VERWERKERSOVEREENKOMST AllUnited

VERWERKERSOVEREENKOMST AllUnited

DE ONDERGETEKENDEN:

Naam Organisatie

Statutair gevestigd te

Kantoorhoudende te

R e c h t s g e l d i g vertegenwoordigd door

hierna te noemen: "Verantwoordelijke"; en

De besloten vennootschap met beperkte aansprakelijkheid AllUnited B.V., gevestigd te (2201 CW) Noordwijk, aan de Keyserswey 31 (postadres Xxxxxxxxxx 00, 0000 XX Xxxxxxxx), te dezen rechtsgeldig vertegenwoordigd door de heer J.H.G. Xx Xxxxxxx, in zijn functie van eigenaar, en de heer

D.B.J. Xxxxxxx, in zijn functie van eigenaar/directeur, hierna te noemen: “Verwerker”;

Verantwoordelijke en Verwerker worden gezamenlijk aangeduid met: "Partijen" en afzonderlijk ook als “Partij”;

NEMEN IN AANMERKING DAT:

A. Verantwoordelijke een sub-licentie heeft afgenomen van de UNIFY Applicatie, welke licentie is verstrekt door Nederland Sport B.V. (hierna: “Nederland Sport”) op grond van de Licentieovereenkomst;

B. Verwerker diensten verleent aan Verantwoordelijke ten aanzien van de UNIFY Applicatie, waaronder hosting, support en onderhoudsdiensten;

C. Verwerker op deze basis en in opdracht van Verantwoordelijke persoonsgegevens (hierna: “Persoonsgegevens”) verwerkt voor Verantwoordelijke;

D. Partijen in deze overeenkomst (hierna: de "Verwerkersovereenkomst") de rechten en plichten voor de verwerking van de Persoonsgegevens door Verwerker willen vastleggen en daarvoor aansluiting zoeken bij het wettelijke kader van Verordening (EU) 2016/679 (hierna: de "AVG").

KOMEN OVEREEN DAT:

1. VERWERKING

1.1. Verwerker verwerkt de Persoonsgegevens ten behoeve van Verantwoordelijke en overeenkomstig diens schriftelijke instructies. Indien een dergelijke instructie naar de mening van Verwerker een inbreuk oplevert op de AVG of op andere Unierechtelijke, lidstaatrechtelijke of nationale bepalingen inzake gegevensbescherming, dan stelt Verwerker Verantwoordelijke daarvan onmiddellijk in kennis.

1.2. Het is Verwerker niet toegestaan om een derde in te schakelen bij de uitvoering van deze Verwerkersovereenkomst en/of bij de verwerking van de persoonsgegevens waarvoor Verantwoordelijke als Verantwoordelijke wordt aangemerkt.

1.3. Het is Verwerker zonder schriftelijke toestemming van Verantwoordelijke niet toegestaan de Persoonsgegevens buiten de Europese Economische Ruimte (EER) te verwerken.

2. (SUB)VERWERKERS

2.1. In een contract tussen de Verwerker met een Sub-verwerker moeten dezelfde verplichtingen gelden als die uit deze verwerkersovereenkomst. Als de Sub-verwerker zijn verplichtingen tot gegevensbescherming niet nakomt, zal de verwerker volledig aansprakelijk zijn jegens de verantwoordelijke.

3. VERLENING VAN BIJSTAND

3.1. Verwerker verleent Verantwoordelijke op eerste verzoek bijstand bij het vervullen van de plicht van Verantwoordelijke om verzoeken om uitoefening van de in hoofdstuk III van de AVG vastgestelde rechten van betrokken te beantwoorden, zonder daaraan nadere financiële dan wel overige voorwaarden te kunnen stellen.

3.2. Verwerker is gehouden om Verantwoordelijke op diens verzoek een volledige kopie van de Persoonsgegevens toe te zenden in een formaat naar keuze van Verantwoordelijke.

3.3. Rekening houdend met de aard van de verwerking en de Verwerker ter beschikking staande informatie, verleent Xxxxxxxxx op eerste verzoek van Verantwoordelijke bijstand bij het doen nakomen van de verplichtingen uit hoofde van artikelen 32 tot en met 36 AVG, zonder daaraan nadere financiële dan wel overige voorwaarden te kunnen stellen.

4. BEVEILIGING

Verwerker neemt alle passende technische en organisatorische maatregelen als bedoeld in artikel 32 AVG om een op het risico afgestemd beveiligingsniveau te waarborgen. De door Verwerker genomen maatregelen zijn gespecificeerd in de als Bijlage 1 aangehechte bijlage. Bij een strijdigheid tussen de inhoud van deze Bijlage en deze Verwerkersovereenkomst, prevaleert laatstgenoemde.

5. DATALEKKEN

5.1. Als Xxxxxxxxx ontdekt dat sprake is van een inbreuk in verband met de Persoonsgegevens als bedoeld in artikel 33 en/of artikel 34 AVG (hierna: "Datalek"), dan zal Verwerker Verantwoordelijke daarover binnen 24 uur na bekendheid te informeren, tenzij dit redelijkerwijs niet mogelijk is in welk geval Verwerker Verantwoordelijke zo spoedig mogelijk in kennis stelt. Bij een melding van een Datalek, gebruikt Verwerker het in Bijlage 2 opgenomen "Meldingsformulier datalekken". Verder wordt ook Nederland Sport in het geval van een Datalek door Verwerker geïnformeerd.

5.2. Als bij Verwerker sprake is van een Datalek, dan zal Verwerker alle in redelijkheid van haar te verwachten maatregelen treffen die nodig zijn om (potentiële) schade te beperken. Verwerker verplicht zich tot het op eerste verzoek van Verantwoordelijke en op eigen kosten verlenen van alle mogelijke medewerking, zodat de Verantwoordelijke tijdig de toezichthouder en eventueel de betrokkene(n) kan informeren.

5.3. Verantwoordelijke bepaalt of een bij Verwerker geconstateerd Datalek wordt gemeld aan de Autoriteit Persoonsgegevens en/of aan betreffende betrokkenen. Xxxxxxxxx brengt een betrokkene of de Autoriteit Persoonsgegevens uitsluitend op de hoogte, indien Verantwoordelijke dit verzocht heeft.

6. GEHEIMHOUDING

6.1. Verwerker is verplicht om degenen die onder het gezag van Verwerker werkzaam zijn of andere derde(n) die Verwerker inschakelt bij de uitvoering van haar werkzaamheden, te binden aan minstens een gelijkwaardige geheimhoudingsplicht.

6.2. Indien een wettelijk voorschrift of een bevoegde autoriteit Verwerker tot mededeling verplicht, stelt Verwerker Verantwoordelijke daarvan onverwijld in kennis zodat Verantwoordelijke in staat is om rechtsmaatregelen te treffen. Indien het Verwerker niet is toegestaan Verantwoordelijke in kennis te stellen, zal Verwerker Verantwoordelijke direct na bevoegdheid daartoe in kennis stellen.

7. AANSPRAKELIJKHEID EN VRIJWARING

7.1. Verwerker is aansprakelijk voor en vrijwaart Verantwoordelijke volledig voor alle aanspraken en/of vorderingen van derden, uit welke hoofde dan ook, die het gevolg zijn van een tekortkoming in de nakoming van een verbintenis van Verwerker uit deze Verwerkersovereenkomst en/of uit de AVG. Onder de hiervoor genoemde aanspraken en/of vorderingen worden tevens begrepen de aanspraken en/of vorderingen van de Autoriteit Persoonsgegevens (boetes) en/of betrokkenen van wie Persoonsgegevens door Verwerker worden verwerkt (claims als bedoeld in artikel 82 van de AVG). Onder de reikwijdte van de hiervoor genoemde vrijwaring valt in ieder geval alle door Verantwoordelijke geleden vermogensschade, waaronder begrepen - doch niet per definitie beperkt tot - de volledige kosten ter zake juridisch bijstand.

8. AUDIT EN DOCUMENTATIE NALEVING AVG

8.1. Het is Verantwoordelijke conform art. 28 lid 3 onder h AVG toegestaan om de naleving van de verplichtingen voor Verwerker uit deze Verwerkersovereenkomst te (laten) controleren door middel van het uitvoeren een audit. Verantwoordelijke draagt de kosten van een dergelijke audit, tenzij blijkt dat Xxxxxxxxx zich niet aan de verplichtingen uit deze Verwerkersovereenkomst heeft gehouden, in welk geval de kosten voor rekening van Verwerker komen. Verantwoordelijke draagt niet bij aan mogelijke kosten van Verwerker ten gevolge van de audit (welke bijvoorbeeld kunnen ontstaan door het verlenen van medewerking en/of het doen van een tijdsinvestering). Verwerker verleent alle in redelijkheid te verlangen medewerking in het kader van de audit. Verwerker zal in overleg met Verantwoordelijke de eventuele aanbevelingen welke blijken uit de audit en noodzakelijk zijn om te kunnen voldoen aan de AVG zo spoedig mogelijk en op eigen kosten uitvoeren.

8.2. Verwerker stelt Xxxxxxxxxxxxxxxxx op diens verzoek informatie ter beschikking waaruit blijkt dat Verwerker voldoet aan de verplichtingen uit de AVG (en aldus ook aan de verplichtingen uit deze Verwerkersovereenkomst).

9. SLOTBEPALINGEN

9.1. Deze Verwerkersovereenkomst is voor onbepaalde tijd aangegaan en eindigt op het tijdstip dat de Licentieovereenkomst eindigt. In geval van beëindiging van deze Verwerkersovereenkomst zal Verwerker naar keuze van Verantwoordelijke de Persoonsgegevens vernietigen of aan Verantwoordelijke retourneren. Eventuele bestaande kopieën van de Persoonsgegevens zullen worden vernietigd, tenzij opslag van de Persoonsgegevens Unierechtelijk of lidstaatrechtelijk is verplicht.

9.2. Als een bepaling uit de Licentieovereenkomst in strijd is met een bepaling uit deze Verwerkersovereenkomst, dan geldt de bepaling uit deze Verwerkersovereenkomst ten aanzien van de verwerking van Persoonsgegevens.

9.3. Deze Verwerkersovereenkomst en de rechten en plichten uit deze Verwerkersovereenkomst kunnen door Verwerker niet aan derden worden overgedragen zonder de voorafgaande schriftelijke toestemming van Verantwoordelijke. Dit beding heeft goederenrechtelijke werking als bedoeld in artikel 3:83 lid 2 BW.

9.4. Mocht enige bepaling in deze Verwerkersovereenkomst nietig, vernietigbaar of onverbindend zijn, dan zal deze Verwerkersovereenkomst voor het overige van kracht blijven. Partijen zullen over de betreffende bepaling overleg plegen, met het doel om een rechtsgeldige bepaling overeen te komen die zoveel mogelijk dezelfde inhoud en werking heeft als de nietige, vernietigbare of niet-verbindende bepaling.

9.5. Op deze Verwerkersovereenkomst is Nederlands recht van toepassing.

9.6. Alle geschillen die voortvloeien uit deze Verwerkersovereenkomst worden beslecht op de wijze zoals voorgeschreven in de Hoofdovereenkomst. Het is Verantwoordelijke tevens toegestaan om alle geschillen die voortvloeien uit deze Verwerkersovereenkomst in eerste aanleg exclusief voor te leggen aan de Rechtbank Midden-Nederland, locatie Utrecht.

Aldus overeengekomen en ondertekend in enkelvoud,

Verantwoordelijke Verwerker

Voor deze: Voor deze:

Plaats: Plaats:

Datum: Datum:

Bijlage 1 Overzicht technische en organisatorische maatregelen van Verwerker

a. Rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerking doeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van personen, treft AllUnited de volgende passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen:

● Mogelijkheden tot anonimiseren en verbergen van persoonsgegevens;

● Mogelijkheden voor dataportabiliteit;

● Privacy statement en bevestiging teksten met versiebeheer;

● Zelf instellen van privacy-gegevens door relatie;

● Zelf aanpassen NAW gegevens van lid;

● Mogelijkheid tot niet tonen van naw gegevens van het lid.

b. Het vermogen om op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen en diensten te garanderen;

Verbinding met de backoffice en de websites wordt door middel van een SSL certificaat beveiligd. Voor de backoffice gaat het om een certificaat van het type “Extended Validation” en voor klant websites gaat het om certificaten van het type “Domain Validation”

● Wachtwoorden worden versleuteld opgeslagen in de database en zijn niet opvraagbaar;

● Het systeem logt zichzelf uit na enige tijd inactief;

● Het systeem is beveiligd tegen SQL-injection;

● Het systeem is beveiligd tegen cross-site scripting;

● Bestanden vanuit de backoffice alleen via de backoffice gedownload kunnen worden, waardoor directe links niet werken;

● Alle medewerkers ondertekenen een geheimhoudingsverklaring;

● Beveiligde toegang tot locaties en apparatuur;

● Loggen alle handelingen van de medewerkers in het systeem;

● Iedere medewerker heeft een eigen login;

● AllUnited is aangesloten bij stichting AVG.

c. Het vermogen om bij een fysiek of technisch incident de beschikbaarheid van en de toegang tot de persoonsgegevens tijdig te herstellen:

● Dagelijkse backups en opslag op 2 fysieke plekken;

● Data opslag binnen de EU.

d. De verwerking verantwoordelijke en de verwerker treffen maatregelen om ervoor te zorgen dat iedere natuurlijke persoon die handelt onder het gezag van de verwerking verantwoordelijke of van de verwerker en toegang heeft tot persoonsgegevens, deze slechts in opdracht van de verwerking verantwoordelijke verwerkt, tenzij hij daartoe Unierechtelijk of lidstaat rechtelijk is gehouden.

Sub-verwerker

In een contract tussen de verwerker met een sub-verwerker moeten dezelfde verplichtingen gelden als die uit deze verwerkersovereenkomst. Als de sub-verwerker zijn verplichtingen tot gegevensbescherming niet nakomt, zal de verwerker volledig aansprakelijk zijn jegens de verantwoordelijke.

Privacy en geheimhouding

AllUnited B.V. is zich bewust dat de informatie die de klant met AllUnited B.V. deelt en opslaat binnen AllUnited een geheim en bedrijfsgevoelig karakter heeft. Alle daartoe geautoriseerde medewerkers zullen gedurende hun dienstverband en daarna, zoals in hun arbeidsovereenkomst met geheimhoudingsclausule is opgenomen, op verantwoorde wijze met de informatie van de klant omgaan.

Rechten van betrokkenen

AllUnited B.V. zal aan de klant medewerking verlenen bij de uitvoering van verzoeken van betrokkenen die voortvloeien uit de AVG, althans voor zover klant daartoe niet zelf in staat is.

Einde

AllUnited B.V. zal persoonsgegevens die in het kader van deze verwerkersovereenkomst worden verwerkt verwijderen na beëindiging van de toepasselijke overeenkomst, of, indien de klant daartoe heeft verzocht, de persoonsgegevens beschikbaar stellen aan de klant.

Datacenters

Het datacenter waar de servers van AllUnited B.V. gehuisvest zijn bevinden zich binnen Europese Unie en voldoen aan de strenge Europese wetgeving met betrekking tot logische en fysieke toegangsbeveiliging en continuïteit.

Meldplicht datalekken

De AVG vereisen dat eventuele datalekken gemeld worden aan de Autoriteit Persoonsgegevens door de verantwoordelijke voor de verwerking van persoonsgegevens. AllUnited B.V. zal daarom zelf geen meldingen doen bij de Autoriteit Persoonsgegevens. Uiteraard zal AllUnited B.V. als verwerker de klant juist, tijdig en volledig informeren over relevante incidenten, zodat de klant als verantwoordelijke aan zijn wettelijke verplichtingen kan voldoen. De Beleidsregels meldplicht datalekken van de Autoriteit Persoonsgegevens geven hierover meer informatie.

Melding aan de klant

Indien AllUnited B.V. op de hoogte raakt van een datalek welke betrekking heeft op verwerkingen die worden uitgevoerd ten behoeve van de klant, als bedoeld in de AVG, dan zal AllUnited B.V. de klant daarover zo spoedig mogelijk informeren, nadat AllUnited B.V. bekend is geworden met het datalek. Als er een datalek is bij een leverancier/sub verwerker van AllUnited B.V., dan meldt AllUnited B.V. dit uiteraard ook. AllUnited B.V. is het contactpunt voor de klant. De klant hoeft geen contact op te nemen met onze leveranciers.

Informeren klant (contactpersoon instellen)

In eerste instantie zal AllUnited B.V. de door de klant aangewezen systeembeheerder informeren over een datalek. De klant is verantwoordelijk voor up-to-date contactinformatie van deze systeembeheerder. AllUnited B.V. is niet verantwoordelijk voor vertragingen en/of schade die het gevolg is van onjuiste of verouderde contactgegevens.

Informatie verstrekken

AllUnited B.V. probeert de klant direct alle informatie te verstrekken die de klant nodig heeft om een volledige melding bij de Autoriteit Persoonsgegevens en/of de betrokkene(n) te verrichten. Indien

deze informatie nog niet bekend is, bijvoorbeeld omdat het datalek door AllUnited B.V. wordt onderzocht, dan zal AllUnited B.V. de klant de informatie verstrekken die de klant nodig heeft om in ieder geval eerst een voorlopige melding bij de Autoriteit Persoonsgegevens en/of de betrokkene(n) te kunnen verrichten. Hierbij volgt AllUnited B.V. de informatielijst uit de eerder genoemde beleidsregels. Dit bevat in ieder geval de aard van de inbreuk, een beschrijving van de geconstateerde en de vermoedelijke gevolgen van de inbreuken de getroffen en te treffen maatregelen om de negatieve gevolgen van het datalek te beperken en te verhelpen.

Termijn van informeren

De AVG geeft aan dat er ‘onverwijld’ gemeld moet worden. Dit is volgens de Autoriteit Persoonsgegevens zonder onnodige vertraging en zo mogelijk niet later dan 72 uur na ontdekking. AllUnited B.V. informeert de klant daarom zo snel mogelijk, na het ontdekken van een datalek, zodat de klant tijdig de melding kan doen bij de Autoriteit Persoonsgegevens.

Voortgang en maatregelen

AllUnited B.V. zal de klant op de hoogte houden over de voortgang en de maatregelen die getroffen worden. AllUnited B.V. maakt hierover afspraken met de systeembeheerder bij de initiële melding. In ieder geval houdt AllUnited B.V. de klant op de hoogte in geval van een wijziging van de situatie, het bekend worden van nadere informatie en over de maatregelen die getroffen worden.

Bijlage 2 Meldingsformulier Datalek AllUnited

Dit meldingsformulier kan worden verzonden aan zowel AllUnited alsmede Nederland Sport:

Naam organisatie	Contactgegevens
AllUnited B.V.	Xxxx Xxxxxxx xxxx@xxxxxxxxx.xx 071.20.738.00
Stichting Nederland Sport	Xxxxxxx Xxxxx xxxxxxx@xxxxxxxxxxxxxx.xxx 00.00.00.00.00

1. Wanneer is het Datalek ontdekt, op welke wijze en door wie?

2. Wat is het (vermoedelijk) tijdstip van het Datalek?

3. Omschrijving van het Datalek

4. Welke type persoonsgegevens zijn getroffen door het Datalek?

5. Xxx xxxxxxx betrokkenen zijn de persoonsgegevens getroffen door het Xxxxxxx?

6. Is sprake van een specifieke groep waarvan de persoonsgegevens zijn getroffen voor het Datalek?

7. Zijn persoonsgegevens van betrokkenen uit niet EU-landen getroffen door het Datalek?

8. Zijn de persoonsgegevens welke door het Datalek zijn getroffen versleuteld en/of beveiligd en op welke manier?

9. Welke technische en organisatorische maatregelen zijn na het Datalek getroffen om verdere schade en andere datalekken te voorkomen, waarom zijn deze maatregelen genomen en op welk moment?

10. Welke technische en organisatorische maatregelen zullen nog worden genomen na het Datalek om verdere schade en andere datalekken te voorkomen, waarom worden deze maatregelen genomen en op welk moment?

11. Wat is het oordeel van de Verwerker omtrent de vraag of het Datalek waarschijnlijk een risico of hoog risico voor rechten en vrijheden van de betrokkenen vormt?

Door ondertekening van dit meldingsformulier verklaart Verwerker dat dit meldingsformulier ten tijde van het invullen daarvan zo volledig mogelijk en volledig naar waarheid is ingevuld.

Verwerker

Voor deze: Plaats: Datum: