Verwerkersovereenkomst
Verwerkersovereenkomst
Inhoudsopgave
2. Toepasselijkheid en looptijd 4
5. Datalekken en andere beveiligingsincidenten 6
8. Overdraagbaarheid Overeenkomst 7
9. Beëindiging en teruggave / vernietiging Persoonsgegevens 7
10. Aanvullingen en wijziging Overeenkomst 7
Bijlage 1. Persoonsgegevens /Verwerking /Beveiligingsmaatregelen / Derden 9
Beveiligingsmaatregelen (Technische en organisatorische maatregelen) 9
Bijlage 2. Communicatie bij inbreuken/datalekken 10
Verwerkersovereenkomst
Partijen:
Partijen: Opdrachtgever en Opdrachtnemer hierna gezamenlijk te noemen: "Partijen". Overwegingen:
A. Opdrachtgever is met Opdrachtnemer een overeenkomst aangegaan vanwege het verrichten van incassodiensten door opdrachtnemer;
B. Vanwege het uitvoeren van deze Overeenkomst in met betrekking tot de Persoonsgegevens die opdrachtnemer hierbij zal verwerken – is opdrachtnemer aan te merken als “Verwerker” en opdrachtgever als “Verwerkingsverantwoordelijke” in de zin van de Algemene Verordening Gegevensbescherming (hierna: AVG).
Partijen komen het volgende overeen:
1. Definities
In deze overeenkomst wordt een aantal begrippen gebruikt. De betekenis van die begrippen is hieronder verduidelijkt. De genoemde begrippen worden in deze overeenkomst met een hoofdletter geschreven. Veelal wordt in de opsomming hieronder verwezen naar de wettelijke omschrijving van het begrip, maar waar mogelijk worden de begrippen verduidelijkt met niet-limitatieve voorbeelden.
Betrokkene | Degene op wie een Persoonsgegeven betrekking heeft. |
Datalek | Een inbreuk op de beveiliging zoals bedoeld in artikel 33-34 AVG die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen, dan wel die ernstige nadelige gevolgen heeft voor de bescherming van Persoonsgegevens. |
Derden | Anderen dan opdrachtgever en opdrachtnemer en haar medewerkers. |
Meldplicht Datalekken | De verplichting tot het melden van Datalekken aan de Autoriteit Persoonsgegevens en (in sommige gevallen) aan Betrokkene(n), op basis van artikel 33-34 AVG. |
Medewerkers | Personen die werkzaam zijn bij of voor de Verwerker, ofwel in dienstbetrekking dan wel tijdelijk ingehuurd. |
Onderliggende opdracht | De opdracht zoals hierboven bedoeld in de overwegingen onder A. |
Overeenkomst | Deze verwerkersovereenkomst. |
Persoonsgegevens | Persoonsgegevens in de zin van artikel 4 onder 1 AVG. Persoonsgegevens zijn alle gegevens die direct of indirect herleidbaar zijn tot een natuurlijke persoon. |
Verwerken / Verwerking | Verwerken in de zin van artikel 4 onder 2 AVG. Verwerken omvat elke handeling (of een serie handelingen) met betrekking tot Persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens. |
AVG | De Algemene Verordening Gegevensbescherming. De naar Nederlands vertaalde versie van de General Data Protection Regulation (GDPR). |
2. Toepasselijkheid en looptijd
2.1 Deze Overeenkomst is van toepassing op iedere verwerking die door opdrachtnemer als Verwerker wordt gedaan op basis van de onderliggende overeenkomst, gegeven door opdrachtgever als Verantwoordelijke.
2.2 Deze Overeenkomst treedt in werking op de datum waarop de onderliggende overeenkomst van kracht wordt en eindigt op hetzelfde moment als de onderliggende overeenkomst. Het is niet mogelijk om deze overeenkomst los van de onderliggende overeenkomst tussentijds op te zeggen.
2.3 Artikel 6 van deze overeenkomst blijft gelden, ook nadat de overeenkomst is beëindigd.
3. Verwerking
3.1 Opdrachtnemer verwerkt de Persoonsgegevens uitsluitend op de manier die opdrachtnemer met opdrachtgever heeft afgesproken in de onderliggende overeenkomst. Dit Verwerken doet opdrachtnemer niet langer of uitgebreider dan noodzakelijk voor de uitvoering van deze onderliggende overeenkomst. De Verwerking vindt plaats volgens de instructies van opdrachtgever, tenzij opdrachtnemer op grond van de wet- of regelgeving verplicht is om anders te handelen (bijvoorbeeld bij het maken van een afweging of een melding van een “ongebruikelijke transactie” moet worden gedaan in het kader van de Wet ter voorkoming van witwassen en financieren van terrorisme (WWFT).
3.2 De Verwerking vindt plaats onder de verantwoordelijkheid van opdrachtgever. Opdrachtnemer heeft geen zeggenschap over het doel en de middelen van de Verwerking en neemt geen beslissingen over zaken als het gebruik van Persoonsgegevens, de bewaartermijn van de voor opdrachtgever verwerkte Persoonsgegevens en het verstrekken van Persoonsgegevens aan Derden. Opdrachtgever moet er voor zorgen dat het doel en de middelen van de Verwerking van de Persoonsgegevens duidelijk is vastgesteld. De zeggenschap over de Persoonsgegevens berust nooit bij opdrachtnemer. Als opdrachtnemer een zelfstandige verplichting mocht hebben op basis van onder andere de geldende beroeps- en gedragsregels met betrekking tot bijvoorbeeld het bewaren van bepaalde Persoonsgegevens, dan leeft opdrachtnemer deze verplichtingen na.
3.3 Opdrachtgever is wettelijk verplicht er voor te zorgen dat de AVG, en de andere wet- en regelgeving op het gebied van privacy, wordt nageleefd. In het bijzonder dient opdrachtgever vast te stellen of er sprake is van een rechtmatige grondslag voor het Verwerken van de Persoonsgegevens als bedoeld in artikel 6 van de AVG. Opdrachtnemer zorgt ervoor dat zij voldoet aan de op opdrachtnemer als Verwerker van toepassing zijnde regelgeving op het gebied van de Verwerking van Persoonsgegevens en de afspraken die opdrachtnemer heeft gemaakt in deze overeenkomst.
3.4 Opdrachtnemer zorgt ervoor dat alleen de medewerkers toegang hebben tot de Persoonsgegevens. De uitzondering hierop is opgenomen in artikel 3.5. Opdrachtnemer beperkt de toegang tot medewerkers voor wie de toegang noodzakelijk is voor hun werkzaamheden, waarbij de toegang beperkt is tot Persoonsgegevens die deze medewerkers nodig hebben voor hun werkzaamheden. Opdrachtnemer zorgt er bovendien voor dat de medewerkers die toegang hebben tot de Persoonsgegevens een juiste en volledige instructie hebben gekregen over de omgang met Persoonsgegevens en dat zij bekend zijn met de verantwoordelijkheden en verplichtingen van de AVG.
3.5 Opdrachtnemer kan derden (subverwerkers) inschakelen voor het uitvoeren van bepaalde werkzaamheden, bijvoorbeeld als deze derden over specialistische kennis of middelen beschikken waarover opdrachtnemer niet kan beschikken. Als het inschakelen van derden tot gevolg heeft dat deze Persoonsgegevens gaat verwerken dan zal opdrachtnemer met die derden (schriftelijk) alle verplichtingen uit deze overeenkomst opleggen. Met ondertekening van deze overeenkomst geeft opdrachtgever toestemming voor het inschakelen van de derden die genoemd zijn in de bijlage. Voor het inschakelen van overige derden vraagt opdrachtnemer eerst om toestemming aan opdrachtgever. Opdrachtgever kan toestemming weigeren maar dit kan in sommige gevallen betekenen dat opdrachtnemer de onderliggende overeenkomst of het dossier moet beëindigen. Of een opdracht om deze reden moet worden beëindigd, is ter uitsluitende beoordeling aan opdrachtnemer.
3.6 Opdrachtnemer kan opdrachtgever verzoeken om Persoonsgegevens te zoeken, wijzigen of verbeteren als opdrachtnemer in het kader van de onderliggende overeenkomst toegang heeft tot deze Persoonsgegevens. Als opdrachtnemer (rechtstreeks) verzoeken ontvangt van Xxxxxxxxxx(n) om inzage, wijziging of verbetering van Persoonsgegevens, dan zal opdrachtnemer in overleg met opdrachtgever bepalen wie daadwerkelijk het verzoek zal afhandelen.
3.7 Opdrachtnemer zal de Persoonsgegevens alleen Verwerken binnen de Europese Economische Ruimte, tenzij opdrachtnemer hierover met opdrachtgever andere afspraken heeft gemaakt. Deze afspraken worden gezamenlijk schriftelijk vastgelegd.
3.8 Als opdrachtnemer een verzoek krijgt om Persoonsgegevens ter beschikking te stellen dan doet opdrachtnemer dit alleen als het verzoek is gedaan door een daartoe bevoegde instantie. Bovendien beoordeelt opdrachtnemer eerst of opdrachtnemer van mening is dat het verzoek bindend is, of dat opdrachtnemer op grond van gedrags- en beroepsregels aan het verzoek moeten voldoen. Als er geen strafrechtelijke of andere juridische belemmeringen zijn, dan stelt opdrachtnemer opdrachtgever op de hoogte van het verzoek. Opdrachtnemer probeert dat op zodanig korte termijn te doen, dat het voor opdrachtgever mogelijk is om eventuele rechtsmiddelen tegen de verstrekking van de Persoonsgegevens in te stellen. Als opdrachtnemer opdrachtgever op de hoogte stelt dan zal opdrachtnemer ook met opdrachtgever overleggen over de wijze waarop en welke gegevens opdrachtnemer ter beschikking zal stellen.
4. Beveiligingsmaatregelen
4.1 Opdrachtnemer heeft de beveiligingsmaatregelen genomen die zijn genoemd in de Bijlage die bij deze Overeenkomst hoort, maar kunnen niet garanderen dat deze maatregelen onder alle omstandigheden doeltreffend zijn. Bij het nemen van de beveiligingsmaatregelen is rekening gehouden met de stand van de techniek en de kosten van de beveiligingsmaatregelen.
4.2 Opdrachtgever heeft zich goed geïnformeerd over de beveiligingsmaatregelen die opdrachtnemer heeft genomen en is van mening dat deze maatregelen een beveiligingsniveau hebben dat past bij de aard van de Persoonsgegevens en de risico’s van de verwerking.
4.3 Opdrachtnemer zal opdrachtgever informeren als een van de beveiligingsmaatregelen functioneel wijzigt.
4.4 Als opdrachtgever de wijze waarop opdrachtnemer de beveiligingsmaatregelen naleeft wil komen of laten inspecteren, dan kan opdrachtgever hiertoe een verzoek aan opdrachtnemer doen. Opdrachtnemer zal hierover gezamenlijk met opdrachtgever afspraken maken. De kosten van een inspectie zijn voor rekening van de opdrachtgever. Opdrachtgever stelt aan opdrachtnemer een kopie van het inspectierapport ter beschikking.
4.5 Indien na inspectie door de opdrachtgever of door opdrachtgever ingeschakelde partij blijkt dat de genomen beveiligingsmaatregelen niet voldoende zijn neemt opdrachtnemer maatregelen om deze te verbeteren. Opdrachtnemer heeft hiervoor zes maanden de tijd en zal opdrachtgever informeren over de genomen maatregelen.
4.6 Jaarlijks laat opdrachtnemer de beveiligingsmaatregelen die zijn getroffen in het kader van de ISO- 27001 certificering toetsen door een externe audit partij. Opdrachtgever heeft het recht een kopie van het certificaat van opdrachtnemer te ontvangen.
5. Datalekken en andere beveiligingsincidenten
5.1 Als er sprake is van een Datalek dan stelt opdrachtnemer opdrachtgever daarvan op de hoogte. Opdrachtnemer streeft ernaar dit te doen binnen 36 uur nadat opdrachtnemer dit Xxxxxxx heeft ontdekt of daarover door eventuele subverwerkers is geïnformeerd. Opdrachtnemer zal opdrachtgever daarbij voorzien van de informatie die opdrachtgever redelijkerwijs nodig heeft om - indien nodig - een juiste en volledige melding te doen aan de Autoriteit Persoonsgegevens en eventueel de Betrokkene(n) in het kader van de Meldplicht Datalekken. Ook van de door opdrachtnemer naar aanleiding van het Datalek genomen maatregelen houdt opdrachtnemer opdrachtgever op de hoogte.
5.2 De melding van Datalekken aan de Autoriteit Persoonsgegevens en (eventueel) Betrokkene(n) is altijd de verantwoordelijkheid van opdrachtgever.
6. Geheimhoudingsplicht
6.1 Opdrachtnemer houdt de van opdrachtgever verkregen Persoonsgegevens geheim en verplicht haar medewerkers en eventuele subverwerkers ook tot geheimhouding.
7. Aansprakelijkheid
7.1 Opdrachtgever staat er voor in dat de Verwerking van Persoonsgegevens op basis van deze Overeenkomst niet onrechtmatig is en geen inbreuk maakt op de rechten van Betrokkene(n).
7.2 Opdrachtnemer is niet aansprakelijk voor schade die het gevolg is van het door opdrachtgever niet naleven van de AVG, of andere wet- of regelgeving. Opdrachtgever vrijwaart opdrachtnemer ook voor aanspraken van Xxxxxx op grond van zulke schade. De vrijwaring geldt niet alleen voor de schade die Derden hebben geleden (materieel maar ook immaterieel), maar ook voor de kosten die opdrachtnemer moet maken in de juridische procedure, zoals bijvoorbeeld griffierechten en kosten voor een advocaat, en eventuele boetes die aan opdrachtnemer worden opgelegd.
7.3 De in de onderliggende overeenkomst en daarbij behorende algemene voorwaarden overeengekomen beperking van opdrachtnemers aansprakelijkheid is van kracht op de verplichtingen zoals opgenomen in deze overeenkomst, met dien verstande dat een of meerdere schadevorderingen uit hoofde van deze Overeenkomst en /of de onderliggende overeenkomst nimmer tot overschrijding van de beperking kan leiden.
8. Overdraagbaarheid Overeenkomst
8.1 Het is voor opdrachtgever en opdrachtnemer, behalve als gezamenlijk schriftelijk anders wordt afgesproken, niet toegestaan om deze overeenkomst en de rechten en de plichten die samenhangen met deze overeenkomst over te dragen aan een ander.
9. Beëindiging en teruggave / vernietiging Persoonsgegevens
9.1 Als de Onderliggende overeenkomst wordt beëindigd dan zal opdrachtnemer de door opdrachtgever aan opdrachtnemer verstrekte Persoonsgegevens aan opdrachtgever terug overdragen of – als opdrachtgever opdrachtnemer daarom verzoekt – vernietigen. Opdrachtnemer zal een kopie van de Persoonsgegevens bewaren als opdrachtnemer hiertoe op grond van wet- of (beroeps)regelgeving verplicht is.
9.2 De kosten van het verzamelen en overdragen van Persoonsgegevens bij het eindigen van de onderliggende overeenkomst zijn voor rekening van opdrachtnemer. Datzelfde geldt voor de kosten van de vernietiging van de Persoonsgegevens.
10. Aanvullingen en wijziging Overeenkomst
10.1 Aanvullingen en wijzigingen op deze Overeenkomst zijn alleen geldig als ze op schrift zijn gesteld. Onder “schriftelijk” worden ook wijzigingen begrepen die per e-mail zijn gecommuniceerd, gevolgd door een akkoord per e-mail van de andere partij.
11. Slotbepalingen
11.1 Op deze Overeenkomst is Nederlands recht van toepassing, de Nederlandse rechter is bevoegd kennis te nemen van alle geschillen die voortvloeien uit of samenhangen met deze Overeenkomst.
11.2 Deze Overeenkomst is hoger in rang dan andere door opdrachtnemer met opdrachtgever gesloten overeenkomsten. Als opdrachtgever algemene voorwaarden gebruikt dan zijn deze niet van toepassing op deze Overeenkomst. De bepalingen uit deze Overeenkomst gaan boven de bepalingen in de algemene voorwaarden, tenzij expliciet naar een bepaling in de algemene voorwaarden wordt verwezen.
11.3 Als iin of meerdere bepalingen in deze Overeenkomst niet geldig blijken te zijn, dan heeft dit geen gevolgen voor de geldigheid van de andere bepalingen in deze Overeenkomst. Opdrachtnemer treedt dan met opdrachtgever in overleg om gezamenlijk een nieuwe bepaling op te stellen. Deze bepaling zal zoveel als mogelijk in de geest zijn van de ongeldige bepaling, maar dan uiteraard zo vormgegeven dat de bepaling wel geldig is.
11.4 Mededelingen in het kader van deze Overeenkomst zullen door opdrachtgever en opdrachtnemer worden gedaan aan alle bevoegde medewerkers:
Als de gegevens behorend bij de bovengenoemde medewerkers veranderen, of als zij worden vervangen door andere medewerkers, dan lichten Partijen elkaar daarover in.
11.5 De in deze Overeenkomst genoemde voorbeelden dienen ter verduidelijking van de in de Overeenkomst opgenomen regeling en zijn geen limitatieve opsomming.
Ondertekening
Bij het indienen van het formulier gaat u akkoord met deze verwerkersovereenkomst.
Bijlage 1. Persoonsgegevens /Verwerking /Beveiligingsmaatregelen / Derden
Persoonsgegevens
De volgende Persoonsgegevens zullen in het kader van de Onderliggende overeenkomst worden verwerkt:
[X] Naam klant
[X] Adresgegevens klant
[X] Telefoonnummer(s) klant
[X] Mailadres(sen) (klant)
[X] Geboortedatum klant
[X] Factuurnummer (onze referentie)
[X] Klantnummer (relatie)
[X] Factuurdatum
[X] Saldo (factuurbedrag)
Let op bij bijzondere of gevoelige Persoonsgegevens. Voor het verwerken van bijzondere Persoonsgegevens is een wettelijke grondslag nodig en bij de verwerking van gevoelige Persoonsgegevens worden hogere eisen gesteld aan de beveiliging. Voor meer informatie over Bijzondere en Gevoelige gegevens: Zie artikel 9 en 32 AVG.
Verwerking
Opdrachtnemer verwerkt Persoonsgegevens voor opdrachtgever. Conform artikel 30 onder 2 houdt de Verwerker een register bij van verwerkingen. Opdrachtgever bepaalt welke Persoonsgegevens worden verwerkt en op welke wijze, opdrachtgever is Verwerkingsverantwoordelijke voor deze verwerking.
Beveiligingsmaatregelen (Technische en organisatorische maatregelen)
Ten aanzien van de te nemen technische en organisatorische maatregelen ter bescherming van de Persoonsgegevens tegen verlies of onrechtmatige verwerking zal de Code voor Informatiebeveiliging van toepassing zijn (NEN-ISO 27001) en is opdrachtnemer hiervoor gecertificeerd. De volgende beveiligingsmaatregelen zijn onder andere genomen:
• Informatiebeveiligingsbeleid
• Risicoanalyse en behandelplan
• Benoeming DPO / FG
• Organisatie van informatiebeveiliging
• Human Resources Security
• Configuratiemanagement
• Toegangscontrole
• Cryptografie
• Fysieke beveiliging
• Operationele beveiliging
Derden
• Communicatie Beveiliging
• Systeemverwerving, ontwikkeling en onderhoud
• Relaties met leveranciers en verwerkers
• Beveiligingsincident en Datalek Management
• Business Continuity Management
• Compliance & Accountability
• Anonimisering
Opdrachtnemer schakelt deze derden (subverwerkers) in bij het uitvoeren van de opdracht:
• Archie Europe : CRM applicatie
• Aryza : Ontwikkelaar en leverancier incassobeheersysteem
• Buuút : Bouwer website, online portals en betaalgemak
• CSN Groep : IT-security, software en opslagruimte
• Gerechtsdeurwaarders : Wij dragen over het algemeen de vorderingen over aan Landelijke
Associatie van Gerechtsdeurwaarders
• Kinwell : Telefoon- en chatservice
• Mail to Pay : Betaalverzoeken
• MX10 : Hosting website, online portals en veilig uitwisselen van bestanden
• PostNL : Post haal- en brengservice
• Reisswolf : Afvoer vertrouwelijk papier
• Warpnet : IT Security
Bijlage 2. Communicatie bij inbreuken/datalekken
De melding vanuit opdrachtnemer zal worden gedaan door de Privacy Officer, Functionaris Gegevensbescherming of een medewerker van de afdeling Risk & Compliance.
Voor opdrachtgever gelden de volgende contactpersonen: De contactgegevens die u heeft ingevuld in het formulier.
Voor opdrachtnemer gelden de volgende contactpersonen: Naam: Xxxxx xxx xxx Xxxxx (FG)
E-mail: x.xxxxxxxxxxx@xxxxxxxxxx.xx
Telefoon: 050 – 367 24 61
Bij afwezigheid kunt u contact opnemen met
Naam: Xxxxxx Xxxxxxxx (plaatsvervangend)
E-mail: x.xxxxxxxx@xxxxxxxxxx.xx
Telefoon: 050 – 368 73 25