VERWERKERSOVEREENKOMST

VERWERKERSOVEREENKOMST

TUSSEN:

De besloten vennootschap met beperkte aansprakelijkheid [ ] statutair gevestigd te [plaats] en kantoorhoudende te [plaats] (postcode) aan de [straat] (postcode) te [plaats], te dezen rechtsgeldig vertegenwoordigd door [ ]

Hierna genoemd de “Verantwoordelijke”,

EN:

De besloten vennootschap met beperkte aansprakelijkheid VOYS ONE B.V. statutair gevestigd te Groningen en kantoorhoudende aan de Xxxxxxxxx 0 (0000 XX) xx Xxxxxxxxx, te dezen rechtsgeldig vertegenwoordigd door J.B. Hoetmer.

Hierna genoemd de “Verwerker”,

Verantwoordelijke en Verwerker worden gezamenlijk aangeduid als “Partijen”, ieder individueel zijnde een “Partij:”

OVERWEGENDE DAT:

A. Partijen zijn een Voys One Overeenkomst aangegaan op grond waarvan Xxxxxxxxx in opdracht van Verantwoordelijke de telecom en aanverwante diensten daaraan verricht.

B. Bij de uitvoering van deze Overeenkomst verwerkt Verwerker ten behoeve van Verantwoordelijke persoonsgegevens in de zin van de AVG.

C. Partijen wensen hun wederzijdse rechten en verplichtingen met betrekking tot de verwerking van persoonsgegevens door Verwerker vast te leggen in deze Verwerkersovereenkomst.

D. Deze Verwerkersovereenkomst als bijlage zal worden opgenomen bij de Overeenkomst.

KOMEN OVEREEN:

1. DEFINITIES

In deze verwerkersovereenkomst wordt verstaan onder:

- AVG: de Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 (Algemene verordening gegevensbescherming).

- Betrokkene: degene op wie een Persoonsgegeven betrekking heeft;

- Datalek: elke inbreuk op de beveiliging, zoals bedoeld in artikel 32 AVG, die waarschijnlijk nadelige gevolgen heeft voor de rechten en vrijheden van natuurlijke personen dan wel nadelige gevolgen heeft voor de bescherming van Persoonsgegevens die door Verwerker worden verwerkt, zoals bedoeld in artikel 33 AVG;

- Overeenkomst: de overeenkomst zoals bedoeld in overweging A;

- Persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon dat Xxxxxxxxx op grond van de Overeenkomst verwerkt of dient te verwerken;

- Sub-verwerker: een door Verwerker bij de uitvoering van deze Overeenkomst ingeschakelde derde.

- Verwerkersovereenkomst: deze Verwerkersovereenkomst, een en ander zoals bedoeld in artikel 28 lid 3 AVG;

- Verwerking: een verwerking of een geheel van verwerkingen met betrekking tot Persoonsgegevens of een geheel van Persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren, of combineren, afschermen, wissen of vernietigen van Persoonsgegevens.

2. REIKWIJDTE VAN DE OVEREENKOMST

a. Tenzij Partijen schriftelijk anders overeenkomen, zijn de bepalingen uit deze Verwerkersovereenkomst van toepassing op iedere Verwerking van Verwerker op grond van de Overeenkomst.

3. ALGEMENE VERPLICHTINGEN VERWERKER

a. Verwerker verwerkt de Persoonsgegevens slechts in opdracht van Verantwoordelijke, behoudens afwijkende wettelijke verplichtingen, en in overeenstemming met de op Verwerker toepasselijke wet- en regelgeving, de Overeenkomst, de Verwerkersovereenkomst en alle redelijke schriftelijke instructies van Verantwoordelijke met betrekking tot de Verwerking van de Persoonsgegevens.

b. Verwerker zal de Persoonsgegevens uitsluitend verwerken voor zover nodig om diensten als bedoeld in de Overeenkomst aan Verantwoordelijke te leveren. Verwerker zal de Persoonsgegevens niet verwerken voor andere doeleinden, tenzij hij daartoe schriftelijk is geautoriseerd door Verantwoordelijke.

c. De Verantwoordelijke laat de Verwerker de volgende Persoonsgegevens door Verwerker verwerken:

(1) Naam (initialen, achternaam)

(2) Telefoonnummer

(3) Geboortedatum

(4) Geslacht

(5) Woonplaats

De werkzaamheden waarvoor bovengenoemde Persoonsgegevens mogen worden verwerkt zijn:

(1) de hosting (Sub-verwerker): Source2Cloud Services B.V., Mitel Netherlands B.V., Motto Voip B.V. en Databarn Amsterdam B.V.

(2) toeleverancier: VoIPGRID B.V.

(3) het hosten van persoonsgegevens van de Verantwoordelijke (waaronder belgegevens van diens klanten);

(4) het plegen van onderhoud (updates, nieuwe releases etc.) op het netwerk;

d. Verwerker heeft geen zeggenschap over het doel en de middelen voor de verwerking van de Persoonsgegevens. De zeggenschap over de Persoonsgegevens komt nooit bij Verwerker te berusten.

e. De Verantwoordelijke kan additionele, schriftelijke instructies aan Verwerker geven vanwege aanpassingen of wijzigingen in de van toepassing zijnde regelgeving op het gebied van bescherming van Persoonsgegevens.

f. Alle rechten en titels in de Persoonsgegevens verstrekt aan Verwerker of verzameld of gegenereerd door Verwerker in het kader van de Overeenkomst, blijven rusten bij Verantwoordelijke.

g. Indien Verantwoordelijke van Verwerker verlangt dat Verwerker ten

behoeve van de uitvoering van deze Verwerkersovereenkomst een investering maakt of Verantwoordelijke Verwerker een instructie geeft om een investering te maken, dan zullen partijen hierover in overleg treden.

4. GEHEIMHOUDING

a. Verwerker verplicht de personen die in zijn dienst zijn, dan wel werkzaamheden voor hem verrichten, tot geheimhouding met betrekking tot al hetgeen waarvan zij met betrekking tot de uitvoering van deze Verwerkersovereenkomst kennis kunnen nemen. Indien dit voor voornoemde personen niet reeds contractueel is vastgelegd, zal Verwerker deze personen een geheimhoudingsverplichting opleggen voor de Persoonsgegevens waarvan zij kennis zullen nemen. Deze verplichting zal schriftelijk worden vastgelegd en een kopie daarvan zal aan de Verantwoordelijke ter inzage worden aangeboden op diens eerste verzoek.

5. GEEN VERDERE VERSTREKKING

a. Verwerker zal onder geen omstandigheden de Persoonsgegevens delen met of verstrekken aan derden (waaronder betrokkenen/ sub-verwerkers), tenzij Verwerker daartoe voorafgaande, schriftelijke toestemming of opdracht heeft verkregen of op grond van dwingendrechtelijke regelgeving daartoe verplicht is.

b. Indien Verwerker op grond van dwingendrechtelijke regelgeving of een rechterlijk gebod verplicht is om de Persoonsgegevens te delen met of te verstrekken aan derden, dan zal Verwerker de Verantwoordelijke hierover voorafgaand schriftelijk en onverwijld volledig informeren, tenzij dit uitdrukkelijk niet is toegestaan onder de genoemde regelgeving.

6. BEVEILIGINGSMAATREGELEN

a. Verwerker zal – rekening houdend met de van toepassing zijnde regelgeving op het gebied van bescherming van Persoonsgegevens, de stand van de techniek, de kosten van tenuitvoerlegging, de aard van de Persoonsgegevens en de risico’s – technische en organisatorische beveiligingsmaatregelen ten uitvoer leggen om te zorgen voor beschikbaarheid, integriteit en vertrouwelijkheid van de Persoonsgegevens en om de Persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking zoals bedoeld in artikel 32 AVG. De beveiligingsmaatregelen van Verwerker zijn conform wet- en regelgeving.

b. Deze maatregelen omvatten in ieder geval:

- fysieke maatregelen voor toegangsbeveiliging, incl. organisatorische controle..

- logische toegangscontrole voor toegang tot persoonsgegevens.

- kluis voor opslag van gegevensbestanden.

- controle van toegekende bevoegdheden.

- externe audits op de organisatie.

- maatregelen om te waarborgen dat enkel bevoegd personeel toegang heeft tot de Persoonsgegevens voor de doeleinden die zijn uiteengezet in de Overeenkomst.

-maatregelen waarbij Verwerker zijn medewerkers, sub-verwerkers uitsluitend toegang geeft tot Persoonsgegevens via op naam gestelde accounts, waarbij het gebruik van die accounts adequaat gelogd wordt en waarbij de betreffende accounts alleen toegang geven tot die Persoonsgegevens waartoe de toegang voor de betreffende persoon noodzakelijk is;

-maatregelen om de Persoonsgegevens te beschermen tegen onopzettelijke of onrechtmatige vernietiging, onopzettelijk verlies of wijziging, onbevoegde of onrechtmatige opslag verwerking, toegang of openbaarmaking;

-maatregelen om zwakke plekken te identificeren ten aanzien van de verwerking van Persoonsgegevens in de systemen die worden ingezet voor het verlenen van diensten aan Verantwoordelijke;

-maatregelen om de tijdige beschikbaarheid van de gegevens te garanderen, een en ander zoals nader uitgewerkt i in de Overeenkomst;

-de overige maatregelen die Partijen in de Overeenkomst zijn overeengekomen.

c. Verwerker heeft te allen tijde een passend, schriftelijk beveiligingsbeleid geïmplementeerd voor de verwerking van Persoonsgegevens, waarin in ieder geval de in lid 2 van dit artikel genoemde maatregelen zullen zijn beschreven.

d. De Persoonsgegevens zullen uitsluitend worden opgeslagen en verwerkt binnen de Europese Economische Ruimte (EER). Verwerker draagt er zorg voor dat de Persoonsgegevens op geen enkele wijze buiten de EER worden verwerkt, niet via opslag in de cloud, noch door verwerking door ingeschakelde Derden vanuit een locatie buiten de Europese Unie, zoals in het kader van onderhoud op de IT-systemen, tenzij Verantwoordelijke daar vooraf schriftelijke toestemming voor heeft gegeven. Aan deze toestemming kan Verantwoordelijke aanvullende eisen stellen.

7. REGISTER

a. Verantwoordelijke houdt een register bij zoals bedoeld in artikel 30 lid 1 AVG, indien geen sprake is van de uitzondering zoals genoemd in artikel 30 lid 5 AVG.

b. Verwerker houdt een register bij zoals bedoeld in artikel 30 lid 2 AVG van alle categorieën van verwerkingsactiviteiten die zij ten behoeve van de Verantwoordelijke heeft verricht en is ervoor verantwoordelijk dat dit register volledig en juist is, indien geen sprake is van de uitzondering zoals genoemd in artikel 30 lid 5 AVG.

c. Dit register bevat de volgende gegevens:

- De naam en contactgegevens van de Verwerker en Verantwoordelijke(n), diens vertegenwoordigers en indien van toepassing diens functionarissen voor gegevensbescherming.

-De categorieën van verwerkingen die voor rekening van de Verantwoordelijke zijn uitgevoerd.

-Indien van toepassing aan welk derde land buiten de EER of welke internationale organisatie Persoonsgegevens worden doorgegeven.

- Een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen.

8. PRIVACY TEAM

a. Voys One B.V. heeft privacybescherming hoog in het vaandel staan. Ondanks dat zij onder de uitzondering valt om een Functionaris voor de Gegevensverwerking aan te stellen, beschikt zij over meerdere Privacy en Security Officers.

9. INLICHTINGEN EN MEDEWERKINGSPLICHT

a. Verwerker zal Verantwoordelijke op verzoek alle inlichtingen verschaffen over de Verwerking van de Persoonsgegevens door Verwerker of

Sub-verwerkers. Verwerker zal de gevraagde inlichtingen zo snel mogelijk verstrekken, doch uiterlijk binnen drie werkdagen.

b. Verwerker zal Verantwoordelijke op verzoek alle medewerking verlenen in geval van een klacht, vraag of verzoek van een Betrokkene, dan wel onderzoeken of inspecties door de Autoriteit Persoonsgegevens.

c. Als Verwerker rechtstreeks van een Betrokkene een verzoek om inzage, correctie of verwijdering van zijn of haar Persoonsgegevens ontvangt, informeert Verwerker Verantwoordelijke binnen twee werkdagen over de ontvangst van het verzoek. Verwerker voert per omgaande alle instructies uit die Verantwoordelijke aan Verwerker geeft als gevolg van zodanig verzoek van Xxxxxxxxxx.

d. Verwerker zal Verantwoordelijke onmiddellijk op de hoogte stellen van iedere wijziging in de organisatiestructuur van Verwerker of de zeggenschap over Verwerker voor zover die een significante invloed hebben op de wijze waarop de Persoonsgegevens worden verwerkt of

beschermd of op de verplichtingen van Verwerker op grond van deze Overeenkomst.

10. AUDIT EN CONTROLE

a. Verantwoordelijke kan de verplichtingen laten toetsen door een nader te definiëren auditgroep en/of Registeraccountant en/of Register EDP Auditor. Voys zal zo spoedig als redelijkerwijs mogelijk is redelijke medewerking verlenen aan een dergelijk onderzoek waaronder het toegang verlenen tot terzake relevante informatie. In geval van overmacht zullen partijen in overleg treden teneinde de consequenties daarvan te bespreken. Mondelinge mededelingen, toezeggingen of afspraken hebben geen rechtskracht.

11. MONITORING, INCIDENTEN EN DATALEKKEN

a. Xxxxxxxxx zal actief monitoren op inbreuken op de beveiligingsmaatregelen en over de resultaten van de monitoring in overeenstemming met artikel 9 rapporteren aan Verantwoordelijke.

b. Zo spoedig mogelijk, doch uiterlijk binnen 24 uur nadat Xxxxxxxxx kennisneemt van een incident of datalek (van welke aard dan ook) dat (mede) betrekking heeft of kan hebben op de Persoonsgegevens, stelt Verwerker Verantwoordelijke hiervan op de hoogte via de bij Verwerker bekende contactgegevens van Verantwoordelijke. Verwerker zal hierbij in ieder geval informatie verstrekken over het volgende: de aard van het incident of datalek, de (mogelijk) getroffen Persoonsgegevens, de vastgestelde en verwachte gevolgen van het incident of datalek op de Persoonsgegevens en de maatregelen die Verwerker getroffen heeft en zal treffen.

c. Verwerker zal voor eigen rekening alle benodigde maatregelen treffen die nodig zijn om de (mogelijke) schade te beperken en zal Verantwoordelijke volledig en onverwijld ondersteunen bij meldingen aan betrokkenen en/of autoriteiten.

d. Niettegenstaande eventuele aansprakelijkheden van Verwerker jegens de Betrokkenen op grond van de wet, vrijwaart Verwerker Verantwoordelijke van alle directe kosten en schade als gevolg van een Datalek.

e. Verwerker zal te allen tijde schriftelijke procedures voorhanden hebben die hem in staat stellen om Verantwoordelijke van een onmiddellijke reactie over een incident of datalek te voorzien, en om effectief samen te werken met Verantwoordelijke om het incident / datalek af te handelen. Verwerker zal Verantwoordelijke op diens eerste verzoek een kopie

verschaffen van de in dit lid 4 bedoelde schriftelijke procedures.

f. Verantwoordelijke zal, indien naar haar oordeel noodzakelijk, betrokkenen en andere derden, waaronder de Autoriteit Persoonsgegevens (AP) informeren over incidenten en/of datalekken. Het is Verwerker niet toegestaan om informatie te verstrekken over incidenten en/of datalekken aan betrokkenen en /of derden, tenzij Verwerker daartoe wettelijk verplicht is.

g. De afhandeling van incidenten en datalekken zal als volgt plaatsvinden: Tussen Partijen zijn met betrekking tot de verplichting om datalekken te melden de volgende afspraken gemaakt:

- Verwerker registreert alle Beveiligingsincidenten

- In geval van een Beveiligingsincident informeert Verwerker Verantwoordelijke binnen 24 (vierentwintig) uur;

- Met betrekking tot beveiligingsincidenten zijn de contactpersonen:

12. SUB-VERWERKERS

a. Indien Verwerker op grond van de Overeenkomst zijn verplichtingen mag uitbesteden aan derden, legt Verwerker aan de betreffende derden alle verantwoordelijkheden en verplichtingen die Verwerker op grond van deze Verwerkersovereenkomst heeft, schriftelijk op in een

sub-verwerkersovereenkomst. Het inschakelen van derden gebeurt in overeenstemming met hetgeen is bepaald in artikel 28 lid 2 en 4 AVG.

b. Verwerker zal voorafgaand aan de inwerkingtreding van deze Verwerkersovereenkomst aan Verantwoordelijke een overzicht verschaffen van de Sub-verwerker(s) die door Verwerker zijn ingeschakeld, alsmede een kopie van de met deze Sub-verwerker(s) gesloten sub-verwerkersovereenkomst(en).

13. AANSPRAKELIJKHEID

a. Verwerker is aansprakelijk, een en ander overeenkomstig hetgeen in artikel 82 AVG is bepaald, voor schade of nadeel, voortvloeiende uit de aan Verwerker toerekenbare schending van de wet- en regelgeving betreffende de verwerking van Persoonsgegevens in het kader van zijn werkzaamheden onder deze Verwerkersovereenkomst en/of

niet-nakoming van verplichtingen van Verwerker door Verwerker onder deze Verwerkersovereenkomst. Hieronder wordt tevens begrepen de aansprakelijkheid voor boetes die de Autoriteit Persoonsgegevens de Verantwoordelijke oplegt ten gevolge van een tekortkoming van de Verwerker in de nakoming van zijn verplichtingen op grond van deze Verwerkersovereenkomst.

b. Verwerker vrijwaart Verantwoordelijke tegen aanspraken van derden, waaronder Betrokkenen en de toezichthoudende autoriteiten, in verband

met het toerekenbaar tekortschieten van Verwerker in de nakoming van de Verwerkersovereenkomst of overtreding door Verwerker van de AVG en zal alle daarmee verband houdende kosten (waaronder mede begrepen kosten van juridische bijstand) en schade van Verantwoordelijke vergoeden.

14. DUUR EN BEËINDIGING

a. Deze Overeenkomst is geldig zolang Verwerker de opdracht heeft van Verantwoordelijke om Persoonsgegevens te verwerken op grond van de Overeenkomst tussen Verantwoordelijke en Verwerker. Deze Verwerkersovereenkomst eindigt automatisch zodra de Overeenkomst eindigt.

b. Bij beëindiging van deze Verwerkersovereenkomst heeft Verantwoordelijke twee (2) maanden de tijd, tenzij anders schriftelijk overeengekomen, om Verwerker te verzoeken om alle documenten en andere gegevensdragers, evenals kopieën daarvan, waarop of waarin zich Persoonsgegevens bevinden, te retourneren aan Verantwoordelijke, ongeacht of de inhoud is vervaardigd of gecreëerd door Verwerker, Verantwoordelijke of een derde. Na het verstrijken van deze termijn zal Verwerker tot definitieve vernietiging van de Persoonsgegevens overgaan.

c. Indien Verwerker op grond van een wettelijke bewaarplicht bepaalde Persoonsgegevens en/of documenten of andere gegevensdragers waarop of waarin zich Persoonsgegevens bevinden gedurende een wettelijke termijn moet bewaren, dan zal Verwerker zorgdragen voor de definitieve vernietiging van deze Persoonsgegevens en/of documenten, of andere gegevensdragers binnen vier (4) weken na beëindiging van de wettelijke bewaarplicht.

d. De wijze van vernietiging wordt vastgesteld in overleg met Verantwoordelijke en de Verwerker dient aan de Verantwoordelijke afdoende bewijs van de vernietiging te verstrekken.

e. In geval van retournering zal Verwerker de Persoonsgegevens verstrekken in de vorm zoals bij Verwerker aanwezig. Voor zover de Persoonsgegevens zich in een computersysteem bevinden of in een andere vorm waardoor de Persoonsgegevens redelijkerwijs niet kunnen worden verstrekt aan Verantwoordelijke, zal Verwerker aan Verantwoordelijke een toegankelijke, leesbare kopie van de Persoonsgegevens verstrekken.

f. Na beëindiging van de Verwerkersovereenkomst zal Verwerker geen Persoonsgegevens houden noch gebruiken.

g. Zo lang Verwerker Persoonsgegevens onder zich heeft blijven alle in deze Verwerkersovereenkomst genoemde restricties van kracht.

15. NIETIGHEID

a. Indien enige bepaling van deze Verwerkersovereenkomst nietig of anderszins niet afdwingbaar is, blijven de overige bepalingen onverminderd van kracht. Partijen zullen alsdan een bepaling overeenkomen, die de strekking van de nietige bepaling zoveel mogelijk benadert.

16. TOEPASSELIJK RECHT EN JURISDICTIE

a. Zit er een tegenstrijdigheid tussen deze Verwerkersovereenkomst en de Overeenkomst die jij met ons hebt gesloten, dan prevaleert de Verwerkersovereenkomst van Voys One B.V.

b. Op de Verwerkersovereenkomst is Nederlands recht van toepassing.

c. Alle geschillen in verband met de Overeenkomst of de uitvoering ervan worden voorgelegd aan de bevoegde rechter bij de rechtbank

Noord-Nederland, locatie Groningen.

Namens [ ] Namens Voys One B.V.

Naam: Naam: J.B. Hoetmer

Functie: Functie: Bestuurder Voys One B.V.

Datum: Datum: