Verwerkersovereenkomst
Laatst aangepast: 24-5-2018
Om te voldoen aan de eisen van de GDPR/AVG heeft Total-IT Company een verwerkersovereenkomst opgesteld met betrekking tot de diensten van Total-IT Company waarbij persoonsgegevens worden verwerkt.
Artikel 1. Begrippenlijst
Total-IT Company:
Het bedrijf Total-IT Company, gevestigd te Baexem, Xxxxxxxxxx 00, 0000XX, Xxxxxxxxx. Inschreven bij de Kamer van Koophandel, onder nummer: 61992852 en naam: Organosi.
Verantwoordelijke/Opdrachtgever:
De ‘klant’; de (rechts)persoon die het doel en de middelen voor de verwerking vaststelt. Waar in deze verwerkersovereenkomst Verwerkersverantwoordelijke of Verantwoordelijke staat, kan ook Opdrachtgever worden gelezen en andersom.
Verwerker:
De (rechts)persoon die van de verwerkingsverantwoordelijke/opdrachtgever de opdracht krijgt om persoonsgegevens te verwerken.
Sub-verwerker:
De (rechts)persoon die ten behoeve van Total-IT Company persoonsgegevens verwerkt.
Betrokkenen:
Personen van wie persoonsgegevens worden verwerkt.
Overeenkomst:
Iedere overeenkomst tussen Total-IT Company en Opdrachtgever op grond waarvan Total-IT Company Diensten levert aan Opdrachtgever. De Verwerkersovereenkomst is integraal onderdeel van de overeenkomst.
Een verwerkingsverantwoordelijke/Opdrachtgever en een Verwerker zijn binnen de GDPR/AVG verplicht om een verwerkersovereenkomst met elkaar aan te gaan. Bij het tot stand komen van een Overeenkomst, zoals bedoeld in onze Algemene Voorwaarden, komt tevens de Verwerkersovereenkomst tot stand. De verwerkersovereenkomst is een integraal onderdeel van de Overeenkomst.
Artikel 2. Doeleinden van de verwerking
2.1. Verwerker verbindt zich onder de voorwaarden uit deze Verwerkersovereenkomst in opdracht van Verantwoordelijke persoonsgegevens te verwerken. Verwerking zal uitsluitend plaatsvinden in het kader van het uitvoeren van de Overeenkomst en voor doeleinden die met nadere instemming worden bepaald.
2.2. Verantwoordelijke bepaalt zelf welke (soorten) persoonsgegevens hij door Verwerker laat verwerken en op welke (categorieën) betrokkenen deze persoonsgegevens betrekking hebben. Xxxxxxxxx heeft hierop geen invloed.
2.3. Verwerker zal de persoonsgegevens niet voor enig ander doel verwerken dan zoals door Verantwoordelijke is vastgesteld. Verantwoordelijke zal Verwerker op de hoogte stellen van de verwerkingsdoeleinden voor zover deze niet reeds in de Verwerkersovereenkomst zijn genoemd.
2.4. De in opdracht van Verantwoordelijke te verwerken persoonsgegevens blijven eigendom van Verantwoordelijke of de betreffende betrokkene(n).
2.5. Verantwoordelijke garandeert dat de inhoud, het gebruik en de opdracht tot verwerkingen van persoonsgegevens zoals bedoeld in de Verwerkersovereenkomst niet onrechtmatig is en geen inbreuk maakt op enig recht van derden. Daarnaast staat de Verantwoordelijke ervoor in: dat de verwerking van persoonsgegevens
onder één van de vrijstellingen onder de AVG valt, of wanneer dit niet het geval is er een melding bij de Autoriteit Persoonsgegevens heeft plaatsgevonden; en dat zij vanaf 25 mei 2018 een register zal bijhouden van de onder deze Verwerkersovereenkomst geregelde verwerkingen.
2.6. Verantwoordelijke vrijwaart Verwerker tegen alle aanspraken en claims die verband houden met het niet of niet juist naleven van de verplichtingen uit artikel 2.5.
Artikel 3. Verplichtingen Verwerker
3.1. Ten aanzien van de in artikel 2 genoemde verwerkingen zal Verwerker zorg dragen voor de naleving van de voorwaarden die, op grond van de GDPR en de AVG, worden gesteld aan het verwerken van persoonsgegevens door Verwerker.
3.2. Verwerker zal Verantwoordelijke, op diens eerste verzoek daartoe, informeren over de door haar genomen maatregelen aangaande haar verplichtingen onder deze Verwerkersovereenkomst en de Wbp en AVG.
3.3. De verplichtingen van Verwerker die uit deze Verwerkersovereenkomst voortvloeien, gelden ook voor degenen die persoonsgegevens verwerken onder het gezag van Verwerker.
Artikel 4. Doorgifte van persoonsgegevens
4.1. Verwerker mag de persoonsgegevens verwerken in landen binnen de Europese Unie. Doorgifte naar landen buiten de Europese Unie is uitsluitend toegestaan met inachtneming van de hiervoor geldende voorschriften uit de Wbp en AVG.
4.2. Verwerker zal Verantwoordelijke op diens verzoek melden om welk land of welke landen het gaat.
Artikel 5. Verdeling van verantwoordelijkheid
5.1. De toegestane verwerkingen zullen door Verwerker worden uitgevoerd binnen een (semi)geautomatiseerde omgeving onder controle van Verwerker.
5.2. Verwerker is slechts verantwoordelijk voor de verwerking van de persoonsgegevens onder deze Verwerkersovereenkomst, overeenkomstig de instructies van Verantwoordelijke en onder de uitdrukkelijke (eind)verantwoordelijkheid van Verantwoordelijke.
5.3. Voor alle overige verwerkingen van persoonsgegevens, waaronder in ieder geval de verzameling van persoonsgegevens door Verantwoordelijke, verwerkingen voor doeleinden die niet door Verantwoordelijke aan Verwerker zijn gemeld, verwerkingen door derden of voor andere doeleinden, is Verwerker niet verantwoordelijk.
5.4. De opdrachtgever garandeert dat de inhoud, het gebruik en de opdracht tot de verwerkingen van de persoonsgegevens zoals bedoeld in de overeenkomst, niet onrechtmatig is en geen inbreuk maken op enig recht van rechthebbenden.
Artikel 6. Inschakelen van derden of sub-verwerkers
6.1. Verantwoordelijke geeft Xxxxxxxxx toestemming om bij de verwerking van persoonsgegevens op grond van deze Verwerkersovereenkomst gebruik te maken van sub-verwerkers, met inachtneming van de toepasselijke privacywet- en regelgeving.
6.2. Verwerker zal aan een sub-verwerker eenzelfde eisen en verplichtingen stellen als welke uit hoofde van de Verwerkingsovereenkomst geldt voor Verwerker.
6.3. Verwerker blijft in deze verhouding aanspreekpunt voor de klant.
Artikel 7. Beveiliging
7.1. Verwerker zal passende technische en organisatorische maatregelen nemen met betrekking tot de te verrichten verwerkingen van persoonsgegevens, tegen verlies of tegen enige vorm van onrechtmatige verwerking (zoals onbevoegde kennisname, aantasting, wijziging of verstrekking van de persoonsgegevens).
Verwerkersovereenkomst
Laatst aangepast: 24-5-2018
7.2. Ondanks dat Verwerker conform het eerste lid van dit artikel passende beveiligingsmaatregelingen dient te treffen, kan Verwerker er niet volledig voor instaan dat de beveiliging onder alle omstandigheden doeltreffend is.
Verwerker zal bij een dreiging van – of daadwerkelijk doorbreken van – deze beveiligingsmaatregelen er echter alles aan doen om verlies van persoonsgegevens zoveel mogelijk te beperken.
7.3. Indien een uitdrukkelijk omschreven beveiliging in de Verwerkersovereenkomst ontbreekt, bewerkstelligt Verwerker dat de beveiliging voldoet aan een niveau dat, gelet op de stand van de techniek, de gevoeligheid van de persoonsgegevens en de aan het treffen van de beveiliging verbonden kosten, niet onredelijk is.
7.4. Verantwoordelijke stelt enkel persoonsgegevens aan Verwerker ter beschikking voor verwerking, indien Verantwoordelijke zich ervan heeft verzekerd dat de vereiste beveiligingsmaatregelen zijn getroffen.
Artikel 8. Meldplicht
8.1. In het geval van een datalek (waaronder wordt verstaan: een inbreuk op de beveiliging van persoonsgegevens die leidt tot een aanzienlijke kans op nadelige gevolgen, dan wel nadelige gevolgen heeft, voor de bescherming van persoonsgegevens, in de zin van artikel 34a Wbp), spant Verwerker zich in om Verantwoordelijke daarover zo snel mogelijk te informeren, maar in ieder geval binnen 48 uur nadat het datalek bekend is geworden bij Verwerker.
8.2. De meldplicht geldt enkel indien het lek daadwerkelijk heeft plaatsgevonden en behelst in ieder geval het melden van het feit dat er een datalek is geweest, alsmede, voor zover deze informatie bij Verwerker beschikbaar is:
- wat de (vermeende) oorzaak is van het lek;
- het datalek;
- de aard van de inbreuk (o.a. kopiëren, veranderen, verwijderen, diefstal, onbekend);
- wanneer de datalek heeft plaatsgevonden;
- de technische maatregelingen die door Verwerker zijn getroffen om de inbreuk te stoppen en toekomstige inbreuken te voorkomen.
8.3. Verantwoordelijke beoordeelt zelf of zij de relevante autoriteiten en/of betrokkene(n) zal informeren en is zelf verantwoordelijk voor de naleving van (wettelijke) meldplichten. Indien de privacywet- en regelgeving dit vereist, zal Verwerker meewerken aan het informeren van de terzake relevante autoriteiten of betrokkenen.
Artikel 9. Afhandeling verzoeken van betrokkenen
9.1. Indien een betrokkene een van zijn wettelijke rechten wenst uit te oefenen en het verzoek hiertoe richt aan Xxxxxxxxx, zal Verwerker dit verzoek doorzenden aan Verantwoordelijke. Verantwoordelijke zal vervolgens zorg dragen voor de afhandeling van het verzoek. Verwerker mag de betrokkene daarvan op de hoogte stellen.
9.2. In het geval dat een betrokkene een verzoek tot uitoefening van een van zijn wettelijke rechten richt aan Verantwoordelijke zal Verwerker, indien Verantwoordelijke dit verlangt, medewerking verlenen voor zover mogelijk en voor zover dit redelijk is. Verwerker mag hiervoor redelijke kosten bij Verantwoordelijke in rekening brengen.
Artikel 10. Geheimhoudingsplicht
10.1. Op alle persoonsgegevens die Verwerker van Verantwoordelijke ontvangt of die Verwerker zelf verzamelt in het kader van deze Verwerkersovereenkomst, rust een geheimhoudingsplicht jegens derden.
10.2. Deze geheimhoudingsplicht is niet van toepassing voor zover Verantwoordelijke uitdrukkelijke toestemming heeft gegeven om de informatie aan derden te verschaffen, indien het verstrekken van de informatie aan derden logischerwijs noodzakelijk is voor de uitvoering van de Verwerkersovereenkomst, of indien er een wettelijke verplichting bestaat om de informatie aan een derde te verstrekken.
10.3. Indien Verwerker wettelijk verplicht is informatie aan een derde te verstrekken, zal Verwerker de Verantwoordelijke hier zo spoedig mogelijk over informeren voor zover dat wettelijk is toegestaan.
Artikel 11. Audit
11.1. Verantwoordelijke heeft het recht om audits uit te laten voeren door een onafhankelijke deskundige derde die aan geheimhouding is gebonden ter controle van de beveiligingseisen als overeengekomen in Artikel 7 van de Verwerkersovereenkomst.
11.2. De in artikel 11.1 bedoelde audit vindt uitsluitend plaatst bij een concreet vermoeden van misbruik welke is aangetoond door Verantwoordelijke. De door Verantwoordelijke geïnitieerde audit vindt twee weken na voorafgaande aankondiging door Verantwoordelijke plaats.
11.3. Verwerker zal aan de audit meewerken en alle voor de audit redelijkerwijs relevante informatie, inclusief ondersteunende gegevens zoals systeemlogs, en medewerkers zo tijdig mogelijk en binnen een redelijke termijn ter beschikking stellen, waarbij een termijn van maximaal twee weken redelijk is.
11.4. De bevindingen naar aanleiding van de uitgevoerde audit zullen door Partijen in onderling overleg worden beoordeeld en, naar aanleiding daarvan, al dan niet worden doorgevoerd door één van de Partijen of door beide Partijen gezamenlijk.
11.5. De kosten van de audit worden door Verantwoordelijke gedragen.
Artikel 12. Aansprakelijkheid
12.1. Voor de aansprakelijkheid van Partijen voor schade als gevolg van een toerekenbare tekortkoming in de nakoming van de Verwerkersovereenkomst, dan wel uit onrechtmatige daad of anderszins, wordt de in de Overeenkomst (met inbegrip van de algemene voorwaarden van Verwerker) overeengekomen regeling omtrent aansprakelijkheid van toepassing verklaard.
Artikel 13. Duur en beëindiging
13.1. Deze Verwerkersovereenkomst wordt aangegaan voor de duur zoals bepaald in de Overeenkomst en bij gebreke daarvan in ieder geval voor de duur van de samenwerking tussen Partijen. Deze Verwerkersovereenkomst kan tussentijds niet worden opgezegd.
13.2. Partijen mogen deze Verwerkersovereenkomst alleen wijzigen met wederzijdse instemming, maar zullen hun volledige medewerking verlenen om de Verwerkersovereenkomst aan te passen aan eventuele nieuwe of aangepaste privacywet- en regelgeving.
13.3. Na beëindiging van de Verwerkersovereenkomst zal Verwerker alle persoonsgegevens die bij haar aanwezig zijn vernietigen, tenzij Partijen anders overeenkomen.
Artikel 14. Toepasselijk recht en geschillenbeslechting
14.1. De (Verwerkers)Overeenkomst en de uitvoering daarvan worden beheerst door Nederlands Recht.
14.2. Alle geschillen, welke tussen de Verwerker en Opdrachtgever mochten ontstaan in verband met de (Verwerkers)Overeenkomst, zullen worden voorgelegd aan de bevoegde rechter voor het arrondissement waarin de Verwerker gevestigd is.