Verwerkersovereenkomst

Verwerkersovereenkomst

Versie 2022-11

Partijen:

1. Het bedrijf                            

statutair gevestigd te                       en kantoor houdende aan de

                             , te dezen rechtsgeldig vertegenwoordigd door                                  ,

hierna te noemen “Verwerkingsverantwoordelijke”;

en

2. in-bizniz b.v. statutair gevestigd te Limmen en kantoor houdende aan de

Maatlat 15-E, 1906 BL te Limmen, te dezen rechtsgeldig vertegenwoordigd door de heer X.X. Xxxxxxx

hierna te noemen “Verwerker”

hierna gezamenlijk te noemen: ‘Partijen’

OVERWEGENDE DAT

A. Partijen zijn overeengekomen dat Verwerker ten behoeve van Verwerkingsverantwoordelijke zal optreden als intermediair op het gebied van zakelijke en particuliere verzekeringen. In het kader van deze overeenkomst zal Verwerker ondersteunende dienstverlening aan Verwerkersverantwoordelijke bieden zoals administratief beheer, schadeafhandeling, muteren in verzekeringscontracten en leveren van ICT-diensten;

B. Verwerker verkrijgt in het kader van de uitvoering van haar werkzaamheden personeelsgegevens van Verwerkingsverantwoordelijke;

C. Partijen verplicht zijn op grond van de geldende privacy wet- en regelgeving om afspraken te maken en vast te leggen met betrekking tot de verwerking van Persoonsgegevens door Verwerker;

D. de bepalingen van deze Verwerkersovereenkomst vóór gaan op alle andere afspraken die tussen Partijen gelden en betrekking hebben op de verwerking van Persoonsgegevens door Verwerker voor Verwerkingsverantwoordelijke.

KOMEN ALS VOLGT OVEREEN:

Artikel 1. Definities

1.1 Naast de wettelijke definities hebben de volgende termen de volgende betekenis: “AP” - Autoriteit Persoonsgegevens, de toezichthoudende autoriteit voor de naleving van de geldende privacywetgeving;

“AVG” - Algemene Verordening Gegevensbescherming, voluit: Verordening (EU) 2016/679 van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG;

“Betrokkene” - de natuurlijke persoon waarop de Persoonsgegevens die Verwerker verwerkt voor Verwerkingsverantwoordelijke en/of haar opdrachtgevers in het kader van de uitvoering van de Overeenkomst betrekking hebben;

“Beveiligingsincident” - een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte Persoonsgegevens;

“Verwerkersovereenkomst” - de onderhavige overeenkomst inclusief alle bijlagen die onlosmakelijk hieraan zijn verbonden;

“Bijlage” - Iedere bijlage bij deze Verwerkersovereenkomst, welke een onlosmakelijk deel daarvan uitmaakt;

"Derde" - een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan, niet zijnde de Betrokkene, noch de Verwerkingsverantwoordelijke, noch de Verwerker, noch de personen die onder rechtstreeks gezag van de Verwerkingsverantwoordelijke of de Verwerker gemachtigd zijn om de Persoonsgegevens te verwerken;

“Diensten” - Alle diensten die Verwerker aan Verwerkingsverantwoordelijke verleent, zoals omschreven in de Overeenkomst;

“EER” - Europese Economische Ruimte;

“Overeenkomst” - de tussen partijen gesloten overeenkomst of afspraken met betrekking tot de dienstverlening die Verwerker verricht voor Verwerkingsverantwoordelijke’; “Partijen” - Verwerkersverantwoordelijke en Verwerker gezamenlijk;

“Persoonsgegevens” - alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon die Verwerker ontvangt van of verwerkt voor Verwerkingsverantwoordelijke in het kader van de uitvoering van de Overeenkomst;

“Sub-Verwerker” - een partij die door Verwerker wordt ingeschakeld voor de uitvoering van de Overeenkomst en de daarbij horende verwerking van Persoonsgegevens;

“Verwerken” - elke handeling of elk geheel van handelingen met betrekking tot Persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens;

“Wbp” - Wet bescherming persoonsgegevens;

Artikel 2. Algemeen

2.1 Verwerkingsverantwoordelijke wordt ten aanzien van de Persoonsgegevens die Verwerker in haar opdracht verwerkt beschouwd als Verantwoordelijke in de zin van de Wbp en Verwerkingsverantwoordelijke in de zin van de AVG. Verwerker is Bewerker in de zin van de Wbp en Verwerker in de zin van de AVG.

2.2 Verwerker en Verwerkingsverantwoordelijke verstrekken elkaar over en weer tijdig alle benodigde informatie om een goede naleving van de geldende privacywet- en regelgeving mogelijk te maken.

Artikel 3. Verwerken van Persoonsgegevens

3.1 Verwerker zal de Persoonsgegevens uitsluitend verwerken op basis van de schriftelijke instructies van Verwerkingsverantwoordelijke in het kader van de uitvoering van de Overeenkomst en de te verlenen Diensten, dan wel in verband met een wettelijke verplichting.

3.2 Verwerker zal de Persoonsgegevens niet voor andere doeleinden of op andere wijze gebruiken dan voor het doel waarvoor de Persoonsgegevens zijn verstrekt of haar bekend zijn geworden. De categorieën van Betrokkenen, het soort Persoonsgegevens en de aard en het doel waarvoor de Persoonsgegevens worden verwerkt zijn opgenomen in Bijlage 1.

3.3 Verwerker zal de Persoonsgegevens niet aan een Derde verstrekken, tenzij deze uitwisseling plaatsvindt in het kader van de uitvoering van de Overeenkomst (bijvoorbeeld door noodzakelijke verstrekking aan aanbieders), in opdracht van of met toestemming van Verwerkingsverantwoordelijke of wanneer dit noodzakelijk is om te voldoen aan een wettelijke verplichting. In dat laatste geval zal Verwerker onmiddellijk Verwerkingsverantwoordelijke inlichten, tenzij dit is verboden.

3.4 Verwerker draagt er zorg voor dat de Persoonsgegevens op geen enkele wijze buiten de EER worden verwerkt, niet via opslag in de cloud, noch door verwerking door ingeschakelde Derden vanuit een locatie buiten de Europese Unie, zoals in het kader van onderhoud op de IT-systemen, tenzij Verwerkingsverantwoordelijke daar vooraf schriftelijke toestemming voor heeft gegeven. Aan deze toestemming kan Verwerkingsverantwoordelijke aanvullende eisen stellen.

3.5 Indien Verwerkingsverantwoordelijke een beoordeling wenst uit te voeren van een beoogde verwerkingsactiviteit in het kader van de uitvoering van de Overeenkomst zal Verwerker alle redelijke medewerking verlenen om deze beoordeling in overeenstemming met de geldende wet- en regelgeving uit te kunnen voeren. Tevens zal Verwerker alle redelijke medewerking verlenen indien een voorafgaande raadpleging van de AP nodig is op grond van de geldende privacywetgeving. Voor zover voornoemde beoordeling toegang tot de locatie of systemen van Verwerker vereist, is dergelijke toegang enkel toegestaan aan een door Verwerkingsverantwoordelijke schriftelijk gemachtigde en gekwalificeerde IT-auditor waarna de bevindingen in onderling overleg worden beoordeeld. De kosten voor de audit (waaronder begrepen de kosten van betrokken derden) worden door de Verwerkingsverantwoordelijke gedragen.

Artikel 4. Geheimhouding

4.1 Verwerker houdt de Persoonsgegevens die zij verwerkt in het kader van de uitvoering van de Overeenkomst geheim en zal alle nodige maatregelen treffen om geheimhouding van de Persoonsgegevens te verzekeren. Verwerker zal de verplichting tot geheimhouding tevens opleggen aan haar personeel en alle door haar ingeschakelde personen.

4.2 Verwerker zal tevens alle vertrouwelijke informatie van Verwerkingsverantwoordelijke strikt geheim houden. Onder vertrouwelijke informatie is in ieder geval alle informatie over de bedrijfsvoering van Verwerkingsverantwoordelijke begrepen.

Artikel 5. Beveiliging Persoonsgegevens

5.1 Verwerker zal in overeenstemming met geldende wettelijke regels technische en organisatorische maatregelen treffen, in stand houden en zo nodig aanpassen om een op het risico afgestemd beveiligingsniveau te waarborgen. Verwerker draagt er zorg voor dat de door haar gebruikte systemen (inclusief beveiligingssoftware en verbindingen) en de Diensten voldoen aan de geldende wettelijke verplichtingen.

5.2 Verwerker zal bij het treffen van beveiligingsmaatregelen rekening houden met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van personen.

Artikel 6. Beveiligingsincidenten

6.1 Verwerker informeert Verwerkingsverantwoordelijke zo spoedig mogelijk en in ieder geval binnen 12 uur nadat Xxxxxxxxx kennis heeft genomen van een Beveiligingsincident met betrekking tot de verwerking van de Persoonsgegevens.

6.2 In geval van een Beveiligingsincident zal Verwerker alle redelijke maatregelen treffen om de gevolgen van het incident te beperken en/of een nieuw incident te voorkomen. Verwerker zal alle medewerking verlenen aan Verwerkingsverantwoordelijke om aan haar meldplicht datalekken en haar eventuele plicht tot het informeren van Betrokkenen te kunnen voldoen.

6.3 Partijen leggen hun afspraken over de informatie-uitwisseling in verband met incidenten vast in een “Procedure Meldplicht Datalekken” in Bijlage 2. Deze bijlage kan ten allen tijde in overleg door Partijen worden gewijzigd. De bijlage zal in ieder geval worden aangepast indien de regelgeving omtrent de Meldplicht Datalekken of de uitleg daarvan wijzigt.

6.4 In geval een Beveiligingsincident is toe te rekenen aan Verwerker en leidt tot een meldplicht datalekken en/of informeren van Betrokkenen voor Verwerkingsverantwoordelijke, zal Verwerker de redelijke kosten daarvoor aan Verwerkingsverantwoordelijke vergoeden.

Artikel 7. Verzoeken van Betrokkenen

7.1 Indien Verwerker een verzoek of bezwaar van een Betrokkene ontvangt, zoals een verzoek om informatie, inzage, rectificatie, gegevenswissing, verwerkingsbeperking of overdracht van de Persoonsgegevens, stuurt Verwerker dat verzoek onmiddellijk door naar Verwerkingsverantwoordelijke.

7.2 Verwerker verleent Verwerkingsverantwoordelijke alle redelijke medewerking om ervoor te zorgen dat Verwerkingsverantwoordelijke binnen de wettelijke termijnen kan voldoen aan de verplichtingen op grond van de geldende wet- en regelgeving. Partijen zullen in gezamenlijk overleg afspraken maken over de redelijke verdeling van de kosten die hiermee gemoeid zijn.

Artikel 8. Verwerking buiten de EER

8.1 Indien Verwerkingsverantwoordelijke op grond van artikel 3.4 Verwerker toestemming heeft verleend om Persoonsgegevens buiten de EER te verwerken ziet Verwerker er op toe dat de doorgifte van de Persoonsgegevens plaatsvindt in overeenstemming met de daarvoor geldende wettelijke voorschriften.

8.2 Indien gegevens buiten de EER worden verwerkt zal Verwerker dit in Bijlage 1 aangeven, inclusief een opgave van de landen waar de gegevens worden verwerkt met de maatregelen die Verwerker heeft getroffen om te voldoen aan de wettelijke voorschriften.

Artikel 9. Sub-Verwerkers

9.1 Verwerker heeft bij de verwerking van de Persoonsgegevens de mogelijkheid om, met schriftelijke toestemming van Verwerkingsverantwoordelijke, Sub-Verwerkers in te schakelen. Verwerkingsverantwoordelijke zal een redelijk verzoek om toestemming niet onthouden. In Bijlage 1 worden de relevante gegevens over de Sub-Verwerkers opgenomen. Bij wijzigingen zal Verwerker Verwerkingsverantwoordelijke daarover informeren en na genoemde toestemming de gegevens in Bijlage 1 aanpassen. De verwerker blijft op grond van art. 28 lid 4 van de AVG aansprakelijk voor de verplichtingen van de sub-verwerker (indien deze de verplichtingen niet nakomt).

9.2 Verwerker zal met de door haar ingeschakelde Sub-Verwerkers een overeenkomst sluiten die in overeenstemming is met de relevante wet- en regelgeving en deze Verwerkersovereenkomst. Verwerker zal in ieder geval iedere Sub-Verwerker contractueel de geheimhoudingsverplichtingen, meldingsverplichtingen en beveiligingsmaatregelen na laten leven met betrekking tot de verwerking van de Persoonsgegevens.

Artikel 10. Toegang tot de Persoonsgegevens

10.1 De zeggenschap over de Persoonsgegevens blijft volledig berusten bij Verwerkingsverantwoordelijke. Op verzoek van Verwerkingsverantwoordelijke zal Verwerker (een deel van) de Persoonsgegevens in gangbaar formaat ter beschikking stellen aan Verwerkingsverantwoordelijke.

10.2 Verwerker zal ervoor zorgdragen dat Verwerkingsverantwoordelijke te allen tijde toegang behoudt tot de Persoonsgegevens en zal in geval van een geschil tussen Partijen deze toegang niet blokkeren. Verwerker zal maatregelen treffen om ervoor te zorgen dat Verwerkingsverantwoordelijke

Artikel 11. Aansprakelijkheid en vrijwaring

11.1 Indien een Partij tekortschiet in de nakoming van de Verwerkersovereenkomst is deze Partij aansprakelijk voor de schade en kosten die de andere Partij daardoor lijdt of heeft geleden, met in achtneming van de in de Overeenkomst opgenomen beperkingen.

11.2 Verwerker vrijwaart Verwerkingsverantwoordelijke voor boetes en/of dwangsommen van of namens de AP en/of andere bevoegde autoriteiten die aan Verwerkingsverantwoordelijke worden opgelegd en waarbij vast is komen te staan dat deze zijn toe te schrijven aan overtredingen van de geldende privacywetgeving door Xxxxxxxxx. Om een beroep te kunnen doen op deze vrijwaring is Verwerkingsverantwoordelijke gehouden om:

(i) Verwerker xxxxxxxx op de hoogte te brengen van enig onderzoek of andere aanleiding die zou kunnen leiden tot een voornemen van een toezichthouder tot het opleggen van een boete of last onder dwangsom,

(ii) in samenspraak met Verwerker te handelen en te communiceren richting de toezichthouder én

(iii) tegen opgelegde boetes in bezwaar en/of beroep te gaan indien daar redelijkerwijs aanleiding voor is.

11.3 Verwerkingsverantwoordelijke vrijwaart Verwerker voor boetes en/of dwangsommen van of namens de AP en/of andere bevoegde autoriteiten die aan Verwerker worden opgelegd en waarbij vast is komen te staan dat deze zijn toe te schrijven aan overtredingen van de geldende privacywetgeving door Verwerkingsverantwoordelijke. Om een beroep te kunnen doen op deze vrijwaring is Verwerker gehouden om:

(i) Verwerkingsverantwoordelijke terstond op de hoogte te brengen van enig onderzoek of andere aanleiding die zou kunnen leiden tot een voornemen van een toezichthouder tot het opleggen van een boete of last onder dwangsom,

(ii) in samenspraak met Verwerkingsverantwoordelijke te handelen en te communiceren richting de toezichthouder en

(iii) tegen opgelegde boetes in bezwaar en/of beroep te gaan indien daar redelijkerwijs aanleiding voor is.

Artikel 12. Duur en beëindiging

12.1 Deze Verwerkersovereenkomst treedt in werking op de datum van ondertekening en eindigt van rechtswege bij beëindiging van de Overeenkomst en de Diensten.

12.2 Bij beëindiging van de Overeenkomst heeft Verwerkersverantwoordelijke vier weken de tijd om Verwerker te verzoeken om de Persoonsgegevens in een gangbaar formaat ter beschikking stellen aan Verwerkingsverantwoordelijke of aan een door Verwerkingsverantwoordelijke aangewezen Derde.

12.3 Verwerker zal na het verstrijken van hierboven genoemde termijn de nog aanwezige Persoonsgegevens vernietigen, tenzij een langere opslag wettelijk verplicht is. Verwerker zal tevens zorgdragen voor vernietiging van de Persoonsgegevens bij de Sub-Verwerkers.

12.4 De afspraken die bestemd zijn om in stand te blijven na beëindiging van de Verwerkersovereenkomst zullen tussen Partijen blijven gelden. Dat geldt in ieder geval voor de geheimhoudingsplicht en de beveiligingsmaatregelen.

Artikel 13. Wijziging Verwerkersovereenkomst

13.1 In geval van wijzigingen in de Diensten, regelgeving of andere relevante omstandigheden die van invloed zijn op de verwerking van de Persoonsgegevens zullen Partijen in overleg treden over de eventueel benodigde wijziging van de Verwerkersovereenkomst. De wijzigingen in de tekst van deze Verwerkersovereenkomst kunnen uitsluitend schriftelijk door de bevoegde vertegenwoordigers van Partijen worden overeengekomen.

13.2 Wijzigingen in de Bijlagen kunnen door Partijen op ieder moment schriftelijk worden gedaan onder vermelding van het versienummer en de datum van ingang van de nieuwe versie.

Artikel 14. Toepasselijk recht / Bevoegde rechter

14.1 Op deze Verwerkersovereenkomst is uitsluitend Nederlands recht van toepassing.

14.2 Alle geschillen die ontstaan naar aanleiding van deze Verwerkersovereenkomst worden beslecht op dezelfde wijze als opgenomen in de Overeenkomst.

ALDUS OVEREENGEKOMEN EN IN TWEEVOUD GETEKEND

Namens Verwerkingsverantwoordelijke

Naam: Functie: Datum:

Handtekening:

Namens Verwerker

Naam: X.X. Xxxxxxx Functie: directeur Datum:

Handtekening:

BIJLAGE 1

A. Categorieën Betrokkenen

De personen waarop de Persoonsgegevens betrekking hebben zijn in ieder geval:

cliënten

medewerkers van Verwerkingsverantwoordelijke medewerkers van opdrachtgevers

B. Soort Persoonsgegevens

De Persoonsgegevens die door Verwerker worden verwerkt zijn in ieder geval:

NAW-gegevens, telefoonnummers, e-mailadressen, Burgerlijke staat

Geboortedatum Nationaliteit

Beroep / functie

Gezinssamenstelling Geslacht

Werkgever(s)

Persoonsgegevens betreffende afgesloten financiële producten Inkomens- of salarisgegevens

Bankrekeningnummer(s)

C. Aard en doel van de verwerking

Het vastleggen en doorgeven van benodigde Persoonsgegevens aan aanbieders van financiële producten voor het aangaan van pensioen-, verzekerings- en arbodienstverleningsovereenkomsten.

D. Verwerking buiten de EER

De Persoonsgegevens worden in de volgende landen buiten de EER verwerkt (denk ook aan onderhoud door personen die zich buiten de EER bevinden of cloudopslag bij een cloudprovider van buiten de EER, zoals uit de VS):

Niet van toepassing

E. Gegevens Sub-Verwerkers

Verwerker maakt voor de Diensten gebruik van de volgende Sub-Verwerkers:

Niet van toepassing

F. Contactgegevens

Voor vragen of opmerkingen over de Verwerkersovereenkomst en Bijlagen is de contactpersoon van

Verwerkingsverantwoordelijke :

Verwerker : De heer X.X. Xxxxxxx

BIJLAGE 2 “Procedure Meldplicht Datalekken”:

Tussen Partijen zijn met betrekking tot de meldplicht datalekken de volgende afspraken gemaakt:

1) Verwerker registreert alle Beveiligingsincidenten;

2) In geval van een Beveiligingsincident informeert Verwerker Verwerkingsverantwoordelijke zonder onredelijke vertraging en in ieder geval binnen 12 uur

3) Verwerkingsverantwoordelijke zal beoordelen of een melding verricht dient te worden bij de AP en of Betrokkenen geïnformeerd dienen te worden;