GDSP
Verwerkersovereenkomst
GDSP
The future is exciting
Versie 1.0 | 25-05-2018
1806019
Ready?
De ondergetekenden:
(1) VODAFONE LIBERTEL B.V., een besloten vennootschap met beperkte aansprakelijkheid, statutair gevestigd te Maastricht, en tevens kantoorhoudende aan de Xxxxxx Xxxxxxxxx 000 xx (0000 XX) Xxxxxxxxxx, geregistreerd bij de Kamer van Koophandel onder nummer 14052264, hierbij rechtsgeldig vertegenwoordigd door Xxxx xxx Xxxxxx, hierna te noemen ‘Leverancier’.
en
[Naam bedrijf] , | [toevoegen rechtsvorm bedrijf] |
[toevoegen land] , | statutair gevestigd te |
(2) ,
[toevoegen van zakelijk adres]
[plaats van statutaire zetel toevoegen] , Nederland, en tevens kantoorhoudende aan de/het, ,
geregistreerd bij de Kamer van Koophandel onder nummer [toevoegen registratienummer] , hierbij rechtsgeldig vertegenwoordigd door [naam wettelijke vertegenwoordigers toevoegen] , hierna te noemen het “Klant”.
hierna gezamenlijk ook aangeduid als de ‘Partijen’, elk individueel “Partij”.
Overwegingen
• Partijen zijn in een overeenkomst (de “Overeenkomst”) aangegaan krachtens welke Leverancier diensten (de “Diensten “) aan de Klant levert (zoals gedefinieerd in Bijlage 1 bij de onderhavige verwerkersovereenkomst).
• Bij het verlenen van de Diensten door de Leverancier aan de Klant, kan Leverancier van tijd tot tijd Persoonsgegevens verwerken.
• Voor die gevallen waarin Leverancier de Persoonsgegevens verwerkt als Verwerker namens de Klant (volgens bijlage 1 bij de onderhavige overeenkomst), willen Partijen deze verwerkersovereenkomst (inclusief de bijbehorende bijlagen) (de “Verwerkersovereenkomst”) aangaan om hun wederzijdse rechten en verplichtingen in verband met de Verwerking van de Persoonsgegevens vast te leggen.
Komen als volgt overeen:
1. Definities en bijlagen
Alle woorden met hoofdletters geschreven in deze Verwerkersovereenkomst hebben de betekenis die hieraan in de Algemene Verordening Gegevensbescherming (2016/679) is gegeven, tenzij daarvan in deze Verwerkersovereenkomst uitdrukkelijk is afgeweken.
2. Onderwerp
1. 1.Deze Verwerkersovereenkomst regelt de Verwerking van Persoonsgegevens voor zover de Leverancier optreedt als Verwerker in het kader van de Overeenkomst.
2. 2.Leverancier treedt op als Verwerker voor een deel van de door Leverancier te leveren diensten (de “Relevante Diensten “), zoals beschreven in Bijlage 1 bij deze Verwerkersovereenkomst.
3. Tenzij anders schriftelijk overeengekomen tussen Partijen, regelt deze Verwerkersovereenkomst uitdrukkelijk niet de relatie tussen Klant en Leverancier, voor zover Leverancier in het kader van de door haar onder de Overeenkomst te leveren diensten optreedt als Verwerkingsverantwoordelijke.
3. Benoeming
1. Klant stelt Leverancier aan om de Persoonsgegevens voor de zover het de Relevante diensten betreft te Verwerken. De Verwerking, met inbegrip van de door Leverancier namens de Klant uit te voeren Verweking en de instructies van de Klant aan Leverancier met betrekking tot die Verwerkingen, zijn beschreven in bijlage 1 bij deze Verwerkersovereenkomst. Leverancier handelt namens en in opdracht van de Klant bij de uitvoering van deze Verwerkingen met betrekking tot de Relevante diensten.
2. De Klant zal als enige verantwoordelijk zijn voor het bepalen van de doelstellingen en de middelen voor de Verwerking van Persoonsgegevens voor zover betrekking hebbende op de Relevante diensten.
3. De Klant zorgt ervoor dat met betrekking tot de Relevante diensten
(i) voldoet aan alle verplichtingen voor Verwerkersverantwoordelijke onder relevante gegevens bescherming en privacy wetten, verordeningen, regelgeving en codes voor praktijken die van toepassing zijn op de verwerking van persoonsgegevens, (met inbegrip van de Nederlandse persoonsgegevens Protection Act en vanaf 25 mei 2018, de algemene Data Protection verordening 2016/679, de “Toepasselijke wetgeving”),
(ii) dat de indiening van Persoonsgegevens bij de Leverancier in het kader van Relevante diensten in overeenstemming is met de Toepasselijke wetgeving;
(iii) een procedure heeft voor de uitoefening van de rechten van de Betrokkenen wier Persoonsgegevens worden verwerkt,
(iv) de Klant de Leverancier allen instrueert Persoonsgegevens te Verweken die wettig en geldig zijn verzameld en zorgt ervoor dat gebruik van dergelijke Persoonsgegevens relevant en proportioneel evenredig is.
4. De Klant vrijwaart Leverancier voor aanspraken van elke Toezichthoudende autoriteit, Betrokkene of derden in verband met de Verwerking van Persoonsgegevens in verband met de Relevante diensten, tenzij de Klant dat bewijst de vordering uitsluitend is veroorzaakt en een rechtstreeks gevolg is van een schending van deze Verwerkersovereenkomst door Leverancier.
5. De Leverancier erkent dat in verband met de Relevante diensten
(i) persoonsgegevens alleen worden Verwerkt namens de Klant en met inachtneming van de instructies van de Klant (inclusief met betrekking tot de doorgifte van Persoonsgegevens naar een derde land of een internationale organisatie) zoals overeengekomen in deze Verwerkersovereenkomst, tenzij daartoe bij wet
waaraan de Leverancier is onderworpen, waarin is geval voor zover wettelijk toegestaan, Leverancier de Klant van die wettelijke verplicht vóór de verwerking op de hoogte stelt; en
(ii) alle werknemers en contractanten in dienst genomen door de Leverancier en de Sub-verwerker Persoonsgegevens Verwerken, zich hebben verbonden alle Persoonsgegevens vertrouwelijk te Verwerken, en
(iii) zij redelijke samenwerking en bijstand verstrekt aan Klant met betrekking tot de verplichtingen van de Klant met betrekking tot de voorbereiding van gegevensbescherming effectbeoordelingen en, in voorkomend geval, voeren van overleg met de Toezichthoudende autoriteit, en
(iv) het redelijke samenwerking en bijstand verstrekt door passende technische en organisatorische maatregelen aan Klant met betrekking tot de verplichtingen van de Klant met betrekking tot aanvragen van de Betrokkenen ten aanzien van de toegang tot of het gebruik, rectificatie, uitwissing, beperking, blokkeren of verwijderen van Persoonsgegevens.
6. De Leverancier zal alleen Persoonsgegevens openbaar maken aan een derde partij, als en indien
(i) een dergelijke openbaarmaking noodzakelijk is voor het verrichten van de Relevante diensten,
(ii) dergelijke openbaarmaking is vereist door het Toepasselijke recht, een Toezichthoudende autoriteit of een gerechtelijk bevel,
(iii) aan een Sub-verwerker als bedoeld in artikel 5 van deze Verwerkersovereenkomst,
(iv) de Klant heeft toestemming gegeven voor een dergelijke openbaarmaking, en/of
(v) openbaarmaking door het verrichten van diensten door Leverancier anders dan de Relevante diensten.
7. Leverancier meldt zo spoedig mogelijk aan de Klant en in ieder geval binnen een redelijke termijn na ontvangst van een onderzoek, communicatie, verzoek, klacht of bevel door de Leverancier met betrekking tot Persoonsgegevens (een “Verzoek “) van:
(i) de Toezichthoudende autoriteit, of
(ii) elke Betrokkene ten aanzien van de toegang tot of het gebruik, rectificatie, uitwissing, beperking,
blokkeren of verwijderen van Persoonsgegevens.
Voor zover dergelijke verzoek betrekking hebben op de Relevante diensten (en dus niet op andere diensten aangeboden door Leverancier) en verder alleen voor zover openbaarmaking is toegestaan door de Toepasselijke wetten. Leverancier zal, op de kosten van de Klant, alle redelijke bijstand aan Klant verlenen zodat de Klant tijdig kan reageren op het Verzoek binnen de Toepasselijke wetgeving of reglementaire termijnen.
4. Veiligheid
Leverancier draagt er zorg voor dat gedurende de looptijd van deze Verwerkersovereenkomst de technische en organisatorische beveiligingsmaatregelen (“Veiligheidsmaatregelen”) zoals opgenomen in bijlage 1 worden geïmplementeerd en onderhouden. Klant heeft de Veiligheidsmaatregelen gelezen en bevestigt middels ondertekening van deze Verwerkersovereenkomst dat de Veiligheidsmaatregelen voldoen aan de Toepasselijke wetgeving en een passend beveiligingsniveau zijn.
5. Inbreuk op persoonsgegevens
Leverancier stelt zonder onredelijke vertraging de Klant van een inbreuk op de Persoonsgegeven in verband met Relevante diensten via e-mail naar de persoon aangeduid in bijlage 1 bij deze
Verwerkersovereenkomst op de hoogte. Leverancier verstrekt redelijke samenwerking en bijstand aan Klant met betrekking tot de verplichtingen van de Klant met betrekking tot het onderzoek naar de inbreuken op de Persoonsgegevens en de kennisgeving daarvan aan de betrokken toezichthoudende autoriteit en de betrokkenen. Het is de Klant die de rapportageverplichting heeft van elke inbreuk op
de Persoonsgegevens betreffende de Relevante diensten aan de toezichthoudende autoriteit en/of de betrokkenen.
6. Sub-verwerker
1. Klant hierbij verleent Leverancier algemene toestemming aan Leverancier om derde partijen in te schakelen bij de uitvoering van de verplichtingen uit deze Verwerkersovereenkomst, namens Leverancier op te treden als ook tot het overdragen van alle of een deel van de Verwerkingsactiviteiten aan sub- processors (elk een “ Sub-verwerker”).
2. Leverancier blijft hoofdelijk verantwoordelijk voor de nakoming door de Sub-verwerker van Leverancier van verplichtingen uit hoofde van deze Verwerkersovereenkomst.
3. Leverancier zal met iedere Sub-verwerker contractuele afspraken maken, en daarin overeenkomen dat de Sub-verwerker een vergelijkbaar niveau van bescherming van Persoonsgegevens garandeert als dat Partijen in deze Verwerkersovereenkomst overeengekomen zijn.
4. Leverancier stelt Klant van beoogde materiële wijzigingen inzake de toevoeging of vervanging van een Sub-verwerker in kennis, om de Klant de mogelijkheid te bieden bezwaar te maken tegen dergelijke wijzigingen. Als de Klant redelijke bezwaar heeft tegen dergelijke wijzigingen, houdt de Leverancier rekening met dergelijke redelijke bezwaren van de Klant bij haar besluit of om al dan niet door te gaan met de beoogde materiële wijzigingen, toevoeging of vervanging van de Sub-verwerker.
7. Verwerking van persoonsgegevens buiten de eer
Voor zover nodig voor de efficiënte uitvoering van de Relevante diensten, verzoekt Klant Leverancier om
de Persoonsgegevens van de Relevante diensten te verwerken buiten de EER of in een gebied dat niet is aangewezen door de Europese Commissie met een gewaarborgd adequaat niveau van bescherming conform de Toepasselijke wetgeving. In een dergelijk geval ziet Xxxxxxxxxxx erop toe dat zij voldoende maatregelen voor de rechtmatige doorgifte van dergelijke gegevens buiten de EER, overeenkomstig de
Toepasselijke wetgeving neemt (inclusief hoofdstuk V van de Data Protection verordening). Klant verleent alle redelijke bijstand aangevraagd door Leverancier in het kader van de uitvoering van bovengenoemde voldoende maatregelen, met inbegrip van de toestemming voor de overdracht van de betrokkenen of aangaan van standaardgegevens vrijwaringsclausules aangenomen door de Europese Commissie.
8. Ingangsdatum en duur
1. Deze Verwerkersovereenkomst vangt aan op de datum van de ondertekening en eindigt op de beëindigingsdatum van de Overeenkomst.
2. Onverminderd het bepaalde in het derde lid van dit artikel en het bepaalde in de Overeenkomst, komen Partijen overeen dat binnen een redelijke termijn na de beëindigingsdatum van deze
Verwerkersovereenkomst, Leverancier en eventuele Sub Verwerkers, naar keuze van de Klant, alle Persoonsgegevens retour stuurt aan de Klant of veilig vernietigt en aantoont dat het deze maatregelen zijn genomen.
3. Leverancier zal niet overgaan tot het retourneren of te vernietigen van (alle exemplaren) Persoonsgegevens overeenkomstig het bepaalde in het tweede lid van dit artikel, in de navolgende gevallen:
(i) de toepasselijke EU of EU lidstaat wet verbiedt het retoursturen of vernietigen van Persoonsgegevens,
(ii) deze Persoonsgegevens vereist zijn voor het verrichten door Leverancier van andere diensten dan de Relevante diensten (d.w.z. het deel van de diensten waar de Leverancier Verwerkersverantwoordelijke is), en/of
(iii) Persoonsgegevens elektronisch wordt gehouden door Leverancier in gedeelde archief of back-up systemen overeenkomstig algemene systemen archivering of back-up beleid van Leverancier.
Na beëindiging van deze Verwerkersovereenkomst blijven de voorwaarden van deze
Verwerkersovereenkomst van toepassing op de Persoonsgegevens als bedoeld in dit lid. In het geval van het bepaalde in sub (i), zal Leverancier overgaan tot vernietiging of retourzending van de Persoonsgegevens zodra dat wettelijk is toegestaan.
9. Audit
1. Eenmaal per kalenderjaar is de Klant gerechtigd een derde partij voor het uitvoeren van een audit te benomen, om te controleren of de Leverancier voldoet aan de verplichtingen uit deze
Verwerkersovereenkomst. Leverancier zal haar redelijke medewerking verlenen, benodigd voor het uitvoeren van een dergelijke audit. De Klant zal dragen alle kosten en uitgaven van de audit en vergoedt Leverancier voor alle kosten die de Leverancier in het kader van de audit en deelt alle resultaten van de audit met Leverancier.
2. Partijen komen overeen de bevindingen van de audit om vertrouwelijk te behandelen. Xxxxx garandeert aan Leverancier dat de door de Klant in te schakelen derde partij zijn gebonden aan geheimhoudingsverplichtingen uit deze Verwerkersovereenkomst en de Overeenkomst.
3. Leverancier te allen tijde bevoegd om onderdelen uit het auditrapport te verwijderen die niet vereist zijn om te verifiëren of de Leverancier voldoet aan haar verplichtingen uit hoofde van deze Verwerkersovereenkomst.
4. De Klant dient aanvraag tot een audit tijdig bij de Leverancier aan te kondigen. Klant verstrekt ten minste vier (4) weken vóór de datum van de voorgestelde audit aan Leverancier een gedetailleerd auditplan met een beschrijving van het voorgestelde scope, de duur en de begindatum van de audit. Voor het daadwerkelijk afnemen van de audit is de voorafgaande goedkeuring van de Leverancier vereist.
5. Leverancier kan het verzoek tot het doen een audit door Klant afwijzen als Leverancier redelijke bedenkingen heeft, dat:
(i) de audit veiligheidsrisico’s of de beschikbaarheid van de diensten aan andere klanten van Leverancier in gevaar brengt,
(ii) de uitvoering van de audit leidt de schending van toepasselijke wet- en regelgeving, de AVG in het bijzonder,
(iii) de naleving van de verplichtingen door Leverancier uit de Verwerkersovereenkomst kan worden geverifieerd door overlegging van de bewijzen van onafhankelijk derde partijen dat Leverancier handelt conform de Toepasselijke wetgeving en deze Verwerkersovereenkomst, en/of
(iv) uitvoeren van de audit leidt tot onredelijke gevolgen voor de bedrijfsvoering van de Leverancier.
6. Op verzoek van Xxxxx zal Leverancier alle redelijkerwijs noodzakelijke gegevens overleggen om aan te tonen dat Leverancier de verplichtingen uit deze Verwerkersovereenkomst naleeft.
10. Aansprakelijkheid
1. De bepalingen van de Overeenkomst met betrekking tot de aansprakelijkheid van de Leverancier zijn integraal van toepassing in verband met de Verwerking van Persoonsgegevens die onder deze Verwerkersovereenkomst.
2. Aanvullend dan wel in afwijking op het bepaalde in de Overeenkomst is Leverancier in geen geval aansprakelijk voor indirecte schade, immateriële schade, gevolgschade, boetes, gevolgschade, gederfde winst, verloren besparingen, verlies van goodwill, schade als gevolg van onderbrekingen van de dienstverlening van Klant, schade in verband met of voortvloeiend uit de Verwerking van Persoonsgegevens door Leverancier.
11. Overige bepalingen
1. 1.Deze Verwerkersovereenkomst regelt de Verwerking van Persoonsgegevens door Leverancier namens de Klant in het kader van de Relevante Diensten en vervangt alle voorafgaande overeenkomsten, afspraken, onderhandelingen en discussies van Partijen over dit onderwerp.
2. 2.Deze Verwerkersovereenkomst vormt een integraal onderdeel van de Overeenkomst. In het geval van een tegenstrijdigheid tussen de bepalingen in deze Verwerkersovereenkomst en de bepalingen van de Overeenkomst gelden de bepalingen van deze Verwerkersovereenkomst.
3. Op deze Verwerkersovereenkomst is Nederlands recht van toepassing. Eventuele geschillen die voortvloeien uit of verband houden met deze Verwerkersovereenkomst wordt beslecht conform de forumkeuze als geregeld in de Overeenkomst.
Namens Vodafone Libertel B.V Namens
[Naam klant]
Handtekening
Xxxx xxx Xxxxxx Naam:
Executive Director B2B Functie:
25-05-2018 Datum:
Amsterdam Plaats:
19-jún-2018
Bijlage 1 - Overzicht verwerking van persoonsgegevens
Deze Bijlage 1, met inbegrip van de onderliggende bijlagen, beschrijft de soorten Persoonsgegevens en de doeleinden waarvoor die Persoonsgegevens kunnen worden Verwerkt door de Leverancier. Ook bevat deze Bijlage 1 een beschrijving van het doel waarvoor Persoonsgegevens mogen worden Verwerkt, de duur dat de Persoonsgegevens mogen worden Verwerkt en de veiligheidseisen die moeten worden toegepast op de Verwerking van Persoonsgegevens.
A. Partijen
Deze Verwerkersovereenkomst is een bijlage bij
[naam overeenkomst waaronder de diensten worden geleverd]
(de “Overeenkomst”) van [datum toevoegen] tussen Klant en Leverancier.
B. Instructies
Klant heeft Leverancier het Verwerken van de Persoonsgegevens aan Leverancier opgedragen uitsluitend voor zover het de levering van de Relevante diensten, zoals hieronder verder beschreven in deze bijlage 1, betreft.
De Relevante diensten:
De verwerking van persoonsgegevens die is noodzakelijk voor en beperkt tot de volgende diensten:
• Global Data Service Platform (GDSP)
C. Persoonsgegevens Betrokkenen:
• Klanten
• Medewerkers
D. Categorieën van persoonsgegevens:
GDSP | |
Voornaam, achternaam | Noodzakelijk |
E-mail adres | Ja, van de financiële afdeling, voor de facturatie. Ook telefoonnummer wordt hier gevraagd. Er zijn ook e-mail adressen nodig om in te loggen in de portal (1 of meer). |
Adres | Ja, nodig voor levering en facturatie. |
Geslacht | Ja, om het contract op te stellen |
Age | Nee |
Data verkeer | ja |
IP-adres | Ja, voor persoonlijke API |
Kamer van Koophandel | Ja |
Bankrekening | Ja |
Speciale categorieën van persoonlijke gegevens (bijv. gezondheid, seksuele voorkeur, etc.) | Nee |
Andere persoonlijke gegevens | Nee |
* Optioneel, afhankelijk van afspraken met klant
Verwerkingshandelingen:
• Contactgegevens voor melden van onderhoud, storingen en commerciële afspraken
• Eindgebruikersinformatie die nodig is voor het kopen en verzenden van de mobiele hardware. Een voucher aangevraagd door de klant om te worden verzonden naar het e-mailadres van de eindgebruiker wordt gebruikt om de vouchercode te communiceren en in te loggen in de portal. Registratie van eindgebruikers in het portaal die nodig is voor de verzending van de hardware.
• Alleen op klantniveau, niet op eindgebruikersniveau, afgezien van de IMEI-nummers op dit moment los van de IMEI-nummers die nodig zijn voor lease. Registratie van het eigendom van de eindgebruikers van de IMEI’s gebeurt momenteel niet, maar kan op verzoek van de klant gedaan worden.
E. Mededelingen in geval van inbreuk op de persoonsgegevens
De contactpersoon zoals geregistreerd bij het aangaan van het contract en zoals bekend bij onze support organisatie en in de systemen.
F. Veiligheidsmaatregelen
Conform de verplichtingen uit de AVG spannen wij ons in om een adequaat beveiligingsniveau bij de
verwerking van persoonsgegevens te handhaven, dat gelet op de stand van de techniek voldoende is om ongeoorloofde toegang tot, aanpassing, openbaarmaking of verlies van persoonsgegevens te voorkomen.
De diensten van VodafoneZiggo zijn gecertificeerd volgens ISO 9001 en ISO 27001.