoordelijke om te voldoen aan de uitvoering van een DPIA, indien de verantwoordelijke een DPIA moet uitvoeren.
2. De Verwerker ondersteunt en verleent medewerking aan de Verantwoordelijke met de implementatie van nieuwe (beveiligings-)maatregelen die genomen moeten worden naar aanleiding van een DPIA.
3. De Verwerker brengt bij de Verantwoordelijke slechts redelijke gemaakte kosten in rekening voor het voldoen aan deze verplichtingen. Deze redelijke kosten bedragen maximaal € 90,- per uur.
4. De Verwerker ondersteunt en verleent medewerking aan de Verantwoordelijke met de implementatie van nieuwe (beveiligings-)maatregelen die genomen moeten worden naar aanleiding van overige analyses en veranderingen, zoals veranderende (inzichten in de) wetgeving.
Artikel 6 - Beveiligingsmaatregelen
1. Verwerker neemt alle passende technische en organisatorische maatregelen om de Persoonsgegevens adequaat te beveiligen en beveiligd te houden tegen verlies of enige vorm van onzorgvuldig, ondeskundig of onrechtmatige gebruik of verwerking, waarbij rekening wordt gehouden met de stand van de techniek.
2. Verwerker heeft in ieder geval de volgende maatregelen genomen:
a. Encryptie (versleuteling) van digitale bestanden met Persoonsgegevens.
b. Beveiliging van netwerkverbindingen via Secure Socket Layer (SSL) technologie of via vergelijkbare technologie die minimaal eenzelfde beveiligingsniveau levert.
3. Verwerker staat ervoor in dat personen die handelen onder zijn gezag de Persoonsgegevens alleen op rechtmatige wijze en in overeenstemming met deze overeenkomst, de AVG en/of andere toepasselijke wet- en regelgeving zullen verwerken.
4. Indien Verwerker tekortschiet in het nemen van passende technische en organisatorische beveiligingsmaatregelen en vervolgens nalaat binnen een door Verantwoordelijke gestelde redelijke termijn passende maatregelen te treffen, is Verantwoordelijke gerechtigd, onverminderd zijn overige rechten voortvloeiende uit deze overeenkomst en/of uit de wet, deze maatregelen op kosten van Verwerker uit te voeren of te laten voeren.
5. Verwerker zal Verantwoordelijke onmiddellijk gedetailleerd op de hoogte stellen van ieder Datalek betreffende de Persoonsgegevens. Verwerker doet dit uiterlijk binnen 96 uur na ontdekking van het Datalek. De Verwerker brengt hier geen kosten voor in rekening.
6. Verwerker zal op verzoek van Verantwoordelijke informatie aan Verantwoordelijke geven over de genomen maatregelen om aan de verplichtingen op grond van de
AVG, en/of andere toepasselijke wet- en regelgeving, deze overeenkomst en de overige instructies van Verantwoordelijke te voldoen.
Artikel 7 - Registers
1. Verantwoordelijke zal een register bijhouden van alle Persoonsgegevens die hij verwerkt. In dit register legt hij in ieder geval zijn eigen naam en contactgegevens, de te verwerken categorieën van Persoonsgegevens, de verwerkingsdoeleinden en de categorieën van Betrokkenen vast.
2. Verwerker zal een register bijhouden van alle Persoonsgegevens die hij vanwege de Opdracht voor de Verantwoordelijke verwerkt. In dit register legt hij in ieder geval zijn naam, contactgegevens en de naam van de Verantwoordelijke waarvoor hij Persoonsgegevens verwerkt, de categorieën Persoonsgegevens die hij voor de Verantwoordelijke verwerkt en een beschrijving van de genomen beveiligingsmaatregelen, vast.
Artikel 8 - Doorgifte van persoonsgegevens
1. Verwerker verwerkt de Persoonsgegevens enkel in een land
a. dat een passend beschermingsniveau waarborgt;
b. waar de verwerking gepaard gaat met passende waarborgen; of
c. waar sprake is van een specifieke afwijkende situatie.
3. Verwerker gaat alleen over tot het doorgeven van Persoonsgegevens aan landen en organisaties die zich buiten de EU bevinden op het moment dat Verantwoordelijke daar toestemming voor geeft.
4. Verantwoordelijke geeft bij deze toestemming voor doorgifte van Persoonsgegevens aan (organisaties uit) de volgende landen: Verenigde Staten.
5. Verwerker geeft alleen Persoonsgegevens door aan d elanden genoemd in lid 2 op het moment dat voldaan is aan het vereiste van lid 1.
6. Verwerker meldt Verantwoordelijke binnen welk land of welke landen de Persoonsgegevens worden verwerkt. Dit doet Verwerker ook als de Persoonsgegevens door een Datalek of anderszins abusievelijk in een land terecht zijn gekomen.
Artikel 9 - Geheimhouding
1. Op alle Persoonsgegevens die Verwerker in het kader van deze overeenkomst ontvangt en/of verzamelt, rust een geheimhoudingsplicht jegens derden. Verwerker en alle personen in dienst van, dan wel werkzaam ten behoeve van Verwerker, zijn verplicht tot geheimhouding van de Persoonsgegevens.
2. Verwerker draagt er zorg voor dat alle mensen die voor Verwerker werkzaam zijn verplicht worden tot geheimhouding.
3. Deze geheimhoudingsplicht is niet van toepassing indien in deze overeenkomst anders is bepaald en/of voor zover een wettelijk voorschrift of vonnis tot enige bekendmaking verplicht.
4. Verwerker zal Verantwoordelijke onmiddellijk op de hoogte stellen van ieder verzoek tot kennisneming, verstrekking of andere vorm van opvragen en mededeling van de Persoonsgegevens in strijd met de in dit artikel opgenomen geheimhoudingsplicht. Xxxxxxxxx doet dit uiterlijk binnen 96 uur na ontdekking van de schending van de geheimhouding.
Artikel 10 - Duur en beëindiging
1. Partijen gaan deze overeenkomst aan voor onbepaalde tijd. Deze overeenkomst gaat in op 25 mei 2018.
2. Partijen kunnen deze overeenkomst per aangetekende brief tussentijds opzeggen met een opzegtermijn van 3 maanden.
3. Als deze overeenkomst eindigt of wordt ontbonden blijft het bepaalde in deze overeenkomst met betrekking tot geheimhouding, aansprakelijkheid, vrijwaring en alle overige bepalingen die naar hun aard bestemd zijn om ook na beëindiging of ontbinding van deze overeenkomst voort te duren, van kracht.
4. Partijen kunnen deze overeenkomst met onmiddellijke ingang opzeggen per aangetekende brief, in geval van:
a. aanvraag door of verlening van surseance van betaling aan de andere partij;
b. aanvraag van faillissement door of faillietverklaring van de andere partij; of
c. liquidatie van de andere partij of niet tijdelijke stopzetting van de onderneming van de andere partij.
Artikel 11 - Vernietiging
1. Verwerker stelt alle Persoonsgegevens op eerste verzoek van Verantwoordelijke, maar uiterlijk binnen tien werkdagen na het einde van deze overeenkomst of de Opdracht, ter beschikking aan Verantwoordelijke.
2. Verwerker is verplicht alle Persoonsgegevens op eerste verzoek van Verantwoordelijke volledig en onherroepelijk te verwijderen.
3. Zodra na het einde van deze overeenkomst vaststaat dat Verantwoordelijke alle Persoonsgegevens in een door Verantwoordelijke schriftelijk geaccepteerd formaat bezit, verwijdert Verwerker alle Persoonsgegevens volledig en onherroepelijk binnen veertien dagen.
4. Verwerker kan afwijken van het bepaalde in lid 1 en 2 van dit artikel, voor zover ten aanzien van Persoonsgegevens een wettelijke bewaartermijn zou gelden of voor zover dat noodzakelijk is om tegenover Verantwoordelijke nakoming van zijn verbintenissen te bewijzen.
Artikel 12 - Aansprakelijkheid
1. Partijen zijn ieder verantwoordelijk en aansprakelijk voor hun eigen handelen. In dit artikel geregelde aansprakelijkheid heeft uitsluitend betrekking op boetes en schade ten gevolge van verwijtbare tekortkoming in het naleven van de Verwerkersovereenkomst.
2. Ingeval Verwerker tekortschiet in de nakoming van één of meer van zijn verplichtingen uit deze overeenkomst, zal de Verantwoordelijke hem schriftelijk in gebreke stellen.
3. Indien Verwerker tekortschiet in de nakoming van een of meer van zijn verplichtingen uit deze overeenkomst, is Verantwoordelijke gerechtigd de op haar rustende verplichtingen voortvloeiende uit deze overeenkomst op te schorten, dan wel te beëindigen indien nakoming blijvend onmogelijk is.
4. Iedere aansprakelijkheid van Verwerker is in samenhang met de Hoofdovereenkomst beperkt conform de exoneraties uit de Hoofdovereenkomst, te allen tijde met een maximum van de laatste factuur van Xxxxxxxxx.
5. Verantwoordelijke garandeert dat de in Bijlage 1 genoemde verwerkingen van persoonsgegevens en de opdracht hiertoe rechtmatig zijn en geen inbreuk maken op recht van derden.
6. Iedere aansprakelijkheid van Verwerker vervalt indien Verantwoordelijke onvoldoende of onjuiste instructies heeft gegeven, dan wel tekort schiet in de nakoming van zijn verplichtingen onder de Wbp / AVG of andere toepasselijke wetgeving op het gebied van verwerking van persoonsgegevens.
Artikel 13 - Controle
1. Verantwoordelijke is gerechtigd de naleving van het bepaalde in deze overeenkomst ten hoogste eenmaal per jaar te controleren. Verantwoordelijke kan de controle na toestemming van Xxxxxxxxx daartoe zelf doen of kan het laten uitvoeren door een onafhankelijke registeraccountant, registerinformaticus of andere daartoe gecertificeerde auditor.
2. Verantwoordelijke draagt de kosten van controle met uitzondering van de kosten van het personeel van Verwerker dat de controle begeleidt. Indien uit de controle blijkt dat Verwerker materieel tekortschiet in de nakoming van deze overeenkomst, komen alle kosten voor rekening van Xxxxxxxxx, onverminderd de overige rechten van Verantwoordelijke. Indien Verwerker tekortschiet, maar de tekortkoming niet materieel is, zal Verwerker die tekortkoming op zo kort mogelijke termijn herstellen.
3. Verantwoordelijke zal de controle minimaal tien dagen voor aanvang schriftelijk aankondigen aan Verwerker, voorzien van een omschrijving op welke onderdelen de controle ziet en het controleproces.
4. Indien Verwerker zelf de naleving van deze overeenkomst laat controleren door een onafhankelijke daartoe gecertificeerde partij, verstrekt Verwerker daarvan de eindresultaten aan Verantwoordelijke.
Artikel 14 - Ongeldigheid
Indien een bepaling van deze overeenkomst nietig dan wel onverbindend mocht blijken te zijn, blijven Partijen gebonden aan de overige bepalingen van deze overeenkomst. Partijen zullen de nietige dan wel onverbindende bepaling(en) vervangen door een bepaling die wel verbindend is en waarvan de strekking zoveel mogelijk dezelfde is als die van de te vervangen bepaling(en), rekening houdend met het oogmerk van deze overeenkomst.
Artikel 15 - Overmacht en Overig
1. Ingeval van overmacht wordt de nakoming van de verplichtingen die voortvloeien uit of verband houden met de uitvoering van deze overeenkomst voor de betreffende Partij geheel of gedeeltelijk opgeschort voor de duur van zodanige overmacht, zonder dat Partijen wederzijds tot enige schadevergoeding dienaangaande zijn gehouden.
2. In geval van overmacht zal hiervan schriftelijk aan de wederpartij mededeling worden gedaan, onder overlegging van de nodige bewijsstukken.
3. Onder overmacht wordt verstaan hetgeen in de algemene voorwaarden van Verwerker hierover is bepaald.
4. Deze overeenkomst kan alleen schriftelijk worden gewijzigd door de Partijen.
5. Verwerker is niet gerechtigd de nakoming van zijn verplichtingen uit deze overeenkomst op te schorten, te verrekenen of afhankelijk te stellen van enige actie of verklaring van Verantwoordelijke. Verzuim van Verantwoordelijke bij de Opdracht of vernietiging van de overeenkomst op basis waarvan de Opdracht wordt uitgevoerd, kan op geen enkele manier leiden tot het niet nakomen van de verplichtingen van Verwerker onder deze overeenkomst.
6. Deze overeenkomst prevaleert boven alle overige overeenkomsten tussen Verantwoordelijke en Verwerker.
Artikel 16 - Toepasselijk recht en forumkeuze
1. Deze overeenkomst, en alle niet-contractuele rechten en verplichtingen daaruit voortvloeiende, worden in alle opzichten beheerst door het Nederlands recht.
2. Alle geschillen tussen Partijen welke mochten ontstaan naar aanleiding van deze overeenkomst, dan wel van overeenkomsten die daarvan het gevolg zijn, zullen in eerste instantie worden beslecht door de bevoegde rechter van Rechtbank Amsterdam.
Artikel 17 - BIJLAGEN
Bijlage 1: Aard van de gegevens
Soort betrokkenen | Categorie van de gegevens | Herkomst | Doeleinde(n) voor verwerking |
Contactgegevens klant en/of leverancier | - Naam - Adres - E-mailadres - Telefoonnummer | Klant en eventuele (toe)leveranciers | Het uitvoeren van de overeenkomst, waaronder het voltooien van transacties. Het controleren van iemands identiteit, bijvoorbeeld bij klachten of wijzigingen in dienstverlening. Het melden van wijzigingen in het beleid, documenten en onze diensten. Het registreren en afhandelen van klachten, aanvragen en verzoeken. Voldoen aan de wettelijke (fiscale) bewaarplicht en andere juridische en regelgevende verplichtingen. |
Bijlage 2: Juridische en praktische beveiligingseisen Bijlage 1: Aard van de gegevens
Bijlage 2: Juridische en praktische beveiligingseisen
1. Wettelijke vereisten
De Verwerker zal ten aanzien van de verwerking van persoonsgegevens de instructies van de Verantwoordelijke volgen ten aanzien van toepasselijke wet- en regelgeving en daaraan voldoen door op verzoek maatregelen te treffen.
2. Praktische veiligheidsmaatregelen
Op basis van een risicoanalyse dient door Verantwoordelijke vastgesteld te worden welke aanvullende maatregelen getroffen dienen te worden zodat voldaan wordt aan onder meer het beveiligingsbeleid van Verantwoordelijke. In principe dienen ook deze maatregelen te zijn geïmplementeerd voordat wordt begonnen met de informatie uitwisseling van persoonsgegevens.
1. Beleidsdocument voor informatiebeveiliging
Een beleidsdocument van de Verantwoordelijke is de basis voor het kwaliteitsmanagementsysteem.
1. Toewijzing en vastlegging van verantwoordelijkheden voor informatiebeveiliging Verwerker heeft een verantwoordelijke voor informatiebeveiliging aangesteld.
2. Classificeren van persoonsgegevens
Persoonsgegevens zijn vertrouwelijk en op basis van het soort persoonsgegeven stelt dit eisen aan de beveiliging. Verantwoordelijke zorgt ervoor dat de zaken die betrekking hebben op persoonsgegevens geclassificeerd zijn.
3. Personeel
Het creëren van bewustzijn en organiseren van kennis en trainingen inzake privacy en beveiliging is structureel ingebed in de organisatie van Verwerker. Het personeel dat met geclassificeerde gegevens in aanraking komt dient een geheimhoudingsverklaring te tekenen.
4. Toegangsbeveiliging
Toegangsbeveiliging bestaat uit de fysieke toegang en digitale toegang. Ruimtes waar persoonsgegevens worden verwerkt, dienen alleen toegankelijk te zijn voor bevoegd personeel. Toegang tot systemen waarin persoonsgegevens zijn opgeslagen is alleen mogelijk voor bevoegd personeel middels minimaal een gebruikersnaam en wachtwoord. De Verwerker heeft een overzicht van alle autorisaties en controleert deze periodiek.
5. Computer en netwerkbeheer
De Verwerker dient maatregelen te treffen om te voorkomen dat persoonsgegevens door onbevoegden worden benaderd en dat virussen, malware, etc. niet de integriteit van de persoonsgegevens aantasten.
6. Bewaartermijnen
De wettelijke bewaartermijnen voor persoonsgegevens worden nageleefd voor Verantwoordelijke.
7. Het rapporteren van beveiligingsincidenten
8. Onafhankelijk onderzoek
Verwerker dient mee te werken aan audits door of namens de Verantwoordelijke.
9. Specifieke maatregelen
Verwerker heeft de volgende maatregelen ingesteld:
· Wijzigingen in gegevens of in informatieverwerking worden uitsluitend uitgevoerd onder een procedure voor wijzigingsbeheer
· Controle van toegekende bevoegdheden
· Automatische logging van toegang tot gegevens door medewerkers
· Encryptie door versleuteling van persoonsgegevens tijdens verzending
· Periodiek maken van back-ups
· Up to date houden van virusscanners en software