PROPRIETARY AND CONFIDENTIAL EXTERNAL USE VERSION 2.9
Evolve IP EU – Verwerkersovereenkomst
PROPRIETARY
AND CONFIDENTIAL
EXTERNAL USE
VERSION 2.9
January 11, 2021
{NAAM KLANT ], gevestigd en kantoorhoudende te [ADRES & PLAATS], hierna te noemen: “Klant”
en
De besloten vennootschap met beperkte aansprakelijkheid Mtel, handelend onder de naam Evolve IP, gevestigd en kantoorhoudende te (3062 CE) Rotterdam aan de Xxxxxxxxxxxx 000 – 235, hierna te noemen: “Evolve IP”
in aanmerking nemende dat:
Klant een overeenkomst heeft gesloten met Evolve IP voor de levering van telecommunicatiediensten (“de Overeenkomst”) en in het kader van die Overeenkomst Persoonsgegevens (zoals hieronder gedefinieerd) door Evolve IP wil laten verwerken;
Evolve IP bij de verwerking van Persoonsgegevens is aan te merken als Verwerker in de zin van artikel 4 van de Algemene Verordening Gegevensbescherming (AVG/GDPR) en Klant is aan te merken als Verwerkingsverantwoordelijke in de zin van artikel 4 van de GDPR;
Evolve IP en Klant de afspraken inzake verwerking van Persoonsgegevens hiermee schriftelijk vastleggen;
komen overeen als volgt:
ARTIKEL 1. DEFINITIES
Data Subject (Betrokkene) is degene op wie een Persoonsgegeven betrekking heeft.
Data Controller (Verantwoordelijke) is degene die het doel van en de middelen voor het gebruik van Persoonsgegevens bepaalt.
Data Processor (Verwerker) is degene aan wie de Data Controller gegevensverwerking heeft uitbesteed. De Data Processor is niet zelfstandig verantwoordelijk voor de verwerking van de Persoonsgegevens. Maar de Data Processor heeft wel afgeleide verplichtingen, voor onder meer beveiliging en geheimhouding van de data.
Verwerkersovereenkomst is de onderhavige overeenkomst.
GDPR is de Europese privacywetgeving, bekend onder de naam General Data Protection Regulation en geïmplementeerd in de lidstaten van de Europese Unie, zoals de Algemene Verordening Gegevensbescherming (AVG) in Nederland, hierna te noemen GDPR.
Gevoelige gegevens zijn Persoonsgegevens die vallen in de categorie van bijzondere persoonsgegevens als bedoeld in de GDPR.
Datalek is een inbreuk op de beveiliging als bedoeld in de Wet Meldplicht Datalekken en de GDPR.
Dienst is de onder de Overeenkomst te leveren dienst van Evolve IP.
Gebruiker is de aan Klant verbonden (natuurlijke) persoon die geautoriseerd is tot gebruik van de Dienst.
Onderaannemer is een partij die door Evolve IP is ingeschakeld om te ondersteunen bij het uitvoeren van de Dienst. Indien Onderaannemer in opdracht van Evolve IP Persoonsgegevens verwerkt, is Onderaannemer ook aan te merken als Sub-Verwerker.
Persoonsgegeven(s) zal de betekenis hebben die daaraan in artikel 4 van de GDPR is gegeven en zijn de persoonsgegevens die door Evolve IP worden verwerkt in het kader van de Overeenkomst.
Verwerking is elke handeling met betrekking tot Persoonsgegevens, waaronder in ieder geval het verzamelen, bewaren en opslaan, gebruiken en bewerken.
ARTIKEL 2. ALGEMEEN
2.1 Evolve IP verbindt zich onder de voorwaarden van deze Verwerkersovereenkomst om in opdracht van Klant Persoonsgegevens te verwerken. Evolve IP zal de Persoonsgegevens verwerken op behoorlijke en zorgvuldige wijze en in overeenstemming met de GDPR en aanverwante privacy wet- en regelgeving betreffende de verwerking van Persoonsgegevens. Van de datatypen die worden verwerkt houdt Evolve IP een Register van Verwerkingsactiviteiten (Processing Data Inventory) bij.
2.2 Indien het op grond van gewijzigde privacy wet- en/of regelgeving noodzakelijk is dat de bedrijfsvoering of de door Evolve IP gebruikte systemen moeten worden aangepast, dan komen de kosten daarvan voor rekening van Evolve IP, tenzij de aanpassingen uitsluitend voor Klant moeten worden uitgevoerd in welk geval Klant de redelijke kosten voor deze aanpassingen zal vergoeden.
2.3 Verwerking door Evolve IP zal uitsluitend plaatsvinden voor zover noodzakelijk om de Dienst zoals omschreven in de Overeenkomst aan Klant te verlenen. Alleen de in Bijlage I omschreven categorieën van Persoonsgegevens zullen worden verwerkt. Op eerste verzoek van Xxxxx verstrekt Evolve IP een overzicht van de rollen binnen haar organisatie conform de Evolve IP autorisatiematrix (en die van haar eventuele Onderaannemers en/of Sub-Verwerkers) die bij de Verwerking betrokken zijn.
2.4 Evolve IP zal Persoonsgegevens die haar in het kader van de Overeenkomst ter beschikking zijn gesteld niet langer bewaren dan noodzakelijk is (i) voor de uitvoering van de Overeenkomst; of (ii) om een op haar rustende wettelijke verplichting na te komen.
2.5 Evolve IP zal de Persoonsgegevens uitsluitend (i) gebruiken en verwerken voor zover nodig in het kader van de uitvoering van de Overeenkomst en/of (ii) slechts verwerken in opdracht en volgens de instructies van Klant. Evolve IP zal de Persoonsgegevens, behoudens uitdrukkelijke schriftelijke toestemming van Klant, niet voor eigen doeleinden gebruiken.
2.6 Conform de geldende criteria van de Autoriteit Persoonsgegevens behoeft Evolve IP zelf geen Data Protection Impact Assessment (DPIA) uit te voeren voor de gegevensverwerking die zij namens Klant uitvoert. Evolve IP werkt op verzoek van Xxxxx wel, te allen tijde en tegen betaling, mee aan een Privacy Impact Assessment van Klant.
2.7 Op verzoek van Klant kan jaarlijks gedurende 1 uur overleg plaatsvinden tussen Klant en Evolve IP over informatiebeveiliging en privacybescherming. Evolve IP in haar rol als Xxxxxxxxx toont op verzoek aan hoe aan de gestelde eisen wordt voldaan en licht dit mondeling toe. De vorm waarmee of waarin dit aantoonbaar wordt gemaakt, wordt in onderling overleg, maar onder de verantwoordelijkheid van Klant bepaald. Indien er sprake is van een of meerdere Sub-Verwerker(s), dan zal Evolve IP aantoonbaar maken dat deze minimaal voldoen aan de eisen die aan Evolve IP als Verwerker worden gesteld. Indien (de voorbereiding van) het overleg meer dan 1 uur in beslag neemt, dan zal Evolve IP de kosten tegen de overeengekomen uurtarieven in rekening brengen aan Klant.
ARTIKEL 3. BEVEILIGING
3.1 Evolve IP hanteert passende technische en organisatorische maatregelen om Persoonsgegevens te beveiligen tegen verlies of onrechtmatige Verwerking. Deze maatregelen waarborgen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging daarvan, een passend beveiligingsniveau gelet op de risico’s die de Verwerking en de aard van de te beschermen Persoonsgegevens meebrengen.
3.2 De maatregelen (waaronder de beveiligingsmaatregelen zoals vastgelegd in het ISO 27001 ISMS-document en het zogenaamde Statement of Applicability) zijn schriftelijk vastgelegd in Bijlage II en voldoen in ieder geval aan de beveiligingseisen op grond van de GDPR. Op eerste verzoek van Xxxxx zal Evolve IP schriftelijk informatie aanleveren met betrekking tot de door haar genomen maatregelen ter beveiliging van de Persoonsgegevens.
ARTIKEL 4. BEVEILIGINGSINBREUKEN
4.1 In het geval van een (i) Datalek; (ii) schending van beveiligingsmaatregelen; of (iii) verlies van Persoonsgegevens zal Evolve IP Klant direct, doch uiterlijk binnen 24 uur na de eerste ontdekking van het incident, informeren, een en ander conform de in Bijlage III beschreven ‘Policy Security Incidenten en Datalekken’ van Evolve IP. Evolve IP zal alle redelijkerwijs benodigde maatregelen treffen om (verdere) onrechtmatige Verwerking of onbevoegde kennisneming te voorkomen, beperken en/of te beëindigen.
4.2 Evolve IP zal op verzoek van Xxxxx meewerken aan het door Klant, in haar rol als Data Controller, informeren van de bevoegde autoriteiten en Data Subject(s).
4.3 Evolve IP maakt schriftelijke afspraken met Onderaannemers en/of Sub-Verwerkers over het melden van incidenten aan Evolve IP, die Evolve IP en Klant in staat stellen verplichtingen in het geval van een incident zoals beschreven in artikel 4.1 te kunnen nakomen.
4.4 Evolve IP houdt een actueel administratieregister bij van alle beveiligingsincidenten of datalekken. Indien er sprake is van maatregelen die in vervolg op dergelijke incidenten of lekken zijn genomen, dan wordt Klant hierover geïnformeerd bij afmelding van het beveiligingsincident of datalek.
ARTIKEL 5. INZET VAN ONDERAANNEMERS
5.1 Klant verleent aan Evolve IP toestemming voor het inschakelen van Onderaannemers bij de Verwerking van Persoonsgegevens op voorwaarde dat Evolve IP een schriftelijke overeenkomst met de desbetreffende Onderaannemer heeft gesloten met daarin de verplichting voor de Onderaannemer te handelen in overeenstemming de bepalingen uit deze Verwerkersovereenkomst. Klant heeft recht op inzage in de met de Onderaannemer gemaakte afspraken voor zover zij betrekking hebben op de Verwerking van Persoonsgegevens van Klant.
5.2 De door Klant gegeven toestemming laat onverlet de verantwoordelijkheid en aansprakelijkheid van Evolve IP voor de nakoming van de Verwerkersovereenkomst.
5.3 Evolve IP verplicht zich een register bij te houden van de door haar ingeschakelde Sub-Verwerkers en Derden waarin onder meer de identiteit, vestigingsplaats en een beschrijving van de werkzaamheden zijn opgenomen.
ARTIKEL 6. AUDIT
6.1 Evolve IP is verplicht maximaal 1 keer per twee jaar mee te werken, aan een, op verzoek en kosten van Klant, door onafhankelijke IT-auditor of deskundige uit te voeren onderzoek, om vast te stellen of Evolve IP voldoende technische en organisatorische maatregelen als bedoeld in artikel 3.1. heeft genomen ter bescherming van de vertrouwelijkheid, integriteit, beschikbaarheid en beveiliging van Persoonsgegevens zoals omschreven in deze Verwerkersovereenkomst. Indien het de Verwerking van Gevoelige gegevens betreft, heeft Klant het recht de audit jaarlijks te laten uitvoeren. De audit zal in geen geval mogen leiden tot onderbrekingen van de bedrijfsprocessen van Evolve IP. Indien (de voorbereiding van) de audit meer dan 1 uur in beslag neemt, dan zal Evolve IP de kosten tegen de overeengekomen tarieven in rekening brengen aan Klant.
6.2 Evolve IP is alleen gehouden medewerking te verlenen aan een in artikel 6.1 bedoelde audit, indien de onafhankelijke auditor een voor Evolve IP acceptabele geheimhoudings-overeenkomst heeft getekend en zich heeft verplicht de resultaten van de audit alleen aan Evolve IP en aan Klant ter beschikking te stellen.
6.3 Wanneer tijdens een audit wordt vastgesteld dat Evolve IP niet aan het bepaalde in de Verwerkersovereenkomst voldoet, dan zal Evolve IP alle redelijkerwijs noodzakelijke maatregelen nemen om te zorgen dat zij hieraan alsnog voldoet.
ARTIKEL 7. GRENSOVERSCHRIJDEND VERKEER
7.1 Evolve IP garandeert dat iedere Verwerking van Persoonsgegevens welke door of namens Evolve IP (met inbegrip van de door haar ingeschakelde Onderaannemers en/of Sub-Verwerkers) wordt verricht, primair binnen de Europese Unie zal plaatsvinden. Voor zover noodzakelijk voor het beheer en onderhoud van de dienstverlening kan data uitgewisseld worden met Evolve IP US en, uitsluitend voor 3e lijnsupport, met leveranciers buiten de EU.
Tussen Evolve IP EU en Evolve IP US zijn Modelcontractbepalingen (Standard Contractual Clauses (SCC’s)) afgesloten ter bescherming van de Persoonsgegevens welke kunnen worden uitgewisseld. Met leveranciers van buiten de EU is eveneens een adequaat beveiligingsniveau overeengekomen en vastgelegd in Sub-Verwerkersovereenkomsten en SCC’s.
ARTIKEL 8. OPSPORINGSVERZOEKEN
8.1 Indien Evolve IP een verzoek of een bevel van een Nederlandse of buitenlandse toezichthouder, overheidsinstantie of een opsporings-, strafvorderings- of nationale veiligheidsinstantie ontvangt om (inzage in) Persoonsgegevens te verschaffen, dan zal Evolve IP Klant daarvan meteen in kennis stellen. Bij de behandeling van het verzoek of bevel zal Evolve IP alle instructies van Klant opvolgen of de behandeling van het verzoek of bevel geheel of gedeeltelijk aan Klant overdragen.
8.2 Indien het Evolve IP op grond van het verzoek of bevel verboden is Klant daarvan in kennis te stellen, dan zal Evolve IP de belangen van Klant behartigen door in ieder geval alleen aan het bevel of verzoek mee te werken als zij daartoe naar Nederlands recht verplicht is en alsdan nooit meer Persoonsgegevens verstrekken dan strikt noodzakelijk is.
ARTIKEL 9. INFORMEREN VAN BETROKKENEN
9.1 Evolve IP zal medewerking verlenen opdat Klant kan voldoen aan zijn wettelijke verplichtingen in het geval dat een Data Subject zijn privacyrechten uitoefent op grond van de GDPR of andere toepasselijke regelgeving betreffende de verwerking van Persoonsgegevens.
9.2 Indien een Data Subject met betrekking tot de uitvoering van zijn rechten contact opneemt met Evolve IP, dan zal Evolve IP alvorens nadere stappen te ondernemen, zo snel mogelijk contact met Klant opnemen met een verzoek om nadere instructies.
ARTIKEL 10. MAATREGELEN TOEZICHTHOUDER & VRIJWARING
10.1 Evolve IP en Klant vrijwaren elkaar over en weer voor alle aanspraken van derden, daaronder begrepen Betrokkenen, die jegens Klant of Evolve IP mochten worden ingesteld wegens schending van de GDPR of andere toepasselijke regelgeving van Persoonsgegevens, voor zover die aanspraken aan Evolve IP respectievelijk Klant zijn toe te rekenen.
10.2 Indien de toezichthouder in het kader van haar taak als handhaver een maatregel of boete oplegt aan Klant of Evolve IP en de oorzaak voor het opleggen van de maatregel of boete te wijten is aan de andere partij, dan zal die andere Partij, ongeacht of de boete aan hem was opgelegd of niet, die boete en daarmee samenhangende kosten dragen voor zover deze niet beperkt zijn tot de in artikel 11 bedoelde Aansprakelijkheid.
10.3 De andere Partij zal door de Autoriteit Persoonsgegevens (AP) opgelegde boetes in verband met schending van de Algemene Verordening Gegevensbescherming (AVG/GDPR) betalen, op voorwaarde dat (i) de boete het directe gevolg is van een toerekenbare schending van de GDPR en (ii) door de andere Partij direct wordt geïnformeerd als een boete wordt opgelegd of dreigt te worden opgelegd en (iii) indien dit naar het oordeel van de andere Partij opportuun is, op eerste verzoek van de andere Partij bezwaar zal maken tegen het boetebesluit aan de hand van aan te leveren bezwaren en de andere Partij waar mogelijk de leiding zal geven in het voeren van een bezwaarschriftprocedure.
ARTIKEL 11. AANSPRAKELIJKHEID
11.1 De totale aansprakelijkheid van Partijen is, ongeacht of zij gebaseerd is op overeenkomst of onrechtmatige daad, steeds beperkt tot vergoeding van het maximale bedrag dat tussen partijen is overeengekomen in de Overeenkomst.
11.2 De beperkingen van de aansprakelijkheid van Partijen komen te vervallen indien en voor zover de schade het gevolg is van opzet of bewuste roekeloosheid van leidinggevenden van de Partijen.
11.3 Voorwaarde voor het ontstaan van enig recht op schadevergoeding is steeds dat de betreffende Partij de schade zo spoedig mogelijk na het ontstaan daarvan schriftelijk bij de andere Partij meldt. Iedere vordering tot schadevergoeding vervalt door het enkele verloop van twaalf maanden na het ontstaan van de vordering
11.4 Klant zal Evolve IP direct informeren als een boete wordt opgelegd of dreigt te worden opgelegd. Indien dit naar het oordeel van Evolve IP opportuun is, zal Klant op eerste verzoek van Evolve IP bezwaar zal maken tegen het boetebesluit aan de hand van door Evolve IP aan te leveren bezwaren en Evolve IP waar mogelijk de leiding geven in het voeren van een bezwaarschriftprocedure namens Klant.
ARTIKEL 12. DUUR EN BEËINDIGING
12.1 De duur van de Verwerkersovereenkomst is gelijk aan de duur van de Overeenkomst. De Verwerkersovereenkomst is niet los van de Overeenkomst te beëindigen.
12.2 Bij beëindiging of ontbinding van de Overeenkomst om welke reden ook, dan wel op eerste verzoek van Xxxxx gedurende de looptijd van de Overeenkomst, zal Evolve IP (tegen vergoeding van de alsdan bij haar geldende tarieven en kosten) zorgdragen dat, naar keuze van Klant:
alle door een Klant in het kader van de Overeenkomst ter beschikking gestelde Persoonsgegevens bij beëindiging of ontbinding van de Overeenkomst vernietigd worden; of
alle of een door Klant in het kader van de Overeenkomst ter beschikking gestelde Persoonsgegevens aan Klant worden geretourneerd; of
alle door een Klant in het kader van de Overeenkomst ter beschikking gestelde Persoonsgegevens bij een verzoek van Klant gedurende de looptijd van de Overeenkomst geanonimiseerd worden, zodat de GDPR en daarvan afgeleide privacywetgeving niet meer op deze gegevens van toepassing is; of
Klant en/of Gebruikers in de gelegenheid stellen om Persoonsgegevens te onttrekken of verplaatsen.
ARTIKEL 13. VERTROUWELIJKHEID
13.1 Partijen zullen alle (Persoons)gegevens en overige informatie waarvan zij het vertrouwelijk karakter kennen of redelijkerwijs kunnen vermoeden en die hen in het kader van de uitvoering van de Overeenkomst of Verwerkersovereenkomst ter kennis of beschikking is gekomen, geheimhouden en op geen enkele wijze openbaren of aan derden verstrekken, behalve voor zover:
bekendmaking en/of verstrekking van die (Persoons)gegevens en overige informatie in het kader van de uitvoering van de Overeenkomst of Verwerkersovereenkomst noodzakelijk is;
enig dwingendrechtelijk wettelijk voorschrift of rechterlijke uitspraak Partijen tot bekendmaking en/of verstrekking van die (Persoons)gegevens of overige informatie verplicht;
bekendmaking en/of verstrekking van die (Persoons)gegevens en overige informatie geschiedt met voorafgaande schriftelijke toestemming van de andere Partij;
het informatie betreft die al rechtmatig openbaar was op een andere wijze dan door het handelen of nalaten van een der Partijen.
13.2 Partijen zullen voor hen werkzame personen (waaronder werknemers), Onderaannemers en/of Sub-Verwerkers die betrokken zijn bij de Verwerking van vertrouwelijke (Persoons)gegevens contractueel verplichten tot geheimhouding van die vertrouwelijke (Persoons)gegevens en overige informatie.
ARTIKEL 14. TOEPASSELIJK RECHT EN FORUMKEUZE
14.1 De Verwerkersovereenkomst en de uitvoering daarvan worden beheerst door Nederlands recht.
14.2 Alle geschillen, welke tussen Partijen mochten ontstaan in verband met de Verwerkersovereenkomst, zullen worden voorgelegd aan de bevoegde rechter in Rotterdam.
ONDERTEKENING
Ieder der partijen garandeert en staat ervoor in dat op datum van ondertekening van deze overeenkomst, de ondertekenaars bevoegd waren de betreffende partij te vertegenwoordigen en de rechten en verplichtingen uit deze overeenkomst aan te gaan. Aldus opgemaakt in tweevoud en ondertekend,
Namens [Klantnaam]
Handtekening ____________________ Naam ____________________ Functie ____________________ Datum ____________________ Plaats ____________________ |
|
Namens Evolve IP
Handtekening ____________________ Naam Dhr. L.J.N. Schuurmans Functie General Manager Datum ____________________ Plaats Rotterdam |
De volgende bijlagen zijn integraal onderdeel van deze overeenkomst:
Bijlage I: Categorieën van te verwerken persoonsgegevens
Bijlage II: Beveiligingsmaatregelen Evolve IP
Bijlage III: Evolve IP Policy Security Incidenten & Datalekken – analyse en meldplicht
Bijlage I: Categorieën van te verwerken persoonsgegevens
De onderstaande persoonsgegevens worden verwerkt:
☐ Contactgegevens van Gebruikers
☐ Telefoonnummers van Betrokkenen
☐ E-mailadressen van Betrokkenen
☐ Facebook namen van Xxxxxxxxxxx
☐ Twitter namen van Xxxxxxxxxxx
☐ Gespreksopnames in geval van voice recording
☐ Opnames in geval van chat/e-mail recording
☐ Schermopnames van Xxxxxxxxxx in geval van screen recording
☐ Schermopnames van Xxxxxxxxxxx in geval van co-browsing i.c.m. screen recording
☐ Persoonsnamen in geval van outbound campagnes
☐ Overige te weten ………..
Bijlage II: Beveiligingsmaatregelen Evolve IP
De beveiligingsmaatregelen die Evolve IP neemt, zijn opgenomen in het aangehechte Evolve IP ISO 27001 ISMS-document en het Statement of Applicability.
Bijlage III: Policy Security Incidenten & Datalekken – analyse en meldplicht
De procedure voor het melden van datalekken is opgenomen in het aangehechte document ‘Evolve IP Policy Security Incidenten & Datalekken – analyse en meldplicht’.
Evolve
IP Xxxxxxxxxxxx 000 0000 XX Xxxxxxxxx x00000000000
xxxx@xxxxxxxx.xx
xxx.xxxxxxxx.xx