ALPINA VERWERKERSOVEREENKOMST
ALPINA
Verwerkersovereenkomst
De ondergetekenden:
het bedrijf naam relatie statutair gevestigd te Arnhem, aan de Xxxxxxx 000
0000 XX Xxxxxx
ingeschreven in de Kamer van Koophandel onder nummer ………..
hierbij rechtsgeldig vertegenwoordigd door …………….., als hierna ook “Verwerkingsverantwoordelijke”,
en
Alpina gevestigd te Doetinchem aan Edisonstraat 92, ingeschreven in de Kamer van Koophandel onder nummer 62539388 hierbij rechtsgeldig vertegenwoordigd door de heer Xxxxx X.X. xxx Xxxxxxxx hierna ook “Verwerker”,
De Verwerkingsverantwoordelijke en de Verwerker hierna gezamenlijk te noemen Partijen en ieder voor zich Partij;
Nemen het
volgende in aanmerking:
Partijen zijn een Overeenkomst aangegaan in het kader waarvan Persoonsgegevens van derden door Verwerker (kunnen) worden verwerkt;
De Verwerker zal in het kader van de Overeenkomst ten behoeve van Verwerkingsverantwoordelijke Persoonsgegevens verwerken, waarbij Verwerkingsverantwoordelijke te beschouwen is als “verwerkingsverantwoordelijke”, en Verwerker als “verwerker”, zoals bedoeld in de Algemene Verordening Gegevensbescherming;
Partijen zullen beiden voldoen aan de verplichtingen uit de Algemene Verordening Gegevensbescherming en nationale wet- en regelgeving met betrekking tot de bescherming van Persoonsgegevens;
De Verwerker zal ten behoeve van de Verwerkingsverantwoordelijke waarborgen bieden ten aanzien van het naleven van deze regelgeving ten aanzien van de bescherming van Persoonsgegevens, waaronder ook het bieden van passende technische en organisatorische beveiligingsmaatregelen om een op het risico afgestemd adequaat beveiligingsniveau te garanderen;
Partijen leggen in deze Overeenkomst de afspraken vast die gelden voor het verwerken van Persoonsgegevens door Verwerker ten behoeve van Verwerkingsverantwoordelijke;
Verklaren het volgende te zijn overeengekomen:
Artikel 1: Definities en uitgangspunten
In deze Verwerkersovereenkomst worden de volgende definities gehanteerd:
AVG
|
de Algemene Verordening Gegevensbescherming en overige (nationale) wet en regelgeving met betrekking tot de bescherming van Persoonsgegevens;
|
Betrokkene
|
een natuurlijk persoon van wie de Persoonsgegevens worden verwerkt door Verwerkingsverantwoordelijke en Verwerker, zoals nader beschreven in Bijlage 1; |
Datalek
|
een inbreuk op de beveiliging die leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens, die een risico inhoudt op de rechten en vrijheden van Betrokkene;
|
Overeenkomst |
De hoofdovereenkomst waar deze verwerkersovereenkomst als aanvulling op fungeert en onlosmakelijk mee is verbonden
|
Persoonsgegevens
|
de (categorieën van) persoonsgegevens met betrekking tot Xxxxxxxxxxx, zoals nader beschreven in Bijlage 1; |
Subverwerker
|
de derde partij die in opdracht van Verwerker de Persoonsgegevens zal verwerken; |
Verwerken |
elke handeling met
betrekking tot Persoonsgegevens, waaronder in ieder geval het
vastleggen, ordenen, opslaan, bijwerken, actualiseren, wijzigen,
opvragen, raadplegen, gebruiken, doorzenden, verspreiden, met
elkaar in verband brengen, uitwisselen, wissen, vernietigen of
beperken; |
deze overeenkomst. |
Artikel 2: Reikwijdte van deze overeenkomst
2.1 Verwerker zal de Persoonsgegevens uitsluitend verwerken ten behoeve en in opdracht van Verwerkingsverantwoordelijke en steeds in overeenstemming met de bepalingen van de Verwerkersovereenkomst, dan wel met overige schriftelijke instructies van Verwerkingsverantwoordelijke.
2.2 Indien Verwerker op enig moment van mening is dat een bepaling uit deze Verwerkersovereenkomst of een schriftelijke instructie van Verwerkingsverantwoordelijke zich niet of niet volledig verhoudt met de AVG, dan informeert Verwerker de Verwerkingsverantwoordelijke daar direct over. Partijen overleggen alsdan over de mogelijke gevolgen en de voortgang van de Verwerkersovereenkomst.
2.3 Verwerker zal de Persoonsgegevens van Betrokkenen alleen verwerken ten behoeve van de verwerkingsdoeleinden, zoals allen beschreven in Bijlage 1. De verwerkingsdoeleinden zijn vastgesteld door Verwerkingsverantwoordelijke.
2.4 Eventuele (intellectuele) eigendomsrechten met betrekking tot de Persoonsgegevens of de dragers waarop deze zijn opgeslagen, blijven uitsluitend voorbehouden aan Verwerkingsverantwoordelijke.
Artikel 3: algemene verplichtingen verwerker
3.1 Verwerker verplicht
zich om alle instructies van Verwerkingsverantwoordelijke op te
volgen ten aanzien van de verwerking van de Persoonsgegevens in het
kader van deze Verwerkersovereenkomst.
3.2 Verwerker zal zich
houden aan de verplichtingen op grond van de AVG en alle overige
toepasselijke wet- en regelgeving en gedragscodes betreffende de
bescherming en beveiliging van persoonsgegevens, zoals die zullen
gelden. Verwerker verklaart met deze regelgeving bekend te zijn en
zich tijdig van eventuele wijzigingen daarvan op de hoogte te zullen
houden. Zo nodig kan Verwerkingsverantwoordelijke dienaangaande
instructies uitvaardigen aan Verwerker.
3.3 Verwerker zal de Persoonsgegevens op een behoorlijke en zorgvuldige wijze in overeenstemming met de AVG Verwerken.
3.4 Verwerker instrueert
medewerkers, Sub-verwerkers en overige derden die werkzaamheden
verrichten in het kader van
de
uitvoering van de Overeenkomst, opdat zij niet in strijd handelen met
deze Verwerkersovereenkomst. Verwerker draagt hiervoor de
verantwoordelijkheid.
3.5 Het is Verwerker niet toegestaan om de Persoonsgegevens voor eigen doeleinden of enig ander doel dan de in deze Verwerkersovereenkomst genoemde verwerkingsdoeleinden te verwerken en/of aan derden te verstrekken.
3.6 Verwerker voorziet
Verwerkingsverantwoordelijke op eerste verzoek van redelijkerwijze
noodzakelijke informatie, op basis waarvan de
Verwerkingsverantwoordelijke zich een oordeel kan vormen over de
naleving van deze Verwerkersovereenkomst door Verwerker. Verwerker
licht op eerste verzoek van Verwerkingsverantwoordelijke de opzet en
werking toe van het stelsel aan maatregelen en procedures, dat dient
tot naleving van deze Verwerkersovereenkomst.
3.7 Verwerker zal op eerste verzoek van Verwerkingsverantwoordelijke toegang verlenen aan Verwerkingsverantwoordelijke tot de Persoonsgegevens, dan wel de Persoonsgegevens aan Verwerkingsverantwoordelijke ter beschikking stellen op een wijze die door Verwerkingsverantwoordelijke zal worden bepaald.
3.8 Verwerker zal Verwerkingsverantwoordelijke onverwijld informeren over enig verzoek of onderzoek van de Autoriteit Persoonsgegevens of enige overheids- of gerechtelijke of toezichthoudende instantie met betrekking tot de verstrekking of verwerking van de Persoonsgegevens.
Artikel 4: Sub-verwerkers en doorgifte
4.1 Verwerker mag voor de verwerking van Persoonsgegevens binnen het kader van de Verwerkersovereenkomst uitsluitend Sub-verwerkers inschakelen, indien Verwerkingsverantwoordelijke daaraan uitdrukkelijk vooraf schriftelijk toestemming heeft gegeven. Verwerkingsverantwoordelijke kan steeds eisen stellen aan de Sub-verwerker of de aard van de door de Sub-verwerker te verrichten verwerking van Persoonsgegevens.
Indien (een deel van) de verwerking van de Persoonsgegevens wordt uitbesteed aan een Subverwerker, is Verwerker jegens Verwerkingsverantwoordelijke volledig verantwoordelijk en aansprakelijk voor de uitvoering door Sub-verwerker conform de plichten die uit hoofde van deze Verwerkersovereenkomst op Verwerker rusten. Verwerker staat er jegens Verwerkingsverantwoordelijke voor in dat de verwerking van de Persoonsgegevens door een Sub-verwerker slechts plaatsvindt binnen de reikwijdte van deze Verwerkersovereenkomst.
Verwerker en eventuele Sub-verwerkers zullen Persoonsgegevens niet verwerken in of doorgeven aan derde landen of doorgeven aan internationale organisaties, een en ander zoals bedoeld in de AVG, tenzij daarover voorafgaand schriftelijke afspraken zijn gemaakt tussen Partijen. Verwerker dient instructies van Verwerkingsverantwoordelijke met betrekking tot het verwerken of doorgeven van Persoonsgegevens in derde landen of aan internationale organisaties strikt op te volgen.
Verwerker zorgt ervoor dat aan Sub-verwerkers door middel van een schriftelijke verwerkersovereenkomst tenminste dezelfde verantwoordelijkheden en verplichtingen worden opgelegd als die aan Verwerker zijn opgelegd in deze Verwerkersovereenkomst.
Artikel 5: Geheimhouding
5.1 Verwerker mag geen Persoonsgegevens aan derden kenbaar maken of derden daartoe toegang geven, tenzij Verwerkingsverantwoordelijke daar vooraf uitdrukkelijk schriftelijk toestemming voor heeft gegeven. Onder derden wordt ook personeel van Verwerker begrepen voor zover het niet noodzakelijk is dat dergelijk personeel voor het uitvoeren van de Overeenkomst kennisneemt van de Persoonsgegevens. Deze geheimhoudingsplicht blijft onverminderd van kracht na het einde van deze Verwerkersovereenkomst.
5.2 Verwerker verplicht zich om medewerkers en Sub-verwerkers, of overige derden die werkzaamheden verrichten in het kader van de uitvoering van de Overeenkomst, bekend te maken met de inhoud van de Verwerkersovereenkomst en hen schriftelijk te conformeren aan de verplichtingen uit de Verwerkersovereenkomst ten aanzien maar niet beperkt tot onder meer het geheimhouden en vertrouwelijk behandelen van Persoonsgegevens als bedoeld in dit artikel.
Artikel 6: Beveiliging
Verwerker zal uit eigen beweging zodanige technische en organisatorische beveiligingsmaatregelen treffen en aanhouden dat de Persoonsgegevens adequaat beveiligd zijn tegen verlies of enige vorm van onzorgvuldige, ondeskundige of onrechtmatige verwerking en dat ten aanzien van de Persoonsgegevens steeds sprake is van een adequate bescherming die, gelet op de stand van de techniek, passend is. Verwerker zal zich er daarbij voor inspannen dat de beveiligingsmaatregelen minimaal het niveau hebben dat gebruikelijk is in de branche waarin Verwerker werkzaam is.
6.2 Verwerker treft in ieder geval de in Bijlage 2 opgenomen beveiligingsmaatregelen.
6.3 Partijen evalueren periodiek de in dit artikel en in Bijlage 2 genoemde maatregelen. Zodra Verwerkingsverantwoordelijke ten aanzien van de beveiliging van de Persoonsgegevens nieuwe of gewijzigde afspraken wenselijk acht, treden partijen hierover in overleg. Verwerker is verplicht nieuwe of aanvullende beveiligingsmaatregelen te treffen, indien dat redelijkerwijze nodig is om een adequaat niveau van bescherming blijvend te garanderen.
Artikel 7: Controle
7.1. Verwerker stelt Verwerkingsverantwoordelijke en eventueel door Verwerkingsverantwoordelijke aangewezen derden (auditors) in staat om op verzoek van Verwerkingsverantwoordelijke binnen een redelijke termijn de naleving door Verwerker van deze Verwerkersovereenkomst te (laten) controleren.
7.2 De Verwerker zal hieraan de redelijkerwijze benodigde medewerking verlenen en alle voor de (uitvoering van de) controle relevante informatie tijdig, maar in ieder geval uiterlijk een week voor aanvang van de controle ter beschikking stellen.
7.3 De Verwerkingsverantwoordelijke en eventueel door de Verwerkingsverantwoordelijke aangewezen derden (auditors) zullen zich conformeren aan de op enig moment geldende beveiligingsmaatregelen van Verwerker en zullen geheimhouding betrachten met betrekking tot de informatie die hen bekend wordt van Verwerker tijdens de controle. Indien gewenst zullen Verwerkingsverantwoordelijke en door deze aangewezen derden een geheimhoudingsverklaring ondertekenen.
7.4 De kosten voor een door Verwerkingsverantwoordelijke geïnitieerde controle als beschreven in dit artikel komen voor rekening van de Verwerkingsverantwoordelijke, tenzij uit de controle blijkt dat Verwerker aantoonbaar in strijd handelt of heeft gehandeld met de Verwerkersovereenkomst. Verwerkingsverantwoordelijke kan de kosten van de controle in zo’n geval (deels) verhalen op Verwerker.
7.5 Verwerker verstrekt jaarlijks, dan wel op eerste verzoek van Verwerkingsverantwoordelijke, een rapportage aan Verwerkingsverantwoordelijke waarin Verwerker informatie verstrekt over de stand van de beveiligingsmaatregelen zoals omschreven in artikel 6 en Bijlage 2, alsmede over datalekken en mogelijke beveiligingsrisico’s ten aanzien van de Persoonsgegevens.
Artikel 8: datalek
Verwerker richt haar beveiligingsmaatregelen en organisatie zodanig in, dan zij steeds in staat is om een Datalek te signaleren.
8.2 Xxxxx Xxxxxxxxx kennisneemt van een Datalek, van welke aard dan ook, stelt Verwerker Verwerkingsverantwoordelijke hiervan zonder onredelijke vertraging (d.w.z. maar in ieder geval zo mogelijk binnen 24 uur) op de hoogte.
8.3 Verwerker verstrekt daarbij in ieder geval de volgende informatie:
de aard en omvang van het Datalek en de feitelijke toedracht voor zover bekend of vermoed;
het tijdstip van het Datalek en het tijdstip van vaststelling ervan;
of het Datalek bij Verwerker heeft plaatsgevonden of bij een derde;
de (mogelijk) getroffen (categorieën van) Persoonsgegevens en de mogelijke ontvangers van de Persoonsgegevens;
de vastgestelde en te verwachten gevolgen van het voor de verwerking van de Persoonsgegevens en de daarbij betrokken personen;
en de maatregelen die Verwerker heeft getroffen en zal treffen om de negatieve gevolgen van het Datalek te verhelpen of beperken en herhaling daarvan te voorkomen.
8.4 Verwerker verleent op verzoek van Verwerkingsverantwoordelijke de gevraagde medewerking die Verwerkingsverantwoordelijke nodig acht voor de beoordeling en afhandeling van het Datalek c.q. het melden bij de Autoriteit Persoonsgegevens en/of de betrokkenen. Verwerker zal een dergelijke melding van een Datalek nimmer zelfstandig doen zonder uitdrukkelijke voorafgaande toestemming van Verwerkingsverantwoordelijke.
8.5 Verwerker zal Verwerkingsverantwoordelijke steeds van eventuele nieuwe ontwikkelingen omtrent een Datalek op de hoogte stellen en informeren. Voorts zal Verwerker zich steeds beschikbaar houden voor overleg.
Artikel 9: Aansprakelijkheid
Verwerker is aansprakelijk voor alle schade die voor Verwerkingsverantwoordelijke voortvloeit uit een aan Verwerker en/of Subverwerker toerekenbare schending van de wet- en regelgeving betreffende de verwerking van Persoonsgegevens of niet-nakoming van verplichtingen ingevolge deze Verwerkersovereenkomst.
9.2 Verwerker zal Verwerkingsverantwoordelijke vrijwaren van enige boete of schade die door Verwerkingsverantwoordelijke verschuldigd of geleden wordt als gevolg van toerekenbare nietnakoming door Verwerker van deze Verwerkersovereenkomst of als gevolg van toerekenbare nietnakoming van de AVG.
Artikel 10: Rechten van betrokkenen
Verzoeken van Betrokkenen in verband met het recht op inzage, rectificatie, wissen, beperken van de verwerking of overdracht met betrekking tot de Persoonsgegevens van Betrokkenen zullen door Verwerker onverwijld, maar in ieder geval binnen 48 uur na ontvangst van een dergelijk verzoek, worden doorgestuurd aan Verwerkingsverantwoordelijke. Tenzij Partijen anders overeenkomen worden verzoeken van Betrokkenen door Verwerkingsverantwoordelijke afgehandeld.
10.2 Verwerker zal aan Verwerkingsverantwoordelijke voor zover mogelijk ondersteuning bieden om uitvoering te geven aan rechtmatige verzoeken van Betrokkenen, voor zover (wettelijk) is toegestaan en voor zover Verwerkingsverantwoordelijke geen (directe) toegang heeft tot de Persoonsgegevens.
10.3 Indien Verwerker een klacht ontvangt van een Betrokkene over de wijze waarop de Persoonsgegevens door haar worden verwerkt, dan informeert Verwerker de Verwerkingsverantwoordelijke daar onverwijld, maar in ieder geval binnen 48 uur na ontvangst van een dergelijke klacht, over. Tenzij anders overeengekomen, wordt een klacht afgehandeld door de Verwerkingsverantwoordelijke. Verwerker zal aan Verwerkingsverantwoordelijke alle redelijke en benodigde medewerking verlenen in verband met de afhandeling van een klacht van een Betrokkene.
Artikel 11: Omgang met Persoonsgegevens bij beëindiging Overeenkomst
Bij beëindiging van de Overeenkomst, ongeacht de grond of reden daarvan zal Verwerker binnen 10 werkdagen, dan wel op eerste verzoek van Verwerkingsverantwoordelijke:
aan Verwerkingsverantwoordelijke alle Persoonsgegevens ter beschikking stellen;
partijen kunnen aanvullend afspraken maken over het format dat door Verwerkingsverantwoordelijke is gewenst;
onmiddellijk de verwerking van Persoonsgegevens staken en deze gestaakt houden;
ervoor zorg dragen dat eventuele Sub-verwerkers onmiddellijk de verwerking van Persoonsgegevens staken en deze gestaakt houden;
alle documenten waarin Persoonsgegevens zijn vastgelegd aan Verwerkingsverantwoordelijke ter beschikking stellen;
alle Persoonsgegevens die elektronisch zijn opgeslagen permanent verwijderen of, voor zover permanente verwijdering van de gegevensdrager redelijkerwijze niet mogelijk is, de Persoonsgegevens of gegevensdrager vernietigen;
en desgevraagd schriftelijk aan Verwerkingsverantwoordelijke bevestigen dat aan alle verplichtingen uit hoofde van dit artikel is voldaan.
11.2 Voor eventuele werkzaamheden verbonden aan de onderdelen zoals beschreven in lid 1 zal Verwerker geen kosten in rekening brengen.
11.3 Het risico dat
Persoonsgegevens in afwijking van het hiervoor bepaalde niet worden
teruggeven, vernietigd of verwijderd, blijft bij Verwerker en
Verwerker blijft in dat geval onverminderd gebonden aan alle
afspraken uit deze Verwerkersovereenkomst ten aanzien van de omgang
met Persoonsgegevens bij en na beëindiging van de Overeenkomst.
11.4 Verwerker zal alle derden en Sub-verwerkers die betrokken zijn bij de verwerking van Persoonsgegevens op de hoogte stellen van de beëindiging van de Verwerkersovereenkomst en staat ervoor in dat alle derden en Sub-verwerkers de Persoonsgegevens zullen vernietigen, verwijderen of teruggeven aan de Verwerkingsverantwoordelijke op dezelfde manier als voor de Verwerker geldt.
Artikel 12: Inwerkingtreding, duur en wijziging van de overeenkomst
Deze Verwerkersovereenkomst treedt in werking na ondertekening door Partijen.
12.2 Deze Verwerkersovereenkomst geldt voor de duur dat Verwerker Persoonsgegevens verwerkt in het kader van de uitvoering van de Overeenkomst. Een beëindiging van de Overeenkomst betekent tevens een beëindiging van deze Verwerkersovereenkomst.
12.3 Partijen kunnen deze Verwerkersovereenkomst niet tussentijds opzeggen.
12.4 De bepalingen in deze Verwerkersovereenkomst blijven ook na het einde van de Overeenkomst onverminderd van kracht zolang Verwerker Persoonsgegevens onder zich heeft, tenzij uit de aard van de verplichting voortvloeit dat deze langer van kracht dienen te blijven, zoals in het geval van algemene verplichtingen Verwerker (artikel 3), geheimhouding (artikel 5) en toepasselijk recht (artikel 13).
12.5 Indien een bepaling
uit deze Verwerkersovereenkomst zich niet verhoudt met een bepaling
uit de Overeenkomst, dan prevaleert de bepaling uit deze
Verwerkersovereenkomst.
12.6 Wijzigingen in deze Verwerkersovereenkomst gelden uitsluitend indien deze door Partijen overeen zijn gekomen, schriftelijk zijn vastgelegd en ondertekend. Verwerker zal haar medewerking aan een wijziging verlenen, indien (een wijziging van) de AVG de aanleiding voor de wijziging vormt.
Artikel 13: Toepasselijk recht en bevoegde rechter
13.1 Deze Verwerkersovereenkomst en de uitvoering ervan worden beheerst door Nederlands recht.
13.2 Bij geschillen naar aanleiding of in verband met deze Verwerkersovereenkomst, zullen Partijen zich inspannen om tot een gezamenlijk oplossing te komen. Indien Partijen niet tot een gezamenlijk oplossing komen door middel van mediation, worden geschillen voorgelegd aan de bevoegde rechter te Arnhem.
Aldus overeengekomen te Doetinchem, d.d 29 april 2021
de Verwerkingsverantwoordelijke de Verwerker
Naam relatie |
Alpina |
De heer / mevrouw ……….. |
De heer Noach A.G. van Beusekom |
Algemeen directeur |
Directeur |
Bijlage
1: Persoonsgegevens en doeleinden
1. Persoonsgegevens
Verwerker zal de volgende (categorieën) Persoonsgegevens verwerken:
NAWTE-gegevens
Geboortedatum
Geslacht
BSN
Nationaliteit
Beroep
Gezinssamenstelling
Gegevens partner
Werkgever(s)
Salaris-/inkomensgegevens
Gegevens met betrekking tot arbeidsovereenkomst en arbeidsvoorwaarden
Pensioengegevens
Vermogensgegevens
Schuldgegevens
Uitgavenpatroon
Risicobereidheid
Doelstellingen
Kennis en ervaring met betrekking tot financiële producten
Gegevens met betrekking tot afgesloten financiële producten
Bankrekeningnummer(s)
Arbeidsongeschiktheidspercentage
Medische gegevens
Ziekmeldingen
2.
Betrokkenen
De Persoonsgegevens betreffen de volgende (categorieën) Betrokkenen:
Verzekeringnemer
Verzekerde
Begunstigde
Nabestaanden
Ex-cliënten
Aansprakelijkgestelden
Kredietnemers
Rekeninghouders
3. Verwerkingsdoeleinden
De doeleinden waarvoor bovengenoemde Persoonsgegevens worden verwerkt zijn:
Beheer van pensioenovereenkomsten
Bijlage
2: Technische en organisatorische beveiligingsmaatregelen
Organisatorische maatregelen
Inbraakalarm
Fysieke maatregelen voor toegangsbeveiliging tot kantoorpand, inclusief organisatorische controle
Essentiële computerapparatuur in geconditioneerde en afgesloten ruimte
Fysieke maatregelen voor toegangsbeveiliging tot specifieke kantoorruimtes, inclusief organisatorische controle
Toekenning rechten in het kader van toegang tot datasystemen
Logische toegangscontrole tot datasystemen met behulp van gebruikersnaam/wachtwoord (meerfactorauthenticatie)
Automatische logging van toegang tot, en activiteiten in datasystemen
Technische maatregelen
Beschermingssoftware
Firewall
Encryptie verzending data
SSL-verbinding website (slotje)
Beveiligde back-up en recovery cyclus
Een actueel en ook toegepast ICT beveiligingsbeleid