Verwerkersovereenkomst
Verwerkersovereenkomst
Partijen
1. …………………………………………….. gevestigd te ……………………………………………
vertegenwoordigd door ………………………………., in de functie van ,
hierna “Verwerkingsverantwoordelijke”; en
2. De besloten vennootschap Voip4all B.V., statutair gevestigd te Kampen en kantoorhoudend te Kampen aan de Zambonistraat 3, 8263 CE, vertegenwoordigd door de xxxx X. Xxxxxx, hierna “Verwerker”;
Verwerkingsverantwoordelijke en Verwerker hierna afzonderlijk ook aan te duiden als “Partij” en gezamenlijk als “Partijen”;
Overwegingen
I. Verwerkingsverantwoordelijke heeft Xxxxxxxxx opdracht gegeven diensten te verrichten, zoals omschreven in de samenwerkingsovereenkomst tussen Partijen (hierna: “de Opdrachtovereenkomst”), waarbij Verwerker ten behoeve van Verwerkingsverantwoordelijke Persoonsgegevens in de zin van de Algemene Verordening Gegevensbescherming (EU 2016/679) (hierna: de “AVG”) zal verwerken;
II. Verwerker heeft (al dan niet op afstand) toegang tot de systemen en/of applicaties van Verwerkingsverantwoordelijke en hiermede inzage in persoonsgegevens;
Verwerkingsverantwoordelijke stelt – naast hetgeen in de Opdrachtovereenkomst is omschreven - de doelen en middelen voor de verwerking van Persoonsgegevens vast;
III. Partijen komen dienaangaande in deze verwerkersovereenkomst en in overeenstemming met Artikel 28 van de AVG, het volgende overeen :
Overeenkomst
1. Doelen en middelen
1.1. Verwerkingsverantwoordelijke bepaalt het doel en de middelen van de Verwerking en heeft volledige en eenzijdige zeggenschap over de Persoonsgegevens die Verwerkingsverantwoordelijke in het kader van de uitvoering van de Opdrachtovereenkomst aan Verwerker verstrekt.
1.2. Verwerker garandeert dat hij de Persoonsgegevens zal verwerken op behoorlijke en zorgvuldige wijze, in overeenstemming met de doelen van verwerking van Verwerkingsverantwoordelijke, de AVG, en andere toepasselijke regelgeving betreffende de verwerking van Persoonsgegevens, alsmede eventuele aanwijzingen of aanbevelingen van de Autoriteit Persoonsgegevens of een andere toezichthouder.
1.3. Verwerker zal de Persoonsgegevens uitsluitend verwerken in opdracht en volgens de instructies van Verwerkingsverantwoordelijke. Verwerker heeft geen zelfstandige zeggenschap over de Persoonsgegevens die door hem worden verwerkt.
2. Beveiliging
2.1. Verwerker zal, conform artikel 32 van de AVG, passende technische en organisatorische maatregelen nemen om de Persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking.
2.2. Indien Verwerker nalaat passende technische en organisatorische maatregelen in de zin van artikel 2.1 te nemen en betreffende maatregelen niet alsnog binnen een door Verwerkingsverantwoordelijke gestelde redelijke termijn (3 maanden) neemt, dan is Verwerkingsverantwoordelijke gerechtigd die maatregelen op kosten van Verwerker te laten uitvoeren.
3. Geheimhouding
3.1. Verwerker is verplicht de Persoonsgegevens geheim te houden en deze niet direct of indirect ter beschikking te stellen aan derden.
3.2. Verwerker zal ervoor zorgen dat de leden van het personeel en eventuele derde(n) die noodzakelijkerwijs van de Persoonsgegevens kennis dienen te nemen zich houden aan onderhavige geheimhoudingsverplichting, door hen een geheimhoudings- en integriteitsverklaring te laten ondertekenen. Bedoelde verklaringen worden in file gehouden bij Verwerker en worden digitaal en/of fysiek beschikbaar gesteld aan Verwerkingsverantwoordelijke op eerste verzoek daartoe.
4. Meldplicht datalekken
4.1. Verwerker zal de Verwerkingsverantwoordelijke informeren over feiten waarvan zij redelijkerwijze kan verwachten dat deze invloed kunnen hebben op de verwerking van Persoonsgegevens onder verantwoordelijkheid van de Verwerkingsverantwoordelijke.
4.2. Verwerker zal Verwerkingsverantwoordelijke onmiddellijk, doch uiterlijk binnen 48 uur na constatering, op de hoogte stellen van ieder incident of nog niet eerder onderkend gevaar voor incidenten, waarvan voorzienbaar is dat zij de vertrouwelijkheid van de gegevensverwerking zou kunnen aantasten. Zulks mede conform de instructie in bijlage II bij deze overeenkomst.
4.3. Verwerker zal Verwerkingsverantwoordelijke bijstaan ingeval sprake is van een datalek en een eventuele daaruit volgende meldplicht voor Verwerkingsverantwoordelijke aan de Autoriteit Persoonsgegevens en/of betrokkenen.
4.4. Verwerker zal Verwerkingsverantwoordelijke waar nodig adviseren aanvullende passende technische en organisatorische maatregelen te nemen indien Verwerker waarneemt dat de genomen maatregelen niet voldoende zijn om de Persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking.
5. Aansprakelijkheid en vrijwaring
5.1. Verwerker is aansprakelijk voor en vrijwaart Verwerkingsverantwoordelijke voor alle boetes, lasten onder dwangsom en schade (gemaximeerd tot de dekking per gebeurtenis op de polis van de Beroepsaansprakelijkheids-verzekering) veroorzaakt door Verwerker verband houdende met overtreding door Verwerker van de AVG en alle overige geldende (Europese) privacyregelgeving en zelfregulering.
5.2. Verwerkingsverantwoordelijke is aansprakelijk voor en vrijwaart Verwerker voor alle boetes, lasten onder dwangsom en schade veroorzaakt door Verwerkingsverantwoordelijke.
5.3. Verwerkingsverantwoordelijke is tevens aansprakelijk voor en vrijwaart Verwerker voor alle boetes, lasten onder dwangsom en schade verband houdende met het niet opvolgen van de adviezen van Verwerker ten aanzien van passende technische en organisatorische maatregelen om de Persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking.
6. Slotbepalingen
6.1. Alle begrippen in deze overeenkomst hebben de betekenis die daar in de AVG aan wordt gegeven.
6.2. Op deze overeenkomst is Nederlands recht van toepassing.
Ondertekening
Aldus overeengekomen en in tweevoud opgemaakt te Kampen op ……………………………..
………………………………………… ………………………………………… door:…………………………. door: X. Xxxxxx
voor:………………………… voor: Voip4all B.V.
Bijlage I Bewaartermijnen en vernietiging
1. Records met naam, adres, woonplaats,
2. Geslacht
3. Telefoonnummer
4. E-mailadres
5. IBAN
6. Toegangsgegevens (inlognaam, wachtwoord, klantnummer)
7. Het documenttype, ducumentnummer en datum afgifte van uw kopie identiteitsbewijs (de kopie van uw identiteitsbewijs wordt na controle direct vernietigd)
8. Verkeersgegevens (CDR’s)
9. Digitale opnamen van telefoongesprekken.
Van klanten
met als doel, het uitvoeren van een overeenkomst tot
• Telecom diensten
• Internetaansluitingen.
Bewaartermijnen:
Na beëindiging van de overeenkomst worden de gegevens na 3 maanden volledig verwijderd, tenzij wettelijke verplichtingen langer bewaren noodzakelijk maken.
Vernietiging:
Volledige verwijdering van dedicated servers en eventueel gehoste servers, uit (interne) mailboxen, van backup bestanden en uit het (bel)systeem van Opdrachtnemer.
Bijlage II Instructie meldplicht datalekken
Wat is de meldplicht?
Als gevolg van artikel 33 en 34 van de AVG is een brede meldplicht datalekken van toepassing. Alle bedrijven, van commerciële organisaties tot goede doelen en overheden, die
Persoonsgegevens verwerken, moeten binnen 72 uur na het ontdekken van een datalek melding hiervan doen bij de Autoriteit Persoonsgegevens (AP) als het lek (kans op) ernstige nadelige gevolgen heeft voor de privacy van de betrokkenen.
Naast een meldplicht bestaat er een protocolplicht. De protocolplicht houdt in dat organisaties een overzicht moeten bijhouden van alle datalekken die zijn ontdekt, met daarbij de overweging of deze wel of niet gemeld zijn bij de AP en/of bij betrokkenen. Dit betekent dat Verwerkingsverantwoordelijke intern beleid heeft opgesteld ten aanzien van de meldplicht. Voor de uitvoering van dit interne beleid is zij (mede) afhankelijk van de medewerking van Verwerker.
Beleid beveiligingsincidenten Verwerkingsverantwoordelijke met betrekking tot Verwerkers
Wanneer Verwerker zich bewust wordt van een beveiligingsincident en/of onrechtmatige verwerking van Persoonsgegevens of een redelijk vermoeden heeft dat zo’n beveiligingsincident en/of onrechtmatige verwerking heeft plaatsgevonden of zal gaan plaatsvinden, meldt Verwerker dat onmiddellijk na het ontdekken van een beveiligingsincident en/of onrechtmatige verwerking bij Verwerkingsverantwoordelijke zelf op het e-mailadres: ……………………………………………………….
Een beveiligingsincident of onrechtmatige verwerking betreft onder meer verlies of diefstal van Persoonsgegevens of onrechtmatige toegang tot of wijziging van Persoonsgegevens, bijvoorbeeld door het gebruik van (valse) toegangspassen, tags of codes, door het gebruik van software of apparatuur om beveiligingen te doorbreken of omzeilen of door het verrichten van bepaalde handelingen met dat doel. Zo’n daadwerkelijke of vermoedelijke onrechtmatige verwerking wordt hierna “Beveiligingsincident” genoemd. Het verlies van een laptop of een digitale drager (USB stick, externe harde schijf, back up tape) met Persoonsgegevens erop is ook een beveiligingsincident. Dit moet dus worden gemeld bij Verwerkingsverantwoordelijke.
Het melden van een beveiligingsincident door de Verwerker aan de Verwerkingsverantwoordelijke
Om Verwerkingsverantwoordelijke in staat te stellen aan de op haar rustende kennisgevingsverplichting te kunnen voldoen stelt Verwerker Verwerkingsverantwoordelijke onmiddellijk na het ontdekken van een beveiligingsincident (maar uiterlijk binnen 48 uur na het ontdekken van het beveiligingsincident) in kennis van het beveiligingsincident. De kennisgeving aan Verwerkingsverantwoordelijke omvat in ieder geval:
A. de aard van het beveiligingsincident;
B. de contactpersonen (inclusief hun exacte contactgegevens) bij Verwerker waar meer informatie over het beveiligingsincident kan worden verkregen;
C. de door Verwerker aanbevolen maatregelen om de negatieve gevolgen van het beveiligingsincident te beperken;
D. de geconstateerde en de vermoedelijke gevolgen van het beveiligingsincident voor de verwerking van de Persoonsgegevens en de maatregelen die de Verwerkingsverantwoordelijke heeft getroffen of voorstelt te treffen om deze gevolgen te verhelpen;
E. het type Persoonsgegevens waar het beveiligingsincident betrekking op kan hebben;
F. de hoeveelheid Persoonsgegevens (de omvang van de bestanden) waar het beveiligingsincident betrekking op kan hebben;
G. de exacte datum en tijd van het beveiligingsincident.
Medewerking door de Verwerker
Met betrekking tot ieder beveiligingsincident zoals bedoeld in Artikel 4.2 van deze Verwerkersovereenkomst draagt Verwerker er zorg voor dat Verwerker alle medewerking aan Verwerkingsverantwoordelijke verleent, die redelijkerwijs van Verwerker kan worden verwacht, inclusief het verschaffen van voldoende informatie en ondersteuning met betrekking tot onderzoeken van de toezichthouder
A. om de inbreuk te herstellen en te onderzoeken en toekomstige inbreuken te voorkomen;
B. om de impact van de inbreuk op de privacy van de betrokkene(n) te beperken; en/of
C. om de schade van Verwerkingsverantwoordelijke als gevolg van de inbreuk te beperken.
Bijlage III Contactpersonen in het kader van deze Verwerkersovereenkomst
Contactperso(o)n(en) Verwerkingsverantwoordelijke
Naam | Telefoonnummer | Emailadres | Opmerkingen |
l | |||
Contactperso(o)n(en) Verwerker
Naam | Telefoonnummer | Emailadres | Opmerkingen |
X. Xxxxxx | 088-6474255 | ||
X.Xxxxxxxx | 088-6474255 |
Bijlage IV Subverwerkers
Met overeenstemming van Verwerkingsverantwoordelijke schakelt Verwerker bij de uitvoering van haar werkzaamheden de hieronder genoemde Subverwerker(s)/ derde(n) in, conform artikel 3 van deze Verwerkersovereenkomst.
1. Wholesale Dutch Telecom (Technische infrastructuur)
2. Twinfield (Financiële administratie en debiteurenbeheer)
3. Public Mobility (leverancier mobiele Telecom diensten)
4. Yenlo (Digikoppeling ebMS met CIOT)
5. CIOT (Informatiesysteem voor telefoon- en internetgegevens Voor de opsporing van criminelen)
6. Vereniging COIN (nummerportabiliteit en gidsvermeldingen)