Verwerkersovereenkomst

Verwerkersovereenkomst

(vanuit de rol van Verantwoordelijke)

Ondergetekenden,

De verwerkingsverantwoordelijke, waarvan overige gegevens zijn vermeld bij de ondertekening van deze overeenkomst

hierna te noemen: “Verwerkingsverantwoordelijke”

Prosu Media Producties, gevestigd aan de Eskimolaan 13, 8252 AS te Dronten en ingeschreven in het register van de Kamer van Koophandel onder nummer [KvK-39063878], in deze rechtsgeldig vertegenwoordigd door Xxxxxxx Xxxxxxx, Algemeen manager.

hierna te noemen “Verwerker”.

Gezamenlijk zullen Opdrachtgever en Opdrachtnemer aangeduid worden als: “Partijen” en afzonderlijk als “Partij”.

• Verwerkingsverantwoordelijke en Verwerker voor het uitvoeren van werkzaamheden ter stimulering van bezoekers aan de schoonmaakvakdagen hebben gesloten;

• de begrippen in deze Verwerkersovereenkomst zullen de betekenis hebben, welke de Algemene Verordening Gegevensbescherming (hierna: AVG) en de Autoriteit Persoonsgegevens (hierna: AP) aan deze toekent;

• de AVG aan de Verwerkingsverantwoordelijke de plicht oplegt om ervoor zorg te dragen dat Verwerker passende technische en organisatorische beveiligingsmaatregelen treft tegen verlies of tegen enige vorm van onrechtmatige verwerking van betreffende persoonsgegevens;

• de AVG daarnaast aan de Verwerkingsverantwoordelijke de plicht oplegt om toe te zien op de naleving van die maatregelen;

• partijen, mede gelet op het vereiste uit artikel 28 lid 3 van de AVG, hun wederzijdse rechten en plichten schriftelijk wensen vast te leggen middels deze Verwerkersovereenkomst.

Overwegende dat

(a) Verwerkingsverantwoordelijke en Verwerker voor het uitvoeren van werkzaamheden op het gebied van bezoekerswerving van de schoonmaakvakdagen een Verwerkersovereenkomst (hierna: de Hoofdovereenkomst) hebben gesloten;

(b) Xx Xxxxxxxxx in dat kader diensten verricht ten behoeve van de Verwerkingsverantwoordelijke, zoals beschreven in deze Hoofdovereenkomst.

(c) Deze diensten met zich meebrengen dat persoonsgegevens worden verwerkt, waarvoor de Verwerkingsverantwoordelijke verantwoordelijk is in de zin van de Wet bescherming persoonsgegevens (hierna: AVG);

(d) De Verwerker de betreffende gegevens louter in opdracht van de Verwerkingsverantwoordelijke verwerkt en niet voor eigen doeleinden. De Verwerker is in dat kader aan te merken als verwerker in de zin van de AVG;

(e) de AVG aan de Verwerkingsverantwoordelijke de plicht oplegt om ervoor zorg te dragen dat Verwerker passende technische en organisatorische beveiligingsmaatregelen treft tegen verlies of tegen enige vorm van onrechtmatige verwerking van betreffende persoonsgegevens;

(f) de AVG daarnaast aan de Verwerkingsverantwoordelijke de plicht oplegt om toe te zien op de naleving van die maatregelen;

(g) Partijen middels deze Verwerkersovereenkomst de afspraken met betrekking tot de Verwerking van Persoonsgegevens in het kader van de dienstverlening wensen vast te leggen;

Artikel 1 Algemeen

1.1 Deze Verwerkerswerkersoverkomst geldt in aanvulling op de Hoofdovereenkomst en zal als addendum bij deze Hoofdovereenkomst worden gevoegd.

1.2 De bepalingen in deze Verwerkersovereenkomst betreffen uitsluitend de afspraken tussen partijen die gelden ten aanzien van de verwerking van persoonsgegevens en de gevolgen daarvan.

1.3 Bij verschillen tussen de Hoofdovereenkomst en deze Verwerkersovereenkomst, gaan de bepalingen in de ze Verwerkersovereenkomst vóór indien het een onderwerp betreft inzake de verwerking van persoonsgegevens.

1.2 De begrippen in deze Verwerkersovereenkomst zullen de betekenis hebben, welke de Algemene Verordening Gegevensbescherming (hierna: AVG) en de Autoriteit Persoonsgegevens (hierna: AP) hieraan toekent;

Artikel 2 Onderwerp van deze Verwerkersovereenkomst

2.1 De Verwerker verbindt zich om ter beschikking gestelde Persoonsgegevens zorgvuldig te verwerken in het kader van de werkzaamheden voortkomend uit de Hoofdovereenkomst. De AVG legt de Verwerkingsverantwoordelijke de plicht op om ervoor zorg te dragen dat de Verwerker voldoende waarborgen biedt ten aanzien van de technische- en organisatorische beveiligingsmaatregelen met betrekking tot de te verrichten verwerkingen.

2.2. Een overzicht van de categorieën Persoonsgegevens, de doeleinden waarvoor deze worden verwerkt en de bewaartermijnen die gelden voor de Persoonsgegevens die ten behoeve van de Verwerkingsverantwoordelijke worden verwerkt, zijn opgenomen in bijlage 1 bij deze Verwerkersovereenkomst.

Artikel 3 Naleving wet en regelgeving

3.1 De Verwerkingsverantwoordelijke draagt in het kader van de uitvoering van de Hoofdovereenkomst de verwerking van (Persoons)gegevens conform de relevante wetgeving over aan de Verwerker.

3.2 De Verwerker verwerkt de Persoonsgegevens ten behoeve van de Verwerkingsverantwoordelijke in overeenstemming met diens instructies. Verwerker stelt de Verwerkingsverantwoordelijke onmiddellijk op de hoogte indien naar zijn oordeel instructies in strijd zijn met de toepasselijke wetgeving met betrekking tot de verwerking van Persoonsgegevens.

3.3 De Verwerker heeft geen zeggenschap over de ter beschikking gestelde Persoonsgegevens. De Verwerker neemt geen beslissingen over ontvangst en gebruik van deze gegevens, de verstrekking aan Derden en de duur van de opslag van gegevens. De zeggenschap over de Persoonsgegevens verstrekt onder deze Verwerkersovereenkomst komt nimmer bij de Verwerker te berusten.

3.4 De Verwerker zal bij de verwerking van Persoonsgegevens in het kader van de in de Hoofdovereenkomst genoemde werkzaamheden, handelen in overeenstemming met de toepasselijke wet- en regelgeving betreffende de bescherming van Persoonsgegevens. De Verwerker verwerkt Persoonsgegevens slechts in expliciete opdracht van de Verwerkingsverantwoordelijke en zal alle redelijke instructies van de aangewezen contactpersonen opvolgen, behoudens afwijkende wettelijke verplichtingen. Verwerker is gehouden om, met inachtneming van hetgeen in deze Verwerkersovereenkomst is bepaald, naar eigen inzicht de middelen aan te wenden die hij noodzakelijk acht om die doeleinden na te streven.

3.5 In geen geval zal de Verwerker Persoonsgegevens verwerken voor eigen doeleinden.

3.6 De Verwerker zal te allen tijde op eerste verzoek van Verwerkingsverantwoordelijke onmiddellijk alle van de Verwerkingsverantwoordelijke afkomstige Persoonsgegevens en met recht voor haar bestemde Persoonsgegevens met betrekking tot deze Verwerkersovereenkomst ter hand stellen.

3.7 De Verwerker zal alle van de Verwerkingsverantwoordelijke afkomstige Persoonsgegevens met betrekking tot deze Verwerkersovereenkomst op een nader te bepalen wijze vernietigen op het moment van beëindigen van deze Verwerkersovereenkomst, dan wel op ieder eerder moment waarop de Verwerkingsverantwoordelijke zulks uitdrukkelijk en schrift elijk verzoekt.

3.8 De Verwerker zal zijn volledige en tijdige medewerking verlenen aan de Verwerkingsverantwoordelijke om (i) na goedkeuring van en in opdracht van de Verwerkingsverantwoordelijke betrokkenen toegang te laten krijgen tot de hun betreffende Persoonsgegevens, (ii) Persoonsgegevens te verwijderen of te corrigeren, (iii) aan te tonen dat Persoonsgegevens verwijderd of gecorrigeerd zijn indien zij incorrect zijn (of, ingeval de Verwerkingsverantwoordelijke het er niet mee eens is dat Persoonsgegevens incorrect zijn, het feit vast te leggen dat de betrokkene zijn persoonsgegevens als incorrect beschouwt) en (iv) de Verwerkingsverantwoordelijke anderszins in de gelegenheid te stellen om aan zijn verplichtingen onder de AVG of andere toepasselijke wetgeving op het gebied van verwerking van Persoonsgegevens te voldoen.

3.9 De Verwerker stelt de Verwerkingsverantwoordelijke te allen tijde in staat om binnen de wettelijke termijnen te voldoen aan de verplichtingen op grond van de AVG, meer in het bijzonder de rechten van Betrokkene, zoals, maar niet beperkt tot, een verzoek om inzage, verbetering, aanvulling, verwijdering of afscherming van Persoonsgegevens en het uitvoeren van een gehonoreerd aangetekend verzet.

3.10 De Verwerker staat ervoor in dat opslag van de Persoonsgegevens plaatsvindt binnen de Europese Economische Ruimte.

3.11 De Verwerker zal de Persoonsgegevens afkomstig van of betreffende de Verwerkingsverantwoordelijke, strikt gescheiden opslaan en verwerken van persoonsgegevens die hij voor zichzelf of namens derde partijen verwerkt.

Artikel 4 Geheimhoudingsplicht

4.1 Personen in dienst van, dan wel werkzaam ten behoeve van de Verwerker, evenals de Verwerker zelf, zijn verplicht tot geheimhouding met betrekking tot de Persoonsgegevens waarvan zij kennis kunnen nemen, behoudens voor zover een bij, of krachtens de wet gegeven voorschrift tot verstrekking verplicht of zijn taak daartoe noodzaakt.

4.2 Verwerker draagt ervoor zorg dat een ieder die onder zijn gezag handelt, of onder zijn verantwoordelijkheid werkzaamheden verricht met betrekking tot de Persoonsgegeven, verplicht is tot geheimhouding van de Persoonsgegevens waarvan hij/zij kennis neemt.

4.3 Indien de Verwerker op grond van een wettelijke verplichting gegevens dient te verstrekken, zal de Verwerker de grondslag van het verzoek en de identiteit van de verzoeker verifiëren en zal de Verwerker de Verwerkingsverantwoordelijke onmiddellijk, voorafgaand aan de verstrekking, ter zake informeren, tenzij wettelijke bepalingen dit verbieden.

Artikel 5 Beveiligingsmaatregelen en audits

5.1 De uitwisseling van Persoonsgegevens tussen partijen vindt versleuteld plaats.

5.2 De Verwerker neemt alle passende technische en organisatorische maatregelen om de Persoonsgegevens, welke worden verwerkt ten dienste van de Verwerkingsverantwoordelijke te beveiligen en beveiligd te houden tegen verlies of tegen enige vorm van onzorgvuldig, ondeskundig of ongeoorloofd gebruik. Deze maatregelen omvatten in ieder geval:

(a) maatregelen om te waarborgen dat enkel bevoegd personeel toegang heeft tot de Persoonsgegevens voor de doeleinden die zijn uiteengezet in bijlage 1;

(b) maatregelen waarbij de Verwerker zijn medewerkers, onderaannemers of ingeschakelde derden, uitsluitend toegang geeft tot Persoonsgegevens via op naam gestelde accounts, waarbij het gebruik van die accounts adequaat gelogd wordt en waarbij de betreffende accounts alleen toegang geven tot die Persoonsgegevens waartoe de toegang voor de betreffende persoon noodzakelijk is ;

(c) maatregelen om de Persoonsgegevens te beschermen tegen onopzettelijke of onrechtmatige vernietiging, onopzettelijk verlies of wijziging, onbevoegde of onrechtmatige opslag verwerking, toegang of openbaarmaking;

(d) maatregelen om zwakke plekken te identificeren ten aanzien van de verwerking van Persoonsgegevens in de systemen die worden ingezet voor het verlenen van diensten aan de Verwerkingsverantwoordelijke;

(e) maatregelen om de tijdige beschikbaarheid van de gegevens te garanderen, een en ander zoals nader uitgewerkt in bijlage 2.

5.3 De Verwerker onderwerpt periodiek zijn activiteiten met betrekking tot informatieveiligheid en privacybeleid aan een (externe) audit.

De Verwerkingsverantwoordelijke is te allen tijde gerechtigd de verwerking van Persoonsgegevens te controleren. De Verwerker is verplicht de Verwerkingsverantwoordelijke of controlerende instantie in opdracht van Verwerkingsverantwoordelijke toe te laten en verplicht medewerking te verlenen zodat de controle daadwerkelijk uitgevoerd kan worden. De kosten voor een dergelijke audit komen voor rekening van de Verwerkingsverantwoordelijke, tenzij uit de audit aantoonbaar voortvloeit dat Verwerker wezenlijk tekortschiet in de nakoming van zijn verplichtingen uit hoofde van deze Verwerkersovereenkomst.

5.4 De Verwerkingsverantwoordelijke zal de audit slechts (laten) uitvoeren na een voorafgaande schriftelijke melding aan de Verwerker, en niet meer dan één keer per jaar.

5.5 De Verwerker verbindt zich om binnen een door de Verwerkingsverantwoordelijke te bepalen termijn de Verwerkingsverantwoordelijke, of de ingeschakelde derde, te voorzien van de verlangde informatie. Hierdoor kan de Verwerkingsverantwoordelijke, of de door de Verwerkingsverantwoordelijke ingeschakelde derde, zich een oordeel vormen over de naleving door de Verwerker van deze Verwerkersovereenkomst. De Verwerkingsverantwoordelijke, of de door de Verwerkingsverantwoordelijke ingeschakelde derde, is gehouden alle informatie betreffende deze controles vertrouwelijk te behandelen.

5.6 Verwerker staat er voor in, de door de Verwerkingsverantwoordelijke of ingeschakelde derde, aangegeven aanbevelingen ter verbetering binnen de daartoe door de Verwerkingsverantwoordelijke te bepalen termijn uit te voeren.

5.7 De Verwerker rapporteert tweejaarlijks over de opzet, bestaan en werking van het stelsel van maatregelen en procedures, gericht op naleving van deze Verwerkersovereenkomst.

Artikel 6 Inschakeling derden

6.1 De Verwerker is slechts gerechtigd de uitvoering van de werkzaamheden waartoe Persoonsgegevens worden verwerkt, geheel of ten dele uit te besteden aan derden na voorafgaande schriftelijke toestemming van de Verwerkingsverantwoordelijke. De Verwerkingsverantwoordelijke kan aan de schriftelijke toestemming voorwaarden verbinden, op het gebied van geheimhouding en ter naleving van de verplichtingen uit deze Verwerkingsovereenkomst. De Verwerker blijft in deze gevallen te allen tijde aanspreekpunt en verantwoordelijk voor de naleving van de bepalingen uit deze Verwerkersovereenkomst.

6.2 De Verwerker zal aan de door hem ingeschakelde derde dezelfde of strengere verplichtingen opleggen als voor hemzelf uit deze Verwerkersovereenkomst voortvloeien. De betreffende afspraken met de derde zullen schriftelijk worden vastgelegd. De Verwerker zal de Verwerkingsverantwoordelijke op verzoek afschrift verstrekken van deze Subverwerkersovereenkomst(en).

Artikel 7 Meldplicht

7.1 Verwerker zal actief monitoren op inbreuken op de beveiligingsmaatregelen en de Verwerkingsverantwoordelijke op regelmatige basis over de resultaten van de monitoring informeren.

7.2 Indien zich een Datalek voordoet dat leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van Persoonsgegevens, zal de Verwerker onverwijld, maar in ieder geval binnen 24 uur, de Verwerkingsverantwoordelijke van dit Datalek in kennis stellen.

7.3 De Verwerker zal zich inspannen om eventuele nadelige gevolgen van het Datalek zoveel mogelijk te beperken.

7.4 Een melding moet altijd worden gedaan aan de Functionaris Gegevensbescherming c.q. de Privacy Officer van de Verwerkingsverantwoordelijke en bij diens afwezigheid aan de directie van de Verwerkingsverantwoordelijke.

7.5 De meldplicht behelst in ieder geval het melden van het feit dat er een lek is geweest alsmede de (vermeende) oorzaak is van het lek, het (vooralsnog bekende en/of te verwachten) gevolg, de (voorgestelde) oplossing alsmede alle zaken, welke de Verwerker redelijkerwijs dient te melden voor een goede opvolging van de Datalek door de Verwerkingsverantwoordelijke bij de Autoriteit Persoonsgegevens als bij de Betrokkenen.

7.6 Indien de Verwerker een klacht of (informatie)verzoek van een natuurlijk persoon ontvangt met betrekking tot de verwerking van Persoonsgegevens door de Verwerker , zal de Verwerker de Verantwoordelijke hiervan binnen 1 week na ontvangst schriftelijk op de hoogte stellen en de instructies van de Verantwoordelijke omtrent de afhandeling daarvan na te leven.

7.7 Ingeval van een onderzoek naar of beslaglegging door overheidsfunctionarissen op de Persoonsgegevens of een vermoeden dat dit gaat plaatsvinden, zal de Verwerker de Verantwoordelijke hiervan onmiddellijk, binnen 24 uur, op de hoogte stellen.

7.8 De Verwerker zal de Verwerkingsverantwoordelijke te allen tijde haar medewerking verlenen en zal de instructies van de Verwerkingsverantwoordelijke opvolgen, met als doel de Verwerkingsverantwoordelijke in staat te stellen een deugdelijk onderzoek te verrichten naar een incident, een correcte respons te formuleren en passende vervolgstappen te nemen ten aanzien van het incident.

7.5 Verwerker zal te allen tijde geschreven procedures voorhanden hebben die hem in staat stellen om Verwerkingsverantwoordelijke van een onmiddellijke reactie over een incident te voorzien, en om effectief samen te werken met Verwerkingsverantwoordelijke om het incident af te handelen en zal Verwerkingsverantwoordelijke voorzien van een exemplaar van dergelijke procedures indien Verwerkingsverantwoordelijke daarom verzoekt.

Artikel 8 Aansprakelijkheid en schade of boetes AP

8.1 Indien de Verwerker tekortschiet in de nakoming van de verplichting uit deze Verwerkersovereenkomst kan Verwerkingsverantwoordelijke hem in gebreke stellen. Verwerker is echter onmiddellijk in gebreke als de nakoming van desbetreffende verplichting anders dan door overmacht binnen de overeengekomen termijn, reeds blijvend onmogelijk is. Ingebrekestelling geschiedt schriftelijk, waarbij aan de Verwerker een redelijke termijn wordt gegund om alsnog haar verplichtingen na te komen. Deze termijn is een fatale termijn. Indien nakoming binnen deze termijn uitblijft, is Verwerker in verzuim.

8.2 Verwerker is aansprakelijk voor de alle directe schade of nadeel of boetes vanuit de AP, voortvloeiende uit het niet-nakomen van, of in strijd handelen met de bij of krachtens de AVG gegeven voorschriften en/of het niet- nakomen van, of in strijd handelen met het in deze Verwerkersovereenkomst bepaalde, tot hetgeen bepaald in de Verwerkersovereenkomst met de Verwerker. De Verwerker vrijwaart de Verantwoordelijke van alle aanspraken van de AP, de betrokkene(n) en/of derde tot voldoening van de boetes of vergoeding van deze schade.

8.3 Verwerker is aansprakelijk voor voornoemde schade of nadeel of boetes vanuit de AP voor zover ontstaan door zijn handelen of nalaten tijdens de uitvoering van de werkzaamheden.

8.4 Verwerker is tevens aansprakelijk voor alle schade of nadeel voortvloeiende uit door zijn handelen of nalaten tijdens de uitvoering van de werkzaamheden ontstane inbreuken op de persoonlijke levenssfeer van betrokkenen (bijv. datalek).

Artikel 9 Ingangsdatum, duur, wijziging en beëindiging

9.1 Deze Verwerkersovereenkomst gaat in op het moment van ondertekening door beide partijen.

9.2 De duur van deze Verwerkersovereenkomst is gelijk aan de duur van de Hoofdovereenkomst, tenzij partijen anders zijn overeengekomen.

9.3 Verplichtingen welke naar hun aard bestemd zijn om ook na ontbinding van deze Verwerkersovereenkomst voort te duren, blijven onbeperkt na ontbinding van de Verwerkersovereenkomst gelden. Tot deze bepaling behoren onder meer die welke voortvloeien uit de bepalingen betreffende geheimhouding, aansprakelijkheid en toepasselijk recht.

9.4 Wijziging van deze Verwerkersovereenkomst kan slechts schriftelijk plaatsvinden middels een door beide partijen geaccordeerd voorstel.

9.5 Zodra de samenwerking is beëindigd, vernietigt Verwerker de Persoonsgegevens die hij van of ten behoeve van de Verwerkingsverantwoordelijke heeft ontvangen, in welke vorm dan ook en toont dit aan, tenzij partijen iets anders overeenkomen. Deze vernietiging moet, binnen nader overeen te komen termijn, uitgevoerd worden en hiervan wordt een verslag gemaakt.

9.6 Elk van de partijen is gerechtigd de Verwerkersovereenkomst met onmiddellijke ingang te beëindigen in geval van overmacht, waaronder mede begrepen een zodanige wijziging van wettelijke regels dat een verdere voortzetting van de Verwerkersovereenkomst niet kan worden verlangd.

9.7 Ieder der partijen is gerechtigd, onverminderd hetgeen daartoe bepaald is in de Hoofdovereenkomst, de uitvoering van deze Verwerkersovereenkomst en de daarmee samenhangende Hoofdovereenkomst op te schorten, dan wel zonder rechterlijke tussenkomst met onmiddellijke ingang te ontbinden, indien:

(a) de andere partij wordt ontbonden of anderszins ophoudt te bestaan;

(b) de andere partij aantoonbaar tekortschiet in de nakoming van de verplichtingen die voortvloeien uit deze Verwerkersovereenkomst en die ernstige toerekenbare tekortkoming niet binnen 30 dagen is hersteld na een daartoe strekkende schriftelijke ingebrekestelling;

(c) een partij in staat van faillissement wordt verklaard of surséance van xxxxxxxx aanvraagt.

9.8 Beëindiging van deze Verwerkersovereenkomst kan uitsluitend geschieden op grond van de wet en op grond van hetgeen bepaald in deze Verwerkersovereenkomst.

Artikel 10 Toepasselijk recht

10.1 Op deze Verwerkersovereenkomst en op alle geschillen die daaruit mogen voortvloeien of daarmee mogen samenhangen, is het Nederlands recht van toepassing.

10.2 Verwerkingsverantwoordelijke en Verwerker streven ernaar om geschillen, die voortvloeien uit of verband houden met deze Verwerkersovereenkomst, in goed overleg op te lossen.

10.3 Geschillen die niet in der minne kunnen worden opgelost, zullen worden voorgelegd aan de daartoe bevoegde rechter in het arrondissement van de Verwerkingsverantwoordelijke.

Aldus overeengekomen en in duplo ondertekend

Verwerkingsverantwoordelijke Verwerker

Naam Zie digitale handtekening Naam: Xxxxxxx Xxxxxxx

Functie Zie digitale handtekening Functie : Algemeen manager Handtekening Zie digitale handtekening Handtekening:

Bijlagen:

1. Opsomming Persoonsgegevens, doeleinden en bewaartermijnen

2. Maatregelen beschikbaarheid Persoonsgegevens

Bijlage 1

De beschrijving van de verwerking van gegevens wordt opgemaakt door de verwerkingsverantwoordelijke.

I. Categorieën persoonsgegevens

Bedrijfsnaam

Contactpersoon (voor/achternaam) Adres

E-mailadres

II. Doel van de verwerking

Algemene doeleinden zoals:

- Uitnodigingsservice van relaties voor de schoonmaakvakdagen

III. Bewaartermijn(en)

De gegevens worden na afloop van de schoonmaakvakdagen direct vernietigd.

Bijlage 2

Verwerker heeft de passende technische en organisatorische beveiligingsmaatregelen toegepast ten behoeve van de Verwerking van Persoonsgegevens in het kader van de uitvoering van de Hoofdovereenkomst.