Verwerkersovereenkomst
Verwerkersovereenkomst
Partijen
1. De besloten vennootschap Positive Psychology B.V. handelend onder de naam Act Guide, gevestigd te Landgraaf, 6374 BA, Xxxxxxxxx 000 geregistreerd bij de Kamer van Koophandel onder nummer 74776010, ten deze rechtsgeldig vertegenwoordigd door B.J. Kicken, hierna te noemen “Verwerker”;
En
2. Professional via ………, hierna te noemen “Verwerkingsverantwoordelijke”;
In aanmerking nemende dat:
• Verwerkingsverantwoordelijke opdracht heeft gegeven aan Verwerker om de persoonsgegevens van zijn/haar onderneming te verwerken in het kader van de hoofdovereenkomst welke onlosmakelijk deel uitmaakt van deze overeenkomst;
• Verwerkingsverantwoordelijke de doeleinden en middelen aanwijst en waarvoor de hierin genoemde voorwaarden gelden;
• Verwerker bereid is de verwerkingen te verrichten en tevens bereid is verplichtingen omtrent beveiliging en andere aspecten van de Algemene Verordening Gegevensbescherming (“AVG”) na te komen, voor zover dit binnen haar macht ligt;
• Verwerker de persoonsgegevens niet voor eigen doeleinden verwerkt;
• Verwerkingsverantwoordelijke aangemerkt kan worden als verwerkingsverantwoordelijke in de zin van artikel 4 lid 7 AVG;
• Verwerker aangemerkt kan worden als verwerker in de zin van artikel 4 lid 8 AVG;
• Waar in deze overeenkomst gesproken wordt over Persoonsgegevens, hiermee persoonsgegevens in de zin van artikel 4 lid 1 AVG bedoeld worden;
• Partijen, mede gelet op het vereiste uit artikel 28 lid 3 AVG, hun rechten en plichten schriftelijk wensen vast te leggen door middel van deze Verwerkersovereenkomst (hierna (“Verwerkersovereenkomst”).
Zijn als volgt overeengekomen:
Definities
AVG: de Algemene Verordening Gegevensbescherming (verordening (EU) 2016/679) uitgewerkt in de UAVG. Betrokkene: degene op wie de Persoonsgegevens betrekking hebben, zoals bedoeld in artikel 4 lid 1 AVG. Hoofdovereenkomst: de tussen Verwerkingsverantwoordelijke en Verwerker gesloten hoofdovereenkomst(en), inclusief bijlagen, waarop deze Verwerkersovereenkomst betrekking heeft.
Inbreuk in verband met Persoonsgegevens: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens zoals bedoeld in artikel 4 lid 12 AVG.
Medewerkers: Personen die werkzaam zijn bij Verwerkingsverantwoordelijke of bij Verwerker.
Ontvanger: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan, al dan niet een derde, aan wie/waaraan de Persoonsgegevens worden verstrekt zoals bedoeld in artikel 4 lid 9 AVG.
Partijen: Verwerkingsverantwoordelijke en Verwerker.
Persoonsgegevens: alle informatie in de breedste zin van het woord over een geïdentificeerde of identificeerbare natuurlijke persoon (de Betrokkene) die in het kader van de Hoofdovereenkomst worden verwerkt zoals bedoeld in artikel 4 lid 1 AVG; als identificeerbaar wordt beschouwd waarmee een natuurlijke persoon direct of indirect kan
worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van de natuurlijke persoon.
Bedrijfsgegevens: alle informatie in de breedste zin van het woord over het bedrijf die in kader van de overeenkomst worden verwerkt.
UAVG: de uitvoeringswet van de Algemene Verordening Gegevensbescherming (verordening (EU) 2016/679) van 16 mei 2018.
Verwerker: de natuurlijke persoon of rechtspersoon, een overheidsorganisatie, een dienst of een ander orgaan die/dat ten behoeve van de Verwerkingsverantwoordelijke Persoonsgegevens verwerkt zoals bedoeld in artikel 4 lid 8 AVG.
Sub-verwerker: een andere verwerker die door de Verwerker wordt ingeschakeld om ten behoeve van een Verwerkingsverantwoordelijke Persoonsgegevens te Verwerken.
Verwerkingsverantwoordelijke: de natuurlijke persoon of rechtspersoon die alleen of samen met anderen, het doel van en de middelen voor de Verwerking van Persoonsgegevens vaststelt zoals bedoeld in artikel 4 lid 7 AVG. Verwerkersovereenkomst: deze Verwerkersovereenkomst voor het vastleggen van de afspraken zoals bedoeld in artikel 28 lid 3 AVG.
Verwerking: een bewerking of een geheel van bewerkingen met betrekking tot Persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde processen, zoals het, vastleggen, ordenen, verzamelen, structureren, opslaan, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens zoals bedoeld in artikel 4 lid 2 AVG.
Artikel 1 Doel van de verwerking
1.1 Verwerker verbindt zich onder de voorwaarden van deze Verwerkersovereenkomst in opdracht van Verwerkingsverantwoordelijke Persoonsgegevens te verwerken. Verwerking zal uitsluitend plaatsvinden in het kader van de uitvoering van de overeenkomst van opdracht en deze verwerkersovereenkomst in de zin van artikel 28 lid 3 AVG.
1.2 Het is Verwerker verboden om de Persoonsgegevens voor een ander doel te verwerken dan het doel dat door Verwerkingsverantwoordelijke is vastgesteld. Het doel van de verwerking is het verlenen van de door Verwerkingsverantwoordelijke gevraagde diensten zoals omschreven en vastgelegd in de Hoofdovereenkomst. Hiertoe worden de volgende werkzaamheden verricht: het aanbieden van de applicatie alsmede het mogelijk maken aan Gebruikers om een account aan te maken.
1.3 De categorie van betrokkenen waarvan de Persoonsgegevens verzameld worden betreft: Gebruikers van de applicatie en/of andere personen c.q. relaties van Verwerkingsverantwoordelijke waarmee Xxxxxxxxx in contact komt indien hij Persoonsgegevens verwerkt ten behoeve van Verwerkingsverantwoordelijke.
1.4 De categorie persoonsgegevens die verwerkt worden zijn: contact- en NAW-gegevens van betrokkene, e- mailadres, medische gegevens en andere gegevens waarvoor Verwerkingsverantwoordelijke uitdrukkelijk toestemming heeft verleend.
1.5 Verwerker zal de persoonsgegevens niet voor enig ander doel verwerken dan zoals door Verwerkingsverantwoordelijke is vastgesteld. Verwerkingsverantwoordelijke zal Verwerker op de hoogte stellen van de verwerkingsdoeleinden voor zover deze niet reeds in deze Verwerkersovereenkomst zijn genoemd.
1.6 Verwerker heeft zeggenschap over de middelen voor de verwerking en opslag van de persoonsgegevens. Verwerkingsverantwoordelijke is verantwoordelijk voor het vaststellen van het doel van de verwerking en dient dit duidelijk vast te leggen.
1.7 De verwerking zal zowel handmatig als (semi)automatisch plaatsvinden.
1.8 De in opdracht van Verwerkingsverantwoordelijke te verwerken persoonsgegevens blijven eigendom van Verwerkingsverantwoordelijke en/of de betreffende betrokkenen.
Artikel 2 Duur van de overeenkomst
2.1 Deze overeenkomst vangt aan na ondertekening van de overeenkomst en is aangegaan voor de duur van de hoofdovereenkomst.
2.2 Deze overeenkomst kan niet tussentijds opgezegd worden.
2.3 Wijzigingen in deze overeenkomst ten gevolge van veranderingen in de eventueel aanwezige onderliggende overeenkomst van opdracht, wet- of regelgeving of andere relevante omstandigheden zijn slechts rechtsgeldig
indien deze na overleg en met uitdrukkelijke toestemming van partijen aan de Verwerkersovereenkomst worden gevoegd.
2.4 Deze overeenkomst eindigt van rechtswege wanneer de Hoofdovereenkomst eindigt. Partijen kunnen na afloop van de Hoofdovereenkomst beslissen om de verwerkersovereenkomst met een nader te bepalen termijn te verlengen.
2.5 Zodra de overeenkomst, om welke reden en op welke wijze dan ook, is beëindigd, zal Verwerker – in overleg met Verwerkingsverantwoordelijke – alle Persoonsgegevens die bij hem/haar aanwezig zijn in originele of kopievorm retourneren aan Verwerkingsverantwoordelijke en/of deze originele Persoonsgegevens en eventuele kopieën daarvan verwijderen en/of vernietigen binnen een termijn van maximaal drie maanden, doch met inachtneming van de wettelijke bewaartermijnen. Eventuele kosten hiervan komen voor rekening van Verwerkingsverantwoordelijke.
2.6 De bepalingen inzake de geheimhouding, aansprakelijkheid en geschillenbeslechting blijven na beëindiging van deze overeenkomst onverminderd van kracht.
Artikel 3 Verplichtingen Verwerker
3.1 Verwerker is verplicht om zich te houden aan de voorwaarden die op grond van geldende wet- en regelgeving, in het bijzonder de AVG en de Uitvoeringswet AVG, gesteld worden aan de verwerking van Persoonsgegevens.
3.2 Het is Verwerker verboden om haar eigen database(s) en/of bestanden te verrijken met enige (persoons)gegevens van de database(s) van Verwerkingsverantwoordelijke, behoudens het geval dat Verwerker tijdelijke database(s) en/of bestanden dient aan te maken ten behoeve van een goede verwerking van de Persoonsgegevens. De tijdelijke bestanden worden direct verwijderd vanaf het moment dat deze tijdelijke bestanden niet langer nodig zijn voor de verwerking.
3.3 Verwerker zal Verwerkingsverantwoordelijke op diens verzoek informeren over de door haar genomen maatregelen ter zake haar verplichtingen op grond van deze Verwerkersovereenkomst.
3.4 Indien Verwerkingsverantwoordelijke instructies met betrekking tot de verwerking van Persoonsgegevens aan Verwerker geeft, dient Verwerker deze instructies slechts op te volgen indien dit noodzakelijk is voor een juiste verwerking behoudens het geval dat deze instructies in strijd zijn met wet- en regelgeving en eventuele van toepassing zijnde beroeps- en gedragsregels. Enkel Verwerker is bevoegd zijn/haar uitsluitende oordeel hierover te geven.
3.5 Alle verplichtingen die rusten op Verwerker, gelden ook voor de personen die onder het gezag van Verwerker Persoonsgegevens verwerken, waaronder verstaan medewerkers en ingeschakelde derden van Verwerker.
3.6 Verwerker is ervoor verantwoordelijk dat alleen medewerkers en/of derden toegang hebben tot de persoonsgegevens waarvoor de toegang noodzakelijk is voor de uitvoering van de overeenkomst. De medewerkers en/of derden werken onder verantwoordelijkheid van Verwerker.
3.7 Verwerkingsverantwoordelijke beschikt over eigen inlogcodes en heeft Verwerker gemachtigd om de diensten conform de Hoofdovereenkomst uit te voeren
3.8 Verwerker is verplicht zijn medewerking te verlenen op verzoek van Verwerkingsverantwoordelijke met betrekking tot inzage, audits en/of inspecties.
3.9 Deze overeenkomst is niet overdraagbaar, tenzij uitdrukkelijk anders overeengekomen.
Artikel 4 Doorgifte van persoonsgegevens
4.1 Behoudens schriftelijke toestemming van Verwerkingsverantwoordelijke zal Verwerker geen Persoonsgegevens, welke door of namens Verwerker of een door hem ingeschakelde sub-verwerker wordt verwerkt, in verband met het uitvoeren van de Overeenkomst, laten overbrengen naar of toegankelijk (laten) maken vanuit landen of internationale organisaties waarvan de Europese Commissie nog niet heeft besloten dat deze een passend beschermingsniveau waarborgen in overeenstemming met de van toepassing zijnde privacyregelgeving. Artikel 44 tot en met 50 van de AVG worden te allen tijde nageleefd. Verwerker verschaft op verzoek van Verwerkingsverantwoordelijke inzicht in de locatie(s) waarop de verwerking plaatsvindt.
4.2 Indien Verwerker voornemens is om Persoonsgegevens door een land of internationale organisatie te verwerken waarvoor de Europese Commissie nog geen toestemming heeft gegeven, zal Verwerker, Verwerkingsverantwoordelijke schriftelijk over dit voornemen informeren. Doorgifte van Persoonsgegevens naar een ander land omvat tevens het toegankelijk maken van de persoonsgegevens vanuit (een entiteit in) een dergelijk ander land.
Artikel 5 Verantwoordelijkheid Verwerker
5.1 Verwerker zal voor Verwerkingsverantwoordelijke in het kader van deze overeenkomst de werkzaamheden verrichten zoals benoemd in artikel 1.2 van deze overeenkomst.
5.2 Verwerker is verantwoordelijk voor de verwerking van de Persoonsgegevens onder deze Verwerkersovereenkomst, overeenkomstig de instructies van Verwerkingsverantwoordelijke. Voor de overige verwerkingen van Persoonsgegevens, waaronder in ieder geval begrepen, maar niet beperkt tot, de verzameling van de Persoonsgegevens door de Verwerkingsverantwoordelijke, verwerkingen voor doeleinden die niet door Verwerkingsverantwoordelijke aan Verwerker zijn gemeld, verwerkingen door derden en/of voor andere doeleinden, is Verwerker eveneens verantwoordelijk.
Artikel 6 Derden
De werkzaamheden van Verwerker kunnen uitbesteed worden aan derden na uitdrukkelijke voorafgaande toestemming van Verwerkingsverantwoordelijke. Verwerker staat in voor deze derde(n) en is zelf verantwoordelijk en schadeplichtig voor alle schade die door toedoen van derde(n) is ontstaan bij Verwerkingsverantwoordelijke. Alle verplichtingen uit deze overeenkomst zijn eveneens van toepassing op deze derde(n), de (sub-verwerker).
Artikel 7 Beveiligingsmaatregelen Persoonsgegevens
7.1 Verwerker spant zich in om voldoende en passende organisatorische en technische maatregelen te nemen tegen elke vorm van onrechtmatige verwerking met betrekking tot de door hem/haar te verrichten verwerkingen van de Persoonsgegevens.
7.2 Het beveiligingsniveau van de maatregelen dient tenminste te voldoen aan een niveau dat niet onredelijk is in het kader van de daaraan verbonden kosten, gevoeligheid van de betreffende Persoonsgegevens alsmede de stand van de techniek en risico’s. Verwerker staat er niet voor in dat de door hem genomen beveiligingsmaatregelen te allen tijde, onder alle omstandigheden doeltreffend zijn. In overleg kunnen partijen andere aanvullende of nadere beveiligingsmaatregelen nemen.
7.3 Verwerker heeft een eigen verantwoordelijkheid om zichzelf en/of diens medewerkers en in te schakelen derden op de hoogte te stellen van alle protocollen, het (beveiligings)beleid en andere instructies die een veilige verwerking mogelijk maken en bevorderen.
7.4 Indien er sprake is van een inbreuk in de beveiliging van de Persoonsgegevens, welke schade kan veroorzaken of nadelige gevolgen kan hebben voor de bescherming van de Persoonsgegevens dient Verwerker, Verwerkingsverantwoordelijke hierover onmiddellijk, althans zonder onredelijke vertraging, doch binnen 36 uur nadat Verwerker hiervan redelijkerwijs op de hoogte had kunnen zijn, te informeren. Verwerkingsverantwoordelijke dient vervolgens zelf de Autoriteit Persoonsgegevens binnen 72 uur en eventuele betrokkenen zo spoedig mogelijk te informeren over de inbreuk.
7.5 Ingevolge de meldplicht van Verwerker, dient de melding van een inbreuk te bestaan uit tenminste de volgende componenten:
• de aard van de inbreuk in verband met persoonsgegevens, waar mogelijk onder vermelding van de categorieën van betrokkenen en persoonsgegevens in kwestie en, bij benadering, het aantal betrokkenen en persoonsgegevensregisters in kwestie;
• de naam en de contactgegevens van de functionaris voor gegevensbescherming of een ander contactpunt waar meer informatie kan worden verkregen;
• de waarschijnlijke gevolgen van de inbreuk in verband met persoonsgegevens;
• de maatregelen die de Verwerker heeft voorgesteld of genomen om de inbreuk in verband met persoonsgegevens aan te pakken, waaronder, in voorkomend geval, de maatregelen ter beperking van de eventuele nadelige gevolgen daarvan.
7.6 Verwerkingsverantwoordelijke en Verwerker dienen elk een register van alle inbreuken bij te houden conform artikel 33 lid 5 AVG. Partijen dienen beide eventuele inbreuken te documenteren, met inbegrip van de feiten omtrent de inbreuk in verband met Persoonsgegevens, de gevolgen daarvan en de genomen corrigerende maatregelen. Op verzoek van Verwerkingsverantwoordelijke zal Verwerker de Verwerkingsverantwoordelijke hier inzage in verschaffen.
7.7 Indien een inbreuk op de beveiliging van de Persoonsgegevens heeft plaatsgevonden bij Verwerker, doch slechts ten aanzien van hetgeen waarop Xxxxxxxxx zelf invloed kan uitoefenen, is Verwerker verplicht om op eigen kosten passende maatregelen te treffen ter voorkoming van toekomstige incidenten en/of inbreuken.
Artikel 8 Geheimhouding
Verwerker en diens medewerkers alsmede de door Verwerker ingeschakelde derde(n), zijn verplicht tot geheimhouding van alle door deze overeenkomst verkregen persoonsgegevens, gevoelige informatie en/of bedrijfsgegevens. De geheimhoudingsplicht geldt niet indien Verwerkingsverantwoordelijke uitdrukkelijke en schriftelijke toestemming heeft gegeven aan Verwerker om deze gegevens en informatie te delen met derde(n), of
een wettelijke verplichting bestaat om de gegevens en informatie aan een derde te verstrekken. Na afloop van deze overeenkomst blijven partijen verplicht om zich aan deze geheimhoudingsverplichting te houden.
Artikel 9 Rechten van betrokkenen
9.1 Ingeval Verwerker een verzoek tot inzage ontvangt van een betrokkene of een daartoe bevoegde instantie, zal Verwerker dit verzoek zo spoedig mogelijk, doch uiterlijk binnen 5 werkdagen afhandelen en de bijkomende kosten hiervan doorbelasten aan Verwerkingsverantwoordelijke. Verwerkingsverantwoordelijke zal indien hiertoe gevraagd, medewerking te verlenen aan de uitvoering van het verzoek. Indien het niet mogelijk is om het verzoek zelf af te handelen, wordt het verzoek binnen 3 dagen doorgestuurd aan Verwerkingsverantwoordelijke. Verwerker dient indien hiertoe gevraagd, medewerking te verlenen aan de uitvoering van het verzoek.
9.2 Het bepaalde in artikel 9.1 is van overeenkomstige toepassing indien een betrokkene andere rechten wil doen gelden zoals zijn/haar recht op rectificatie, gegevenswissing, recht op beperking van de verwerking, recht op overdraagbaarheid van gegevens, recht van bezwaar en rechten ingeval van geautomatiseerde individuele besluitvorming, zoals neergelegd in afdelingen 3 en 4 van de Algemene Verordening Gegevensbescherming.
Artikel 10 Audit
10.1 Verwerkingsverantwoordelijke kan een deskundige de naleving van deze verwerkersovereenkomst laten controleren, nadat is gebleken dat de rapportages van controle van Verwerker door Verwerkingsverantwoordelijke onvoldoende is bevonden (geen of onvoldoende duidelijkheid over het naleven van de verwerkersovereenkomst door Verwerker) en de inhoud van deze rapportages een dergelijke controle rechtvaardigt.
10.2 Verwerkingsverantwoordelijke kan eenmaal per jaar verzoeken om een controle bij Verwerker te laten uitvoeren. Verwerkingsverantwoordelijke dient Verwerker hiervan tenminste een maand van tevoren van op de hoogte te stellen, zodat zij de benodigde voorzorgsmaatregelen kan treffen en eventueel nadere afspraken ter zake de audit met door haar ingehuurde derden kan maken.
10.3 Verwerker zal zorg dragen voor zover redelijkerwijs van haar kan worden verlangd om mee te werken aan de controle en zal alle relevante informatie zo spoedig mogelijk ter beschikking stellen, doch uiterlijk binnen 14 kalenderdagen nadat het verzoek tot informatie is ontvangen door Verwerker. Verwerker heeft het recht op een maand uitstel om de informatie alsnog aan te leveren, indien en voor zover zij dit nodig acht. Indien zich dergelijke omstandigheden voordoen, dient Verwerker de gevraagde gegevens binnen dusdanige termijn aan te leveren dat deze tijdig en volledig ontvangen worden in het kader van een eventuele (kort geding) procedure.
10.4 De bevindingen van de controle worden door partijen besproken en indien wenselijk, doorgevoerd bij een of beide partijen gezamenlijk.
10.5 Verwerkingsverantwoordelijke draagt te allen tijde zelf de kosten voor de audit. Eventuele kosten die Verwerker dient te maken ten behoeve nadere en/of andere beveiligingsmaatregelen worden in overleg door Partijen gezamenlijk of door Verwerkingsverantwoordelijke gedragen. Verwerker heeft hier in de doorslaggevende stem. Door parafering en ondertekening van deze Verwerkersovereenkomst verklaart Verwerkingsverantwoordelijke hiermee in te stemmen.
Artikel 11 Aansprakelijkheid
11.1 Verwerker is verantwoordelijk voor de verwerking van de Persoonsgegevens en staat ervoor in dat de verwerking rechtmatig is en geen inbreuk maakt op rechten van betrokkenen. Verwerker is slechts aansprakelijk voor de directe schade die door de verwerking is veroorzaakt wanneer Xxxxxxxxx niet heeft voldaan aan specifiek tot de haar gerichte verplichtingen van de AVG of indien in strijd met de rechtmatige instructies van Verwerkingsverantwoordelijke heeft gehandeld.
11.2 Verwerker is nimmer aansprakelijk voor indirecte schade, gevolgschade, gederfde winst, gemiste besparingen, verminderde goodwill, bedrijfsstagnatie en/of schade als gevolg van aanspraken van Verwerkingsverantwoordelijke, betrokkenen en/of derden.
11.3 Verwerker is niet aansprakelijk voor de schade indien zij kan aantonen dat zij op geen enkele wijze verantwoordelijk is voor het schadeveroorzakende feit.
Artikel 12 Vrijwaring
12.1 Verwerker vrijwaart Verwerkingsverantwoordelijke voor aanspraken, boetes en/of dwangsommen van of namens de Autoriteit Persoonsgegevens en/of andere autoriteiten, waarbij vast is komen te staan dat de overtredingen onder de verantwoordelijkheid van Verwerker vallen.
12.2 Verwerkingsverantwoordelijke kan de opgelegde boetes en/of dwangsommen verhalen op Verwerker indien zij verantwoordelijk gehouden kan worden voor de overtredingen.
Artikel 13 Geschillenbeslechting
13.1 Op deze overeenkomst is Nederlands recht van toepassing.
13.2 Alle geschillen die ontstaan tussen partijen die voortvloeien uit of verband houden of betrekking hebben op deze verwerkersovereenkomst worden beslecht door de bevoegde rechter van de vestigingsplaats van Verwerkingsverantwoordelijke.
Door het installeren van de ACT Guide app en het activeren van je account verklaar je dat je deze overeenkomst hebt gelezen en ga je automatisch akkoord met deze ‘Verwerkersovereenkomst’.
Landgraaf, 2020
Xxxxx Xxxxxx
Directeur
Positive Psychology B.V. h.o.d.n. Act Guide