Verwerkersovereenkomst
Partijen,
The Vendor Management Company B.V. gevestigd te 3833 LD te Leusden aan de Fokkerstraat 12, ingeschreven bij de Kamer van Koophandel onder dossiernummer 54679613, , te dezer zake rechtsgeldig vertegenwoordigd door de heer V.C.P. Xxxxxxx, Algemeen directeur van TVMC, hierna te noemen: Verwerker of TVMC
en
Afnemer die, bij het bestelproces voor het afnemen van de diensten van TVMC en daarmee bij het sluiten van de overeenkomst van dienstverlening door TVMC aan de afnemer, akkoord is gegaan met deze Verwerkersovereenkomst, hierna te noemen “Verwerkersverantwoordelijke”,
gezamenlijk “Partijen” en afzonderlijk “Partij” genoemd, in
aanmerking nemende dat:
- TVMC diensten verleent aan Verwerkersverantwoordelijke op basis van een met Verwerkersverantwoordelijke gesloten overeenkomst;
- TVMC in het kader van voornoemde overeenkomst persoonsgegevens verwerkt ten behoeve van Verwerkersverantwoordelijke;
- Partijen zich bewust zijn van het belang van goede afspraken over de verwerking hiervan;
- Partijen mede daarom afspraken willen vastleggen ten aanzien van de verwerking van de persoonsgegevens in deze Verwerkersovereenkomst;
- TVMC bij de uitvoering van haar diensten gebruik maakt van Microsoft technologie, die onderworpen zijn aan de voorwaarden zoals beschreven in de Microsoft Volume Licensing – Voorwaarden voor Online Diensten Nederland, meest recente versie, inclusief de van toepassing zijnde en door Microsoft ondertekende Standaard Contractclausules (verwerkers);
- Partijen in het kader van het voorgaande en mede ter uitvoering van het bepaalde in de Algemene Verordening Gegevensbescherming (hierna: AVG) in de onderhavige Verwerkersovereenkomst een aantal voorwaarden wensen vast te leggen, die van toepassing zijn op hun relatie in verband met en de verwerking van persoonsgegevens, zoals bedoeld in de AVG,
zijn als volgt overeengekomen: Artikel 1. Definities
De in de Verwerkersovereenkomst opgenomen woorden die telkens
worden geschreven met een hoofdletter, hebben, zowel in meervoud als in enkelvoud, de betekenis als beschreven in dit artikel.
1. Applicatie(s): online programma(’s) en aanverwante (Cloud-) Diensten zoals aangeboden middels het Platform, ontwikkeld voor de PC, laptop, tablet en mobiele telefoon.
2. Betrokkene(n): degene op wie de Persoonsgegevens betrekking hebben, zoals bedoeld in de AVG, hier (meestal) de gebruiker van de Dienst.
3. Verwerker: de Partij die in opdracht en onder verantwoordelijkheid van Verwerkingsverantwoordelijke de gegevens van Xxxxxxxxxxx verwerkt, hier TVMC.
4. Verwerkersovereenkomst: onderhavige Verwerkersovereen- komst, die onlosmakelijk onderdeel uitmaakt van en een aanvulling vormt op de Overeenkomst, ter neerlegging van de afspraken zoals bedoeld in de AVG.
5. Datalek: een inbreuk op de beveiliging die ongunstige gevolgen kan hebben voor de beveiliging van de Persoonsgegevens van Betrokkene(n).
6. Dienst: het Platform, de Applicaties en eventuele andere diensten die Verwerkersverantwoordelijke van TVMC afneemt zoals afgesproken in de Overeenkomst.
7. Persoonsgegevens: Gegevens die direct of indirect herleidbaar zijn tot een natuurlijk persoon, zoals bedoeld de AVG.
8. Platform: het platform van TVMC waarop de Applicaties ontwikkeld zijn en via welke de Applicaties online beschikbaar zijn.
9. Verwerkersverantwoordelijke: de organisatie dan wel de organisaties die gezamenlijk een samenwerkingsverband vormen en in wiens opdracht Verwerker de voorgeschreven categorieën persoonsgegevens verwerkt.
10. Overeenkomst: overeenkomst zoals Partijen hebben gesloten ten behoeve van Dienstverlening.
11. Schriftelijk: onder Schriftelijk wordt in de Verwerkers- overeenkomst verstaan:
a. beschreven of bedrukt papier;
b. e-mail, mits de identiteit van de afzender voldoende vaststaat en de integriteit van het bericht niet is aangetast.
13. Verwerking: elke handeling of elk geheel van handelingen met betrekking tot Persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van Persoonsgegevens, zoals bedoeld in de AVG.
14. AVG: Algemene Verordening Gegevensverwerking .
Artikel 2. Totstandkoming en beëindiging
1. De Verwerkersovereenkomst komt tot stand door opdrachtverstrekking door Verwerkersverantwoordelijke voor het beschikbaar stellen van de AddVue Dienst.
2. Op de Verwerkersovereenkomst zijn de algemene voorwaarden van TVMC van toepassing. Eventuele resultaats- of inspanningsverbintenissen in de Verwerkersovereenkomst vallen uitdrukkelijk ook onder de aansprakelijkheidsbeperking zoals opgenomen in de algemene voorwaarden van TVMC.
3. De Verwerkersovereenkomst eindigt van rechtswege op het moment dat de Overeenkomst eindigt.
4. Zodra de Verwerkersovereenkomst ten einde komt om welke reden dan ook, is TVMC verplicht Verwerkersverantwoordelijke binnen 60 dagen na de beëindigingsdatum alle data inclusief persoonsgegevens terug te bezorgen en deze te (laten) vernietigen op haar eigen systemen of de systemen van door haar ingeschakelde derden. Indien vernietiging niet mogelijk of onredelijk ingrijpend en kostbaar is, dan volstaat het ontkoppelen van de Betrokkene(n), (althans het account van die Betrokkene(n)) en zijn of haar gegevens. TVMC dient te voorkomen dat de gegevens weer gekoppeld raken door bijvoorbeeld het terugzetten van een back-up.
Artikel 3. Doeleinden van de Verwerking
1. TVMC zal de persoonsgegevens die ter beschikking worden gesteld enkel verwerken met het oog op de uitvoering van de Overeenkomst en in overeenstemming met het doel en de middelen zoals vastgesteld door Verwerkersverantwoordelijke.
2. TVMC verwerkt Persoonsgegevens in opdracht van Verwerkersverantwoordelijke in ieder geval met als doeleinde de online beschikbaarheid van de Dienst te bewerkstelligen.
3. Verwerkersverantwoordelijke stelt TVMC op de hoogte van verwerkingsdoeleinden voor zover deze niet reeds in deze Verwerkersovereenkomst zijn genoemd. TVMC zal de Persoonsgegevens niet voor een ander doeleinde Verwerken dan door Verwerkersverantwoordelijke is vastgesteld.
The Vendor Management Company B.V. / Xxxxxxxxxxxx 00 / 0000 XX Xxxxxxx E: xxxx@xxxxxx.xxx / xxx.xxxxxx.xxx / KvK: 54679613
Artikel 4. Verplichtingen TVMC
1. TVMC draagt, ten aanzien van de in Artikel 3 genoemde Verwerkingen, zorg voor de naleving van toepasselijke wet- en regelgeving op het gebied van bescherming van Persoonsgegevens, zoals AVG.
2. TVMC zal Verwerkersverantwoordelijke, op eerste verzoek daartoe, informeren over de door haar genomen maatregelen aangaande haar verplichtingen onder deze Verwerkersovereenkomst.
3. De verplichtingen van TVMC die uit de Verwerkersovereenkomst voortvloeien, gelden ook voor degenen die Persoonsgegevens Verwerken onder het gezag van TVMC, waaronder begrepen maar niet beperkt tot werknemers in de ruimste zin van het woord.
4. TVMC Verwerkt de Persoonsgegevens uitsluitend binnen de Europese Unie.
5. TVMC houdt een overzicht bij met categorieën van persoonsgegevens, die zij in opdracht van Verwerkersverantwoordelijke verwerkt.
6. In geval van een verzoek daartoe, zal TVMC medewerking verlenen aan de Toezichthouder (Autoriteit Persoonsgegevens) in het kader van de uitoefening van diens taken.
Artikel 5. Doorgifte aan derden
1. Verwerkersverantwoordelijke geeft TVMC toestemming om, in het kader van het hosten van de door TVMC te leveren AddVue Diensten, de Persoonsgegevens te laten Verwerken door een derde.
2. TVMC zal deze derde wezenlijk dezelfde verplichtingen ten opzichte van Opdrachtgever opleggen als voor haarzelf uit deze Verwerkersovereenkomst voortvloeien.
Artikel 6. Verantwoordelijkheid
1. TVMC is louter verantwoordelijk voor de Verwerking van Persoonsgegevens via de door haar onder de Overeenkomst aangeboden Dienst onder de in de Verwerkersovereenkomst genoemde voorwaarden. Voor de overige Verwerkingen van Persoonsgegevens, waaronder in ieder geval begrepen maar niet beperkt tot de verzameling van de Persoonsgegevens door de Verwerkersverantwoordelijke en/of derden, waaraan TVMC geen enkele bijdrage levert of heeft geleverd is, TVMC uitdrukkelijk niet verantwoordelijk.
2. De verantwoordelijkheid voor de Persoonsgegevens die met gebruikmaking van de Dienst worden Verwerkt, ligt bij Verwerkersverantwoordelijke. Verwerkersverantwoordelijke staat er jegens TVMC voor in dat de inhoud, het gebruik en/of de Verwerking van de Persoonsgegevens niet onrechtmatig zijn en geen inbreuk maken op enig recht van een derde.
3. Verwerkersverantwoordelijke vrijwaart TVMC tegen elke rechtsvordering van derden, uit welke hoofde dan ook, in verband met de uitvoering van de Verwerkersovereenkomst, tenzij Verwerkersverantwoordelijke bewijst dat de feiten die aan de aanspraak ten grondslag liggen uitsluitend aan TVMC toegerekend moeten worden en sprake is van opzet of grove nalatigheid.
Artikel 7. Verzoeken van Betrokkenen
1. In het geval dat Xxxxxxxxxx een verzoek doet tot inzage, of verbetering, aanvulling, wijziging, afscherming of verwijdering, zoals bedoeld in de AVG, zullen Partijen het nodige doen dit verzoek in te willigen. Mocht de Betrokkene verzoeken om verwijdering, dan geldt het volgende: indien verwijdering niet mogelijk of onredelijk ingrijpend en kostbaar is, dan volstaat het
ontkoppelen van de Betrokkene (althans het account van die Betrokkene) en zijn of haar gegevens. TVMC dient te voorkomen dat de gegevens weer gekoppeld raken door bijvoorbeeld het terugzetten van een back-up.
2. Indien Verwerkersverantwoordelijke een verzoek doet om een afschrift ten behoeve van een Betrokkene, dan zal TVMC Opdrachtgever een digitaal afschrift doen toekomen in een .pdf format of een ander door TVMC te bepalen format.
Artikel 8. Geheimhouding en vertrouwelijkheid
1. Op alle Persoonsgegevens die TVMC van Verwerkersverantwoordelijke ontvangt en/of zelf verzamelt in het kader van de Verwerkersovereenkomst, rust een (afgeleide) geheimhoudingsplicht jegens derden. TVMC zal de Persoonsgegevens niet voor een ander doel gebruiken dan waarvoor zij deze heeft verkregen.
2. Deze geheimhoudingsplicht is niet van toepassing voor zover Verwerkersverantwoordelijke uitdrukkelijke toestemming heeft gegeven om de informatie aan derden te verschaffen, indien het verstrekken van de informatie aan derden logischerwijs noodzakelijk is gezien de aard van de verstrekte opdracht en de uitvoering van de Verwerkersovereenkomst, of indien er een wettelijke verplichting bestaat om de informatie aan een derde te verstrekken.
Artikel 9. Beveiliging
1. TVMC zal voldoende technische en organisatorische maatregelen nemen met betrekking tot de te verrichten Verwerkingen van Persoonsgegevens tegen verlies of tegen enige vorm van onrechtmatige Verwerking (zoals onbevoegde kennisname, aantasting, wijziging of verstrekking van de gegevens), waaronder in ieder geval begrepen:
a. TVMC zal voorzieningen treffen voor een adequate toegangsbeveiliging tot de onder de Overeenkomst verkregen Persoonsgegevens, zodat alleen geautoriseerd personeel toegang kan verkrijgen. TVMC houdt een lijst bij van geautoriseerd personeel;
b. TVMC garandeert een Microsoft ISO 27002 ‘in control’-statement te kunnen overleggen en garandeert de door haar geformuleerde toereikende set van doelstellingen, geformuleerd ten behoeve van het verkrijgen van de ‘in control’-statement, gerealiseerd te hebben;
c. TVMC zal de bestandsuitwisseling daar waar mogelijk ondersteunen met integriteitscontroles;
d. TVMC heeft een adequaat en up to date mechanisme in werking om kwaadaardige software, waaronder computervirussen, te weren en adequaat af te handelen.
2. Verwerkersverantwoordelijke is verantwoordelijk voor de naleving van de door Partijen genomen maatregelen bij het gebruik van de Dienst bestaande uit (maar niet uitsluitend) de Applicaties en het Platform.
3. TVMC is verantwoordelijk voor de uitvoering van de door Partijen vastgestelde maatregelen ten behoeve van de beveiliging van de Dienst bestaande uit maar niet uitsluitend de Applicaties en het Platform.
TVMC staat er niet voor in dat de beveiliging onder alle omstandigheden doeltreffend is.
4. Verwerkersverantwoordelijke stelt enkel Persoonsgegevens ter Verwerking beschikbaar aan TVMC indien zij zich ervan heeft verzekerd dat de vereiste beveiligingsmaatregelen zijn getroffen.
5. Op eerste verzoek van een Partij zal de wederpartij haar binnen 2 werkdagen Schriftelijk informeren over de wijze waarop uitvoering wordt gegeven aan haar verplichtingen op grond van de wet- en regelgeving op het gebied van de bescherming van Persoonsgegevens, waaronder in ieder geval begrepen de AVG.
Artikel 10. Meldplicht
1. TVMC zal Verwerkersverantwoordelijke onverwijld op de hoogte te stellen in geval van een Datalek.
2. Verwerkersverantwoordelijke heeft de uitdrukkelijke (eind) verantwoordelijkheid om, indien wet- en/of regelgeving dit vereist, een melding te doen omtrent het Datalek aan de betreffende Betrokkene(n) en de ter zake relevante autoriteiten.
3. De meldplicht behelst in ieder geval het melden van het feit dat er een lek is geweest, alsmede:
a. wat de (vermeende) oorzaak is van het lek;
b. wat is het (vooralsnog bekende en/of te verwachten) gevolg;
c. wat is de (voorgestelde) oplossing;
d. wie is geïnformeerd (zoals Xxxxxxxxxx zelf, Opdrachtgever, toezichthouder, etc.).
Artikel 11. Slotbepalingen
1. Op deze Verwerkersovereenkomst zijn van toepassing de algemene voorwaarden van The Vendor Management Company B.V.
2. Indien enige bepaling uit de Verwerkersovereenkomst nietig blijkt te zijn, tast dit niet de geldigheid van de gehele Verwerkersovereenkomst aan. Partijen zullen in dat geval ter vervanging (een) nieuwe bepaling(en) vaststellen, waarmee zoveel als rechtens mogelijk is aan de bedoeling van de oorspronkelijke Verwerkersovereenkomst gestalte wordt gegeven.
Bijlage: overzicht van de gegevens en doeleinden daarvan die in de uitvoering van de overeenkomst, onder toepassing van deze Verwerkersovereenkomst, in opdracht van Verwerkers- verantwoordelijke door Verwerker worden verwerkt.
Leusden, mei 2022
The Vendor Management Company B.V.
Bijlage: Gegevens en doeleinden Gegevensverwerking
De naam van de Verwerking | Contract- en Leveranciersmanagement |
Soort product en/of Dienst | SaaS platform gebaseerd op Azure Cloud |
Het doel van de Verwerking | Doel van de verwerking is het monitoren van de prestaties van de door Verwerkingsverantwoordelijke gecontracteerde leveranciers. |
De aard van de Verwerking | Het vastleggen en onderhouden van gebruikersgegevens voor authenticatie en autorisatie Het vastleggen en muteren van activiteiten, documenten, prestaties e.a. teneinde de contractueel overeengekomen prestatiesniveaus van leveranciers te beoordelen en te verbeteren |
Beschrijving Soort Persoonsgegevens Categorieën) | Registratie van algemene gebruikersgegevens. Ten behoeve van authenticatie en autoristatie van gebruikers, worden in AddVuet de navolgende gebruikersgegevens vastgelegd van zowel interne als externe gebruikers: - Voornaam - Achternaam - Telefoonnummer - E-mailadres - Organisatie - Functie - Foto (niet verplicht) |
Beschrijving categorieën Betrokkenen | AddVue is niet publiek toegankelijk. AddVue is uitsluitend toegankelijk voor door Verwerkingsverantwoordelijke aangewezen en geregistreerde gebruikers. Dit kunnen zowel interne als externe gebruikers zijn (leveranciers van Verwerkingsverantwoordelijke). |
Gebruik van Onderaannemers/Subverwerkers in levering Dienst? Zo ja, welke? | Microsoft pa: Xxxxx xxx xx Xxxxxxxxxx 000 0000 XX Xxxxxxxx |
Beveiligingsmaatregelen op hoofdlijnen | Microsoft Azure Compliance Offerings, w.o. - ISO 9001 - ISO 27001 - ISO 27017 - ISO 27018 - ISO 9001 - ISO 2000 - AFM / DNB - HIPAA - HITRUST - NEN 7510 - e.a. Zie ook: xxxxx://xxxxx.xxxxxxxxx.xxx/xx-xx/xxxxxxxx/xxxxxxx-xxxxx/ |