VERWERKERSOVEREENKOMST
FOTO KOCH | schoolfotografie
VERWERKERSOVEREENKOMST
1. Algemeen
In deze verwerkersovereenkomst wordt verstaan onder:
1.1 Algemene voorwaarden: de Algemene voorwaarden van Verwerker, die onverkort van toepassing zijn op iedere afspraak tussen Verwerker en Verwerkingsverantwoordelijke en van welke Algemene voorwaarden deze verwerkersovereenkomst onlosmakelijk deel uitmaken.
1.2 Verwerker: Foto Koch Nederland B.V., statutair gevestigd te (3755 LC) EEMNES aan het adres Xxxxxx 00-0, ingeschreven in het Handelsregister onder nummer 31017883.
1.3 Gegevens: de persoonsgegevens zoals omschreven in Bijlage 1.
1.4 Opdrachtgever: de natuurlijke persoon of rechtspersoon die aan Verwerker opdracht heeft gegeven tot het verrichten van Werkzaamheden, eveneens Verwerkingsverantwoordelijke.
1.5 Overeenkomst: elke afspraak tussen Opdrachtgever en Verwerker tot het verrichten van Werkzaamheden door Verwerker ten behoeve van de Opdrachtgever, conform het bepaalde in de opdrachtbevestiging.
1.6 Verwerkingsverantwoordelijke: de Opdrachtgever die als natuurlijk persoon of rechtspersoon aan de Verwerker opdracht heeft gegeven tot het verrichten van Werkzaamheden.
1.7 Werkzaamheden: alle werkzaamheden waartoe opdracht is gegeven, of die door Verwerker uit anderen hoofde worden verricht. Het voorgaande geldt in de ruimste zin van het woord en omvat in ieder geval de werkzaamheden zoals vermeld in de opdrachtbevestiging.
2. Toepasselijkheid verwerkersovereenkomst
2.1 Deze verwerkersovereenkomst is van toepassing op alle gegevens die in het kader van de uitvoering van de Overeenkomst met Opdrachtgever door Verwerker worden verzameld voor Opdrachtgever, alsmede op alle uit de Overeenkomst voor Verwerker voortvloeiende Werkzaamheden en de in dat kader te verzamelen gegevens.
2.2 Verwerkingsverantwoordelijke is verantwoordelijk voor de verwerking van de Gegevens betreffende bepaalde categorieën van betrokkenen, zoals omschreven in Bijlage 1.
2.3 Bij de uitvoering van de Overeenkomst verwerkt Verwerker bepaalde persoonsgegevens voor Verwerkingsverantwoordelijke.
2.4 Dit is een verwerkersovereenkomst in de zin van artikel 28 lid 3 Algemene Verordening Gegevensbescherming (AVG), waarin de rechten en verplichtingen ten aanzien van de verwerking van de persoonsgegevens schriftelijk is geregeld, waaronder ten aanzien van de beveiliging. Deze verwerkersovereenkomst is ten opzichte van Verwerkingsverantwoordelijke bindend voor Verwerker.
2.5 Deze verwerkersovereenkomst maakt, net als de Algemene voorwaarden van Verwerker, onderdeel uit van de Overeenkomst en alle toekomstige overeenkomsten tussen partijen.
3. Reikwijdte verwerkersovereenkomst
3.1 Met het geven van de opdracht tot het verrichten van Werkzaamheden heeft Verwerkingsverantwoordelijke aan Verwerker de opdracht gegeven om de Gegevens te verwerken namens de Verwerkingsverantwoordelijke op de wijze zoals omschreven in Bijlage 1 in overeenstemming met de bepalingen van deze verwerkersovereenkomst.
3.2 Verwerker verwerkt de Gegevens uitsluitend in overeenstemming met deze verwerkersovereenkomst, met name met hetgeen is opgenomen in Bijlage 1. Verwerker bevestigt de Gegevens niet voor andere doeleinden te verwerken.
3.3 De zeggenschap over de Gegevens komt nooit bij Verwerker te rusten.
3.4 De Verwerkingsverantwoordelijke kan additionele, schriftelijke instructies aan Verwerker geven vanwege aanpassingen of wijzigingen in de van toepassing zijnde regelgeving op het gebied van bescherming van persoonsgegevens.
3.5 Verwerker verwerkt de Gegevens enkel in de Europese Economische Ruimte.
4. Geheimhouding
4.1 Verwerker en de personen die in dienst zijn van Verwerker danwel werkzaamheden voor hem verrichten, voor zover deze personen toegang hebben tot persoonsgegevens, verwerken de Gegevens slechts in opdracht van Verwerkingsverantwoordelijke, behoudens afwijkende wettelijke verplichtingen.
4.2 Verwerker en de personen die in dienst zijn van Verwerker danwel werkzaamheden voor hem verrichten, voor zover deze personen toegang hebben tot persoonsgegevens, zijn verplicht tot geheimhouding van de persoonsgegevens waarvan zij kennis nemen, behoudens voor zover enig wettelijk voorschrift hen tot mededeling verplicht of uit een taak de noodzaak tot mededeling voortvloeit.
5. Geen verdere verstrekking
5.1 Verwerker zal de gegevens niet delen met of verstrekken aan derden, tenzij Verwerker daartoe voorafgaande, schriftelijke toestemming of opdracht heeft verkregen van Verwerkingsverantwoordelijke of op grond van dwingendrechtelijke regelgeving daartoe verplicht is. Indien Verwerker op grond van dwingendrechtelijke regelgeving verplicht is om de Gegevens te delen met of te verstrekken aan derden, dan zal Verwerker de Verwerkingsverantwoordelijke hierover schriftelijk informeren, tenzij dit niet is toegestaan.
6. Beveiligingsmaatregelen
6.1 Rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van personen, treft Verwerker passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen. De beveiligingsmaatregelen die thans zijn genomen, zijn in Bijlage 2 bepaald.
6.2 Verwerker zorgt voor maatregelen die er mede op gericht zijn onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen.
6.3 De Gegevens worden uitsluitend opgeslagen en verwerkt binnen de Europese Economische Ruimte.
7. Toezicht op naleving
7.1 Verwerker zal Verwerkingsverantwoordelijke op diens verzoek en voor diens rekening inlichtingen verschaffen over de Verwerking van de Gegevens door Verwerker of Sub-verwerkers. Verwerker zal de gevraagde inlichtingen zo snel mogelijk verstrekken, doch uiterlijk binnen vijftien werkdagen.
7.2 Verwerkingsverantwoordelijke heeft eenmaal per jaar en voor eigen rekening het recht om een door Verwerkingsverantwoordelijke en Verwerker gezamenlijk aan te wijzen onafhankelijke derde een inspectie te laten uitvoeren om te verifi‘ren of Verwerker de verplichtingen onder de AVG en deze verwerkersovereenkomst nakomt. Verwerker zal daaraan alle redelijkerwijs noodzakelijke medewerking verlenen. Verwerker heeft het recht om haar kosten die gepaard gaan met de inspectie in rekening te brengen bij Verwerkingsverantwoordelijke.
7.3 Verwerker zal in het kader van haar verplichting onder lid 1 van dit artikel aan Verwerkingsverantwoordelijke dan wel een daartoe door Verwerkingsverantwoordelijke ingeschakelde derde in ieder geval:
7.3.1 alle relevante inlichtingen en documenten verstrekken;
7.3.2 toegang verlenen tot alle relevante gebouwen, informatiesystemen en Gegevens.
7.4 Verwerkingsverantwoordelijke en Verwerker zullen zo spoedig mogelijk na het gereedkomen van het rapport met elkaar in overleg treden om de eventuele risicoÕs en tekortkomingen te adresseren. Verwerker zal op kosten van Verwerkingsverantwoordelijke maatregelen nemen om de geconstateerde risicoÕs en tekortkomingen op een voor Verwerkingsverantwoordelijke acceptabel niveau te brengen respectievelijk op te heffen, tenzij partijen schriftelijk anders overeen zijn gekomen.
8. Datalek
8.1 Zo spoedig mogelijk nadat Xxxxxxxxx kennis neemt van een incident of datalek dat (mede) betrekking heeft of kan hebben op de Gegevens, stelt Verwerker Verwerkingsverantwoordelijke hiervan op de hoogte via de bij Verwerker bekende contactgegevens van Verwerkingsverantwoordelijke en zal Verwerker informatie verstrekken over: de aard van het incident of de datalek, de getroffen Gegevens, de vastgestelde en verwachte gevolgen van het incident of datalek op de Gegevens en de maatregelen die Verwerker heeft getroffen en zal treffen.
8.2 Verwerker zal Verwerkingsverantwoordelijke ondersteunen bij meldingen aan betrokkenen en/of autoriteiten.
9. Sub-verwerkers
9.1 Verwerkingsverantwoordelijke geeft hierbij algemene toestemming om andere verwerkers in te schakelen voor de verwerking van Persoonsgegevens ten aanzien van de overeengekomen werkzaamheden. Verwerker zal op haar website de door haar ingeschakelde subverwerker(s) publiceren. Ten minste 14 dagen voordat een nieuwe subverwerker toestemming krijgt om persoonsgegevens te verwerken, zal Verwerker de lijst op haar website actualiseren. Verwerker zal een mechanisme ter beschikking stellen om Verwerkingsverantwoordelijke op de hoogte te stellen van de wijziging.
9.2 Verwerker draagt er zorg voor dat de subverwerker is onderworpen aan deze verwerkersovereenkomst dan wel aan een subverwerkersovereenkomst die dezelfde plichten bevat als deze Verwerkersovereenkomst.
9.3 Verwerkingsverantwoordelijke kan zonder kosten bezwaar maken tegen de door Verwerker ingeschakelde subverwerker(s), door haar binnen een termijn van 7 dagen na ontvangst van de kennisgeving schriftelijk op de hoogte te stellen van het bezwaar. Verwerker zal zich redelijkerwijs inspannen om haar dienstverlening dusdanig aan te passen om verwerking van Persoonsgegevens door een dergelijke nieuwe subverwerker waartegen de Verwerkingsverantwoordelijke bezwaar maakt, te vermijden.
9.4 Indien Verwerker geen mogelijkheden heeft om de overeengekomen werkzaamheden te kunnen uitvoeren, zonder dat de Persoonsgegevens worden verwerkt door de subverwerker waartegen Verwerkingsverantwoordelijke bezwaar heeft gemaakt, dan zal Verwerker dit binnen een termijn van 14 dagen schriftelijk kenbaar maken aan Verwerkingsverantwoordelijke.
10. Medewerkingsplichten en rechten van betrokkenen
10.1 Verwerker zal Verwerkingsverantwoordelijke op verzoek medewerking verlenen in geval van een klacht, vraag of verzoek van een betrokkene, dan wel onderzoeken of inspecties door de Autoriteit Persoonsgegevens.
10.2 Verwerker zal Verwerkingsverantwoordelijke op diens verzoek en voor diens rekening bijstaan bij het uitvoeren van een gegevensbeschermingseffectbeoordeling.
10.3 Als Verwerker rechtstreeks van een betrokkene een verzoek om inzage, correctie of verwijdering van zijn of haar Gegevens ontvangt, informeert Verwerker Verwerkingsverantwoordelijke binnen twee werkdagen over de ontvangst van het verzoek. Verwerker voert zo snel mogelijk alle instructies uit die Verwerkingsverantwoordelijke schriftelijk aan Xxxxxxxxx geeft als gevolg van zodanig verzoek van betrokkene. Verwerker treft de noodzakelijke passende technische en organisatorische maatregelen die nodig zijn om te voldoen aan dergelijke instructies van
Verwerkingsverantwoordelijke.
10.4 Indien instructies van Verwerkingsverantwoordelijke aan Verwerker strijd opleveren met enige wettelijke bepalingen omtrent gegevensbescherming, meldt Verwerker dit bij Verwerkingsverantwoordelijke.
11. Duur en beëindiging
11.1 Deze verwerkersovereenkomst is geldig zolang Xxxxxxxxx de opdracht heeft van Verwerkingsverantwoordelijke om Gegevens te verwerken op grond van de Overeenkomst tussen Verwerkingsverantwoordelijke en Verwerker. Zolang door Verwerker Werkzaamheden worden verricht ten behoeve van Verwerkingsverantwoordelijke is deze verwerkersovereenkomst op deze relatie van toepassing.
11.2 Artikel 4 (Geheimhouding), Artikel 10 (Medewerkingsplicht), en Artikel 13 (Toepasselijk recht en forumkeuze) zullen ook na de beëindiging of ontbinding van deze Overeenkomst voor onbepaalde tijd tussen partijen voortduren.
11.3 Indien Verwerker na beëindiging van de Overeenkomst op grond van een wettelijke bewaarplicht bepaalde gegevens en/of documenten, computerdisks of andere gegevensdragers waarop of waarin zich Gegevens bevinden gedurende een wettelijke termijn moet bewaren, dan zal Verwerker zorgdragen voor de vernietiging van deze gegevens of documenten, computerdisks of andere gegevensdragers binnen 4 weken na beëindiging van de wettelijke bewaarplicht.
11.4 Bij beëindiging van de Overeenkomst tussen Verwerkingsverantwoordelijke en Verwerker kan Verwerkingsverantwoordelijke binnen twee maanden na beëindiging van de Overeenkomst aan Verwerker verzoeken om alle documenten, computerdisks en andere gegevensdragers, waarop of waarin zich gegevens bevinden, te retourneren aan Verwerkingsverantwoordelijke, voor rekening van Verwerkingsverantwoordelijke. In geval van retournering zal Verwerker de gegevens verstrekken in de vorm zoals bij Verwerker aanwezig. Voor zover de Gegevens zich in een computersysteem bevinden of in een andere vorm waardoor de Gegevens redelijkerwijs niet kunnen worden verstrekt aan Verwerkingsverantwoordelijke, zal Verwerker aan Verwerkingsverantwoordelijke een toegankelijke, leesbare kopie van de Gegevens verstrekken. Na het verstrijken van deze termijn zal Verwerker tot definitieve vernietiging van de Gegevens overgaan, tenzij Verwerker op grond van een wettelijke plicht gehouden is Gegevens op te slaan.
11.5 De wijze van vernietiging wordt vastgesteld in overleg met Verwerkingsverantwoordelijke. Na vernietiging verstrekt de Verwerker hiervan een schriftelijke bevestiging aan de Verwerkingsverantwoordelijke.
12. Nietigheid
12.1 Indien één of meerdere bepalingen uit deze verwerkersovereenkomst nietig zijn of vernietigd worden, blijven de overige voorwaarden volledig van toepassing. Indien enige bepaling van deze verwerkersovereenkomst niet rechtsgeldig is, zullen partijen over de inhoud van een nieuwe bepaling onderhandelen, welke bepaling de inhoud van de oorspronkelijke bepaling zo dicht mogelijk benaderd.
13. Toepasselijk recht en forumkeuze
13.1 Op deze verwerkersovereenkomst is Nederlands recht van toepassing.
13.2 Alle geschillen in verband met de verwerkersovereenkomst of de uitvoering daarvan worden voorgelegd aan de bevoegde rechter bij de rechtbank waar Verwerker gevestigd is.
13.3 Op alle geleverde diensten zijn de Algemene Voorwaarden van Foto Koch Nederland B.V. van toepassing. Een kopie wordt op aanvraag toegezonden.
Aldus overeengekomen en ondertekend namens:
Verwerkingsverantwoordelijke: SWS de Speelhoeve (naam opdrachtgever)
Naam: Xxxxxx Xxxxx
Plaats: Wijchen
Functie: 6602WT
Datum: 18-06-2019
Handtekening: Verwerker: Foto Koch Nederland B.V
Naam: X.X.Xxxxxx
Functie: Directeur
Datum: 18-06-2019
Handtekening:
BIJLAGE 1
GEGEVENS, DOELEINDEN EN CATEGORIEËN VAN BETROKKENEN
GEGEVENS
De Verwerkingsverantwoordelijke laat de Verwerker de volgende Gegevens door Verwerker verwerken in het kader van de fotografieopdracht:
(1) Naam (initialen, achternaam)
(2) Geboortedatum
(3) Adres, Postcode en Woonplaats
(4) Leerlingnummer
(5) Klas van de leerling
(6) Gegevens van personen jonger dan 16 jaar
DOELEINDEN
De werkzaamheden waarvoor bovengenoemde Gegevens mogen worden verwerkt, uitsluitend indien noodzakelijk, zijn in ieder geval:
(1) De werkzaamheden, te beschouwen als de primaire dienstverlening, in het kader waarvan Verwerkingsverantwoordelijke een opdracht heeft verstrekt aan Verwerker;
(2) het onderhoud, waaronder updates en releases van het door Xxxxxxxxx dan wel sub-verwerker aan Verwerkingsverantwoordelijke ter beschikking gestelde systeem;
(3) het gegevens- en technische beheer, ook door een sub-verwerker;
(4) de hosting, ook door een sub-verwerker.
CATEGORIEËN VAN BETROKKENEN
De Gegevens die verwerkt worden betreffende volgende categorieën van betrokkenen:
(1) Algemene persoonsgegevens (NAW-gegevens);
(2) Bijzondere persoonsgegevens (Godsdienst of levensovertuiging, ras en gezondheid, welke mogelijk door interpretatie van de foto identificeerbaar zijn);
BIJLAGE 2 BEVEILIGINGSMAATREGELEN
BEVELIGINGSMAATREGELEN
Verwerker heeft op haar locatie(s) van waaruit de dienstverlening geschiedt, in ieder geval de volgende maatregelen genomen:
* Logische toegangscontrole, gebruikmakend van: wachtwoorden, persoonsgebonden toegangstags, biometrische verificatie;
* Fysieke maatregelen voor toegangsbeveiliging;
* Organisatorische maatregelen voor toegangsbeveiliging;,
* Steekproefsgewijze controle op naleving beleid;
* Beveiliging van netwerkverbindingen via Secure Socket Layer (SSL) technologie;
* Een beveiligd intern netwerk;
* Doelgebonden toegangsbeperkingen;
* Controle op toegekende bevoegdheden;
* Geheimhoudingsverklaring in de individuele arbeidsovereenkomsten van werknemers;
* Verwerkersovereenkomsten met sub-verwerkers
* Bestanden worden volgens de wettelijke richtlijnen vernietigd (DIN 66399 norm klasse 4).
FOTO KOCH Nederland B.V | Xxxxxxx 00 x 0000 XX Xxxxx 035 538 41 14 | xxxx@xxxxxxxx.xx | IBAN XX00XXXX0000000000
BIC SNSBNL2a | KvK 31017883 | BTW NL005305251B01 | xxx.xxxxxxxx.xx