Verwerkersovereenkomst
De ondergetekenden
1. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ,
gevestigd en kantoorhoudend te ,
rechtsgeldig vertegenwoordigd door ,
hierna te noemen: Verantwoordelijke
en
2. Movements Group B.V.,
gevestigd en kantoorhoudend te 0000 XX Xxxxxxxxx aan Xxxxxxxxxxxx 0, rechtsgeldig vertegenwoordigd door de heer X.X. xxx xx Xxxxxx, directeur, hierna te noemen: Verwerker
Gezamenlijk te noemen: Partijen
Overwegende dat:
● tussen Verantwoordelijke en Verwerker een overeenkomst is gesloten met betrekking tot het gebruik van de diensten van Verwerker door Verantwoordelijke, hierna: de ‘Overeenkomst’;
● Verwerker in het kader van de uitvoering van zijn verplichtingen voortvloeiende uit de Overeenkomst met Verantwoordelijke de beschikking krijgt over persoonsgegevens, zoals bedoeld in de Algemene Verordening Gegevensbescherming, hierna: ‘Persoonsgegevens’ en de ‘AVG’ en deze voor Verantwoordelijke zal verwerken, zoals bedoeld in artikel 4 AVG;
● op Verantwoordelijke ingevolge artikel 32 AVG de verplichting rust passende technische en organisatorische beveiligingsmaatregelen ten uitvoer te leggen tegen verlies of tegen enige vorm van onrechtmatige verwerking van de Persoonsgegevens;
● op Verantwoordelijke ingevolge artikel 28 AVG door inschakeling van Verwerker ter verwerking van de Persoonsgegevens ten behoeve van Verantwoordelijke, tevens de verplichting rust zorg te dragen dat Verwerker voldoende waarborgen biedt ten aanzien van technische en organisatorische beveiligingsmaatregelen ter bescherming van de Persoonsgegevens tegen verlies of tegen enige vorm van onrechtmatige verwerking;
● op Verantwoordelijke een verplichting rust tot het melden van inbreuken op de beveiliging zoals bedoeld in artikel artikel 33 AVG (hierna: Datalekken) aan de Autoriteit Persoonsgegevens (hierna: de AP) en aan de ‘betrokkene’ in de zin van de AVG (hierna: Xxxxxxxxxx);
● partijen conform artikel 28 lid 3 AVG, al hun afspraken omtrent de verwerking van Persoonsgegevens door Xxxxxxxxx en het melden van Datalekken wensen vast te leggen in deze overeenkomst, hierna: de ‘Verwerkersovereenkomst’.
Verklaren als volgt te zijn overeengekomen:
Artikel 1 - Definities
1.1 In deze Verwerkersovereenkomst wordt onder de volgende met een hoofdletter aangeduide begrippen het volgende verstaan:
a. Algemene Verordening Gegevensbescherming of AVG
Verordening (EU)2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG.
b. Betrokkene
Een geïdentificeerd of identificeerbare natuurlijke persoon (artikel 4 sub 1 AVG).
c. Derde
Een derde als bedoeld in artikel 4 sub 10 AVG).
d. Medewerker
De door Partijen voor de uitvoering van deze Verwerkersovereenkomst betrokken natuurlijke persoon die werkzaam is bij of voor een van de Partijen.
e. Overeenkomst
De in Bijlage 1 vermelde overeenkomst(en) betreffende levering van producten en diensten.
f. Partij
Verwerkingsverantwoordelijke of Verwerker.
g. Partijen
Verwerkingsverantwoordelijke en Verwerker
h. Persoonsgegeven
Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon in de zin van artikel 4 sub 1 AVG.
i. Subverwerker
Iedere niet-ondergeschikte derde partij die door Verwerker is betrokken bij de verwerking van Persoonsgegevens in het kader van de Overeenkomst, niet zijnde Medewerkers.
j. Verwerker
De verwerker als bedoeld in artikel 4 sub 8 AVG.
De onderhavige overeenkomst.
l. Verwerkingsverantwoordelijke
De verwerkingsverantwoordelijke als bedoeld in artikel 4 sub 7 AVG.
Artikel 2 - Algemeen
2.1 Verwerker verwerkt de Persoonsgegevens voor Verantwoordelijke overeenkomstig de met Verwerker overeengekomen instructies van Verantwoordelijke en onder de uitdrukkelijke verantwoordelijkheid van Verantwoordelijke.
2.2 Verantwoordelijke is met betrekking tot de Persoonsgegevens ‘verantwoordelijke’ en Verwerker ‘verwerker’ in de zin van de AVG.
2.3 Verantwoordelijke heeft de zeggenschap over de verwerking van de Persoonsgegevens en heeft het doel van en de middelen voor de verwerking van de Persoonsgegevens vastgesteld.
2.4 Verwerker heeft geen zeggenschap over het doel van en de middelen voor de verwerking van de Persoonsgegevens en neemt derhalve geen beslissingen over onder meer het gebruik van de Persoonsgegevens, de verstrekking aan derden en de duur van de opslag van de Persoonsgegevens. De zeggenschap over de Persoonsgegevens komt nimmer bij Verwerker te rusten.
2.5 Verwerker zal de verwerking van persoonsgegevens niet laten uitvoeren door een Derde partij (ook wel Subverwerker) zonder dit schriftelijk mee te delen aan de Verantwoordelijke, tenzij het de subverwerker Amazon Web Services (AWS) of een Subverwerker die verwerkingen al verrichte voor 25 mei 2018 betreft. In het geval van calamiteiten kan hiervan afgeweken worden.
2.6 De verplichtingen van de Verwerker die uit deze Verwerkersovereenkomst voortvloeien, gelden ook voor degenen die persoonsgegevens verwerken onder het gezag van Verwerker, waaronder begrepen maar niet beperkt tot werknemers, in de ruimste zin van het woord.
2.7 Partijen verplichten zich over en weer conform de AVG te handelen.
2.8 Xxxxxxx Xxxxxxxxx, met voorafgaande schriftelijke toestemming van Verantwoordelijke, de verwerking laat uitvoeren door een derde partij (ook wel Subverwerker) dan zal Verwerker dezelfde verantwoordelijkheden en maatregelen van die Derde vragen als waaraan Xxxxxxxxx is gebonden.
2.9 Verantwoordelijke staat er tegenover Verwerker voor in dat de inhoud, het gebruik en/of de verwerking van de Persoonsgegevens niet onrechtmatig zijn en geen inbreuk maken op enig recht van een derde.
Artikel 3 - Beveiliging
3.1 Partijen zijn ieder verantwoordelijk en aansprakelijk voor hun eigen handelen.
3.2 Verwerker treft technische en organisatorische beveiligingsmaatregelen om de Persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. De tussen partijen overeengekomen, door
Verwerker te treffen, technische en organisatorische beveiligingsmaatregelen zijn onder andere:
a. screening van medewerkers;
b. medewerkers zijn gehouden aan geheimhouding;
c. er wordt gebruik gemaakt van een database met geautoriseerde toegang.
3.3 De beveiligingsmaatregelen bieden, naar het oordeel van de Verantwoordelijke, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging van de beveiligingsmaatregelen een passend beveiligingsniveau, gelet op de risico’s die de verwerking en de aard van de Persoonsgegevens met zich meebrengen.
3.4 Verwerker zal zich ervoor inspannen dat de beveiligingsmaatregelen voldoen aan een niveau dat, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging van de beveiligingsmaatregelen, ten minste gebruikelijk is in de branche gezien de door Verwerker geboden dienstverlening.
3.5 Verwerker staat er niet voor in dat de genomen adequate beveiligingsmaatregelen onder alle denkbare omstandigheden doeltreffend zijn.
3.6 Verantwoordelijke heeft het recht en plicht toe te zien op de naleving van Verwerker van de in deze Verwerkersovereenkomst overeengekomen beveiligingsmaatregelen, conform artikel 3.2 van deze overeenkomst.
3.7 Indien Verwerker of Verantwoordelijke van oordeel is dat er een wijziging in de door Verwerker te treffen beveiligingsmaatregelen noodzakelijk is om een passend beveiligingsniveau te bieden, dan treden Verantwoordelijke en Verwerker in overleg over de door Verantwoordelijke gewenste wijziging in de beveiligingsmaatregelen. Verwerker heeft het recht de kosten die verband houden met de wijziging in de beveiligingsmaatregelen in rekening te brengen bij Verantwoordelijke. Pas nadat de gewijzigde beveiligingsmaatregelen schriftelijk zijn overeengekomen door Partijen, heeft Verwerker de verplichting deze beveiligingsmaatregelen daadwerkelijk te implementeren.
Artikel 4 - Doorgifte van persoonsgegevens
4.1 Verwerker mag de persoonsgegevens verwerken in landen binnen de Europese Unie. Doorgifte naar landen buiten de Europese Unie is verboden, tenzij in opdracht van klant.
4.2 Ingeval Verwerker, dan wel derde partij als bedoeld in artikelen 1.4 tot en met 1.6, in een andere lidstaat van de Europese Unie (dan Nederland) is gevestigd, dan zal de verwerking van persoonsgegevens voldoen aan het recht c.q. de beveiligings- verplichtingen van de desbetreffende lidstaat.
4.3 Verwerker biedt haar klanten de mogelijkheid om naar eigen keuze informatie op te slaan. Verwerker heeft geen wetenschap van de (categorieën van) persoonsgegevens die haar klanten bij het gebruik van de dienst verwerken. De klant draagt zelf de verantwoordelijkheid voor de rechtmatigheid van die verwerking, in het bijzonder indien zij ervoor kiest om gevoelige persoonsgegevens te verwerken.
Artikel 5 - Beveiligingsincidenten en datalekken
5.1 Verantwoordelijke heeft de verplichting als verantwoordelijke in de zin van de AVG tot het melden van Datalekken bij de AP, en in bepaalde gevallen, aan de Betrokkene op grond van artikel 34 AVG.
5.2 Om Verantwoordelijke te ondersteunen in het voldoen aan zijn verplichting tot het melden van Datalekken, komen Partijen hierbij overeen dat Xxxxxxxxx zich zal inspannen om Verantwoordelijke zonder onnodige vertraging te informeren over beveiligingsincidenten, nadat Verwerker voornoemde beveiligingsincidenten heeft ontdekt.
5.3 Beveiligingsincidenten, zoals omschreven in lid 2 van dit artikel, zullen door Xxxxxxxxx als volgt aan de daartoe aangewezen en in artikel 9.3 van dit document vermelde contactpersoon van Verantwoordelijke worden gemeld:
a. de aard van het incident;
b. de (mogelijke) getroffen persoonsgegevens;
c. de geconstateerde en de vermoedelijke gevolgen van het incident;
d. de maatregelen die getroffen zijn of zullen worden om het incident op te lossen dan wel de gevolgen/schade zoveel mogelijk te beperken.
5.4 Melding van Datalekken, zoals bedoeld in artikel 33 AVG, blijft te allen tijde de verantwoordelijkheid van Verantwoordelijke. Verwerker is nimmer verplicht tot het melden van Datalekken aan de AP en/of de Betrokkene.
5.5 Verwerker zal, waar mogelijk en nodig, zijn medewerking verlenen aan noodzakelijke informatievoorziening aan Verantwoordelijke in het kader van de door Verwerker gemelde beveiligingsincidenten aan Verantwoordelijke. Verwerker kan de extra kosten die hij in dit kader maakt in rekening brengen bij Verantwoordelijke. Hierover kunnen door Partijen nadere afspraken worden gemaakt.
Artikel 6 - Geheimhouding
6.1 Alle medewerkers van Verantwoordelijke en alle medewerkers van Verwerker, voor zover deze laatste toegang hebben tot de Persoonsgegevens, zijn verplicht tot geheimhouding van de Persoonsgegevens waarvan zij kennis nemen.
6.2 Het bepaalde in het eerste lid van dit artikel geldt niet indien en voor zover verstrekking van de desbetreffende Persoonsgegevens aan een derde noodzakelijk is ingevolge een rechterlijke uitspraak, een wettelijk voorschrift of op basis van een bevoegd gegeven bevel van een overheidsinstantie.
6.3 Alle door Verwerker aan Verantwoordelijke verstrekte toegangs- en/of identificatiecodes, certificaten, informatie omtrent toegangs- en/of wachtwoorden beleid en alle door Verwerker aan Verantwoordelijke verstrekte informatie die invulling geeft aan de in Artikel 3 lid 2. opgenomen technische en organisatorische beveiligingsmaatregelen zijn vertrouwelijk en zullen door Verantwoordelijke als zodanig worden behandeld en slechts aan geautoriseerde medewerkers van Verantwoordelijke kenbaar worden gemaakt. Verantwoordelijke ziet erop toe dat zijn medewerkers de verplichtingen uit dit artikel naleven.
6.4 Verantwoordelijke zal zijn systemen en infrastructuur te allen tijde voldoende en adequaat beveiligen.
Artikel 7 - Aansprakelijkheid
7.1 Verantwoordelijke vrijwaart Verwerker voor aanspraken van de AP en/of Betrokkenen van wie Persoonsgegevens door Verwerker worden verwerkt in het kader van de uitvoering van de Overeenkomst, tenzij die voortvloeien uit een toerekenbare tekortkoming door Verwerker in de nakoming van zijn verplichtingen onder deze Verwerkersovereenkomst en/of schending door Verwerker van de van toepassing zijnde wetgeving op het gebied van verwerking van Persoonsgegevens.
7.2 Verantwoordelijke vrijwaart Verwerker tegen elke rechtsvordering van een derde, uit welke hoofde dan ook, in verband met de verwerking van Persoonsgegevens en de uitvoering van de Overeenkomst, tenzij de gronden waarop de rechtsvordering plaatsvindt rechtstreeks voortvloeien uit een toerekenbare tekortkoming door Verwerker in de nakoming van zijn verplichtingen onder deze overeenkomst.
7.3 Een aan Verantwoordelijke door de AP opgelegde bestuurlijke boete kan niet worden verhaald op Verwerker, tenzij er sprake is van opzet of bewuste roekeloosheid aan de zijde van de bedrijfsleiding van Verwerker.
Artikel 8 - Looptijd en beëindiging
8.1 Deze Verwerkingsovereenkomst treedt in werking op de datum van laatste ondertekening van deze Verwerkersovereenkomst door Partijen en wordt gesloten voor onbepaalde tijd.
8.2 Deze Verwerkersovereenkomst eindigt van rechtswege bij beëindiging van de Overeenkomst.
8.3 Verwerker zal, in geval van einde van deze Verwerkersovereenkomst, alle onder zich zijnde en van Verantwoordelijke ontvangen Persoonsgegevens, retourneren aan Verantwoordelijke of, indien door Partijen overeengekomen, vernietigen. Verwerker kan de kosten die hij hiervoor maakt in rekening brengen bij Verantwoordelijke.
8.4 Het bepaalde in artikel 6.3 geldt niet indien een wettelijke regeling het geheel of gedeeltelijk retourneren of vernietigen van de Persoonsgegevens door
Verwerker belet. In een dergelijk geval zal Verwerker de Persoonsgegevens enkel blijven verwerken voor zover noodzakelijk uit hoofde van zijn wettelijke verplichtingen. Het bepaalde in artikel 6.3 geldt eveneens niet indien Verwerker ‘verantwoordelijke’ in de zin van de AVG is ten aanzien van de Persoonsgegevens.
Artikel 9 - Overig
9.1 Deze Verwerkersovereenkomst vormt een integraal onderdeel van de Overeenkomst. Alle rechten en verplichtingen uit de Overeenkomst, waaronder begrepen beperkingen van aansprakelijkheid, zijn derhalve ook van toepassing op deze Verwerkersovereenkomst.
9.2 Verwerker is gerechtigd één of meerdere derde partijen in te schakelen ter uitvoering van zijn verplichtingen voortvloeiende uit deze Verwerkersovereenkomst, rekening houdend met artikel 2.5 en 2.8 in deze overeenkomst.
9.3 Contactgegevens van contactpersoon van Verantwoordelijke inzake datalekken:
Naam: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
E-mailadres: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Aldus opgesteld en in tweevoud getekend te
Beuningen, ,
Movements Group BV . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Naam: H.E. van de Vijver Naam: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Functie: Directeur Functie: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .