Verwerkersovereenkomst Flespakket
Xxxxxxxxxxx 00
0000 XX Xxxxxxxxxx
023 - 30 30 315
KvK: 34 09 97 58
Flespakket is een handelsnaam van D.M. Productions B.V.
Verwerkersovereenkomst Flespakket
De ondergetekenden:
1. «Account Naam», gevestigd te en kantoorhoudende te «straatnaam + huisnummer, postcode, plaats» ten deze rechtsgeldig vertegenwoordigd door «Initialen en achternaam», in de functie van «functienaam», hierna te noemen: “«Account Naam»” of “Verwerkingsverantwoordelijke”
en
2. DM Productions B.V, gevestigd en kantoorhoudende te Hoofddorp, ten deze rechtsgeldig vertegenwoordigd door xxxxxxx X. Xxxxxx-Xxxxxxxx, in de functie van directeur, hierna te noemen: “Flespakket” of “Verwerker”;
en hierna gezamenlijk te noemen: “Partijen”
Overwegende dat:
a. «Account Naam» een overeenkomst met Flespakket heeft gesloten ter zake van ‘vervoer van goederen’ (hierna: “Dienst”);
b. Partijen voorzien dat in het kader van de uitvoering van de overeenkomst door Flespakket persoonsgegevens in de zin van artikel 4 lid 1 Verordening (EU) 2016/679 van het Europese Parlement en de Raad (hierna: “Algemene verordening gegevensbescherming” of “AVG”), als nader omschreven in Bijlage 1 (hierna: “Persoonsgegevens”), zullen worden verwerkt zonder aan het rechtstreeks gezag van
«Account Naam» te zijn onderworpen;
c. Flespakket ten aanzien van het digitale deel van de Dienst (bijvoorbeeld de back office- omgeving, de eventuele voormelding, digitale sortering, de Track & Trace-functionaliteit etc.) als Verwerkingsverantwoordelijke kwalificeert in de zin van artikel 4 lid 7 van de AVG;
d. «Account Naam» ten aanzien van het fysieke deel van de Dienst (het verzamelen, sorteren en bezorgen) het doel en de middelen van de persoonsgegevensverwerking bepaalt en daarom gekwalificeerd dient te worden als Verwerkingsverantwoordelijke in de zin van artikel 4 lid 7 van de AVG;
e. Flespakket, met inachtneming van het gestelde onder overweging C en D, ten behoeve van de Verwerkingsverantwoordelijke krachtens de Overeenkomst Persoonsgegevens
verwerkt voor wat betreft het fysieke deel van de Dienst, op grond waarvan Flespakket gekwalificeerd dient te worden als Verwerker in de zin van artikel 4 lid 8 AVG;
f. «Account Naam» als Verwerkingsverantwoordelijke op grond van artikel 28 lid 3 AVG verplicht is een Verwerkersovereenkomst aan te gaan met Verwerker en Partijen derhalve de voorwaarden alsmede de wederzijdse rechten en verplichtingen inzake de verwerking van de Persoonsgegevens door Verwerker schriftelijk willen vastleggen door middel van deze Verwerkersovereenkomst (hierna: “Verwerkersovereenkomst”);
g. Deze Verwerkersovereenkomst geldt voor alle verwerkingen van Persoonsgegevens in de uitvoering van en gedurende de looptijd van de Overeenkomst.
Verklaren als volgt te zijn overeengekomen:
1. Definities
1.1 Betrokkene is degene op wie een Persoonsgegeven betrekking heeft.
1.2 Bijzondere gegevens zijn Persoonsgegevens als bedoeld in artikel 9 lid 1 AVG.
1.3 Datalek is een inbreuk op de beveiliging die leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang
tot doorgezonden, opgeslagen of anderszins verwerkte gegevens.
1.4 Dienst is de onder de Overeenkomst te leveren dienst van de Verwerker.
1.5 Persoonsgegeven is elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon, die op welke wijze dan ook door Verwerker verwerkt wordt of zal worden in het kader van de Overeenkomst.
1.6 Subverwerker is een partij die in opdracht van Verwerker Persoonsgegevens verwerkt.
1.7 Verwerkersovereenkomst is de onderhavige overeenkomst.
1.8 Verwerking is elke handeling of geheel van handelingen met betrekking tot Persoonsgegevens.
2. Gegevensverwerking
2.1 Verwerker verbindt zich onder de voorwaarden van deze Verwerkersovereenkomst om in opdracht van Verwerkingsverantwoordelijke Persoonsgegevens te verwerken. Verwerker zal de Persoonsgegevens verwerken op behoorlijke en zorgvuldige wijze en in overeenstemming met de AVG en andere toepasselijke wet- en regelgeving en/of gedragscodes betreffende de verwerking van Persoonsgegevens.
2.2 Verwerkingsverantwoordelijke garandeert dat de Persoonsgegevens die hij aan Verwerker verschaft, voldoen aan alle toepasselijke wet- en regelgeving op het
gebied van bescherming van persoonsgegevens en dat deze wet- en regelgeving
toestaat dat de Persoonsgegevens aan Verwerker worden verschaft en dat de Persoonsgegevens door Verwerker worden verwerkt.
2.3 Verwerker verwerkt de Persoonsgegevens op behoorlijke en zorgvuldige wijze en uitsluitend voor zover noodzakelijk om de Dienst aan de Verwerkingsverantwoordelijke te leveren. De categorieën Persoonsgegevens die aan Verwerker worden verstrekt en voor de uitvoering van de Dienst verwerkt mogen worden zijn omschreven in Bijlage 1.
2.4 Verwerker zal de Persoonsgegevens uitsluitend verwerken in opdracht en volgens de instructies van Verwerkingsverantwoordelijke. Verwerker zal de Persoonsgegevens niet voor eigen of andere doeleinden verwerken, behoudens op hem rustende dwingendrechtelijke verplichtingen.
2.5 Verwerker zal Persoonsgegevens die haar in het kader van de Overeenkomst ter beschikking zijn gesteld niet langer bewaren dan noodzakelijk is (i) voor de uitvoering van deze Overeenkomst; of (ii) om een op hem rustende wettelijke verplichting na te komen.
3. Geheimhouding
3.1 Verwerker is, behoudens andersluidend wettelijk voorschrift en/of een rechterlijk bevel, verplicht de Persoonsgegevens als vertrouwelijk te behandelen en strikt geheim te houden.
3.2 Verwerker zal ervoor zorgen dat diegenen die handelen onder zijn gezag dan wel in zijn opdracht (medewerkers en eventuele derde(n)) die noodzakelijkerwijs van de Persoonsgegevens kennis dienen te nemen, zich houden aan de in dit artikel opgenomen geheimhoudingsverplichting. Verwerker bewerkstelligt dat voor ieder die betrokken is bij de verwerking van deze persoonsgegevens een geheimhoudingsovereenkomst of -beding is gesloten.
3.3 Verwerker zal Verwerkingsverantwoordelijke onverwijld op de hoogte stellen van ieder verzoek tot kennisneming, verstrekking of andere vorm van opvragen en mededeling van de Persoonsgegevens die in strijd zijn met de in dit artikel opgenomen geheimhoudingsplicht.
4. Beveiliging en meldplicht datalekken
4.1 Verwerker draagt er zorg voor passende technische en organisatorische maatregelen te hebben genomen, in stand te houden en, indien nodig, aan te passen om de Persoonsgegevens te beveiligen tegen verlies, vervalsing,
onrechtmatige verspreiding of toegang, dan wel enige andere vorm van onrechtmatige verwerking. In Bijlage 2 zijn de beveiligingsmaatregelen beschreven die de Verwerker ten tijde van het afsluiten van deze Verwerkingsovereenkomst in ieder geval heeft genomen.
4.2 Verwerker draagt er zorg voor dat zijn (eigen of ingehuurde) medewerkers die betrokken zijn bij de verwerking van de Persoonsgegevens, de in deze Verwerkersovereenkomst opgenomen verplichtingen van Verwerker kennen en nakomen.
4.3 In het geval van een vermoedelijk(e) of daadwerkelijk(e) (i) Datalek; (ii) schending van beveiligingsmaatregelen; (iii)schending van de geheimhoudingsplicht of (iv) verlies van persoonsgegevens zal Verwerker de Verwerkingsverantwoordelijke direct, doch uiterlijk binnen 36 uur na de eerste ontdekking van het incident, informeren conform de vereisten neergelegd in Bijlage 3.
Verwerker zal alle redelijkerwijs benodigde maatregelen treffen om (verdere) onbevoegde kennisneming, wijziging, en verstrekking dan wel anderszins onrechtmatige verwerking te voorkomen of te beperken en een schending van beveiligingsmaatregelen, schending van de geheimhoudingsplicht of verder verlies van persoonsgegevens te beëindigen en in de toekomst te voorkomen, onverminderd enig recht van Verwerkingsverantwoordelijke op schadevergoeding of andere maatregelen.
4.4 Verwerker zal op verzoek van Verwerkingsverantwoordelijke meewerken aan het informeren van de bevoegde autoriteiten en Betrokkene(n).
4.5 Verwerker maakt afspraken met Subverwerkers over het melden van incidenten aan Verwerker, die de Verwerker en Verwerkingsverantwoordelijke in staat stellen verplichtingen in het geval van een incident zoals beschreven in artikel 4 lid 3 na te komen.
5. Inschakeling Subverwerkers
5.1 Verwerkingsverantwoordelijke verleent toestemming aan Verwerker om voor de verwerking van de Persoonsgegevens Subverwerkers in te schakelen die in Bijlage 4 zijn opgenomen. Indien beoogd wordt nieuwe Subverwerkers in te schakelen of als er wijzigingen kunnen gaan optreden dient Verwerker de Verwerkingsverantwoordelijke hierover voorafgaand te informeren en in staat te stellen bezwaar te maken tegen de veranderingen.
5.2 Verwerker draagt er zorg voor dat de betreffende Subverwerker tenminste dezelfde verplichtingen op zich neemt als opgenomen voor de Verwerker in deze Verwerkersovereenkomst.
5.3 Verwerker blijft in de verhouding tussen partijen altijd aanspreekpunt voor de Verwerkingsverantwoordelijke. De door Verwerkingsverantwoordelijke gegeven toestemming laat onverlet de verantwoordelijkheid en aansprakelijkheid van de Verwerker voor de nakoming van de Verwerkingsovereenkomst.
6. Verwerkingen buiten de Europese Economische Ruimte
6.1 Verwerker zal slechts Persoonsgegevens doorgeven naar of toegankelijk maken vanuit een land buiten de Europese Economische Ruimte, wanneer zij daarvoor passende waarborgen heeft getroffen. Bijlage 5 bevat een overzicht van verwerkingen buiten de EER en de getroffen waarborgen.
7. Rechten van betrokkenen
7.1 Verwerker verleent Verwerkingsverantwoordelijke, rekening houdend met de aard van de verwerking en voorzover mogelijk, bijstand om binnen de wettelijke termijnen te voldoen aan de verplichtingen op grond van de AVG of andere toepasselijke regelgeving, meer in het bijzonder de rechten van betrokkenen, waaronder maar niet uitsluitend: het recht van inzage, het recht op rectificatie, het recht op gegevenswissing, het recht op beperking, het recht op overdraagbaarheid van gegevens, het recht van bezwaar. De daarbij gepaard gaande redelijke kosten komen voor rekening van de Verwerker.
7.2 Verwerker zal Verwerkingsverantwoordelijke onverwijld in kennis stellen van de door betrokkenen gedane schriftelijke verzoeken aan Verwerker en de Verwerkingsverantwoordelijke vragen om verdere instructies hieromtrent.
8. Ondersteuning uitvoer gegevensbeschermingseffectbeoordeling en voorafgaande raadpleging
8.1 Rekening houdend met de aard van de verwerking en de bij de Verwerker beschikbare informatie, verleent de Verwerker de Verwerkingsverantwoordelijke bijstand bij het nakomen van de verplichtingen uit hoofde van artikel 35 AVG (uitvoer gegevensbeschermingseffectbeoordeling) en artikel 36 AVG (voorafgaande raadpleging).
9. Overdracht en vernietiging gegevens
9.1 Verwerker zal ervoor zorgdragen dat, in overleg met Verwerkingsverantwoordelijke (i) alle of een door de Verwerkingsverantwoordelijke bepaald gedeelte, in het kader van de Dienst ter beschikking gestelde Persoonsgegevens, worden vernietigd op alle locaties, (ii) alle of een door de Verwerkingsverantwoordelijke bepaald gedeelte, in het kader van de Dienst ter beschikking gestelde Persoonsgegevens, aan een opvolgend Dienstverlener ter beschikking worden gesteld, dan wel (iii) Verwerkingsverantwoordelijke in de gelegenheid wordt gesteld om Persoonsgegevens of een door de Verwerkingsverantwoordelijke bepaald gedeelte, in het kader van de Dienst ter beschikking gestelde Persoonsgegevens aan de Dienst te onttrekken.
9.2 Verwerker is te allen tijde verplicht om op verzoek van de Verwerkingsverantwoordelijke binnen een redelijke termijn alle afschriften en kopieën van de van Verwerkingsverantwoordelijke afkomstige en/of in het kader van de Overeenkomst vervaardigde informatie met betrekking tot Verwerkingsverantwoordelijke te vernietigen.
9.3 Verwerker kan afwijken van het in voorgaande leden bepaalde, voor zover ten aanzien van de Persoonsgegevens een wettelijke (bewaar)termijn zou gelden of voor zover dat noodzakelijk is om tegenover Verwerkingsverantwoordelijke nakoming van zijn verbintenissen te kunnen bewijzen.
10. Controlerecht
10.1 Verwerkingsverantwoordelijke heeft het recht de naleving van de bepalingen van deze Verwerkingsovereenkomst door de Verwerker één keer per kalenderjaar te (laten) controleren na voorafgaande schriftelijke aankondiging en met inachtneming van een termijn van tien werkdagen.
10.2 Op verzoek van Verwerkingsverantwoordelijke stelt Verwerker alle informatie beschikbaar die redelijkerwijs nodig is om de nakoming van de in deze
Verwerkersovereenkomst gestelde verplichtingen aan te tonen en zal medewerking verlenen om audits mogelijk te maken. Deze audit wordt uitgevoerd door een door de Verwerkingsverantwoordelijke aangewezen onafhankelijke derde die gebonden is aan een geheimhoudingsplicht.
10.3 Verwerker kan, na afstemming met Verwerkingsverantwoordelijke, ervoor kiezen de audit te vervangen door een Third Party Verklaring.
10.4 Verwerkingsverantwoordelijke draagt de kosten van de audit met uitzondering van de kosten van medewerkers van Verwerker die de audit begeleiden. Indien uit de audit blijkt dat Xxxxxxxxx ernstig en materieel tekort is geschoten in de nakoming van deze Verwerkersovereenkomst, komen de redelijke kosten van de audit voor rekening van Xxxxxxxxx.
10.5 Verwerker is bekend met de zelfstandige controlebevoegdheden van de Autoriteit Persoonsgegevens en eventuele andere toezichthouders onder wiens toezicht Verwerkingsverantwoordelijke valt en zal deze toezichthouders in voorkomende gevallen toegang geven en medewerking verlenen aan een onderzoek met betrekking tot de op grond van de Overeenkomst verwerkte Persoonsgegevens. Wanneer de Verwerker een dergelijk verzoek van de Autoriteit Persoonsgegevens ontvangt, informeert zij de Verwerkingsverantwoordelijke onverwijld.
11. Aansprakelijkheid
11.1 Voor eventuele schade die het gevolg is van een toerekenbaar tekortschieten in de nakoming van de verplichtingen voortvloeiende uit deze Verwerkersovereenkomst, dan wel handelen in strijd met de wet- en regelgeving door de Verwerker, is Verwerker aansprakelijk conform hetgeen tussen partijen is overeengekomen in de Overeenkomst.
12. (Intellectuele) Eigendomsrechten op de Persoonsgegevens
12.1 Alle (intellectuele) eigendomsrechten – daaronder begrepen enige auteursrechten en databankrechten – op (het bestand c.q. de bestanden van) de Persoonsgegevens blijven te allen tijde berusten bij Verwerkingsverantwoordelijke of haar licentiegever(s).
13. Duur, beëindiging en wijziging
13.1 Deze Verwerkersovereenkomst is een aanvulling op de Overeenkomst en heeft dezelfde looptijd als de Overeenkomst en eindigt zodra de Overeenkomst eindigt.
13.2 De beëindiging van deze Verwerkersovereenkomst zal partijen niet ontslaan van hun verplichtingen die voortvloeien uit deze Verwerkersovereenkomst die naar hun aard worden geacht ook na beëindiging voor te duren.
13.3 Wijzigingen van deze Verwerkersovereenkomst zijn uitsluitend geldig indien deze tussen Partijen schriftelijk zijn overeengekomen.
14. Slotbepalingen
14.1 Tenzij in de Overeenkomst anders is bepaald, is op deze Verwerkersovereenkomst Nederlands recht van toepassing.
14.2 Alle geschillen voortvloeiend of verband houdend met deze
Verwerkersovereenkomst zullen uitsluitend worden voorgelegd aan de bevoegde rechter zoals opgenomen in de Overeenkomst.
Aldus overeengekomen en getekend in tweevoud:
namens Verwerkingsverantwoordelijke: namens Verwerker:
Naam: Xxxxxxx X. Xxxxxx - Xxxxxxxx Naam:
Functie: Directeur Functie:
Datum: : 9 - 1 - 2019 Datum: ………………………………….
Plaats: Hoofddorp Plaats: ………………………………….
…………………………………………. …………………………………………. Handtekening Handtekening
Bijlage 1 Overzicht van de categorieën van te verwerken persoonsgegevens
Afhankelijk van de door de Verwerkingsverantwoordelijke gekozen producten en/of diensten worden de onderstaande categorieën persoonsgegevens verwerkt.
Flespakket verwerkt de onderstaande categorieën persoonsgegevens:
Categorieën persoonsgegevens | Categorieën betrokkenen |
NAW-gegevens | Klanten Flespakket Geadresseerden |
(Elektronische) Contactgegevens | Klanten Flespakket Geadresseerden |
Bankrekeningnummer | Klanten Flespakket |
Telefoonnummer | Klanten Flespakket Geadresseerden |
Welke verwerkingen vinden er plaats en wat is de aard en het doel van deze verwerking?
Verwerking | Doeleinde |
Administratie | Bijhouden klantadministratie. |
Verzamelen verzendinformatie | Creëren van labels van vervoerders. |
Overdracht | Naar vervoerder voor het versturen van de pakketten. |
Bijlage 2 Overzicht van de beveiligingsmaatregelen
De Verwerker zal voldoende c.q. toereikende technische en organisatorische normen en maatregelen in acht nemen ten aanzien van de voor Verwerkingsverantwoordelijke te verwerken gegevens waarbij onder genoemde maatregelen afhankelijk kunnen zijn van de door Verwerkingsverantwoordelijke gekozen producten/diensten.
Fysieke maatregelen:
- Terreinafscheiding
- Afsluitbare gevelopeningen
- Afsluitbare ruimtes in het gebouw
- Buitenverlichting
- Raambekleding
Elektronische maatregelen:
- Toegangsverleningssysteem personen
- Toegangsverleningssysteem voertuigen tot terrein
- Inbraaksignaleringssysteem
- Meeneem-/sabotage beperkende maatregelen
- CCTV(camera) toezicht
ICT maatregelen:
- Gebruik van encryptie en beveiligingscertificaten
- Toepassen van wachtwoordbeleid
- Backup & restore procedures
- Inzet van firewall
- Inzet van middelen voor werkplekbeheer
- Actieve monitoring en operationeel beheer van omgeving
- Periodieke security checking
Organisatorische maatregelen:
- Handboek Beveiliging
- Bezoekersprocedure
- Gesloten buitengevel tijdens het proces
- Instructieprocessen/kaarten
- Geheimhoudingsverklaringen
Bijlage 3 Instructies datalekken
Xx Xxxxxxxxx neemt contact op met «Voornaam», «Achternaam» via: E-mailadres: «e-mailadres»
Telefoonnummer: «mobiele nummer»
Gelieve ten minste de volgende informatie te verstrekken:
Wat is de (vermeende) oorzaak van de inbreuk? |
Wat het (vooralsnog bekende en/of te verwachten) gevolg is? |
Wat de (voorgestelde) oplossing is? |
Wat de contactgegevens zijn voor de opvolging van de melding? |
Wat is het aantal personen waarvan gegevens betrokken zijn bij de inbreuk (indien geen exact aantal bekend is: het minimale en het maximale aantal personen waarvan gegevens betrokken zijn bij de inbreuk)? |
Omschrijf de groep van personen van wie gegevens betrokken zijn bij de inbreuk. |
Welke soort of soorten persoonsgegevens zijn betrokken bij de inbreuk? |
Wat is de datum waarop de inbreuk heeft plaatsgevonden? |
In welke periode heeft de inbreuk plaatsgevonden (indien geen exacte datum bekend is)? |
Wat is de datum en het tijdstip waarop de inbreuk bekend is geworden bij de verwerker of de door hem ingeschakelde derde of onderaannemer? |
Zijn de gegevens versleuteld, gehasht of op een andere manier onbegrijpelijk of ontoegankelijk gemaakt voor onbevoegden? |
Wat zijn de reeds ondernomen maatregelen om de inbreuk te beëindigen en om de gevolgen van de inbreuk te beperken? |
Bijlage 4 Overzicht van Subverwerkers
De Verwerker vult onderstaand schema in om aan te geven met welke categorieën Subverwerkers wordt samengewerkt:
Categorieën Subverwerker | Rol binnen de verwerking |
Subcontractors | Ondersteunen bij het logistieke proces |
Retailers | Ondersteunen bij het collectie en bezorgproces |
Netwerkpartners | Ondersteunen bij het buitenlandse logistieke proces |
Buitenlandse Postale Partijen | Ondersteunen bij het buitenlandse logistieke proces |
Bijlage 5 Overzicht doorgiften buiten de Europese Economische Ruimte
Hieronder geeft de Verwerker een overzicht van de doorgiften buiten de Europese Economische Ruimte. Hierbij wordt aangegeven welk derde land het betreft, voor welk doel de doorgifte plaatsvindt en welke passende waarborgen er op basis van artikel 46 AVG zijn getroffen.
Derde land | Doel doorgifte | Passende waarborgen |
Afhankelijk van het door Verwerkingsverantwordelijke gekozen product en bestemming zoals opgenomen in de Overeenkomst | Vervoer van zendingen | Universal Postal Union/ contracten met netwerkpartners |