Verwerkersovereenkomst RAM Online Marketing

Verwerkersovereenkomst RAM Online Marketing

Artikel 1. Begrippen

a. Algemene voorwaarden: de Algemene leverings- en betalingsvoorwaarden van Op- drachtnemer, die onverkort van toepassing zijn op iedere afspraak tussen Verwerker en Verantwoordelijke en van welke Algemene voorwaarden de Privacyvoorwaarden onlos- makelijk deel uitmaken.

b. Opdrachtnemer: RAM Online Marketing, gevestigd te Groningen, en alle overige aan haar gelieerde entiteiten, ondernemingen en/of vennootschappen, met alle vormen van dienstverlening vanuit deze ondernemingen zoals ook nader gespecificeerd onder de Werkzaamheden, zulks in de meest brede zin des woords, en waarbij de Opdrachtnemer in de Overeenkomst ook nader wordt gespecificeerd, hierna eveneens te noemen Op- drachtnemer, Verwerker.

c. Opdrachtgever: de natuurlijke persoon of rechtspersoon die aan Opdrachtnemer op- dracht heeft gegeven tot het verrichten van Werkzaamheden, hierna genoemd de Op- drachtgever, Verantwoordelijke.

d. Verwerker: de Opdrachtnemer als hiervoor gedefinieerd.

e. Overeenkomst: elke afspraak tussen Opdrachtgever en Opdrachtnemer tot het verrich- ten van Werkzaamheden (zoals hierna gedefinieerd) door Opdrachtnemer ten behoeve van de Opdrachtgever en zoals ook nader gespecificeerd in een overeenkomst van op- dracht respectievelijk opdrachtbevestiging tussen RAM Online Marketing en Opdrachtge- ver.

f. Verantwoordelijke: de Opdrachtgever die als natuurlijk persoon of rechtspersoon aan de Opdrachtnemer, eveneens Verwerker, opdracht heeft gegeven tot het verrichten van Werkzaamheden en die alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt.

g. Werkzaamheden: alle werkzaamheden waartoe opdracht door Opdrachtgever is gege- ven, of die door Opdrachtnemer uit anderen hoofde worden verricht ten behoeve van de Opdrachtgever. Het voorgaande geldt in de ruimste zin van het woord en omvat in ieder geval de werkzaamheden zoals vermeld in de Overeenkomst tussen Opdrachtgever en Opdrachtnemer respectievelijk zoals vermeld in de opdrachtbevestiging en ook eventuele nadien overeengekomen opdrachtbevestiging(en).

h. Verwerking: een bewerking of een geheel van bewerkingen met betrekking tot per- soonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geauto- matiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combi- neren, afschermen, wissen of vernietigen van gegevens.

i. Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuur- lijke persoon („de Betrokkene”) die in het kader van de Overeenkomst worden verwerkt; als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.

j. Medewerkers: personen die werkzaam zijn bij de Opdrachtnemer, ofwel in dienstbe- trekking dan wel tijdelijk ingehuurd.

k. Sub-verwerker: een andere verwerker die door de Verwerker wordt ingezet om ten be- hoeve van de Verantwoordelijke specifieke verwerkingsactiviteiten te verrichten.

l. Datalek: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot - of waarbij redelijkerwijs niet uit te sluiten valt dat die kan leiden tot - de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toe- gang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens.

m. Derden: anderen dan de Opdrachtnemer, Opdrachtgever en/of de Medewerkers.

n. Betrokkene(n): degene op wie een Persoonsgegeven betrekking heeft.

Artikel 2. Toepasselijkheid verwerkersovereenkomst

1. Deze Verwerkersovereenkomst is van toepassing op iedere Verwerking die in het kader van de uitvoering van de Overeenkomst met Opdrachtgever door Opdrachtnemer wordt gedaan voor Opdrachtgever als Verantwoordelijke.

2. Bij de uitvoering van de Overeenkomst verwerkt Verwerker bepaalde persoonsgegevens voor Verantwoordelijke. Verantwoordelijke is verantwoordelijk voor de verwerking van de Gegevens door de Verwerker.

3. Met deze Verwerkersovereenkomst wordt voldaan aan de Wet Bescherming Persoonsgege- vens (Wbp) respectievelijk de Algemene Verordening Gegevensbescherming (AVG), waarin de rechten en verplichtingen ten aanzien van de verwerking van Persoonsgegevens schriftelijk is geregeld, waaronder ten aanzien van de beveiliging.

4. Deze Verwerkersovereenkomst maakt, net als de Algemene voorwaarden van Verwerker, on- derdeel uit van de Overeenkomst en alle toekomstige overeenkomsten tussen Opdrachtgever en Opdrachtnemer.

5. Deze Verwerkersovereenkomst treedt in werking op datum van ondertekening en eindigt op het moment dat de Verwerker geen Persoonsgegevens meer onder zich heeft die zij in het ka- der van de Onderliggende Opdracht voor de Opdrachtgever verwerkt.

Artikel 3. Reikwijdte Verwerkersovereenkomst

1. Met het geven van de opdracht tot het verrichten van Werkzaamheden heeft Verantwoordelij- ke aan Verwerker de opdracht gegeven om de Gegevens te verwerken namens de Verant- woordelijke op de wijze zoals omschreven in de privacyvoorwaarden van de Opdrachtgever.

2. Verwerker verwerkt de Gegevens uitsluitend in overeenstemming met deze privacyvoorwaar- den (artikel 3.1). Verwerker bevestigt de Gegevens niet voor andere doeleinden te verwerken.

3. De zeggenschap over de Gegevens komt nooit bij Verwerker te rusten.

4. De Verantwoordelijke kan additionele, schriftelijke instructies aan Verwerker geven vanwege aanpassingen of wijzigingen in de van toepassing zijnde regelgeving op het gebied van be- scherming van persoonsgegevens.

5. Verwerker verwerkt de Gegevens enkel in de Europese Economische Ruimte, tenzij hierover andere afspraken zijn gemaakt.

6. De Verwerking van de Gegevens zal de Verwerker niet langer of uitgebreider doen dan nood- zakelijk voor de uitvoering van de Overeenkomst. De Verwerking vindt plaats volgens schrifte- lijke instructies van de Opdrachtgever, tenzij de Opdrachtnemer op grond van de wet- of re- gelgeving verplicht is om anders te handelen. Indien een instructie naar de mening van de Opdrachtnemer een inbreuk maakt op de AVG stelt de Opdrachtnemer de Opdrachtgever daarvan zo spoedig mogelijk in kennis.

Artikel 4. Verplichtingen Verantwoordelijke

1. Verantwoordelijke treft de nodige maatregelen opdat Persoonsgegevens, gelet op de doelein- den waarvoor zij worden verzameld of vervolgens worden verwerkt, juist en nauwkeurig zijn en als zodanig ook aan Verwerker worden verstrekt.

2. De Verwerking vindt plaats onder de verantwoordelijkheid van de Verantwoordelijke. De Ver- werker heeft geen zeggenschap over het doel en de middelen van de Verwerking en neemt geen beslissingen over zaken als het gebruik van Persoonsgegevens, de bewaartermijn van de voor de Verantwoordelijke verwerkte Persoonsgegevens en het verstrekken van Persoonsge- gevens aan derden. De Verantwoordelijke moet er voor zorgen dat deze het doel en de midde- len van de Verwerking van de Persoonsgegevens duidelijk heeft vastgesteld. De zeggenschap over de Persoonsgegevens berust nooit bij de Verwerker. Als de Opdrachtnemer een zelfstan- dige verplichting mocht hebben op basis van wettelijke voorschriften of de voor geldende be- roeps- en gedragsregels met betrekking tot Verwerking van Persoonsgegevens, dan leeft de Opdrachtnemer deze verplichtingen na.

3. De Opdrachtgever c.q. Verantwoordelijke is wettelijk verplicht de vigerende wet- en regelge- ving op het gebied van privacy na te leven. In het bijzonder dient de Verantwoordelijke vast te stellen of er sprake is van een rechtmatige grondslag voor het Verwerken van de Persoonsge- gevens. De Verwerker zorgt ervoor dat zij voldoen aan de op de Verwerker van toepassing zijnde regelgeving op het gebied van de Verwerking van Persoonsgegevens en de afspraken die zijn gemaakt in de Overeenkomst.

Artikel 5. Geheimhouding

1. Verwerker en de personen die in dienst zijn van Verwerker danwel werkzaamheden voor hem verrichten, voor zover deze personen toegang hebben tot persoonsgegevens, verwerken de Gegevens slechts in opdracht van Verantwoordelijke, behoudens afwijkende wettelijke ver- plichtingen.

2. Verwerker en de personen die in dienst zijn van Verwerker danwel werkzaamheden voor hem verrichten, voor zover deze personen toegang hebben tot persoonsgegevens, zijn verplicht tot geheimhouding van de persoonsgegevens waarvan zij kennis nemen, behoudens voor zover enig wettelijk voorschrift hen tot mededeling verplicht of uit een taak al dan niet voortvloeien- de uit de overeenkomst de noodzaak tot mededeling voortvloeit

3. De Opdrachtnemer zorgt ervoor dat alleen haar Medewerkers toegang hebben tot de Per- soonsgegevens. De uitzondering hierop is opgenomen in artikel 6 en artikel 10 (Sub-verwer- kers). De Opdrachtnemer zorgt er bovendien voor dat de Medewerkers die toegang hebben tot de Persoonsgegevens een juiste en volledige instructie hebben gekregen over de omgang met Persoonsgegevens en dat zij bekend zijn met de verantwoordelijkheden en wettelijke ver- plichtingen.

Artikel 6. Geen verdere verstrekking

1. Als Opdrachtnemer een verzoek krijgt om Persoonsgegevens ter beschikking te stellen dan zal Opdrachtnemer dit alleen doen als het verzoek is gedaan door een daartoe bevoegde instan- tie. Bovendien beoordeelt de Opdrachtnemer eerst of zij van mening zijn dat het verzoek bin- dend is, of dat zij op grond van gedrags- en beroepsregels aan het verzoek moeten voldoen.

2. Als er geen strafrechtelijke of andere juridische belemmeringen zijn, dan stelt de Opdracht- nemer de Opdrachtgever op de hoogte van het verzoek als genoemd in lid 1. Opdrachtnemer zal proberen dat op zodanig korte termijn te doen, dat het voor de Opdrachtgever mogelijk is om eventuele rechtsmiddelen tegen de verstrekking van de Persoonsgegevens in te stellen. Als de Opdrachtnemer de Opdrachtgever op de hoogte mag stellen dan zal ook overleg plaatsvinden over de wijze waarop en welke gegevens ter beschikking zullen worden gesteld.

Artikel 7. Beveiligingsmaatregelen

1. Verwerker zal – rekening houdend met de van toepassing zijnde regelgeving op het gebied van bescherming van Gegevens, de stand van de techniek en de kosten van tenuitvoerlegging – technische en organisatorische beveiligingsmaatregelen treffen om de Gegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking.

2. De Opdrachtgever heeft zich goed geïnformeerd over de door Opdrachtnemer genomen be- veiligingsmaatregelen – welke genoemd worden in het Privacybeleid van de Opdrachtnemer – en is van mening dat deze maatregelen een beveiligingsniveau hebben dat past bij de aard van de Persoonsgegevens en de omvang, context, doeleinden en risico’s van de Verwerking door de Verwerker. De Opdrachtnemer zal de Opdrachtgever informeren als één van de bevei- ligingsmaatregelen substantieel wijzigt.

3. Verwerker zorgt voor maatregelen die er mede op gericht zijn onnodige verzameling en verde- re verwerking van persoonsgegevens te voorkomen.

4. Bij het nemen van de beveiligingsmaatregelen is door Opdrachtnemer rekening gehouden met de te mitigeren risico’s, de stand van de techniek en de kosten van de beveiligingsmaatre- gelen. De Opdrachtnemer biedt passende waarborgen voor de toepassing van de technische en organisatorische beveiligingsmaatregelen met betrekking tot de te verrichten Verwerkin- gen.

Artikel 8. Toezicht op naleving

1. Verwerker stelt Verantwoordelijke in staat om na een daartoe strekkend verzoek eenmaal per kalenderjaar, onder aanzegging van een redelijke termijn, de naleving van Verwerker te con- troleren van de privacyvoorwaarden en met name van de beveiligingsmaatregelen die zijn ge- nomen zoals genoemd in artikel 7.

2. Als de Opdrachtgever de wijze waarop de Opdrachtnemer de beveiligingsmaatregelen naleeft wil laten inspecteren, dan kan hiertoe een verzoek aan de Opdrachtnemer worden gedaan conform artikel 8.1, waarover vervolgens nadere afspraken gemaakt kunnen worden. De kos- ten van een inspectie of uit te voeren audit – ook bij eventuele Sub-verwerkers - zijn voor re- kening van de Opdrachtgever en een kopie van het inspectierapport zal aan de Opdrachtne- mer ter beschikking worden gesteld. Partijen werken desgevraagd samen met de toezichthou- dende autoriteit bij het vervullen van haar taken.

Artikel 9. Datalek

1. Zo spoedig mogelijk nadat Xxxxxxxxx kennis neemt van een incident of datalek dat (mede) betrekking heeft of kan hebben op de Gegevens, c.q. de melding hierover van een Sub-bewer- ker heeft ontvangen, stelt Verwerker Verantwoordelijke hiervan op de hoogte via de bij Ver- werker bekende contactgegevens van Verantwoordelijke en zal Verwerker informatie verstrek- ken over: de aard van het incident of de datalek, de getroffen Gegevens, de vastgestelde en verwachte gevolgen van het incident of datalek op de Gegevens en de maatregelen die Ver- werker heeft getroffen en zal treffen.

2. Verwerker zal Verantwoordelijke ondersteunen bij meldingen aan betrokkenen en/of autoritei- ten. De melding van Datalekken aan de Autoriteit Persoonsgegevens en (eventueel) Betrokke- ne(n) is altijd de verantwoordelijkheid van de Verantwoordelijke.

3. Het (bij)houden van een register van Datalekken is altijd de verantwoordelijkheid van de Ver- antwoordelijke.

Artikel 10. Sub-verwerkers

1. De Opdrachtnemer kan andere verwerkers (Sub-verwerkers) inschakelen voor het uitvoeren van bepaalde werkzaamheden die voortvloeien uit de Overeenkomst, bijvoorbeeld als deze Sub-verwerkers over specialistische kennis of middelen beschikken waarover de Verwerker niet beschikt.

2. Als het inschakelen van Sub-Verwerkers tot gevolg heeft dat deze Persoonsgegevens gaan Verwerken dan zal de Opdrachtnemer die Sub-Verwerkers (schriftelijk) de verplichtingen uit deze overeenkomst en de toepasselijke privacyvoorwaarden opleggen dan wel een subver- werkersovereenkomst aangaan met de subverwerker die dezelfde plichten bevat als deze Verwerkersovereenkomst.

3. Voor het inschakelen van overige Sub-Verwerkers zal de Opdrachtnemer eerst om toestem- ming vragen van de Opdrachtgever. De Opdrachtgever kan toestemming weigeren maar dit kan in sommige gevallen betekenen dat de Opdrachtnemer de Overeenkomst moet beëindi- gen. Of een opdracht om deze reden moet worden beëindigd, is ter uitsluitende beoordeling aan de Opdrachtnemer.

Artikel 11. Aansprakelijkheid

1. Opdrachtnemer is slechts aansprakelijk, een en ander overeenkomstig hetgeen in de Wet be- scherming Persoonsgegevens en de AVG is bepaald, voor schade of nadeel voor zover dat ont- staat door zijn werkzaamheid en met inachtneming van het in dit artikel bepaalde. Opdracht- nemer is slechts aansprakelijk voor schade die aan hem kan worden toegerekend in het kader van zijn werkzaamheden volgens deze overeenkomst en/of niet-nakoming van verplichtingen uit deze overeenkomst door Opdrachtnemer.

2. Opdrachtnemer is niet aansprakelijk voor schade die het gevolg is van het door de Opdracht- gever (als Verantwoordelijke of anderszins) niet naleven van de AVG of andere wet- of regelge- ving. De Opdrachtgever vrijwaart de Opdrachtnemer ook voor aanspraken van derden of Be- trokkene(n) op grond van zulke schade en stelt Opdrachtnemer op eerste verzoek volledig schadeloos voor alle schaden en kosten. De vrijwaring geldt niet alleen voor de schade die derden of Betrokkene(n) hebben geleden (materieel maar ook immaterieel), maar ook voor de kosten die de Opdrachtnemer in verband daarmee moet maken, bijvoorbeeld in een eventue- le juridische procedure, en de kosten van eventuele boetes die aan de Opdrachtnemer wor- den opgelegd ten gevolge van het handelen van de Opdrachtgever. Het voorgaande geldt evenzo voor aanspraken van Betrokkene(n) of derden waarmee Opdrachtgever een samen- werking is aangegaan of waarvan Opdrachtgever de Gegevens verwerkt, als dit het gevolg is van onrechtmatig of nalatig handelen van de Opdrachtgever.

Artikel 12. Duur en beëindiging

1. Deze Verwerkersovereenkomst is geldig zolang Opdrachtnemer de opdracht heeft van Op- drachtgever om Xxxxxxxx te verwerken op grond van de Overeenkomst tussen Opdrachtge- ver en Opdrachtnemer.

2. Indien Opdrachtnemer op grond van een wettelijke bewaarplicht bepaalde gegevens en/of documenten, computerdisks of andere gegevensdragers waarop of waarin zich Gegevens be- vinden gedurende een wettelijke termijn moet bewaren, dan zal Opdrachtnemer zorgdragen voor de vernietiging van deze gegevens of documenten, computerdisks of andere gegevens- dragers na beëindiging van de wettelijke bewaarplicht.

3. De kosten van het verzamelen en overdragen van Persoonsgegevens bij het eindigen van de Onderliggende opdracht zijn voor rekening van de Opdrachtgever. Datzelfde geldt voor de kosten van de vernietiging van de Persoonsgegevens. Als de Opdrachtgever als Verantwoorde- lijke daarom vraagt dan geeft de Opdrachtnemer daarover vooraf een kosteninschatting.

4. Bij beëindiging van de Overeenkomst tussen Opdrachtgever en Opdrachtnemer kan Verant- woordelijke aan Verwerker verzoeken om alle documenten, computerdisks en andere gege- vensdragers, waarop of waarin zich gegevens bevinden, te retourneren aan Verantwoordelijke, voor rekening van Verantwoordelijke. In geval van retournering zal Verwerker de gegevens verstrekken in de vorm zoals bij Verwerker aanwezig.

5. Opdrachtnemer zal uitsluitend een kopie van de Persoonsgegevens bewaren als zij hiertoe op grond van wet- of (beroeps)regelgeving gerechtigd of verplicht zijn.

Artikel 13. Nietigheid en wijzigingen

1. Indien één of meerdere bepalingen uit deze Verwerkersovereenkomst nietig zijn of vernietigd worden, blijven de overige voorwaarden volledig van toepassing. Indien enige bepaling van deze Verwerkersovereenkomst niet rechtsgeldig is, zullen partijen over de inhoud van een nieuwe bepaling onderhandelen, welke bepaling de inhoud van de oorspronkelijke bepaling zo dicht mogelijk benaderd.

2. Aanvullingen en wijzigingen op deze Verwerkersovereenkomst zijn alleen geldig als ze op schrift zijn gesteld. Onder “schriftelijk” worden ook wijzigingen begrepen die per e-mail zijn gecommuniceerd, gevolgd door een akkoord per e-mail van de andere partij.

3. Een wijziging in de verwerkte Persoonsgegevens of in de betrouwbaarheidseisen, de privacy- regelgeving of andere eisen kan voor Opdrachtnemer aanleiding zijn om dit privacyreglement aan te vullen of te wijzigen. Indien dit leidt tot significante aanpassingen in de Overeenkomst, of wanneer Opdrachtnemer niet kan voorzien in een passend niveau van bescherming, kan dit voor Opdrachtnemer reden zijn om de Overeenkomst te beëindigen.

Artikel 14. Overige bepalingen

1. Op deze Verwerkersovereenkomst is Nederlands recht van toepassing.

2. Alle geschillen in verband met de Verwerkersovereenkomst of de uitvoering daarvan worden voorgelegd aan de daartoe bevoegde Nederlandse rechter.

3. Indien en voor zover de Opdrachtnemer in afwijking van het gestelde in deze Verwerkersover- eenkomst als Sub-Verwerker of als Verantwoordelijke dient te worden aangemerkt zullen de bepalingen in dit reglement zoveel mogelijk als wettelijk is toegestaan ook van toepassing zijn op de relatie tussen de Opdrachtnemer als Sub-Verwerker of als Verantwoordelijke en de Op- drachtgever (als Verwerker). De Opdrachtnemer wordt uitsluitend als Verantwoordelijke aan- gemerkt indien zij vanwege de Werkzaamheden doel en middelen voor de verwerking bepaalt.

4. Deze Verwerkersovereenkomst is hoger in rang dan andere door Opdrachtnemer met de Op- drachtgever gesloten overeenkomsten. Als de Opdrachtgever algemene voorwaarden gebruikt dan zijn deze niet van toepassing op deze Verwerkersovereenkomst. De bepalingen uit deze overeenkomst gaan boven de bepalingen in de algemene voorwaarden van de Opdrachtne- mer, tenzij expliciet naar een bepaling in de algemene voorwaarden wordt verwezen.