Verwerkersovereenkomst
Verwerkersovereenkomst
Deze Verwerkersovereenkomst is gehecht aan de Opdracht tot Dienstverlening en wordt geacht au- tomatisch tot stand te zijn gekomen bij onderteke- ning van de Opdracht tot Dienstverlening door u als cliënt,
hierna te noemen “Verantwoordelijke”.
Deze overeenkomst is gesloten met ons kantoor: Rima Adviesgroep BV, gevestigd en kantoorhou- dende te Asten-Heusden aan de Antoniusstraat 47
– 5725 AR
hierna te noemen “Verwerker”.
In aanmerking nemende dat:
◼ Verantwoordelijke en Verwerker op grond van artikel 28 Algemene verordening gegevensbe- scherming deze verwerkersovereenkomst sluiten waarin de rechten en verplichtingen ten aanzien van de verwerking van de persoonsgegevens zijn geregeld, in het bijzonder ten aanzien van de be- veiliging;
◼ Deze verwerkersovereenkomst zal gelden als bijlage bij de overeenkomst welke verantwoorde- lijke heeft met Verwerker.
◼ Deze verwerkersovereenkomst van toepassing is op de in het onderdeel ‘Doeleinden van verwer- king’ benoemde vormen van verwerking van per- soonsgegevens die Verantwoordelijke laat uitvoe- ren door Xxxxxxxxx.
◼ In het kader van de uitvoering van de Overeen- komst bepaalde Persoonsgegevens tussen Partijen worden uitgewisseld en verwerkt. Verantwoorde- lijke wijst Verwerker aan om deze verwerking in opdracht van Verantwoordelijke uit te voeren.
Overeengekomen:
Doeleinden van verwerking
Verwerker verbindt zich onder de voorwaarden van deze verwerkersovereenkomst in opdracht van Verantwoordelijke persoonsgegevens te ver- werken zoals opgenomen in bijlage 1.
Verwerking zal uitsluitend plaatsvinden in het ka- der van:
◼ Xxxxxx van het hypotheek- en/of verzekerings- dossier van Verantwoordelijke ten behoeve van de Wet op het financieel toezicht.
◼ Plus die doeleinden die daarmee redelijkerwijs samenhangen of die met nadere instemming wor- den bepaald.
Verwerker zal de persoonsgegevens niet voor enig ander doel verwerken dan zoals door Verantwoor- delijke is vastgesteld.
De in opdracht van Verantwoordelijke te verwer- ken persoonsgegevens blijven eigendom van Ver- antwoordelijke en/of de betreffende betrokkenen.
Verplichtingen Verwerker
Ten aanzien van de in hierboven genoemde ver- werkingen zal Verwerker zorgdragen voor de nale- ving van de toepasselijke wet- en regelgeving, waaronder in ieder geval begrepen de wet- en re- gelgeving op het gebied van de bescherming van persoonsgegevens, zoals de Algemene verorde- ning gegevensbescherming. Verwerker zal Verant- woordelijke, op diens eerste verzoek daartoe, in- formeren over de door haar genomen maatrege- len aangaande haar verplichtingen onder deze verwerkersovereenkomst.
De verplichtingen van de Verwerker die uit deze verwerkersovereenkomst voortvloeien, gelden ook voor degenen die persoonsgegevens verwer- ken onder het gezag van Verwerker, waaronder begrepen maar niet beperkt tot werknemers, in de ruimste zin van het woord.
Indien Verwerker zijn verplichtingen uitbesteed aan derden, legt Verwerker aan de betreffende derden alle verantwoordelijkheden en verplichtin- gen die Verwerker op grond van deze verwerkers- overeenkomst heeft, schriftelijk op in een subver- werkersovereenkomst.
Verantwoordelijke geeft door ondertekening van deze overeenkomst toestemming voor het uitbe- steden van verwerkingen aan een sub-verwerker, onder de voorwaarde dat verwerker de hierboven genoemde verplichting in acht neemt en dat Ver- werker verantwoordelijk blijft voor het handelen van de desbetreffende subverwerker.
Als Verwerker gedurende de looptijd van deze ver- werkersovereenkomst andere sub-verwerkers wenst in te schakelen zal Verwerker Verantwoor- delijke in de gelegenheid stellen daar binnen een periode van één week na de aankondiging be- zwaar tegen te maken.
Doorgifte van persoonsgegevens
Verwerker mag de persoonsgegevens verwerken in landen binnen de Europese Economische Ruimte.
Beveiliging
Verwerker zal – rekening houdend met de van toepassing zijnde regelgeving op het gebied van bescherming van persoonsgegevens, de stand van de techniek en de kosten van tenuitvoerlegging – technische en organisatorische beveiligingsmaat- regelen treffen om te zorgen voor beschikbaar- heid, integriteit en vertrouwelijkheid van de gege- vens en om de gegevens te beveiligen tegen ver- lies of enige vorm van onrechtmatige verwerking. Verwerker heeft in ieder geval de in bijlage 2 ver- melde maatregelen genomen.
Meldplicht datalek
Verantwoordelijke is te allen tijde verantwoorde- lijk voor het melden van een beveiligingslek en/of datalek (waaronder wordt verstaan: een inbreuk op de beveiliging van persoonsgegevens die leidt tot een kans op nadelige gevolgen, dan wel nade- lige gevolgen heeft, voor de bescherming van per- soonsgegevens) aan de toezichthouder en/of be- trokkenen. Om Verantwoordelijke in staat te stellen aan deze wettelijke plicht te voldoen, stelt Verwerker de Verantwoordelijke binnen 48 uur nadat het lek bij haar bekend is geworden op de hoogte van het beveiligingslek en/of het datalek. Een melding moet altijd worden gedaan, maar alleen als de gebeurtenis zich daadwerkelijk voor- gedaan heeft.
De meldplicht behelst in ieder geval het melden van het feit dat er een lek is geweest. Daarnaast behelst de meldplicht:
◼ Wat de (vermeende) oorzaak is van het lek.
◼ Welke gegevens (mogelijk) zijn getroffen.
◼ Wat het (vooralsnog bekende en/of te verwach- ten) gevolg is.
◼ De getroffen en nog te treffen maatregelen.
◼ Contactgegevens voor de opvolging van de xxx- xxxx.
Verwerker zal de maatregelen treffen die nodig zijn om de (mogelijke) schade te beperken en zal Verantwoordelijke ondersteunen bij meldingen aan betrokkenen en/of autoriteiten.
Afhandeling verzoeken van betrokkenen
In het geval dat een betrokkene een verzoek tot inzage, verbetering, aanvulling, wijziging of af- scherming richt aan Verwerker, dan wel bezwaar maakt tegen verwerking van zijn persoonsgege- vens, danwel wenst dat zijn gegevens worden overgedragen, zullen Partijen het verzoek van de betrokkene in onderling overleg afhandelen. Ver- antwoordelijke blijft in dat geval wel eindverant- woordelijk voor de afhandeling.
Geheimhouding en vertrouwelijkheid
Op alle persoonsgegevens die Verwerker van Ver- antwoordelijke ontvangt en/of zelf verzamelt in het kader van deze verwerkersovereenkomst, rust een geheimhoudingsplicht jegens derden. Verwer- ker zal deze informatie niet voor een ander doel gebruiken dan waarvoor zij deze heeft verkregen, zelfs niet wanneer deze in een zodanige vorm is gebracht zodat deze niet tot betrokkenen herleid- baar is.
Deze geheimhoudingsplicht is niet van toepassing voor zover Verantwoordelijke uitdrukkelijke toe- stemming heeft gegeven om de informatie aan derden te verschaffen, indien het verstrekken van de informatie aan derden logischerwijs noodzake- lijk is gezien de aard van de verstrekte opdracht en de uitvoering van deze verwerkersovereen- komst, of indien er een wettelijke verplichting be- staat om de informatie aan derden te verstrekken. Verwerker verplicht de personen die in zijn dienst zijn, dan wel werkzaamheden voor hem verrich- ten, tot geheimhouding met betrekking tot al wat waarvan zij met betrekking tot de uitvoering van deze verwerkersovereenkomst kennis kunnen ne- men. Indien dit voor voornoemde personen niet reeds contractueel is vastgelegd, zal Verwerker deze personen een geheimhoudingsverplichting opleggen voor de gegevens waarvan zij kennis zul- len nemen. Deze verplichting zal schriftelijk wor- den vastgelegd en een kopie daarvan zal op eerste verzoek van de Verantwoordelijke ter inzage wor- den aangeboden.
Audit / toezicht op naleving
Verantwoordelijke heeft het recht om door een onafhankelijke derde die aan geheimhouding is gebonden audits uit te laten voeren ter controle van naleving van alle punten uit de verwerkers- overeenkomst en alles dat daar direct verband mee houdt.
Deze audit mag jaarlijks plaatsvinden of bij een concreet vermoeden van misbruik van persoons- gegevens.
Verwerker zal aan de audit meewerken en alle voor de audit redelijkerwijs relevante informatie, inclusief ondersteunende gegevens zoals systeem- logs, en medewerkers zo tijdig mogelijk ter be- schikking stellen.
De bevindingen naar aanleiding van de uitge- voerde audit zullen door Partijen in onderling overleg worden beoordeeld en, naar aanleiding daarvan, al dan niet worden doorgevoerd door één van de Partijen of door beide Partijen geza- menlijk. De daaruit voortvloeiende kosten zullen worden doorberekend aan Verantwoordelijke. De kosten van de audit worden door verantwoor- delijke gedragen.
Verwerker verstrekt op eerste verzoek van Xxxxxx- woordelijke een rapportage aan Verantwoorde- lijke waarin Verwerker informeert over de stand van de beveiligingsmaatregelen zoals omschreven in het onderdeel ‘Beveiliging’ en bijlage 2, inciden- ten of datalekken zoals omschreven in het onder- deel ‘Meldplicht datalek’, die hebben plaatsgevon- den en mogelijke beveiligingsrisico's ten aanzien van de gegevens.
Verantwoordelijke en Verwerker kunnen naar aanleiding van de hierboven, benoemde rappor- tage, nadere beveiligingsmaatregelen overeenko- men. De daaruit voortvloeiende kosten zullen worden doorberekend aan Verantwoordelijke.
Een overzicht van deze aanvullende beveiligings- maatregelen zal als bijlage aan deze verwerkers- overeenkomst worden gehecht.
Aansprakelijkheid en boetebepalingen Verwerker is aansprakelijk voor schade of nadeel voortvloeiende uit aan Verwerker toerekenbare schendingen van de wet- en regelgeving betref- fende de verwerking van gegevens in het kader van zijn werkzaamheden onder deze verwerkers- overeenkomst en/of niet-nakoming door Verwer- ker van verplichtingen uit deze verwerkersover- eenkomst.
De aansprakelijkheid van Verwerker voor schade geleden door Verantwoordelijke, ongeacht het soort schade en de oorzaak daarvan, is beperkt tot ten hoogste het bedrag waarvoor een toepasse- lijke verzekering dekking biedt. Voor zover een verzekering geen dekking biedt, is de aansprake- lijkheid van Verwerker in alle gevallen beperkt tot de hoogte van tien maal het bedrag dat in het be- treffende kalenderjaar uit hoofde van de overeen- komst door Verantwoordelijke aan abonnements- kosten verschuldigd is.
Duur en beëindiging
Deze verwerkersovereenkomst is tot stand geko- men door ondertekening van Partijen en op de da- tum van de laatste ondertekening van de aange- hechte Opdracht tot Dienstverlening.
Deze verwerkersovereenkomst is aangegaan voor de duur zoals bepaald in de overeenkomst tussen partijen en bij gebreke daarvan in ieder geval voor de duur van de door Verantwoordelijke afgesloten producten.
Zodra de verwerkersovereenkomst, om welke re- den en op welke wijze dan ook, is beëindigd, zal Verwerker alle documenten, computer disks en andere gegevensdragers, evenals kopieën daar- van, waarop of waarin zich gegevens bevinden, re- tourneren aan Verantwoordelijke, ongeacht of de inhoud is vervaardigd of gecreëerd door Verwer- ker, Verantwoordelijke of een derde.
Verwerker zal de gegevens verstrekken in de vorm zoals bij Verwerker aanwezig. Voor zover de gege- vens zich in een computersysteem bevinden of in een andere vorm waardoor de gegevens redelij- kerwijs niet kunnen worden verstrekt aan Verantwoordelijke, zal Verwerker aan Verant- woordelijke een toegankelijke, leesbare kopie van de gegevens verstrekken. Na beëindiging van de verwerkersovereenkomst zal Verwerker geen ge- gevens houden noch gebruiken in strijd met het bepaalde in deze verwerkersovereenkomst.
Indien Verwerker op grond van een wettelijke be- waarplicht bepaalde gegevens en/of documenten, computer disks of andere gegevensdragers waarop of waarin zich gegevens bevinden gedu- rende een wettelijke termijn moet bewaren, dan zal Verwerker zorgdragen voor de vernietiging van deze gegevens en/of documenten, computer disks of andere gegevensdragers binnen vier weken na beëindiging van de wettelijke bewaarplicht.
Zo lang Verwerker gegevens onder zich heeft blij- ven alle in deze verwerkersovereenkomst ge- noemde beperkingen van kracht.
Verantwoordelijke is gerechtigd deze overeen- komst van tijd tot tijd te herzien. Zij zal minimaal drie maanden van tevoren mededeling doen van de wijzigingen aan Verwerker. Verwerker mag op- zeggen tegen het einde van deze drie maanden indien zij niet akkoord kan gaan met de wijzigin- gen.
Nietigheid
Indien enige bepaling van deze verwerkersover- eenkomst nietig of anderszins niet afdwingbaar is, blijven de overige bepalingen onverminderd van kracht. Partijen zullen alsdan een bepaling over- eenkomen, die de strekking van de nietige bepa- ling zoveel mogelijk benadert.
Toepasselijk recht en geschillenbeslechting
De verwerkersovereenkomst en de uitvoering daarvan worden beheerst door Nederlands recht. Alle geschillen, welke tussen Partijen mochten ontstaan in verband met de verwerkersovereen- komst, zullen worden voorgelegd aan de be- voegde rechter voor het arrondissement waarin Verwerker gevestigd is.
Bijlage 1
Overzicht te verwerken persoonsgegevens door Xxxxxxxxx
◼ NAWTE-gegevens
◼ Geboortedatum en geboorteplaats
◼ Geslacht
◼ Nationaliteit
◼ Burgerlijke staat
◼ Functie
◼ Werkgever(s)
◼ Inkomens- of salarisgegevens
◼ Kopie identiteitsbewijs, omdat voor Verantwoordelijke een wettelijke verplichting geldt tot vastleg- ging hiervan en in dat kader door Xxxxxxxxx uit te voeren werkzaamheden voor Verantwoordelijke.
◼ Bijzondere persoonsgegevens, als BSN en ras, worden uitsluitend vastgelegd ten behoeve van de wet- telijke verplichting van Verantwoordelijke.
Bijlage 2
Overzicht getroffen beveiligingsmaatregelen door Verwerker
◼ Logische toegangscontrole, gebruik makend van wachtwoorden
◼ Automatische logging van handelingen rond de persoonsgegevens
◼ Fysieke maatregelen voor toegangsbeveiliging
◼ Inbraakalarm
◼ Encryptie van digitale bestanden met persoonsgegevens
◼ Organisatorische maatregelen voor toegangsbeveiliging
◼ Beveiliging van netwerkverbindingen via Secure Socket Layer (SSL) technologie