VERWERKERSOVEREENKOMST

INHOUD

Pagina 1 van 8

Deze verwerkersovereenkomst maakt integraal onderdeel uit van het contract tussen opdrachtgever en op- drachtnemer voor de duur van de tijd dat opdrachtgever en opdrachtnemer een contract hebben afgesloten, waarbij;

Opdrachtgever, benoemd onderaan deze Overeenkomst, in de Overeenkomst verantwoordelijk (“de Verwer- kingsverantwoordelijke”) is voor de persoonsgegevens, en;

opdrachtnemer, te weten OBI Automatisering (handelsnaam van FSR OBI B.V.), OBI Web services (OBI Internet Marketing B.V.) en/of ISO Privacy Advies B.V. in deze overeenkomst verwerker (“de Verwerker”) van de per- soonsgegevens is.

Hierna zullen beide partijen als Verwerkingsverantwoordelijke of Verwerker worden aangeduid. In aanmerking nemende dat

• Verwerkingsverantwoordelijke de beschikking heeft over persoonsgegevens van diverse betrokkenen, zoals

bedoeld in artikel 4 sub 1 van de Algemene Verordening Gegevensbescherming (hierna: “AVG”);

• Verwerkingsverantwoordelijke ten behoeve van de uitvoering van de overeenkomst(en) die met Verwerker is/zijn gesloten (hierna: “Overeenkomst(en)”) persoonsgegevens wil laten verwerken door Xxxxxxxxx, ten- einde het verwerken van deze (persoons)gegevens. Het betreft alle persoonsgegevens die Verwerkingsver- antwoordelijke door Verwerker op computersystemen laat hosten en/of waar Verwerkingsverantwoorde- lijke de computersystemen bij Verwerkingsverantwoordelijke op locatie laat beheren;

• Verwerker als systeembeheerder toegang heeft tot de volledige computersystemen van Verwerkingsver- antwoordelijke en dus ook alle persoonsgegevens die digitaal worden verwerkt door Verwerkingsverant- woordelijke, waarbij Verwerkingsverantwoordelijke zelf bepaald welke persoonsgegevens er op de sys- temen worden en/of in de toekomst zullen worden verwerkt zonder tussenkomst van Verwerker. Verwer- ker heeft daarom geen overzicht in de gegevens die door hem verwerkt worden op de computersystemen van verwerkingsverantwoordelijke. Hierdoor kan het soort persoonsgegevens en de categorieën betrokke- nen niet worden benoemd, derhalve wordt hieronder toch een aanname gedaan;

Alle Persoonsgegevens die door verwerkers als systeembeheerder worden verwerkt in verband met het leveren van de Producten en Diensten, worden verkregen als onderdeel van ofwel Klantgegevens, Gege- vens benodigd voor het leveren van diensten welke beperkt zijn tot naam, e-mail adres en functienaam, of gegevens die zijn gegenereerd, afgeleid of verzameld door Microsoft, inclusief gegevens die zijn verwerkt op het computernetwerk van de klant óf naar Microsoft zijn verzonden als gevolg van het gebruik van op diensten gebaseerde functionaliteit door een Klant of door Microsoft verkregen van lokaal geïnstalleerde software. Persoonsgegevens die aan Microsoft zijn gegeven door of namens de Klant door middel van het gebruik van de Online Dienst zijn ook Klantgegevens.

• De verantwoordelijkheid voor het kiezen van passende maatregelen in de zin van de AVG, zoals bijvoor- beeld een firewall, wachtwoordbeleid of antivirus software, ligt bij Verwerkingsverantwoordelijke, immers Verwerkingsverantwoordelijke bepaald de maatregelen op de computersystemen die door Verwerker als systeembeheerder worden beheerd;

• Verwerkingsverantwoordelijke aangemerkt kan worden als Verwerkingsverantwoordelijke in de zin van artikel 4 sub 7 van de AVG;

• Verwerker aangemerkt kan worden als Verwerker in de zin van artikel 4 sub 8 AVG;

• Partijen, mede gelet op het vereiste uit artikel 28 lid 3 AVG hun rechten en plichten schriftelijk wensen vast te leggen middels deze Verwerkersovereenkomst (hierna: “Verwerkersovereenkomst”).

Opdrachtgever en opdrachtnemer zijn als volgt overeengekomen:

ARTIKEL 1. DOELEINDEN

1. Verwerker verbindt zich onder de voorwaarden van deze Verwerkersovereenkomst in opdracht van Ver- werkingsverantwoordelijke persoonsgegevens te verwerken. Verwerking zal uitsluitend plaatsvinden in het kader van het hosten van gegevens van Verwerkingsverantwoordelijke, plus die doeleinden die daarmee redelijkerwijs samenhangen of die met nadere instemming worden bepaald.

2. Verwerker heeft geen zeggenschap over het doel en de middelen voor de verwerking van persoonsgege- vens. Verwerker neemt geen zelfstandige beslissingen over de ontvangst en het gebruik van de persoons- gegevens, de verstrekking aan derden en de duur van de opslag van persoonsgegevens.

3. De in opdracht van Verwerkingsverantwoordelijke te verwerken persoonsgegevens blijven eigendom van Verwerkingsverantwoordelijke en/of de betreffende betrokkenen.

ARTIKEL 2. VERPLICHTINGEN VERWERKER

1. Ten aanzien van de in artikel 1 genoemde verwerkingen zal Verwerker zorg dragen voor de naleving van de toepasselijke wet- en regelgeving, waaronder in ieder geval begrepen de wet- en regelgeving op het gebied van de bescherming van persoonsgegevens, zoals de AVG.

2. Verwerker zal Verwerkingsverantwoordelijke, op diens verzoek daartoe, informeren over de door haar ge- nomen maatregelen aangaande haar verplichtingen onder deze Verwerkersovereenkomst.

3. De verplichtingen van de Verwerker die uit deze Verwerkersovereenkomst voortvloeien, gelden ook voor degenen die persoonsgegevens verwerken onder het gezag van Verwerker, waaronder begrepen maar niet beperkt tot werknemers, in de ruimste zin van het woord.

4. Verwerker zal Verwerkingsverantwoordelijke ondersteunen bij de uitvoering van een Data Privacy Impact Assessment (hierna: ‘DPIA’) of een voorafgaande raadpleging van de toezichthouder, mocht dit wettelijk verplicht zijn.

ARTIKEL 3. DOORGIFTE VAN PERSOONSGEGEVENS

1. Verwerker verwerkt de persoonsgegevens van de Verwerkingsverantwoordelijke hoofdzakelijk in landen binnen de EU/ EER of landen buiten de EU met een passend beschermingsniveau.

2. Doorgifte naar landen buiten de EU/ EER of landen buiten de EU met een passend beschermingsniveau wordt indien mogelijk niet gedaan. Indien Verwerker dit in de toekomst wil veranderen, zal Verwerker de Verwerkingsverantwoordelijke hierover minimaal 3 maanden van te voren informeren en volgens de arti- kelen van de AVG hiervoor een passend contract en passende maatregelen treffen zoals toegestaan is door de AVG. De Verwerkingsverantwoordelijke kan hiertegen bezwaar maken.

3. Indien persoonsgegevens van Verwerkersverantwoordelijke door Verwerker worden verwerkt buiten de EU, dan zal Verwerker aan Verwerkingsverantwoordelijke melden om welk land of landen het gaat als er doorgifte plaatsvindt van gegevens naar andere landen buiten de EU/ EER. Verwerker zal er voor zorgdra-

gen dat er een passend beschermingsniveau is zoals gesteld op de website van de Autoriteit Persoonsgege- vens op: xxxxx://xxxxxxxxxxxxxxxxxxxxxxxxxx.xx/xx/xxxxxxxxxxx/xxxxxxxxxxxxxx/xxxxxxxxx-xxxxxx-xx-xxx- ten-de-eu#wanneer-mag-ik-persoonsgegevens-doorgeven-naar-de-vs-5539 .

ARTIKEL 4. VERDELING VAN VERANTWOORDELIJKHEID

1. Verwerker is louter verantwoordelijk voor de verwerking van de persoonsgegevens onder deze Verwer- kersovereenkomst, overeenkomstig de instructies van Verwerkingsverantwoordelijke en onder de uitdruk- kelijke (eind)verantwoordelijkheid van Verwerkingsverantwoordelijke. Voor de overige verwerkingen van persoonsgegevens, waaronder in ieder geval begrepen maar niet beperkt tot de verzameling van de per- soonsgegevens door de Verwerkingsverantwoordelijke, verwerkingen voor doeleinden die niet door Ver- werkingsverantwoordelijke aan Verwerker zijn gemeld, verwerkingen door derden en/of voor andere doel- einden, is Verwerker uitdrukkelijk niet verantwoordelijk.

2. Partijen zullen in hun respectieve rol van verwerkingsverantwoordelijke en verwerker de voor hen gel- dende verplichtingen uit de AVG nakomen. Verwerkingsverantwoordelijke zal Verwerker vrijwaren voor alle aanspraken van derden die het gevolg zijn van een schending van één of meer verplichtingen uit de AVG die gelden voor een verwerkingsverantwoordelijke.

3. Verwerkingsverantwoordelijke garandeert dat de inhoud, het gebruik en de opdracht tot de verwerkingen van de persoonsgegevens zoals bedoeld in de Verwerkersovereenkomst, niet onrechtmatig is en geen in- breuk maken op enig recht van derden, en vrijwaart Verwerker tegen alle aanspraken en claims die hier- mee verband houden.

ARTIKEL 5. INSCHAKELEN VAN DERDEN OF ONDERAANNEMERS

1. Verwerkingsverantwoordelijke geeft Verwerker hierbij toestemming om bij de verwerking van persoons- gegevens gebruik te maken van derden (sub-verwerkers) die in het kader van deze Verwerkersovereen- komst persoonsgegevens verwerken, met inachtneming van de toepasselijke privacywetgeving.

Dit geldt met name voor de subverwerker Microsoft en Xxxxxxx.xx en alle aan OBI gelieerde bedrijven OBI Automatisering (FSR OBI B.V.), OBI Web services (OBI Internet Marketing B.V.) en ISO Privacy Advies B.V. Verwerkersverantwoordelijke gaat bij het aangaan van diensten van één van de gelieerde bedrijven van OBI akkoord met de overeenkomst en privacy statements gesteld door Microsoft te vinden op: xxxxx://xxx.xxxxxxxxx.xxx/xx-xx/xxxxx-xxxxxx/xxxxxxx/xxxx-xxxxxxxx en de overeenkomst en privacy statements van Xxxxxxx.xx te vinden op: xxxxx://xxxxxxx.xx/xx/xxx/xxxxxxx-xxxxxxxx

2. Op eerste verzoek van Verwerkingsverantwoordelijke verstrekt Verwerker aan Verwerkings-verantwoor- delijke een lijst met namen van ingeschakelde derden die persoonsgegevens verwerken in het kader van deze Verwerkersovereenkomst. Op basis hiervan kan Verwerkingsverantwoordelijke op redelijke gronden bezwaar aantekenen tegen het inschakelen van deze derden. In dat geval treden partijen in overleg om tot een werkbare oplossing te komen.

3. Verwerker zorgt ervoor dat deze derden schriftelijk de benodigde wettelijke plichten op zich nemen zoals bepaald in de AVG.

ARTIKEL 6. BEVEILIGING EN AUDIT

1. Verwerker zal passende technische en organisatorische maatregelen nemen met betrekking tot de te ver- richten verwerkingen van persoonsgegevens, tegen verlies of tegen enige vorm van onrechtmatige verwer- king (zoals onbevoegde kennisname, aantasting, wijziging of verstrekking van de persoonsgegevens). De wijze van beveiliging is echter mede afhankelijk van de diensten die door Verwerkingsverantwoordelijke zijn afgenomen zoals omschreven in de Overeenkomst. Op verzoek van Verwerkingsverantwoordelijke overlegt Verwerker een overzicht van de genomen maatregelen, naar alle redelijkheid en voor zover rele- vant voor de dienstverlening en/of informatievergaring van Verwerkingsverantwoordelijke. Verwerker kan er, gezien de snelheid waarmee de techniek zich dagelijks ontwikkelt, niet voor instaan dat de beveiliging onder alle omstandigheden doeltreffend is.

Verwerker heeft in ieder geval de volgende maatregelen genomen:

• Logische toegangscontrole, gebruik makend van sterke wachtwoorden,

• Fysieke maatregelen voor toegangsbeveiliging,

• Beveiliging van netwerkverbindingen via Secure Socket Layer (SSL) techniek,

• Doelgebonden toegangsbeperkingen,

• Controle op toegekende bevoegdheden,

• Periodieke beveiligingstesten.

2. Verwerkingsverantwoordelijke heeft het recht om ten minste eenmaal per kalenderjaar een audit uit te laten voeren eventueel door een onafhankelijke auditor die aan geheimhouding is gebonden, ter controle van naleving van de afspraken uit deze Verwerkersovereenkomst omtrent de beveiliging van de persoons- gegevens die Verwerker ten behoeve van Verwerkingsverantwoordelijke verwerkt.

3. Verwerkingsverantwoordelijke zal de wens voor het uitvoeren van de audit vooraf, met inachtneming van een termijn van minimaal vier weken, aankondigen aan Verwerker. Verwerker zal vervolgens een beschik- bare datum, die niet later dan zes weken na de aankondiging van Verwerkingsverantwoordelijke plaats- vindt, voor de uitvoering van de audit doorgeven aan Verwerkingsverantwoordelijke.

4. De audit zal zodanig worden uitgevoerd dat de bedrijfsvoering van Verwerker zo min mogelijk wordt ver- stoord.

5. De bevindingen naar aanleiding van de uitgevoerde audit zullen door Partijen in onderling overleg worden beoordeeld en, naar aanleiding daarvan, voor zover dat redelijk is in het kader van de uitvoering van de Overeenkomst al dan niet worden doorgevoerd door één van de Partijen of door beide Partijen gezamen- lijk. Partijen zullen de uitkomsten en bevindingen van de audit vertrouwelijk behandelen.

6. De kosten voor de audit zoals omschreven in lid 1 worden gedragen door

Verwerkingsverantwoordelijke. Tevens worden de kosten voor de inzet van medewerkers van Verwerker gedurende de audit gedragen door Verwerkingsverantwoordelijke. Indien uit de controle blijkt dat Xxxxxx- ker materieel tekortschiet in de nakoming van deze Verwerkersovereenkomst, komen de redelijke kosten voor rekening van Verwerkingsverantwoordelijke.

ARTIKEL 7. AFHANDELING VERZOEKEN VAN BETROKKENEN

1. In het geval dat een betrokkene een verzoek tot uitoefening van zijn/haar wettelijke rechten, zoals opge- nomen in de AVG, richt aan Verwerker, zal Verwerker dit verzoek zo snel mogelijk, doch uiterlijk binnen 2 weken doorsturen aan Verwerkingsverantwoordelijke.

2. Verwerkingsverantwoordelijke zal het verzoek vervolgens verder zelfstandig afhandelen. Indien blijkt dat de Verwerkingsverantwoordelijke hulp benodigd heeft van de Verwerker voor de uitvoering van een ver- zoek van een betrokkene, dan zal Verwerker hieraan meewerken. Indien het verzoek herhaaldelijk, duide- lijk ongegrond of buitensporig is dan kan de Verwerker hiervoor kosten in rekening brengen aan Verwer- kingsverantwoordelijke.

ARTIKEL 8. MELDPLICHT

1. In het geval dat er sprake is van een inbreuk bij Verwerker in verband met persoonsgegevens, zoals be- doeld in de AVG, zal Verwerker zich naar beste kunnen inspannen om Verwerkingsverantwoordelijke daar- over zo spoedig mogelijk te informeren, doch uiterlijk binnen 48 uur nadat Xxxxxxxxx kennisneemt van de inbreuk, naar aanleiding waarvan Verwerkingsverantwoordelijke beoordeelt of zij de toezichthouder en/of de betrokkenen zal informeren of niet. Verwerkingsverantwoordelijke is en blijft verantwoordelijk voor een eventuele wettelijke verplichtingen daartoe.

2. De meldplicht behelst in ieder geval het melden van het feit dat er een datalek is geweest waarbij per- soonsgegevens zijn gelekt, alsmede, voor zover bekend bij Verwerker:

• wat de (vermeende) oorzaak is van het datalek;

• wat het (vooralsnog bekende en/of te verwachten) gevolg is;

• het aantal gegevens en het aantal betrokkenen van wie gegevens zijn gelekt;

• de datum waarop het lek heeft plaatsgevonden (indien geen exacte datum bekend is: de periode waar- binnen het lek heeft plaatsgevonden);

• de datum en het tijdstip waarop het lek bekend is geworden bij Verwerker of bij een door hem xxxx- xxxxxxxxx derde/onderaannemer;

• of de gegevens versleuteld, gehasht of op een andere manier onbegrijpelijk of ontoegankelijk zijn ge- maakt voor onbevoegden;

• wat de voorgenomen en/of reeds ondernomen maatregelen zijn om het lek te dichten en om de gevol- gen van het lek te beperken.

3. Indien de wet- en/of regelgeving dit vereist zal Verwerker, meewerken aan het informeren van de ter zake relevante autoriteiten en eventueel betrokkenen.

ARTIKEL 9. GEHEIMHOUDING EN VERTROUWELIJKHEID

1. Op alle persoonsgegevens die Verwerker van Verwerkingsverantwoordelijke ontvangt in het kader van deze Verwerkersovereenkomst, rust een geheimhoudingsplicht jegens derden. Deze geheimhoudingsplicht blijft ook gelden na beëindiging van deze overeenkomst.

2. Deze geheimhoudingsplicht is niet van toepassing voor zover Verwerkingsverantwoordelijke uitdrukkelijke toestemming heeft gegeven om de informatie aan derden te verschaffen, indien het verstrekken van de

informatie aan derden logischerwijs noodzakelijk is gezien de aard van de verstrekte opdracht en de uit- voering van deze Verwerkersovereenkomst of indien er een wettelijke verplichting bestaat om de informa- tie aan een derde te verstrekken.

ARTIKEL 10. DUUR EN BEËINDIGING

1. Deze Verwerkersovereenkomst is aangegaan voor de duur zoals bepaald in de Overeenkomst, en bij ge- breke daarvan voor de duur van de samenwerking.

2. De Verwerkersovereenkomst kan tussentijds niet worden opgezegd.

3. Partijen mogen deze Verwerkersovereenkomst alleen wijzigen met wederzijdse instemming.

4. Zodra deze Verwerkersovereenkomst, om welke reden en op welke wijze dan ook, is beëindigd, zal Ver- werker alle persoonsgegevens die bij hem aanwezig zijn naargelang keuze van Verantwoordelijke zo snel mogelijk, doch uiterlijk binnen 6 maanden, verwijderen en/of vernietigen, tenzij Partijen anders zijn over- eengekomen.

ARTIKEL 11. OVERIGE BEPALINGEN

1. De Verwerkersovereenkomst en de uitvoering daarvan worden beheerst door Nederlands recht.

2. Alle geschillen, welke tussen Partijen mochten ontstaan in verband met de Verwerkersovereenkomst, zullen worden voorgelegd aan de bevoegde rechter te ‘s-Hertogenbosch.

3. Indien één of meer bepalingen van de Verwerkersovereenkomst niet rechtsgeldig blijkt te zijn, zal de Ver- werkersovereenkomst voor het overige van kracht blijven. Partijen overleggen alsdan over de bepalingen welke niet rechtsgeldig zijn, teneinde een vervangende regeling te treffen die wel rechtsgeldig is en zoveel mogelijk aansluit bij de strekking van de te vervangen regeling.

4. Indien de privacywetgeving wijzigt, zullen partijen meewerken deze Verwerkersovereenkomst aan te pas- sen teneinde aan deze wetgeving te kunnen (blijven) voldoen.

5. Bij eventuele tegenstrijdigheden tussen de bepalingen in de Verwerkersovereenkomst en de Overeen- komst, gelden de bepalingen uit deze Verwerkersovereenkomst ten aanzien van de verwerking van Per- soonsgegevens.

6. Partijen komen uitdrukkelijk overeen dat ten aanzien van aansprakelijkheid de normale wettelijke regeling geldt.

Xxxxxxxxx (opdrachtnemer)

Bedrijfsnaam:

OBI Automatisering (handelsnaam van FSR OBI B.V. met KVK nummer: 17130973) en/of OBI Web services (OBI Internet Marketing B.V. met KVK-nummer: 17231163) en/of ISO Privacy Advies B.V. (met KVK- nummer: 00000000)

Naam: Xxx. X. Xxxxxxxx Plaats: Eindhoven Datum:

Handtekening:

Verwerkingsverantwoordelijke (opdrachtgever)

Bedrijfsnaam:

KVK nummer: Naam: Plaats: Datum: Handtekening:

Document Metadata

Table of Contents

VERWERKERSOVEREENKOMST

Document Metadata