Verwerkers- overeenkomst
Verwerkers- overeenkomst
1. Introductie
Deze Verwerkersovereenkomst beschrijft de afspraken over de aard, duur, beveiliging, geheimhoudingsplicht, privacy rechten en audits m.b.t. het verwerken van Persoonsgegevens door Inception in opdracht van de Klant.
Deze Verwerkersovereenkomst vormt samen met de SLA en getekende offertes en opdrachtbevestigingen, één geheel en tezamen vormen zij de Overeenkomst tussen Inception de Klant. De Verwerkersovereenkomst is onlosmakelijk verbonden met de SLA en kan niet los opgezegd worden door zowel Inception als de Klant.
In geval van tegenstrijdigheid tussen de documenten die tezamen de Overeenkomst vormen geldt de hieronder aangegeven volgorde waarbij een eerdergenoemd document prevaleert boven een later genoemd document.
• Overeenkomst c.q. getekende offerte
• SLA Hosting/ Koop
2. Definities
AVG | Algemene verordening gegevensbescherming |
Betrokkene | Degene op wie een Persoonsgegeven betrekking heeft. |
Derde | Ieder, niet zijnde de Betrokkene, de Verwerkingsverantwoordelijke, de Verwerker, of enig persoon die onder rechtstreeks gezag van de Verwerkingsverantwoordelijke of de Verwerker gemachtigd is om Persoonsgegevens te verwerken. |
Diensten | De diensten waarop de Hostingovereenkomst betrekking heeft. |
SLA Hosting | De Hostingovereenkomst zoals gesloten tussen Verwerker en de Verwerkingsverantwoordelijke. |
Overeenkomst | Het geheel van de SLA Hosting, Support- en serviceovereenkomst, getekende offertes c.q. opdrachtbevestigingen en deze Verwerkersovereenkomst. |
Persoonsgegeven | Een gegeven dat herleidbaar is tot een individuele natuurlijke persoon. |
Verwerker (Inception) | Degene die ten behoeve van de Verwerkingsverantwoordelijke Persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen. |
Verwerkers- overeenkomst | De afspraken over de aard, duur, beveiliging, geheimhoudingsplicht, privacy rechten en audits m.b.t. het verwerken van Persoonsgegevens door Xxxxxxxxx in opdracht van de Verwerkingsverantwoordelijke. |
Verwerkings- verantwoordelijke (Klant) | De natuurlijke persoon of rechtspersoon die het doel van en de middelen voor de verwerking van Persoonsgegevens vaststelt. |
3. Aanvang en looptijd
De aanvang en looptijd van deze Verwerkersovereenkomst is gelijk aan de aanvang en looptijd van de Overeenkomst. Voor reeds bestaande overeenkomsten is deze Verwerkersovereenkomst geldig vanaf het moment van ondertekening.
4. Onderwerp
De Klant is Verwerkingsverantwoordelijke in de zin van de AVG en Inception is Verwerker in de zin van de AVG. Inception verwerkt Persoonsgegevens in opdracht van de Klant in het kader van de diensten zoals beschreven in de Overeenkomst.
Inception verbindt zich om in het kader van die werkzaamheden de door de Verwerkingsverantwoordelijke ter beschikking gestelde Persoonsgegevens zorgvuldig te verwerken.
De Klant heeft de plicht, voortvloeiend uit de AVG, om ervoor zorg te dragen dat Inception voldoende waarborgen kent ten aanzien van de technische- en organisatorische beveiligingsmaatregelen met betrekking tot de te verrichten verwerkingen.
5. Naleving wet- en regelgeving
De betrokken medewerkers van de Klant zijn belast met het beheer van de in beheer zijnde gegevensverwerkingen op het gebied van Persoonsgegevens.
Inception verwerkt gegevens ten behoeve van de Verwerkingsverantwoordelijke, in overeenstemming met diens instructies.
Inception heeft geen zeggenschap over de ter beschikking gestelde Persoonsgegevens. Zo neemt zij geen beslissingen over ontvangst en gebruik van de gegevens, de verstrekking aan Derden en de duur van de opslag van gegevens. De zeggenschap over de Persoonsgegevens verstrekt onder deze Verwerkersovereenkomst komt nimmer bij Inception te berusten.
Inception zal bij de verwerking van Persoonsgegevens in het kader van de in artikel 4 genoemde werkzaamheden, handelen in overeenstemming met de toepasselijke wet- en regelgeving betreffende de bescherming van Persoonsgegevens. Inception verwerkt Persoonsgegevens slechts in opdracht van de contactpersoon van de klant en zal alle redelijke instructies van dat kennisveld dienaangaande opvolgen, behoudens afwijkende wettelijke verplichtingen.
Inception zal alle van de Klant afkomstige Persoonsgegevens met betrekking tot deze Verwerkersovereenkomst vernietigen op het moment van beëindigen van deze Verwerkersovereenkomst, dan wel op uitdrukkelijk verzoek van de Klant de gegevens te vernietigen op een nader te bepalen wijze en moment.
Inception stelt de Klant te allen tijde in staat om binnen de wettelijke termijnen te voldoen aan de verplichtingen op grond van de AVG, meer in het bijzonder de rechten van Betrokkenen, zoals, maar niet beperkt tot een verzoek om inzage, verbetering, aanvulling, verwijdering of afscherming van Persoonsgegevens en het uitvoeren van een gehonoreerd aangetekend verzet.
6. Meldplicht datalekken
De AVG vereist dat eventuele datalekken gemeld worden aan de Autoriteit Persoonsgegevens door de klant van de data. Inception zal daarom zelf geen meldingen doen bij de Autoriteit Persoonsgegevens. Uiteraard zal Inception als bewerker de klant juist, tijdig en volledig informeren over relevante incidenten, zodat de Klant aan zijn wettelijke verplichtingen kan voldoen.
6.1 Bepaling datalek
Voor het bepalen van een datalek, gebruikt Inception de AVG en de Beleidsregels meldplicht datalekken als leidraad. Onder een datalek vallen alle beveiligingsincidenten waardoor de bescherming van persoonsgegevens op enig moment is doorbroken of waardoor de persoonsgegevens blootgesteld zijn aan verlies of onrechtmatige verwerking.
Indien de klant een (voorlopige) melding verricht bij de Autoriteit Persoonsgegevens en/of de betrokkene(n) over een datalek bij Inception, terwijl zonder meer voor de klant duidelijk is dat bij Inception geen sprake is van een datalek dan is de klant aansprakelijk voor alle door Inception geleden schade en kosten. De klant is daarnaast verplicht een dergelijke melding direct in te trekken.
6.2 Melding aan de klant
Indien blijkt dat bij Inception sprake is van een datalek, dat door de klant gemeld moet worden aan de Autoriteit Persoonsgegevens en/of de betrokkene(n), dan zal Inception de klant daarover zo spoedig mogelijk informeren nadat Inception bekend is geworden met het datalek. Om dit te realiseren zorgt Inception ervoor dat al haar medewerkers in staat zijn en blijven om een datalek te constateren en verwacht Inception van haar opdrachtnemers dat zij Inception in staat stelt om hier aan te kunnen voldoen. Voor de duidelijkheid: als er een datalek is bij een leverancier van Inception, dan meldt Inception dit uiteraard ook. Inception is het contactpunt voor de klant. De klant hoeft geen contact op te nemen met de leveranciers van Inception.
Informeren klant
In eerste instantie zal Inception de primaire c.q. afgesproken contactpersoon van de klant informeren over een datalek. Mocht deze contactpersoon niet (meer) de juiste zijn, dan kan dat doorgegeven worden aan Inception.
Informatie verstrekken
Inception probeert de klant direct alle informatie te verstrekken die de klant nodig heeft om een volledige melding bij de Autoriteit Persoonsgegevens en/of de betrokkene(n) te verrichten. Indien deze informatie nog niet bekend is, bijvoorbeeld omdat het datalek door Inception wordt onderzocht, dan zal Inception de klant de informatie verstrekken die de klant nodig heeft om in ieder geval eerst een voorlopige melding bij de Autoriteit Persoonsgegevens en/of de betrokkene(n) te kunnen verrichten. Dit bevat in ieder geval de aard van de inbreuk, een beschrijving van de geconstateerde en de vermoedelijke gevolgen van de inbreuk en de getroffen en te treffen maatregelen om de negatieve gevolgen van het datalek te beperken en te verhelpen.
Termijn van informeren
De AVG geeft aan dat er ‘onverwijld’ gemeld moet worden. Dit is volgens de Autoriteit Persoonsgegevens
zonder onnodige vertraging en zo mogelijk niet later dan 72 uur na ontdekking. Inception informeert de
klant daarom zo snel mogelijk, uiterlijk binnen 48 uur na het ontdekken van een datalek, zodat de klant tijdig de melding kan doen bij de Autoriteit Persoonsgegevens.
Voortgang en maatregelen
Inception zal de klant op de hoogte houden over de voortgang en de maatregelen die getroffen worden. Inception maakt hierover afspraken met de primaire contactpersoon bij de initiële melding. In ieder geval houdt Inception de klant op de hoogte in geval van een wijziging van de situatie, het bekend worden van nadere informatie en over de maatregelen die getroffen worden.
Juist, tijdig en volledig
Inception registreert alle security incidenten en handelt deze volgens een vaste procedure (workflow) af.
7. Geheimhoudingsplicht
Personen in dienst van, dan wel werkzaam ten behoeve van, Inception zijn verplicht tot geheimhouding met betrekking tot de Persoonsgegevens waarvan zij kennis kunnen nemen, behoudens voor zover een bij, of krachtens de wet gegeven voorschrift tot verstrekking verplicht of zijn taak daartoe noodzaakt.
De medewerkers van Inception hebben hiertoe een geheimhoudingsverklaring getekend.
Indien Inception op grond van een wettelijke verplichting gegevens dient te verstrekken, zal Inception de grondslag van het verzoek en de identiteit van de verzoeker verifiëren en zal Inception de medewerker van de Verwerkingsverantwoordelijke, voorafgaand aan de verstrekking, ter zake informeren, tenzij wettelijke bepalingen dit verbieden.
Medewerkers van Inception hebben alleen volledige toegang tot de klantgegevens bij:
• het plaatsen van een nieuwe versie;
• het doorvoeren van patches en hotfixes;
• het onderzoeken van gemelde bugs en/ of performance-problemen;
• het maken van een back-up;
• het verplaatsen en herinstalleren van een omgeving.
8. Beveiligingsmaatregelen
De wijze waarop Inception toegang verkrijgt tot de data van de klant is afhankelijk van het feit of hosting van de systemen door Inception wordt gedaan voor de klant óff dat de systemen door de klant zelf worden gehost danwel installatie van de systemen on-premise bij de klant (of diens leveranciers) heeft plaatsgevonden. Bij hosting kan Inception op ieder moment toegang verkrijgen tot de systemen en de data daarin en in de andere gevallen is het toegang verkrijgen tot de systemen (toegangswijze, -duur en bereik) en de data daarin afhankelijk van het (beveiliging)beleid en bijbehorende faciliteiten van de klant.
Inception neemt alle passende technische en organisatorische maatregelen om de Persoonsgegevens welke worden verwerkt ten dienste van de klant te beveiligen en beveiligd te houden tegen verlies of tegen enige vorm van onzorgvuldig, ondeskundig of ongeoorloofd gebruik.
De klant is te allen tijde gerechtigd de verwerking van Persoonsgegevens te doen controleren. Inception is verplicht de Klant of controlerende instantie(s) in opdracht van Klant toe te laten en verplicht
medewerking te verlenen, zodat de controle daadwerkelijk uitgevoerd kan worden. De klant zal de kosten van de controlerende instantie in verband met deze controle dragen.
De klant zal de audit slechts (laten) uitvoeren na een voorafgaande schriftelijke melding aan Inception.
Inception verbindt zich om binnen een door de klant te bepalen termijn de Verwerkingsverantwoordelijke, of de door de klant ingeschakelde Derde, te voorzien van de verlangde informatie. Hierdoor kan de klant, of de door de klant ingeschakelde Derde, zich een oordeel vormen over de naleving door de Inception van deze Verwerkersovereenkomst. De klant, of de door de klant ingeschakelde Derde, is gehouden alle informatie betreffende deze controles vertrouwelijk te behandelen.
Inception staat er voor in, de door de klant of ingeschakelde Derde(n), aangegeven aanbevelingen ter verbetering binnen de daartoe door de Klant te bepalen termijn, voor zover redelijkerwijs verwacht mag worden én technisch en financieel haalbaar is, uit te voeren.
9. Derden/ subverwerkers
Inception zal geen nieuwe subverwerkers gegevens laten verwerken zonder de klant daarover tijdig te informeren. De klant kan, indien hij dat nodig acht, bezwaar maken bij Inception tegen de subverwerker en in het uiterste geval heeft de klant de mogelijkheid om de overeenkomst te beëindigen.
Inception blijft in deze gevallen te allen tijde aanspreekpunt en verantwoordelijk voor de naleving van de bepalingen uit deze Verwerkersovereenkomst. Inception draagt zorg voor het sluiten van een verwerkersovereenkomst met haar subverwerkers.
Inception is aansprakelijk voor schade in het kader van persoonsgegevens door handelen of nalaten van de subverwerker waarbij de aansprakelijkheidsbeperking uit het hoofdstuk Aansprakelijkheid geldt. De toepasselijke aansprakelijkheidsbeperking geldt niet indien er bij de subverwerker sprake is van grove nalatigheid of opzettelijk wangedrag. Inception is niet aansprakelijk in geval van overmacht (zoals gedefinieerd in het hoofdstuk Aansprakelijkheid) aan de kant van de subverwerker.
De datacenters waar de servers van Inception gehuisvest zijn, bevinden zich uitsluitend in Nederland. De datacenters vallen onder Nederlandse wet- en regelgeving en voldoen aan de strenge Nederlandse en Europese wetgeving met betrekking tot logische en fysieke toegangsbeveiliging en continuïteit. De datacenters zijn ISO 27001 gecertificeerd. Inception heeft gekozen voor datacenters van Nedcomp Hosting en deze is hiermee subverwerker van de klantdata. Persoonsgegevens worden door Inception en subverwerker uitsluitend verwerkt binnen de Europese Economische ruimte.
10. Wijziging overeenkomst
Wijziging van deze Verwerkersovereenkomst kan slechts schriftelijk plaatsvinden middels een door alle partijen geaccordeerd voorstel.
Zodra de samenwerking is beëindigd, vernietigt Inception de Persoonsgegevens die hij van de Klant heeft ontvangen, in welke vorm dan ook en toont dit aan, tenzij partijen iets anders overeenkomen. Deze vernietiging moet, binnen nader overeen te komen termijn, uitgevoerd worden en hiervan wordt een verslag gemaakt.
Deze Verwerkersovereenkomst eindigt, naast met wederzijds goedvinden, slechts wanneer de samenwerking tussen partijen welke aanleiding heeft gegeven tot deze Verwerkersovereenkomst, wordt beëindigd.
11. Aansprakelijkheid
Indien Inception tekortschiet in de nakoming van de verplichting uit deze Verwerkersovereenkomst kan Klant hem in gebreke stellen. Ingebrekestelling geschiedt schriftelijk, waarbij aan Inception een redelijke termijn wordt gegund om alsnog haar verplichtingen na te komen.
Inception kan op de aansprakelijkheidsbeperkingen geen beroep doen als er sprake is een toerekenbare tekortkoming in het handelen van haarzelf of van haar medewerkers.
Inception sluit haar aansprakelijkheid uit voor indirecte schade (dit is onder meer, maar niet beperkt tot: gederfde omzet, gederfde winst en gemiste kansen). De aansprakelijkheid van Inception is ook uitgesloten als de klant of door de klant ingeschakelde derden wijzigingen in producten van Inception hebben aangebracht, wat niet is toegestaan.
Inception en de klant zijn niet aansprakelijk ten opzichte van elkaar als er sprake is van overmacht. Onder overmacht wordt verstaan: overmacht in de zin van de wet, ook bij toeleveranciers, ondeugdelijke nakoming van verplichtingen van toeleveranciers die door de klant aan Inception zijn voorgeschreven, storingen in het elektriciteitsnet en storingen die dataverkeer belemmeren voor zover de oorzaak daarvan niet is te wijten aan partijen zelf.
Ondertekening
Partijen verklaren te zijn overeengekomen een Verwerkersovereenkomst als bedoeld in art. 28, lid 3 van
de AVG.
Namens de Verwerkingsverantwoordelijke | Namens de Verwerker |
Naam organisatie: Naam en functie: Datum: | Naam organisatie: Inception Naam en functie: X.X.X. xxx Xxx, directeur Date: 09-03-2022 |