Subverwerkersovereenkomst - RvH Hosting
Subverwerkersovereenkomst - RvH Hosting
Partijen
• <KLANT>, gevestigd aan <KLANT ADRES>, hierbij rechtsgeldig vertegenwoordigd door
<KLANT VERTEGENWOORDIGER> (hierna: "Verwerker");
• XxX Xxxxxxx, ingeschreven bij de Kamer van Koophandel onder nummer 87470691 (hierna: "Subverwerker");
Hierna gezamenlijk te noemen de "Partijen" en afzonderlijk "Partij", in aanmerking nemende dat:
• Verwerker namens Verwerkingsverantwoordelijke(n) de beschikking heeft over persoonsgegevens van diverse betrokkenen;
• Subverwerker in het kader van haar dienstverlening persoonsgegevens van diverse betrokkenen verwerkt ten behoeve van Verwerker;
• Subverwerker tevens bereid is verplichtingen omtrent beveiliging en andere aspecten van de Algemene Verordening Gegevensbescherming (hierna: “AVG”) na te komen;
• Met persoonsgegevens gegevens in de zin van artikel 4 lid 1 van de AVG bedoeld worden; Verwerker aangemerkt kan worden als Verwerker in de zin van artikel 4 lid 8 van de AVG;
• Partijen, mede gelet op het vereiste uit artikel 28 lid 1 van de AVG, hun rechten en plichten schriftelijk wensen vast te leggen middels deze Subverwerkersovereenkomst (hierna: “Subverwerkersovereenkomst”).
zijn als volgt overeengekomen:
Artikel 1. Doeleinden van verwerking
1.1 Subverwerker verbindt zich onder de voorwaarden van deze Subverwerkersovereenkomst in opdracht van Xxxxxxxxx persoonsgegevens te verwerken. De verwerking ziet op één of meerdere de diensten zoals genoemd in bijlage 1A. Verwerking zal uitsluitend plaatsvinden voor één of meerdere doeleinden zoals beschreven in bijlage 1B.
Deze Subverwerkersovereenkomst is alleen van toepassing op verwerking van persoonsgegevens door Subverwerker voor Verwerker, en niet op activiteiten die geen verwerking van persoonsgegevens inhouden.
1.2 De soorten persoonsgegevens die door Subverwerker worden verwerkt, zijn opgenomen in Bijlage 1C, de categorieën betrokkenen zijn opgenomen in Bijlage 1D. Subverwerker zal de persoonsgegevens niet voor enig ander doel verwerken dan door Verwerker is vastgesteld. Verwerker zal Subverwerker op de hoogte stellen van de verwerkingsdoeleinden voor zover deze niet reeds in deze Subverwerkersovereenkomst zijn genoemd.
1.3 De in opdracht van Xxxxxxxxx te verwerken persoonsgegevens blijven eigendom van Verwerkingsverantwoordelijke en/of de betreffende betrokkenen.
1.4 Subverwerker zal een register, conform artikel 30 van de AVG, bijhouden van alle verwerkingen van persoonsgegevens onder deze Subverwerkersovereenkomst.
Artikel 2. Verplichtingen Subverwerker
2.1 Subverwerker zal zorg dragen voor het naleven van de voorwaarden die wettelijk aan haar worden gesteld bij het verwerken van persoonsgegevens voor Verwerker.
2.2 Subverwerker zal Verwerker informeren over de door haar genomen maatregelen aangaande haar verplichtingen onder deze Subverwerkersovereenkomst en relevante privacywet- en regelgeving. Deze staan beschreven in bijlage 2.
2.3 De verplichtingen van Subverwerker die uit deze Subverwerkersovereenkomst voortvloeien, gelden ook voor degenen die persoonsgegevens verwerken onder het gezag van Subverwerker, waaronder begrepen maar niet beperkt tot werknemers, in de ruimste zin van het woord.
2.4 Subverwerker zal de noodzakelijke medewerking verlenen wanneer er in het kader van de verwerking een gegevensbeschermingseffectbeoordeling, of een voorafgaande raadpleging van de toezichthouder, noodzakelijk mocht zijn.
Artikel 3. Doorgifte van persoonsgegevens
3.1 Subverwerker verwerkt persoonsgegevens in landen binnen de Europese Unie. Subverwerker verwerkt daarnaast persoonsgegevens in landen buiten de Europese Unie. Denk hierbij aan het registreren van een domeinnaam die slechts verwerkt kan worden door de overkoepelende organisatie ICANN. Subverwerker zal Verwerker op verzoek aangeven om welke landen het gaat.
Artikel 4. Verdeling van verantwoordelijkheid
4.1 De toegestane verwerkingen worden uitgevoerd binnen een (semi-)geautomatiseerde omgeving onder controle van Subverwerker.
4.2 Subverwerker is louter verantwoordelijk voor de verwerking van de persoonsgegevens onder deze Subverwerkersovereenkomst, overeenkomstig de instructies van Verwerker en onder de uitdrukkelijke (eind-)verantwoordelijkheid van Verwerker. Voor de overige verwerkingen van persoonsgegevens, waaronder in ieder geval begrepen, maar niet beperkt tot, de verzameling van de persoonsgegevens door de Verwerker, verwerkingen voor doeleinden die niet door Verwerker aan Subverwerker zijn gemeld, verwerkingen door derden en/of voor andere doeleinden, is Subverwerker uitdrukkelijk niet verantwoordelijk.
Artikel 5. Inschakelen van derden of onderaannemers
5.1 Verwerker geeft Subverwerker hierbij toestemming om bij de verwerking van persoonsgegevens op grond van deze Subverwerkersovereenkomst, gebruik te maken van onderaannemers met inachtneming van de toepasselijke privacywetgeving.
5.2 Subverwerker zorgt ervoor dat deze onderaannemers schriftelijk dezelfde plichten op zich nemen als tussen Verwerker en Subverwerker zijn overeengekomen. Subverwerker spant zich in voor een correcte naleving van deze plichten door deze onderaannemers.
Artikel 6. Meldplicht
6.1 In het geval van ontdekking van een datalek (een inbreuk op de beveiliging van persoonsgegevens die leidt tot een aanzienlijke kans op ernstige nadelige gevolgen, dan wel ernstige nadelige gevolgen heeft, voor de bescherming van persoonsgegevens) zal Subverwerker de Verwerker daarover onverwijld informeren, naar aanleiding waarvan Verwerker beoordeelt of zij de Verwerkingsverantwoordelijke zal informeren of niet. Onder een datalek wordt verstaan: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens; tenzij het niet waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van natuurlijke personen). De meldplicht van de Subverwerker geldt alleen indien een lek daadwerkelijk heeft plaatsgevonden.
6.2 De meldplicht behelst in ieder geval het melden van het feit dat er een lek is geweest, alsmede, voor zover bekend bij Subverwerker:
• Wat de (vermeende) oorzaak is van het lek;
• Wat het (vooralsnog bekende en/of te verwachten) gevolg is;
• Wat de (voorgestelde) oplossing is;
• Contactgegevens voor de opvolging van de melding;
• Het aantal personen waarvan gegevens zijn gelekt (indien geen exact aantal bekend is: het minimale en maximale aantal personen waarvan gegevens zijn gelekt);
• Een omschrijving van de groep personen van wie gegevens zijn gelekt; het soort of de soorten persoonsgegevens die gelekt zijn;
• De datum waarop het lek heeft plaatsgevonden (indien geen exacte datum bekend is: de periode waarbinnen het lek heeft plaatsgevonden);
• De datum en het tijdstip waarop het lek bekend is geworden bij Verwerker of bij een door hem ingeschakelde derde / onderaannemer;
• Of de gegevens versleuteld, gehasht of op een andere manier onbegrijpelijk of ontoegankelijk zijn gemaakt voor onbevoegden;
• Wat de voorgenomen en/of reeds ondernomen maatregelen zijn om het lek te dichten en om de gevolgen van het lek te beperken.
6.3 Verwerker zal zorg dragen voor het voldoen aan eventuele (wettelijke) meldplichten. Indien relevante wet- en/of regelgeving dit vereist, zal Subverwerker meewerken aan het informeren van de terzake relevante autoriteiten en/of betrokkenen.
Artikel 7. Beveiliging
7.1 Subverwerker zal passende technische en organisatorische maatregelen nemen met betrekking tot de te verrichten verwerkingen van persoonsgegevens, tegen verlies of tegen enige vorm van onrechtmatige verwerking (zoals onbevoegde kennisname, aantasting, wijziging of verstrekking van de persoonsgegevens). Subverwerker heeft hiertoe de in Bijlage 2 benoemde beveiligingsmaatregelen genomen.
7.2 Subverwerker zal bij een dreiging van of daadwerkelijk doorbreken van deze beveiligingsmaatregelen alles doen dat redelijkerwijs mogelijk is om verlies van persoonsgegevens te voorkomen dan wel zo veel mogelijk te beperken.
Artikel 8. Afhandeling verzoeken van betrokkenen
8.1 In het geval dat een betrokkene een van zijn wettelijke rechten met betrekking tot zijn persoonsgegevens wenst uit te oefenen en een verzoek hiertoe richt aan Subverwerker, zal Subverwerker dit verzoek doorzenden aan Verwerker. Verwerker zal vervolgens zorgdragen
voor de afhandeling van het verzoek. Subverwerker mag de betrokkene daarvan op de hoogte stellen.
8.2 In het geval dat een betrokkene een verzoek tot uitoefening van een van zijn wettelijke rechten met betrekking tot persoonsgegevens indient, zal Subverwerker aan Verwerker technische ondersteuning verlenen bij het uitvoeren van het verzoek, voor zover mogelijk en voor zover dit redelijk is. Subverwerker mag hiervoor redelijke kosten bij Verwerker in rekening brengen.
Artikel 9. Geheimhouding en vertrouwelijkheid
9.1 Op alle persoonsgegevens die Subverwerker van Verwerker ontvangt en/of zelf verzamelt in het kader van deze Verwerkersovereenkomst, rust een geheimhoudingsplicht jegens derden. Bovendien hebben binnen de organisatie van Subverwerker slechts die personen toegang tot persoonsgegevens, voor wie dit op grond van hun taken noodzakelijk is; en voor zover dit voor hun taken noodzakelijk is. Op de resultaten van de audit als omschreven in artikel 10 (Audit), rust voor de Subverwerker een geheimhoudingsplicht jegens derden.
9.2 De geheimhoudingsplicht jegens derden is niet van toepassing voor zover Verwerker uitdrukkelijke voorafgaande schriftelijke toestemming heeft gegeven om de informatie aan derden te verschaffen, indien het verstrekken van de informatie aan derden logischerwijs noodzakelijk is gezien de aard van de verstrekte opdracht en de uitvoering van deze Subverwerkersovereenkomst, of indien er een wettelijke verplichting bestaat om de informatie aan een derde te verstrekken. Indien Subverwerker wettelijk verplicht is informatie aan een derde te verstrekken, zal Subverwerker de Verwerker hier onverwijld over informeren, voor zover dat wettelijk is toegestaan.
Artikel 10. Audit
10.1 Verwerker heeft het recht om een audit uit te laten voeren door een door beiden Partijen schriftelijke overeengekomen onafhankelijke deskundige derde die aan geheimhouding is gebonden, ter controle van de naleving van deze Subverwerkersovereenkomst.
10.2 Deze audit vindt uitsluitend plaats bij een concreet en schriftelijk gemotiveerd vermoeden van misbruik van persoonsgegevens door Subverwerker. De door Verwerker geïnitieerde audit vindt veertien (14) kalenderdagen na voorafgaande schriftelijke aankondiging door Verwerker plaats.
10.3 Subverwerker zal aan de audit meewerken en alle voor de audit redelijkerwijs relevante informatie, binnen een redelijke termijn ter beschikking stellen, waarbij een termijn van veertien (14) kalenderdagen redelijk is.
10.4 De bevindingen naar aanleiding van de uitgevoerde audit zullen door Partijen in onderling overleg worden beoordeeld en, naar aanleiding daarvan, indien noodzakelijk, worden doorgevoerd door één van de Partijen of door beide Partijen gezamenlijk.
10.5 De kosten van de audit worden gedragen door Verwerker.
Artikel 11. Aansprakelijkheid
11.1 De aansprakelijkheid van Subverwerker voor schade als gevolg van een toerekenbare tekortkoming in de nakoming van de Subverwerkersovereenkomst is per gebeurtenis (een reeks samenhangende gebeurtenissen geldt als één gebeurtenis) beperkt tot de vergoeding van directe schade. De aansprakelijkheid van Subverwerker voor indirecte schade is uitgesloten.
Artikel 14 lid 1 tot en met lid 12 van de Algemene Voorwaarden van Subverwerker zijn van overeenkomstige toepassing, met dien verstande dat de in artikel 14 lid 4 onder a de voor de overeenkomst bedongen prijs wordt gesteld op het totaal van de vergoedingen (excl.
BTW) bedongen voor één jaar en het in artikel 14 lid 4 sub b genoemde bedrag € 1.000,-- (één duizend euro) bedraagt voor de aansprakelijkheid voortvloeiende uit deze Subverwerkersovereenkomst.
De totale aansprakelijkheid van de Subverwerker voortvloeiende uit deze overeenkomst jegens Verwerker en Derden tezamen voor schade als gevolg van een (reeks van) samenhangende gebeurtenissen zijn beperkt tot de door de Verzekeraar uit te keren bedragen waarbij alle uit te keren schadebedragen van Verwerker en Derden tezamen nimmer meer dan het totale door de Verzekeraar uit te keren bedrag van € 1.000,-- (één duizend euro) zal zijn.
11.2 Dit lid is vervallen.
11.3 Tenzij nakoming door Subverwerker blijvend onmogelijk is, ontstaat de aansprakelijkheid van Subverwerker wegens toerekenbare tekortkoming in de nakoming van de Subverwerkersovereenkomst slechts indien Verwerker de Subverwerker onverwijld doch binnen 48 uur schriftelijk in gebreke stelt, waarbij een redelijke termijn voor de
zuivering van de tekortkoming schriftelijk tussen Partijen wordt overeengekomen, en Subverwerker ook na die termijn toerekenbaar blijft tekortschieten in de nakoming van haar verplichtingen. De ingebrekestelling dient een zo volledig en gedetailleerd mogelijke omschrijving van de tekortkoming te bevatten, opdat Subverwerker in de gelegenheid wordt gesteld adequaat te reageren.
11.4 Iedere vordering tot schadevergoeding door Verwerker tegen Subverwerker die niet gespecificeerd en expliciet is gemeld, vervalt door het enkele verloop van zes (6) maanden na het ontstaan van de vordering.
11.5 Verwerker verplicht zich te verzekeren en zich verzekerd te houden door middel van een aansprakelijkheidsverzekering voor de duur van de Overeenkomst voor de risico’s zoals bedoeld in dit artikel.
Artikel 12. Duur en beëindiging
12.1 Deze Subverwerkersovereenkomst komt tot stand door ondertekening van Partijen en op de datum van de laatste ondertekening.
12.2 Deze Subverwerkersovereenkomst is aangegaan voor de duur waarbinnen Subverwerker Persoonsgegevens verwerkt namens en in opdracht van Verwerker voor de doeleinden omschreven in deze Subverwerkersovereenkomst.
12.3 Deze Subverwerkersovereenkomst mag worden gewijzigd met schriftelijke instemming van beide partijen.
12.4 Na beëindiging van de Subverwerkersovereenkomst zal Subverwerker alle persoonsgegevens die bij haar aanwezig zijn vernietigen, tenzij Partijen schriftelijk anders overeenkomen. Dit tenzij Subverwerker wettelijk verplicht is de gegevens langer te bewaren.
12.5 Indien enige bepaling uit de Subverwerkersovereenkomst nietig blijkt te zijn of wordt vernietigd, blijven de overige bepalingen volledig van kracht. Partijen zullen alsdan in overleg treden teneinde een nieuwe bepaling ter zake van de nietige of vernietigde bepaling overeen te komen, waarbij zoveel mogelijk het doel en de strekking van de nietige of vernietigde bepaling in acht zullen worden genomen.
12.6 Partijen zullen elkaar volledige medewerking verlenen teneinde deze Subverwerkersovereenkomst aan te passen en geschikt te maken voor eventuele nieuwe of gewijzigde privacywetgeving.
Artikel 13. Toepasselijk recht en geschillenbeslechting
13.1 De Subverwerkersovereenkomst en de uitvoering daarvan worden beheerst door Nederlands recht.
13.2 Alle geschillen welke tussen Partijen mochten ontstaan in verband met de Subverwerkersovereenkomst, zullen worden voorgelegd aan de bevoegde rechter in het arrondissement waar Subverwerker gevestigd is.
13.3 In geval van strijdigheid tussen deze Subverwerkersovereenkomst en de Overeenkomst en/of toepasselijke algemene voorwaarden, prevaleert de Subverwerkersovereenkomst.
Aldus in tweevoud overeengekomen en opgemaakt te Hendrik-Ido-Ambacht op <DAG>
<MAAND <JAAR>.
Namens RvH Hosting,
X.X. xxx Xxxx Namens de klant,
<klant contactpersoon>, <functie>
Bijlage 1: Specificatie persoonsgegevens
In de navolgende bijlagen worden alle mogelijkheden opgesomd. Alleen de mogelijkheden die betrekking hebben op uw specifieke situatie zijn echter van toepassing.
1A Diensten
Subverwerker verwerkt persoonsgegevens in het kader van (één of meerdere van) de volgende diensten:
• Hosting
• VPS
• Domeinnaamregistratie
• SSL-certificaten
• Billing
• Overdracht gegevens wanbetalers richting diverse instellingen
• Private Network
1B Doeleinden
Subverwerker verwerkt persoonsgegevens voor (één of meerdere van) de volgende doeleinden:
• Hosting
• VPS
• Om een domeinnaam te registreren
• Beveiliging
• Opzetten netwerk
• Om te voldoen aan de eisen van de whois-database
• Klantinformatie ten behoeve van de facturatie
1C Categorieën
Subverwerker verwerkt namens Xxxxxxxxx (één of meerdere van) de volgende categorieën persoonsgegevens:
• NAW-gegevens
• Contactgegevens
• Identificatienummer
• Klantnummer
• Betaalgegevens
• Cv
• Geboortedatum
• Geslacht
• Nationaliteit
• Inloggegevens
• Financiële gegevens en betalingsgegevens
• IP-adres
• Socialmedia-accounts
• Gegevens over klik- en surfgedrag
• Gegevens over bestellingen en gebruik van diensten/producten
• Inhoud van e-mails, contactformulieren, chatberichten en andere communicatie Kenteken
• Locatiegegeven
• Pasfoto’s
• Camerabeelden
• Personeelsdossier
• Biometrische gegevens
• Burgerservicenummer (BSN)
• Genetische gegevens
• Kopie ID-bewijs
• Levensovertuiging of geloof
• Ras
• Seksuele voorkeur
• Lidmaatschap van een vakbond
• Gezondheidsgegevens/medische gegevens
• Strafrechtelijke gegevens of gegevens over onrechtmatig/hinderlijk gedrag
• Overige via de diensten van Verwerker opgeslagen of anderszins te verwerken gegevens
1D Betrokkenen
Het betreft (één of meerdere van) de volgende categorieën betrokkenen:
• Klanten
• Websitebezoekers
• Medewerkers
• Sollicitanten
• Accounthouders
• Potentiële klanten
• Leveranciers
• Overige categorieën personen van wie er persoonsgegevens verwerkt worden via de diensten van Subverwerker
Verwerker staat ervoor in dat de in deze Bijlage 1 omschreven persoonsgegevens en categorieën volledig en correct zijn, en vrijwaart Subverwerker voor enige gebreken en aanspraken die resulteren uit een incorrecte weergave door Verwerker.
Bijlage 2: Beveiligingsmaatregelen
Subverwerker heeft de volgende beveiligingsmaatregelen genomen:
• Logische toegangscontrole, gebruikmakend van sterke wachtwoorden;
• Fysieke maatregelen voor toegangsbeveiliging;
• Monitoring van genomen beveiligingsmaatregelen;
• Organisatorische maatregelen voor toegangsbeveiliging;