Verwerkersovereenkomst
TUSSEN:
Osteopathievandenberg, statutair gevestigd en kantoorhoudend aan de noorderparklaan 4, 2662 DJ, Bergschenhoek, ingeschreven bij de Kamer van Koophandel onder nummer 27379552, hierna te noemen ‘Verantwoordelijke’; en
2. Xxxxxx Xxxxx, statutair gevestigd en kantoorhoudende te Xxxxxxxxxxx 00, 0000 XX, Xxxxxxxxxxx, hierna te noemen ‘Verwerker’,
Samen de ‘Partijen’.
ACHTERGROND:
Op 20-05-2018 hebben Partijen een overeenkomst gesloten (de ‘Hoofdovereenkomst’) van datum 26-09-2015 op grond waarvan Verwerker persoonsgegevens van Verantwoordelijke verwerkt;
Privacywetgeving, inclusief nationale wetten ter uitvoering van de Privacyrichtlijn en de Algemene Verordening Gegevensbescherming, vereist dat dergelijke verwerkingen worden geregeld door een overeenkomst of rechtshandeling die de Verwerker bindt aan de Verantwoordelijke en waarin het onderwerp en de duur van de verwerking, de aard en het doel van de verwerking, de verplichtingen van de Verwerker in verband met beveiligingsincidenten en datalekken, het soort persoonsgegevens en de categorieën van betrokkenen, en de rechten en verplichtingen van de Verantwoordelijke worden omschreven; en
Partijen wensen de bovenstaande vereisten in de onderhavige verwerkersovereenkomst (de ‘Verwerkersovereenkomst’) te regelen, welke overeenkomst een integraal onderdeel is van de Hoofdovereenkomst.
Partijen verklaren te zijn overeengekomen als volgt:
Definities en Interpretatie
‘Betrokkene’, ‘Persoonsgegevens’, ‘Verantwoordelijke’, en ‘Verwerker’ hebben de betekenis zoals bedoeld in de Privacywetgeving. Daarnaast hebben de volgende woorden en zinsdelen de volgende betekenis:
‘Beveiligingsincident’ een daadwerkelijke, verwachte of vermoede i) schending van technische en organisatorische beveiligingsmaatregelen welke leidt tot onbedoelde of onrechtmatige vernietiging, verlies, wijziging, onbevoegde openbaarmaking of toegang tot gegevens, met inbegrip van Persoonsgegevens, ii) schending van Privacywetgeving of deze Verwerkersovereenkomst door een huidige of voormalige werknemer, aannemer of agent van de Verwerker of door een andere persoon of derde, en/of iii) gebeurtenis waarbij de beveiliging, vertrouwelijkheid, integriteit of beschikbaarheid van gegevens, waaronder Persoonsgegevens, zijn of redelijkerwijs kunnen zijn gecompromitteerd;
‘Privacywetgeving’ de Privacy Richtlijn (95/46/EG) en de Richtlijn privacy en elektronische communicatie (2002/58/EG), de nationale wetten ter uitvoering van deze richtlijnen en/of, in voorkomend geval, de verordening (EU) 2016/679 (de "Algemene Verordening Gegevensbescherming") en elke wetgeving of verordening die het voorgaande van tijd tot tijd wijzigt of aanvult;
In geval van inconsistentie tussen de bepalingen van deze Verwerkersovereenkomst en de Hoofdovereenkomst, gelden de bepalingen van deze Verwerkersovereenkomst.
In geval van nietigheid c.q. vernietigbaarheid van een of meer bepalingen uit deze Verwerkersovereenkomst blijven de overige bepalingen onverkort van kracht.
Werkzaamheden Verwerker
De voorwaarden van deze Verwerkersovereenkomst zijn van toepassing op de Persoonsgegevens die de Verwerker, of de toegestane onderaannemers, verwerken tijdens het verlenen van diensten in het kader van de Hoofdovereenkomst, zoals weergegeven in Annex 1. Partijen komen overeen dat de Verantwoordelijke de verwerkingsverantwoordelijke van de Persoonsgegevens is of een verwerker van Persoonsgegevens namens een andere verwerkingsverantwoordelijke. Partijen komen verder overeen dat Verwerker de Persoonsgegevens verwerkt in het kader van uitvoering van de Hoofdovereenkomst.
De Verwerker verwerkt alleen die Persoonsgegevens zoals verder gespecificeerd in Annex 1 en voert deze verwerkingshandelingen alleen uit met betrekking tot de uit de Hoofdovereenkomst voortvloeiende en in deze Verwerkersovereenkomst of anderszins goedgekeurde met voorafgaande schriftelijke toestemming van de Verantwoordelijke nader beschreven aard en doeleinden van de verwerking, onder voorbehoud van Artikel 2.4 van deze Verwerkersovereenkomst. Verwerker zal in dit kader alle redelijke instructies van de Verantwoordelijke in verband met de verwerking opvolgen.
De Verwerker verwerkt geen Persoonsgegevens voor zijn eigen doeleinden of die van anderen, tenzij i) een op de Verwerker van toepassing zijnde Unierechtelijke of lidstaatrechtelijke bepaling hem tot verwerking verplicht; in dat geval stelt de Verwerker de Verantwoordelijke, voorafgaand aan de verwerking, in kennis van dat wettelijk voorschrift, tenzij die wetgeving deze kennisgeving om gewichtige redenen van algemeen belang verbiedt of ii) Verantwoordelijke daartoe nadere schriftelijke instructies heeft gegeven.
De Verwerker verwerkt de Persoonsgegevens in overeenstemming met de Privacywetgeving die van toepassing is op de verwerking van Persoonsgegevens onder deze Verwerkersovereenkomst, waarbij ook rekening wordt gehouden met afzonderlijke verplichtingen die de Verantwoordelijke krachtens Privacywetgeving kan hebben. De Verwerker stelt de Verantwoordelijke onmiddellijk in kennis wanneer een instructie van de Verantwoordelijke betreffende de verwerking van Persoonsgegevens naar haar mening inbreuk maakt op Privacywetgeving of andere toepasselijke wetgeving.
De Verwerker zorgt ervoor dat alle Persoonsgegevens die door de Verwerker zijn gecreëerd namens de Verantwoordelijke nauwkeurig zijn en zo nodig bijgewerkt worden en zorgt ervoor dat de Persoonsgegevens die onjuist of onvolledig zijn worden gewist of gerectificeerd overeenkomstig de instructies van de Verantwoordelijke.
In aanvulling op het voorgaande lid 5 van dit Artikel leggen Partijen vast dat Verwerker de Persoonsgegevens aantoonbaar, op behoorlijke en zorgvuldige wijze zal verwerken en in overeenstemming met de op hem als Verwerker rustende verplichtingen op grond van de Privacywetgeving of andere toepasselijke wetgeving. Verwerker zal in dat kader ten minste een register van verwerkingen aanleggen als bedoeld in Artikel 30 AVG en op eerste verzoek van Verantwoordelijke zal Verwerker een kopie van dat register verstrekken.
De Verwerker zal geen Persoonsgegevens verwerken in- of doorgeven aan een land, gebied of organisatie buiten de Europese Economische Ruimte (“EER”) zonder voorafgaande schriftelijke toestemming van de Verantwoordelijke (en de Verwerker zorgt ervoor dat elke onderaannemer aan hetzelfde voldoet).
Beveiliging
De Verwerker ontwikkelt, implementeert en onderhoudt een uitgebreid schriftelijk informatiebeveiligingsbeleid dat vereist dat de Verwerker passende technische en organisatorische maatregelen neemt om Persoonsgegevens, in het licht van de huidige stand van de techniek, te beschermen tegen inbreuken op beveiliging, vertrouwelijkheid of integriteit en andere ongeautoriseerde of onwettige vormen van verwerking. Zulke maatregelen zullen een passend veiligheidsniveau garanderen, rekening houdend met de risico's die bij de verwerking betrokken zijn, met name door ongevallen of onwettige vernietiging, verlies, wijziging, onbevoegde openbaarmaking of toegang tot persoonsgegevens die worden overgedragen, opgeslagen of anderszins verwerkt, gebaseerd op de aard van de persoonsgegevens, geldende industrie standaarden en verplichte veiligheidseisen die van toepassing zijn op de verwerker.
Naast de algemene verplichting uit hoofde van Artikel 3.1, omvatten dergelijke technische en organisatorische beveiligingsmaatregelen ten minste de beveiligingsmaatregelen in Annex 2 van deze Verwerkersovereenkomst.
De Verwerker zorgt ervoor dat het personeel dat bevoegd is om de Persoonsgegevens te verwerken zich tot vertrouwelijkheid verbindt gedurende en na hun dienstverband (bijvoorbeeld door middel van een geheimhoudingsovereenkomst), voor zover het niet reeds tot een wettelijke verplichting tot geheimhouding is gehouden.
De partijen erkennen dat de in dit Artikel 3 bedoelde technische en organisatorische maatregelen in de loop van de tijd kunnen veranderen en dat effectieve beveiligingsmaatregelen regelmatige evaluatie en verbetering van de maatregelen vereisen. De Verwerker zal deze maatregelen derhalve regelmatig evalueren, aanscherpen en/of verbeteren om te (blijven) voldoen aan de eisen en verplichtingen zoals genoemd in dit Artikel 3.
Beveiligingsincidenten
De Verwerker zorgt voor adequate beveiligingsmaatregelen en neemt de technische en organisatorische beveiligingsmaatregelen die nodig zijn in verband met de toepasselijke wettelijke verplichtingen die van toepassing zijn op de Verwerker en de Verantwoordelijke inzake Beveiligingsincidenten.
In geval van een Beveiligingsincident zal de Verwerker de Verantwoordelijke onverwijld op de hoogte stellen via een kennisgeving, maar uiterlijk 12 uur nadat de Verwerker of een onderaannemer zich bewust is van een dergelijk Beveiligingsincident en op een zodanige wijze dat de Verantwoordelijke kan voldoen aan van toepassing zijnde wetgeving betreffende Beveiligingsincidenten, met name relevante kennisgevingsvereisten in verband met Beveiligingsincidenten en inbreuken op de beveiliging van Persoonsgegevens. Een kennisgeving van een Beveiligingsincident mag in beginsel mondeling geschieden, maar dient altijd gevolgd te worden door een schriftelijke bevestiging aan Verantwoordelijke.
Niet tegenstaande de verplichtingen van de Verwerker onder Artikel 4.2, bevat de kennisgeving van de Verwerker tenminste de punten in Annex 3, waarbij de Verwerker zich rekenschap geeft van het belang van een onverwijlde melding, alsook de mogelijkheid om eerdere kennisgevingen op te volgen en aan te vullen.
Zodra de Verwerker op de hoogte is van een Beveiligingsincident, moet de Verwerker alle noodzakelijke en passende maatregelen nemen om de gevolgen van het Beveiligingsincident te onderzoeken, te reduceren en te herstellen en de Verantwoordelijke te helpen ervoor te zorgen dat de Verantwoordelijke kan voldoen aan de Privacywetgeving en eventuele wettelijke en/of contractuele verplichtingen (zoals verplichtingen om derden in kennis te stellen, inclusief toezichthouders en betrokkenen) in verband met het Beveiligingsincident. Dit betekent, met zoveel woorden, dat de Verwerker te allen tijde zijn medewerking verleent aan Verantwoordelijke in het kader van het hiervoor gestelde en eventuele nadere instructies van de Verantwoordelijke adequaat zal opvolgen.
Verwerker dient zich te onthouden van het op enigerlei wijze verstrekken van of delen van informatie over Beveiligingsincidenten aan derde partijen en/of betrokkenen, behoudens voor zover Verwerker daartoe wettelijk verplicht is of Partijen anderszins zijn overeengekomen.
Samenwerking en betrokkenen
De Verwerker zal de Verantwoordelijke binnen 24 uur in kennis stellen, tenzij uitdrukkelijk door toepasselijke wetgeving verboden, in geval van i) een klacht in verband met de verwerking van Persoonsgegevens onder de Verwerkersovereenkomst, ii) een verzoek, vraag of bevel tot de productie, verwerking of toegang tot persoonsgegevens, of iii) verzoeken van betrokkenen, waaronder verzoeken tot toegang, rectificatie, blokkering van verwerking van persoonsgegevens, data-overdraagbaarheid en soortgelijke verzoeken. De Verwerker reageert niet op dergelijke verzoeken, tenzij met voorafgaande toestemming van de Verantwoordelijke; Xx Xxxxxxxxx werkt op dit punt samen met de Verantwoordelijke en ondersteunt de Verantwoordelijke bij het afhandelen en beantwoorden van dergelijke klachten, verzoeken en bevelen. Dit houdt voor Verwerker in dat op het eerste daartoe strekkende verzoek van de Verantwoordelijke alle relevante informatie aan haar wordt verstrekt betreffende de aspecten van de door de Verwerker verrichte verwerking van Persoonsgegevens, zodat de Verantwoordelijke, mede aan de hand van die informatie, aan kan tonen dat Privacywetgeving of andere toepasselijke wetgeving wordt dan wel is nageleefd.
Voor zover mogelijk en rekening houdend met de aard van de verwerking, zal de Verwerker passende technische en organisatorische maatregelen implementeren voor de vervulling van zijn verplichtingen genoemd in dit Artikel 5.
Onderaanneming
De Verwerker kan zijn verplichtingen uit hoofde van deze Verwerkersovereenkomst slechts uitbesteden aan een derde partij met uitdrukkelijke voorafgaande schriftelijke toestemming van de Verantwoordelijke en alleen middels een schriftelijke overeenkomst met de onderaannemer (“Subverwerker”), welke overeenkomst dezelfde of zelfs strengere verplichtingen oplegt als aan de Verwerker onder deze Verwerkersovereenkomst dan wel uit de Privacywetgeving of andere toepasselijke wetgeving voortvloeit. Het is de (wettelijke) taak van de Verwerker om toe te zien op naleving daarvan door de Subverwerker.
De Verwerker blijft volledig aansprakelijk voor de nakoming van zijn verplichtingen uit hoofde van deze Verwerkersovereenkomst, met inbegrip van de door de onderaannemer verwerkte persoonsgegevens, indien de Verwerker gebruik maakt van onderaannemers.
De toestemming van Verantwoordelijke voor het uitbesteden van werkzaamheden aan een Subverwerker, zoals bedoeld in lid 1 van dit Artikel, laat onverlet dat Persoonsgegevens niet mogen worden verwerkt door die Subverwerker in een land buiten de Europese Economische Ruimte (“EER”), zonder daarvoor uitdrukkelijke voorafgaande schriftelijke toestemming van de Verantwoordelijke, zoals mede bedoeld in Artikel 2.7.
Vrijwaring en Boete
De Verwerker zal de Verantwoordelijke vrijwaren ten aanzien van alle schade die door de Verantwoordelijke of door haar groepsmaatschappijen wordt geleden of voortvloeit uit schending van deze Verwerkersovereenkomst door de Verwerker. Te denken valt hierbij aan een toerekenbare tekortkoming door Xxxxxxxxx en/of diens onderaannemers (Subverwerkers) in de nakoming van zijn verplichtingen onder deze Verwerkersovereenkomst en/of enige schending door Xxxxxxxxx en/of diens onderaannemers (Subverwerkers) van de Privacywetgeving of andere toepasselijke wetgeving op het gebied van verwerking van Persoonsgegevens. Voor de toepassing van dit Artikel betekent schade: i) boetes, dwangsommen en andere sancties die door een toezichthoudende autoriteit of andere overheidsinstantie worden opgelegd, ii) eventuele schadevergoeding die wordt geëist door derden of onderaannemers; en iv) redelijke kosten die verband houden met de tenuitvoerlegging van dit Artikel 7.
Partijen dragen zorg voor afdoende dekking van de aansprakelijkheid.
In geval van overtreding van een van de bepalingen van deze Verwerkersovereenkomst verbeurt Verwerker aan Verantwoordelijke een eenmalige, onmiddellijke en niet voor verrekening vatbare boete van EUR 10.000,- per overtreding alsmede een boete van 15% van voornoemd bedrag voor elke dag of gedeelte daarvan dat de overtreding voortduurt, een en ander onverminderd het recht van Verantwoordelijke op vergoeding van de door haar geleden en te lijden schade.
Audit en Controle
De Verwerker houdt gedetailleerde, nauwkeurige en actuele informatie bij met betrekking tot de verwerking van de Persoonsgegevens door hem in het kader van deze Verwerkersovereenkomst, waaronder met betrekking tot de verplichtingen en maatregelen op grond van de Artikelen 2.1, 3, 4, 5 en 6 ("Bescheiden"). Op verzoek van de Verantwoordelijke verstrekt de Verwerker deze Bescheiden aan de Verantwoordelijke.
Verantwoordelijke heeft het recht toe te (laten) zien op de naleving van de hiervoor onder Artikel 3 genoemde maatregelen. De Verwerker verstrekt de Verantwoordelijke, zijn daartoe gemachtigde vertegenwoordigers en/of de onafhankelijke auditor die door de Verantwoordelijke is aangewezen, zo vaak als Verantwoordelijke daar aanleiding toe ziet in het kader van de uitvoering van deze Verwerkersovereenkomst en bij (het vermoeden van) informatie- of privacy-incidenten, en met inachtneming van een redelijke termijn van kennisgeving: i) toegang tot de informatie, locaties en Bescheiden van de Verwerker; ii) redelijke bijstand en medewerking van het betrokken personeel van de Verwerker; en iii) redelijke faciliteiten op de locaties van de Verwerker om na te gaan of de Verwerker zijn verplichtingen uit hoofde van deze Verwerkersovereenkomst en de Privacywetgeving nakomt.
Verwerker zal eventuele door Verantwoordelijke naar aanleiding van dergelijke audits en controles in redelijkheid gegeven instructies tot aanpassing van het beveiligingsbeleid binnen een redelijke termijn opvolgen.
Elke partij draagt haar eigen kosten voor de in dit Artikel 8 beschreven audits en controles, tenzij blijkt dat de Verwerker een wezenlijke inbreuk heeft gepleegd op de bepalingen van deze Verwerkersovereenkomst, in welk geval de Verwerker alle kosten zal dragen, onverminderd andere rechten en rechtsmiddelen waarover de Verantwoordelijke beschikt.
Termijn en Beëindiging
Deze Verwerkersovereenkomst vangt aan vanaf datum van ondertekening door beide Partijen en blijft van kracht tot de beëindiging of afloop van de Hoofdovereenkomst.
Indien de Hoofdovereenkomst eindigt, eindigt deze Verwerkersovereenkomst automatisch; de Verwerkersovereenkomst kan niet tussentijds of separaat worden opgezegd.
Alle bepalingen van deze Verwerkersovereenkomst die uitdrukkelijk of impliciet zijn bedoeld om van kracht te blijven na beëindiging of afloop van deze Verwerkersovereenkomst, met inbegrip van de Artikelen 3.3 (geheimhouding), 4.2 (melden Beveiligingsincidenten), 7 (vrijwaring en boete), 8.1 (bijhouden van Bescheiden) en 10.1 (retour Persoonsgegevens) blijven volledig van kracht.
Overig
Na beëindiging of aflopen van deze Verwerkersovereenkomst, of op schriftelijk verzoek van de Verantwoordelijke, zal de Verwerker, op eventuele aanwijzing van de Verantwoordelijke binnen 30 dagen alle Persoonsgegevens retourneren aan Verantwoordelijke, en bestaande kopieën van alle bestaande exemplaren verwijderen.
Deze Verwerkersovereenkomst wordt beheerst door en geïnterpreteerd in overeenstemming met Nederlands recht. Elk geschil dat voortkomt uit deze Verwerkersovereenkomst of daarmee verband houdt (van contractuele of niet-contractuele aard) wordt uitsluitend voorgelegd aan de daartoe in de Hoofdovereenkomst aangewezen rechtbank of arbiter(s) of andere daartoe overeengekomen vorm van geschillenbeslechting, waarbij wordt opgemerkt dat Partijen te allen tijde nastreven een eventueel geschil eerst in onderling overleg op passende wijze op te lossen.
Wijzigingen van deze Verwerkersovereenkomst zijn slechts van kracht indien zij schriftelijk zijn vastgelegd en ondertekend door Partijen (of hun gemachtigde vertegenwoordigers).
Aldus overeengekomen en opgemaakt in tweevoud, van een paraaf voorzien op iedere pagina en ondertekend op 20-05-2018 te Vlaardingen,
Xxxxxxx xxx xxx xxxx Xxxxxx Xxxxx
ANNEX 1
Verwerker verwerkt de Persoonsgegevens :
Voornaam
Achternaam
Telefoonnummer
Emailadres.
ANNEX 2
Wettelijke voorschriften
De Verwerker zal eventuele specifieke veiligheidsbepalingen identificeren en zorgdragen voor de naleving van dergelijke veiligheidsbepalingen met betrekking tot de verwerking van Persoonsgegevens.
Praktische veiligheidsmaatregelen
In overeenstemming met haar verplichtingen uit hoofde van Artikel 3.2 van de Verwerkersovereenkomst zal de Verwerker naar behoren rekening houden met de volgende soorten veiligheidsmaatregelen om een naar risico aangepast beveiligingsniveau te garanderen:
de pseudonimisering en versleuteling van Persoonsgegevens;
Fysieke beveiliging;
Toegangscontrole;
Beveiliging en Privacy Enhancing Technologies;
Bewustmaking, opleiding en veiligheidscontroles met betrekking tot personeel;
Incident/Response management/bedrijfscontinuïteit; en
Audit controls/Due Diligence.
Veiligheidsbeleid en -instructies
De Verantwoordelijke kan de Verwerker nadere instructies en policies verstrekken met betrekking tot dergelijke technische en organisatorische beveiligingsmaatregelen.
ANNEX 3
Meld Beveiligingsincidenten, als bedoeld in Artikel 4.2 van de Verwerkersovereenkomst, onverwijld bij Verantwoordelijke, tenzij uitdrukkelijk anders vermeld, via de onderstaande contactgegevens. Als het primaire contact niet binnen één uur reageert kunt u contact opnemen met een van de twee andere contacten. Ook de contactgegevens van Verwerker staan hieronder ter volledigheid vermeld.
Primair contactpersoon Verantwoordelijke
Naam |
|
Functie |
|
|
|
Telefoon |
|
Verdere contactpersonen Verantwoordelijke
Naam |
|
Functie |
|
|
|
Telefoon |
|
Naam |
|
Functie |
|
|
|
Telefoon |
|
Primair contactpersoon Verwerker
Naam |
|
Functie |
|
|
|
Telefoon |
|
Verdere contactpersonen Verwerker
Naam |
|
Functie |
|
|
|
Telefoon |
|
Naam |
|
Functie |
|
|
|
Telefoon |
|
Geef in ieder geval de volgende informatie door bij het melden van een Beveiligingsincident:
- Samenvatting van het Beveiligingsincident (incl. datum en tijdstip, geschat aantal bestanden, geschat aantal betrokkenen, de (mogelijk) getroffen persoonsgegevens, soort beveiligingsincident, de geconstateerde en/of vermoedelijke gevolgen voor betrokkene(en) van het incident);
- Getroffen technische en organisatorische maatregelen om het Beveiligingsincident aan te pakken, maatregelen om de mogelijke negatieve gevolgen ervan te beperken en verdere Beveiligingsincidenten te voorkomen; en
- Verdere (relevante) informatie die Verantwoordelijke nodig kan hebben om te voldoen aan de wettelijke verplichtingen ten aanzien van Beveiligingsincidenten, waaronder in ieder geval het (kunnen) doen van een eventuele melding bij de Autoriteit Persoonsgegevens en/of het informeren van betrokkene(n).