Verwerkersovereenkomst Chuck’s Webdesign

Verwerkersovereenkomst Xxxxx’x Webdesign

Versie 25 april 2018

Deze Verwerkersovereenkomst maakt integraal onderdeel uit van de afspraken tussen Partijen overeengekomen op         (hierna: 'de Overeenkomst').

Partijen

•         gevestigd aan de             te             , Kamer van Koophandel nummer             en rechtsgeldig vertegenwoordigd door             (hierna: 'Verantwoordelijke');

en

• Chuck’s Webdesign gevestigd aan de Xxxxxxxxxxx 00, 0000XX Xxxxxx, Kamer van Koophandel nummer 62407066 en rechtsgeldig vertegenwoordigd door Xxx Xxxxxxxx (hierna: 'Verwerker');

Verantwoordelijke en Verwerker gezamenlijk hierna ook te noemen: 'Partijen',

in aanmerking nemende dat

• Verantwoordelijke gebruik wenst te maken van de diensten van Verwerker;

• Verantwoordelijke en Verwerker ten behoeve van het voorgaande een Overeenkomst hebben gesloten waarop Algemene Voorwaarden van toepassing zijn;

• Verwerker bij de uitvoering van de Overeenkomst in sommige gevallen aangemerkt kan worden als Verwerker in de zin van artikel 1 sub e van de Wet bescherming persoonsgegevens (hierna: 'Wbp');

• Verantwoordelijke aangemerkt wordt als verantwoordelijke in de zin van artikel 1 sub d van de Wbp of in voorkomende gevallen als Verwerker, in welk geval Verwerker de rol van Sub-Verwerker vervult;

• waar in deze Verwerkersovereenkomst gesproken wordt over persoonsgegevens, hiermee persoonsgegevens in de zin van artikel 1 sub a van de Wbp bedoeld worden;

• Verwerker bereid is verplichtingen omtrent beveiliging en andere aspecten van de Wbp na te komen, voor zover dit binnen zijn macht ligt;

• de Wbp aan de Verantwoordelijke de plicht oplegt om ervoor zorg te dragen dat Verwerker voldoende waarborgen biedt ten aanzien van de technische en organisatorische beveiligingsmaatregelen met betrekking tot de te verrichten verwerkingen;

• de Wbp daarnaast aan de Verantwoordelijke de plicht oplegt om toe te zien op de naleving van die maatregelen;

• Partijen, mede gelet op het vereiste uit artikel 14 lid 5 van de Wbp, hun rechten en plichten schriftelijk wensen vast te leggen middels deze Verwerkersovereenkomst (hierna: 'Verwerkersovereenkomst');

• waar gerefereerd wordt aan bepalingen uit de Wbp, per 25 mei 2018 de corresponderende bepalingen uit de Algemene Verordening Gegevensbescherming worden bedoeld;

Artikel 1. Doeleinden van verwerking

1.1. Verwerker verbindt zich onder de voorwaarden van deze Verwerkersovereenkomst in opdracht van Verantwoordelijke persoonsgegevens te verwerken. Verwerking zal uitsluitend plaatsvinden in het kader van hosting van websites van Verantwoordelijke, en bijbehorende online diensten, beheer van de klantenadministratie van Verantwoordelijke, beheer van de patiëntenadministratie van Verantwoordelijke, agendabeheer, plus die doeleinden die daarmee redelijkerwijs samenhangen of die met nadere instemming worden bepaald.

1.2. Verwerker zal de persoonsgegevens niet voor enig ander doel verwerken dan zoals door Verantwoordelijke is vastgesteld. Verantwoordelijke zal Verwerker op de hoogte stellen van de verwerkingsdoeleinden voor zover deze niet reeds in deze Verwerkersovereenkomst zijn genoemd.

1.3. De Verwerker heeft geen zeggenschap over het doel van de verwerking van persoonsgegevens. Verwerker neemt geen beslissingen over de ontvangst en het gebruik van de persoonsgegevens, de verstrekking aan derden en de duur van de opslag van persoonsgegevens.

Artikel 2. Verplichtingen Verwerker

2.1. Ten aanzien van de in artikel 1 genoemde verwerkingen zal Verwerker zorg dragen voor de naleving van de voorwaarden die, op grond van de Wbp, worden gesteld aan het verwerken van persoonsgegevens door Verwerker.

2.2. Verwerker zal Verantwoordelijke, op diens verzoek daartoe, informeren over de door haar genomen maatregelen aangaande haar verplichtingen onder deze Verwerkersovereenkomst.

2.3. De verplichtingen van de Verwerker die uit deze Verwerkersovereenkomst voortvloeien, gelden ook voor degenen die persoonsgegevens verwerken onder het gezag van Verwerker.

Artikel 3. Doorgifte van persoonsgegevens

3.1. Verwerker mag de persoonsgegevens verwerken in landen binnen de Europese Unie. Verwerker mag de persoonsgegevens ook verwerken in landen buiten de Europese Unie, maar alleen als daarover schriftelijke afspraken zijn gemaakt met Verantwoordelijke.

3.2. Verwerker zal Verantwoordelijke op diens verzoek melden om welk land of landen het gaat.

Artikel 4. Verdeling van verantwoordelijkheid

4.1. Verwerker is louter verantwoordelijk voor de verwerking van de persoonsgegevens onder deze Verwerkersovereenkomst, overeenkomstig de instructies van Verantwoordelijke en onder de uitdrukkelijke (eind)verantwoordelijkheid van Verantwoordelijke. Voor alle overige verwerkingen van persoonsgegevens, waaronder in ieder geval begrepen maar niet beperkt tot de verzameling van de persoonsgegevens door de Verantwoordelijke, verwerkingen voor doeleinden die niet door Verantwoordelijke aan Verwerker zijn gemeld, verwerkingen door derden en/of voor andere doeleinden, is Xxxxxxxxx niet verantwoordelijk. De verantwoordelijkheid voor deze verwerkingen rust bij Verantwoordelijke.

4.2 Verantwoordelijke vrijwaart Verwerker voor aansprakelijkheid, boetes en/of andere negatieve gevolgen voortvloeiende uit het niet nakomen door Verantwoordelijke van de relevante privacywet- en regelgeving of deze Verwerkersovereenkomst.

Artikel 5. Inschakelen van derden of onderaannemers

5.1. Verwerker mag in het kader van de Verwerkersovereenkomst gebruik maken van derden of onderaannemers.

5.2. Verwerker zorgt ervoor dat deze derden dezelfde plichten op zich nemen als tussen Verantwoordelijke en Verwerker zijn overeengekomen. Verwerker staat in voor een correcte naleving van deze plichten door deze derden en is bij fouten van deze derden zelf jegens Verantwoordelijke aansprakelijk voor schade die de derde heeft veroorzaakt, alsof Verwerker de schade zelf had veroorzaakt.

Artikel 6. Beveiliging

6.1. Verwerker zal zich inspannen passende technische en organisatorische maatregelen te nemen met betrekking tot de te verrichten verwerkingen van persoonsgegevens ten behoeve van Verantwoordelijke, tegen verlies of tegen enige vorm van onrechtmatige verwerking (zoals onbevoegde kennisname, aantasting, wijziging of verstrekking van de persoonsgegevens).

6.2. Verantwoordelijke zal enkel persoonsgegevens door Verwerker laten verwerken indien Verantwoordelijke van mening is dat de door Verwerker genomen beveiligingsmaatregelen een passend beschermingsniveau waarborgen.

Artikel 7. Meldplicht

7.1. In het geval van een datalek (waaronder wordt verstaan: een inbreuk op de beveiliging van persoonsgegevens die leidt tot een aanzienlijke kans op nadelige gevolgen, dan wel nadelige gevolgen heeft, voor de bescherming van persoonsgegevens, in de zin van artikel 34a Wbp) zal Verwerker zich naar beste kunnen inspannen om Verantwoordelijke daarover binnen 36 uur te informeren nadat Verwerker het datalek heeft vastgesteld.

7.2. Indien de wet- en/of regelgeving dit vereist zal Verwerker, tegen vergoeding van de kosten die zij daarvoor maakt, meewerken aan het informeren van de ter zake relevante autoriteiten en eventueel betrokkenen. Verantwoordelijke is en blijft verantwoordelijk voor het melden aan de relevante autoriteiten en betrokkenen.

7.3. De meldplicht behelst in ieder geval het melden van het feit dat er een lek is geweest, alsmede:

• wat de (vermeende) oorzaak is van het lek;

• wat het (vooralsnog bekende en/of te verwachten) gevolg is;

• wat de (voorgestelde) oplossing is;

• wat de reeds ondernomen maatregelen zijn;

• wie de contactpersoon is voor de opvolging van de melding.

7.4. Indien Verwerker op het moment van de melding nog niet over alle in artikel 7.3 opgenomen informatie beschikt, zal Xxxxxxxxx zich inspannen de ontbrekende informatie zo spoedig mogelijk na te sturen.

Artikel 8. Afhandeling verzoeken van betrokkenen

8.1. In het geval dat een betrokkene een verzoek tot inzage, zoals bedoeld in artikel 35 Wbp, of verbetering, aanvulling, wijziging of afscherming, zoals bedoeld in artikel 36 Wbp, richt aan Verwerker, zal Verwerker het verzoek doorsturen aan Verantwoordelijke en de betrokkene hiervan op de hoogte stellen. Verantwoordelijke zal het verzoek vervolgens verder zelfstandig afhandelen.

Artikel 9. Geheimhouding en vertrouwelijkheid

9.1. Op alle persoonsgegevens die Verwerker ten behoeve van Verantwoordelijke verwerkt in het kader van deze Verwerkersovereenkomst, rust een geheimhoudingsplicht jegens derden. Verwerker zal deze informatie niet voor een ander doel gebruiken dan waarvoor zij deze heeft verkregen.

9.2. Deze geheimhoudingsplicht is niet van toepassing voor zover Verantwoordelijke uitdrukkelijke toestemming heeft gegeven om de informatie aan derden te verschaffen, indien het verstrekken van de informatie aan derden logischerwijs noodzakelijk is gezien de aard van de verstrekte opdracht en de uitvoering van deze Verwerkersovereenkomst, of indien het verstrekken van informatie verplicht is op grond van een rechterlijke uitspraak, relevante wet- en/of regelgeving, of een bevoegd gegeven bevel van een overheidsinstantie.

Artikel 10. Controle

10.1. Verwerker zal Verantwoordelijke in staat stellen om zijn wettelijke plichten ten aanzien van het controleren van de door Verwerker ten behoeve van Verantwoordelijke uit te voeren

verwerkingen van persoonsgegevens na te komen, door certificeringen en vergelijkbare controlemiddelen die zij ten aanzien van zichzelf en door haar ingeschakelde derden of onderaannemers onder zich heeft, op verzoek van Xxxxxxxxxxxxxxxxx ter beschikking te stellen.

10.2. Naast het in het vorige lid bepaalde heeft Verantwoordelijke het recht om audits uit te laten voeren door een onafhankelijke deskundige derde die aan geheimhouding is gebonden, ter controle van de naleving van artikelen 6 en 7 van deze Verwerkersovereenkomst.

10.3. De door Verantwoordelijke geïnitieerde audit vindt minimaal twee weken na voorafgaande aankondiging door Verantwoordelijke en maximaal eens per jaar plaats.

10.4. De bevindingen naar aanleiding van de uitgevoerde audit zullen door Partijen in onderling overleg worden beoordeeld en, naar aanleiding daarvan, al dan niet worden doorgevoerd door één van de Partijen of door beide Partijen gezamenlijk.

10.5. De kosten voor de door Verantwoordelijke geïnitieerde audit worden door de Verantwoordelijke gedragen.

Artikel 11. Aansprakelijkheid

11.1. Verwerker is enkel aansprakelijk voor directe schade die het gevolg is van een toerekenbare tekortkoming in de nakoming van deze Verwerkersovereenkomst en die is ontstaan door de werkzaamheden van Verwerker. Voor indirecte schade is Verwerker niet aansprakelijk.

11.2. Onder directe schade wordt verstaan: schade geleden door Verantwoordelijke, die het directe gevolg is van verlies of verminking van persoonsgegevens, alsmede de redelijke en aantoonbare kosten die Verantwoordelijke moet maken om Verwerker ertoe te manen de Verwerkersovereenkomst deugdelijk na te komen, de redelijke en aantoonbare kosten ter vaststelling van de oorzaak en omvang van de schade waarvoor Xxxxxxxxx aansprakelijk gesteld kan worden, en de redelijke en aantoonbare kosten die Verantwoordelijke heeft moeten maken om de schade waarvoor Xxxxxxxxx aansprakelijk gesteld kan worden te voorkomen of te beperken.

11.3. Onder indirecte schade wordt verstaan: alle schade die geen directe schade is, waaronder (doch niet uitsluitend) gevolgschade, gederfde winst, gemiste besparingen, verminderde goodwill en schade door bedrijfsstagnatie.

11.4. Indien Verwerker aansprakelijk mocht zijn uit hoofde van lid 1 van het onderhavige artikel, of schade die anderszins uit de wet voortvloeit, dan zal in geen geval de totale vergoeding voor schade hoger zijn dan een bedrag gelijk aan de vergoeding(en) die Verantwoordelijke onder de Overeenkomst in drie maanden voorafgaand aan de schadebrengende gebeurtenis aan Verwerker heeft betaald, met een maximum van EUR 1.000,- incl. btw, waarbij een reeks van gebeurtenissen als één gebeurtenis geldt.

11.5. Enige aansprakelijkheid van Verwerker die voortvloeit uit de vorige leden van dit artikel ontstaat slechts nadat Verantwoordelijke Verwerker onverwijld na ontdekking van de

schade schriftelijk in gebreke stelt, waarbij Xxxxxxxxx een redelijke termijn wordt gesteld om de tekortkoming ongedaan te maken, en Verwerker ook na verloop van de gestelde termijn tekort blijft schieten in de nakoming van haar verplichtingen, tenzij nakoming door

Verwerker blijvend onmogelijk is. De ingebrekestelling dient een zo volledig en gedetailleerd mogelijke beschrijving van de tekortkoming te bevatten, zodat Verwerker in staat wordt gesteld adequaat te reageren.

11.6. De in dit artikel gestelde uitsluitingen en beperkingen van aansprakelijkheid komen te vervallen indien Verantwoordelijke bewijst dat een en ander is veroorzaakt door opzet of daaraan gelijk te stellen grove schuld van de bedrijfsleiding van Verwerker.

11.7. Iedere vordering tot schadevergoeding door Verantwoordelijke tegen Verwerker die niet gespecificeerd en expliciet is gemeld aan Verwerker, vervalt door het enkele verloop van twaalf maanden na het moment waarop de vordering is ontstaan.

Artikel 12. Duur en beëindiging

12.1. Deze Verwerkersovereenkomst is aangegaan voor de duur zoals bepaald in de Overeenkomst tussen Partijen en daarna voor de duur van de verdere samenwerking.

12.2. De Verwerkersovereenkomst kan tussentijds niet worden opgezegd.

12.3. Partijen mogen deze Verwerkersovereenkomst alleen wijzigen met wederzijdse instemming en zullen hun medewerking verlenen om de Verwerkersovereenkomst aan te passen aan eventuele nieuwe of aangepaste privacywetgeving.

12.4. Na beëindiging van de Verwerkersovereenkomst vernietigt Verwerker de van Verantwoordelijke ontvangen persoonsgegevens onverwijld, tenzij partijen anders overeen komen.

Artikel 13. Overige bepalingen

13.1. De Verwerkersovereenkomst en de uitvoering daarvan worden beheerst door het Nederlands recht.

13.2. Alle geschillen, welke tussen Partijen mochten ontstaan in verband met de Verwerkersovereenkomst, zullen worden voorgelegd aan de bevoegde rechter in het arrondissement waar Verwerker is gevestigd.

13.3. Logs en metingen gedaan door Verwerker gelden als dwingend bewijs.

13.4. In geval van strijdigheid van verschillende documenten of de bijlagen daarvan, geldt de volgende rangorde:

1. de Overeenkomst;

2. deze Verwerkersovereenkomst;

3. het Service Level Agreement;

4. de Algemene Voorwaarden;

5. eventuele aanvullende voorwaarden.

Aldus overeengekomen en getekend,

Verantwoordelijke Verwerker

Datum: Datum:

…. - …. - …………….. 21-03-2018

Naam: Naam:

Xxx Xxxxxxxx

Handtekening: Handtekening: