Partijen
Verwerkersovereenkomst VedaCom B.V.
Partijen
De besloten vennootschap VedaCom B.V., statutair gevestigd aan de Willem de Zwijgerstraat 36a (6021 HM) te Budel, hierna te noemen: “Verwerker”;
En
De klant met wie de Hoofdovereenkomst wordt gesloten: “Verwerkingsverantwoordelijke”;
In aanmerking nemende dat:
- Partijen een overeenkomst hebben gesloten, betreffende het opslaan van data in de systemen van Verwerker. Verwerkingsverantwoordelijke Persoonsgegevens verwerkt als bedoeld in de Algemene Verordening Gegevensbescherming;
- Partijen in deze Verwerkersovereenkomst de rechten en plichten voor de verwerking van de Persoonsgegevens door Verwerker wil vastleggen.
Komen overeen:
Artikel 1 Definities
1.1 “Hoofdovereenkomst”: De overeenkomst die gesloten is tussen Verwerker en Verwerkingsverantwoordelijke en die betrekking heeft op het opslaan van data, waaronder persoonsgegevens van Verwerkersverantwoordelijke door Xxxxxxxxx.
1.2 “Verwerkersovereenkomst”: Deze overeenkomst inclusief de bijlagen.
1.3 “Persoonsgegevens”: Persoonsgegevens als bedoeld in de Algemene Verordening
Gegevensbescherming.
1.4 “Betrokkene”: De persoon op wie de verwerkte Persoonsgegevens betrekking hebben.
1.5 “Datalek”: Een inbreuk op de beveiliging die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van de Persoonsgegevens en/of die waarschijnlijk ongunstige gevolgen zal hebben voor de persoonlijke levenssfeer van een betrokkene.
Artikel 2 Inhoud Verwerkersovereenkomst
2.1 In deze Verwerkersovereenkomst wordt de verwerking van Persoonsgegevens door Verwerker in het kader van de Hoofdovereenkomst geregeld.
2.2 Verwerker garandeert de toepassing van passende technische en organisatorische maatregelen, opdat de verwerking van de Persoonsgegevens aan de vereisten van de Algemene Verordening Gegevensbescherming voldoet en de bescherming van de rechten van Betrokkene zijn gewaarborgd.
2.3 Verwerker garandeert te voldoen aan de vereisten van de toepasselijke wet- en regelgeving betreffende de verwerking van Persoonsgegevens.
2.4 In Bijlage 1 zijn de aard en het doel van de verwerking van de Persoonsgegevens, het soort Persoonsgegevens en de categorieën van Betrokkene nader omschreven.
Artikel 3 Inwerkingtreding en duur
3.1 Deze Verwerkersovereenkomst treedt in werking na ondertekening door Partijen.
3.2 Deze Verwerkersovereenkomst eindigt nadat en voor zover Verwerker alle Persoonsgegevens overeenkomstig artikel 9.3 heeft gewist of terugbezorgd.
3.3 Tussentijdse opzegging van deze Verwerkersovereenkomst is door geen van beide Partijen mogelijk.
Artikel 4 Verwerking
4.1 Verwerker dient zorg te dragen voor de naleving van de voorwaarden die op grond van de Algemene Verordening Gegevensbescherming worden gesteld aan het verwerken van de Persoonsgegevens.
4.2 Verwerker verwerkt de Persoonsgegevens ten behoeve van Verwerkingsverantwoordelijke, overeenkomstig diens schriftelijke instructies en onder diens verantwoordelijkheid.
4.3 Verwerker heeft geen zeggenschap over het doel en de middelen van de verwerking van de Persoonsgegevens en neemt geen beslissingen over het gebruik, de verstrekking aan derden en de duur van de opslag van de Persoonsgegevens.
4.4 Bij de uitvoering van deze Verwerkersovereenkomst zal Verwerker vertrouwelijkheid in acht nemen.
4.5 Verwerkingsverantwoordelijke staat er voor in dat de verwerking van de Persoonsgegevens is vrijgesteld van melding bij de Autoriteit Persoonsgegevens.
4.6 Verwerker slaat gegevens op in landen binnen de Europese Economische Ruimte (hierna: EER) en in derde landen met een passend beschermingsniveau. Doorgifte en opslag van Persoonsgegevens buiten de EER of in derde landen zonder passend beschermingsniveau is niet toegestaan zonder voorafgaande schriftelijke toestemming van Verwerkingsverantwoordelijke. Verwerker zal op verzoek van Verwerkingsverantwoordelijke melden in welke landen de persoonsgegevens worden verwerkt.
4.7 Verwerker en degenen die onder het gezag van Verwerker werkzaam zijn, zijn verplicht tot geheimhouding van de Persoonsgegevens die de Verwerker verwerkt en/of waarvan de Verwerker kennis heeft genomen, tenzij een wettelijk voorschrift Verwerker tot mededeling verplicht of uit de taak van Verwerker de noodzaak tot mededeling voortvloeit.
4.8 Verwerker dient de Verwerkingsverantwoordelijke binnen 14 dagen in kennis te stellen van alle tot de Verwerker gerichte verzoeken die betrekking hebben op de rechten van betrokkenen, zoals (maar niet per definitie beperkt tot) een verzoek om inzage, verbetering, aanvulling, verwijzing of afscherming van de Persoonsgegevens. Verwerker verleent Verwerkingsverantwoordelijke volledige medewerking om te kunnen voldoen aan de betreffende verplichtingen van Verwerkingsverantwoordelijke op grond van de Algemene Verordening Gegevensbescherming, ongeacht of het verzoek van betrokkene is gericht tot Verwerker of tot Verwerkingsverantwoordelijke.
4.9 Het is Verwerker toegestaan om een derde in te schakelen bij de uitvoering van deze Verwerkersovereenkomst. Op verzoek van Verwerkersverantwoordelijke zal verwerker een lijst van derden (subverwerkers) aanleveren.
4.10 In het geval van de inschakeling van derden draagt Verwerker er zorg toe dat schriftelijk is vastgelegd dat deze derden dezelfde plichten op zich nemen als overeengekomen tussen Verwerker en Verwerkingsverantwoordelijke. Verwerker is verantwoordelijk voor de correcte naleving van de verplichtingen voortvloeiend uit deze Verwerkersovereenkomst door deze derden.
4.11 Verwerker dient Verwerkingsverantwoordelijke te ondersteunen bij de vervulling van de plicht om aan verzoeken te voldoen van Xxxxxxxxxx en bij andere verplichtingen van Verwerkingsverantwoordelijke.
4.12 Verwerker dient Verwerkingsverantwoordelijke de mogelijkheid te geven om te controleren of Verwerker de in deze Verwerkersovereenkomst vastgelegde afspraken nakomt.
Artikel 5 Datalekken
5.1 Als blijkt dat bij Verwerker sprake is van een Datalek, dan zal Verwerker de Verwerkingsverantwoordelijke daarover binnen 72 uur informeren nadat Xxxxxxxxx bekend is geworden met het Datalek.
5.2 Als blijkt dat bij Verwerker sprake is van een Datalek, dan zal Verwerker alle maatregelen treffen die nodig zijn om de (mogelijke) schade te beperken. Verwerker verplicht zich in dat geval ook tot het verlenen van alle mogelijke medewerking, zodat de Verwerkingsverantwoordelijke tijdig de
Autoriteit Persoonsgegevens en eventueel de betrokkene kan informeren.
5.3 Verwerker informeert Verwerkingsverantwoordelijke ook na een melding op grond van het eerste lid over ontwikkelingen betreffende de inbreuk in verband met Persoonsgegevens.
5.4 Partijen dragen de door henzelf in verband met de melding aan de bevoegde toezichthoudende autoriteit en de Betrokkene te maken kosten.
Artikel 6 Beveiliging
6.1 Verwerker neemt alle passende technische en organisatorische maatregelen, nader omschreven in Bijlage 2, om de Persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico's die de verwerking en de aard van te beschermen gegevens met zich meebrengen.
6.2 Het waarborgen van een passend beveiligingsniveau kan voortdurend dwingen tot het treffen van aanvullende beveiligingsmaatregelen, dit erkennen Partijen. Verwerker waarborgt dan ook een op het risico afgestemd beveiligingsniveau. Verwerker zal aanvullende maatregelen treffen met betrekking tot de beveiliging van de Persoonsgegevens indien Opdrachtgever daar uitdrukkelijk en schriftelijk om verzoekt.
Artikel 7 Verplichtingen Verwerkingsverantwoordelijke
7.1 Verwerkingsverantwoordelijke staat er voor in dat de verwerking van de Persoonsgegevens in overeenstemming is met de Algemene Verordening Gegevensbescherming.
7.2 Verwerkingsverantwoordelijke is verantwoordelijk voor het op tijd installeren van beveiligingsupdates en patches op de systemen en/of software applicaties.
7.3 Verwerkingsverantwoordelijke is verplicht om veilige wachtwoorden te kiezen en zorgvuldig om te gaan met de bescherming van haar gegevens.
7.4 Verwerkingsverantwoordelijke zal enkel en alleen contact maken met digitale systemen van Verwerker indien het systeem of hulpmiddel van Verwerkingsverantwoordelijke waarvandaan er contact gemaakt wordt volledig veilig is. (dat wil zeggen, voorzien van adequate en up-to-date beveiligingssoftware, voorzien van de laatste updates, slechts voorzien van legale software en niet fysiek of op afstand toegankelijk door andere gebruikers dan gebruikers die direct onder de bevoegdheid van Verwerkersverantwoordelijke vallen.)
Artikel 8 Aansprakelijkheid
8.1 Verwerker is enkel aansprakelijk voor directe schade daadwerkelijk opgelopen door Verwerkingsverantwoordelijke die het gevolg is van of verband houden met het niet nakomen van deze Verwerkersovereenkomst en/of het handelen in strijd met de Algemene Verordening Gegevensbescherming ofwel onrechtmatige daad, tot maximaal het bedrag dat Verwerker de drie
(3) maanden voorafgaande aan de schadeveroorzakende gebeurtenis heeft ontvangen voor het uitvoeren van de werkzaamheden volgens onderhavige Verwerkersovereenkomst.
8.2 Verwerker is niet aansprakelijk voor indirecte schade, zoals gevolgschade, gederfde winst, gemiste besparingen, verminderde goodwill en schade door bedrijfsstagnatie.
8.3 Verwerker is niet aansprakelijk indien de Verwerkingsverantwoordelijke een te zwak wachtwoord heeft gekozen, onveilige software gebruik of de adviezen van Verwerker negeert.
8.4 Aansprakelijkheid aan de kant van Verwerker ontstaat enkel indien Verwerkersverantwoordelijke Verwerker schriftelijk in gebreke stelt, waarbij een redelijke termijn voor het oplossen van de tekortkoming wordt gesteld, en Verwerker na deze termijn toerekenbaar blijft tekortschieten in de nakoming van zijn verplichtingen. Dit is niet het geval indien de nakoming van de Verwerker blijvend onmogelijk is.
8.5 De uitsluitingen op de aansprakelijkheid van Verwerker gelden niet in geval van opzet of bewuste roekeloosheid aan de kant van Verwerker.
Artikel 9 Slotbepalingen
9.1 Op deze verwerkersovereenkomst is Nederlands recht van toepassing.
9.2 Deze verwerkersovereenkomst en de rechten en plichten uit deze verwerkersovereenkomst kunnen door Xxxxxxxxx niet aan derden worden overgedragen zonder de voorafgaande schriftelijke toestemming van Verwerkingsverantwoordelijke.
9.3 Het is Verwerker toegestaan deze Verwerkersovereenkomst te herzien. Verwerker zal in een dergelijke situatie minimaal één maand van tevoren hierover mededelingen doen aan de Verwerkingsverantwoordelijke.
9.4 In geval van beëindiging van deze verwerkersovereenkomst zal Verwerker onverwijld de Persoonsgegevens aan Verwerkingsverantwoordelijke retourneren en alle digitale kopieën van de Persoonsgegevens vernietigen. Verwerker zal vervolgens per omgaande aan Verwerkingsverantwoordelijke verklaren dat zij de opgelegde verplichtingen in dit artikel heeft uitgevoerd.
9.5 Mocht enige bepaling in deze verwerkersovereenkomst nietig, vernietigbaar of onverbindend zijn, dan zal deze verwerkersovereenkomst voor het overige van kracht blijven. Partijen zullen over de betreffende bepaling overleg plegen, met het doel om een rechtsgeldige bepaling overeen te komen die zoveel mogelijk dezelfde inhoud en werking heeft als de nietige, vernietigbare of niet- verbindende bepaling.
Bijlage 1: Verwerking Persoonsgegevens
In deze bijlage wordt de verwerking van Persoonsgegevens nader gespecificeerd. Het betreft de volgende onderwerpen:
Het onderwerp en aard en doel van de verwerking van Persoonsgegevens: Verwerkersverantwoordelijke slaat haar data op in de systemen van Verwerker. Verwerkersverantwoordelijke beslist zelf welke data en/of Persoonsgegevens dit zijn. Het doel van de verwerking is het leveren van diensten door Verwerker aan Verwerkersverantwoordelijke.
Het soort Persoonsgegevens:
Het betreft hier alle mogelijke Persoonsgegevens die Verwerkersverantwoordelijke eventueel wil opslaan in de systemen van Verwerker.
Een beschrijving van de categorieën persoonsgegevens:
Deze Verwerkersovereenkomst kan zowel bijzondere als gewone Persoonsgegevens betreffen, afhankelijk van de gegevens die Verwerkingsverantwoordelijke opslaat in de systemen van Verwerker.
Een beschrijving van de categorieën van de betrokkenen:
De betrokkenen zijn de derden van wie de gegevens door Verwerkersverantwoordelijke worden verzameld op welke manier dan ook en vervolgens worden opgeslagen in de systemen van Verwerker.
Bijlage 2: Technische en organisatorische beveiligingsmaatregelen
Organisatie van informatiebeveiliging en communicatieprocessen
• VedaCom B.V. beschikt over een actief informatiebeveiligingsbeleid.
• informatiebeveiligingsincidenten worden gedocumenteerd en worden benut voor optimalisatie van het informatiebeveiligingsbeleid.
Medewerkers
• Met medewerkers worden geheimhoudingsverklaringen overeengekomen en informatiebeveiligingsafspraken gemaakt.
• Medewerkers hebben op grond van een autorisatiesystematiek geen toegang tot meer data dan strikt noodzakelijk is voor hun functie.
Fysieke beveiliging en continuïteit van de middelen
• Persoonsgegevens worden uitsluitend verwerkt op apparatuur waarbij maatregelen zijn genomen om de apparatuur fysiek te beveiligen en de continuïteit van de dienstverlening te verzekeren.
• Er worden periodiek backups gemaakt ten behoeve van de continuïteit van de dienstverlening. Deze backups worden vertrouwelijk behandeld en bewaard in een gesloten omgeving.
Netwerk-, server-en applicatiebeveiliging en onderhoud
• De netwerkomgeving waarbinnen gegevens worden verwerkt is beveiligd. Daarbij worden verkeersstromen gescheiden en versleuteld
• Niet (meer) gebruikte informatie wordt verwijderd, na dat de retentieperiode verstreken is ook uit backups.
• Op wachtwoorden worden cryptografische maatregelen toegepast om deze gegevens veilig op te xxxxx
Xxxxxxxxxxx om zwakke plekken te identificeren
Het beveiligingsbeleid van VedaCom B.V. voorziet in interne processen om kwetsbaarheden te identificeren en op te lossen.
Rapportage
Verwerker actualiseert deze informatie voortdurend en informeert gebruikers over wijzigingen in de getroffen maatregelen om persoonsgegevens te beschermen tegen misbruik via xxx.xxxxxxx.xx
In het geval dat u beveiligingsrisico’s constateert, dan verzoeken wij u contact op te nemen met