VERWERKERSOVEREENKOMST POWERTOOLS

VERWERKERSOVEREENKOMST POWERTOOLS

(hierna te noemen: de “Overeenkomst”)

De ondergetekenden:

1. De besloten vennootschap met beperkte aansprakelijkheid <naam uitzendbureau gebruikmakend powertools> B.V., statutair gevestigd en kantoorhoudende te

<vestigingsplaats> aan de <adres>, in deze rechtsgeldig vertegenwoordigd door de heer/mevrouw <naam gebruiker powertools>, hierna te noemen: de “Klant”;

en

2. De besloten vennootschap met beperkte aansprakelijkheid Flexportal B.V., statutair gevestigd te Bleiswijk en kantoorhoudende te Delft aan de Molengraaffsingel 12 (2629 JD), in deze rechtsgeldig vertegenwoordigd door de heer F. Hoornaar, hierna te noemen: de “Verwerker”;

hierna gezamenlijk ook te noemen: “Partijen”.

In aanmerking nemende dat:

• de Klant gebruik wenst te maken van de software van Verwerker;

• de Klant en Verwerker ten behoeve van het voorgaande een overeenkomst hebben gesloten, hierna te noemen: de “Opdrachtbevestiging”, welke als bijlage onderdeel uitmaakt van deze Overeenkomst;

• Verwerker bij de uitvoering van de Opdrachtbevestiging in sommige gevallen aangemerkt kan worden als Verwerker;

• Partijen hun rechten en plichten schriftelijk wensen vast te leggen middels deze Overeenkomst.

Verklaren te zijn overeengekomen als volgt:

Artikel 1   Definities

1. In deze Overeenkomst worden een aantal begrippen gebruikt. De betekenis van die begrippen zijn als volgt:

AP Autoriteit Persoonsgegevens

AVG De Algemene Verordening Gegevensbescherming, inclusief de uitvoeringswet van deze verordening.

Betrokkene Degene op wie een Persoonsgegeven betrekking heeft.

Bijzondere Dit zijn gegevens waaruit ras of etnische afkomst, politieke persoonsgegevens opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het

lidmaatschap van een vakbond blijken, en genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid. Alsmede persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende veiligheidsmaatregelen.

Datalek Een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot - of waarbij redelijkerwijs niet uit te sluiten valt dat die kan leiden tot - de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens.

Meldplicht De verplichting tot het melden van Datalekken aan de Autoriteit Datalekken Persoonsgegevens en (in sommige gevallen) aan Betrokkene(n).

Persoonsgegevens Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (de Betrokkene): als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.

Verantwoordelijke De natuurlijke persoon, rechtspersoon of ieder ander die of het bestuursorgaan dat, alleen of tezamen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt.

Verwerker Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de Verwerkingsverantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen.

Verwerking van Elke handeling of elk geheel van handelingen met betrekking tot

Persoonsgegevens persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens.

Verwerkings- Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, verantwoordelijke een dienst of een ander orgaan die/dat, alleen of samen met anderen,

het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt.

Artikel 2   Toepasselijkheid en looptijd

1. Deze Overeenkomst is van toepassing op iedere verwerking van persoonsgegevens die door Verwerker wordt gedaan ter uitvoering van de Opdrachtbevestiging.

2. Deze Overeenkomst treedt in werking per de datum van ondertekening van deze Overeenkomst door Partijen en eindigt op hetzelfde moment als de Opdrachtbevestiging tenzij in deze Overeenkomst anders is vermeld.

3. De Overeenkomst kan niet tussentijds worden opgezegd dan wel worden beëindigd.

Artikel 3   Doeleinden en verwerking

1. Verwerker verbindt zich onder de voorwaarden van deze Overeenkomst en in opdracht van de Klant persoonsgegevens te verwerken. Verwerking van persoonsgegevens zal uitsluitend plaatsvinden in het kader van het uitvoeren van de Opdrachtbevestiging en alle daarbij horende handelingen.

2. Verwerker zal de persoonsgegevens niet voor enig ander doel verwerken dan zoals door de Klant is vastgesteld. De Klant zal Verwerker op de hoogte stellen van de verwerkingsdoeleinden voor zover deze niet reeds in deze Overeenkomst en de Opdrachtbevestiging zijn genoemd.

3. De Verwerker heeft geen zeggenschap over het doel en de middelen voor de verwerking van persoonsgegevens. Verwerker neemt geen zelfstandige beslissingen over de ontvangst en het gebruik van de persoonsgegevens, de verstrekking aan derden en de duur van de opslag van persoonsgegevens.

4. Verwerker garandeert dat alleen werknemers van Verwerker toegang hebben tot de door de Klant aan Verwerker verstrekte persoonsgegevens. Verwerker dient ervoor zorg te dragen dat de werknemers die toegang hebben tot persoonsgegevens een

juiste en volledige instructie hebben gekregen over de omgang met persoonsgegevens en dat zij bekend zijn met de verantwoordelijkheden en wettelijke verplichtingen.

5. Als Xxxxxxxxx een verzoek krijgt om persoonsgegevens ter beschikking te stellen, dan is dit Verwerker alleen toegestaan indien het verzoek is gedaan door een daartoe bevoegde instantie. Verwerker beoordeelt eerst of het verzoek bindend is. Indien geen strafrechtelijke of andere juridische belemmeringen bestaan dan stelt Verwerker de Klant op zo kort mogelijke termijn op de hoogte van het verzoek.

Artikel 4   Verplichtingen Verwerker

1. Verwerker is wettelijk verplicht de vigerende wet- en regelgeving op het gebied van privacy na te leven. Verwerker dient er voor te zorgen dat Verwerker voldoet aan de op Verwerker van toepassing zijnde regelgeving op het gebied van de verwerking van persoonsgegevens en aan de afspraken neergelegd in deze Overeenkomst.

2. Verwerker zal de Klant, op diens eerste verzoek daartoe, informeren over de door Verwerker genomen maatregelen aangaande de verplichtingen onder deze Overeenkomst.

3. Het verwerken van persoonsgegevens door Verwerker zal nimmer met zich meebrengen dat de databases van Verwerker worden verrijkt met de persoonsgegevens afkomstig uit de datasets van de Klant.

Artikel 5   Doorgifte van persoonsgegevens

1. Verwerker mag de persoonsgegevens verwerken in landen binnen de Europese Unie. Doorgifte naar landen buiten de Europese Unie is uitsluitend toegestaan met inachtneming van de daarvoor geldende wet- en regelgeving.

2. Verwerker zal de Klant, op diens eerste verzoek daartoe, melden om welk land of welke landen het gaat.

Artikel 6   Verdeling van verantwoordelijkheid

1. Verwerker is slechts verantwoordelijk voor de verwerking van persoonsgegevens onder de Opdrachtbevestiging en deze Overeenkomst, overeenkomstig de instructies van de Klant en onder de uitdrukkelijke (eind)verantwoordelijkheid van de Klant. Voor alle overige verwerkingen van persoonsgegevens, waaronder in ieder geval begrepen maar niet beperkt tot de verzameling van de persoonsgegevens door de Klant, verwerkingen voor doeleinden die niet door de Klant aan Verwerker zijn gemeld, verwerkingen door derden en/of voor andere doeleinden, is Verwerker uitdrukkelijk

niet verantwoordelijk. De verantwoordelijkheid voor deze verwerkingen rust uitsluitend bij de Klant.

Artikel 7   Inschakelen van derden

1. Het is Verwerker toegestaan derden (andere verwerkers) in te schakelen voor het uitvoeren van bepaalde werkzaamheden op voorwaarde dat Verwerker met deze derden een verwerkersovereenkomst sluit.

Artikel 8   Beveiliging

1. Verwerker zal zich inspannen passende technische en organisatorische maatregelen te nemen met betrekking tot de te verrichten verwerkingen van persoonsgegevens, tegen verlies of tegen enige vorm van onrechtmatige verwerking (zoals onbevoegde kennisname, aantasting, wijziging of verstrekking van de persoonsgegevens).

2. Verwerker zal zich inspannen de beveiliging te laten voldoen aan een niveau dat, gelet op de stand van de techniek, de gevoeligheid van de persoonsgegevens en de aan het treffen van de beveiliging verbonden kosten, niet onredelijk is.

3. Verwerker evalueert periodiek, maar in ieder geval eenmaal per jaar, of het beschermingsniveau nog passend is gegeven de stand van de techniek, de aard van de verwerkte persoonsgegevens en de omvang, context, doeleinden en risico’s van de verwerking.

Artikel 9   Meldplicht datalekken en beveiligingsincidenten

1. Verwerker zal de Klant zo spoedig mogelijk, doch uiterlijk binnen 24 uur na de eerste ontdekking, schriftelijk informeren over alle (vermoedelijke) inbreuken op de beveiliging, datalekken alsmede andere incidenten die op grond van de wetgeving moeten worden gemeld aan de AP of betrokkene, onverminderd de verplichting de gevolgen van dergelijke inbreuken en incidenten zo snel mogelijk ongedaan te maken dan wel te beperken.

2. In het geval van een datalek en/of een beveiligingslek zal Verwerker, zich naar beste kunnen inspannen om de Klant daarover onmiddellijk te informeren en om de verstrekte informatie volledig, correct en accuraat te maken. De meldplicht geldt ongeachte de impact van het lek.

3. Indien de wet- en/of regelgeving dit vereist zal Verwerker meewerken aan het informeren van de terzake relevante autoriteiten en eventueel betrokkenen.

4. De meldplicht behelst in ieder geval het melden van het feit dat er een datalek heeft plaatsgevonden, alsmede:

• wat de (vermeende) oorzaak is van de datalek;

• wat het (vooralsnog bekende en/of te verwachten) gevolg is;

• wat de (voorgestelde) oplossing is;

• wat de reeds ondernomen maatregelen zijn.

5. Mededelingen over alle (vermoedelijke) inbreuken op de beveiliging, datalekken alsmede andere incidenten zullen door Verwerker worden gemeld aan:

Naam: ………………………………………………………………..

Contactgegevens: ……………………………………………..

Als de gegevens behorende bij de bovengenoemde persoon verandert, of wordt vervangen door andere personen, dan licht de Klant Verwerker daarover in.

6. Verwerker zal over een gedegen plan van aanpak beschikken betreffende omgang met en afhandeling van inbreuken. Xxxxxxxxx houdt ook een logboek bij van alle (vermoedens van) inbreuken op de beveiliging, evenals de maatregelen die in vervolg op dergelijke inbreuken zijn genomen.

Artikel 10 Afhandeling verzoeken van betrokkenen

1. In het geval dat een betrokkene een verzoek tot inzage, wijziging of verwijdering van een persoonsgegeven of persoonsgegevens doet, zal Verwerker het verzoek op een zo kort mogelijke termijn doorsturen aan de Klant, in ieder geval uiterlijk binnen één week, en de betrokkene hiervan op de hoogte stellen. De Klant zal het verzoek vervolgens verder zelfstandig afhandelen. Indien blijkt dat de Klant hulp nodig heeft van Verwerker voor de uitvoering van een verzoek van een betrokkene, dan zal Verwerker hier medewerking aan verlenen.

Artikel 11 Geheimhoudingsplicht

1. Op alle persoonsgegevens die Verwerker van de Klant ontvangt en/of zelf verzamelt dan wel bekend zijn geworden in het kader van de aard van de verstrekte Opdrachtbevestiging dan wel de uitvoering van deze Overeenkomst, rust een geheimhoudingsplicht jegens derden. Verwerker zal deze informatie niet voor een ander doel gebruiken dan waarvoor hij deze heeft verkregen.

2. Deze geheimhoudingsplicht is niet van toepassing voor zover de Klant uitdrukkelijk toestemming heeft gegeven om de informatie aan derden te verschaffen, indien het verstrekken van de informatie aan derden logischerwijs noodzakelijk is gezien de aard van de verstrekte Opdrachtbevestiging en de uitvoering van deze Overeenkomst, of

indien er een wettelijke verplichting bestaat om de informatie aan een derde te verstrekken.

Artikel 12 Audit

1. De Klant heeft het recht om een audit uit te laten voeren door een onafhankelijke ICT- deskundige die aan geheimhouding is gebonden ter controle van naleving van alle punten voortvloeiende uit deze Overeenkomst.

2. Deze audit vindt uitsluitend plaatst nadat de Klant de bij Verwerker aanwezige soortgelijke relevante auditrapportages heeft opgevraagd, beoordeeld en redelijke argumenten aanbrengt die een door de Klant geïnitieerde audit alsnog rechtvaardigen. De door de Klant geïnitieerde audit vindt niet eerder dan vier (4) weken na voorafgaande aankondiging door de Klant en maximaal eens per kalenderjaar plaats.

3. Verwerker zal aan de audit meewerken en alle voor de audit redelijkerwijs relevante informatie ter beschikking stellen.

4. De bevindingen naar aanleiding van de uitgevoerde audit zullen door Partijen in onderling overleg worden beoordeeld en, naar aanleiding daarvan, al dan niet worden doorgevoerd door één van de Partijen of door beide Partijen gezamenlijk.

5. De kosten voor de in te huren ICT-deskundige en medewerking door Verwerker zullen altijd door de Klant worden gedragen.

Artikel 13 Aansprakelijkheid

1. Indien Verwerker tekortschiet in de nakoming van de verplichtingen uit deze Overeenkomst kan de Klant Verwerker in gebreke stellen. Verwerker is echter onmiddellijk in gebreke als de nakoming van de desbetreffende verplichting anders dan door overmacht binnen de overeengekomen termijn, reeds blijvend onmogelijk is. Ingebrekestelling geschiedt schriftelijk, waarbij aan Verwerker een redelijke termijn wordt gegeven om alsnog aan de verplichting(en) na te komen. Deze termijn is een fatale termijn. Indien nakoming binnen deze termijn uitblijft, is Verwerker in verzuim.

2. Verwerker is aansprakelijk voor schade of nadeel voortvloeiende uit het niet nakomen van deze Overeenkomst, daaronder begrepen wanneer bij de verwerking niet wordt aan de specifiek tot verwerkingsgerichte verplichtingen van de AVG, of buiten de rechtmatige instructies van de Klant is gehandeld. Verwerker is tevens aansprakelijk voor alle schade die de Klant leidt ten gevolge van door Verwerker ingeschakelde derden die niet, niet juist, niet volledig of niet tijdig de verplichtingen voortvloeiende uit deze Overeenkomst naleven.

3. De aansprakelijkheid van Verwerker gaat nooit verder dan bepaald in de algemene voorwaarden van Verwerker, welke onderdeel uitmaken van de tussen de Klant en Verwerker overeengekomen Opdrachtbevestiging.

Artikel 14 Beëindiging en teruggave / vernietiging persoonsgegevens

1. Als de onderliggende Opdrachtbevestiging en daarmee deze Overeenkomst wordt beëindigd dan dient Verwerker de door de Klant verstrekte persoonsgegevens over te dragen aan de Klant, de verantwoordelijke of een door de Klant of de verantwoordelijke aangewezen derde, of als de Klant daarom verzoekt deze persoonsgegevens te vernietigen. Indien de Klant Verwerker verzoekt om de persoonsgegevens over te dragen dan draagt Verwerker er zorg voor dat deze persoonsgegevens volledig, op leesbare en begrijpelijke wijze, digitaal (tenzij anders verzocht) en zonder voorbehouden ter beschikking worden gesteld. Verwerker stemt de overdracht af met de ontvanger van de persoonsgegevens (de Klant, de verantwoordelijke of de aangewezen derde).

2. Indien Verwerker op grond van wet- of (beroeps)regelgeving verplicht is om een kopie van de persoonsgegevens te bewaren, informeert Verwerker de Klant hierover.

3. De kosten voor het verzamelen en overdragen van persoonsgegevens bij het eindigen van de onderliggende Opdrachtbevestiging en deze Overeenkomst zijn voor rekening van Xxxxxxxxx. Datzelfde geldt voor de kosten van de vernietiging van de persoonsgegevens. De Klant is gerechtigd om door een derde deskundige te laten vaststellen of de gegevens inderdaad niet meer in Verwerker haar systemen / administratie aanwezig zijn. De kosten voor deze derde deskundige zijn voor rekening van de Klant.

Artikel 15 Overige bepalingen

1. Deze Overeenkomst zal in tweevoud worden opgemaakt en worden ondertekend door Partijen. Zij zullen elke paragraaf van deze Overeenkomst afsluiten met hun paraaf.

2. Wijzigingen van en aanvullingen op deze Overeenkomst kunnen slechts rechtsgeldig geschieden door een door beide Partijen ondertekende schriftelijke aanvulling, welke aan deze Overeenkomst wordt gehecht en geacht wordt daarvan deel uit te maken.

3. Nietigheid van een of meer bepalingen van deze Overeenkomst leidt niet tot nietigheid van de overige bepalingen van de Overeenkomst. Partijen verplichten zich ter zake van de nietige bepalingen terstond met elkaar in overleg te treden en zullen voor het nietige artikel een nieuw artikel overeenkomen dat naar inhoud zoveel als mogelijk recht doet aan het oorspronkelijke artikel.

4. Indien de privacywetgeving wijzigt, zullen Partijen meewerken deze Overeenkomst aan te passen teneinde aan deze wetgeving te kunnen (blijven) voldoen.

Artikel 16 Rechts- en forumkeuze

1. Op alle rechtsverhoudingen en eventuele geschillen voortvloeiende uit of samenhangende met deze Overeenkomst is uitsluitend het Nederlands Recht van toepassing.

2. Alle geschillen voortvloeiende uit deze Overeenkomst, waaronder ook die geschillen welke slechts door een der Partijen als zodanig worden aangemerkt, welke mochten ontstaan naar aanleiding van deze Overeenkomst, dan wel van andere overeenkomsten daarvan het gevolg mochten zijn, worden voorgelegd aan de daartoe bevoegde rechter van de rechtbank Den Haag te Den Haag, tenzij alsnog een andere vorm van geschillenbeslechting wordt overeengekomen zoals arbitrage, mediation of bindend advies.

Aldus overeengekomen en in tweevoud opgemaakt en ondertekend te

                 op _                           .

De Klant: Verwerker:

Uitzendbureau gebruikmakend powertools Flexportal B.V.

Namens deze: naam contactpersoon Namens deze: P.F. Hoornaar

Bijlage:

- Opdrachtbevestiging (reeds in bezit)

- Verwerkersregister

- Beveiligingpolicy