VERWERKERSOVEREENKOMST
Tussen:
VERWERKERSOVEREENKOMST
Versie maart 2022.
Verwerkersovereenkomst tussen: - Klanten van Drukkerij T’hooft en Select Mail verder aangeduid als ‘de klant’ of ‘verwer- kingsverantwoordelijke’;
En:
Drukkerij T’Hooft, met maatschappelijke zetel te Xxxxxxxxxx 000, 0000 Xxxxxx, ingeschreven in het KBO met ondernemings- nummer BE 0000.000.000, rechtsgeldig vertegenwoordigd door Xxxxx Xxxxx, in de hoedanigheid van CEO;
Select Mail, met maatschappelijke zetel te Xxxxxxxxxx 000, 0000 Xxxxxx, ingeschreven in het KBO met ondernemingsnummer BE 0457.726.172, rechtsgeldig vertegenwoordigd door Xxxxxx Xxxxxxx, in de hoedanigheid van bestuurder;
Hierna “Verwerkers” genoemd;
Samen worden Verwerkingsverantwoordelijke en Verwerker de “Partijen” genoemd;
Overwegende dat:
• Partijen een verwerkersovereenkomst wensen te implementeren conform de vereisten in de Verordening van het Europees Parlement en de Europese Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (GDPR/AVG);
• Partijen hun wederzijdse rechten en verplichtingen ten aanzien van de GDPR willen vastleggen.
Werd overeengekomen:
1. DEFINITIES
1.1 Overeenkomst: De overeenkomst waarbij Xxxxxxxxx in opdracht van een Verwerkingsverantwoordelijke persoonsgege- vens verwerkt.
1.2 Privacywetgeving: Alle relevante privacywetgeving zoals van kracht in België, waaronder de verwerking van persoons- gegevens en de Algemene Verordening Gegevensbescherming van 27 april 2016.
1.3 Algemene Verordening Gegevensbescherming of GDPR: De Verordening van het Europees Parlement en de Europese Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoons- gegevens en betreffende het vrije verkeer van die gegevens.
1.4 Verwerkingsverantwoordelijke: Een natuurlijke of rechtspersoon die het doel van en de middelen voor de Verwerking van persoonsgegevens vaststelt.
1.5 Verwerker: Een natuurlijke of rechtspersoon die ten behoeve van de Verwerkingsverantwoordelijke persoonsgegevens verwerkt.
1.6 Subverwerker: Xxxxxx derde partij die door Verwerker wordt ingeschakeld om ten behoeve van Xxxxxxxxx persoonsge- gevens te verwerken, zonder aan het rechtstreeks gezag van Verwerker te zijn onderworpen.
1.7 Betrokkene of Betrokken Personen: De identificeerbare natuurlijke persoon wiens Persoonsgegevens verwerkt worden.
1.8 Persoonsgegevens: Alle informatie en gegevens over een geïdentificeerde of identificeerbare natuurlijke persoon; als identificeerbare wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online indentificator of één of meerdere element die kenmerkend zijn voor culturele, sociale, economische, fysieke, genetisch of psychische identiteit van die natuurlijke persoon.
1.9 Verwerking: Een bewerking of een geheel van bewerkingen met betrekking tot Persoonsgegevens of een geheel van Persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.
1.10 Datalek: Een inbreuk op de beveiliging van Persoonsgegevens die ernstige nadelige gevolgen heeft voor de bescher- ming van Persoonsgegevens.
1.11 Toezichthoudende autoriteit: de Commissie voor de Bescherming van de Persoonlijke Levenssfeer. Vanaf 25 mei wordt de officiële benaming “Gegevensbeschermingsautoriteit”
1.12 Personeel: De door de Partijen ingeschakelde personen voor de uitvoering van deze Verwerkingsovereenkomst die onder hun verantwoordelijkheid zullen werken.
2. VOORWERP VAN DE OVEREENKOMST
2.1. De Verwerker zal de Persoonsgegevens, die hem naar aanleiding van deze overeenkomst ter beschikking zijn gesteld, geheimhouden en zich houden aan de Privacywetgeving, voor zover van toepassing op die gegevens, en aan de verplich- tingen opgelegd door deze Overeenkomst. In dit kader verbindt de verwerker er zich toe om de Persoonsgegevens enkel te verwerken op basis van schriftelijke instructies van de Verwerkersverantwoordelijke.
In bijlage 1 van deze overeenkomst zijn bepaald : de aard en het doel van de verwerkingen, de soort verwerkingen, de mid- delen waarmee de verwerkingen gebeuren, de categorieën van betrokkenen en persoonsgegevens.
2.2. Partijen komen overeen dat deze overeenkomst de gehele overeenkomst uitmaakt en vervangt eerdere afspraken over dezelfde materie in voorafgaande verwerkersovereenkomsten tussen beide Partijen.
2.3. Voor een correcte uitvoering van de taken als Verwerker kan er beroep worden gedaan op (sub)verwerkers volgens de bepalingen van artikel 4 van deze Overeenkomst.
3. RECHTEN EN PLICHTEN VAN DE PARTIJEN
3.1. RECHTEN EN PLICHTEN VAN DE VERWERKINGSVERANTWOORDELIJKE
3.1.1 De Partijen verbinden er zich uitdrukkelijk toe de Persoonsgegevens van de Betrokkenen te beschermen en zich te houden aan de relevante Privacywetgeving evenals aan de minimale veiligheidsnormen die door de Toezichthoudende Autoriteit worden opgelegd.
3.1.2. Verwerkingsverantwoordelijke bepaalt het doel van en de middelen voor de Verwerking en geeft hiervoor de nodige instructies aan Verwerker. Verwerkingsverantwoordelijke stelt de Persoonsgegevens onverwijld ter beschikking van Verwer- ker voor de Verwerking ervan in het kader van de overeengekomen opdracht. Hij garandeert dat de Verwerking van de Per- soonsgegevens, waaronder de doorgifte van de Persoonsgegevens, gebeurt overeenkomstig de relevante Privacywetgeving.
3.1.3. Indien de opdracht tot Verwerking wijzigt, brengt de Verwerkingsverantwoordelijke de Verwerker hiervan tijdig op de hoogte.
3.1.4.Verwerkingsverantwoordelijke garandeert dat de opdracht tot Verwerking van de Persoonsgegevens niet onrechtma- tig is en geen inbreuk maakt op de rechten van de Betrokkenen. Verwerkingsverantwoordelijke staat ervoor in dat voor de Verwerking door Verwerker een adequate wettelijke grondslag aanwezig is. De Verwerkingsverantwoordelijke staat in voor de rechtmatigheid van de Verwerking.
3.2. RECHTEN EN PLICHTEN VAN DE VERWERKER
3.2.1.Ten aanzien van de in bijlage 1 genoemde verwerkingen zal Verwerker zorg dragen voor de naleving van de toepas- selijke wet- en regelgeving, waaronder in ieder geval begrepen de wet- en regelgeving op het gebied van de bescherming van persoonsgegevens, zoals de Algemene Verordening Persoonsgegevens van 27 april 2016.
3.2.2. Verwerker mag enkel de Persoonsgegevens verwerken die strikt noodzakelijk zijn voor de uitvoering van de opdracht en volgt alle instructies van Verwerkingsverantwoordelijke op. Hij verbindt zich er toe de Persoonsgegevens uitsluitend te verwerken voor de in deze overeenkomst omschreven doeleinden. Verwerker zal de persoonsgegevens niet voor enig ander doel verwerken dan zoals door Verwerkingsverantwoordelijke is bepaald. Verwerkingsverantwoordelijke zal Verwerker op de hoogte stellen van de verwerkingsdoeleinden voor zover deze niet reeds in deze Verwerkersovereenkomst zijn genoemd. Verwerker handelt in overeenstemming met de bepalingen in deze overeenkomst. Als Verwerker een instructie in strijd acht met de Privacywetgeving zal zij de Verwerkingsverantwoordelijke onverwijld hiervan op de hoogte brengen.
3.2.3. Verwerker mag de Persoonsgegevens niet opslaan, overdragen of op andere wijze verwerken op een locatie buiten de Europese Economische Ruimte of doorgeven aan landen buiten de Europese Economische Ruimte, zonder voorafgaande schriftelijke toestemming van Verwerkingsverantwoordelijke.
3.2.4.Verwerker verwerkt de Persoonsgegevens die door Verwerkingsverantwoordelijke zijn doorgegeven, voor zolang dit nodig is voor de uitvoering van de overeenkomst. Van zodra de opdracht is uitgevoerd, maakt Verwerker binnen redelijke termijn, tenzij uitdrukkelijk anders overeengekomen, een einde aan elk ander gebruik van de Persoonsgegevens dan wat noodzakelijk is om Verwerkingsverantwoordelijke in staat te stellen de gegevens te recupereren die aan Verwerker werden toevertrouwd
3.2.5. De Verwerker zal de Persoonsgegevens bewaren in server logs of databases om zijn verplichtingen te vervullen. Op eenvoudig verzoek daartoe van de Verwerkingsverantwoordelijke moet de Verwerker alle in het kader van deze overeen- komst verwerkte Persoonsgegevens beschikbaar maken of vernietigen.
0.0.0.Xx het geval dat een betrokkene een verzoek omtrent inzage, correctie of verwijdering richt aan Verwerker, zal Ver- werker het verzoek doorsturen aan Verwerkingsverantwoordelijke, en zal Verwerkingsverantwoordelijke het verzoek verder afhandelen. Verwerker mag de betrokkene daarvan op de hoogte stellen.
3.2.7. Verwerker zal op verzoek van Verwerkingsverantwoordelijke volledige en tijdige medewerking verlenen aan verzoe- ken van de Toezichthoudende Autoriteit of de Betrokkenen, of aan de uitvoering van een gegevensbeschermingseffectbe- oordeling.
3.2.8. Indien noodzakelijk voor de uitvoering van de opdracht, kan Verwerker een kopie maken en overgaan tot het nemen van een back-up. De Persoonsgegevens op deze kopieën en back-ups genieten dezelfde bescherming als de originele Per- soonsgegevens.
3.2.9.Verwerker houdt een register bij van de verwerkingsactiviteiten. Dit register bevat alle gegevens die art. 30.2. GDPR vereist.
3.2.10.Verwerker garandeert dat zijn Personeel uitsluitend toegang heeft tot de Persoonsgegevens voor zover dit nodig is om hun taken in het kader van de opdracht tot Verwerking uit te voeren. Verwerker zal zijn Personeel informeren over de verplichtingen van de Privacywetgeving en van deze overeenkomst.
4. SUBVERWERKERS
0.0.Xx Verwerkersverantwoordelijke geeft aan Verwerker de algemene toestemming om de opdracht geheel of gedeeltelijk uit te besteden aan een Subverwerker.
4.2.Verwerker blijft te allen tijde het aanspreekpunt voor Verwerkingsverantwoordelijke. Verwerker blijft eveneens verant- woordelijkheid dragen voor de naleving van de bepalingen uit deze overeenkomst.
4.3.Verwerker legt schriftelijke, contractueel bindende verplichtingen op aan Subverwerker, die hetzelfde inhouden als de verplichtingen die voor de Verwerker uit deze overeenkomst voortvloeien. Verwerker zal erop toezien dat de Verwerking door de Subverwerker overeenkomstig de bepalingen in deze overeenkomst en de Privacywetgeving gebeurt.
4.4.Xxxxxxxxx heeft het recht om beroep te doen op Subverwerkers naar zijn keuze, onder voorbehoud van artikel 4.1. en volgende van deze overeenkomst. Verwerker mag slechts beroep doen op de diensten van een Subverwerker die zich buiten de Europese Economische Ruimte plaatsvindt na voorafgaande schriftelijke goedkeuring van de Verwerkingsverantwoorde- lijke. In dat geval dient de Verwerker een Subverwerker te kiezen die adequate beschermingsmaatregelen voorziet om de Persoonsgegevens te beschermen.
0.0.Xx verplichtingen vermeld onder artikel 3.2 gelden onverkort voor de Subverwerker.
0.0.Xx het kader van de algemene toestemming zoals vermeld in artikel 4.1, verbindt de Verwerker er zich toe om de Verwerkersverantwoordelijke minstens vier (4) weken op voorhand in te lichten over de beoogde veranderingen inzake de toevoeging of vervanging van Subverwerkers, waarbij de Verwerkersverantwoordelijke de mogelijkheid wordt geboden
tegen deze veranderingen bezwaar te maken (op redelijke grond). Onredelijke en ongeldige bezwaren zijn onder meer, doch niet beperkt tot, niet gedocumenteerde bezwaren; redelijke en geldige bezwaren omvatten onder meer, doch zijn niet be- perkt tot, situaties waarin de Verwerkersverantwoordelijke gedocumenteerde bezwaren heeft omtrent de capaciteit van de Verwerker om de Persoonsgegevens te beschermen en hun vertrouwelijkheid te garanderen. Teneinde geldig te zijn, dienen de bezwaren uiterlijk voor het verstrijken van de helft van de kennisgevingsperiode kenbaar aan de Verwerker gemaakt te worden.
5. GEHEIMHOUDING
5.1.Verwerker is gehouden tot geheimhouding van de Persoonsgegevens die hij van Verwerkingsverantwoordelijke ontvangt voor de opdracht tot Verwerking en van alle informatie die hij in het kader van deze Overeenkomst ontvangt. Deze geheim- houdingsplicht geldt onverkort voor het Personeel van Verwerker en voor eventuele Subverwerkers en hun Personeel.
5.2.Deze verplichting tot geheimhouding geldt niet wanneer Verwerker door de Toezichthoudende Autoriteit, een wettelijke bepaling of een rechterlijk bevel verplicht wordt deze Persoonsgegevens mee te delen, wanneer de informatie openbaar bekend is en wanneer de gegevensverstrekking plaatsvindt in opdracht van Verwerkingsverantwoordelijke. Elke mededeling van de Persoonsgegevens aan derden moet door Verwerker vooraf ter kennis worden gebracht van Verwerkingsverantwoor- delijke.
5.3.Deze verplichting tot geheimhouding blijft gelden na het beëindigen van de overeenkomst.
6. VEILIGHEIDSMAATREGELEN
6.1.Verwerkingsverantwoordelijke en Verwerker nemen de vereiste en passende technische en organisatorische maatre- gelen om de Persoonsgegevens te beschermen tegen vernietiging, hetzij bij ongeluk, hetzij onrechtmatig, tegen verlies, vervalsing, niet-toegelaten verspreiding of toegang, met name wanneer de verwerking doorzending van gegevens via een netwerk omvat, dan wel tegen enige andere vorm van onwettige Verwerking of gebruik.
0.0.Xx veiligheidsmaatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuit- voerlegging, een adequaat beveiligingsniveau gelet op de risico’s die de verwerking en de aard van te beschermen gege- vens met zich meebrengen. De veiligheidsmaatregelen zijn er mede op gericht onnodige verzameling en verdere verwer- king van persoonsgegevens te voorkomen.
6.3. Verwerkingsverantwoordelijke kan aan Verwerker alle redelijke veiligheidsmaatregelen opvragen die Verwerker heeft genomen om aan de beschermingsverplichting te voldoen (zie Bijlage 2). Voor het bepalen van de relevante maatregelen wordt er rekening gehouden met de stand van de techniek en de kosten van de tenuitvoerlegging.
6.4.Verwerkingsverantwoordelijke en Verwerker zullen er alle redelijke inspanningen leveren om erover te waken dat de gebruikte verwerkingssystemen voldoen aan de eisen van vertrouwelijkheid, integriteit, beschikbaarheid. Dit steeds reke- ning houdend met de stand van de techniek en met de redelijke kosten van uitvoering. Eveneens gaan beide Partijen na of hun systemen voldoende veerkrachtig zijn.
6.5.Verwerkingsverantwoordelijke heeft het recht om éénmaal per jaar of na een data lek de verwerkingsactiviteiten van Verwerker en de overeenstemming daarvan met deze overeenkomst te laten controleren door zichzelf of door een onafhan- kelijke auditor. Deze auditor is verplicht tot geheimhouding. Verwerker verbindt zich ertoe zijn medewerking te verlenen en alle door de auditor gevraagde informatie te verstrekken. De auditor rapporteert in algemene termen aan Verwerkingsver- antwoordelijke.
6.6.Indien Verwerker een Datalek vaststelt meldt hij dit onverwijld aan Verwerkingsverantwoordelijke. De verwerker bezorgt de aard van het Datalek, welke persoonsgegevens, welke betrokkenen, de gevolgen daarvan en de maatregelen die getrof- fen zijn om de gevolgen te verhelpen of te beperken.
0.0.Xx Verwerker zal ook onverwijld aan de Verwerkingsverantwoordelijke elke klacht melden van Xxxxxxxxxxx of derde partijen, of elk onderzoek van de Toezichthoudende Autoriteiten dat Persoonsgegevens betreft.
7. INTELLECTUELE EIGENDOMSRECHTEN
7.1Alle informatie en materiaal ter beschikking gesteld door de Verwerkingsverantwoordelijke aan de Verwerker en die Per- soonsgegevens bevatten zullen steeds als eigendom van de Verwerkingsverantwoordelijke beschouwd worden. Verwerker ontvangt slechts een beperkt gebruiksrecht voor zover nodig om de overeengekomen Verwerkingen te kunnen doen.
8. AANSPRAKELIJKHEID
8.1.Verwerker is aansprakelijk voor de schade die Verwerkingsverantwoordelijke lijdt door het foutief handelen van Ver- werker. Verwerker handelt foutief bij niet-naleving van de bepalingen van deze overeenkomst en de Privacywetgeving. De Verwerker zal onder meer tot schadeloosstelling gehouden zijn voor schade veroorzaakt door storingen bij de Verwerker, en voor alle kosten en uitgaven die Verwerkingsverantwoordelijke oploopt door vorderingen van Betrokkenen en derde partijen wegens niet-naleving van deze overeenkomst door Xxxxxxxxx.
8.2.Enige schadevergoeding ten laste van de Verwerker is in ieder geval beperkt tot het bedrag dat daadwerkelijk gedekt wordt door haar aansprakelijkheidsverzekering (B.A. Uitbating en/of cyberpolis). Indien, om welke reden ook, geen verze- keringsuitkering plaatsvindt, is de aansprakelijkheid van Verwerker tevens ten allen tijde beperkt tot het bedrag van de door Verwerker in verband met de Overeenkomst in rekening gebrachte vergoeding gedurende het afgelopen kalenderjaar.
Verwerker kan niet aansprakelijk gesteld worden voor enige gevolgschade of schade ten gevolge van omzetverlies, com- merciële verliezen, winstderving, betaling verschuldigd aan derden, verlies van gebruik van relaties, e.d., ongeacht of deze gevolgschade door de Verantwoordelijke of door derden is geleden.
Deze beperking van aansprakelijkheid blijft onverkort van kracht ook na beëindiging van de Overeenkomst.
9. DUUR EN EINDE VAN DE OVEREENKOMST
9.1.Deze Overeenkomst loopt voor zolang als de overeenkomst waarvan deze Overeenkomst deel uitmaakt van kracht is en kan niet los van deze overeenkomst worden opgezegd, tenzij de Partijen overeenkomen dat beëindiging noodzakelijk is om zich te schikken naar de Privacywetgeving of beslissingen van de Toezichthoudende Autoriteit.
9.2.Bij het einde van de overeenkomst en wanneer de verwerkingsverantwoordelijke daar om vraagt bezorgt Verwerker aan Verwerkingsverantwoordelijke een actuele kopie van de databanken met Persoonsgegevens die verwerkt werden. Deze doorgifte van informatie gebeurt te goeder trouw. Nadat alle Persoonsgegevens zijn doorgegeven, maakt Verwerker onmid- dellijk een einde aan de Verwerking en vernietigt hij elke kopie of back-up die hij nog bezit.
BIJLAGE 1 : AARD EN DOEL VAN DE VERWERKING
Aard en doel van de verwerking | Productie van gepersonaliseerd drukwerk |
Middelen waarmee de verwerkingen gebeuren | IT platformen van T’Hooft en Select Mail, FTP server, e-mailplatform, adresseerprinters, offset & digitale persen |
Soorten verwerkingen van de persoonsgegevens | Verzamelen Ordenen Opslaan Mailen Bijwerken Opvragen Verrijken Raadplegen Gebruiken Doorzenden Afschermen Vernietigen |
Categorieën van betrokkenen | minderjarigen meerderjarigen waaronder werknemers, klanten, leveranciers, andere zakelijke belangen, prospects |
Categorieën van persoonsgegevens | Identificatiegegevens Contactgegevens |
BIJLAGE 2 : TECHNISCHE EN ORGANISATORISCHE BEVEILIGINGSMAATREGELEN
Organisatorische maatregelen |
• Camera bewaking |
• Toegangsrechten tot de gebouwen en de verschillende bedrijfsruimtes |
• Sensibilisering van het personeel via informatie sessies |
• Trainen van de medewerkers |
• Brand- en inbraakdetectie |
Technische maatregelen |
• Back-up systeem |
• Gebruik van Uninteruptable Power Supply |
• Maatregelen i.g.v. van brand-, inbraak-, of waterschade, of fysieke/technische incidenten |
• Afzonderlijk wifi netwerk voor bezoekers en medewerkers |
• VPN |
• Authentificatiesysteem |
• Wachtwoord beleid |
• User-ID beleid |
• Patching |
• Anti-virus |
• Firewall |
• Netwerkbeveiliging |
• Toezicht, nazicht en onderhoud van de systemen |
• Versleuteling van Persoonsgegevens |