BEELDR.nl / studio@BEELDR.nl /
XXXXXX.xx / xxxxxx@XXXXXX.xx /
0x Xxxxxxxxxxxxxxxx 00x / 0000 XX Xxxxxx /
x00 (0)00 000 00 00
0x Xxxxxxxxxxxxxxxx 00x 0000 XX Xxxxxx
x00 0 00 00 00 00
Beeldr Verwerkersovereenkomst
De ondergetekenden:
1. BEELDR
Gevestigd te 0x Xxxxxxxxxxxxxxxx 00x, 0000 XX Xxxxxx Ingeschreven bij de KvK onder nummer 24485899
Hierna te noemen “de Verwerker”,
en
2.
Gevestigd te
Ingeschreven bij de KvK onder nummer Rechtsgeldig vertegenwoordigd door haar De heer/mevrouw
Hierna te noemen “de Opdrachtgever” of “de Verantwoordelijke”,
nemen bij het aangaan van de overeenkomst het volgende in aanmerking:
- De Opdrachtgever heeft aan de Verwerker opdracht verstrekt om
zoals overeengekomen op [Datum] (hierna: “de Hoofdovereenkomst”);
- Voor de uitvoering van de Hoofdovereenkomst, ontvangt de Verwerker van de Opdrachtgever direct of indirect gegevens, waarvan een deel te herleiden is tot een geïdentificeerde of identificeerbare natuurlijke persoon, zodat dit de verwerking van persoonsgegevens betreft waarop de Algemene Verordening Persoons- gegevens van toepassing is.
- Omdat de Opdrachtgever het doel van en de middelen voor de verwerking van de Persoonsgegevens vast- stelt, is de Opdrachtgever ‘Verantwoordelijke’ in de zin van de AVG. De Verwerker die de daadwerkelijke verwerking uitvoert op instructie van de Opdrachtgever, is “Verwerker” in de zin van de AVG.
- Op grond van artikel 28 lid 3 AVG moet de verwerking van persoonsgegevens worden vastgelegd in een overeenkomst (of andere rechtshandeling). Deze Verwerkersovereenkomst heeft als doel het vastleggen van de wederzijdse rechten en verplichtingen met betrekking tot de Verwerking van de Persoonsgegevens.
Partijen zijn als volgt overeengekomen:
1 Definities
In deze overeenkomst worden de volgende definities gebruikt, die zoveel mogelijk aansluiten bij de definities van de AVG.:
Betrokkene: een geïdentificeerde of identificeerbare natuurlijke persoon op wie de Verwerkte Persoonsgege- vens betrekking hebben (art. 4 sub 1 AVG);
Beveiligingsincident: een inbreuk op de technische en organisatorische maatregelen voor de beveiliging tegen verlies of onrechtmatige Verwerking van Persoonsgegevens.
Bijzondere persoonsgegevens: Persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond, blijken, en genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, of gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid (art. 9 lid 1 AVG);
Datalek: een Beveiligingsincident waarbij Persoonsgegevens verloren zijn gegaan, of waarbij onrechtmatige Verwerking van Persoonsgegevens redelijkerwijs niet kan worden uitgesloten;
Derde: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan, niet zijnde de Betrokkene, noch de Verantwoordelijke, noch de Verwerker, noch de personen die onder recht- streeks gezag van de Verantwoordelijke of de Verwerker gemachtigd zijn om de Persoonsgegevens te verwer- ken (art 4 sub 10 AVG);
Doel: het door Verantwoordelijke omschreven en aan Verwerker voorgeschreven doel van de Verwerking van Persoonsgegevens.
Hoofdovereenkomst: de aan de Verwerkersovereenkomst ten grondslag liggende overeenkomst tussen Verantwoordelijke en Verwerker, waarin de achterliggende rechtsrelatie tussen Partijen is vastgelegd, inclusief de daarbij behorende bijlagen;
Medewerkers: personen die werkzaam zijn bij of voor de Verwerker, ofwel in dienstbetrekking dan wel tijde- lijk ingehuurd;
Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (de Betrokke- ne) (art. 4 sub 1 AVG);
Sub-verwerker: de partij die door Verwerker wordt ingeschakeld ten behoeve van de Verwerking van de Persoonsgegevens in het kader van de Verwerkersovereenkomst.
Verantwoordelijke: de verwerkingsverantwoordelijke: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de Verwerking van Persoonsgegevens vaststelt (art. 4 sub 7 AVG);
Verwerker: een natuurlijke of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de Verantwoordelijke Persoonsgegevens verwerkt (art. 4 sub 8 AVG);
Verwerkersovereenkomst: deze overeenkomst, inclusief de eventuele overwegingen en aan deze overeen- komst gehechte bijlagen;
Verwerking: een bewerking of een geheel van bewerkingen met betrekking tot Persoonsgegevens of een ge- heel van Persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vast- leggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens (art. 4 sub 2 AVG);
AVG: de meest actuele versie van de Algemene Verordening Persoonsgegevens.
2 Toepasselijkheid en verwerking van Persoonsgegevens
2.1 De Verwerkersovereenkomst is van toepassing op het Verwerken van Persoonsgegevens door Verwerker in het kader van de uitvoering van de Hoofdovereenkomst.
2.2 Om de werkzaamheden uit de Hoofdovereenkomst uit te kunnen voeren, geeft Verantwoordelijke Verwerker opdracht tot het voor Verantwoordelijke verwerken van Persoonsgegevens, welke opdracht Verwerker accepteert.
2.3 De Verwerking vindt plaats onder verantwoordelijkheid van de Verantwoordelijke. Verwerker heeft geen zelfstandige zeggenschap over het Doel en de middelen van de Verwerking van de Persoonsgegevens, het beschikbaar stellen van deze Persoonsgegevens aan Derden, de bewaartermijnen en de mel- dingsplicht in geval van een Datalek, zoals bedoeld in artikel 5 van deze Verwerkersovereenkomst.
2.4 De Verwerking gebeurt op zorgvuldige wijze en niet langer of uitgebreider dan nodig is voor de uitvoe- ring van de Hoofdovereenkomst.
2.5 Verwerker zorgt ervoor dat alleen Medewerkers toegang hebben tot de Persoonsgegevens, met uitzon- dering van Sub-verwerkers als bedoeld in artikel 7, en dat deze de verplichtingen uit deze Verwerkers- overeenkomst kennen en verplicht zijn die na te komen.
2.6 Verantwoordelijke garandeert dat zijn instructies aan Verwerker leiden tot een Verwerking van de Persoonsgegevens die niet in strijd is met de op het moment van Verwerking bestaande toepasselijke wet- en regelgeving. Wanneer er sprake is van een (vermeende) vordering of beschikking, dan vrijwaart Verantwoordelijke Verwerker tegen alle daaruit voortvloeiende aanspraken.
3 Beveiligingsmaatregelen
3.1 Verwerker neemt alle passende technische en organisatorisch maatregelen die nodig zijn om de Persoonsgegevens adequaat te beveiligen en beveiligd te houden tegen verlies of enige vorm van on- zorgvuldig, ondeskundig of onrechtmatig gebruik of Verwerking.
3.2 Verwerker kan niet garanderen dat deze maatregelen onder alle omstandigheden doeltreffend zijn. Bij het nemen van de beveiligingsmaatregelen is rekening gehouden met de huidige stand der techniek en de kosten van de beveiligingsmaatregelen.
3.3 De maatregelen als bedoeld in het vorige lid omvatten in ieder geval:
a. maatregelen om te waarborgen dat enkel bevoegde Medewerkers toegang hebben tot de Persoons- gegevens die in het kader van de Verwerkersovereenkomst worden verwerkt;
b. maatregelen om de Persoonsgegevens te beschermen tegen met name onopzettelijke of onrecht- matige vernietiging, verlies, onopzettelijke wijziging, onbevoegde of onrechtmatige opslag, toegang of openbaarmaking;
c. maatregelen om zwakke plekken te identificeren ten aanzien van de Verwerking van Persoonsge- gevens in de systemen die worden ingezet voor het verlenen van diensten aan Verantwoordelijke;
d. een passend informatiebeveiligingsbeleid voor de Verwerking van de Persoonsgegevens.
3.4 Verantwoordelijke heeft kennisgenomen van deze genomen beveiligingsmaatregelen en is van mening dat deze een beveiligingsniveau hebben dat past bij de aard van de Persoonsgegevens en de risico’s van de Verwerking. Verwerker informeert Verantwoordelijke wanneer een van de beveiligingsmaatregelen substantieel wijzigt.
3.5 Verantwoordelijke mag controleren of en op welke wijze de genomen beveiligingsmaatregelen worden nageleefd. De kosten van deze controle (audit) zijn voor rekening van de Verantwoordelijke.
De Verwerker ontvangt een kopie van het controlerapport. Er zullen tijdig afspraken gemaakt worden over de wijze en het moment waarop de controle zal plaatsvinden, zodat dit de bedrijfsvoering van Verwerker niet onnodig verstoort.
3.6 Verwerker garandeert dat iedere Verwerking van Persoonsgegevens onder deze Verwerkersover- eenkomst (inclusief eventuele sub-verwerking) binnen de Europese Economische Ruimte (EER) zal plaats vinden. Wanneer de Verwerking buiten de EER plaatsvindt, zal Verwerker daar eerst schriftelijke toestem- ming voor vragen en daarover aanvullende afspraken maken met Verantwoordelijke.
4 Recht van inzage, correctie en verzet Xxxxxxxxxx
4.1 Verantwoordelijke kan Xxxxxxxxx verzoeken mee te werken aan een verzoek van Xxxxxxxxxx om Persoonsgegevens in te zien, te wijzigen of te verbeteren, of mee te werken aan afscherming of dataportabiliteit van Persoonsgegevens, voor zover Verwerker toegang heeft tot deze Persoonsgegevens.
4.2 Wanneer Verwerker een dergelijk (rechtstreeks) verzoek ontvangt van Betrokkene, dan wordt dat onmiddellijk doorgestuurd aan Verantwoordelijke, om door Verantwoordelijke zelf afgehandeld te worden. Alleen op uitdrukkelijk schriftelijk verzoek van Verantwoordelijke zal Verwerker een dergelijk verzoek van Xxxxxxxxxx behandelen.
5 Meldplicht Beveiligingsincident en Datalek
5.1 Bij een Beveiligingsincident treft Verwerker alle redelijkerwijs benodigde maatregelen om (verdere) onbevoegde kennisneming, wijziging, verstrekking dan wel onrechtmatige Verwerking te voorkomen of te beperken en een schending van beveiligingsmaatregelen of onrechtmatige Verwerking van de Persoonsgegevens te beëindigen en in de toekomst te voorkomen.
5.2 Als er sprake is van een vermoedelijk of daadwerkelijk Datalek, of schending van de geheimhouding waarbij Persoonsgegevens verloren zijn gegaan of onrechtmatige Verwerking niet is uit te sluiten, dan stelt Verwerker Verantwoordelijke daarvan zo spoedig mogelijk op de hoogte. Verwerker streeft ernaar dit te doen binnen 36 uur nadat een dergelijk Beveiligingsincident is ontdekt of door eventuele
Sub-verwerkers bij Verwerker is gemeld.
5.3 Verwerker informeert Verantwoordelijke in ieder geval over de aard van de Persoonsgegevens, de hoeveelheid Persoonsgegevens en Betrokkenen, en de genomen beveiligingsmaatregelen. Verwerker zal alle redelijkerwijs benodigde medewerking verlenen om inzicht te krijgen in de ernst en (mogelijke) gevolgen van een geconstateerd Datalek.
5.4 Verantwoordelijke is zelf verantwoordelijk om te beoordelen of het beveiligingsincident een Datalek betreft en of dit meldingsplichtig is. Verwerker zal nooit zelfstandig overgaan tot het melden van enig Datalek aan Betrokkenen of de Autoriteit Persoonsgegevens. Dit is altijd de verantwoordelijkheid van Verantwoordelijke.
6 Mededelingen
De contactpersonen voor mededelingen en meldingen in het kader van deze Verwerkersovereenkomst zijn:
Bij Verantwoordelijke:
[naam contactpersoon] [contactgegevens]
Bij Verwerker:
Xxxxxxx Xxxx – xxxxxxx@xxxxxx.xx
Partijen informeren elkaar tijdig van iedere verandering in deze gegevens.
7 Sub-verwerkers
7.1 Verwerker kan Sub-verwerkers inschakelen voor bepaalde werkzaamheden, bijvoorbeeld wanneer deze Sub-verwerkers over specialistische kennis of middelen beschikken die Verwerker niet heeft. Wanneer dit betekent dat deze Persoonsgegevens van Verantwoordelijke gaat verwerken, dan zal Verwerker alle verplichtingen uit deze Verwerkersovereenkomst schriftelijk aan deze Sub-verwerkers opleggen. Daarbij geldt dat de termijn voor het melden van Beveiligingsincidenten of Datalekken als bedoeld in artikel 5.2 voor deze Sub-verwerkers niet langer zal zijn dan uiterlijk binnen 12 uur na de eerste ontdekking.
7.2 Verantwoordelijke geeft op voorhand toestemming om deze Sub-verwerkers in te schakelen:
Google, Campaign Monitor, MailChimp, Nedlinux, DirectVPS, Hotjar, Postcode API (API Ventures B.V.), CookieBot, Vimeo, Issuu.
Wanneer andere Sub-verwerkers ingeschakeld moeten worden, dan zal eerst toestemming aan Verant woordelijke worden gevraagd.
7.3 Toestemming als bedoeld in het vorige lid zal niet zonder redelijke grond geweigerd worden. Zo nodig kan Verantwoordelijke aanvullende voorwaarden stellen, die door de Verwerker aan de Sub-verwerker moeten worden opgelegd.
8 Geheimhouding
8.1 Verwerker houdt de Persoonsgegevens geheim en zorgt ervoor dat Medewerkers en eventuele
Sub-verwerkers die betrokken zijn bij de Verwerking van de Persoonsgegevens, ook verplicht zijn tot geheimhouding.
8.2 Deze geheimhoudingsplicht geldt niet voor zover een wettelijk voorschrift of vonnis tot enige bekendmaking verplicht.
9 Duur en beëindiging
9.1 Deze Verwerkersovereenkomst heeft dezelfde ingangs- en einddatum als de Hoofdovereenkomst.
De bepalingen van deze overeenkomst blijven gelden voor zover dat nodig is voor de afwikkeling van deze overeenkomst en voor zover die bedoeld zijn het einde van deze overeenkomst te overleven.
Tot die laatste categorie bepalingen behoren onder meer, zonder daartoe te zijn beperkt, de bepalingen over geheimhouding en geschillen.
9.2 Deze Verwerkersovereenkomst kan niet tussentijds, los van de Hoofdopdracht, beëindigd worden.
10 Bewaartermijn, teruggave en vernietiging Persoonsgegevens
10.1 Verantwoordelijke zal Verwerker adequaat informeren over (wettelijke) bewaartermijnen die van toepassing zijn op de Verwerking van Persoonsgegevens door Xxxxxxxxx. Verwerker bewaart de Persoonsgegevens niet langer dan strikt noodzakelijk is. Dit is in geen geval langer dat tot het einde van deze Verwerkersovereenkomst, of, als er tussen partijen een bewaartermijn is overeengekomen, niet langer dan deze termijn.
10.2 Verwerker zal bij het einde van deze Verwerkersovereenkomst alle Persoonsgegevens aan Verantwoordelijke overdragen of, als Verantwoordelijke daarom verzoekt, vernietigen. Er zal alleen een kopie van de Persoonsgegevens bewaard worden als Verwerker hiertoe op grond van wet- of regelgeving verplicht is.
10.3 De kosten van het verzamelen en overdragen van de Persoonsgegevens of van het vernietigen ervan, als bedoeld in het vorige lid, zijn voor rekening van de Verantwoordelijke. Desgevraagd wordt een kosteninschatting gemaakt.
10.4 Bij het einde van de Verwerkersovereenkomst zal Verwerker alle Sub-verwerkers die betrokken zijn bij de Verwerking van de Persoonsgegevens informeren over de beëindiging van de Verwerkersovereenkomst en zal deze partijen verzoeken eveneens de gegevens aan Verantwoordelijke over te dragen, dan wel te vernietigen, volgens de procedure als beschreven in artikel 10.2 en 10.3.
11 Aansprakelijkheid
11.1 Verwerker is niet aansprakelijk voor schade die het gevolg is van niet naleven van de AVG of andere wet- of regelgeving door Verantwoordelijke. Verantwoordelijke vrijwaart Verwerker voor aanspraken van
Sub-verwerkers, andere Derden, Betrokkenen of van andere personen op grond van zulke schade, als ook voor (juridische) kosten die Verwerker in dit verband moet maken en eventuele boetes die aan Verwerker worden opgelegd.
11.2 De overeengekomen beperking van aansprakelijkheid van Verwerker in de Hoofdovereenkomst en daarop van toepassing zijnde Algemene voorwaarden is van kracht op deze Verwerkersovereenkomst, waarbij geldt dat een of meerdere schadevorderingen uit hoofde van deze Verwerkersovereenkomst en/ of de Hoofdovereenkomst gezamenlijk nooit tot overschrijding van die beperking kunnen leiden.
11.3 Wanneer geen beperking van aansprakelijkheid in de Hoofdovereenkomst en daarop van toepassing zijnde Algemene Voorwaarden is opgenomen, geldt dat de aansprakelijkheid van Verwerker onder deze Verwerkersovereenkomst - behalve in geval van opzet of bewuste roekeloosheid van de Verwerker - beperkt is tot het bedrag van het honorarium voor de opdracht uit de Hoofdovereenkomst, althans dat deel van de opdracht waarop de aansprakelijkheid betrekking heeft. Dit bedrag is niet hoger dan
€75.000,= en in ieder geval te allentijde beperkt tot maximaal het bedrag dat de verzekeraar in het voorkomend geval aan de Verwerker uitkeert. Het bedrag waarvoor de Verwerker in het voorkomende geval aansprakelijk is, wordt verminderd met de eventuele sommen welke door de Verantwoordelijke zijn verzekerd.
12 Overige bepalingen
12.1 Deze Verwerkersovereenkomst geldt als bijlage bij de tussen partijen gesloten Hoofdovereenkomst, waarvan het onlosmakelijk onderdeel uitmaakt. Ingeval van strijdigheid tussen de Hoofdovereenkomst en deze Verwerkersovereenkomst, gaan de bepalingen uit deze Verwerkersovereenkomst voor.
12.2 Wijziging van een of meerdere bepalingen van deze Verwerkersovereenkomst kan alleen schriftelijk door partijen worden overeengekomen.
12.3 Wanneer een of meerdere bepalingen in deze Verwerkersovereenkomst nietig is of vernietigd wordt, blijven de overige bepalingen van deze overeenkomst onverminderd van kracht blijven. Partijen zullen in dat geval in overleg treden met het doel nieuwe vervangende bepalingen overeen te komen, waarbij zoveel mogelijk het doel en de strekking van de nietige of vernietigde bepalingen in acht wordt genomen.
12.4 Op deze Verwerkersovereenkomst is Nederlands recht van toepassing.
12.5 De rechter in het arrondissement waar de Verwerker is gevestigd, of de volgens de wet bevoegde rechter, dit ter keuze van de Verwerker, is bevoegd om van geschillen voortvloeiend uit deze Verwerkersovereenkomst kennis te nemen en hierover te beslissen.
Aldus overeengekomen, opgemaakt in tweevoud en ondertekend: te Plaats op Datum
Verwerker Opdrachtgever/Verantwoordelijke