Verwerkersovereenkomst 2.0
Deze Verwerkersovereenkomst maakt deel uit van iedere overeenkomst tussen WhiteVision B.V. en haar klanten en regelt de geheimhouding en verwerking van Persoonsgegevens conform de Algemene Verordening Gegevensbescherming (AVG). Deze Verwerkersovereenkomst is vastgesteld op 1 januari 2022 en vervangt alle eerdere versies.
PARTIJEN:
I. De besloten vennootschap met beperkte aansprakelijkheid WhiteVision B.V., “Verwerker” gevestigd en kantoorhoudende te (4822 NK) Breda aan de Lage Mosten 57 (KVK 61968781);
en
II. De “Verwerkingsverantwoordelijke” iedere afnemer van de diensten en producten van c.q. opdrachtgever van WhiteVision
OVERWEGEN ALS VOLGT:
- De dienstverlening van de Verwerker omvat het digitaal (laten) herkennen (OCR) en opslaan van de door Verwerkingsverantwoordelijke aangeleverde (digitale) documenten ten behoeve van (digitale) administratieve verwerking en archivering (hierna te noemen: de Dienst(en). Het verwerken van de gegevens is noodzakelijk om dit doel te kunnen bereiken, omdat niet langs een andere weg hetzelfde resultaat kan worden bereikt. De Persoonsgegevens worden dan ook noodzakelijkerwijs verwerkt;
- Verwerker de Dienst(en) aan Verwerkingsverantwoordelijke aanbiedt en daartoe één of meer overeenkomsten tot het leveren van de Dienst(en) met Verwerkingsverantwoordelijke heeft gesloten of zal sluiten, hierna gezamenlijk te noemen: “de Overeenkomst”;
- Verwerker bij het uitvoeren van de Overeenkomst gegevens zal verwerken waarvoor Verwerkingsverantwoordelijke verantwoordelijk is en blijft. Tot die gegevens behoren Persoonsgegevens en voor zover de Verwerkingsverantwoordelijke ze verwerkt mogelijk ook bijzondere Persoonsgegevens in de zin van de Algemene Verordening Gegevensbescherming (EU 2016/679) (AVG), hierna te noemen: “de Persoonsgegevens”;
- Partijen, willen, gelet op het bepaalde in artikel 28 lid 3 AVG, de voorwaarden van de verwerking van Persoonsgegevens in deze Verwerkersovereenkomst vastleggen;
KOMEN HET VOLGENDE OVEREEN:
Artikel 1. Definities
1. Verwerker: de besloten vennootschap met beperkte aansprakelijkheid WhiteVision B.V. gevestigd en kantoorhoudende te (4822 NK) Breda aan de Lage Mosten 57 (KVK 61968781) welke documenten met persoonsgegeven verwerkt ten behoeve van de te leveren diensten.
2. Verwerkingsverantwoordelijke: de natuurlijke of rechtspersoon die een Overeenkomst met Verwerker heeft afgesloten en diensten of producten van WhiteVision gebruikt of degene aan wie Verwerker een offerte daartoe heeft uitgebracht.
3. Dienst(en): de specifieke dienst(en) die Verwerker met Verwerkingsverantwoordelijke overeenkomt of is overeengekomen, zoals vermeld in de Overeenkomst dan wel in de offerte.
WhiteVision B.V. | Xxxx Xxxxxx 00, 0000 XX Xxxxx | Telefoon 076 560 78 20
E-mail xxxx@xxxxxxxxxxx.xx | IBAN XX00 XXXX 0000 0000 00 | KvK 61968781
4. Overeenkomst: de overeenkomst tussen Verwerker en Verwerkingsverantwoordelijke krachtens welke Verwerker de Dienst(en) zal uitvoeren c.q. producten zal leveren.
5. Website: de website van Verwerker, te bereiken via xxx.xxxxxxxxxxx.xx
6. Bijlage 1: lijst van verwerkingen.
7. Persoonsgegevens: tot een individu herleidbare gegevens zoals (maar niet uitsluitend) (voor)namen, adressen, telefoonnummers, IP-adressen, bankrekeningnummers, etc. zoals ter verwerking aangeboden door de Verwerkingsverantwoordelijke.
8. Betrokkene: iedere identificeerbare natuurlijke persoon van wie Persoonsgegevens worden verzameld.
Artikel 2. Algemeen
1. Deze Verwerkersovereenkomst hoort bij en maakt deel uit van de tussen WhiteVision (“Verwerker”), en haar wederpartij (“Verwerkingsverantwoordelijke”) gesloten overeenkomst, de Overeenkomst, in het kader van de uitvoering van de Dienst die Verwerkingsverantwoordelijke afneemt van Verwerker. Door gebruik te maken van de diensten en producten van WhiteVision aanvaardt en accepteert de Verwerkingsverantwoordelijke volledig en onvoorwaardelijke de bepalingen van deze Verwerkersovereenkomst.
2. Vanwege het groot aantal afnemers van de diensten en producten van WhiteVision kiest Verwerker ervoor deze Verwerkersovereenkomst generiek van toepassing te verklaren op al haar afnemers. Als de afnemer de Verwerkingsovereenkomst niet accepteert, dient zij dat ondubbelzinnig kenbaar te maken. Alsdan zal WhiteVision geen diensten en/of producten leveren.
3. Verwerker biedt Verwerkingsverantwoordelijke de mogelijkheid om de Dienst(en) af te nemen, waarbij Verwerker bij de uitvoering van de Dienst(en) voor en ten behoeve van Verwerkingsverantwoordelijke Persoonsgegevens kan verwerken. Bij deze verwerking van Persoonsgegevens kan Verwerkingsverantwoordelijke worden aangemerkt als Verwerkingsverantwoordelijke, of indien Verwerkingsverantwoordelijke de Persoonsgegevens ten behoeve van een derde partij Verwerkt als Verwerker. Verwerker vervult (afhankelijk van de hoedanigheid waarin Verwerkingsverantwoordelijke Persoonsgegevens Verwerkt) de rol van Verwerker of Subverwerker.
Artikel 3. Persoonsgegevens
1. De opdrachtgever van WhiteVision is Verwerkingsverantwoordelijke met betrekking tot alle Persoonsgegevens die WhiteVision in het kader van de Overeenkomst verwerkt en houdt volledige zeggenschap over de Persoonsgegevens (zowel die in het kader van de Overeenkomst als die door verdere verwerking zijn ontstaan) en is daarvoor verantwoordelijk. Indien Verwerkingsverantwoordelijke de Persoonsgegevens niet zelf met gebruikmaking van de systemen van Verwerker (heeft) verwerkt, verwerkt Verwerker de Persoonsgegevens uitsluitend op basis van schriftelijke instructies van Verwerkingsverantwoordelijke, onder meer met betrekking tot de eventuele doorgifte van Persoonsgegevens naar derde partijen buiten de Europese Unie. Verwerker mag de Persoonsgegevens anonimiseren. Geanonimiseerde gegevens mogen worden gebruikt voor onderzoek en het verbeteren van de producten en diensten van de Verwerker.
2. Verwerkingsverantwoordelijke garandeert dat de opdracht tot verwerking van de Persoonsgegevens in overeenstemming is met alle toepasselijke wet- en regelgeving.
Verwerkingsverantwoordelijke vrijwaart Verwerker tegen alle aanspraken van derden die op enigerlei wijze voortvloeien uit niet-naleving van deze garantie.
3. De verwerkingen van Persoonsgegevens geschieden uitsluitend in het kader van de Overeenkomst. Verwerker verwerkt Persoonsgegevens niet anders dan in de Overeenkomst voorzien. Met name gebruikt Verwerker de Persoonsgegevens niet voor eigen doeleinden.
4. In het geval een Betrokkene een verzoek omtrent inzage, correctie of verwijdering richt aan de Verwerker, zal de Verwerker het verzoek binnen twee werkdagen doorsturen aan de Verwerkingsverantwoordelijke, en zal de Verwerkingsverantwoordelijke het verzoek verder afhandelen. De Verwerker mag de Betrokkene daarvan op de hoogte stellen. Waar noodzakelijk zal verwerker ondersteunen bij het afhandelen van dergelijke verzoeken (wettelijke plicht AVG art 28.3.e)
5. De Verwerkingsverantwoordelijke blijft te allen tijde verantwoordelijk voor de gegevens zoals zij deze aan de Verwerker ter verwerking aanbiedt. De Verwerkingsverantwoordelijke staat ervoor in dat de verwerking plaatsvindt op basis van één van de 6 grondslagen als bedoeld in de AVG en is degene die – zo nodig - toestemming van de Betrokkene dient te verkrijgen, alvorens zij de gegevens ter verwerking aan de Verwerker aanbiedt.
Artikel 4. Doeleinden van verwerking
1. Verwerker verbindt zich onder de voorwaarden van deze Verwerkersovereenkomst in opdracht van Verwerkingsverantwoordelijke Persoonsgegevens te verwerken. Verwerking zal uitsluitend plaatsvinden in het kader van het uitvoeren van de diensten, zoals het herkennen en verwerken van documenten, plus die doeleinden die daarmee redelijkerwijs samenhangen of die met nadere instemming worden bepaald.
2. Verwerker zal in opdracht van Verwerkingsverantwoordelijke uitsluitend (bijzondere) Persoonsgegevens verwerken die in het kader van deze Verwerkersovereenkomst door Verwerkingsverantwoordelijke aan Verwerker zijn verstrekt. Het verstrekken van Persoonsgegevens aan Verwerker gebeurt uitsluitend op basis van een wettelijke grondslag. Verwerkingsverantwoordelijk is zelf verantwoordelijk voor de rechtmatigheid van de verwerking van bijzondere Persoonsgegevens.
3. Verwerker neemt geen zelfstandige beslissingen over het verwerken van de Persoonsgegevens voor andere doeleinden, waaronder over de verstrekking daarvan aan derden en de duur van de opslag van gegevens. De zeggenschap over Persoonsgegevens verstrekt aan Verwerker in het kader van deze Verwerkersovereenkomst of andere overeenkomsten tussen partijen, alsmede over de door Verwerker in dat kader verwerkte gegevens, berust bij Verwerkingsverantwoordelijke.
4. De Verwerker stelt ten behoeve van de verwerkingen van Persoonsgegevens aan de Verwerkingsverantwoordelijke de overeengekomen ICT-middelen ter beschikking, welke middelen door de Verwerkingsverantwoordelijke te gebruiken zijn voor de in voorgaand lid bedoelde doelen. De Verwerker is een passieve verwerker.
5. De in opdracht van Verwerkingsverantwoordelijke te verwerken Persoonsgegevens blijven eigendom van Verwerkingsverantwoordelijke en/of de betreffende Betrokkenen.
6. Verwerkingsverantwoordelijke is ervan op hoogte dat zij – als verantwoordelijke voor de verwerking van Persoonsgegevens een register dient bij te houden van de onder deze Verwerkersovereenkomst geregelde verwerkingen. Verwerkingsverantwoordelijke vrijwaart
Verwerker tegen alle aanspraken en claims die verband houden met het niet of niet juist naleven van deze registerplicht.
Artikel 5. Verplichtingen Verwerker
1. Verwerker draagt zorg voor de naleving van de toepasselijke wet- en regelgeving, waaronder in ieder geval begrepen de wet- en regelgeving op het gebied van de bescherming van Persoonsgegevens, zoals de Algemene Verordening Gegevensbescherming.
2. Verwerker zal Verwerkingsverantwoordelijke, op diens eerste schriftelijke verzoek daartoe, informeren over de door haar genomen maatregelen aangaande haar verplichtingen onder deze Verwerkersovereenkomst.
3. De verplichtingen van Verwerker die uit deze Verwerkersovereenkomst voortvloeien, gelden ook voor degenen die Persoonsgegevens verwerken onder het gezag van Verwerker, waaronder begrepen maar niet beperkt tot eventuele werknemers, in de ruimste zin van het woord.
4. Verwerker zal Verwerkingsverantwoordelijke de noodzakelijke medewerking verlenen wanneer er in het kader van een verwerking een gegevensbeschermingseffectbeoordeling, ook wel data protection impact assessment (DPIA) of voorafgaande raadpleging van de toezichthouder, noodzakelijk mocht zijn. Eventueel daarmee gepaard gaande kosten zijn voor rekening van Verwerkingsverantwoordelijke.
Artikel 6. Doorgifte van Persoonsgegevens
1. Verwerker verwerkt Persoonsgegevens in landen binnen de Europese Economische Ruimte. Verwerkingsverantwoordelijke geeft Xxxxxxxxx daarnaast toestemming voor de Verwerking van Persoonsgegevens in landen buiten de Europese Economische Ruimte, voor zover (Sub-) Verwerker de daarvoor geldende wet- en regelgeving (waaronder de AVG) in acht neemt.
Artikel 7. Verdeling van verantwoordelijkheid
1. Verwerker is louter verantwoordelijk voor de verwerking van de Persoonsgegevens onder deze Verwerkersovereenkomst, overeenkomstig de instructies van Verwerkingsverantwoordelijke en onder de uitdrukkelijke (eind)verantwoordelijkheid van Verwerkingsverantwoordelijke. Voor de overige verwerkingen van Persoonsgegevens, waaronder in ieder geval begrepen maar niet beperkt tot de verzameling van de Persoonsgegevens door Verwerkingsverantwoordelijke, verwerkingen voor doeleinden die niet door Verwerkingsverantwoordelijke aan Verwerker zijn gemeld, verwerkingen door derden en/of voor andere doeleinden, is Verwerker uitdrukkelijk niet verantwoordelijk.
2. Verwerkingsverantwoordelijke garandeert dat de inhoud, het gebruik en de opdracht tot de verwerkingen van de Persoonsgegevens zoals bedoeld in deze Overeenkomst, niet onrechtmatig zijn en geen inbreuk maken op enig recht van derden.
3. Verwerkingsverantwoordelijke staat te allen tijde in voor de rechtmatigheid van deze Verwerkingen en dat zijn systemen en infrastructuur te allen tijde adequaat beveiligd zijn.
4. Het is aan Verwerkingsverantwoordelijke om te beoordelen of Verwerker afdoende garanties biedt met betrekking tot het toepassen van passende technische en organisatorische maatregelen opdat de Verwerking aan de vereisten van de Algemene Verordening Gegevensbescherming en/of enige andere toepasselijke wet- en regelgeving voldoet en de bescherming van de rechten van Betrokkenen voldoende zijn gewaarborgd.
5. Onverminderd de overige rechten van Verwerker c.q. Verwerkingsverantwoordelijke, vrijwaren partijen elkaar ten aanzien van eventuele schade, aanspraken van derden en door toezichthouders opgelegde boetes, indien de ene of andere partij in strijd handelt met deze Verwerkersovereenkomst, de bijbehorende bijlage en/of de Algemene Verordening Gegevensbescherming en/of enige andere toepasselijke wet- en regelgeving.
6. De Verwerker stelt de Verwerkingsverantwoordelijke onmiddellijk in kennis indien naar haar mening een instructie inbreuk oplevert op de Algemene Verordening Gegevensbescherming en/of enige andere toepasselijke wet- en regelgeving inzake gegevensbescherming.
Artikel 8. Inschakelen van derden of Subverwerkers
1. Verwerker mag in het kader van deze Verwerkersovereenkomst gebruikmaken van derden (Sub)Verwerkers. De Verwerker informeert de Verwerkingsverantwoordelijke actief over (wijzigingen) in de (Sub)Verwerkers aan wie zij de verwerking (deels) overlaat. De Verwerker is verantwoordelijk voor het gedrag van deze derde.
De huidige Subverwerkers zijn terug te vinden op onze website; xxxxx://xxx.xxxxxxxxxxx.xx/xxxxxxxxxxxxx/.
2. Verwerkingsverantwoordelijke heeft het recht om (vooraf) tegen, door Verwerker in te schakelen (Sub)Verwerker(s), bezwaar te maken. Verwerker heeft dan de keuze de verwerking te staken of een alternatief aan te bieden. Verwerkingsverantwoordelijke is gehouden de door Verwerker dientengevolge te maken hogere kosten te vergoeden.
3. Verwerker legt deze derden schriftelijk dezelfde plichten op als tussen Verwerkingsverantwoordelijke en Verwerker zijn overeengekomen met betrekking tot de verwerking van Persoonsgegevens.
Artikel 9. Beveiliging
1. Verwerker zal de passende technische en organisatorische maatregelen (state-of-the-art) nemen met betrekking tot de te verrichten verwerkingen van Persoonsgegevens die artikel 32 van de AVG van haar eist, een en ander tegen verlies of tegen enige vorm van onrechtmatige verwerking (zoals onbevoegde kennisname, aantasting, wijziging of verstrekking van de Persoonsgegevens).
2. De Verwerker en Verwerkingsverantwoordelijke leggen voor het gedeelte waarvoor zij verantwoordelijk zijn, passende technische en organisatorische maatregelen ten uitvoer om Persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau, gelet op de risico’s die de verwerking en de aard van de te beschermen gegevens met zich meebrengen. Het gaat dan bijvoorbeeld om:
(i) bedrijfsprocessen van de Verwerkingsverantwoordelijke die dienen te voldoen aan de AVG;
(ii) autorisatiemodellen waarbij personeel dat niets met bepaalde gegevens te maken heeft, geen toegang heeft tot die gegevens;
(iii) beveiliging werkstations;
4. Verwerker staat er niet voor in dat de beveiliging onder alle omstandigheden doeltreffend is. Indien een uitdrukkelijk omschreven beveiliging in deze Verwerkersovereenkomst ontbreekt, zal Verwerker zich inspannen dat de beveiliging zal voldoen aan een niveau dat, gelet op de stand van de techniek, de gevoeligheid van de Persoonsgegevens en de aan het treffen van de beveiliging verbonden kosten, niet onredelijk is.
5. Verwerker draagt er zorg voor dat de personen die bij Verwerker aan de verwerkingen meewerken, zulks niet beperkt tot haar werknemers, gebonden zijn aan een geheimhoudingsverplichting ter zake van de Persoonsgegevens.
6. Verwerker zal Verwerkingsverantwoordelijke, voor zover redelijkerwijs mogelijk, bijstand verlenen bij het (doen) nakomen van diens plicht onder de AVG tot het treffen van passende technische en organisatorische maatregelen teneinde een op het risico afgestemd beveiligingsniveau te waarborgen. Eventueel daarmee gepaard gaande kosten zijn voor rekening van Verwerkingsverantwoordelijke.
7. Indien de Verwerker vermoedt, of te weten is gekomen, dat de Persoonsgegevens van de Verwerkingsverantwoordelijke gecompromitteerd zijn (security breach of datalek), of zijn geweest, meldt de Verwerker dit zo spoedig mogelijk aan de Verwerkingsverantwoordelijke.
Artikel 10. Meldplicht
1. In het geval van een beveiligingslek en/of een datalek (waaronder wordt verstaan: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins Verwerkte gegevens) zal Verwerker zich naar beste kunnen inspannen om Verwerkingsverantwoordelijke daarover zo snel mogelijk, doch uiterlijk binnen twee werkdagen na ontdekking, in een door Verwerker te bepalen gangbaar formaat te informeren.
2. Naar aanleiding van de door Verwerker verstrekte informatie beoordeelt Verwerkingsverantwoordelijke of zij de toezichthoudende autoriteiten en/of de Betrokkenen zal informeren of niet. Het is uitsluitend aan Verwerkingsverantwoordelijke om te vast te stellen of hij het datalek dient te melden aan de Autoriteit Persoonsgegevens en/of aan betreffende Betrokkenen. Verwerker kan daarbij desgevraagd tegen het overeengekomen tarief adviseren.
3. Verwerker spant zich naar beste kunnen in om de verstrekte informatie volledig, correct en accuraat te maken. Verwerker zal voorts alle redelijke maatregelen nemen om (verdere) schending van de bepalingen van de AVG te voorkomen of te beperken. Verwerkingsverantwoordelijke stemt er bij voorbaat mee in dat Verwerker in dat kader derden kan inschakelen zonder Verwerkingsverantwoordelijke daarover voorafgaand in te lichten.
4. Indien de wet- en/of regelgeving dit vereist zal Verwerker meewerken aan het informeren van de ter zake relevante autoriteiten en eventueel Betrokkenen. Verwerkingsverantwoordelijke is verantwoordelijk voor het melden naar de relevante autoriteiten.
5. De meldplicht behelst voor Verwerker in ieder geval het melden aan Verwerkingsverantwoordelijke van het feit dat er een lek is geweest, alsmede:
- wat de (vermeende) oorzaak is van het lek;
- wat het (vooralsnog bekende en/of te verwachten) gevolg is;
- wat de (voorgestelde) oplossing is;
- wat de reeds ondernomen maatregelen zijn;
- wat de contactgegevens voor de opvolging van de melding zijn;
- wie geïnformeerd is (zoals Xxxxxxxxxx zelf, Verwerkingsverantwoordelijke, toezichthouder).
6. Verwerker zal, voor zover redelijk, zulks rekening houdend met de aard van de verwerkingen en de stand van de techniek, Verwerkingsverantwoordelijke ondersteunen in het uitvoeren van haar wettelijke verplichtingen ten aanzien van het geconstateerde incident en haar medewerking daaraan verlenen. Verwerker is niet gehouden tot melding van een inbreuk in verband met Persoonsgegevens bij de Autoriteit Persoonsgegevens en/of de Betrokkene. Verwerker is dan ook niet aansprakelijk voor de (correcte en/of tijdige uitvoering van de) op Verwerkingsverantwoordelijke rustende meldplicht zoals bedoeld in artikelen 33 en 34 AVG.
7. Verwerker documenteert alle inbreuken in verband met de Persoonsgegevens als bedoeld in artikel 10 lid 1 van deze Verwerkersovereenkomst met inbegrip van de feiten omtrent de inbreuk in verband met de Persoonsgegevens, de gevolgen daarvan en de genomen corrigerende maatregelen. Deze documentatie verstrekt Verwerker uitsluitend aan Verwerkingsverantwoordelijke in geval van een verzoek van de Autoriteit Persoonsgegevens aan Verwerkingsverantwoordelijke, als bedoeld in artikel 33 lid 5 AVG.
Artikel 11. Rechten van Betrokkenen
1. In het geval dat een Betrokkene een verzoek tot uitoefening van zijn wettelijke rechten, zoals recht op inzage, verbetering, aanvulling, verwijdering en afscherming van zijn/ haar Persoonsgegevens waar de Verwerker toegang tot heeft, aan Verwerker richt, zal Verwerker het verzoek uiterlijk binnen twee werkdagen doorsturen aan Verwerkingsverantwoordelijke en de Betrokkene hiervan op de hoogte stellen. Verwerkingsverantwoordelijke zal het verzoek vervolgens verder zelfstandig afhandelen.
2. In het geval dat een Betrokkene een verzoek tot uitoefening van een van zijn wettelijke rechten aan Verwerkingsverantwoordelijke richt, zal Verwerker, indien Verwerkingsverantwoordelijke dit verlangt, medewerking verlenen voor zover dit mogelijk en redelijk is. Verwerker mag hiervoor redelijke kosten bij Verwerkingsverantwoordelijke in rekening brengen.
3. Verwerker zal een klacht van een Betrokkene over de verwerking van Persoonsgegevens binnen uiterlijk twee werkdagen doorsturen aan Verwerkingsverantwoordelijke, die verantwoordelijk is voor de behandeling van de klacht.
Artikel 12. Geheimhouding en vertrouwelijkheid
1. Op alle Persoonsgegevens die Verwerker van Verwerkingsverantwoordelijke ontvangt en/of zelf verzamelt in het kader van deze Verwerkersovereenkomst, rust een geheimhoudingsplicht jegens derden. Verwerker zal deze informatie niet voor een ander doel gebruiken dan waarvoor zij deze heeft verkregen, zelfs niet wanneer deze in een zodanige vorm is gebracht zodat deze niet tot Betrokkenen herleidbaar is.
2. Het anonimiseren van Persoonsgegevens is te kwalificeren als het verwerken van Persoonsgegevens. De Verwerkingsverantwoordelijke verleent Verwerker hiervoor uitsluitend in het kader van artikel 3.1 laatste zin toestemming.
3. Deze geheimhoudingsplicht is niet van toepassing:
- voor zover Verwerkingsverantwoordelijke uitdrukkelijke toestemming heeft gegeven om de informatie aan derden te verschaffen; of
- indien het verstrekken van de informatie aan derden logischerwijs noodzakelijk is voor de uitvoering van de Overeenkomst; of
- indien een wettelijke verplichting en/of een rechterlijk bevel Verwerker verplicht de informatie aan een derde te verstrekken; of
- ten aanzien van derden waaraan Persoonsgegevens in hun hoedanigheid als Subverwerker worden verstrekt.
4. Verwerker en Verwerkingsverantwoordelijk dragen er zorg voor dat Persoonsgegevens alleen op need-to-know basis toegankelijk zijn voor hun medewerkers en alleen toegankelijk zijn voor personeel dat belast is met het uitvoeren van de overeengekomen werkzaamheden.
Artikel 13. Audit
1. Verwerkingsverantwoordelijke heeft het recht audits uit te laten voeren door een onafhankelijke (ICT-)deskundige die aan geheimhouding is gebonden ter controle van naleving van alle punten uit deze Verwerkersovereenkomst.
2. De door Verwerkingsverantwoordelijke geïnitieerde audit vindt in beginsel twee weken na voorafgaande aankondiging door Verwerkingsverantwoordelijke en in beginsel maximaal eenmaal per jaar plaats.
3. Het onderzoek van Verwerkingsverantwoordelijke zal zich altijd beperken tot de systemen van Verwerker die voor de verwerkingen worden gebruikt.
4. Bij plaatsvinden van een audit zal Verwerker alle redelijkerwijs relevante informatie zo tijdig mogelijk en binnen een redelijke termijn, waarbij een termijn van maximaal twee weken redelijk is, ter beschikking stellen. Verwerkingsverantwoordelijke zal er zorg voor dragen dat de audit een zo min mogelijk bedrijf verstorend effect op de overige werkzaamheden van Verwerker veroorzaakt.
5. De bevindingen naar aanleiding van de uitgevoerde audit zullen door Partijen in onderling overleg worden beoordeeld en, naar aanleiding daarvan, al dan niet worden doorgevoerd door één van de Partijen of door beide Partijen gezamenlijk.
6. Verwerkingsverantwoordelijke draagt de kosten van de audit.
Artikel 14. Aansprakelijkheid
1. Verwerkingsverantwoordelijke draagt, onder meer, de verantwoordelijkheid van de verwerking van Persoonsgegevens en is uit dien hoofde volledig aansprakelijk voor (het gestelde doel van) de verwerkingen, het gebruik en de inhoud van de Persoonsgegevens, de verstrekking aan derden, de duur van de opslag van de Persoonsgegevens, de wijze van de verwerking en de daartoe gehanteerde middelen.
2. Verwerker is jegens Verwerkingsverantwoordelijke slechts aansprakelijk zoals partijen zijn overeengekomen in de Overeenkomst en/of de Algemene Voorwaarden van Verwerker.
3. De verwerker heeft een deugdelijke aansprakelijkheidsverzekering afgesloten die dekking biedt tot € 1.000.000,00 en verplicht zich de premies ter zake deze verzekering te voldoen. In voorkomend geval zal de aansprakelijkheid van de Verwerker in totaal nooit meer bedragen dan het bedrag dat de verzekeraar aan de Verwerker ter zake uitkeert.
4. Onverminderd het bepaalde in dit artikel is Verwerker slechts aansprakelijk voor schade die door de verwerking is veroorzaakt in het geval dat bij deze verwerking niet is voldaan aan specifiek tot Verwerker gerichte verplichtingen van de AVG of als buiten dan wel in strijd met rechtmatige instructies van Verwerkingsverantwoordelijke is gehandeld.
5. Onder directe schade wordt uitsluitend verstaan schade bestaande uit:
- schade direct toegebracht aan stoffelijke zaken (“zaakschade”);
- redelijke en aantoonbare kosten om Verwerker ertoe te manen deze Verwerkersovereenkomst (weer) deugdelijk na te komen;
- redelijke kosten ter vaststelling van de oorzaak en de omvang van de schade voor zover betrekking hebbende op de directe schade zoals hier bedoeld is; en
- redelijke en aantoonbare kosten die Verwerkingsverantwoordelijke heeft gemaakt ter voorkoming of beperking van de directe schade zoals in dit artikel bedoeld.
6. De aansprakelijkheid van Verwerker voor indirecte schade is uitgesloten. Onder indirecte schade wordt verstaan alle schade die geen directe schade is en daarmee in ieder geval, maar niet beperkt tot, gevolgschade, gederfde winst, gemiste besparingen, verminderde goodwill, schade door bedrijfsstagnatie, schade verband houdende met het gebruik van door Verwerkingsverantwoordelijke voorgeschreven gegevens of databestanden, of verlies, verminking of vernietiging van gegevens of databestanden.
7. Iedere vordering tot schadevergoeding door Verwerkingsverantwoordelijke tegen Verwerker vervalt door het enkele verloop van twaalf maanden na het ontstaan van de vordering.
8. Tenzij nakoming door de Verwerker blijvend onmogelijk is, ontstaat de aansprakelijkheid van de Verwerker wegens toerekenbare tekortkoming in de nakoming van de Overeenkomst slechts indien de Verwerkingsverantwoordelijke de Verwerker onverwijld schriftelijk in gebreke stelt, waarbij een redelijke termijn voor de zuivering van de tekortkoming wordt gesteld, en de Verwerker ook na die termijn toerekenbaar blijft tekortschieten in de nakoming van haar verplichtingen. De ingebrekestelling dient een zo volledig en gedetailleerd mogelijke omschrijving van de tekortkoming te bevatten, opdat de Verwerker in de gelegenheid wordt gesteld adequaat te reageren.
Artikel 15. Duur en beëindiging
1. Deze Verwerkersovereenkomst komt tot stand vanaf het moment waarop de Verwerkingsverantwoordelijke gebruik gaat maken van de diensten en producten van Verwerker. Deze Verwerkersovereenkomst blijft van kracht voor de duur van de Overeenkomst.
2. Deze Verwerkersovereenkomst eindigt op het moment dat de Overeenkomst eindigt, tenzij Verwerker na beëindiging van de Overeenkomst, om wat voor reden dan ook, nog altijd Persoonsgegevens van Verwerkingsverantwoordelijke verwerkt, in welk geval deze
Verwerkersovereenkomst van toepassing blijft zolang Verwerker de Persoonsgegevens nog verwerkt.
3. Verwerker is te allen tijde gerechtigd deze Verwerkersovereenkomst te wijzigen en/of aan te vullen indien dit noodzakelijk is om aan (toekomstige) wet- en regelgeving te voldoen. De meeste actuele versie van deze Verwerkersovereenkomst is te vinden op de website van Verwerker.
4. De verplichtingen uit deze Verwerkersovereenkomst die naar hun aard bestemd zijn om de beëindiging te overleven, blijven ook na beëindiging ervan van kracht.
Artikel 16. Bewaartermijnen, verwijdering en back-up
1. Verwerker zal de Persoonsgegevens na verloop van dertig dagen na het einde van de Overeenkomst wissen of, naar keuze van Verwerkingsverantwoordelijke, aan hem overdragen, tenzij de Persoonsgegevens in het kader van (wettelijke) verplichtingen van Verwerker langer dienen te worden bewaard, of als Verwerkingsverantwoordelijke Verwerker verzoekt de Persoonsgegevens langer te bewaren en Verwerker en Verwerkingsverantwoordelijke over de kosten en overige voorwaarden van dat langere bewaren overeenstemming hebben bereikt. Dit laatste onverminderd de verantwoordelijkheid van Verwerkingsverantwoordelijke de wettelijke bewaartermijnen in acht te nemen. Eventuele overdracht van (kopieën van) de Persoonsgegevens aan Verwerkingsverantwoordelijke geschiedt op kosten van Verwerkingsverantwoordelijke.
2. Verwerkingsverantwoordelijke is verantwoordelijk voor het bepalen van de (wettelijke) bewaartermijnen van de Persoonsgegevens en zal Verwerker daarover adequaat informeren. Verwerker zal de Persoonsgegevens niet langer bewaren dan overeenkomstig deze bewaartermijnen. Voor zover Persoonsgegevens op enigerlei wijze onder controle van Verwerkingsverantwoordelijke zijn, blijft Verwerkingsverantwoordelijke verantwoordelijk voor het tijdig wissen van die gegevens.
3. Onverminderd de specifieke bepalingen uit de Overeenkomst zal Verwerker de Persoonsgegevens op eerste verzoek van Verwerkingsverantwoordelijke wissen of aan hem terugbezorgen, en bestaande kopieën ervan verwijderen, tenzij Verwerker wettelijk verplicht is de Persoonsgegevens op te slaan. Verwerker zal Verwerkingsverantwoordelijke zodra de gegevens zijn vernietigd op diens verzoek daarvan een schriftelijke bevestiging geven.
Artikel 17. Slotbepalingen, toepasselijk recht en geschillenbeslechting
1. Deze Verwerkersovereenkomst en de uitvoering daarvan worden beheerst door Nederlands recht.
2. Alle geschillen, die in verband met deze Verwerkersovereenkomst tussen Partijen (mochten) ontstaan, zullen worden voorgelegd aan de bevoegde rechter van de rechtbank Zeeland – West
– Brabant te Breda.
3. Logs en door Verwerker gedane metingen geleden als dwingend bewijs, behoudens tegenbewijs te leveren door Verwerkingsverantwoordelijke.
4. Verwerkingsverantwoordelijke geeft door het aangaan en ondertekenen van de Overeenkomst aan uitdrukkelijk akkoord te zijn met de inhoud van deze Verwerkersovereenkomst. Voor alle afspraken geldt dat op het moment deze tegenstrijdig zijn met de Verwerkersovereenkomst, de Verwerkersovereenkomst prevaleert.
5. De verplichtingen uit deze Verwerkersovereenkomst gelden tevens voor ondernemingen van Partijen die behoren tot een groep van ondernemingen zoals bedoeld in artikel 2:24b van het Burgerlijk Wetboek en voor alle betrokken medewerkers van deze ondernemingen.
6. Deze Verwerkersovereenkomst is niet overdraagbaar en kan alleen met wederzijdse instemming worden gewijzigd, tenzij wettelijke verplichtingen nopen tot wijziging.
Bijlage 1: Verwerkingen van Persoonsgegevens
In deze bijlage proberen we aan te geven om wat voor Persoonsgegevens het gaat. Vanwege de in principe eindeloze variatie in Persoonsgegevens die door de Verwerkingsverantwoordelijke ter verwerking aan Verwerker worden aangeboden is deze bijlage per definitie onvolledig. Het is aan de Verwerkingsverantwoordelijke om een eigen, volledig, Verwerkingsregister aan te houden.
De Verwerkingsverantwoordelijke bepaalt uiteindelijk zelf welke Persoonsgegevens er worden verwerkt binnen de diensten uit de Hoofdovereenkomst door deze aan te bieden ter verwerking.
Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon; als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, IBAN-nummer, adresgegevens.
De Persoonsgegevens die Partijen mogelijk kunnen verwerken:
- Unieke referentie(s) (bijvoorbeeld klantnummer).
- Geboortedatum & geslacht.
- Gegevens met betrekking tot transacties/donaties/aankoopgeschiedenis/betalingen.
- Permissies (opt-ins).
- Identificatiegegevens (NAW).
- Fysieke gegevens.
- Persoonlijke kenmerken.
- Leefgewoonten.
- Psychische gegevens.
- Samenstelling van het gezin.
- Opleiding en vorming.
- Burgerservicenummer
- Gegevens betreffende de gezondheid.
- Lidmaatschappen.
- Beroep en betrekking.
- Financiële bijzonderheden.
De Persoonsgegevens hebben betrekking op de natuurlijke personen (Betrokkenen) die:
- een relatie hebben met Verwerkingsverantwoordelijke (bijvoorbeeld, maar niet beperkt tot: klanten, leden, bezoekers, leads, prospects, donateurs, gasten, medewerkers, consumenten, burgers);
- en/of zich hebben ingeschreven voor communicatie-uitingen van Verwerkingsverantwoordelijke.
De doeleinden van de verwerkingen van Persoonsgegevens worden bepaald door Verwerkingsverantwoordelijke. Voorbeelden van doeleinden zijn, maar beperken zich niet tot, marketing (-communicatie), onderzoek, wettelijke verplichtingen, administratieve verplichtingen, klantenwerving, uitvoering overeenkomst met Betrokkenen.
Voorbeelden van verwerkingen zijn, maar beperken zich niet tot: verzamelen, vastleggen, ordenen, segmenteren, filteren, structureren, opslaan, mailen, bijwerken of wijzigen, synchroniseren, verrijken, analyseren, opvragen, raadplegen, gebruiken, delen, verspreiden of op andere wijze ter beschikking stellen, combineren, afschermen, wissen of vernietigen.