Verwerkersovereenkomst Mega Bite

Verwerkersovereenkomst Mega Bite

OVEREENKOMST VERWERKING PERSOONSGEGEVENS

De “Algemene Verordening Gegevensbescherming” bepaalt dat een Verwerkingsverantwoordelijke schriftelijke (of gelijkwaardige) afspraken moet maken met een Verwerker over een aantal in de verordening genoemde onderwerpen.

Partijen

1. Bedrijfsnaam, vestigingsadres Straat + huisnummer, POSTCODE EN PLAATS, met KvK-nummer kvk-nummer; hierna: (de Verantwoordelijke )

2. En Mega Bite BV, vestigingsadres Xxxxxxxxxxx 00, 0000 XX Xxxxx, met KvK-nummer 32086507; hierna: (de Verwerker )

3. Verantwoordelijke en Verwerker hierna samen Partijen .

Achtergrond

1. Verantwoordelijke beschikt - voor de uitvoering van die dienst- over diverse gegevens, waaronder mede begrepen persoonsgegevens van diverse betrokkenen in de zin van de Wet Bescherming Persoonsgegevens ( Wbp ).

2. Verantwoordelijke wil de opslag, verwerking, bewerking en beveiliging van deze persoonsgegevens laten verrichten door Verwerker (de Opdracht ). Verwerker is bereid deze Opdracht te aanvaarden.

3. Partijen wensen in deze Verwerkersovereenkomst (de Overeenkomst ) hun rechten en verplichtingen over en weer in verband met de verwerking van persoonsgegevens door Verwerker vast te leggen.

Onderwerp en ingangsdatum van de verwerking

1. Deze overeenkomst heeft betrekking op de v erwerking van persoonsgegevens in opdracht van Verantwoordelijke.

2. Deze Overeenkomst vangt aan op 25 mei 2018.

3. Partijen gaan deze Overeenkomst aan voor onbepaalde tijd.

Aard en doel van de verwerking

Geef hier een beknoptie omschrijving van de aard en het doel van de persoonsgegevens welke opgeslagen worden.

Soort persoonsgegevens en categorieën

Vermeld hier soort persoonsgegevens en categoriën worden opgeslagen. Soorten zijn bijvoorbeeld persoonsgegevens, biometrische gegeven en genetische gegevens. Categoriën zijn bijvoorbeeld: Voornaam, Adres, Vingerafdruk, etc.

1. DEFINITIES

In deze overeenkomst wordt een aantal begrippen gebruikt. De betekenis van die begrippen is hieronder verduidelijkt. De genoemde begrippen worden in deze overeenkomst met een hoofdletter geschreven. Veelal wordt in de opsomming hieronder verwezen naar de wettelijke omschrijving van het begrip, maar waar mogelijk worden de begrippen verduidelijkt met niet-limitatieve voorbeelden. Meer voorbeelden zijn te vinden op de website van de Autoriteit Persoonsgegevens.

1. AVG: de Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de Verwerking van Persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming).

2. Betrokkene: de geïdentificeerde of identificeerbare natuurlijke persoon op wie de Persoonsgegevens betrekking hebben, zoals bedoeld in artikel 4 onder 1) AVG.

3. Bijlage: een bijlage bij deze Verwerkersovereenkomst, die een integraal onderdeel vormt van deze Verwerkersovereenkomst.

4. Derden: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan, niet zijnde de Betrokkene, noch de Verwerkingsverantwoordelijke, noch de Verwerker, noch de personen die onder rechtstreeks gezag van de Verwerkingsverantwoordelijke of de Verwerker gemachtigd zijn om Persoonsgegevens te verwerken, zoals bedoeld in artikel 4 onder 10) AVG.

5. Inbreuk in verband met Persoonsgegevens: een (vermoeden van een) inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte Persoonsgegevens, zoals bedoeld in artikel 4 onder 12) AVG.

6. Medewerker: de door Verwerker ingeschakelde werknemers en andere personen waarvan de werkzaamheden onder zijn verantwoordelijkheid vallen en die worden ingeschakeld door Verwerker ter uitvoering van de Overeenkomst.

7. Meldplicht: De verplichting tot het melden van een “Inbreuk in verband met Persoonsgegevens” aan de Toezichthoudende autoriteit en (in sommige gevallen) aan Betrokkene(n), op basis van de AVG.

8. Onderliggende opdracht: De opdracht zoals hierboven bedoeld in de overwegingen onder A.

9. Ontvanger: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan, al dan niet een Derde, aan wie/waaraan de Persoonsgegevens worden verstrekt, zoals bedoeld in artikel 4 onder 9) AVG.

10. Overeenkomst: de overeenkomst die tussen Verwerkingsverantwoordelijke en Verwerker is gesloten en op grond waarvan Verwerker Persoonsgegevens ten behoeve van de uitvoering van deze overeenkomst voor Verwerkingsverantwoordelijke verwerkt.

11. Persoonsgegeven: alle informatie over een Betrokkene; als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon, zoals bedoeld in artikel 4 onder 1) AVG.

12. Schriftelijk: op schrift gesteld of langs de elektronische weg, zoals bedoeld in artikel 6:227a van het Burgerlijk Wetboek.

13. Sub-verwerker: een andere verwerker, waaronder maar niet beperkt tot groepsmaatschappijen, zustermaatschappijen, dochtermaatschappijen en hulpleveranciers, die Verwerker inschakelt om voor rekening van de Verwerkingsverantwoordelijke specifieke verwerkingsactiviteiten te verrichten.

14. Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens: de toepasselijke wet- en regelgeving en/of (nadere) verdragen, verordeningen, richtlijnen, besluiten, beleidsregels, instructies en/of aanbevelingen van een bevoegde overheidsinstantie betreffende de Verwerking van Persoonsgegevens, tevens omvattende toekomstige wijziging hiervan en/of aanvulling hierop, inclusief lidstaatrechtelijke uitvoeringswetten van de AVG en de Telecommunicatiewet.

15. Toezichthoudende autoriteit: één of meer onafhankelijke overheidsinstanties die verantwoordelijk is of zijn voor het toezicht op de toepassing van de AVG, teneinde de grondrechten en fundamentele vrijheden van natuurlijke personen in verband met de Verwerking van hun Persoonsgegevens te beschermen en het vrije verkeer van Persoonsgegevens binnen de Unie te vergemakkelijken, zoals bedoeld in artikel 4 onder 21) en artikel 51 AVG. In Nederland is dit de Autoriteit Persoonsgegevens.

16. Verwerkersovereenkomst: de onderhavige overeenkomst inclusief Bijlagen, zoals bedoeld in artikel 28 lid 3 AVG.

17. Verwerking: een bewerking of een geheel van bewerkingen met betrekking tot Persoonsgegevens of een geheel van Persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens, zoals bedoeld in artikel 4 onder 2) AVG.

2. Toepasselijkheid en looptijd

1. Deze Overeenkomst is van toepassing op iedere Verwerking die door Verwerker wordt gedaan op basis van de Onderliggende opdracht, gegeven door Verwerkingsverantwoordelijke.

2. Deze Overeenkomst is onlosmakelijk verbonden aan de Onderliggende opdracht en treedt dan ook in werking op de datum waarop de Onderliggende opdracht van kracht wordt en eindigt op hetzelfde moment als de Onderliggende opdracht. Het is voor Partijen niet mogelijk om deze Overeenkomst los van de Onderliggende opdracht tussentijds op te zeggen.

3. Artikel 6 van onderhavige Overeenkomst blijft gelden, ook nadat de Overeenkomst is beëindigd.

3. Verwerking

1. Verwerker en Sub-verwerker Verwerkt de Persoonsgegevens zoals opgegeven in deze overeenkomst, uitsluitend op de manier zoals die met Verwerkingsverantwoordelijke is overeengekomen in de Onderliggende opdracht. Het Verwerken gebeurt niet langer of uitgebreider dan noodzakelijk is voor de uitvoering van de Onderliggende opdracht. De Verwerking vindt plaats volgens de instructie van Verwerkingsverantwoordelijke, tenzij Verwerker op grond van de wet- of regelgeving verplicht is om anders te handelen.

2. De Verwerking vindt aldus plaats onder de verantwoordelijkheid van de Verwerkingsverantwoordelijke. Verwerker heeft geen zeggenschap over het doel en de middelen van de Verwerking en neemt geen beslissingen over zaken als het gebruik van Persoonsgegevens, de bewaartermijn van de voor u verwerkte Persoonsgegevens en het verstrekken van Persoonsgegevens aan Derden. Verwerkingsverantwoordelijke moet ervoor zorgen dat zij het doel en de middelen van de Verwerking van de Persoonsgegevens duidelijk heeft vastgesteld. De zeggenschap over de Persoonsgegevens berust nimmer op de Verwerker.

3. De Verwerkingsverantwoordelijke is wettelijk verplicht ervoor te zorgen dat de AVG en andere wet- en regelgeving op het gebied van privacy wordt nageleefd. In het bijzonder dient Verwerkingsverantwoordelijke vast te stellen of er sprake is van een rechtmatige grondslag voor het Verwerken van de Persoonsgegevens als bedoeld in artikel 6 van de AVG. Verwerker zorgt ervoor dat zij voldoet aan de op Verwerker van toepassing zijnde regelgeving op het gebied van de Verwerking van Persoonsgegevens en de afspraken die Partijen hebben gemaakt in deze Overeenkomst.

4. Verwerker zorgt ervoor dat enkel haar Medewerkers toegang hebben tot de Persoonsgegevens. Met uitzondering van hetgeen in artikel 3.5 is bepaald. Verwerker beperkt de toegang tot Medewerkers voor wie de toegang noodzakelijk is voor hun werkzaamheden, waarbij de toegang beperkt is tot Persoonsgegevens die deze Medewerkers nodig hebben voor hun werkzaamheden. Verwerker zorgt er bovendien voor dat de Medewerkers die toegang hebben tot de Persoonsgegevens een juiste en volledige instructie hebben gekregen over de omgang met Persoonsgegevens en dat zij bekend zijn met de verantwoordelijkheden en verplichtingen van de AVG.

5. Verwerker is gerechtigd om Derden (sub-Verwerkers) in te schakelen voor het uitvoeren van bepaalde werkzaamheden, bijvoorbeeld als deze Derden over specialistische kennis of middelen beschikken waarover Verwerker zelf niet beschikt. In het geval dat het inschakelen van Derden tot gevolg heeft dat deze Persoonsgegevens gaat Verwerken dan zal Verwerker aan die Derden (schriftelijk) alle verplichtingen uit deze Overeenkomst opleggen. Met ondertekening van deze overeenkomst geeft Verwerkingsverantwoordelijke toestemming voor het inschakelen van de Derden die genoemd zijn in de bijlage. Voor het inschakelen van overige Derden zal eerst toestemming aan de Verwerkingsverantwoordelijke worden gevraagd. Het weigeren van het inschakelen van Derden kan er in bepaalde gevallen echter wel toe leiden dat de Onderliggende opdracht wordt beëindigd.

6. Verwerkingsverantwoordelijke kan Verwerker verzoeken om Persoonsgegevens te zoeken, wijzigen of verbeteren indien Verwerker in het kader van de Onderliggende opdracht toegang heeft tot deze Persoonsgegevens. Indien Verwerker (rechtstreeks) verzoeken ontvangt van Xxxxxxxxxx(n) om inzage, wijziging of verbetering van Persoonsgegevens, dan zendt Verwerker deze verzoeken door naar de Verwerkingsverantwoordelijke. Op haar beurt zal Verwerkingsverantwoordelijke deze verzoeken zelf afhandelen. Indien nodig kan Verwerker behulpzaam zijn als Verwerker in het kader van de Onderliggende opdracht toegang heeft tot deze Persoonsgegevens. Ook hier zal een schriftelijk verzoek van de Verwerkingsverantwoordelijke aan ten grondslag moeten liggen.

7. Verwerker zal de Persoonsgegevens enkel Verwerken binnen de Europese Economische Ruimte, tenzij anders schriftelijk is overeengekomen.

8. Op het moment dat Xxxxxxxxx een verzoek krijgt om Persoonsgegevens ter beschikking te stellen dan gebeurt dit enkel wanneer het verzoek is gedaan door een daartoe bevoegde instantie. Indien er geen strafrechtelijke of andere juridische belemmeringen zijn, dan stelt Verwerker de Verwerkingsverantwoordelijke op de hoogte van het verzoek. Verwerker tracht dit op een zodanig korte termijn te doen, dat het voor Verwerkingsverantwoordelijke mogelijk is om eventuele rechtsmiddelen tegen de verstrekking van de Persoonsgegevens in te stellen. In het geval dat de gegevens verstrekt mogen worden zullen Partijen in overleg treden over de wijze waarop en welke gegevens Partijen ter beschikking zullen stellen.

9. Voor de uitvoering van de dienstverlening van Verwerder, wordt ook gebruik gemaakt van een aantal subverwerkers. Zij fungeren als sub-verwerkers voor het digitaal opslaan en middels internet beschikbaar maken van gegevens en het maken van back-ups. Dit zijn:

• TransIP, Xxxxxxxxxxx 0X, 0000 XX Xxxxxx

• Uniserver Internet B.V., Xxxxxxxxxxxx 0, 0000 XX Xxxxxxx

• Proserve, Xxxxxxxxxxxx 00 (00x xxxxx), 0000 XX Xxxxxxxxx

• Rout IT, Xxxxxxxxxxxxx 00, 0000 XX Xxx

• SolarWinds, Xxxx 0000, Xxxxxxxx 0000, Xxxx Xxxx, Xxxxx Xxxx, Xxxxxxx 

4. Beveiligingsmaatregelen

1. Verwerker en Sub-verwerker hebben de beveiligingsmaatregelen genomen die zijn genoemd in de Bijlage A die bij deze Overeenkomst hoort, maar kunnen niet garanderen dat deze maatregelen onder alle omstandigheden doeltreffend zijn. Bij het nemen van de beveiligingsmaatregelen is rekening gehouden met de stand van de techniek en de kosten van de beveiligingsmaatregelen.

2. Verwerkingsverantwoordelijke heeft zich goed geïnformeerd over de getroffen beveiligingsmaatregelen verklaart dat deze maatregelen een beveiligingsniveau hebben dat past bij de aard van de Persoonsgegevens en de risico’s van de verwerking.

3. Verwerker informeert Verwerkingsverantwoordelijke op het moment dat een van de beveiligingsmaatregelen substantieel wijzigt.

4. Indien Verwerkingsverantwoordelijke de wijze waarop Verwerker de beveiligingsmaatregelen naleeft wil laten inspecteren, dan kan zij hiertoe een verzoek doen. Partijen zullen hier alsdan passende afspraken voor maken waarbij in ieder geval wordt overeengekomen dat de kosten van een inspectie voor rekening van de Verwerkingsverantwoordelijke komen en Verwerkingsverantwoordelijke een afschrift van het inspectierapport overlegt aan Verwerker.

5. Inbreuk i.v.m. Persoonsgegevens en andere beveiligingsincidenten

1. Op het moment dat er sprake is van een Inbreuk in verband met Persoonsgegevens, dan stelt Verwerker of Sub-verwerker de Verwerkingsverantwoordelijke hiervan op de hoogte. Verwerker streeft er naar om dit binnen 24 uur, nadat Partijen deze Inbreuk hebben ontdekt of daarover door haar Sub-verwerkers zijn geïnformeerd, te doen.
   Hiervoor zal gebruik gemaakt worden van het protocol protocol zoals vermeld op de website van Mega Bite. Verwerker zal Verwerkingsverantwoordelijke daarbij voorzien van de informatie die laatstgenoemde redelijkerwijs nodig heeft om - indien nodig - een juiste en volledige melding te doen aan de Toezichthoudende Autoriteit en eventueel de Betrokkene(n) in het kader van de Meldplicht. Ook van de door Verwerker of Sub-verwerker naar aanleiding van de genoemde Inbreuk genomen maatregelen zal Verwerkingsverantwoordelijke op de hoogte worden gesteld.

2. De melding van de Inbreuk aan de bevoegde Toezichthoudende Autoriteit en (eventueel) Betrokkene(n) is te allen tijde de verantwoordelijkheid van de Verwerkingsverantwoordelijke.

6. Geheimhoudingsplicht

6.1 Verwerker houdt de van Verwerkingsverantwoordelijke verkregen Persoonsgegevens geheim en verplicht haar Medewerkers en eventuele sub-Verwerkers ook tot geheimhouding.

7. Aansprakelijkheid

1. Verwerkingsverantwoordelijke staat ervoor in dat de Verwerking van Persoonsgegevens op basis van deze Overeenkomst niet onrechtmatig is en geen inbreuk maakt op de rechten van Betrokkene(n).

2. Verwerker is niet aansprakelijk voor schade die het gevolg is van het niet naleven van de AVG, of andere wet- of regelgeving, door de Verwerkingsverantwoordelijke. Voort Vrijwaart Verwerkingsverantwoordelijke de Verwerker ook voor aanspraken van Xxxxxx op grond van zulke schade. De vrijwaring geldt niet alleen voor de schade die Derden hebben geleden (materieel maar ook immaterieel), maar ook voor de kosten die Verwerker moet maken in de juridische procedure, zoals bijvoorbeeld griffierechten en kosten voor een advocaat, en eventuele boetes die aan Verwerker worden opgelegd.

3. De in de Onderliggende opdracht en daarbij behorende algemene voorwaarden overeengekomen beperking van haar aansprakelijkheid is van kracht op de verplichtingen zoals opgenomen in deze Overeenkomst, met dien verstande dat een of meerdere schadevorderingen uit hoofde van deze Overeenkomst en /of de Onderliggende opdracht nimmer tot overschrijding van de beperking kan leiden.

8. Overdraagbaarheid Overeenkomst

1. Tenzij anders overeengekomen is het Partijen niet toegestaan om deze Overeenkomst en de rechten en de plichten die samenhangen met deze Overeenkomst over te dragen aan een ander.

9. Beëindiging en teruggave / vernietiging Persoonsgegevens

1. Als de Onderliggende opdracht wordt beëindigd dan zal Verwerker de aan haar verstrekte Persoonsgegevens aan Verwerkingsverantwoordelijke terug overdragen of – indien Verwerkingsverantwoordelijke daarom verzoekt – vernietigen. Verwerker zal een kopie van de Persoonsgegevens bewaren als zij hiertoe op grond van wet- of (beroeps)regelgeving verplicht is.

2. De kosten van het verzamelen en overdragen van Persoonsgegevens bij het eindigen van de Onderliggende opdracht komen voor rekening van de Verwerkingsverantwoordelijke. Datzelfde geldt voor de kosten van de vernietiging van de Persoonsgegevens.

10. Aanvullingen en wijziging Overeenkomst

1. Aanvullingen en wijzigingen op deze Overeenkomst zijn alleen geldig als ze op schrift zijn gesteld. Onder “schriftelijk” worden ook wijzigingen begrepen die per e-mail zijn gecommuniceerd, gevolgd door een akkoord per e-mail van de andere partij.

11. Slotbepalingen

1. Op deze Overeenkomst is Nederlands recht van toepassing, de Nederlandse rechter is bevoegd kennis te nemen van alle geschillen die voortvloeien uit of samenhangen met deze Overeenkomst.

2. Deze Overeenkomst is hoger in rang dan andere door Partijen gesloten overeenkomsten. Indien Verwerkingsverantwoordelijke algemene voorwaarden gebruikt dan zijn deze niet van toepassing op deze Overeenkomst. De bepalingen uit deze Overeenkomst gaan boven de bepalingen in de algemene voorwaarden van Verwerker, tenzij expliciet naar een bepaling in de algemene voorwaarden wordt verwezen.

3. Indien één of meerdere bepalingen in deze Overeenkomst niet geldig blijken te zijn, dan heeft dit geen gevolgen voor de geldigheid van de andere bepalingen in deze Overeenkomst. Verwerker treedt indien nodig met Verwerkingsverantwoordelijke in overleg om gezamenlijk een nieuwe bepaling op te stellen. Deze bepaling zal zoveel als mogelijk in de geest zijn van de ongeldige bepaling, maar dan uiteraard zo vormgegeven dat de bepaling wel geldig is.

4. Mededelingen in het kader van deze Overeenkomst zullen door Partijen worden gedaan aan onderstaande de contactpersoenen zoals opgenomen in deze overeenkomst. Als de gegevens behorend bij de bovengenoemde Medewerkers veranderen, of als zij worden vervangen door andere Medewerkers, dan lichten Partijen elkaar daarover in.

5. De in deze Overeenkomst genoemde voorbeelden dienen ter verduidelijking van de in de Overeenkomst opgenomen regeling en zijn geen limitatieve opsomming.

PLAATS ONDERTEKENING: Plaatsnaam
DATUM ONDERTEKENING:      

Verwerkingsverantwoordelijke: .......................................		Verwerker: .......................................
Door:	Naam	Door:	Dhr. A. C. Verwoerd
Bedrijf:	Bedrijfsnaam	Bedrijf:	Mega Bite B.V.
Functie:	Functienaam	Functie:	Directeur
Email adres:*	email	Email adres:*	xxxxxxxxx@xxxxxxxx.xx
Telefoon:*	telefoon	Telefoon:*	035– 711 0876
Mobiel telefoon:*	telefoon

*: Deze gegevens worden als contactgegevens gebruikt bij meldingen van “inbreuk in verband met Persoonsgegevens” en bij in geval van datalekken.

Bijlage A: Beveiligingsmaatregelen

Technische maatregelen

Verwerker neemt de volgende technische maatregelen ter bescherming van de Persoonsgegevens tegen verlies of onrechtmatige verwerking:

• HTTPS encryptie voor web-services

• SSL Certificaten

• Persoonlijke login met wachtwoorden voor medewerkers

• Firewall(s) voor het Internet

• AntiVirus software op Servers

• Regelmatige back-up’s van gegevens binnen de systemen.

• Uitgebreide logging van gebeurtenissen op de systemen.

Organisatorische maatregelen

Verwerker neemt de volgende organisatorische maatregelen ter bescherming van de Persoonsgegevens tegen verlies of onrechtmatige verwerking:

• Er zijn procedures opgesteld rondom risicobeoordeling en risicobehandeling, en incidentafhandeling.

• Er is een fysiek en logisch toegangsbeleid met betrekking tot de diverse niveaus binnen de Verwerker-omgeving om ongeautoriseerde toegang te voorkomen.

• Er is een authenticatie- en wachtwoordbeleid om ongeautoriseerde login te voorkomen en sterk wachtwoordgebruik te borgen.

• Er wordt regelmatig getest op technische kwetsbaarheden binnen het netwerk en omliggende systemen door een eigen securityteam.

• Er is een procedure ingesteld om applicaties up-to-date te houden.