VERWERKERSOVEREENKOMST
VERWERKERSOVEREENKOMST
Partijen:
1. Klant, afnemer van diensten, hierna te noemen ‘verantwoordelijke’. en
2. MMS Solutions, gevestigd te Waanrode, ondernemersnummer: BE0459478706, hierbij rechtsgeldig vertegenwoordigd door Xxxxx Xxxxx, hierna te noemen ‘verwerker’.
Overwegen als volgt:
• partijen zijn een overeenkomst aangegaan krachtens welke de verwerker (persoons)gegevens van de verantwoordelijke verwerkt zoals bedoeld in artikel 4 lid 1 en 2 AVG, hierna te noemen: ‘de hoofdovereenkomst’
• partijen zijn op grond van artikel 28 lid 3 AVG gehouden afspraken te maken omtrent het waarborgen van de privacy van persoonsgegevens en vast te leggen in een verwerkersovereenkomst, hierna te noemen: ‘de overeenkomst’. Deze verwerkersovereenkomst maakt onlosmakelijk deel uit van de hoofdovereenkomst.
• partijen zullen elkaar over en weer tijdig alle benodigde informatie verstrekken om een goede naleving van de geldende privacywet- en regelgeving mogelijk te maken
• de bepalingen van deze overeenkomst gaan vóór alle andere afspraken die tussen partijen gelden ten aanzien van de verwerking van persoonsgegevens, indien en voor zover zij afwijken van hetgeen in deze overeenkomst is vastgelegd
Zijn overeengekomen:
Artikel 1 - Duur van de overeenkomst
1. Deze overeenkomst treedt in werking met ingang van de hoofdovereenkomst en eindigt nadat verwerker alle persoonsgegevens waar deze overeenkomst betrekking op heeft, heeft vernietigd en/of teruggegeven overeenkomstig het bepaalde in artikel 13.
2. Deze overeenkomst kan niet tussentijds worden opgezegd.
3. De bepalingen zoals omschreven in artikel 4 blijven ook na afloop van deze overeenkomst van kracht.
Artikel 2 - Voorwerp van de overeenkomst
1. De verantwoordelijke heeft voor de uitvoering van de hoofdovereenkomst aan de verwerker een opgave verstrekt van:
o de aard en het doel van de overeengekomen verwerking
o de categorieën persoonsgegevens die worden verwerkt
o de categorieën van betrokkenen
o de categorieën ontvangers/gebruikers van persoonsgegevens
o de duur van de verwerking
2. Opgave van de in lid 1 genoemde gegevens worden aangehecht als bijlage bij deze overeenkomst.
Versie 1.0 1
Artikel 3 - Het verwerken en gebruik van de persoonsgegevens
1. De verantwoordelijke bepaalt het doel van de verwerking en welke persoonsgegevens hij hiervoor laat verwerken.
2. De verantwoordelijke geeft hiertoe schriftelijke instructies aan de verwerker.
3. De verwerker gebruikt de verkregen persoonsgegevens alleen voor de doeleinden waarvoor ze zijn verstrekt en uitsluitend volgens de schriftelijke instructies van de verantwoordelijke.
4. Indien de verantwoordelijke opdracht geeft om de persoonsgegevens te verwerken op een wijze die volgens de verwerker in strijd is met de wettelijke verplichtingen, dan informeert laatstgenoemde de verantwoordelijke hieromtrent en overlegt hij met de verwerker om tot een oplossing te komen die niet in strijd is met de wettelijke verplichtingen.
5. De verwerker heeft een eigen verantwoordelijkheid om de gegevens niet in strijd met de geldende wet- en regelgeving te verwerken.
6. De verwerker zal de persoonsgegevens niet aan derden verstrekken, tenzij dit gebeurt in opdracht van de verantwoordelijke of wanneer dit noodzakelijk is om te voldoen aan een wettelijke verplichting.
7. De verwerker zorgt ervoor dat de persoonsgegevens niet buiten de Europese Economische Ruimte worden verwerkt, tenzij de verantwoordelijke hiervoor voorafgaande schriftelijke toestemming heeft gegeven.
Artikel 4 - Geheimhouding
1. De verwerker treft alle noodzakelijke maatregelen om geheimhouding van de persoonsgegevens van de verantwoordelijke te waarborgen.
2. De in lid 1 gestelde verplichting geldt niet wanneer de verantwoordelijke voorafgaande schriftelijke toestemming heeft gegeven om de persoonsgegevens aan een derde te verstrekken of wanneer de verwerker hiertoe wettelijk verplicht is.
3. De verwerker zal dezelfde geheimhoudingsplicht opleggen aan diens personeel c.q. hiervoor ingeschakelde personen of sub-verwerkers.
4. Bij overtreding van dit artikel, verbeurt de verwerker een onmiddellijk opeisbare boete van € 5.000 per overtreding aan de verantwoordelijke, onverminderd het recht van verantwoordelijke om volledige schadevergoeding te vorderen.
Artikel 5 - Beveiliging
1. De verantwoordelijke en de verwerker zullen beiden passende technische en organisatorische maatregelen treffen, zoals bedoeld in artikel 32 AVG, zodat zij een op het risico afgestemd beveiligingsniveau kunnen waarborgen.
2. De verantwoordelijke informeert de verwerker omtrent de wettelijke betrouwbaarheidseisen die op de verwerking van toepassing zijn aan de hand van de mogelijke gevolgen voor de betrokkenen, zoals in geval van verlies, corruptie of onrechtmatige verwerking en verstrekt daartoe alle benodigde informatie zodat de verwerker hieraan kan voldoen.
3. Indien de verantwoordelijke een hoger beveiligingsniveau wenst dan wettelijk verplicht, kan de verwerker hiervoor de redelijke kosten separaat in rekening brengen aan de verantwoordelijke.
4. De verwerker houdt bij het treffen van beveiligingsmaatregelen rekening met de stand van de techniek, de uitvoeringskosten, alsook met de aard, omvang, context, verwerkingsdoeleinden, waarschijnlijkheid en ernst van de uiteenlopende risico's voor de rechten en vrijheden van personen een en ander conform het bepaalde in artikel 28 lid 3 sub f AVG.
5. Indien de verantwoordelijke een beoordeling wenst uit te voeren van een beoogde verwerkingsactiviteit, verleent de verwerker alle redelijke medewerking om deze beoordeling in overeenstemming met de geldende wet- en regelgeving uit te voeren.
Versie 1.0 2
6. De verwerker verleent eveneens alle redelijke medewerking aan een voorafgaande raadpleging van de Autoriteit Persoonsgegevens.
7. Partijen hebben concrete afspraken gemaakt omtrent de voor de uitvoering van deze overeenkomst noodzakelijke technische en organisatorische beveiligingsmaatregelen, welke de verantwoordelijke op dit moment passend acht.
8. Deze afspraken omvatten ten minste de volgende onderwerpen:
1. de betrouwbaarheidseisen
2. het overeengekomen beveiligingsniveau (indien van toepassing)
3. de maatregelen getroffen door de verwerker zodat uitsluitend bevoegd personeel toegang heeft tot de persoonsgegevens
4. maatregelen ter bescherming zoals tegen verlies, wijziging, onbevoegde of onrechtmatige verwerking, toegang of openbaarmaking
5. de te nemen maatregelen voor het opsporen van zwakke plekken en incidentenbeheer
9. Partijen zullen de in lid 7 en 8 genoemde afspraken periodiek evalueren en zo nodig aanpassen.
10. Deze afspraken worden als bijlage bij deze overeenkomst aangehecht.
Artikel 6 - Datalek
1. Indien zich een datalek als bedoeld in artikel 4 sub 12 AVG voordoet informeert de verwerker de verantwoordelijke hieromtrent op de wijze zoals verder omschreven in artikel 8.
2. In geval van een datalek treft de verwerker alle redelijke noodzakelijke maatregelen om de gevolgen hiervan te beperken en een nieuw lek te voorkomen.
3. De verwerker verleent de verantwoordelijke alle medewerking die noodzakelijk is om de omvang en gevolgen van het datalek te kunnen beoordelen en te kunnen voldoen aan de eventuele meldplicht datalekken richting de Autoriteit Persoonsgegevens alsook aan de informatieplicht richting betrokkenen.
4. Partijen hebben hun afspraken over de te volgen procedure in geval van een datalek vastgelegd in een procedure meldplicht datalekken, zoals omschreven in artikel 8. Deze procedure kan worden aangepast indien de stand van de techniek dit verlangt of de regelgeving omtrent de meldplicht datalekken wijzigt.
5. Indien de verwerker nalaat het datalek tijdig te melden conform de procedure meldplicht datalekken zoals bedoeld in artikel 8, is hij een direct opeisbare boete van € 2.500 verschuldigd aan de verantwoordelijke vermeerderd met 2% van dit bedrag per uur dat de melding te laat geschiedt.
Artikel 7 - Procedure meldplicht datalekken
Indien zich een datalek voordoet geldt de procedure meldplicht datalekken zoals aangehecht aan deze overeenkomst.
Artikel 8 - Verzoeken van betrokkenen
1. Ieder verzoek tot inzage, rectificatie, gegevenswissing, beperking van de verwerking, overdraagbaarheid van gegevens of bezwaar zoals bedoeld in artikelen 15 tot en met 21 AVG dat de verwerker bereikt, stuurt hij onverwijld door aan de verantwoordelijke.
2. De verwerker verleent de verantwoordelijke alle redelijke medewerking zodat laatstgenoemde binnen de wettelijke termijnen kan voldoen aan een verzoek zoals bedoeld in lid 1.
3. De verantwoordelijke zal de redelijke kosten die een dergelijke medewerking met zich meebrengt aan de verwerker vergoeden.
Versie 1.0 3
Artikel 9 - Sub-verwerkers
1. De verwerker maakt voor het verwerken van de persoonsgegevens gebruik van de in de bijlage genoemde subverwerker(s); en zal geen andere sub-verwerkers inschakelen, tenzij hij hiervoor voorafgaande toestemming heeft gekregen.
2. De verwerker is verantwoordelijk en aansprakelijk voor de handelingen van door hem ingeschakelde sub-verwerkers.
3. Indien een verwerker een sub-verwerker inschakelt is hij verplicht te bedingen dat deze sub-verwerker alle bij deze overeenkomst opgelegde verplichtingen aan de verwerker nakomt en zal daartoe met de betreffende sub-verwerkers een overeenkomst sluiten die in overeenstemming is met deze overeenkomst.
4. Indien de verwerker zonder toestemming zoals bedoeld in lid 1 sub-verwerkers inschakelt, is de verwerker een boete verschuldigd van € 500 onverminderd het recht van de verantwoordelijke op volledige schadevergoeding.
Artikel 10 - Toegang tot de persoonsgegevens
De verwerker zorgt ervoor dat de verantwoordelijke te allen tijde toegang houdt tot de betreffende persoonsgegevens, zelfs in geval van zijn faillissement of surséance van betaling.
Artikel 11 - Aansprakelijkheid en vrijwaring
1. De verwerker is niet verantwoordelijk voor schade als gevolg van schendingen van enige wet- of regelgeving door de verantwoordelijke.
2. De verantwoordelijke vrijwaart de verwerker voor aanspraken van derden en door verwerker gemaakte kosten als gevolg van een schending zoals bedoeld in lid 1.
3. De verantwoordelijke is niet verantwoordelijk voor schade als gevolg van schendingen van enige wet- of regelgeving door de verwerker.
4. De verwerker vrijwaart de verantwoordelijke voor aanspraken van derden en door verantwoordelijke gemaakte kosten als gevolg van een schending zoals bedoeld in lid 3.
5. De andere partij, is in een geval als bedoeld in lid 1 of 3, gerechtigd de hoofdovereenkomst met onmiddellijke ingang op te zeggen.
Versie 1.0 4
Artikel 12 – Bewaartermijnen en gevolgen van beëindiging overeenkomst
1. De verwerker bewaart de ter beschikking gestelde persoonsgegevens niet langer dan noodzakelijk of (wettelijke) verplicht is voor de uitvoering van de hoofdovereenkomst.
2. Bij beëindiging van de verwerkingsovereenkomst vernietigt verwerker de persoonsgegevens binnen de termijn die is aangegeven in bijlage 1, tenzij verantwoordelijke heeft aangegeven dat de persoonsgegevens langer moeten worden bewaard op grond van een wettelijke verplichting.
3. verantwoordelijke zal verwerker adequaat informeren over (wettelijke) bewaartermijnen die van toepassing zijn op de verwerking van persoonsgegevens door verwerker.
4. Indien gewenst en voor zover mogelijk, kan verantwoordelijke verzoeken om teruggave van persoonsgegevens. Voor teruggave van persoonsgegevens in een ander formaat dan waarin ze zijn aangeleverd dient verantwoordelijke de redelijke kosten hiervan te vergoeden aan verwerker.
5. De bepalingen van artikel 4 (geheimhouding) blijven onverminderd van kracht bij beëindiging van deze overeenkomst.
Artikel 13 - Gevolgen van nietigheid of vernietigbaarheid
Indien een deel van de overeenkomst nietig of vernietigbaar is, dan tast dit de overige bepalingen in de overeenkomst niet aan. Een bepaling die nietig of vernietigbaar is, wordt in dat geval vervangen door een bepaling die het dichtst in de buurt komt van wat partijen bij het sluiten van de overeenkomst op dat punt voor ogen hadden.
Artikel 14 - Toepasselijk recht en bevoegde rechter
1. Op deze overeenkomst is Nederlands recht van toepassing.
2. Alle eventuele geschillen die ontstaan naar aanleiding van deze overeenkomst en die niet in der minne kunnen worden opgelost worden voorgelegd aan de bevoegde rechter in het arrondissement van de vestigingsplaats van de verantwoordelijke.
Versie 1.0 5
Bijlage 1: Verwerkingen
Verwerker verwerkt onderstaande persoonsgegevens, voor zover van toepassing op grond van de hoofdovereenkomst die met Verantwoordelijke is aangegaan.
Product | |
Aard | |
Doel | |
Persoonsgegevens | |
Betrokkenen | |
Ontvangers | |
Bewaartermijn |
Product | |
Aard | |
Doel | |
Persoonsgegevens | |
Betrokkenen | |
Ontvangers | |
Bewaartermijn |
Product | |
Aard | |
Doel | |
Persoonsgegevens | |
Betrokkenen | |
Ontvangers | |
Bewaartermijn |
Versie 1.0 6
Bijlage 2: Beveiligingsmaatregelen
Deze bijlage bevat een overzicht van de beveiligingsmaatregelen die door Verwerker zijn getroffen om de persoonsgegvens van Verantwoordelijke adequaat te beschermen. Deze maatregelen bevatten in ieder geval:
- Maatregelen om de beschikbaarheid van de informatiesystemen te waarborgen.
- Maatregelen om te waarborgen dat enkel bevoegd personeel toegang heeft tot de persoonsgegevens voor de doeleinden van de genoemde verwerking;
- Maatregelen waarbij de verwerker zijn medewerkers, subverwerkers uitsluitend toegang geeft tot persoonsgegevens via op naam gestelde accounts, waarbij het gebruik van die accounts adequaat gelogd wordt en waarbij de betreffende accounts alleen toegang geven tot die persoonsgegevens waartoe de toegang voor de betreffende persoon noodzakelijk is;
- Maatregelen om de persoonsgegevens te beschermen tegen onopzettelijke of onrechtmatige vernietiging, onopzettelijk verlies of wijziging, onbevoegde of onrechtmatige opslagverwerking, toegang of openbaarmaking;
- Maatregelen om zwakke plekken te identificeren ten aanzien van de verwerking van persoonsgegevens in de systemen die worden ingezet voor het verlenen van de diensten aan de Verwerkingsverantwoordelijke.
- Gescheiden opslaan van de persoonsgegevens betreffende de Verwerkingsverantwoordelijke van persoonsgegevens die Verwerker voor zichzelf of namens derde partijen verwerkt.
- De in de Service Level Agreement (SLA) opgenomen maatregelen.
Versie 1.0 7
Bijlage 3: Procedure datalek
- In geval van een datalek informeert de verwerker de contactpersoon van de verantwoordelijke zo spoedig mogelijk en uiterlijk binnen 24 uur telefonisch en/of per e-mail.
- Verwerker zal de relevante informatie* aanleveren overeenkomstig het meldformulier van de Gegevensbeschermingsautoriteit.
- Verantwoordelijke beoordeelt, in overleg met verwerker, of het datalek gemeld dient te worden aan de Gegevensbeschermingsautoriteit. Hierbij worden de voorschriften van de Autoriteit Persoonsgegevens gevolgd.
- Verwerker houdt een incidenten- en datalekkenregister en relevante ondersteunende documentatie.
- Verantwoordelijke draagt zorg voor registratie en opvolging van acties en deelt relevante documentatie met verwerker. Indien van toepassing, meldt verantwoordelijke het datalek binnen 72 uur na ontdekking door verwerker.
- Verantwoordelijke deelt de documentatie in het kader van de melding bij de Gegevensbeschermingsautoriteit.
*Het betreft de volgende informatie:
- Omschrijving incident
- De waarschijnlijke gevolgen
- Duur / voortduren van de inbreuk
- De waarschijnlijke gevolgen
- Aard van de inbreuk (beschikbaarheid/integriteit/vertrouwelijkheid)
- Categorieën betrokken persoonsgegevens
- Geschatte aantal betrokken persoonsgegevens en betrokken personen
- De getroffen maatregelen ter beperking van nadelige gevolgen
- Naam en contactgegevens contactpersoon van de verwerker voor verdere informatie
Versie 1.0 8