Verwerkersovereenkomst WebdesignTilburg

Verwerkersovereenkomst WebdesignTilburg

Ondergetekenden,

1. WDT Internet B.V. h.o.d.n. WebdesignTilburg (KvK 70811423), gevestigd en kantoorhoudende te Tilburg (5015 AV) aan de Andromedastraat 2a, in deze rechtsgeldig vertegenwoordigd door haar vennoten: de besloten vennootschap KAWP Holding, op haar beurt vertegenwoordigd door Xxxxx xxx xxx Xxxx, en de besloten vennootschap Xxxxxx Xxxxxxx, op haar beurt vertegenwoordigd door Xxxxxx Xxxxxx, (“Verwerker”), en

2. [naam rechtspersoon] B.V., ([KvK [nummer]), gevestigd en kantoorhoudende te [postcode] [vestigingsplaats], aan [adres], in deze rechtsgeldig vertegenwoordigd door haar bestuurder [initialen + naam], [functie], (“Verwerkingsverantwoordelijke”),

hierna elk afzonderlijk “Partij” en gezamenlijk “Partijen” genoemd,

nemen het volgende in overweging:

A. Xxxxxxxxx voert werkzaamheden uit in opdracht van Verwerkingsverantwoordelijke met betrekking tot webhosting, online marketing en/of het bouwen en/of beheren van websites, webshops en applicaties. Deze worden steeds vastgelegd in een Overeenkomst. Ter uitvoering van de Overeenkomst verwerkt Verwerker ten behoeve van Verwerkingsverantwoordelijke Persoonsgegevens;

B. Partijen wensen zorgvuldig en in overeenstemming met de AVG om te gaan met de Persoonsgegevens die ter uitvoering van deze werkzaamheden verwerkt (zullen) worden en wensen in dat kader hun rechten en plichten ten aanzien van de Verwerking van Persoonsgegevens van Betrokkenen schriftelijk vast te leggen in deze Verwerkersovereenkomst.

C. Uitsluitend Verwerkingsverantwoordelijke stelt het doel van en de middelen voor de verwerking van persoonsgegevens vast en Verwerker heeft hierop geen invloed;

1. Definities

1.1 De hierna en hiervoor gebruikte begrippen volgen uit de Algemene Verordening Gegevensbescherming en hebben de volgende betekenis:

1.2 Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon („de Betrokkene”); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon

1.3 Verwerking: een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via

geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens;

1.4 Subverwerker: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de verwerker persoonsgegevens verwerkt;

1.5 Betrokkene: geïdentificeerde of identificeerbaar natuurlijk persoon op wie de verwerkte persoonsgegevens betrekking hebben;

1.6 Verwerkersovereenkomst: deze verwerkersovereenkomst inclusief de bijlagen.

1.7 Beveiligingslek en/of Datalek: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwekte gegevens.

1.8 Diensten: de diensten waarvoor Partijen een overeenkomst hebben afgesloten (vallend onder de categorieën webhosting, online marketing en/of het bouwen en/of beheren van websites, webshops en applicaties).

2. Verwerken Persoonsgegevens

2.1 Verwerker zal in het kader van de Overeenkomst alle persoonsgegevens verwerken, die bij het gebruik van de Diensten kunnen worden opgeslagen, waaronder bijvoorbeeld en niet uitsluitend worden verstaan: (i) NAW-gegevens, (ii) e-mailadressen en (iii) leeftijden. De categorie betrokkenen betreft bijvoorbeeld maar niet uitsluitend de klanten, prospects en websitebezoekers van Verwerkingsverantwoordelijke.

2.2 Verwerkingsverantwoordelijke garandeert dat er in haar opdracht geen verwerking van bijzondere persoonsgegevens zal plaatsvinden. Indien er wel bijzondere persoonsgegevens worden verwerkt, meldt Verwerkingsverantwoordelijke dat vooraf bij Verwerker en zullen Partijen nadere afspraken overeenkomen voor wat betreft de verwerking van de bijzondere persoonsgegevens. Verwerker heeft géén zeggenschap over het doel en de middelen voor de verwerking van persoonsgegevens.

3. Verdeling van verantwoordelijkheid en verplichtingen

3.1 Verwerker verwerkt de persoonsgegevens onder de Overeenkomst, overeenkomstig de schriftelijke instructies van Verwerkingsverantwoordelijke en onder uitdrukkelijke (eind)verantwoordelijkheid van Verwerkingsverantwoordelijke.

3.2 Verwerkingsverantwoordelijke garandeert dat de inhoud, het gebruik en de opdracht tot de verwerkingen van de persoonsgegevens zoals bedoeld in de Verwerkersovereenkomst, niet onrechtmatig zijn en geen inbreuk maken op enig recht van derden, en vrijwaart Verwerker tegen alle aanspraken en claims die hiermee verband houden.

3.3 In het geval dat voor een nieuwe verwerking onder deze Verwerkersovereenkomst een gegevensbeschermingseffectbeoordeling of voorafgaande raadpleging van de toezichthouder verplicht is, zal Verwerker, voor zover dat binnen haar macht ligt, hieraan meewerken. Verwerker mag hiervoor kosten in rekening brengen bij Verwerkingsverantwoordelijke.

3.4 Verwerker zal, indien wettelijk verplicht en noodzakelijk, meewerken aan een eventueel onderzoek door de Autoriteit Persoonsgegevens naar een verwerking onder deze Verwerkersovereenkomst. Verwerker kan hiervoor redelijke kosten in rekening brengen bij Verwerkingsverantwoordelijke.

3.5 Verwerker zal de Persoonsgegevens slechts inzien en/of verwerken indien en voor zover dit noodzakelijk is voor de uitvoering van de Overeenkomst en zal alle redelijke instructies van Verwerkingsverantwoordelijke opvolgen.

3.6 Verwerker staat ervoor in dat haar Personeel zich houdt aan het gestelde in deze Verwerkersovereenkomst, indien en voor zover zij op enigerlei wijze betrokken zijn bij de Verwerking van Persoonsgegevens. De werknemers van Verwerker zijn gehouden aan een geheimhoudingsplicht.

3.7 Verwerker houdt een register bij van alle categorieën van verwerkingsactiviteiten die zij ten behoeve van de Verwerkingsverantwoordelijke heeft verricht

3.8 Op aangeven van Verwerkingsverantwoordelijke werkt Verwerker mee aan encryptie (versleuteling) en pseudonimisering van Persoonsgegevens. De kosten hiervoor worden vergoed door Verwerkingsverantwoordelijke.

4. Beveiligen van Persoonsgegevens

4.1 Verwerkingsverantwoordelijke stelt enkel persoonsgegevens aan Verwerker ter beschikking voor verwerking, indien zij zich ervan heeft verzekerd dat de vereiste beveiligingsmaatregelen zijn getroffen. Verwerkingsverantwoordelijke is verantwoordelijk voor de naleving van de door Partijen afgesproken maatregelen.

4.2 Verwerker zal passende technische en organisatorische beveiligingsmaatregelen treffen om de Persoonsgegevens te beveiligen tegen verlies en tegen onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging daarvan, een passend beveiligingsniveau gelet op de risico’s die de verwerking en de aard van de te beschermen gegevens meebrengen. Een lijst met genomen maatregelen is op te vragen bij Verwerker.

4.3 Wanneer een van Partijen vindt dat een wijziging in de te nemen beveiligingsmaatregelen noodzakelijk is, treden Partijen in overleg over de wijziging daarvan en over wie deze kosten voor rekening neemt.

5. Doorgifte van persoonsgegevens

5.1 Verwerker mag de persoonsgegevens verwerken in landen binnen de EER. Doorgifte naar landen buiten de Europese Unie is niet toegestaan, tenzij de Verwerkingsverantwoordelijke daar toestemming voor geeft.

5.2 Bij het ondertekenen van deze Verwerkersovereenkomst wordt automatisch toestemming gegeven voor doorgifte van de persoonsgegevens naar de niet-EU-landen genoemd in Bijlage 1.

5.3 De Verwerker zal bij het verzoek om toestemming voor de doorgifte van Persoonsgegevens aan de Verwerkingsverantwoordelijke melden om welk niet-EU-land(en) het gaat.

6. Inschakelen van derden of subverwerkers

6.1 Verwerkingsverantwoordelijke verleent Verwerker hierbij toestemming om bij de verwerking derden (Subverwerkers) in te schakelen.

6.2 Bij het ondertekenen van deze Verwerkersovereenkomst wordt automatisch toestemming gegeven voor het inschakelen van de Subverwerkers in Bijlage 1.

6.3 De Verwerker zal bij gebruikmaking van derden die niet in Bijlage 1 zijn genoemd de Verwerkingsverantwoordelijke telkens vooraf schriftelijk informeren, waarbij de Verwerkingsverantwoordelijke de mogelijkheid heeft om bezwaar te maken tegen deze verandering.

7. Meldplicht

7.1 In het geval van een Beveiligingslek en/of een Datalek zal Verwerker zonder onredelijke vertraging Verwerkingsverantwoordelijke daarover informeren naar aanleiding waarvan Verwerkingsverantwoordelijke beoordeelt of zij de toezichthoudende autoriteiten en/of betrokkenen zal informeren of niet.

7.2 Indien de wet- en/of regelgeving dit vereist zal Verwerker meewerken aan het informeren van de terzake relevante autoriteiten en eventueel betrokkenen. Verwerkingsverantwoordelijke is verantwoordelijk voor het melden naar de relevante autoriteiten.

8. Audit

8.1 Verwerkingsverantwoordelijke kan de Verwerking van Persoonsgegevens laten controleren op correcte naleving van de Verwerkersovereenkomst door middel van een onderzoek door een onafhankelijke deskundige (hierna te noemen: “Auditor”). Deze onafhankelijke deskundige zal in overleg door beide Partijen samen worden gekozen. De Auditor zal worden verplicht tot geheimhouding.

8.2 Verwerker zal alle door de Auditor gevraagde informatie verstrekken. De Auditor zal in algemene termen rapporteren aan Verwerkingsverantwoordelijke, maar zal geen details over de getroffen beveiligingsmaatregelen bekend maken. De kosten van het onderzoek komen voor rekening van Verwerkingsverantwoordelijke.

8.3 Deze audit mag plaatsvinden bij een concreet vermoeden van Verwerkingsverantwoordelijke van misbruik van persoonsgegevens.

8.4 De door Verwerkingsverantwoordelijke geïnitieerde audit vindt niet eerder dan vier weken na voorgaande aankondiging en maximaal eens per kalenderjaar plaats.

8.5 Verwerker zal aan de audit meewerken en alle voor de audit redelijkerwijs relevante informatie en haar medewerkers ter beschikking stellen voor de audit.

8.6 De bevindingen naar aanleiding van de uitgevoerde audit zullen door Partijen in overleg worden beoordeeld. Naar aanleiding daarvan zullen wijzigingen al dan niet worden doorgevoerd door één van de Partijen of door beide Partijen gezamenlijk.

8.7 De kosten van de audit worden door Verwerkingsverantwoordelijke gedragen. De Verwerker mag hiervoor kosten in rekening brengen bij Verwerkingsverantwoordelijke (max. € 75,- per uur voor alleen directe uren). De kosten voor de in te huren deskundige zullen altijd door Verwerkingsverantwoordelijke zullen worden gedragen.

9. Afhandeling van verzoeken van betrokkenen

9.1 Verwerker verleent Verwerkingsverantwoordelijke haar volledige en tijdige medewerking om Xxxxxxxxxxx inzage in hun persoonsgegevens te laten krijgen, hun persoonsgegevens te laten verwijderen of te corrigeren, en/of aan te laten tonen dat deze persoonsgegevens verwijderd of gecorrigeerd zijn of, indien Verwerkingsverantwoordelijke het standpunt van Betrokkene bestrijdt, vast te leggen dat Xxxxxxxxxx zijn persoonsgegevens als incorrect beschouwt. Verwerker mag hiervoor kosten in rekening brengen bij Verwerkingsverantwoordelijke.

10. Geheimhouding en vertrouwelijkheid

10.1 Alle gegevens van Verwerkingsverantwoordelijke en haar klanten zijn vertrouwelijk en zullen door Xxxxxxxxx als zodanig worden behandeld. Verwerker is gehouden tot geheimhouding van alle Persoonsgegevens en informatie die zij verwerkt, of waarvan zij in het kader van de Overeenkomst of deze Verwerkersovereenkomst kennis krijgt. Verwerker zal deze informatie niet voor een ander doel gebruiken dan waarvoor zij deze heeft verkregen, tenzij deze in een zodanige vorm is gebracht dat deze niet tot betrokkenen herleidbaar is.

10.2 Deze geheimhoudingsplicht is niet van toepassing voor zover Verwerkingsverantwoordelijke uitdrukkelijke toestemming heeft gegeven om de informatie aan derden te verschaffen, indien het verstrekken van de informatie aan derden logischerwijs noodzakelijk is gezien de aard van de verstrekte opdracht en de uitvoering van deze Verwerkersovereenkomst, of indien er een wettelijke verplichting bestaat om de informatie aan een derde te verstrekken.

11. Duur en beëindiging

11.1 Deze Verwerkersovereenkomst zal voortduren voor de duur van de Overeenkomst en bij gebreke daarvan voor de duur van de (verdere) samenwerking.

11.2 Partijen verlenen hun volledige medewerking om deze Verwerkersovereenkomst aan te passen en geschikt te maken voor eventuele nieuwe of veranderde privacywetgeving.

11.3 Indien de Overeenkomst eindigt retourneert Verwerker alle persoonsgegevens die verwerkt worden ten behoeve van Verwerkingsverantwoordelijke en bij hem aanwezig zijn in originele of kopievorm aan Verwerkingsverantwoordelijke, en vernietigt daarna deze en eventuele kopieën daarvan. Deze vernietiging gebeurt binnen 3 maanden na beëindiging van de overeenkomst. Verwerkingsverantwoordelijke wordt hiervan op de hoogte gesteld.

12. Algemene voorwaarden en aansprakelijkheid

12.1 De toepasselijkheid van de algemene voorwaarden van de Verwerkingsverantwoordelijke op deze Verwerkersovereenkomst wordt uitdrukkelijk van hand gewezen. Op deze Verwerkersovereenkomst zijn de algemene voorwaarden van Verwerker van toepassing. Door ondertekening van deze Verwerkersovereeenkomst verklaart Verwerkersverantwoordelijke een exemplaar van de algemene voorwaarden te hebben ontvangen en kennis te hebben genomen van de algemene voorwaarden van Verwerker.

12.2 Indien Verwerker, op welke grondslag dan ook, aansprakelijk is voor de schade en kosten die de Verwerkingsverantwoordelijke lijdt of heeft geleden in verband met de uitvoering van deze Verwerkersovereenkomst, waaronder tevens begrepen door toedoen van Verwerker aan de Verwerkingsverantwoordelijke opgelegde boetes en/of dwangsommen, is hierop het bepaalde over beperking van aansprakelijkheid en schadevergoeding in de Overeenkomst en de Algemene Voorwaarden mutatis mutandis van toepassing. Met dien verstande dat de hoogte van de door Verwerker te betalen (schade)vergoeding, op welke grondslag dan ook, nooit hoger zal zijn dan het door de verzekering uit te betalen bedrag voor het relevante schadegeval, dan wel is dat bedrag nooit hoger dan het door Verwerkingsverantwoordelijke aan Verwerker betaalde bedrag over de periode van zes maanden gelegen voor het moment van het relevante schadegeval.

12.3 Verwerker sluit aansprakelijkheid uit voor indirecte schade, waaronder in ieder geval doch niet uitsluitend begrepen: gevolgschade, bedrijfsschade, gederfde winst, gemiste besparingen, verminderde goodwill, schade door bedrijfsstagnatie, schade als gevolg van aanspraken van derden en reputatieschade.

12.4 Verwerker is nooit aansprakelijk te houden voor schade als Verwerkingsverantwoordelijke, op het moment waarop de schadeveroorzakende gebeurtenis zich voordoet, tegenover Verwerker in gebreke is met de nakoming van enige verplichting uit de Overeenkomst en/of Verwerkersovereenkomst.

12.5 Iedere vordering tot schadevergoeding jegens Verwerker heeft een verjaringstermijn van een jaar. De verjaringstermijn zal direct gaan lopen na de dag waarop de verwerkingsverantwoordelijke met de schade bekend is geworden.

13. Toepasselijkrecht, bevoegde rechter

13.1 Op deze verwerkersovereenkomst is het Nederlands recht van toepassing.

13.2 De rechtbank te Breda is bevoegd kennis te nemen van alle geschillen betreffende deze overeenkomst, voor zover de wettelijke bepalingen daaraan niet in de weg staan.

Aldus overeengekomen en in tweevoud getekend op [datum]

WDT Internet B.V. [wederpartij] B.V.

Bijlage 1: Subverwerkers

WebdesignTilburg maakt voor het uitvoeren van de Diensten gebruik van onderstaande Subverwerkers. Een aantal van hen zijn gevestigd in een land buiten de EU. Met het ondertekenen van deze Verwerkersovereenkomst wordt automatisch toestemming gegeven voor het inschakelen van deze Subverwerkers en voor de doorgifte van de Persoonsgegevens naar de genoemde landen buiten de EU.

Bedrijfsvoering:

- Microsoft (Office 365) – gevestigd in de Verenigde Staten van Amerika

- Zoho – gevestigd in India Hostingproviders:

- Exonet

- Byte

- Magehost

- Hostnet

- Hipex

Software voor ontwikkeling:

- Atlassian – gevestigd in Australië Software voor e-mailmarketing:

- Mailchimp – gevestigd in de Verenigde Staten van Amerika

- Klaviyo – gevestigd in de Verenigde Staten van Amerika Overige websites en platformen voor online marketing:

- Google – gevestigd in de Verenigde Staten van Amerika

- Microsoft (Bing, LinkedIn) – gevestigd in de Verenigde Staten van Amerika

- Facebook – gevestigd in de Verenigde Staten van Amerika

- Hotjar