Verwerkersovereenkomst Partijen:
ClockWise .B.V Xxxxxxxxxxxxxx 00
0000 XX Xxxxxxxxx Xxx Xxxxxxxxxxx
T x00 (0)00 000 00 00
Verwerkersovereenkomst Partijen:
1. , statutair gevestigd aan de
nr. te , kantoorhoudende te , 'Verantwoordelijke';
2. ClockWise, een besloten vennootschap met beperkte aansprakelijkheid, statutair gevestigd te Amsterdam, kantoorhoudende aan de Xxxxxxxxxxxxxx 00 xx Xxxxxxxxx, 'Verwerker'.
Overwegingen:
A. Verantwoordelijke en Verwerker zijn een overeenkomst aangegaan die ertoe leidt dat Verwerker in opdracht van Verantwoordelijke Persoonsgegevens verwerkt.
B. Verantwoordelijke en Verwerker wensen in deze overeenkomst de wederzijdse rechten en verplichtingen voor de Verwerking van Persoonsgegevens door Verwerker vast te leggen overeenkomstig de Algemene Verordening Gegevensbescherming ('AVG').
Partijen zijn het volgende overeengekomen:
1 Definities
1.1. De in deze overeenkomst gebruikte woorden of formuleringen hebben de volgende betekenis:
a. Betrokkene: degene op wie een Persoonsgegeven betrekking heeft;
b. Onderliggende Overeenkomst: de Hosting overeenkomst waarbij Verantwoordelijke aan Verwerker opdracht heeft gegeven om Verwerkingen te verrichten;
c. Overeenkomst: deze Verwerkersovereenkomst;
d. Persoonsgegevens: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon dat Verwerker op grond van de Onderliggende Overeenkomst Verwerkt of dient te Verwerken;
e. Verwerken/verwerking: alle handelingen of reeks handelingen uitgevoerd op Persoonsgegevens, al dan niet door geautomatiseerde middelen, zoals verzamelen, vastleggen, structureren, opslaan, aanpassen of wijzigen, ophalen, raadplegen, gebruiken, bekendmaken door overdracht, verspreiding of anderszins beschikbaar maken, afstemmen of combineren, blokkeren, wissen of vernietigen.
2 Toepasselijkheid
2.1. Tenzij Partijen anders schriftelijk zijn overeengekomen, zijn de bepalingen van deze Overeenkomst van toepassing op iedere Verwerking door Verwerker op grond van de Onderliggende Overeenkomst.
3 Verwerking door Verwerker
3.1. Verwerker verwerkt de Persoonsgegevens slechts in opdracht van Verantwoordelijke, behoudens afwijkende wettelijke verplichtingen.
3.2. Verwerker verwerkt gegevens ten behoeve van Verantwoordelijke, overeenkomstig diens instructies en onder diens verantwoordelijkheid en op de wijze vastgelegd in de Onderliggende Overeenkomst.
3.3. Verwerker heeft geen zeggenschap over het doel en de middelen voor de verwerking van Persoonsgegevens en neemt geen beslissingen over het gebruik van de Persoonsgegevens, de verstrekking aan derden en de duur van de opslag van Persoonsgegevens.
3.4. Verwerker dient zorg te dragen voor de naleving van de voorwaarden die op grond van de AVG en andere regelgeving worden gesteld aan het verwerken van Persoonsgegevens.
3.5. Verwerker verschaft enkel toegang tot de Persoonsgegevens aan haar werknemers voor zover dit nodig is voor het verrichten van de diensten op grond van de Onderliggende Overeenkomst.
3.6. Verwerker mag de Persoonsgegevens enkel buiten Nederland verwerken met voorafgaande schriftelijke toestemming van de Verantwoordelijke.
3.7. Verwerker zal geen Persoonsgegevens aan een derde verstrekken of ter beschikking stellen tenzij op grond van een uitdrukkelijke schriftelijke opdracht van Verantwoordelijke of op bevel van een gerechtelijke of bestuurlijke instantie, op voorwaarde dat Verwerker in dat geval Verantwoordelijke binnen 24 uur na ontvangst van een dergelijk bevel daarvan in kennis stelt om Verantwoordelijke zodoende in staat te stellen daartegen een haar ter beschikking staand rechtsmiddel in te stellen, tenzij deze kennisgeving aan Verantwoordelijke wettelijk is verboden.
3.8. Indien Verwerker van oordeel is dat zij op grond van een wettelijke verplichting Persoonsgegevens ter beschikking dient te stellen aan een daartoe bevoegde instantie zal zij daar niet toe overgaan, dan na overleg met en goedkeuring van Verantwoordelijke. Zij zal Verantwoordelijke zo spoedig mogelijk schriftelijk in kennis stellen van de wettelijke verplichting en daarbij alle relevante informatie verstrekken die Verantwoordelijke redelijkerwijs nodig heeft om de benodigde maatregelen te treffen om te bepalen of verstrekking kan plaatsvinden en, zo ja, onder welke voorwaarden.
3.9. Verwerker dient Verantwoordelijke onverwijld en zo mogelijk niet later dan 24 uur nadat Xxxxxxxxx ervan kennis heeft gekregen, in kennis te stellen van iedere inbreuk op de beveiliging van Persoonsgegevens, met bijvoorbeeld de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of ongeoorloofde toegang tot Persoonsgegevens10) tot gevolg en Verantwoordelijke alle noodzakelijke informatie en medewerking te verlenen om de Verantwoordelijke in staat te stellen zo spoedig mogelijk de oorzaak en de omvang hiervan vast te stellen.
3.10. Verwerker dient Verantwoordelijke in kennis te stellen van alle verzoeken met betrekking tot inzage in de Persoonsgegevens die rechtstreeks van een Betrokkene zijn ontvangen. Verwerker geeft aan een dergelijk verzoek alleen gevolg indien Verantwoordelijke Verwerker daartoe schriftelijk opdracht heeft gegeven.
3.11. Verwerker handelt alle verzoeken om inlichtingen van Verantwoordelijke met betrekking tot de verwerking van de Persoonsgegevens vlot en behoorlijk af.
3.12. Verwerker mag uitsluitend na voorafgaande schriftelijke toestemming van Verantwoordelijke een derde inschakelen bij de uitvoering van deze Overeenkomst, onder de voorwaarden die Verantwoordelijke daarbij stelt.
4 Beveiligingsmaatregelen en inspectie
4.1. Verwerker neemt alle passende technische en organisatorische maatregelen om Persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking.
4.2. Verwerker heeft in ieder geval de volgende maatregelen genomen:
- Verwerker voert ten aanzien van beveiligingsbedreigingen en kwetsbaarheden een actief risicomanagement proces waarbij aantoonbaar actief wordt omgegaan met gemelde en gesignaleerde kwetsbaarheden.
- Verwerker laat jaarlijks door een derde, externe partij een beveiligingstest op de technische infrastructuur uitvoeren.
- Alle datadragers bevinden zich in Nederland.
4.3. Verwerker informeert Verantwoordelijke over wijzigingen in deze beveiligingsmaatregelen
4.4. Verwerker staat toe dat Verantwoordelijke de naleving van de beveiligingsmaatregelen door Verwerker inspecteert of dat op verzoek van Verantwoordelijke de gegevensverwerkingsfaciliteiten van Verwerker door een door Verantwoordelijke aan te wijzen onderzoeksinstantie worden geïnspecteerd in verband met de verwerkingsactiviteiten die onder deze Overeenkomst vallen ('de Inspectie'). De Inspectie wordt uitgevoerd door een onderzoeksinstantie, die naar het redelijk oordeel van Verantwoordelijke neutraal en deskundig is. Verantwoordelijke draagt zorg dat de onderzoeksinstantie is verplicht tot geheimhouding van haar bevindingen tegenover derden.
4.5. Verantwoordelijke zal alle kosten, vergoedingen en onkosten in verband met de Inspectie betalen, met inbegrip van redelijke door Verwerker gemaakte interne kosten.
4.6. Verantwoordelijke zal Verwerker een exemplaar van het rapport van de Inspectie verstrekken.
5 Verplichtingen Verantwoordelijke
5.1. Verantwoordelijke is ten aanzien van de Verwerking van Persoonsgegevens krachtens deze Overeenkomst de 'Verantwoordelijke' zoals omschreven in artikel 1 sub d AVG.
5.2. Verantwoordelijke gaat ermee akkoord en staat er voor in dat de verwerking van de Persoonsgegevens overeenkomstig de Verwerkersovereenkomst in overeenstemming is met de AVG.
6.Datalekken
6.1. In geval van een ontdekking van een mogelijk Datalek informeert Verwerker Verantwoordelijke zo spoedig mogelijk hierover maar uiterlijk binnen 24 uur na de eerste ontdekking, per e-mail naar het bij Verwerker bekende e-mailadres en verstrekt de benodigde informatie om indien nodig een melding bij de toezichthouder te kunnen doen. Verantwoordelijke zorgt voor het up to date houden van het e-mail adres waarnaar de informatie wordt verstuurd.
6.2 Na de melding van een Datalek houdt Verwerker Verantwoordelijke op de hoogte van nieuwe ontwikkelingen rondom het Datalek en de maatregelen die Verwerker heeft getroffen om de omvang van het Datalek te beperken en te beëindigen en een soortgelijk incident in de toekomst te kunnen voorkomen.
6.3 Het niet toegestaan dat Verwerker een melding van een Datalek doet aan de Toezichthouder en ook mag Verwerker de Betrokkenen niet informeren over het Datalek. Dit is de verantwoordelijkheid van de Verantwoordelijke.
6.4 Eventuele kosten die gemaakt worden om het Datalek op te lossen en in de toekomst te kunnen voorkomen, komen voor rekening van degene die de kosten maakt
7 Aansprakelijkheid
7.1. Verwerker is aansprakelijk voor alle schade voortvloeiende uit of verband houdend met het niet-nakomen van deze Overeenkomst dan wel handelen in strijd met de AVG.
7.2. Verwerker vrijwaart Verantwoordelijke tegen aanspraken van derden, waaronder Xxxxxxxxxxx, in verband met het toerekenbaar tekort schieten van Verwerker in de nakoming van de Overeenkomst of overtreding door Verwerker van de AVG en zal alle daarmee verband houdende en daaruit voortvloeiende kosten (waaronder mede begrepen kosten van juridische bijstand) en schade van Verantwoordelijke vergoeden.
8 Beëindiging
8.1. De Overeenkomst is voor onbepaalde tijd aangegaan en eindigt op het tijdstip dat de Onderliggende Overeenkomst eindigt.
8.2. Onverminderd andersluidende schriftelijke opdracht van Verantwoordelijke zal Verwerker in geval van beëindiging van de Overeenkomst onverwijld alle aan haar ter beschikking gestelde Persoonsgegevens aan Verantwoordelijke retourneren en alle digitale kopieën van Persoonsgegevens vernietigen en aan Verantwoordelijke verklaren dat zij dit heeft uitgevoerd. Indien naar het redelijk oordeel van Verwerker een zelfstandige wettelijke verplichting van Verwerker het geheel of gedeeltelijk retourneren of vernietigen van de Persoonsgegevens door Verwerker verbiedt of beperkt zal zij Verantwoordelijke zo spoedig mogelijk schriftelijk in kennis stellen van de wettelijke verplichting en daarbij alle relevante informatie verstrekken die Verantwoordelijke redelijkerwijs nodig heeft om te bepalen of vernietiging kan plaatsvinden en, zo ja, onder welke voorwaarden. Indien naar het redelijk oordeel van Verantwoordelijke de wettelijke verplichting (gedeeltelijke) vernietiging van de Persoonsgegevens door Verwerker toelaat zal Verwerker daartoe op verzoek van Verantwoordelijke onverwijld overgaan. Is Verantwoordelijke van oordeel dat vernietiging niet mag plaatsvinden, dan zal zij Verwerker daarvan schriftelijk op de hoogte stellen. Verwerker garandeert in dat geval de vertrouwelijkheid van de Persoonsgegevens jegens Verantwoordelijke en zal de Persoonsgegevens niet Verwerken behalve ter voldoening aan haar bovenbedoelde wettelijke verplichting of na schriftelijke opdracht van Verantwoordelijke.
9 Overdracht rechten en plichten
9.1. Deze Overeenkomst en de rechten en verplichtingen uit deze Overeenkomst kunnen door Verwerker niet aan derden worden overgedragen zonder de voorafgaande schriftelijke toestemming van Verantwoordelijke.
10 Deelbaarheid
10.1. Indien één of meer bepalingen van deze Overeenkomst niet rechtsgeldig blijkt te zijn, zal de Overeenkomst voor het overige van kracht blijven. Partijen zullen over de bepalingen welke niet rechtsgeldig zijn overleg plegen, teneinde een vervangende regeling te treffen die wel rechtsgeldig is en zoveel mogelijk aansluit bij de strekking van de te vervangen regeling.
11 Toepasselijk recht en geschillen
11.1. Nederlands recht is van toepassing op deze Overeenkomst.
11.2. Alle geschillen voortvloeiende uit of samenhangende met deze Overeenkomst zullen uitsluitend worden voorgelegd aan de bevoegde rechter te Amsterdam
Aldus overeengekomen en in tweevoud ondertekend te op
. Naam verantwoordelijke
..................................... Xxxxx Xxxxx
..................................... .....................................
Handtekening verantwoordelijke Handtekening Verwerker