VERWERKINGSOVEREENKOMST ONLINE BACKUP
Verwerkings- overeenkomst Online
Backup
VERWERKINGSOVEREENKOMST ONLINE BACKUP
Datum:
PARTIJEN:
, een Nederlandse entiteit met
zetel in , handelsregisternummer ("Wederpartij"); en KPN B.V., een Nederlandse entiteit met zetel in Rotterdam, handelsregisternummer 27124701
Xxxxxxxxxxxxxx 000, 0000 XX Xxxxxxxxx ("KPN1");
gezamenlijk "Partijen" en ieder afzonderlijk een "Partij",
OVERWEGENDE DAT:
A. Beide Partijen diensten verrichten ten behoeve van elkaar en derden, op grond van de in Bijlage 1 - Deel 2 omschreven Overeenkomst(en).
B. De diensten verwerkingen van persoonsgegevens meebrengen in verschillende situaties:
1. KPN is verwerkingsverantwoordelijke en de ander verwerker
2. KPN is zelfstandig verantwoordelijke en de andere Partij is zelfstandig verantwoordelijk voor de verwerking
3. beide zijn gezamenlijk verantwoordelijk voor de verwerking
4. De andere Partij is verwerkingsverantwoordelijke en KPN verwerker (de spiegel van situatie 1).
C. Voor zover sprake van een van bovenstaande situaties is, de relevante bepalingen van deze Verwerkingsovereenkomst van toepassing zijn.
D. De Algemene Verordening Gegevensbescherming (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 (AVG) per 25 mei 2018 van toepassing zal zijn, naast de Telecommunicatiewet.
E. Partijen in Bijlage 1 de specifieke verwerkingen beschrijven.
F. Partijen in deze Verwerkingsovereenkomst de afspraken over de verwerkingen van Persoonsgegevens in het kader van de diensten wensen vast te leggen.
ZIJN HET VOLGENDE OVEREENGEKOMEN:
1. Definities
1.1 De met een hoofdletter geschreven begrippen hebben de betekenis die daaraan hieronder is toegewezen. Verwijzingen naar een artikel uit de AVG gelden tot 25 mei 2018 als verwijzingen naar het vergelijkbare artikel uit de Wbp.
AVG Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van R i c h tl i j n 9 5 / 4 6 / E G ( a lg e m e n e v e r o r d en i n g gegevensbescherming).
Betrokkene een geïdentificeerde of identificeerbare natuurlijke persoon wiens persoonsgegevens worden verwerkt (artikel 4 sub 1 AVG).
Datalek een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot verstuurde, opgeslagen of op andere wijze verwerkte gegevens.
2 1 Solcon Internetdiensten B.V. is een 100% dochter van KPN.
aug_2018
EU Standaard Contract door de EU opgestelde standaard contract bepalingen voor de overdracht van Persoonsgegevens naar verwerkers gevestigd in derde landen (artikel 46, lid 2, sub c en d AVG).
Gezamenlijke verantwoordelijkheid (Gezamenlijk Verantwoordelijke)
indien Partijen gezamenlijk (een deel van) de doeleinden van een Verwerking of de wezenlijke aspecten van de middelen voor een Verwerking van Persoonsgegevens bepalen, zijn Partijen gezamenlijk verantwoordelijk voor (dat deel van) die Verwerking van Persoonsgegevens.
Informatieverzoek informatieverzoek van een Betrokkene over de verwerking van Persoonsgegevens door Verwerker.
Klacht klacht van een Betrokkene met betrekking tot de verwerking van Persoonsgegevens.
Overeenkomst de in Bijlage 1 – Deel 2 vermelde overeenkomst(en) over de levering van producten en/of diensten.
Personeel de natuurlijke persoon die werkzaam is bij, of voor, een van de Partijen.
Persoonsgegeven alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon in de zin van artikel 4 onder 1 AVG.
Privacywetgeving de Telecommunicatiewet en de Wbp of – vanaf 25 mei 2018 – de AVG, inclusief alle krachtens deze regelingen vastgestelde wet- of regelgeving, en alle overige toepasselijke wet- en regelgeving die van toepassing is op de Verwerking van Persoonsgegevens .
Privacy Officer (ook: Functionaris Gegevensbescherming)
een functionaris als bedoeld in artikel 37 – 39 AVG, die Verwerkingsverantwoordelijke of Verwerker en het Personeel deskundig informeert, opleidt en adviseert over gegevensbescherming, gegevenseffect- beoordelingen en samenwerking met de toezichthoudende autoriteit.
Register Register als bedoeld in artikel 30 AVG waarin de verwerkingen worden bijgehouden met onder meer een beschrijving van de gebruikte systemen, een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen die zijn geïmplementeerd, categorieën Persoonsgegevens en Betrokkenen, bewaartermijnen en contactgegevens.
Subverwerker iedere niet-ondergeschikte derde partij die door Xxxxxxxxx is ingeschakeld bij de verwerking van Persoonsgegevens. Dit gaat niet om Personeel van de Verwerker.
Telecommunicatiewet of Tw wet van 19 oktober 1998, houdende regels inzake de
telecommunicatie.
3 aug_2018
Verwerkingsverantwoordelijke een natuurlijke persoon of rechtspersoon, een
overheidsinstantie, een dienst of een ander orgaan die, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens bepaalt.
Verwerker een natuurlijke persoon of rechtspersoon, een overheidsinstantie of een dienst die Persoonsgegevens v e r w e r k t t e n b e h o e v e v a n d e Verwerkingsverantwoordelijke.
Verwerkingsovereenkomst Verwerking
Wet bescherming persoonsgegevens of Wbp
Zelfstandige Verantwoordelijkheid (Zelfstandig Verantwoordelijke)
deze overeenkomst.
een bewerking (of een geheel van bewerkingen) over persoonsgegevens (of een geheel van persoonsgegevens), al dan niet uitgevoerd via geautomatiseerde procedés. Bijvoorbeeld het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden, of op andere wijze ter beschikking stellen, afstemmen of combineren, afschermen, wissen of vernietigen van gegevens.
Wet van 6 juli 2000, houdende regels inzake de bescherming van persoonsgegevens.
Indien een Partij zelfstandig het doeleinde van en de wezenlijke aspecten van de middelen voor een Verwerking van Persoonsgegevens bepaalt, is die Partij zelfstandig Verantwoordelijke voor die Verwerking van Persoonsgegevens. Bijvoorbeeld wanneer de verwerking van Persoonsgegevens niet uw primaire opdracht is, maar het een uitvloeisel is van een andere vorm van dienstverlening, dan bent u als dienstverlener zélf de Verwerkingsverantwoordelijke voor deze verwerking. Tegelijkertijd kan KPN haar eigen zelfstandige verantwoordelijkheid hebben voor een verwerking.
2. Algemene beginselen
2.1. Partijen zullen er ieder zorg voor dragen dat zij:
a) Persoonsgegevens alleen zullen Verwerken voor rechtmatige en legitieme zakelijke doeleinden;
b) enkel Persoonsgegevens zullen verstrekken aan de andere Partij die relevant en noodzakelijk zijn voor de rechtmatige en legitieme zakelijke doeleinden van de andere Partij;
c) enkel Persoonsgegevens aan elkaar zullen verstrekken via de systemen en volgens de processen zoals tussen Partijen overeengekomen; en
d) elkaar onverwijld, zonder uitstel en adequaat medewerking zullen verlenen en in redelijkheid verzochte informatie verstrekken om de andere Partij in staat te stellen te waarborgen dat Verwerkingen geschieden in overeenstemming met de Privacywetgeving.
2. Deze Verwerkingsovereenkomst is een onlosmakelijk onderdeel van de Overeenkomst en is uitsluitend van toepassing op de verwerking van Persoonsgegevens in het kader van de Overeenkomst. Indien de
4
aug_2018
Verwerkingsovereenkomst strijdig is met de Overeenkomst, prevaleert de Verwerkingsovereenkomst boven de Overeenkomst.
3. Technische en organisatorische beveiligingsmaatregelen
3.1. Elke Partij zal aantoonbaar, passende en doeltreffende technische en organisatorische beveiligingsmaatregelen nemen, die gezien de huidige stand der techniek en de daarmee gemoeide kosten overeenstemmen met de (in Bijlage 1 – Deel 3 t/m 6 gespecificeerde) aard van de te verwerken Persoonsgegevens, ter bescherming van de Persoonsgegevens tegen verlies, onbevoegde kennisname, verminking of enige vorm van onrechtmatige verwerking, alsmede om de (tijdige) beschikbaarheid van de gegevens te waarborgen. In deze beveiligingsmaatregelen zijn de mogelijk in de Overeenkomst reeds bepaalde maatregelen begrepen. De maatregelen omvatten in ieder geval:
a) dat zowel eigen Personeel alsmede ingehuurde krachten, die betrokken zijn bij de verwerking van Persoonsgegevens contractueel verplicht zijn om de Persoonsgegevens geheim te houden;
b) maatregelen om te waarborgen dat enkel bevoegd personeel toegang heeft tot de Persoonsgegevens voor de doeleinden die zijn uiteengezet;
c) maatregelen waarbij de Partij zijn Personeel en Subverwerkers uitsluitend toegang geeft tot Persoonsgegevens via op naam gestelde accounts, waarbij het gebruik van die accounts adequaat gelogd wordt en waarbij de betreffende accounts alleen toegang geven tot die Persoonsgegevens waartoe de toegang voor de betreffende (rechts)persoon noodzakelijk is;
d) maatregelen om de Persoonsgegevens te beschermen tegen onopzettelijke of onrechtmatige vernietiging, onopzettelijk verlies of wijziging, onbevoegde of onrechtmatige opslag, verwerking, toegang of openbaarmaking;
e) maatregelen om zwakke plekken te identificeren ten aanzien van de verwerking van Persoonsgegevens in de systemen die worden ingezet voor het verlenen van diensten aan de andere Partij;
f) maatregelen om de tijdige beschikbaarheid van de Persoonsgegevens te garanderen;
g) maatregelen om te waarborgen dat Persoonsgegevens logisch gescheiden worden verwerkt van de Persoonsgegevens die hij voor zichzelf of namens derde partijen verwerkt;
h) dat Partijen werken in overeenstemming met ISO27001 (in de zorgsector NEN 7510);
i) maatregelen die de veilige netwerkverbindingen garanderen;
j) de overige maatregelen die Partijen zijn overeengekomen, zoals vastgelegd in Bijlage 2; en
k) indien overeengekomen: de maatregelen die Partijen hebben afgesproken op basis van de KPN Security Policy (KSP), zoals vastgelegd in Bijlage 2.
3.2. Elke Partij zal op eerste verzoek van de andere Partij een door een onafhankelijke en ter zake deskundige derde afgegeven certificaat overleggen waaruit volgt dat zij de verplichtingen uit dit artikel naleeft. Het betreffende certificaat mag niet ouder zijn dan 12 maanden.
3.3. De toezichthoudende autoriteit heeft het recht toe te (laten) zien op de naleving van de Privacywetgeving. Elke Partij zal de toezichthoudende autoriteit in staat stellen de verwerkingen te (laten) controleren.
3.4. Daarnaast heeft elke Partij het recht toe te (laten) zien op de naleving van de AVG. Op verzoek, zal een
Partij de verzoekende Partij in staat stellen om in elk geval eenmaal per jaar de verwerkingen te (laten) controleren, op een door Partijen in gezamenlijk overleg nader te bepalen tijdstip.
5
aug_2018
3.5. Partijen erkennen dat beveiligingseisen voortdurend veranderen en dat een effectieve beveiliging frequente evaluatie en regelmatige verbetering van verouderde beveiligingsmaatregelen vereist. Partijen zullen daarom de maatregelen zoals geïmplementeerd op basis van dit artikel 3 periodiek evalueren en, waar nodig, de maatregelen verbeteren om te blijven voldoen aan de verplichtingen onder de Privacywetgeving.
3.6. Indien een Partij, naar aanleiding van (vermoeden van) informatie- of privacy-incidenten, de verwerkingen
wenst te controleren, zal de andere Partij in alle redelijkheid haar medewerking verlenen aan een dergelijk onderzoek. Indien naar aanleiding van een dergelijke controle in redelijkheid gegeven verzoeken tot aanpassing van het beveiligingsbeleid worden gevraagd, zal de andere Partij deze binnen een redelijke termijn implementeren.
4. (Sub)Verwerkers
4.1. Wanneer een Partij optreedt als Verwerker zal die Partij Persoonsgegevens uitsluitend verwerken voor zover (i) dit noodzakelijk is voor de uitvoering van de Overeenkomst; en (ii) de Verwerkingsverantwoordelijke de andere Partij daartoe schriftelijke instructies heeft gegeven. Indien een Partij optreedt als Verwerker en op basis van toepasselijke wet- of regelgeving verplicht is om Persoonsgegevens te verwerken, zonder daartoe een schriftelijke instructie van de Verwerkingsverantwoordelijke te ontvangen, zal deze Partij de Verwerkingsverantwoordelijke op de hoogte stellen van die verplichting, tenzij een dergelijke mededeling in strijd is met de wet- of regelgeving.
4.2. De Verwerker zal alle redelijke instructies van de Verwerkingsverantwoordelijke in verband met de verwerking van de Persoonsgegevens opvolgen. Verwerker stelt de Verwerkingsverantwoordelijke onmiddellijk op de hoogte indien naar zijn oordeel instructies in strijd zijn met de Privacywetgeving.
4.3. Deze Verwerker garandeert dat hij afdoende passende technische en organisatorische maatregel heeft getroffen.
4.4. Deze Verwerker mag Subverwerkers geen Persoonsgegevens laten Verwerken zonder voorafgaande schriftelijke toestemming van de andere Partij. De toestemming wordt geacht te zijn verleend indien de andere Partij binnen 15 werkdagen nadat de kennisgeving om een Subverwerker in te schakelen per email is verzonden, geen bezwaar heeft gemaakt of bij het sluiten van deze Verwerkersovereenkomst door de acceptatie van de Verwerkers en Subverwerkers opgenomen in Bijlage 1 – Deel 6.
4.5. Partijen dragen er zorg voor dat hun Verwerkers en Subverwerkers contractueel gebonden zijn aan
dezelfde verplichtingen in verband met Verwerkingen als die waar de relevante Partij op grond van deze Verwerkingsovereenkomst aan is gebonden.
5. Doorgifte van persoonsgegevens buiten de EER
5.1. Partijen mogen geen Persoonsgegevens doorgeven naar een land buiten de EER, tenzij:
a) de andere Partij daaraan voorafgaand schriftelijk toestemming heeft gegeven. De toestemming wordt geacht te zijn verleend indien de andere Partij binnen 15 werkdagen nadat de kennisgeving om een (Sub-)Verwerker in te schakelen per email is verzonden, geen bezwaar heeft gemaakt of bij het sluiten van deze Verwerkersovereenkomst door de acceptatie van de Verwerkers en Subverwerkers opgenomen in Bijlage 1 – Deel 6; en
b) er een besluit is van de Europese Commissie is dat de doorgifte naar het betreffende land over een adequaat beschermingsniveau beschikt; of
c) de doorgifte geschiedt op basis van het EU Standaard Contract; of
d) de doorgifte geschiedt op basis van binnen een concern geldende bindende bedrijfsvoorschriften zoals bedoeld in art 47 AVG.
6.Gegevensbeschermingseffectbeoordeling (DPIA)
6.1. Indien een gegevensbeschermingseffectbeoordeling (ook wel Data Privacy Impact Assessment of DPIA) op grond van artikel 35 AVG nodig of verplicht is, bijvoorbeeld wanneer grote hoeveelheden Persoonsgegevens worden verwerkt, verzameld, vergeleken of gekoppeld, zal de Partij die voornemens is een nieuwe verwerking te doen een DPIA uitvoeren. Indien de andere Partij optreedt als Verwerker zal zij alle nodige bijstand verlenen bij de uitvoering van de DPIA. In het geval dat Partijen Gezamenlijk Verantwoordelijk zijn zullen Partijen onderling afstemmen welke Partij de DPIA doet of dat Partijen de DPIA gezamenlijk uitvoeren. De DPIA bevat ten minste:
6 aug_2018
a) een systematische beschrijving van de beoogde verwerkingen en de verwerkingsdoeleinden, waaronder, in voorkomend geval, de gerechtvaardigde belangen die door de Verwerkingsverantwoordelijke worden behartigd;
b) een beoordeling van de noodzaak en de evenredigheid van de verwerkingen met betrekking tot de doeleinden;
c) een beoordeling van de in lid 1 bedoelde risico's voor de rechten en vrijheden van Xxxxxxxxxxx; en
d) de beoogde maatregelen om de risico's aan te pakken, waaronder waarborgen, veiligheidsmaatregelen en mechanismen om de bescherming van persoonsgegevens te garanderen en om aan te tonen dat aan de AVG is voldaan, met inachtneming van de rechten en gerechtvaardigde belangen van de Betrokkenen en andere personen in kwestie.
6.2. Indien vereist op grond van artikel 36 AVG, zullen Partijen elkaar de benodigde medewerking verschaffen voor een voorafgaande raadpleging van de bevoegde toezichthoudende autoriteit.
7. Controle op naleving
7.1. Partijen zullen de Persoonsgegevens aantoonbaar, op behoorlijke en zorgvuldige wijze verwerken en in overeenstemming met de op hen rustende verplichtingen op grond van de Privacywetgeving. Elke Partij zal in dat kader ten minste een Register van verwerkingen aanleggen en de andere Partij op eerste verzoek een kopie verstrekken of inzage verlenen in de voor de Overeenkomst en onderhavige dienstverlening relevante delen van het Register.
7.2. De daartoe aangewezen (dan wel extern ingehuurde) Privacy Officers van Partijen geven elkaar in onderling overleg binnen een redelijke termijn en zonder uitstel inzage in de voor de Overeenkomst en de dienstverlening relevante delen van elkaars Registers en processen die door Partijen worden gebruikt voor de Verwerking van Persoonsgegevens. Daarbij verlenen zij elkaar alle medewerking die redelijkerwijs nodig is voor het verkrijgen en geven van dergelijke inzage.
8. Inspectie of onderzoek door toezichthoudende autoriteiten
8.1 Partijen verlenen aan toezichthoudende autoriteit toegang tot de voor de Verwerkingen relevante systemen, faciliteiten en ondersteunende documentatie, indien dit nodig is om te voldoen aan een wettelijke verplichting die op een van de Partijen rust. In geval van een inspectie of onderzoek verlenen beide Partijen de nodige assistentie aan elkaar. Als een toezichthoudende autoriteit oordeelt dat Verwerkingen onder deze Verwerkingsovereenkomst onrechtmatig zijn, treffen beide Partijen onmiddellijk maatregelen om naleving van de Privacywetgeving te bewerkstelligen.
9. Meldingen van openbaarmakingen
9.1. Iedere Partij brengt de andere Partij onverwijld op de hoogte als zij in verband met de Verwerkingen een vordering, gebod (subpoena) om in de rechtbank te verschijnen als getuige of deskundige heeft ontvangen, behalve wanneer het een Partij wettelijk verboden is om de andere Partij daarvan op de hoogte te stellen.
9.2. Iedere Partij brengt de andere Partij onverwijld op de hoogte als zij in verband met de Verwerkingen van een bevoegde toezichthoudende autoriteit een vraag heeft ontvangen, of een verzoek tot het uitvoeren van een inspectie of onderzoek heeft ontvangen.
10. Monitoren en Datalekken
10.1. Elke Partij zal actief monitoren op inbreuken op de beveiligingsmaatregelen. Elke Partij zal Datalekken zelfstandig oplossen wanneer dit slechts betrekking heeft op Verwerkingen waarvoor hij Zelfstandig Verwerkingsverantwoordelijke is. Artikel 10.2 - 10.4 is niet van toepassing op Zelfstandig Verantwoordelijke.
10.2. Xxxxx zich een Datalek voordoet of heeft voorgedaan die betrekking heeft op Verwerkingen waar ook de andere Partij bij is betrokken, dan is de getroffen Partij verplicht de andere Partij daarvan onmiddellijk en uiterlijk binnen 24 uur na ontdekking, zowel telefonisch als per email in kennis te stellen via de in Bijlage 1 –
Deel 1 beschreven contactgegevens. De getroffen Partij zal daarbij alle relevante informatie binnen 36 uur na ontdekking verstrekken over:
a) de aard van het Datalek;
b) de (mogelijk) getroffen Persoonsgegevens;
7
aug_2018
c) de (mogelijk) getroffen Betrokkenen;
d) de geconstateerde en de vermoedelijke gevolgen van het Datalek; en
e) de maatregelen die getroffen zijn of zullen worden om het Datalek op te lossen en de gevolgen en de schade zoveel mogelijk te beperken.
10.3. De getroffen Partij zal in het geval zich een Datalek bij hem voordoet:
a) maatregelen nemen die redelijkerwijs van hem kunnen worden verwacht om het Datalek zo snel mogelijk te herstellen.
b) maatregelen nemen die redelijkerwijs van hem kunnen worden verwacht om de gevolgen en schade zoveel mogelijk te beperken.
c) de andere Partij in staat stellen een deugdelijk onderzoek te verrichten naar het Datalek.
d) zonder uitstel in overleg met de andere Partij treden om afspraken te maken over risico beperkende maatregelen.
e) de andere Partij in staat stellen een correcte respons te formuleren en passende vervolgstappen te nemen ten aanzien van het Datalek, waaronder interne- en externe communicatie, het informeren van de pers, toezichthoudende autoriteiten en de Betrokkenen.
f) geen informatie verstrekken over het Datalek aan de pers, Betrokkenen of andere derde partijen, tenzij de inhoud daarvan vooraf is afgestemd met de andere Partij en de getroffen Partij voorafgaande schriftelijke toestemming van de andere Partij heeft ontvangen over de inhoud en de tijd van de communicatie.
g) geschreven procedures geïmplementeerd hebben zodat hij de andere Partij onmiddellijk en via de juiste personen kan informeren over een Datalek, en om effectief samen te werken met de andere Partij om het Datalek af te handelen. Op verzoek van de andere Partij zal de getroffen Partij een kopie van zijn Datalek procedure aan de andere Partij geven.
h) indien Partijen zijn overeengekomen dat de getroffen Partij over een Datalek rechtstreeks contact houdt met autoriteiten of andere derde partijen, dan zal de getroffen Partij de andere Partij daarvan voortdurend op te hoogte houden.
10.4. Bovenstaande geldt ook wanneer een toezichthoudende autoriteit een onderzoek naar de Persoonsgegevens gaat doen of er beslag gelegd gaat worden op de Persoonsgegevens en wanneer Partij een vermoeden heeft dat dit gaat gebeuren.
11. Medewerkingsplicht rond rechten van Betrokkenen
11.1. Elke Partij zal vragen, Klachten en Informatieverzoeken zelfstandig oplossen wanneer dit slechts betrekking heeft op Verwerkingen waarvoor hij Zelfstandig Verwerkingsverantwoordelijke is.
11.2. Iedere Partij zal de andere Partij onverwijld informeren middels de contactgegevens in Bijlage 1 – Deel 1 in het geval dat een Betrokkene een Klacht indient of een beroep doet op de rechten uit hoofdstuk III van de AVG inzake Verwerkingen waar ook de andere Partij bij is betrokken. Partijen verlenen elkaar de benodigde medewerking voor een adequate afhandeling van een dergelijke Klacht of een dergelijk beroep op de rechten uit hoofdstuk III van de AVG.
11.3. Voor gezamenlijke Verwerkingen zullen Partijen de nodige procedures instellen zoals opgenomen in Bijlage 1 – Deel 8 om vragen, Klachten en Informatieverzoeken in behandeling te nemen. Hierbij stellen Partijen op transparante wijze hun respectieve verantwoordelijkheden rond de uitoefening van de rechten van de Betrokkene en de respectieve verplichtingen om de informatie te verstrekken. Deze procedures zullen Partijen bekend maken aan de Betrokkenen. Uit deze procedure moet duidelijk blijken welke rol de Partijen als Gezamenlijke Verwerkingsverantwoordelijken respectievelijk vervullen, en wat hun respectieve verhouding met de Betrokkenen is.
12. Bewaartermijnen
12.1. Partijen zullen de Persoonsgegevens niet langer bewaren in een vorm die het mogelijk maakt Betrokkenen direct of indirect te identificeren dan noodzakelijk is voor de verwerkelijking van de doeleinden waarvoor de Persoonsgegevens zijn verzameld of vervolgens worden Verwerkt.
12.2. Wanneer de wettelijke of de afgesproken bewaartermijn is verlopen en wanneer deze Verwerkersovereenkomst wordt beëindigd, zullen Partijen
(i) de Persoonsgegevens kosteloos vernietigen, of
8
aug_2018
(ii) de Persoonsgegevens teruggeven aan de andere Partij in een algemeen gangbaar, digitaal, gestructureerd en gedocumenteerd gegevensformaat. Indien teruggave of vernietiging onverhoopt niet mogelijk is, zal Verwerker dat onmiddellijk laten weten via de contactpersonen zoals beschreven in Bijlage 1 – Deel 1.
13. Melden van niet-nakoming en het recht om te schorsen of op te zeggen
13.1. Elke Partij brengt de andere Partij onverwijld op de hoogte als zij zich bewust wordt van omstandigheden of veranderingen in wet- of regelgeving die het nakomen van haar verplichtingen onder deze Verwerkingsovereenkomst substantieel bemoeilijken.
13.2. Als een Partij niet kan voldoen aan haar verplichtingen onder deze Verwerkingsovereenkomst is de andere Partij bevoegd om relevante Verwerkingen tijdelijk geheel of gedeeltelijk te schorsen tot de niet-nakoming is hersteld. Voor zover herstel niet mogelijk is, is de andere Partij bevoegd om het desbetreffende deel van de Verwerkingen door de niet-nakomende Partij met onmiddellijke ingang op te zeggen. De andere Partij is ook bevoegd om deze Verwerkingsovereenkomst met onmiddellijke ingang op te zeggen als de schorsing van de Verwerkingen op grond van deze bepaling een periode van zes (6) maanden overschrijdt.
14. Heronderhandelen en looptijd van de overeenkomst
14.1. Indien wijzigingen in de Privacywetgeving noodzaken tot wijzigingen in deze Verwerkingsovereenkomst, zullen Partijen te goeder trouw in onderhandeling treden daarover.
14.2. De looptijd van deze Verwerkingsovereenkomst zal dezelfde looptijd hebben als de in Bijlage 1 – Deel 2 beschreven Overeenkomst(en). Indien de verleende diensten ook na de beëindiging van de Overeenkomst moeten worden voortgezet (bijvoorbeeld door een exit regeling), dan zijn de bepalingen van deze Verwerkingsovereenkomst blijvend van kracht op deze verdere levering van diensten voor de gehele duur van de feitelijke samenwerking.
14.3. Na beëindiging van de Overeenkomst, zullen Partijen alle verwerkingen en opgeleverde gebruiksresultaten en databestanden welke betrekking hebben op de contractuele relatie vernietigen op een manier die voldoet aan de eisen die worden gesteld aan gegevensbescherming. Hetzelfde geldt voor eventuele back- ups die zijn gemaakt.
9 aug_2018
15. Aansprakelijkheid
15.1. Partijen zijn ieder verantwoordelijk en aansprakelijk voor hun eigen handelen.
15.2. De in de Overeenkomst overeengekomen aansprakelijkheidsbepalingen zijn van kracht op de verplichtingen zoals opgenomen in deze Verwerkingsovereenkomst.
15.3. Indien en voor zover er geen aansprakelijkheidsbepaling is opgenomen in de Overeenkomst, is de aansprakelijkheid van Partijen voor zaakschade beperkt tot een maximum van 500.000 euro per gebeurtenis (waarbij een reeks van samenhangende gebeurtenissen geldt als één gebeurtenis), en is gevolgschade, waaronder mede begrepen gederfde winst, reputatieschade, gemiste besparingen, verlies van gegevens, schade door bedrijfsstagnatie en leegloop van personeel, aan derden verschuldigde civiele boetes en vergoedingen en verminderde xxxxxxxx te allen tijde uitgesloten.
15.4. In afwijking van lid 2 en 3 van dit artikel, indien en voor zover een door de toezichthoudende autoriteit
opgelegde boete rechtstreeks voortvloeit uit
i) een toerekenbare tekortkoming door de tekortkomende Partij en/of diens onderaannemers/ Subverwerkers in de nakoming van zijn verplichtingen onder deze Verwerkingsovereenkomst; of
ii) een schending door de tekortkomende Partij en/of diens onderaannemers/Subverwerkers van de toepasselijke wetgeving op het gebied van verwerking van Persoonsgegevens,
is deze tekortkomende Partij aansprakelijk jegens de andere Partij voor het bedrag tot een maximum van
10.000.000 euro per boete.
15.5. Voor zover Partijen hoofdelijk aansprakelijk zijn jegens derden, waaronder begrepen de Betrokkene, of gezamenlijk een boete opgelegd krijgen door een toezichthoudende autoriteit, zijn zij jegens elkaar, ieder voor het gedeelte van de schuld dat hem in hun onderlinge verhouding aangaat, verplicht in de schuld en kosten bij te dragen (overeenkomstig het bepaalde in Boek 6, Titel 1, Afdeling 2 van het Burgerlijk Wetboek), tenzij de AVG anders bepaalt in welk geval de AVG voorgaat.
15.6. Iedere beperking van aansprakelijkheid komt voor de schendende Partij te vervallen voor zover de schade het gevolg is van opzet of grove schuld aan de zijde van de schendende Partij.
15.7. Partijen dragen zorg voor afdoende verzekeringsdekking van de aansprakelijkheid en zullen op verzoek
een certificaat van deze verzekering overleggen.
16. Mededelingen
16.1. Mededelingen op grond van of in verband met deze Verwerkingsovereenkomst moeten schriftelijk worden gedaan en verzonden aan de contactpersonen vermeld in Bijlage 1 – Deel 1.
17. Slotbepalingen
17.1. De overwegingen maken onderdeel uit van deze Verwerkingsovereenkomst.
17.2. In geval van nietigheid c.q. vernietigbaarheid van een of meer bepalingen uit deze Verwerkingsovereenkomst, blijven de overige bepalingen onverkort van kracht.
17.3. In alle gevallen waarin deze Verwerkingsovereenkomst niet voorziet beslissen Partijen in onderling overleg.
17.4. Persoonsgegevens zijn vertrouwelijke informatie. Partijen mogen medewerkers en/of derden alleen toegang verlenen tot Persoonsgegevens wanneer dit noodzakelijk is om de Overeenkomst uit te voeren. Wanneer een Partij bijzondere categorieën persoonsgegevens verwerkt, zoals medische of strafrechtelijke gegevens of een nationaal identificatienummer (zoals BSN), zal die Partij de medewerker en/of derde die in aanraking komt met deze gegevens, expliciet wijzen op zijn of haar geheimhoudingsplicht.
17.5. Partijen zullen de inhoud van deze Verwerkingsovereenkomst vertrouwelijk houden.
17.6. Op deze Verwerkingsovereenkomst is Nederlands recht van toepassing.
17.7. Geschillen over of in verband met deze Verwerkingsovereenkomst zullen uitsluitend worden voorgelegd aan de bevoegde rechter te Rotterdam.
Handtekeningen
KPN B.V.
10
aug_2018
Directeur Solcon Internetdiensten B.V.
Xxx. X. Xxxxxxxxx
Plaats: Datum:
Plaats: Datum:
11 aug_2018
BIJLAGE 1 – OMSCHRIJVING VAN DE VERWERKING
Bijlage 1 – Deel 1: Contactgegevens
Contactgegevens KPN Contactgegevens Wederpartij
Privacy Officer
Telefoonnummer 0800 404 04 42
x00(0)00 00 00 000
KPN Helpdesk Security, Compliance & Integrity xxxxxxxxxxxxxxxx@xxx.xxx
Bijlage 1 – Deel 2: Overeenkomsten
Verwerkings- nummer
Kenmerk/nummer/ titel Overeenkomst
Verwerkings- verantwoordelijke
Korte omschrijving dienst(en)/ verantwoordelijkheden
1
Online Backup
Wederpartij (klant)
Het opslaan, versleutelen en via internet beschikbaar stellen van backup data van persoonlijke
computers (PC’s) en servers van Wederpartij
2 Online Backup KPN Vastleggen van contactgegevens Wederpartij t.b.v. facturatie
12 aug_2018
Bijlage 1 – Deel 3: Omschrijving van de verwerkingsactiviteiten
Verwerkings- nummer
Omschrijving van de Verwerkingsactiviteiten:
1
Beschikbaar stellen, bewaren, versleutelen
2 Vastleggen, wijzigen, opvragen
13 aug_2018
Bijlage 1 – Deel 4: Categorie(ën) van Persoonsgegevens
Verwerkings- nummer
Categorie Poonsgegevens
Maak een Keuze (meerdere keuzes mogelijk)
Betrokkenen
Maak een Keuze (meerdere keuzes mogelijk)
Bewaartermijn
1 Gewone Persoonsgegevens ‘Gevoelige’ of ‘ bijzondere persoonsgegevens’ Verkeersgegevens Locatiegegevens Communicatie content Overig, namelijk………
Klanten Werknemers Eindgebruikers Overig, namelijk…
Maximaal 2 maanden na beëindiging contract.
2 Gewone Persoonsgegevens ‘Gevoelige’ of ‘ bijzondere’ persoonsgegevens Verkeersgegevens Locatiegegevens Communicatie content Overig, namelijk………
Klanten Werknemers Eindgebruikers Overig, namelijk…
Maximaal 7 jaar na beëindiging contract.
14 aug_2018
Bijlage 1 – Deel 5: Doeleinde(n) van de Verwerking
1
Marketing Facturatie Netwerk beheer
Nodig voor verlenen van de dienst Overig, Aflevering goederen
Verwerkings- nummer
Doeleinde Verwerking Maak een Keuze
Korte Omschrijving Doel
2 Marketing
Facturatie Netwerk beheer
Nodig voor verlenen van de dienst Overig, ............
15 aug_2018
Bijlage 1 – Deel 6: Subverwerkers
1
1) Geen
Binnen de EER
Buiten de EER, namelijk.......
Verwerkings- nummer
Sub-Verwerker(s) Vul naam in.
Locatie Sub- Verwerker(s)
2 1) PostNL Binnen de EER
Buiten de EER, namelijk.......
16 aug_2018
BIJLAGE 2: OMSCHRIJVING PASSENDE TECHNISCHE EN ORGANISATORISCHE MAATREGELEN
KPN
Beschrijving van de technische en organisatorische beveiligingsmaatregelen die door KPN zijn getroffen (of bijgevoegd(e) document/wettelijke regeling):
1. KPN heeft een security policy opgesteld gebaseerd op de ISO 27001 standaard die van toepassing is op alle KPN onderdelen.
2. De dienst Webhosting is ISO 27001 gecertificeerd.
Andere Partij
Beschrijving van de technische en organisatorische beveiligingsmaatregelen die door Wederpartij zijn getroffen (of bijgevoegd(e) document/wettelijke regeling):
1. Wederpartij zorgt voor Passende maatregelen om de verstrekte key (t.b.v. versleuteling van de data) veilig op te slaan.
2. Wederpartij zorgt voor passende maatregelen om inloggegevens van eindgebruikers te beschermen.
17 aug_2018