Verwerkersovereenkomst
Verwerkersovereenkomst
1. [Naam Verwerkingsverantwoordelijke], gevestigd aan de [adres]) te [plaats] en ingeschreven in het register van de Kamer van Koophandel onder nummer [KvK- nummer],in deze rechtsgeldig vertegenwoordigd door [titel, naam en functie] (hierna: “Verwerkingsverantwoordelijke”); en
2. Lesterhuis Training & Consultancy, gevestigd aan de Zaalstraat 3A te Leende en ingeschreven in het register van de Kamer van Koophandel onder nummer 6137613 in deze rechtsgeldig vertegenwoordigd door G.J.J. Xxxxxxxxxx - Xxxxxxxx] (hierna “Verwerker”).
hierna gezamenlijk ook aan te duiden als: “Partijen” en afzonderlijk als “Partij”.
OVERWEGENDE DAT:
A. Verwerkingsverantwoordelijke is de natuurlijke persoon of rechtspersoon, die alleen of samen met anderen, het doel van en de middelen voor de Verwerking van Persoonsgegevens vaststelt;
B. De Verwerker is degene die de betreffende persoonsgegevens verwerkt in opdracht van de Verwerkingsverantwoordelijke zonder dat zij aan het rechtstreekse gezag van de Verwerkingsverantwoordelijke is onderworpen, en is aan te merken als Verwerker in de zin van de AVG;
C. Partijen groot belang hechten aan het beschermen van de privacy van de betrokkenen op wie de te verwerken persoonsgegevens betrekking hebben;
D. Partijen op grond van artikel 28 van de AVG, schriftelijke afspraken hebben gemaakt over de voorwaarden waaronder de Verwerker de Persoonsgegevens voor de Verwerkingsverantwoordelijke gaat verwerken.
Komen het volgende overeen:
Artikel 1. Definities
1 Autoriteit: De Autoriteit Persoonsgegevens die bevoegd is om bindende aanwijzingen en boetes op te leggen.
2 Betrokkene: de geïdentificeerde of identificeerbare natuurlijke persoon als bedoeld in artikel 4 sub 1 AVG op wie de Persoonsgegevens betrekking hebben.
3 Verwerkersovereenkomst: Deze overeenkomst, die ten behoeve van de verwerking van persoonsgegevens tussen partijen is overeengekomen.
4 Datalek: Inbreuk op de overeengekomen beveiliging, waardoor de Persoonsgegevens zijn blootgesteld aan verlies of verwerking.
5 Overeenkomst: een separate tussen Verwerkingsverantwoordelijke en Verwerker gesloten (dienstverlenings-)overeenkomst met het gevolg dat de Verwerker de door
1 van 8
Verwerkingsverantwoordelijke verzamelde persoonsgegevens bewerkt in het kader van de AVG.
6 Persoonsgegevens: gegevens betreffende één of meerdere geïdentificeerde of identificeerbare natuurlijke personen.
7 Verwerking: een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens als bedoeld in artikel 4 lid 8 van de AVG
Artikel 2. Onderwerp van overeenkomst
1 Verwerkingsverantwoordelijke verleent met deze Verwerkersovereenkomst opdracht aan Verwerker voor het verwerken van Persoonsgegevens zoals nader gespecificeerd in de Overeenkomst, welke opdracht Verwerker aanvaardt. De Verwerkersovereenkomst bevat nadere afspraken inzake de Verwerking van Persoonsgegevens ten behoeve van de tussen Partijen vastgestelde Overeenkomst.
2 Partijen leggen in deze Verwerkersovereenkomst vast welke technische en organisatorische beveiligingsmaatregelen Verwerker ten behoeve van de Verwerking van gegevens van de Verwerkingsverantwoordelijke zal treffen om de Persoonsgegevens te beveiligen tegen verlies en onrechtmatige verwerking.
Artikel 3. Ingangsdatum en duur
1 Deze Verwerkersovereenkomst gaat in op het moment van ondertekening en duurt voort zolang de Verwerker als Verwerker van persoonsgegevens optreedt in het kader van de door de Verwerkingsverantwoordelijke ter beschikking gestelde persoonsgegevens en is gekoppeld aan de duur van de Overeenkomst.
2 Indien de Overeenkomst is beëindigd, eindigt ook deze verwerkersovereenkomst en is artikel 9 van toepassing.
Artikel 4. Verplichtingen Verwerker
1 Verwerker verplicht zich de Persoonsgegevens enkel te verwerken in het kader van de tussen Partijen gesloten Overeenkomst en de Persoonsgegevens voor geen enkel ander doel te gebruiken of aan te wenden. Verwerker zal de Persoonsgegevens verwerken op behoorlijke en zorgvuldige wijze en in overeenstemming met de AVG en andere toepasselijke regelgeving betreffende de Verwerking van Persoonsgegevens.
2 Verwerker verplicht zich om daartoe de en organisatorische beveiligingsmaatregelen te nemen als bedoeld in artikel 4 en 7.
3 Verwerker zal Persoonsgegevens die in het kader van de Overeenkomst aan Verwerker ter beschikking zijn gesteld niet langer bewaren dan noodzakelijk is voor de uitvoering van deze Overeenkomst; of om een op Verwerker rustende wettelijke verplichting na te komen.
4 Verwerker is gemachtigd om derden in te schakelen bij de uitvoering van deze Verwerkersovereenkomst onder de uitdrukkelijke voorwaarde dat zij de verplichtingen uit deze verwerkersovereenkomst van toepassing verklaren op de overeenkomst dan wel als
2 van 8
bijlage bij de overeenkomst met deze derde partij van toepassing verklaren. Verwerker licht de verwerkingsverantwoordelijke in welke derde partijen worden ingeschakeld bij de verwerking. De verwerkingsverantwoordelijke heeft de mogelijkheid bezwaar te maken tegen het inschakelen van een specifieke derde op gronden die verband houden met de bescherming van persoonsgegevens. De verwerkingsverantwoordelijke zal niet op onredelijke gronden bezwaar maken of onredelijke voorwaarden verbinden aan het niet maken van bezwaar.
5 Op organisatorisch vlak is de Verwerker verplicht om:
a) Met diens personeel dan wel ingeschakelde hulppersonen overeenkomsten aan te gaan waarin de intentie van deze Verwerkersovereenkomst tot uiting komt en daar uitvoering aan wordt gegeven;
b) Xxxxx die gegevens verwerken in opdracht van de Verwerker, te laten beschikken over de juiste autorisatie en dat enkel geautoriseerde personen toegang hebben tot de gegevens van Verwerkingsverantwoordelijke;
c) Vast te leggen op welke wijze wordt omgegaan met een Datalek, welke personen worden ingeschakeld en op welke wijze de Verwerkingsverantwoordelijke op de hoogte wordt gesteld;
d) Partijen zijn ten aanzien van Personeel, dan wel een ieder ander die is ingeschakeld ter uitvoering van deze Overeenkomst verplicht ervoor zorg te dragen dat er gewerkt wordt conform de AVG.
e) mee te werken aan een door de Autoriteit uitgevoerd onderzoek in het kader van een Datalek, 4.3 van dit artikel is van overeenkomstige toepassing.
f) mee te werken aan een door de Autoriteit uitgebrachte bindende aanwijzing op basis van een geconstateerd Datalek.
6 De Verwerker houdt een actueel register bij van de door hem ingeschakelde derden en onderaannemers waarin de identiteit, vestigingsplaats en een beschrijving van de werkzaamheden van de derden of onderaannemers zijn opgenomen.
Artikel 5. Verplichtingen Verwerkingsverantwoordelijke
1 Verwerkingsverantwoordelijke spant zich in om de Persoonsgegevens op een wijze te (doen) verwerken die in overeenstemming is met vigerende regelgeving en de AVG. Verwerkingsverantwoordelijke garandeert dat de Persoonsgegevens enkel worden verwerkt ten behoeve van de eigen noodzaak om deze te verwerken en geen gegevens te verwerken die buiten deze noodzaak vallen.
2 De Verwerkingsverantwoordelijke waarborgt jegens de Verwerker dat de Verwerkingsverantwoordelijke binnen de kaders van de vigerende regelgeving en de AVG gerechtigd is de persoonsgegevens te verwerken dan wel te doen verwerken.
3 Verwerkingsverantwoordelijke is jegens de Verwerker verplicht om correct om te gaan met wachtwoorden, sleutels en dergelijke en deze verplichting ook aan te gaan met alle personen die om wat voor reden dan ook beroepsmatig toegang krijgen tot de Persoonsgegevens.
4 Verwerkingsverantwoordelijke draagt ervoor zorg dat alleen geautoriseerde personen en afdelingen toegang kunnen verkrijgen voor de voor hen relevante Persoonsgegevens.
3 van 8
Artikel 6: Geheimhouding
1 Verwerker garandeert dat te allen tijde conform wettelijke geheimhoudings- verplichtingen uit hoofde van de AVG gehandeld wordt bij de Verwerking van Persoonsgegevens namens Verwerkingsverantwoordelijke.
2 De in dit artikel bedoelde geheimhoudingsplicht geldt niet voor zover Verwerkingsverantwoordelijke uitdrukkelijk toestemming heeft gegeven om de Persoonsgegevens aan een Derde te verstrekken, indien het verstrekken van de Persoonsgegevens aan een Derde noodzakelijk is gezien de aard van de door Verwerker aan Verwerkingsverantwoordelijke te verlenen diensten, of indien er een wettelijke verplichting bestaat om de Persoonsgegevens aan een Derde te verstrekken.
Artikel 7. Beveiligingsmaatregelen en controle
1 De Verwerker neemt rekening houdend met de stand van de techniek en de uitvoeringskosten passende technische en organisatorische maatregelen om de persoonsgegevens welke worden verwerkt ten dienste van de Verwerkingsverantwoordelijke te beveiligen en beveiligd te houden tegen verlies of tegen enige vorm van onrechtmatige verwerking.
2 De te nemen veiligheidsmaatregelen zijn opgenomen in bijlage 2 bij deze Verwerkersovereenkomst.
3 De Verwerkingsverantwoordelijke is te allen tijde gerechtigd de verwerking van persoonsgegevens op eigen kosten te (doen) controleren. De Verwerker is verplicht - voor zover dat redelijkerwijze van haar gevergd kan worden -de Verwerkingsverantwoordelijke of, de onder geheimhouding, controlerende instantie in opdracht van Verwerkingsverantwoordelijke toe te laten en verplicht medewerking te verlenen zodat de controle daadwerkelijk uitgevoerd kan worden.
4 De Verwerkingsverantwoordelijke zal de controle slechts (laten) uitvoeren na een voorafgaande schriftelijke melding aan de Verwerker.
5 De Verwerker verbindt zich om binnen een door de Verwerkingsverantwoordelijke te bepalen redelijke termijn de Verwerkingsverantwoordelijke, of de door de Verwerkingsverantwoordelijke ingeschakelde derde, te voorzien van de verlangde informatie. Hierdoor kan de Verwerkingsverantwoordelijke zich een oordeel vormen over de naleving door de Verwerker van deze Verwerkersovereenkomst. De Verwerkingsverantwoordelijke en de eventueel door de Verwerkingsverantwoordelijke ingeschakelde derde, is gehouden alle informatie betreffende deze controles vertrouwelijk te behandelen.
6 Wanneer bij deze controle blijkt dat Xxxxxxxxx niet aan het bepaalde in de Overeenkomst en de Verwerkersovereenkomst voldoet, zal Verwerker onverwijld alle redelijkerwijs noodzakelijke maatregelen nemen om te zorgen dat zij hieraan alsnog voldoet. Verwerker houdt Verwerkingsverantwoordelijke hiervan schriftelijk op de hoogte.
7 De Verwerker rapporteert jaarlijks over de opzet en werking van het stelsel van maatregelen en procedures, gericht op naleving van deze Verwerkersovereenkomst aan de verwerkingsverantwoordelijke.
4 van 8
Artikel 8. Datalekken en beveiligingsincidenten
1. Verwerker stelt Verwerkingsverantwoordelijke zonder onredelijke vertraging op de hoogte indien zich naar haar oordeel een Datalek of beveiligingsincident heeft voorgedaan. Verwerker zal daarbij alle inlichtingen verschaffen die de Verantwoordelijke mogelijk maakt om het incident te kunnen beoordelen. De verwerker handelt daarbij tenminste conform het bepaalde in artikel 33 van de AVG.
2. Verwerker zal die maatregelen treffen die binnen haar invloedssfeer liggen om herhaling of te kans daarop uit te sluiten dan wel te beperken. Verwerker zal waar mogelijk voorstellen doen ten aanzien van maatregelen die naar haar oordeel binnen de invloedssfeer van de verwerkingsverantwoordelijke liggen.
3. De Verwerker zal het doen van meldingen aan de toezichthouder(s) overlaten aan de Verwerkingsverantwoordelijke.
4. De Verwerker zal alle noodzakelijke medewerking verlenen aan het zo nodig, op de kortst mogelijke termijn, verschaffen van aanvullende informatie aan de toezichthouder(s) en/of betrokkene(n) tegen redelijke vergoeding.
5. De Verwerker houdt een gedetailleerd logboek bij van alle inbreuken op de beveiliging, evenals de maatregelen die in vervolg op dergelijke inbreuken zijn genomen en geeft daar op eerste verzoek van Verwerkingsverantwoordelijke inzage in.
Artikel 9: Procedure rechten betrokkenen
1. Een klacht of verzoek van een Betrokkene met betrekking tot de Verwerking van de Persoonsgegevens als bedoeld in artikel 2 wordt door de Verwerker onverwijld doorgestuurd naar de Verwerkingsverantwoordelijke, die verantwoordelijk is voor de afhandeling van het verzoek.
2. Verwerker verleent Verwerkingsverantwoordelijke – voor zover redelijkerwijs mogelijk - volledige medewerking om binnen de wettelijke termijnen te voldoen aan de verplichtingen op grond van de AVG, meer in het bijzonder de rechten van Betrokkenen zoals een verzoek om inzage, verbetering, aanvulling, verwijdering of afscherming van Persoonsgegevens. Partijen zullen te goeder trouw overleggen over de redelijke verdeling van de eventuele kosten die hiermee gemoeid zijn.
Artikel 10: Verwerking buiten de Europese Economische Ruimte
1. Partijen zien er op toe dat voor zover Persoonsgegevens buiten de Europese Economische Ruimte (verder: EER) worden Verwerkt, dit alleen plaatsvindt conform wettelijke voorschriften, en eventuele verplichtingen die in dit verband op Verwerkingsverantwoordelijke rusten. Indien gegevens buiten de EER worden verwerkt wordt dit in Bijlage 1 aangegeven, inclusief een opgave van de landen waar de gegevens worden verwerkt.
5 van 8
Artikel 11: Bewaartermijnen en vernietiging Persoonsgegevens
1 Verwerkingsverantwoordelijke zal Verwerker adequaat informeren over (wettelijke) bewaartermijnen die van toepassing zijn op de Verwerking van Persoonsgegevens door Verwerker. Verwerker zal de Persoonsgegevens als bedoeld in artikel 2 niet langer verwerken dan overeenkomstig deze bewaartermijnen.
2 Verwerkingsverantwoordelijke verplicht Verwerker om de in opdracht van Verwerkingsverantwoordelijke Verwerkte Persoonsgegevens als bedoeld in artikel 2 bij de beëindiging van de Verwerkersovereenkomst te (doen) vernietigen, tenzij de Persoonsgegevens langer bewaard moeten worden, zoals in het kader van (wettelijke) verplichtingen, dan wel op verzoek van de Verwerkingsverantwoordelijke. De Verwerkingsverantwoordelijke kan op eigen kosten een controle laten uitvoeren of vernietiging heeft plaatsgevonden.
3 Verwerker zal Verwerkingsverantwoordelijke (schriftelijk of elektronisch) bevestigen dat vernietiging van de Verwerkte persoonsgegevens heeft plaatsgevonden.
4 Verwerker zal alle Subverwerkers die betrokken zijn bij de Verwerking van de Persoonsgegevens op de hoogte stellen van een beëindiging van de Verwerkersovereenkomst en zal waarborgen dat alle Subverwerkers de Persoonsgegevens (laten) vernietigen.
Artikel 12. Beëindiging en wijziging van de Verwerkersovereenkomst
1 Deze Verwerkersovereenkomst eindigt van rechtswege op het moment dat de Overeenkomst eindigt, en/of wordt ontbonden op grond van de in de Overeenkomst opgenomen bepalingen inzake beëindiging en/of ontbinding.
2 Indien om wat voor reden dan ook de Verwerker na beëindiging van de Overeenkomst nog Persoonsgegevens verwerkt als gevolg van de door Verwerkingsverantwoordelijke verstrekte gegevens in het kader van de Overeenkomst dan is Verwerker gehouden de bepalingen in deze Verwerkersovereenkomst post-contractueel op te volgen totdat de Verwerking correct is beëindigd of overgedragen aan een door de Verwerkingsverantwoordelijke aangewezen derde dan wel de gegevens te vernietigen op een wijze conform de AVG.
3 Wijziging van de Verwerkersovereenkomst of aanvullingen daarop, bijvoorbeeld maar niet enkel voortvloeiend uit wijzigingen in de te verwerken persoonsgegevens, zijn slechts geldig indien deze schriftelijk zijn overeengekomen in een door beide partijen ondertekende wijzigingsovereenkomst, tenzij zij rechtstreeks voortvloeien uit wet- en regelgeving.
4 Indien de Autoriteit vast stelt dat er sprake is van opzettelijke of grove nalatigheid bij de Verwerking van de gegevens door de Verwerker dan is de Verwerkingsverantwoordelijke bevoegd de Verwerkersovereenkomst direct te beëindigen, zonder gerechtelijke tussenkomst, met als gevolg dat ook de Overeenkomst per direct wordt beëindigd.
6 van 8
Artikel 13: Tegenstrijdigheid en wijziging Verwerkersovereenkomst
1 In het geval van tegenstrijdigheid tussen de bepalingen uit deze Verwerkersovereenkomst en de bepalingen van de Product- en Dienstenovereenkomst, dan zullen de bepalingen van deze Verwerkersovereenkomst leidend zijn.
2 Indien Partijen van de artikelen in de Verwerkersovereenkomst door omstandigheden moeten afwijken, of deze willen aanvullen, dan zullen deze wijzigingen en/of aanvullingen door Partijen worden beschreven en gemotiveerd in een overzicht dat als nieuwe bijlage aan deze Verwerkersovereenkomst zal worden gehecht. Het bepaalde in dit lid geldt niet voor aanvullingen en/of wijzigingen van de Bijlagen 1 en 2.
3 Bij belangrijke wijzigingen in het product en/of de (aanvullende) diensten die van invloed zijn op de Verwerking van de Persoonsgegevens wordt, alvorens de Verwerkingsverantwoordelijke de keuze hiertoe aanvaardt, de Verwerkingsverantwoordelijke in begrijpelijke taal geïnformeerd over de consequenties van deze wijzigingen. Onder belangrijke wijzigingen wordt in ieder geval verstaan: de toevoeging of wijziging van een functionaliteit die leidt tot een uitbreiding ten aanzien van de te Verwerken Persoonsgegevens, de doeleinden waaronder de Persoonsgegevens worden Verwerkt en het inschakelen van een (andere) Subverwerker. De wijzigingen zullen in Bijlage 1 worden opgenomen.
4 In het geval enige bepaling van deze Verwerkersovereenkomst nietig, vernietigbaar of anderszins niet afdwingbaar is of wordt, blijven de overige bepalingen van deze Verwerkersovereenkomst volledig van kracht. Partijen zullen in dat geval indien nodig, met elkaar in overleg treden om de nietige, vernietigbare of anderszins niet afdwingbare bepaling te vervangen door een uitvoerbare alternatieve bepaling. Daarbij zullen partijen zoveel mogelijk rekening houden met het doel en de strekking van de nietige, vernietigde of anderszins niet afdwingbare bepaling.
Artikel 14. Overdracht
1 Het is Partijen niet toegestaan rechten en/of verplichtingen uit deze Verwerkingsovereenkomst aan (een) derde(n) over te dragen, te bezwaren of in te brengen in een maatschap of andere rechtspersoon zonder de voorafgaande instemming van de andere Partij.
2 Partijen zullen op grond van deze Verwerkersovereenkomst vereiste toestemming voor overdracht niet op onredelijke gronden onthouden en het geven van deze toestemming niet onredelijk vertragen.
Artikel 15. Overige bepalingen
1 Partijen komen hierbij overeen dat zij onverwijld in overleg zullen treden, indien blijkt dat wetten en/of regelgeving verplichtingen oplegt op één of beide van Partijen waarin niet is voorzien bij deze Verwerkersovereenkomst.
2 Enige ondersteuning of enige andere aanvullende dienstverlening die Verwerker op grond van deze Verwerkersovereenkomst dient te verlenen, of die wordt verzocht door Verwerkingsverantwoordelijke, inclusief alle verzoeken tot aanvullende informatie, zullen in rekening worden gebracht bij Verwerkingsverantwoordelijke
3 De overwegingen maken onderdeel uit van deze Verwerkersovereenkomst.
7 van 8
Artikel 16 Slotbepalingen
1 Partijen zullen zich inspannen conflicten in onderling overleg op te lossen. Hierbij is inbegrepen de mogelijkheid het geschil te beëindigen door een in onderling overleg vast te stellen mediation of arbitrage.
2 Op deze Verwerkersovereenkomst, alle daaruit voortvloeiende rechtsverhoudingen en alle geschillen die daaruit mochten voortvloeien of daarmee mochten samenhangen, is uitsluitend Nederlands recht van toepassing.
3 Ieder geschil tussen partijen ter zake van deze Verwerkersovereenkomst worden beslist door de bevoegde rechter in Nederland.
Aldus opgemaakt in tweevoud op [datum opmaakt] te Leende, Ingangsdatum Overeenkomst: [datum].
Ondertekening
[naam organisatie] Lesterhuis Training & Consultancy Verwerkingsverantwoordelijke Verwerker
[naam] Xxxxx Xxxxxxxxxx
8 van 8
Bijlage 1 Verwerkingsgegevens buiten de EER
Bij LT&C worden géén gegevens verwerkt buiten de EER.
9 van 8
Bijlage 2 Veiligheidsmaatregelen
1. Inlog op leeromgevingen gebeurd middels unieke wachtwoorden
2. De wachtwoorden worden opgeslagen in Keepass
3. De laptop van LT&C is extra beveilig met Bitlocker.
4. De laptop van LT&C bevat een unieke gebruikersnaam en wachtwoord.
5. Bestanden die op OneDrive staan zijn alleen toegankelijk via unieke inlog en 2FA.
6. Het LT&C supportsysteem is beveiligd met unieke inlog en SSL encryptie.
Het systeem wordt onderhouden door Supportsystem ISO9001 Security certified by Linode - locatie Londen - leverancier: Supportsystem
7. De LT&C Moodle leeromgeving is beveiligd met unieke inlog en SSL encryptie.
Het systeem wordt onderhouden door Avetica B.V. ISO27001. Met deze partij is een verwerkersovereenkomst afgesloten. Indien klanten gebruik maken van dit systeem worden gegevens zoals voornaam, achternaam, E-mail daar opgeslagen. Accounts worden na 1 jaar niet inloggen automatisch opgeschoond.
8. De LT&C Wordpress site heeft een unieke inlog en SSL encryptie.
Het systeem wordt onderhouden door Avetica B.V. ISO27001. Met deze partij is een verwerkersovereenkomst afgesloten. Op dit systeem worden géén klantgegevens opgeslagen.
9. De nieuwsbrieven van LT&C worden verzonden door Xxxxxxxxx. Inlog is uniek en de site is SSL encryptie beveiliging. Het systeem wordt onderhouden door Xxxxxxxxx zelf. Met deze partij is een verwerkersovereenkomst afgesloten. Op dit systeem worden klanten automatisch aangemeld voor de nieuwsbrief. De opgeslagen gegevens zijn voor -en achternaam en e-mail. De nieuwsbrief heeft een opt-in en opt-out optie.
10. LT&C gebruikt voor boekhouding MoneyMonk. Toegang tot het systeem is middels unieke login en 2FA. Het systeem wordt onderhouden door MoneyMonk. Met deze partij is een verwerkersovereenkomst afgesloten. Op dit systeem worden klantengegevens opgeslagen ten behoeve van administratieve doeleinde (urenregistratie, facturatie en bankzaken).
10 van
8