Verwerkersovereenkomst

Verwerkersovereenkomst

De ondergetekenden:

1. ……………………………….…, gevestigd te , ingeschreven in het handelsregister onder

nummer ……………….. en rechtsgeldig vertegenwoordigd door ,

hierna te noemen ‘Verantwoordelijke’

en

2. de xxxx Xxxxxxxx Xxxxx Xxxxxxx Xxxxxx xxx Xxxx of de xxxx Xxxxxxxx Xxxxxxx Xxxxxxxxx, handelend namens:

- Xxxxxxx Xxx Xxxxxxxxx MKB Adviseurs B.V. Xxxxxxxxxxxxxxxx 00x

0000 XX Xxxx

XxX-xxxxxx 00000000

- Xxxxxxx Xxx Xxxxxxxxx Accountants B.V. Xxxxxxxxxxxxxxxx 00

0000 XX Xxxx

XxX-xxxxxx 00000000

- Xxxxxxx Xxx Xxxxxxxxx Belastingadviseurs B.V. Xxxxxxxxxxxxxxxx 00x

0000 XX Xxxx

XxX-xxxxxx 00000000

- Xxxxxxx Xxx Xxxxxxxxx Business Consultancy B.V. Xxxxxxxxxxxxxxxx 00x

0000 XX Xxxx

KvK-nummer 66830206

hierna Xxxxxxx Xxx Xxxxxxxxx MKB Adviseurs B.V., Xxxxxxx Xxx Xxxxxxxxx Accountants B.V., Xxxxxxx Xxx Xxxxxxxxx Belastingadviseurs B.V., Xxxxxxx Xxx Xxxxxxxxx Business Consultancy B.V., hierna ieder te

noemen ‘Verwerker’ of ‘Xxxxxxx Xxx Xxxxxxxxx’,

Verantwoordelijke en Verwerker worden afzonderlijk tevens genoemd ‘Partij’ of gezamenlijk ‘Partijen’

in aanmerking nemende dat:

• Verantwoordelijke met Verwerker een overeenkomst van opdracht heeft gesloten;

• Verantwoordelijke in het kader van de uitvoering van de overeenkomst van opdracht aan Verwerker direct of indirect gegevens zal verstrekken die privacygevoelig zijn;

• De te verwerken gegevens van Verantwoordelijke onder meer Persoonsgegevens bevatten in de zin van Algemene Verordening Gegevensbescherming (hierna: ‘AVG’);

• Verantwoordelijke kwalificeert als verantwoordelijke in de zin van de AVG;

• Verwerker kwalificeert als een verwerker in de zin van de AVG omdat verwerker ten behoeve van Verantwoordelijke Persoonsgegevens verwerkt, zonder aan diens rechtstreeks gezag onderworpen te zijn en Verantwoordelijke het doel van en de middelen voor de verwerking van de Persoonsgegevens vaststelt;

• De AVG aan Verantwoordelijke de plicht oplegt om ervoor zorg te dragen dat Verwerker voldoende waarborging biedt ten aanzien van de technische en organisatorische beveiligingsmaatregelen met betrekking tot de te verrichten bewerkingen;

• Dat Verantwoordelijke en Verwerker groot belang hechten aan het beschermen van de Persoonsgegevens van de betrokkenen;

• Verantwoordelijke en Verwerker in aanvulling op de reeds tussen partijen gesloten overeenkomsten middels deze Overeenkomst een verwerkersovereenkomst zoals bedoeld in AVG wensen te sluiten.

zijn overeengekomen als volgt:

Artikel 1. Definities

Partijen hanteren in deze Overeenkomst de onderstaande duidingen, afkortingen en definities (in alfabetische volgorde):

• Afgeleide Gegevens: geanonimiseerde of gepseudonimiseerde Persoonsgegevens, dan wel anderszins van Persoonsgegevens afgeleide gegevens

• Betrokkene: degene op wie een Persoonsgegeven betrekking heeft

• Overeenkomst: Verwerkersovereenkomst in de zin van de AVG tussen Verantwoordelijke enerzijds en Verwerker anderzijds

• Persoonsgegeven(s): elk gegeven betreffende een geïdentificeerde of identificeerbare

natuurlijke persoon

Artikel 2. Doel verwerking Persoonsgegevens

1. Verwerker zal de door haar te verwerken Persoonsgegevens uitsluitend verwerken voor zover dat nodig is voor de dienstverlening in het kader de opdracht of de nakoming van de wettelijke verplichtingen waaraan de Verwerker zelf is onderworpen. Het is Verwerker uitdrukkelijk niet toegestaan Persoonsgegevens of Afgeleide Gegevens voor eigen doeleinden te gebruiken. Xxxxxxxxx ziet erop toe dat deze verplichtingen eveneens worden nagekomen door het door haar ingeschakelde personeel, en/of de door haar ingeschakelde (sub)verwerker(s) van de Persoonsgegevens.

2. Verwerker verwerkt de Persoonsgegevens ten behoeve van Verantwoordelijke, overeenkomstig de instructies en onder de verantwoordelijkheid van Verantwoordelijke. Verwerker heeft geen zeggenschap over het doel en de middelen voor de verwerking van de Persoonsgegevens.

3. Verantwoordelijke en verwerker verstrekken elkaar over en weer tijdig alle benodigde informatie om een goede naleving van de geldende privacywet- en regelgeving mogelijk te maken.

Artikel 3. Beveiligingsmaatregelen

1. Verwerker zal alle passende technische en organisatorische maatregelen nemen om de Persoonsgegevens te beveiligen tegen verlies, of enige vorm van onrechtmatige verwerking. Verwerker zal zich daartoe houden aan het binnen Verwerker geldende(standaard) niveau van beveiliging. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico's die de verwerking en de aard van te beschermen gegevens met zich meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen. Verantwoordelijke heeft de bevoegdheid om de standaard beveiligingsmaatregelen van Verwerker aan te passen zodat deze minimaal voldoen aan de voor Verantwoordelijke geldende verplichtingen met betrekking tot beveiliging.

2. Verwerker stelt Verantwoordelijke in de gelegenheid te controleren dat de verwerking van Persoonsgegevens plaatsvindt zoals overeengekomen in deze Overeenkomst en de beveiligingsprotocollen van Verwerker.

Artikel 4. Meldplicht (beveiligings)incidenten

1. Zodra zich een inbreuk op de beveiliging in verband met persoonsgegevens voordoet, die betrekking heeft (of kan hebben) op de persoonsgegevens waarvoor Verantwoordelijke verwerkingsverantwoordelijke is en die op grond van de AVG moet worden gemeld aan de Autoriteit Persoonsgegevens en/of de Betrokkene, zal Verwerker Verantwoordelijke hierover zo spoedig mogelijk na ontdekking informeren, tenzij het niet waarschijnlijk is dat het datalek een risico inhoudt voor de rechten en vrijheden van Betrokkene.

2. Verwerker houdt een gedetailleerd logboek bij van alle incidenten als bedoeld in het vorige lid, evenals de maatregelen die in vervolg op dergelijke incidenten zijn genomen.

3. Voor zover Verantwoordelijke het noodzakelijk acht de betrokkenen te informeren over één of meer incidenten als bedoeld in de voorgaande leden zal Verwerker daar alle noodzakelijke medewerking aan verlenen.

4. Verwerker is nimmer aansprakelijk voor de op Verantwoordelijke rustende (correcte en/of tijdige) meldplicht in de zin van de AVG. Het is Verwerker toegestaan om met de Autoriteit Persoonsgegevens in contact te treden inzake een voorgevallen incident.

Artikel 5. Bewaren van persoonsgegevens

Verwerker zal de persoonsgegevens die hij verwerkt in het kader van de diensten niet langer bewaren dan noodzakelijk. Uitgangspunt daarbij is dat het bewaren van persoonsgegevens niet langer noodzakelijk is nadat het verlenen van de diensten is voltooid, tenzij de verwerker op andere gronden, zoals op grond van wet- en regelgeving, gehouden is de Persoonsgegevens te bewaren, dan wel op grond van toestemming van Verantwoordelijke of een gerechtvaardigd belang van Verwerker.

Artikel 6. Teruggave dan wel vernietiging persoonsgegevens

1. Indien en zodra het bewaren van persoonsgegevens zoals bedoeld in artikel 5 niet langer plaats zal vinden, zal Verwerker de verwerkte persoonsgegevens vernietigen.

2. Het vernietigen van de persoonsgegevens als bedoeld in lid 1 geschiedt zo spoedig mogelijk nadat de wettelijke termijn is verstreken, dan wel zoveel later als Verantwoordelijke daarvoor toestemming heeft gegeven, dan wel er geen gerechtvaardigd belang meer bestaat.

Artikel 7. Medewerking aan verzoeken van betrokkenen

Verantwoordelijke heeft op grond van de AVG verplichtingen tegenover de Betrokkenen. Die verplichtingen zien onder meer toe op het verstrekken van informatie, het geven van xxxxxx in persoonsgegevens, het corrigeren van persoonsgegevens, het verwijderen van persoonsgegevens, het beperken van verwerking en overdracht van de persoonsgegevens. De verantwoordelijkheid van de nakoming van deze verplichtingen rust op Verantwoordelijke. Indien Verwerker een verzoek of bezwaar van een betrokkene ontvangt, stuurt Verwerker dat verzoek onmiddellijk door naar Verantwoordelijke. Verwerker zal alle noodzakelijke medewerking verlenen aan de door Verantwoordelijke na te komen verplichtingen. Verwerker staat er in dat kader voor in dat hij een opdracht van Verantwoordelijke tot het uitvoeren van een bepaalde persoonsgegevensverwerking of tot het verschaffen van bepaalde informatie omtrent door hem uitgevoerde persoonsgegevensverwerkingen steeds binnen 15 werkdagen zal uitvoeren.

Artikel 8. Doorgifte gegevens naar derde landen

1. Het is Verwerker toegestaan gegevens te verwerken in andere landen binnen de EER / EU. Onder verwerking wordt mede begrepen de opslag van gegevens in deze landen dan wel het gebruik van middelen voor verwerking anders dan voor de loutere doorvoer van gegevens.

2. Het is Verwerker niet toegestaan gegevens te verwerken in landen buiten de EER / EU. Onder verwerking wordt mede begrepen de opslag van gegevens in deze landen. Onder verwerking wordt mede begrepen de opslag van gegevens in deze landen dan wel het gebruik van middelen voor verwerking anders dan voor de loutere doorvoer van gegevens.

Artikel 9. Inschakelen sub-verwerkers

1. Verwerker besteedt de verwerkingsactiviteiten die hij overeenkomstig de bepalingen namens de Verantwoordelijke uitvoert, wel uit aan een derde (hierna: “Sub-verwerker”) zonder de voorafgaande schriftelijke toestemming van de Verantwoordelijke.

2. Indien Verwerker met toestemming van de Verantwoordelijke zijn verplichtingen uit hoofde van de bepalingen uitbesteedt, dient hij met de Sub-verwerker een schriftelijk contract te sluiten waarbij aan de Sub-verwerker minimaal dezelfde verplichtingen worden opgelegd als die waaraan de Verwerker uit hoofde van deze Overeenkomst moet voldoen.

3. Indien de Sub-verwerker niet voldoet aan zijn verplichtingen tot gegevensbescherming uit hoofde van dat schriftelijke contract, blijft Verwerker jegens de Verantwoordelijke volledig aansprakelijk voor de uitvoering van de verplichtingen van de Verwerker uit hoofde van de overeenkomst tussen Verantwoordelijke en Verwerker.

Artikel 10. Aansprakelijkheid

1. Ten aanzien van de aansprakelijkheid van Verwerker onder deze overeenkomst en de in deze overeenkomst opgenomen vrijwaringsverplichtingen voor Verwerker geldt onverkort de in de algemene voorwaarden van Verwerker opgenomen regeling inzake de beperking van aansprakelijkheid.

2. Onverminderd het bepaalde in dit artikel, is Verwerker slechts aansprakelijk voor de schade die door de verwerking is veroorzaakt wanneer bij deze verwerking niet is voldaan aan specifiek tot de Verwerker gerichte verplichtingen van de AVG of indien in strijd met de rechtmatige instructies van Verantwoordelijke is gehandeld.

Artikel 11. Vrijwaring

Verantwoordelijke is aansprakelijk voor de verwerking van persoonsgegevens in het kader van deze overeenkomst. Verantwoordelijke garandeert dat de opdracht tot verwerking van de persoonsgegevens in overeenstemming is met de geldende wet- en regelgeving. Verantwoordelijke vrijwaart Verwerker tegen alle aanspraken van derden, waaronder de toezichthouder(s), welke voortvloeien uit het niet naleven van deze garantie.

Artikel 12. Geheimhouding

Verwerker is verplicht tot geheimhouding van de Persoonsgegevens die zij bij de uitvoering van de Opdracht ontvangt, een en ander behoudens voor zover een wettelijk voorschrift Verwerker tot mededelen verplicht en behoudens de gegevensverstrekking die plaatsvindt in opdracht van Verantwoordelijke. Deze verplichting zal na beëindiging van deze Overeenkomst en/of de andere tussen Partijen geldende overeenkomsten voor onbepaalde tijd voortduren.

Artikel 13. Duur van de Overeenkomst

1. De Overeenkomst treedt in werking na ondertekening door beide partijen en wordt aangegaan voor de duur van de overeenkomst van Opdracht. Deze Overeenkomst eindigt van rechtswege op het moment van beëindiging c.q. ontbinding van de Opdracht, met dien verstande dat de duur van de onderhavige overeenkomst naar rato wordt verlengd zolang het vernietigen van gegevens overeenkomstig artikel 5 nog niet is voltooid.

2. Artikel 12 en artikel 15 zullen ook na de beëindiging of ontbinding van deze Overeenkomst voor onbepaalde tijd tussen partijen voortduren.

Artikel 14. Kosten

1. Kosten voortvloeiend uit inzageverzoeken van Xxxxxxxxxx(n), onderzoeken of audits van de Autoriteit Persoonsgegevens of een andere toezichthouder met betrekking tot Persoonsgegevens, zullen worden gedragen door Verwerker. Onder deze kosten wordt mede verstaan, doch deze zijn niet beperkt tot kosten voor het treffen van (aanvullende) technische en organisatorische beveiligingsmaatregelen in overeenstemming met artikel 3 en rekening houdend met eventuele aanwijzingen van de Autoriteit Persoonsgegevens.

2. Kosten voortvloeiend uit het opvragen van Persoonsgegevens of inbeslagnemingen door justitiële autoriteiten komen voor rekening van de Verwerker.

Artikel 15. Toepasselijk recht en forumkeuze

1. Op deze rechtsverhouding is Nederlands recht van toepassing.

2. Alle geschillen tussen partijen worden beslecht door de bevoegde rechter van de Rechtbank Gelderland, locatie Arnhem.

Artikel 16. Bijlage

De aan deze overeenkomst gehechte bijlage “Privacy statement’ is onderdeel van deze overeenkomst. De beide documenten zijn onlosmakelijk met elkaar verbonden.

Aldus overeengekomen in tweevoud en ondertekend te Tiel op…………………………….

Verantwoordelijke, Verwerker, Verwerker,

……………………………….	Xxxxxxx Xxx Xxxxxxxxx	Xxxxxxx Xxx Xxxxxxxxx
namens deze ………….	C.L.A.P. van Oort	X.X. Xxxxxxxxx