Bijlage 3: Verwerkersovereenkomst
Bijlage 3: Verwerkersovereenkomst
Deze bijlage specificeert de rechten en plichten van Opdrachtgever (hierna: Verantwoordelijke) en PCA B.V. (hierna: Verwerker), hierna gezamenlijk te noemen Partijen, in het kader van de Wet bescherming persoonsgegevens (hierna: de Wbp) respectievelijk de Algemene Verordening Gegevensbescherming (hierna: de AVG).
Overwegingen:
• Partijen zijn in de Overeenkomst overeengekomen dat Verwerker diensten zal leveren aan Verantwoordelijke;
• Voor deze dienstverlening is noodzakelijk dat Verantwoordelijke Persoonsgegevens aan Verwerker verstrekt en Verwerker deze Persoonsgegevens verwerkt ten behoeve van Verantwoordelijke;
• Partijen wensen vast te leggen dat Verantwoordelijke “Verantwoordelijke” is voor de verwerking van deze Persoonsgegevens, en Verwerker "Verwerker”, een en ander in de zin van de Wbp en de AVG;
• Partijen wensen, gelet op artikel 14 van de Wbp en artikel 28 van de AVG, de uitvoering van verwerkingen door Xxxxxxxxx te regelen in een overeenkomst.
PARTIJEN VERKLAREN TE ZIJN OVEREENGEKOMEN ALS VOLGT:
1. Definities
1.1 Betrokkene:
Degene op wie een Persoonsgegeven betrekking heeft.
1.2 Datalek:
Een inbreuk op beveiligingsmaatregelen die erop zijn gericht Persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige Verwerking van Persoonsgegevens, waaronder onder meer ongeoorloofde wijziging van Persoonsgegevens.
1.3 Overeenkomst:
De overeenkomst die Verantwoordelijke en Verwerker zijn aangegaan ter levering van diensten door Verwerker en waaruit verwerking van Persoonsgegevens voortvloeit, waarvan deze Verwerkersovereenkomst onderdeel uitmaakt.
1.4 Persoonsgegeven:
Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon.
1.5 Sub-Verwerker:
De natuurlijke persoon of rechtspersoon die een Verwerker bijstaat in het Verwerken van Persoonsgegevens ten behoeve van Verantwoordelijke.
1.6 Verantwoordelijke:
De natuurlijke persoon, rechtspersoon of ieder ander die, of het bestuursorgaan dat, alleen of tezamen met anderen, het doel van en de middelen voor de verwerking van Persoonsgegevens vaststelt.
1.7 Verwerker:
Degene die ten behoeve van de Verantwoordelijke Persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen.
Deze overeenkomst tussen Verantwoordelijke en Verwerker met als onderwerp het verwerken van Persoonsgegevens, inclusief alle documenten (inclusief Appendices) waarnaar verwezen wordt en die de overige rechten en verplichtingen van Partijen uiteenzetten.
1.9 Verwerking van Persoonsgegevens:
Elke handeling of elk geheel van handelingen met betrekking tot Persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens.
1.10 Alle van de hierboven gebruikte woorden en termen in het enkelvoud hebben dezelfde betekenis als in het meervoud en vice versa.
1.11 De aanduidingen boven de artikelen van deze Verwerkersovereenkomst hebben uitsluitend tot doel de leesbaarheid van de Verwerkersovereenkomst te vergroten. De inhoud en strekking van het onder een bepaalde aanduiding opgenomen artikel beperken zich derhalve niet tot die aanduiding.
2. Verwerking van persoonsgegevens
2.1 Verantwoordelijke stelt het doel en de middelen voor de verwerking van Persoonsgegevens vast. Dit doel is beschreven in Appendix 1.
2.2 Verantwoordelijke verstrekt Persoonsgegevens aan Verwerker. Een overzicht van de categorieën Persoonsgegevens die aan Verwerker verstrekt kunnen worden, wordt opgenomen in Appendix 1. Verwerker verwerkt deze Persoonsgegevens uitsluitend ter uitvoering van de Hoofdovereenkomst en deze Verwerkingsovereenkomst. Verwerker zal de Persoonsgegevens onder geen enkele omstandigheid voor eigen doeleinden gebruiken, behoudens andersluidende wettelijke verplichtingen.
2.3 Verwerker is niet gerechtigd een Sub-Verwerker in te schakelen zonder voorafgaande algemene of specifieke schriftelijke toestemming van Verantwoordelijke. In het geval van algemene toestemming licht Verwerker de Verantwoordelijke in over beoogde veranderingen inzake de toevoeging of vervanging van Sub-Verwerkers. Daarbij wordt de Verantwoordelijke de mogelijkheid geboden bezwaar te maken tegen deze veranderingen. In het geval Verantwoordelijke bezwaar maakt, is Verwerker gerechtigd de Hoofdovereenkomst met onmiddellijke ingang op te zeggen, zonder tot enige (schade)vergoeding, compensatie of andere verplichting gehouden te zijn. Daarnaast zal Verwerker, alvorens zij overgaat tot inschakeling van de Sub-Verwerker, in een schriftelijke overeenkomst dezelfde of gelijkwaardige verplichtingen aan die Sub-Verwerker op te leggen als die op Verwerker zelf rusten uit hoofde van deze Verwerkingsovereenkomst.
2.4 Hierbij geeft Verantwoordelijke aan Verwerker algemene toestemming als bedoeld in artikel 2.3 voor het inschakelen van Sub-verwerkers voor doeleinden van hosting en technische ondersteuning. Verder geeft Verantwoordelijke specifieke toestemming voor het inschakelen van de Sub-Verwerkers vermeld in Appendix 1
2.5 Verwerker zal indien nodig bijstand verlenen bij het nakomen van de verplichtingen uit hoofde van de artikelen 32 tot en met 36 van de AVG. Met name zal Verwerker, voor zover mogelijk, medewerking verlenen bij uitvoering van de nodige handelingen naar aanleiding van verzoeken van Betrokkenen omtrent inzage, correctie, beperking of verwijdering van Persoonsgegevens.
2.6 Verwerker zal Verantwoordelijke alle informatie ter beschikking stellen die nodig is om de nakoming van deze Verwerkingsovereenkomst aan te tonen. Daartoe zal Verwerker met name medewerking verlenen aan audits, waaronder inspecties, door Verantwoordelijke of een door Verantwoordelijke gemachtigde controleur. De kosten van dergelijke audits worden gedragen door Verantwoordelijke. Indien uit de audit volgt dat Verwerker enige verplichting uit de Verwerkingsovereenkomst niet is nagekomen, neemt Verwerker de maatregelen die redelijkerwijs nodig zijn om alsnog aan de desbetreffende verplichting(en) te voldoen.
2.7 Verantwoordelijke staat ervoor in dat de verwerking van Persoonsgegevens zoals opgedragen aan Verwerker en uitgevoerd door Verantwoordelijke met behulp van de verwerkingsdiensten van Verwerker, niet in strijd is met regelgeving betreffende bescherming van Persoonsgegevens en niet onrechtmatig is. Verantwoordelijke vrijwaart Verwerker voor alle aanspraken van derden, inclusief toezichthouders, die hiermee verband houden.
2.8 Indien voor het (kunnen) nakomen van enige verplichting van Verwerker uit hoofde van deze Verwerkingsovereenkomst, bepaalde technische maatregelen, aanpassingen of werkzaamheden vereist zijn, kan Verwerker slechts verplicht worden tot het verrichten van deze maatregelen, aanpassingen en werkzaamheden, indien deze uitdrukkelijk en schriftelijk met Verwerker zijn overeengekomen. Verwerker is gerechtigd aan Verantwoordelijke kosten in rekening te brengen voor de in dit verband vereiste maatregelen, aanpassingen en werkzaamheden.
3. Beveiliging
3.1 Verwerker treft passende technische en organisatorische maatregelen om de Persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico's die de verwerking en de aard van te beschermen Persoonsgegevens met zich meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van Persoonsgegevens te voorkomen.
3.2 De bij het aangaan van de Verwerkingsovereenkomst genomen maatregelen als bedoeld in artikel 3 worden weergegeven in Appendix 2. Verantwoordelijke erkent dat Verwerker met de in Appendix 2 vermelde maatregelen voldoet aan de verplichting bedoeld in artikel 3.1.
3.3 Indien, al dan niet op grond van vernieuwde wet- en/of regelgeving, nadere maatregelen nodig blijken te zijn om een passend beveiligingsniveau zoals bedoeld in artikel 3.1 te blijven garanderen, is Verwerker gerechtigd (additionele) prijzen in rekening te brengen aan Verantwoordelijke, in verband met de bij Verwerker opgekomen kosten in verband met die nadere maatregelen.
4. Datalekken
4.1 Verantwoordelijke is verantwoordelijk voor het beoordelen van het bestaan van een verplichting tot, en het daadwerkelijk uitvoeren van, melding van een Datalek aan een toezichthoudende autoriteit en/of Betrokkene(n).
4.2 Verwerker zal enig Datalek, na kennisname hiervan door Xxxxxxxxx, zo snel mogelijk rapporteren aan Verantwoordelijke.
4.3 Verwerker zal op verzoek van Verantwoordelijke meewerken aan het adequaat informeren van Xxxxxxxxxxx of de toezichthoudende instanties over het Datalek, en zich beschikbaar houden voor overleg met Verantwoordelijke.
4.4 Verantwoordelijke en Verwerker betrachten strikte geheimhouding jegens ieder ander dan elkaar omtrent het Datalek, eventuele vrees voor een Datalek en verdere gerelateerde zaken, behoudens andersluidende verplichtingen ingevolge het Unierecht of Nederlands recht.
5. Geheimhouding
5.1 Partijen zijn zich ervan bewust dat Persoonsgegevens kwalificeren als confidentiële informatie en zij gehouden zijn tot geheimhouding van de Persoonsgegevens. Persoonsgegevens mogen slechts gebruikt worden ter uitvoering van de Overeenkomst en deze Verwerkersovereenkomst, behoudens afwijkende wettelijke verplichtingen.
5.2 Partijen zullen de Persoonsgegevens niet aan anderen ter beschikking stellen dan zijn eigen werknemers en/of derden die een legitieme reden hebben tot inzage daarvan. Verwerker zal waarborgen dat zijn werknemers en/of derden die toegang hebben tot de Persoonsgegevens zich ertoe hebben gebonden verbonden vertrouwelijkheid in acht te nemen.
5.3 Verwerker zal alle door Verantwoordelijke gespecificeerde Persoonsgegevens retourneren aan Verantwoordelijke en/of al deze informatie en eventuele kopieën hiervan vernietigen binnen 10 (tien) werkdagen na ontvangst van het verzoek daartoe van Verantwoordelijke.
6. Aansprakelijkheid
6.1 Verantwoordelijke is aansprakelijk voor enige schade die of enig nadeel dat een rechtspersoon of natuurlijke persoon, zoals maar niet beperkt tot Betrokkenen, lijdt doordat wordt gehandeld in strijd met de bij of krachtens de Wbp en AVG gegeven voorschriften.
6.2 Verwerker is slechts aansprakelijk voor de schade of het nadeel voor zover dit is ontstaan door haar werkzaamheid ten aanzien van de door Verantwoordelijke verstrekte en door Verwerker verwerkte Persoonsgegevens, tijdens de duur van deze Verwerkersovereenkomst.
6.3 De totale aansprakelijkheid van Verwerker als gevolg van een aan Verwerker toe te rekenen tekortkoming in de nakoming van de verplichtingen uit deze Verwerkersovereenkomst is beperkt tot het totaal van vergoedingen (exclusief btw) dat Verwerker heeft ontvangen van Verantwoordelijke, met een maximum van € 25.000, --, waarbij een reeks van samenhangende gebeurtenissen geldt als één gebeurtenis.
6.4 Verantwoordelijke vrijwaart Verwerker voor alle schade die Verwerker lijdt ten gevolge van aanspraken van derden, waaronder toezichthouders, als gevolg van of samenhangende met de uitvoering van deze Verwerkersovereenkomst.
7. Duur
7.1 De Verwerkersovereenkomst treedt in werking op het moment van ondertekening van de Overeenkomst en eindigt gelijktijdig met de eventuele beëindiging van de Overeenkomst. Deze Verwerkersovereenkomst kan niet eerder of later eindigen dan de Overeenkomst.
7.2 Indien Verantwoordelijke de wijze verwerking van Persoonsgegevens door Verwerker, een bepaling wenst te wijzigen, zullen partijen in overleg treden over de bepalingen van de Verwerkersovereenkomst. Xxxxxxxxxxx zijn slechts geldig indien goedgekeurd en schriftelijk bevestigd door Partijen.
7.3 Na afloop van de Verwerkingsactiviteiten zal Verwerker, op verzoek van Verantwoordelijke, alle persoonsgegevens wissen of aan Verantwoordelijke terugbezorgen, en bestaande kopieën verwijderen, tenzij opslag van de persoonsgegevens Unierechtelijk of volgens Nederlands recht verplicht is. De kosten verbonden aan die opslag kunnen bij Verantwoordelijke in rekening worden gebracht.
8. Beëindiging en wijziging
8.1 Na het einde van de Verwerkersovereenkomst, om welke reden dan ook, kan Verwerker geen rechten meer aan de Verwerkersovereenkomst ontlenen, onverlet latende het voortbestaan van de rechten en verplichtingen van partijen die naar hun aard bestemd zijn om voort te duren na het einde van de Verwerkersovereenkomst.
8.2 Indien zich in de toekomst wijzigingen voordoen in de nationale of Europese regelgeving over de bescherming van Persoonsgegevens, zullen Partijen deze Verwerkersovereenkomst wijzigingen voor zover dit nodig is om aan die nieuwe regelgeving te voldoen.
9. Overdracht
9.1 De tussen Verwerker en Verantwoordelijke gesloten Verwerkersovereenkomst en de daaruit voortvloeiende rechten en verplichtingen kunnen niet aan derden worden overgedragen zonder de schriftelijke toestemming van de andere partij.
10. Toepasselijk recht
10.1 Op deze Verwerkersovereenkomst is het Nederlandse recht van toepassing.
10.2 Geschillen tussen partijen, die niet in overleg kunnen worden opgelost, zullen worden voorgelegd aan de daartoe bevoegde Nederlandse rechter van de rechtbank Overijssel, zittingsplaats Zwolle.
10.3 Indien Verwerker van mening is dat een geschil tussen Partijen bestaat, is Verwerker gerechtigd de Verwerking van Persoonsgegevens te staken.
Appendix 1 – Verwerking van Persoonsgegevens
(Behorende bij de Verwerkingsovereenkomst gesloten tussen Verantwoordelijke en Verwerker betreffende verwerking van Persoonsgegevens)
De volgende categorieën Persoonsgegevens kunnen door Verwerker verwerkt worden:
• klantnaam
• klantadres
• klant-emailadres
• klanttelefoonnummer
• medewerkernaam
• medewerkeradres
• medewerker-emailadres
• medewerkertelefoonnummer
Doel van verwerking:
Het doel van de verwerking is het aan Verantwoordelijke bieden van de functionaliteiten van de software zoals overeengekomen in de Overeenkomst. Het gaat hierbij om het plannen van technische capaciteit voor het uitvoeren van werkzaamheden voor de persoon op wie de Persoonsgegevens betrekking hebben.
Duur van de verwerking
In beginsel voor de duur van de Overeenkomst.
Sub-Verwerkers:
Verantwoordelijke heeft specifieke toestemming aan Verwerker voor het inschakelen van de volgende Sub- Verwerkers
• Previder, webservers & datacenter, xxxxxx Xxxxxxxx 00, 0000 XX Xxxxxxx
• MongoDB Atlas, Database as a Service, opslag
Ireland (fysieke opslaglocatie: Eemshaven, Groningen)
Appendix 2 – Technische en Organisatorische Beveiligingsmaatregelen
(Behorende bij de Verwerkingsovereenkomst gesloten tussen Verantwoordelijke en Verwerker betreffende verwerking van Persoonsgegevens)
Beveiligingsmaatregelen per datum totstandkoming Verwerkingsovereenkomst:
• Alle gebruikers van Verantwoordelijke krijgen een persoonlijke gebruikersnaam en wachtwoord.
• Van alle login’s wordt de historie bijgehouden.
• Elke gebruiker heeft eigen, specifieke autorisatie. Verantwoordelijke is in staat om de rechten van elke gebruiker aan te passen aan de rol die de gebruiker heeft en de daarbij behorende rechten die deze gebruiker in de systemen van Verwerker daarom zou moeten krijgen.
• De systemen en daarmee de data is enkel te benaderen via webapplicatiesoftware met sterke encryptie.