VERWERKERSOVEREENKOMST

VERWERKERSOVEREENKOMST

De ondergetekenden:

1. Bedrijf

Organisatienaam op KvK:

Gevestigd te Postcode op KvK:

Plaats op KvK:

Adres op KvK:

Ingeschreven bij de Kamer van Koophandel onder KvK nummer: Hierin vertegenwoordigd door haar bestuurder/directeur,

de heer/mevrouw:

Naam op KvK:

Hierna te noemen: Opdrachtgever,

en

2. De besloten vennootschap V-Tel ICT B.V., statutair gevestigd te (7521 PR) Enschede aan het Xxxxxxxx 0, ingeschreven bij de Kamer van Koophandel te Enschede onder nummer 06083003, vertegenwoordigd door haar bestuurder de heer G.A.J. Olde Olthof, hierna te noemen: VCARE,

hierna ook gezamenlijk te noemen: Partijen en afzonderlijk te noemen: Partij

OVERWEGENDE DAT:

1. Opdrachtgever met VCARE op een overeenkomst met kenmerk:

met betrekking tot het leveren van telecommunicatiediensten heeft gesloten. Als onderdeel van deze dienstverlening worden door VCARE in opdracht van opdrachtgever gesprekken opgenomen en opgeslagen;

2. Het opnemen en opslaan van gesprekken die te herleiden zijn tot individuele, natuurlijke personen geldt als verwerking van persoonsgegevens in de zin van artikel 4 lid 2 van de Algemene Verordening Gegevensbescherming (AVG);

3. Voor deze verwerking van persoonsgegevens is opdrachtgever de

‘Verwerkingsverantwoordelijke’ in de zin van artikel 4 lid 7 AVG. VCARE is de ‘Verwerker’ als bedoeld in artikel 4 lid 8 AVG, omdat zij ten behoeve van opdrachtgever persoonsgegevens verwerkt, zonder aan diens rechtstreeks gezag te zijn onderworpen en opdrachtgever het doel en de middelen voor de verwerking van de persoonsgegevens vaststelt;

4. Partijen, mede gelet op het vereiste uit artikel 28 lid 3 AVG, met deze Overeenkomst de afspraken met betrekking tot de verwerking van persoonsgegevens wensen vast te leggen.

KOMEN OVEREEN:

Artikel 1. Begrippen

De hierna en hiervoor in deze Verwerkersovereenkomst vermelde begrippen, hebben de volgende betekenis:

1. Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (de betrokkene); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van één of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon (artikel 4 lid 1 AVG).

2. Verwerking: elke handeling of elk geheel van handelingen met betrekking tot Persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen, of vernietigen van gegevens (artikel 4 lid 2 AVG);

3. Verwerkersovereenkomst: deze Overeenkomst inclusief overwegingen en bijbehorende bijlagen;

4. Betrokkene: de persoon van wie de persoonsgegevens worden verwerkt;

5. Inbreuk in verband met persoonsgegevens: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens (artikel 4 lid 12 AVG).

Artikel 2. Doeleinden van verwerking

1. VCARE verbindt zich onder de voorwaarden van deze Verwerkersovereenkomst in opdracht van opdrachtgever persoonsgegevens te verwerken. Verwerking zal uitsluitend plaatsvinden in het kader van het opnemen van gesprekken en het opslaan van deze gespreksopnames van opdrachtgever, plus die doeleinden die daarmee redelijkerwijs samenhangen of die met nadere instemming worden bepaald.

2. VCARE zal de persoonsgegevens niet voor enig ander doel verwerken dan zoals door Opdrachtgever is vastgesteld. Opdrachtgever zal VCARE op de hoogte stellen van de verwerkingsdoeleinden voor zover deze niet reeds in deze Verwerkersovereenkomst zijn genoemd.

3. VCARE heeft uitdrukkelijk geen zeggenschap over het doel van en de middelen voor de verwerking van Persoonsgegevens die zij verwerkt bij de uitoefening van haar dienstverlening.

4. Partijen verplichten zich over en weer conform de wet- en regelgeving, waaronder mede begrepen doch niet beperkt tot de AVG, te handelen.

5. De in opdracht van opdrachtgever te verwerken persoonsgegevens blijven eigendom van

opdrachtgever en/of de betreffende betrokkenen.

6. VCARE bewaart de in opdracht van opdrachtgever te verwerken persoonsgegevens niet langer dan noodzakelijk is voor de dienstverlening.

7. Opdrachtgever staat ervoor in dat de verwerking van persoonsgegevens onder één van de vrijstellingen onder de AVG valt, en dat er aldus geen melding bij de Autoriteit Persoonsgegevens is vereist.

Artikel 3. Verplichtingen VCARE

1. Ten aanzien van de in artikel 1 genoemde verwerkingen zal VCARE zorg dragen voor de naleving van de toepasselijke wet- en regelgeving, waaronder in ieder geval begrepen de wet- en regelgeving op het gebied van de AVG.

2. VCARE zal opdrachtgever, op diens eerste verzoek daartoe, informeren over de door haar genomen maatregelen aangaande haar verplichtingen onder deze Verwerkersovereenkomst.

3. De verplichtingen van VCARE die uit deze Verwerkersovereenkomst voortvloeien, gelden ook voor degenen die persoonsgegevens verwerken onder het gezag van VCARE, waaronder begrepen maar niet beperkt tot werknemers, in de ruimste zin van het woord.

Artikel 4. Locatie van Persoonsgegevens

1. VCARE verwerkt de persoonsgegevens uitsluitend op een locatie binnen de EU.

Artikel 5. Verdeling van verantwoordelijkheid

1. De toegestane verwerkingen zullen door medewerkers van VCARE worden uitgevoerd binnen een geautomatiseerde omgeving.

2. VCARE is louter verantwoordelijk voor de verwerking van de persoonsgegevens onder deze Verwerkersovereenkomst, overeenkomstig de instructies van opdrachtgever en onder de uitdrukkelijke (eind)verantwoordelijkheid van opdrachtgever. Voor de overige verwerkingen van persoonsgegevens, waaronder in ieder geval begrepen maar niet beperkt tot de verzameling van de persoonsgegevens door de opdrachtgever, verwerkingen voor doeleinden die niet door opdrachtgever aan VCARE zijn gemeld, verwerkingen door derden en/of voor andere doeleinden, is VCARE uitdrukkelijk niet verantwoordelijk.

3. Opdrachtgever garandeert dat de inhoud, het gebruik en de opdracht tot de verwerkingen van de persoonsgegevens zoals bedoeld in deze Overeenkomst, niet onrechtmatig is en geen inbreuk maken op enig recht van derden.

Artikel 6. Beveiliging

1. VCARE zal zich inspannen voldoende technische en organisatorische maatregelen te nemen om een op het risico afgestemd beveiligingsniveau te waarborgen, zoals bedoeld in artikel 32 AVG.

2. VCARE neemt technische alsook organisatorische maatregelen om persoonsgegevens adequaat te beveiligen. Ook neemt VCARE maatregelen om deze persoonsgegevens te beveiligen tegen verlies of onrechtmatig gebruik of verwerking.

VCARE neemt minimaal de volgende maatregelen:

o Servers en netwerkapparatuur worden 24 uur per dag, 7 dagen per week bewaakt;

o Gebruikte verbindingen voor verwerking persoonsgegevens zijn private of beveiligde verbindingen (encryptie, HTTPS);

o Primaire apparatuur is ondergebracht in ISO 27001 gecertificeerde datacenters;

o Apparatuur is ondergebracht in eigen datacenter racks waartoe alleen VCARE

toegang heeft;

o Back-ups worden dagelijks gemaakt;

o Toegang tot gespreksopnames is alleen mogelijk middels een meerfactor- authenticatie;

o Toegang tot hardware en gegevens vindt plaats na autorisatie van Operationeel Manager en onder contractuele geheimhouding;

o Wachtwoorden, bestands- en gebruikersnamen worden beveiligd middels encryptie;

o Data wordt gescheiden opgeslagen;

o Toegang tot (persoons)gegevens alsook wijzigingen hierin worden geregistreerd;

Om het privacy- en beveiligingsbeleid goed uit te voeren neemt VCARE alle mogelijke maatregelen en zorgt ervoor dat dit beleid door alle medewerkers (vast en tijdelijk) wordt begrepen, onderschreven en uitgedragen. Elke medewerker wordt bij indiensttreding gevraagd om een Verklaring Omtrent het Gedrag (VOG). Daarnaast zijn in de arbeidscontracten afspraken vastgelegd ten aanzien van concurrentie- en geheimhoudingsbeding na beëindiging van de arbeidscontracten.

3. VCARE staat er niet voor in dat de beveiliging onder alle omstandigheden doeltreffend is. Indien een uitdrukkelijk omschreven beveiliging in de Verwerkersovereenkomst ontbreekt, zal VCARE zich inspannen dat de beveiliging zal voldoen aan een niveau dat, gelet op de stand van de techniek, de gevoeligheid van de persoonsgegevens en de aan het treffen van de beveiliging verbonden kosten, niet onredelijk is.

Artikel 7. Meldplicht

1. VCARE beoordeelt op basis van artikel 33 AVG of een onbevoegde toegang tot of onbedoelde vernietiging, wijziging of vrijkomen van persoonsgegevens een datalek is welke aanleiding geeft tot een melding aan de Autoriteit Persoonsgegevens.

2. Als er sprake is van een datalek zal VCARE Opdrachtgever hierover onmiddellijk, doch uiterlijk binnen 24 uur na de eerste ontdekking, informeren, inclusief de reeds door VCARE getroffen maatregelen met inachtneming van artikel 33 AVG.

3. De meldplicht behelst in ieder geval het melden van het feit dat er een lek is geweest, alsmede:

a. Wat de (vermeende) oorzaak is van het lek;

b. Wat is het (vooralsnog bekende en/of te verwachten) gevolg;

c. Wat is de (voorgestelde) oplossing.

4. Indien er sprake is van een datalek informeert opdrachtgever, binnen 72 uur nadat zij er kennis van heeft genomen, de Autoriteit Persoonsgegevens.

Artikel 8. Geheimhouding en vertrouwelijkheid

1. Op alle persoonsgegevens die VCARE van opdrachtgever ontvangt en/of zelf verzamelt in het kader van deze Verwerkersovereenkomst, rust een geheimhoudingsplicht jegens derden. VCARE zal deze informatie niet voor een ander doel gebruiken dan waarvoor zij deze heeft verkregen, zelfs niet wanneer deze in een zodanige vorm is gebracht zodat deze niet tot betrokkenen herleidbaar is.

2. Deze geheimhoudingsplicht is niet van toepassing voor zover opdrachtgever uitdrukkelijke toestemming heeft gegeven om de informatie aan derden te verschaffen, indien het verstrekken van de informatie aan derden logischerwijs noodzakelijk is gezien de aard van de verstrekte opdracht en de uitvoering van deze Verwerkersovereenkomst, of indien er een wettelijke verplichting bestaat om de informatie aan een derde te verstrekken.

Artikel 9. Controle

1. Opdrachtgever is gerechtigd om gedurende de uitvoering van de Verwerkersovereenkomst door een onafhankelijke deskundige te laten controleren of en in hoeverre VCARE de verplichtingen uit deze overeenkomst naleeft. VCARE verleent zijn volledige medewerking aan de controle.

2. Een controle wordt voorafgegaan door een schriftelijke melding aan VCARE.

3. De door opdrachtgever ingeschakelde onafhankelijke deskundige, is gehouden alle informatie betreffende deze controles vertrouwelijk te behandelen.

4. Ieder der partijen draagt haar eigen kosten voor de controle.

Artikel 10. Aansprakelijkheid

1. VCARE aanvaart de aansprakelijkheid die voor haar rol als verwerker voortvloeit uit de AVG.

2. Een door opdrachtgever in het kader van AVG betaalde schadevergoeding kan op VCARE worden verhaald voor dat deel dat overeenkomt met de aansprakelijkheid van VCARE voor de schade.

Artikel 11. Duur en beëindiging

1. Deze Verwerkersovereenkomst komt tot stand door ondertekening van Partijen en op de datum van de laatste ondertekening.

2. Deze Verwerkersovereenkomst gaat in op het moment van ondertekening en duurt voort zolang VCARE als Verwerker van persoonsgegevens optreedt in het kader van de door opdrachtgever ter beschikking gestelde persoonsgegevens.

3. Zodra de Verwerkersovereenkomst, om welke reden en op welke wijze dan ook, is beëindigd, zal VCARE alle persoonsgegevens die bij haar aanwezig zijn deze en eventuele kopieën daarvan aan opdrachtgever op een deugdelijke wijze ter beschikking stellen dan wel verwijderen en/of vernietigen.

4. Partijen mogen deze Overeenkomst alleen wijzigen met wederzijdse, schriftelijke instemming. Indien de wet- en regelgeving in de toekomst op zodanige wijze wijzigt dat de Verwerkersovereenkomst niet langer voldoet aan de wettelijke eisen, zullen Partijen de Verwerkersovereenkomst in onderling overleg aanpassen.

Artikel 12. Toepasselijk recht en geschillenbeslechting

1. De Verwerkersovereenkomst en de uitvoering daarvan worden beheerst door Nederlands recht.

2. Alle geschillen, welke tussen Partijen mochten ontstaan in verband met de Verwerkersovereenkomst, zullen worden voorgelegd aan de bevoegde rechter voor het arrondissement waarin VCARE gevestigd is.

Aldus overeengekomen en getekend:

V-Tel ICT B.V. Opdrachtgever

Tekenbevoegd: De heer G.A.J. Olde Olthof Tekenbevoegd: Functie: Directeur Functie:

Plaats: Enschede Plaats:

Datum: Datum: