VERWERKERSOVEREENKOMST
VERWERKERSOVEREENKOMST
Partijen:
1. _, statutair gevestigd te en geregistreerd bij de KvK onder het nummer ,hierna te noemen “Verwerkingsverantwoordelijke”;
en
2. HuurMij BV, statutair gevestigd te Leiden en geregistreerd bij de Kamer van Koophandel onder het nummer 28100692, hierna te noemen “Verwerker”;
hierna gezamenlijk te noemen: ‘Partijen’
OVERWEGENDE DAT
A. Verwerkingsverantwoordelijke en Verwerker een overeenkomst hebben gesloten, hierna de “Overeenkomst”. In het kader van de uitvoering van de Overeenkomst verleent Verwerker diensten aan Verwerkingsverantwoordelijke.
B. Verwerker in de uitvoering van de Overeenkomst en de levering van diensten aan Verwerkingsverantwoordelijke Persoonsgegevens verwerkt voor Verwerkingsverantwoordelijke. Onder verwerking van Persoonsgegevens wordt verstaan elke handeling of elk geheel van handelingen met betrekking tot Persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens.
C. Verwerkingsverantwoordelijke de correcte naleving van de privacywetgeving, alsmede de correcte verwerking van haar Persoonsgegevens als uiterst belangrijk beschouwt.
D. Partijen met deze Verwerkersovereenkomst invulling willen geven aan de wijze van verwerking van Persoonsgegevens door Verwerker;
E. De bepalingen in deze Verwerkersovereenkomst gaan voor op alle andere afspraken die tussen Partijen gelden en betrekking hebben op de verwerking van Persoonsgegevens door Verwerker voor Verwerkingsverantwoordelijke.
KOMEN ALS VOLGT OVEREEN:
1. Definities
1.1 De termen “Verwerker”, “Derde” en “Verwerkingsverantwoordelijke” komen overeen met die in de zin van artikel 4 AVG.
1.2 Daarnaast hebben de volgende termen de volgende betekenis: “AP” Autoriteit Persoonsgegevens
“AVG” De algemene verordening gegevensbescherming. Deze verordening is per 25 mei 2018 van toepassing
“UAVG” | De Uitvoeringswet AVG. Deze wet is een gelaagde benadering waarbij een aantal onderwerpen uit de AVG nader zijn ingevuld | |
“Betrokkene” | de natuurlijke persoon waarop de Persoonsgegevens die Verwerker verwerkt voor Verwerkingsverantwoordelijke in het kader van de uitvoering van de Overeenkomst betrekking hebben | |
“Beveiligingsincident” | Ieder incident inzake de beveiliging van de Persoonsgegevens, waarbij Persoonsgegevens verloren zijn gegaan of toegankelijk (kunnen) zijn voor onbevoegden | |
de onderhavige overeenkomst met de daarbij horende Bijlagen | ||
“Bijlage” | Iedere bijlage bij deze Verwerkersovereenkomst, welke een onlosmakelijk deel daarvan uitmaakt | |
“Diensten” | Alle diensten die Verwerker aan Verwerkingsverantwoordelijke verleent, zoals omschreven in de Overeenkomst | |
“EER” | Europese Economische Ruimte, bestaande uit alle landen van de Europese Unie, Liechtenstein, Noorwegen en IJsland | |
“Persoonsgegevens” | Alle Persoonsgegevens die Verwerker ontvangt van of verwerkt voor Verwerkingsverantwoordelijke in het kader van de uitvoering van de Overeenkomst | |
“Sub-Verwerker” | een partij die door Verwerker wordt ingeschakeld (als Verwerker), voor de uitvoering van de Overeenkomst | |
2. | Algemeen |
2.1 Deze Verwerkersovereenkomst betreft de diensten auto- en fietsverhuur, shortlease en lease en de bepalingen uit onderhavige Verwerkersovereenkomst gaan voor op andere bepalingen met betrekking tot de verwerking van Persoonsgegevens tussen Partijen, tenzij uitdrukkelijk schriftelijk anders overeengekomen.
2.2 Verwerker zal de Persoonsgegevens verwerken in overeenstemming met de Overeenkomst en deze Verwerkersovereenkomst. Verwerkingsverantwoordelijke is ten aanzien van de verwerking van Persoonsgegevens Verwerkingsverantwoordelijke. Verwerker is Verwerker.
2.3 Verwerker en Verwerkingsverantwoordelijke verstrekken elkaar over en weer tijdig alle benodigde informatie om een goede naleving van de geldende privacywet- en regelgeving mogelijk te maken.
3. Gebruik Persoonsgegevens
3.1 Een overzicht van de Betrokkenen, de categorieën Persoonsgegevens en het doel waarvoor de Persoonsgegevens worden verwerkt, is opgenomen in Bijlage 1. Verwerker zal de Persoonsgegevens niet voor andere doeleinden of op andere wijze gebruiken dan voor het doel waarvoor de Persoonsgegevens zijn verstrekt of haar bekend zijn geworden.
3.2 Verwerker zal de Persoonsgegevens uitsluitend verwerken in opdracht van Verwerkingsverantwoordelijke in het kader van de uitvoering van de Diensten en de Overeenkomst of in verband met een wettelijke verplichting.
3.3 Verwerker zal de Persoonsgegevens niet aan een Derde verstrekken, tenzij deze uitwisseling plaatsvindt in het kader van de uitvoering van de Overeenkomst of Verwerkersovereenkomst of wanneer dit noodzakelijk is om te voldoen aan een wettelijke verplichting.
3.4 De Persoonsgegevens zullen worden opgeslagen en verwerkt binnen de Europese Economische Ruimte (EER). Verwerker draagt er zorg voor dat de Persoonsgegevens op geen enkele wijze buiten de EER worden verwerkt, niet via opslag in de cloud, noch door verwerking door ingeschakelde Derden vanuit een locatie buiten de Europese Unie, zoals in het kader van onderhoud op de IT-systemen, tenzij Verwerkingsverantwoordelijke daar schriftelijke toestemming voor heeft gegeven.
4. Geheimhouding
4.1 Verwerker houdt de Persoonsgegevens die zij verwerkt in het kader van de uitvoering van de Overeenkomst geheim en zal alle nodige maatregelen treffen om geheimhouding van de Persoonsgegevens te verzekeren. Verwerker zal de verplichting tot geheimhouding tevens opleggen aan haar personeel en alle door haar ingeschakelde personen.
4.2 De in dit artikel bedoelde geheimhoudingsplicht geldt niet indien Verwerkingsverantwoordelijke uitdrukkelijk schriftelijk toestemming heeft gegeven om de Persoonsgegevens aan een Derde te verstrekken, of een wettelijke verplichting bestaat om de Persoonsgegevens aan een Derde te verstrekken.
5. Beveiliging Persoonsgegevens
5.1 Verwerker zal in overeenstemming met de geldende wet- en regelgeving zodanige technische en organisatorische maatregelen treffen, in stand houden en zo nodig aanpassen, dat de Persoonsgegevens op passende wijze zijn beveiligd tegen verlies, onrechtmatige verwerking of onrechtmatige toegang. Verwerker draagt er zorg voor dat de door haar gebruikte systemen (inclusief beveiligingssoftware en verbindingen) en de Diensten voldoen aan de geldende wettelijke verplichtingen in verband met de verwerking van Persoonsgegevens.
5.2 Bij het vaststellen van de beveiligingsmaatregelen zal Verwerker rekening houden met de risico’s van de verwerking, de aard van de Persoonsgegevens en met name van de verwerking van bijzondere Persoonsgegevens, zoals medische gegevens en de stand van de techniek.
6. Controle
6.1 Verwerkingsverantwoordelijke heeft het recht om maximaal één keer per jaar, met een aanzegging van twee weken, binnen reguliere kantoortijden, op eigen kosten door onafhankelijke deskundigen, een audit te laten uitvoeren inzake de verwerking van Persoonsgegevens door Verwerker ter controle op de naleving van deze Verwerkersovereenkomst. Verwerker zal alle redelijke medewerking verlenen aan een audit, waaronder het verlenen van toegang tot gebouwen en databases en het ter beschikking stellen van alle relevante informatie.
6.2 Verwerker zal in overleg met Verwerkingsverantwoordelijke de redelijke aanbevelingen ter verbetering van de onafhankelijke deskundigen zo spoedig mogelijk uitvoeren.
6.3 In geval van een onderzoek door de AP of een andere bevoegde autoriteit zal Verwerker alle redelijke medewerking verlenen en Verwerkingsverantwoordelijke zo snel mogelijk informeren. Partijen zullen met elkaar in overleg treden over de wijze van optreden.
7. Beveiligingsincidenten
7.1 Verwerker informeert Verwerkingsverantwoordelijke zonder onredelijke vertraging indien zich een incident voordoet met betrekking tot de verwerking van de Persoonsgegevens, waarbij de Persoonsgegevens verloren zijn gegaan of toegankelijk zijn voor onbevoegden.
7.2 In geval van een Beveiligingsincident zal Verwerker maatregelen treffen om de gevolgen van het incident en/of een nieuw incident te voorkomen. Verwerker zal alle medewerking verlenen aan Verwerkingsverantwoordelijke om aan de meldplicht datalekken en het mogelijk informeren van Betrokkenen te kunnen voldoen.
7.3 Verwerker heeft bij het ontstaan van een datalek de procedure in verband met incidenten vastgelegd in een “Procedure Meldplicht Datalekken”.
7.4 In geval van een beveiligingsincident die leidt tot een meldplicht voor Verwerkingsverantwoordelijke, zal de melding in overleg met Verwerker door Verwerkingsverantwoordelijke worden verricht. Partijen zullen in goed overleg afspraken maken over de verdeling van de kosten die daarmee zijn gemoeid.
8. Verzoeken van Betrokkenen
8.1 Indien Verwerker een verzoek of klacht van een Betrokkene ontvangt, zoals een verzoek om inzage, verbetering, aanvulling, verwijdering of afscherming van Persoonsgegevens, stuurt Verwerker dat verzoek onmiddellijk door naar Verwerkingsverantwoordelijke.
8.2 Verwerker verleent Verwerkingsverantwoordelijke alle redelijke medewerking om ervoor te zorgen dat Verwerkingsverantwoordelijke binnen de wettelijke of contractuele termijnen kan voldoen aan haar verplichtingen met betrekking tot de rechten van betrokkenen. De redelijke kosten voor deze medewerking zullen door Verwerkingsverantwoordelijke aan Verwerker worden vergoed.
9. Verwerking buiten de EER
9.1 Indien Verwerkingsverantwoordelijke op grond van artikel 3.4 Verwerker toestemming heeft verleend om Persoonsgegevens buiten de EER te verwerken ziet Verwerker er op toe dat de doorgifte van de Persoonsgegevens plaatsvindt in overeenstemming met de daarvoor geldende wettelijke voorschriften.
9.2 Indien gegevens buiten de EER worden verwerkt zal Verwerker dit in Bijlage 1 aangeven, inclusief een opgave van de landen waar de gegevens worden verwerkt en de maatregelen die Verwerker heeft getroffen om te voldoen aan de wettelijke voorschriften.
10. Sub-Verwerkers
10.1 Verwerker heeft bij de verwerking van de Persoonsgegevens de mogelijkheid om met toestemming van Verwerkingsverantwoordelijke Sub-Verwerkers in te schakelen. Verwerkingsverantwoordelijke zal een redelijk verzoek om toestemming niet onthouden. In Bijlage 1 nemen Partijen de relevante gegevens over de Sub-Verwerkers op.
10.2 Verwerker zal met de door haar ingeschakelde Sub-verwerkers een overeenkomst sluiten die in overeenstemming is met de relevante wet- en regelgeving en deze Verwerkersovereenkomst.
11. Toegang tot de Persoonsgegevens
11.1 De Persoonsgegevens behoren toe aan Verwerkingsverantwoordelijke. Op verzoek van Verwerkingsverantwoordelijke zal Verwerker de Persoonsgegevens in een gangbaar formaat ter beschikking stellen aan Verwerkingsverantwoordelijke.
12. Aansprakelijkheid en vrijwaring
12.1 Indien een Partij tekortschiet in de nakoming van de verwerkersovereenkomst is deze Partij aansprakelijk voor de schade en kosten die de andere Partij daardoor lijdt of heeft geleden met inachtneming van de hetgeen is bepaald over aansprakelijkheid en schadevergoeding in de Verwerkersovereenkomst. Verwerker is uitsluitend aansprakelijk voor directe schade en in geen geval voor gevolgschade, zoals reputatieschade, bedrijfsschade of inkomsten- of winstderving. De hoogte van de door Verwerker te betalen schadevergoeding zal nooit hoger zijn dan het door de verzekering uit te betalen bedrag voor het relevante schadegeval, dan wel maximaal het door Verwerkingsverantwoordelijke betaalde bedrag aan Verwerker voor de dienstverlening over een periode van één jaar.
12.2 Verwerker vrijwaart Verwerkingsverantwoordelijke voor boetes en/of dwangsommen van of namens de AP en/of andere bevoegde autoriteiten die aan Verwerkingsverantwoordelijke worden opgelegd en waarbij vast is komen te staan dat deze zijn toe te schrijven aan overtredingen van de Wbp of (U)AVG door Verwerker met in achtneming van de genoemde beperkingen in het eerste lid van dit artikel. Om een beroep te kunnen doen op deze vrijwaring is Verwerkingsverantwoordelijke gehouden om:
(i) Verwerker xxxxxxxx op de hoogte te brengen van enig onderzoek of andere aanleiding die zou kunnen leiden tot een voornemen van een toezichthouder tot het opleggen van een boete of last onder dwangsom,
(ii) in samenspraak met Verwerker te handelen en te communiceren richting de autoriteit
en
(iii) tegen opgelegde boetes in bezwaar en/of beroep te gaan indien daar redelijkerwijs aanleiding voor is.
12.3 Verwerkingsverantwoordelijke vrijwaart Verwerker voor boetes en/of dwangsommen van of namens de AP en/of andere bevoegde autoriteiten die aan Verwerker worden opgelegd en waarbij vast is komen te staan dat deze zijn toe te schrijven aan overtredingen van de Wbp of (U)AVG door Verwerkingsverantwoordelijke. Om een beroep te kunnen doen op deze vrijwaring is Verwerker gehouden om:
(i) Verwerkingsverantwoordelijke terstond op de hoogte te brengen van enig onderzoek of andere aanleiding die zou kunnen leiden tot een voornemen van een toezichthouder tot het opleggen van een boete of last onder dwangsom,
(ii) in samenspraak met Verwerkingsverantwoordelijke te handelen en te communiceren richting de autoriteit
en
(iii) tegen opgelegde boetes in bezwaar en/of beroep te gaan indien Verwerkingsverantwoordelijke daar redelijkerwijs aanleiding voor is.
13. Duur en beëindiging
13.1 Deze Verwerkersovereenkomst treedt in werking op de datum van ondertekening en eindigt van rechtswege bij beëindiging van de Overeenkomst of de Diensten.
13.2 Verwerker zal bij beëindiging van de Overeenkomst op verzoek van Verwerkingsverantwoordelijke en tegen vergoeding van de redelijke kosten de Persoonsgegevens ter beschikking stellen aan Verwerkingsverantwoordelijke of aan een door Verwerkingsverantwoordelijke aangewezen Derde.
13.3 Verwerker zal na beëindiging van de Overeenkomst en na de verzochte overdracht van de Persoonsgegevens de nog aanwezige Persoonsgegevens vernietigen.
14. Wijziging Verwerkersovereenkomst
14.1 In geval van wijzigingen in de Diensten of regelgeving die van invloed zijn op de verwerking van de Persoonsgegevens zullen Partijen in overleg treden over de eventueel benodigde wijziging van de Verwerkersovereenkomst. De wijzigingen in de tekst van deze Verwerkersovereenkomst kunnen uitsluitend schriftelijk door de bevoegde vertegenwoordigers van Partijen worden overeengekomen.
14.2 Wijzigingen in de Bijlagen geschieden schriftelijk onder vermelding van het versienummer en de datum van ingang van de nieuwe versie.
15. Toepasselijk recht / Bevoegde rechter
15.1 Op deze Verwerkersovereenkomst is uitsluitend Nederlands recht van toepassing.
15.2 Alle geschillen die ontstaan naar aanleiding van deze Verwerkersovereenkomst worden beslecht op dezelfde wijze als opgenomen in de Overeenkomst.
ALDUS OVEREENGEKOMEN EN IN TWEEVOUD GETEKEND
Namens Verwerkingsverantwoordelijke
Naam: Datum:
Functie: Handtekening:
Namens Verwerker
Naam: Koen van Ulden Datum:
Functie: Directeur Handtekening:
BIJLAGE 1
A. Betrokkenen
De personen waarop de Persoonsgegevens betrekking hebben zijn in ieder geval:
- Contractanten
- Bestuurders van voertuigen
B. Categorieën en soorten Persoonsgegevens
De Persoonsgegevens die door Verwerker worden verwerkt zijn in ieder geval:
- N.A.W. van debiteur
- Geslacht
- Geboortedatum/-plaats
- Emailadres
- Telefoonnummers
- Rijbewijsnummer
- Id / paspoortnummer
- Bankgegevens
C. Doeleinden van de verwerking
De Persoonsgegevens worden in ieder geval voor de volgende doeleinden verwerkt
- Acceptatieproces
- Huur-/leasecontract
D. Verwerking buiten de EER
De Persoonsgegevens worden in de volgende landen buiten de EER verwerkt (denk ook aan onderhoud door personen die zich buiten de EER bevinden of cloudopslag bij een cloudprovider van buiten de EER, zoals uit de VS):
[landen en getroffen maatregelen om aan de wettelijke voorschriften te voldoen]
E. Gegevens Sub-Verwerkers
Verwerker maakt voor de Diensten gebruik van de volgende Sub-Verwerkers; Geen sub-verwerkers
F. Contactgegevens
De contactpersoon bij Verwerker is: Xxxx xxx Xxxxx (xxxx@xxxxxxx.xx)