Verwerkersovereenkomst Saft Websites
Verwerkersovereenkomst Saft Websites
Deze verwerkersovereenkomst is van toepassing op alle vormen van verwerking van persoonsgegevens die Saft Websites, gevestigd te Wormer, ingeschreven bij de Kamer van Koophandel onder nummer 52900762, (hierna: Verwerker) uitvoert ten behoeve van een wederpartij aan wie zij diensten als webbouwer levert (hierna: Verwerkingsverantwoordelijke).
Hierna gezamenlijk te noemen ’Partijen’;
In aanmerking nemende:
A. Partijen zijn een samenwerkingsovereenkomst aangegaan met betrekking tot het verlenen van website assistentie en/of hosting voor het bedrijf van Verwerkingsverantwoordelijke, hierna te noemen: “Overeenkomst”. Ter uitvoering van de Overeenkomst verwerkt Verwerker ten behoeve van Verwerkingsverantwoordelijke Persoonsgegevens;
B. Partijen wensen zorgvuldig en in overeenstemming met de AVG en andere Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens om te gaan met de Persoonsgegevens die ter uitvoering van de Overeenkomst verwerkt (zullen) worden;
C. Partijen wensen in overeenstemming met de AVG en andere Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens hun rechten en plichten ten aanzien van de Verwerking van Persoonsgegevens van Betrokkenen Schriftelijk vast te leggen in deze Verwerkersovereenkomst;
D. Uitsluitend Verwerkingsverantwoordelijke stelt het doel van en de middelen voor de verwerking van persoonsgegevens vast en Verwerker heeft hierop geen invloed;
Partijen zijn als volgt overeengekomen:
1. BEGRIPPEN
De hierna en hiervoor gebruikte begrippen volgen uit de Algemene Verordening Gegevensbescherming en hebben de volgende betekenis:
1.1. Verwerkersovereenkomst: deze overeenkomst inclusief de bijlagen.
1.2. Overeenkomst: de hoofdovereenkomst (tot samenwerking) waaruit deze verwerkersovereenkomst voortvloeit.
1.3. Betrokkene: degene op wie een Persoonsgegeven betrekking heeft.
1.4. Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (Betrokkene).Ook (herleidbare) gepseudonimiseerde persoonsgegevens vallen onder dit begrip.
1.5. Verwerking: elke handeling of elk geheel van handelingen met betrekking tot Persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens.
1.6. Verwerkingsverantwoordelijke: de verantwoordelijke voor de Verwerking in de zin van de Wet bescherming persoonsgegevens (WBP) en/of Europese verordeningen en richtlijnen ten aanzien van bescherming van persoonsgegevens (AVG).
1.7. Verwerker: degene die ten behoeve van de Verwerkingsverantwoordelijke Persoonsgegevens verwerkt zonder aan zijn rechtstreeks gezag te zijn onderworpen.
1.8. Subverwerker: een derde die door Verwerker wordt ingeschakeld om ten behoeve van Verwerker Persoonsgegevens te verwerken, zonder aan het rechtstreeks gezag van Verwerker te zijn onderworpen.
1.9. Datalek: een inbreuk op de beveiliging van Persoonsgegevens die ernstige nadelige gevolgen heeft voor de bescherming van Persoonsgegevens.
2. VERPLICHTINGEN VAN DE VERWERKER
2.1. Verwerker zal alleen Persoonsgegevens verwerken in opdracht van Verwerkingsverantwoordelijke. Verwerker heeft verder geen zeggenschap over de Persoonsgegevens.
2.2. In Bijlage 1 is opgenomen welke Persoonsgegevens Verwerker zal verwerken en voor welke verwerkingsdoeleinden.
2.3. Verwerker zal alle redelijke instructies van Verwerkingsverantwoordelijke opvolgen en zal de Persoonsgegevens niet op een andere manier verwerken, tenzij daar uitdrukkelijk van te voren toestemming of opdracht voor is gegeven door Verwerkingsverantwoordelijke.
2.4. Xxxxxxxxx houdt zich aan de Wet en verwerkt de gegevens op een behoorlijke, zorgvuldige en transparante wijze.
2.5. Verwerker mag zonder voorafgaande schriftelijke toestemming door Verwerkingsverantwoordelijke geen andere personen of organisaties
inschakelen bij het verwerken van de Persoonsgegevens.
2.6. Verwerker zal passende technische en organisatorische beveiligingsmaatregelen treffen om de Persoonsgegevens te beveiligen tegen verlies en tegen onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging daarvan, een passend beveiligingsniveau gelet op de risico’s die de verwerking en de aard van de te beschermen gegevens meebrengen.
2.7. Deze beveiligingsmaatregelen zijn afgestemd op het risico van de verwerking. Een overzicht van deze maatregelen en het beleid daarover is vastgelegd in Bijlage 2.
2.8. Verwerker verleent Verwerkingsverantwoordelijke haar volledige en tijdige medewerking om Xxxxxxxxxxx inzage in hun persoonsgegevens te laten krijgen, hun persoonsgegevens te laten verwijderen of te corrigeren, en/of aan te laten tonen dat deze persoonsgegevens verwijderd of gecorrigeerd zijn of, indien Verwerkingsverantwoordelijke het standpunt van Betrokkene bestrijdt, vast te leggen dat Betrokkene zijn persoonsgegevens als incorrect beschouwt.
2.9. Verwerkingsverantwoordelijke kan eenmaal per jaar de verwerking van Persoonsgegevens laten controleren op correcte naleving van de Verwerkersovereenkomst door middel van een onderzoek door een onafhankelijke register EDP-Auditor. De Auditor zal worden verplicht tot geheimhouding. Verwerker zal alle door de Auditor gevraagde informatie verstrekken. De Auditor zal in algemene termen rapporteren aan Verwerkingsverantwoordelijke, maar zal geen details over de getroffen beveiligingsmaatregelen bekend maken. De kosten van het onderzoek komen voor rekening van Verwerkingsverantwoordelijke.
2.10. Verwerker zal de door Verwerkingsverantwoordelijke aan Verwerker verstrekte Persoonsgegevens geheim houden, tenzij dit op basis van een wettelijke verplichting niet mogelijk is. Tevens zorgt Xxxxxxxxx ervoor dat eventueel ingeschakeld personeel dan wel andere derden zich aan deze geheimhoudingsverplichting houden door een geheimhoudingsverklaring overeen te komen met deze partij(en).
2.11. Verwerker verwerkt de Persoonsgegevens enkel in de Europese Economische Ruimte.
3. DATALEK
3.1. Verwerker zal in geval van een ontdekking van een mogelijk Datalek Verwerkingsverantwoordelijke binnen 24 uur na ontdekking hierover schriftelijk (e-mail) informeren en alle relevantie informatie verstrekken.
3.2. Verwerkingsverantwoordelijke is verantwoordelijk om eventuele melding van het Datalek te doen bij de daarvoor aangewezen instantie(s) en de Betrokkene.
3.3. Verwerker zal na de melding van een Datalek, Verwerkingsverantwoordelijke, op de hoogte houden van nieuwe ontwikkelingen rondom het Datalek en de maatregelen die Verwerker heeft getroffen om de omvang van het Datalek te beperken en te beëindigen.
3.4. Tevens zullen er door Verwerker maatregelen getroffen worden om een soortgelijk incident aan de zijde van Verwerker in de toekomst te kunnen voorkomen. Indien nodig zal Verwerker Verwerkingsverantwoordelijke adviseren over door aan de zijde van Verwerkingsverantwoordelijke in dit kader uit te voeren maatregelen.
3.5. Eventuele kosten die gemaakt worden om het Datalek op te lossen en in de toekomst te kunnen voorkomen, komen voor rekening van degene die de kosten daadwerkelijk maakt.
4. AANSPRAKELIJKHEID EN GESCHILLEN
4.1. Verwerker is aansprakelijk voor schade die Verwerkingsverantwoordelijke lijdt en boetes die Verwerkingsverantwoordelijke krijgt opgelegd, als gevolg van het niet nakomen van, of in strijd handelen met de bepalingen in deze Verwerkersovereenkomst en/of de Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens.
4.2. De aansprakelijkheid van Verwerker voor door Verwerkingsverantwoordelijke geleden schade en/of opgelegde boetes zoals bedoeld in artikel 4.1 is beperkt tot € 1.000 per gebeurtenis.
4.3. Verwerkingsverantwoordelijke vrijwaart Verwerker voor aanspraken van derden (met name Xxxxxxxxxxx) en de eventuele schade als gevolg daarvan, gebaseerd op niet naleving van voorschriften bij of krachtens de Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens.
4.4. Eventuele uit deze overeenkomst voortvloeiende geschillen zullen, nadat een poging om het geschil in onderling overleg op te lossen niet tot het gewenste resultaat heeft geleid, worden beslecht door een daartoe bevoegde instantie. Op deze Verwerkersovereenkomst is het Nederlands recht van toepassing.
5. INWERKINGTREDING, DUUR EN BEEINDIGING
5.1. Deze Verwerkersovereenkomst is onderdeel van de Overeenkomst waaruit deze verwerkersovereenkomst voortvloeit.
5.2. De bepalingen over duur en beëindiging van de Overeenkomst gelden als bepalingen over duur en beëindiging van de Verwerkersovereenkomst.
5.3. Wijzigingen van deze Overeenkomst of aanvullingen daarop worden tussen Verwerker en Verwerkingsverantwoordelijke schriftelijk overeengekomen.
5.4. Wanneer de Overeenkomst om welke reden dan ook eindigt, eindigt ook de Verwerkersovereenkomst.
5.5. Bij beëindiging van deze Verwerkersovereenkomst zal Verwerker indien Verantwoordelijke daarom verzoekt alle documenten, computer disks en andere gegevensdragers, evenals kopieën daarvan, waarop of waarin zich Persoonsgegevens bevinden, retourneren aan Verantwoordelijke, ongeacht of de inhoud is vervaardigd of gecreëerd door Xxxxxxxxx, Verantwoordelijke of een derde. Verwerker zal de Persoonsgegevens verstrekken op een wijze zoals verzocht door Verantwoordelijke. Indien Verantwoordelijke niet binnen vier (4) weken na beëindiging van deze Verwerkersovereenkomst verzoekt op verstrekking van de Persoonsgegevens, zal Verwerker deze vernietigen, met inachtneming van het in artikel 5.6 bepaalde.
5.6. Indien Verwerker op grond van een wettelijke bewaarplicht bepaalde Persoonsgegevens en/of documenten, computer disks of andere gegevensdragers waarop of waarin zich Persoonsgegevens bevinden gedurende een wettelijke termijn moet bewaren, dan zal Verwerker zorgdragen voor de vernietiging van deze Persoonsgegevens en/of documenten, computer disks of andere gegevensdragers binnen vier (4) weken na beëindiging van de wettelijke bewaarplicht.
5.7. Zo lang Verwerker Persoonsgegevens onder zich heeft blijven alle in deze Verwerkersovereenkomst genoemde restricties van kracht.
Aldus overeengekomen te: Wormer op 14 juni 2018
Bedrijfsnaam: Saft Websites
Voor- en achternaam: Xxxxxx Xxxx
BIJLAGE 1
Overzicht met verwerkingen van persoonsgegevens en verwerkingsdoelen
Persoonsgegevens die verwerkt kunnen worden zijn:
Voor- en achternaam
Geslacht
Adresgegevens
Provincie
Telefoonnummer
E-mailadres
IP-adres
Locatiegegevens
Gegevens over activiteiten op de website van Verwerkingsverantwoordelijke
Internetbrowser en apparaat type
Bankrekeningnummer
KvK-nummer
Verwerkingsdoelen die van toepassing kunnen zijn:
Omdat dit noodzakelijk is voor de uitvoering van de Overeenkomst;
Het afhandelen van betaling(en) van Betrokkene(n);
Verzenden van tips, nieuwsbrief, reclame, aanbiedingen of bevestigingen ten behoeve van Verwerkingsverantwoordelijke;
Om Betrokkene(n), na toestemming van Verwerkingsverantwoordelijke, te bellen of e-mailen om de dienstverlening van Verwerkingsverantwoordelijke uit te kunnen voeren;
Om Betrokkene(n), na toestemming van Verwerkingsverantwoordelijke, te informeren over wijzigingen van diensten en producten;
Om Betrokkene(n), na toestemming van Verwerkingsverantwoordelijke, de mogelijkheid te bieden een account aan te maken;
Om goederen en diensten af te kunnen leveren bij Betrokkene(n);
Om het gedrag van Xxxxxxxxxx(n) te analyseren op de website van Verwerkingsverantwoordelijke om daarmee de website te verbeteren en het aanbod van producten en diensten af te stemmen op de voorkeuren van Xxxxxxxxxx(n);
Omdat Verwerker daar om een andere reden Wettelijk verplicht toe is.
Bewaartermijn:
Persoonsgegevens worden niet langer bewaard dan noodzakelijk is voor het doel van de verwerking, tenzij Wettelijk anders is vastgesteld.
BIJLAGE 2 BEVEILIGINGSMAATREGELEN
Verwerker treft de hierna volgende maatregelen met betrekking tot het beveiligen van Persoonsgegevens:
Er is een adequate virus scanner geïnstalleerd op de laptop of pc waarmee Verwerker de Persoonsgegevens in opdracht van Verwerkingsverantwoordelijke verwerkt. En deze wordt regelmatig bijgewerkt naar de meest recente versie.
Alle programma’s, webapplicaties en cloud-services die door Verwerker gebruikt worden zijn voorzien van een unieke inlogcode en deze wordt op regelmatige basis vernieuwd.
Indien beschikbaar wordt 2-factor authenticatie gebruikt om in te loggen.
Indien programma’s, webapplicaties en cloud-services, die nodig zijn voor de uitvoering van de werkzaamheden, in beheer zijn van Verwerkingsverantwoordelijke, dient Verwerkingsverantwoordelijke de Verwerker te voorzien van unieke inlogcodes.
Verwerker heeft externe opslagruimte adequaat beveiligd.
Verwerker maakt geen onbeveiligde backups.
Hardcopy documenten worden op een adequate manier vernietigd.
Xxxxxxxxx ziet erop toe dat de laptop of pc waarmee Verwerker de Persoonsgegevens verwerkt in opdracht van Verwerkingsverantwoordelijke niet onbeheerd wordt achtergelaten in een openbare ruimte en/of vervoersmiddel.