Contract
1. Algemeen
In deze verwerkersovereenkomst wordt verstaan onder:
1.1 Algemene voorwaarden: de algemene voorwaarden van Ohneuz BV, die onverkort van toepassing zijn op iedere afspraak tussen Ohneuz BV en verantwoordelijke en van welke algemene voorwaarden deze verwerkersovereenkomst onlosmakelijk deel uitmaken.
1.2 Verwerker: de Besloten Vennootschap Ohneuz
1.3 Gegevens: de persoonsgegevens zoals omschreven in bijlage 1.
1.4 Betrokkene: de geïdentificeerde of identificeerbare natuurlijke persoon op wie de persoonsgegevens betrekking hebben.
1.5 Verwerkingen: een verwerking of geheel van bewerkingen zoals verzamelen, vastleggen, ordenen en opslaan.
1.6 Opdrachtgever: de natuurlijke persoon of rechtspersoon die aan Ohneuz BV opdracht heeft gegeven tot het verrichten van werkzaamheden, eveneens verantwoordelijke.
1.7 Overeenkomst: elke afspraak tussen opdrachtgever en Ohneuz BV tot het verrichten van werkzaamheden en of diensten door Ohneuz BV ten behoeve van de opdrachtgever, conform het bepaalde in de opdrachtbevestiging.
1.8 Verwerkingsverantwoordelijke: de opdrachtgever die als natuurlijk persoon of rechtspersoon aan Ohneuz BV opdracht heeft gegeven tot het verrichten van werkzaamheden.
1.9 Werkzaamheden: alle werkzaamheden waartoe opdracht is gegeven, of die
door Ohneuz BV uit anderen hoofde worden verricht. Het voorgaande geldt in de ruimste zin van het woord en omvat in ieder geval de werkzaamheden zoals vermeld in de overeenkomst.
2. Toepasselijkheid verwerkersovereenkomst
2.1 Deze verwerkersovereenkomst is van toepassing op alle gegevens die in het kader van de uitvoering van de overeenkomst met opdrachtgever door Ohneuz BV worden verwerkt voor
opdrachtgever, alsmede op alle uit de overeenkomst voor Ohneuz BV voortvloeiende werkzaamheden en de in dat kader te verwerken gegevens.
2.2 Verwerkingsverantwoordelijke is verantwoordelijk voor de verwerking van de gegevens betreffende bepaalde categorieën van betrokkenen, zoals omschreven in bijlage 1.
2.3 Bij de uitvoering van de overeenkomst verwerkt Ohneuz BV bepaalde persoonsgegevens voor verantwoordelijke.
2.4 Dit is een verwerkersovereenkomst in de zin van artikel 28 lid 3 Algemene Verordening Gegevensbescherming (AVG), waarin de rechten en verplichtingen ten aanzien van de verwerking van de persoonsgegevens schriftelijk is geregeld, waaronder ten aanzien van de beveiliging. Deze verwerkersovereenkomst is ten opzichte van verwerkingsverantwoordelijke bindend voor Ohneuz BV.
2.5 Deze verwerkersovereenkomst maakt, net als de algemene voorwaarden van Ohneuz BV, onderdeel uit van de overeenkomst en alle toekomstige overeenkomsten tussen partijen.
3. Reikwijdte verwerkersovereenkomst
3.1 Met het geven van de opdracht tot het verrichten van werkzaamheden heeft verantwoordelijke aan Ohneuz BV de opdracht gegeven om de gegevens te verwerken namens de verwerkingsverantwoordelijke op de wijze zoals omschreven in bijlage 1 in overeenstemming met de bepalingen van deze verwerkersovereenkomst.
3.2 Ohneuz BV verwerkt de Gegevens uitsluitend in overeenstemming met deze verwerkersovereenkomst, met name met hetgeen is opgenomen in bijlage 1. Ohneuz BV verklaart de gegevens niet voor andere doeleinden te verwerken.
3.3 De zeggenschap over de gegevens komt nooit bij Ohneuz BV te rusten.
3.4 De verwerkingsverantwoordelijke kan met wederzijds goedvinden additionele, schriftelijke instructies aan Ohneuz BV geven vanwege aanpassingen of wijzigingen in de van toepassing zijnde regelgeving op het gebied van bescherming van persoonsgegevens.
3.5 Ohneuz BV verwerkt de gegevens enkel in de Europese Economische Ruimte.
4. Geheimhouding
4.1 Ohneuz BV en de personen die in dienst zijn van Ohneuz BV danwel werkzaamheden voor hem verrichten, voor zover deze personen toegang hebben tot persoonsgegevens, verwerken de gegevens slechts in opdracht van verantwoordelijke, behoudens afwijkende wettelijke verplichtingen.
4.2 Ohneuz BV en de personen die in dienst zijn van Ohneuz BV danwel werkzaamheden voor hem verrichten, voor zover deze personen toegang hebben tot persoonsgegevens, zijn verplicht tot geheimhouding van de persoonsgegevens waarvan zij kennis nemen, behoudens voor zover enig wettelijk voorschrift hen tot mededeling verplicht of uit een taak de noodzaak tot mededeling voortvloeit.
5. Geen verdere verstrekking
5.1 Ohneuz BV zal de gegevens niet delen met of verstrekken aan derden, tenzij Ohneuz BV daartoe voorafgaande, schriftelijke toestemming of opdracht heeft verkregen van verwerkingsverantwoordelijke of op grond van dwingendrechtelijke regelgeving daartoe verplicht is. Indien Ohneuz BV op grond van dwingendrechtelijke regelgeving verplicht is om de gegevens te delen met of te verstrekken aan derden, dan zal Ohneuz BV de verantwoordelijke hierover schriftelijk informeren, tenzij dit niet is toegestaan.
6. Beveiligingsmaatregelen
6.1 Rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van personen, treft Ohneuz BV passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen. De beveiligingsmaatregelen die thans zijn genomen, zijn in bijlage 2 opgenomen.
6.2 Ohneuz BV zorgt voor maatregelen die er mede op gericht zijn onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen.
7. Toezicht op naleving
7.1 Ohneuz BV zal verwerkingsverantwoordelijke op diens verzoek en voor diens rekening
inlichtingen verschaffen over de verwerking van de gegevens door Ohneuz BV of sub- verwerkers. Ohneuz BV zal de gevraagde inlichtingen binnen redelijke termijn verstrekken.
7.2 Verantwoordelijke heeft eenmaal per jaar en voor eigen rekening het recht om een door Verantwoordelijke en Ohneuz BV gezamenlijk aan te wijzen onafhankelijke derde een inspectie te laten uitvoeren om te verifiëren of Ohneuz BV de verplichtingen onder de AVG en deze verwerkersovereenkomst nakomt. Ohneuz BV zal daaraan alle redelijkerwijs noodzakelijke medewerking verlenen. Ohneuz BV heeft het recht om haar kosten die gepaard gaan met de inspectie in rekening te brengen bij verantwoordelijke.
7.3 Ohneuz BV zal in het kader van haar verplichting onder lid 1 van dit artikel aan verwerkingsverantwoordelijke dan wel een daartoe door verantwoordelijke ingeschakelde derde in ieder geval:
7.3.1 alle relevante inlichtingen en documenten verstrekken;
7.3.2 toegang verlenen tot alle relevante gebouwen, informatiesystemen en gegevens.
7.4 Verantwoordelijke en Ohneuz BV zullen zo spoedig mogelijk na het gereedkomen van het rapport met elkaar in overleg treden om de eventuele risico’s en tekortkomingen te adresseren. Ohneuz BV zal op kosten van verantwoordelijke maatregelen nemen om de geconstateerde risico’s en tekortkomingen op een voor verantwoordelijke acceptabel niveau te brengen respectievelijk op te heffen, tenzij partijen schriftelijk anders overeen zijn gekomen.
8. Datalek
8.1 Zo spoedig mogelijk nadat Ohneuz BV kennis neemt van een incident of datalek dat (mede) betrekking heeft of kan hebben op de gegevens, stelt Ohneuz BV verantwoordelijke hiervan op de hoogte via de bij Ohneuz BV bekende contactgegevens van verantwoordelijke en zal Ohneuz BV informatie verstrekken over: de aard van het incident of de datalek, de getroffen gegevens, de vastgestelde en verwachte gevolgen van het incident of datalek op de gegevens en de maatregelen die Ohneuz BV heeft getroffen en zal treffen.
8.2 Ohneuz BV zal verwerkingsverantwoordelijke van de betreffende informatie voorzien voor het doen van meldingen aan betrokkenen en/of autoriteiten.
8.3 Het is Ohneuz BV toegestaan om informatie met betrekking tot een datalek in fasen beschikbaar te stellen aan verwerkingsverantwoordelijke doch eerste melding binnen 24 uur.
9. Sub-verwerkers
9.1 Indien er sub-verwerkers door Ohneuz BV toegelaten worden tot de gegevens zal verwerkingsverantwoordelijke vooraf om schriftelijke toestemming gevraagd
9.2 Ohneuz BV draagt er zorg voor dat de sub-verwerker is onderworpen aan deze verwerkersovereenkomst dan wel aan een sub-verwerkersovereenkomst die dezelfde plichten bevat als deze verwerkersovereenkomst.
10. Medewerkingsplichten en rechten van betrokkenen
10.1 Ohneuz BV zal verantwoordelijke op verzoek medewerking verlenen in geval van een klacht, vraag of verzoek van een betrokkene, dan wel onderzoeken of inspecties door de Autoriteit Persoonsgegevens.
10.2 Ohneuz BV zal verantwoordelijke op diens verzoek en voor diens rekening bijstaan bij het uitvoeren van een gegevensbeschermingseffectbeoordeling.
10.3 Als Ohneuz BV rechtstreeks van een betrokkene een verzoek om inzage, correctie of verwijdering van zijn of haar gegevens ontvangt, informeert Ohneuz BV Verantwoordelijke binnen een redelijke termijn over de ontvangst van het verzoek. Ohneuz BV voert zo snel als redelijkerwijs mogelijk alle instructies uit die verantwoordelijke schriftelijk aan Ohneuz BV geeft als gevolg van zodanig verzoek van betrokkene. Ohneuz BV treft de noodzakelijke passende technische en organisatorische maatregelen die nodig zijn om te voldoen aan dergelijke instructies van verantwoordelijke.
10.4 Indien instructies van Verantwoordelijke aan Ohneuz BV strijd opleveren met enige wettelijke bepalingen omtrent gegevensbescherming, meldt Ohneuz BV dit bij verantwoordelijke.
11. Duur en beëindiging
11.1 Deze verwerkersovereenkomst is geldig zolang Ohneuz BV de opdracht heeft van verantwoordelijke om gegevens te verwerken op grond van de overeenkomst tussen
verantwoordelijke en Ohneuz BV. Zolang door Ohneuz BV werkzaamheden worden verricht ten behoeve van verantwoordelijke is deze verwerkersovereenkomst op deze relatie van toepassing.
11.2 Indien Ohneuz BV na beëindiging van de overeenkomst op grond van een wettelijke bewaarplicht bepaalde gegevens en/of documenten, computerdisks of andere gegevensdragers waarop of waarin zich gegevens bevinden gedurende een wettelijke termijn moet bewaren, dan zal Ohneuz BV zorgdragen voor de vernietiging van deze gegevens of documenten, computerdisks of andere gegevensdragers na beëindiging van de wettelijke bewaarplicht.
11.3 Bij beëindiging van de overeenkomst tussen verantwoordelijke en Ohneuz BV kan verantwoordelijke binnen twee maanden na beëindiging van de overeenkomst aan Ohneuz BV verzoeken om alle documenten, computerdisks en andere gegevensdragers, waarop of waarin zich gegevens bevinden, te retourneren aan verantwoordelijke, voor rekening van verantwoordelijke. In geval van retournering zal Ohneuz BV de gegevens verstrekken in de vorm zoals bij Ohneuz BV aanwezig. Voor zover de gegevens zich in een computersysteem bevinden of in een andere vorm waardoor de gegevens redelijkerwijs niet kunnen worden verstrekt aan verantwoordelijke, zal Ohneuz BV aan verantwoordelijke een toegankelijke, leesbare kopie van de gegevens verstrekken. Na het verstrijken van deze termijn zal Ohneuz BV tot definitieve vernietiging van de gegevens overgaan, tenzij Ohneuz BV op grond van een wettelijke plicht gehouden is gegevens op te slaan.
12. Nietigheid
12.1 Indien één of meerdere bepalingen uit deze verwerkersovereenkomst nietig zijn of vernietigd worden, blijven de overige voorwaarden volledig van toepassing. Indien enige bepaling van deze verwerkersovereenkomst niet rechtsgeldig is, zullen partijen over de inhoud van een nieuwe bepaling onderhandelen, welke bepaling de inhoud van de oorspronkelijke bepaling zo dicht mogelijk benaderd.
13. Toepasselijk recht en forumkeuze
13.1 Op deze verwerkersovereenkomst is Nederlands recht van toepassing.
13.2 Alle geschillen in verband met de verwerkersovereenkomst of de uitvoering daarvan worden voorgelegd aan de bevoegde rechter bij de rechtbank.
Bijlage 1 GEGEVENS, DOELEINDEN EN CATEGORIEËN VAN BETROKKENEN
Gegevens
De verantwoordelijke laat Ohneuz BV volgende Gegevens verwerken in het kader van de opdracht, waaronder maar niet uitsluitend:
1. Naam (initialen, achternaam)
2. Telefoonnummer
3. E-mailadres
4. Geboortedatum
5. Woonplaats
6. Gegevens ID-bewijs
7. NAW-gegevens en BSN van personeelsleden van Verantwoordelijke
8. Geolocatie van bezochte projecten
Doeleinden
De werkzaamheden waarvoor bovengenoemde gegevens mogen worden verwerkt, uitsluitend indien noodzakelijk, zijn in ieder geval:
1. De werkzaamheden, te beschouwen als de primaire dienstverlening, in het kader waarvan verantwoordelijke een opdracht heeft verstrekt aan Ohneuz BV;
2. Het onderhoud, waaronder updates en releases van het door Ohneuz BV dan wel sub- verwerker aan verantwoordelijke ter beschikking gestelde systeem;
3. Het gegevens- en technische beheer, ook door een sub-verwerker;
4. De hosting, ook door een sub-verwerker.
Categorieën van betrokkenen
De gegevens die verwerkt worden betreffende volgende categorieën van betrokkenen:
1. Klanten
2. Werknemers van klanten
3. Werknemers van samenwerkende bedrijven
Bijlage 2 BEVEILIGINGSMAATREGELEN
Ohneuz BV heeft in ieder geval de volgende beveiligingsmaatregelen getroffen:
1. Backup- en herstelprocedures;
2. Beveiliging van netwerkverbindingen;
3. Geheimhoudingsverklaringen in arbeidscontracten;
4. Indringeralarm, videobewaking en fysieke toegangscontrole;
5. Logische toegangscontrole door middel van wachtwoorden en/of persoonlijke toegangscodes;
6. Logging van toegang tot de persoonsgegevens;
7. Sub-vewerkersovereenkomsten met derden;
8. Veilige wijze voor het opslaan van gegevensbestanden.