DE ONDERGETEKENDEN:

Verwerkersovereenkomst verantwoordelijke - ista Nederland B.V.

DE ONDERGETEKENDEN:

VERWERKINGSVERANTWOORDELIJKE statutair gevestigd te en kantoorhoudende te , in deze rechtsgeldig vertegenwoordigd door de heer/ mevrouw, hierna te noemen: “Verantwoordelijke”.

en

ISTA NEDERLAND B.V., een besloten vennootschap met beperkte aansprakelijkheid, statutair gevestigd te Schiedam en kantoorhoudende te (3125 AP) Schiedam aan de Xxxxxxxxxxxxx 00, in deze rechtsgeldig vertegenwoordigd door de xxxx Xxxx Xxxxxxxxx, hierna te noemen: “Verwerker”.

ista en Afnemer hierna elk afzonderlijk ook te noemen: “Partij” en gezamenlijk “Partijen”.

NEMEN IN AANMERKING DAT:

I. Tussen Verwerker en Verantwoordelijke separate dienstverleningsovereenkomsten bestaan op basis waarvan Verwerker in opdracht en ten behoeve van Verantwoordelijke diensten verleent in verband met het meten van warmteverbruik en het verzorgen van afrekeningen van warmtelevering;

II. Deze verwerkersovereenkomst onlosmakelijk is verbonden met de in overweging I genoemde dienstverleningsovereenkomsten;

III. Deze verwerkersovereenkomst van toepassing is op alle vormen van verwerking van de persoonsgegevens, zoals gedefinieerd in Bijlage 1 en die Verwerker uitvoert voor zover nodig voor de uitvoering van de in overweging I genoemde dienstverleningsovereenkomsten;

IV. Verantwoordelijke de verantwoordelijke is voor de verwerking van de persoonsgegevens in de zin van de Algemene Verordening Gegevensbescherming dan wel eventuele toekomstige wetgeving ter vervanging daarvan (“AVG”);

V. Verwerker de persoonsgegevens ten behoeve van Verantwoordelijke en in diens opdracht zal verwerken en Verwerker is in de zin van de AVG.

VERKLAREN ALS VOLGT TE ZIJN OVEREENGEKOMEN:

Artikel 1. - Doeleinden van verwerking

1.1 Verwerker verbindt zich onder de voorwaarden van deze verwerkersovereenkomst en uitsluitend in schriftelijke opdracht van Verantwoordelijke persoonsgegevens te verwerken.

1.2 Verwerker zal de persoonsgegevens niet voor enig ander doel verwerken dan zoals door Verantwoordelijke is vastgesteld. Verantwoordelijke zal Verwerker op de hoogte stellen van de verwerkingsdoeleinden voor zover deze niet reeds in deze verwerkersovereenkomst zijn genoemd.

1.3 De in opdracht van Verantwoordelijke te verwerken persoonsgegevens blijven eigendom van Verantwoordelijke en/of de betreffende betrokkenen.

1.4 Verantwoordelijke garandeert dat de verwerking van persoonsgegevens ter uitvoering van de in overweging I genoemde dienstverleningsovereenkomsten te allen tijde in overeenstemming is met de AVG en te zullen voldoen aan eventuele toekomstige wetgeving ter vervanging daarvan.

Artikel 2. Verplichtingen Verwerker

2.1 Ten aanzien van de in Bijlage 1 genoemde verwerkingen zal Verwerker zorg dragen voor de naleving van de toepasselijke wet- en regelgeving, waaronder in ieder geval begrepen de wet- en regelgeving op het gebied van de bescherming van persoonsgegevens, zoals de AVG en eventuele toekomstige wetgeving ter vervanging daarvan.

2.2 De verplichtingen van de Verwerker die uit deze verwerkersovereenkomst voortvloeien, gelden ook voor degenen die persoonsgegevens verwerken onder het gezag van Verwerker, waaronder begrepen maar niet beperkt tot werknemers, in de ruimste zin van het woord.

Artikel 3. Locaties van de verwerking en doorgifte van persoonsgegevens

3.1 De locaties van de verwerking van de persoonsgegevens zijn opgenomen in Bijlage 1.

3.2 Verwerker mag de persoonsgegevens verwerken in landen binnen de Europese Unie. Doorgifte naar landen buiten de Europese Unie is verboden, behoudens in het geval aan de wettelijke vereisten is voldaan.

3.3 Verwerker mag uitsluitend met voorafgaande schriftelijke toestemming van Verantwoordelijke de verwerking van de persoonsgegevens uitbesteden aan een sub verwerker. Verantwoordelijke verleent bij voorbaat toestemming voor de sub verwerkers die zijn vermeld in Bijlage 1. Verwerker informeert Verantwoordelijke over elke vervanging of toevoeging van de in Bijlage 1 opgenomen sub verwerkers. Verantwoordelijke zal haar toestemming voor een dergelijke sub verwerker niet op onredelijke gronden onthouden.

Artikel 4. Verdeling van verantwoordelijkheid

4.1 Verwerker is louter verantwoordelijk voor de verwerking van de persoonsgegevens onder deze verwerkersovereenkomst, overeenkomstig de schriftelijke instructies van Verantwoordelijke en onder de uitdrukkelijke (eind-)verantwoordelijkheid van Verantwoordelijke. Voor de overige verwerkingen van persoonsgegevens, waaronder in ieder geval begrepen, maar niet beperkt tot, de verzameling van de persoonsgegevens door de Verantwoordelijke, verwerkingen voor doeleinden die niet door Verantwoordelijke aan Verwerker zijn gemeld, verwerkingen door derden en/of voor andere doeleinden, is Verwerker uitdrukkelijk niet verantwoordelijk.

4.2 Verantwoordelijke garandeert dat de inhoud, het gebruik en de opdracht tot de verwerkingen van de persoonsgegevens zoals bedoeld in deze verwerkersovereenkomst, niet onrechtmatig is en geen inbreuk maken op enig recht van derden.

Artikel 5. Beveiliging

5.1 Verwerker zal passende technische en organisatorische maatregelen ten uitvoer leggen met betrekking tot de te verrichten verwerkingen van persoonsgegevens, tegen verlies of tegen enige vorm van onrechtmatige verwerking (zoals onbevoegde kennisname, aantasting, wijziging of verstrekking van de persoonsgegevens). De door Verwerker getroffen maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van

de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico’s die de verwerking en de aard van de te beschermen persoonsgegevens met zich meebrengen.

5.2 Verwerker zal van de overeenkomstig artikel 5.1 van deze verwerkersovereenkomst getroffen beveiligingsmaatregelen een up to date overzicht bijhouden en daarvan op verzoek van de Verantwoordelijke eenmaal per jaar een afschrift verstrekken aan de Verantwoordelijke. Een actueel overzicht van de op het moment van ondertekenen van deze verwerkersovereenkomst door Verwerker getroffen technische en organisatorische maatregelen vindt u terug op onze website.

5.3 Verantwoordelijke stelt enkel persoonsgegevens aan Verwerker ter beschikking voor verwerking, indien zij zich er van heeft verzekerd dat de vereiste beveiligingsmaatregelen zijn getroffen. Verantwoordelijke is verantwoordelijk voor de naleving van de door Partijen afgesproken maatregelen.

5.4 Verwerker werkt volgens de ISO 27001 / ISO 27002-standaarden voor wat betreft de verwerking van de persoonsgegevens waar deze verwerkersovereenkomst op toeziet.

Artikel 6. Meldplicht

6.1 Een datalek is een inbreuk op de beveiliging, die leidt tot ernstige nadelige gevolgen voor de bescherming van persoonsgegevens of een aanzienlijke kans daarop. Een inbreuk is een doorbreking van de technische en organisatorische maatregelen die ter beveiliging van de persoonsgegevens zijn getroffen.

6.2 In het geval van een datalek, of enig ander incident met betrekking tot de verwerking van persoonsgegevens onder deze verwerkingsovereenkomst waarvan Verantwoordelijke redelijkerwijs op de hoogte dient te worden gebracht, zal Verwerker de Verantwoordelijke zo spoedig mogelijk na ontdekking van het datalek of dat incident daarover informeren.

6.3 In het geval Verwerker bekend is met het bestaan van een datalek aan haar zijde of aan de zijde van haar medewerkers of haar eventuele sub verwerkers, zal Verwerker zich naar beste kunnen inspannen om Verantwoordelijke zo spoedig op de hoogte te brengen, doch uitsluitend indien het desbetreffende datalek betrekking heeft of kan hebben op de in opdracht van Verantwoordelijke verwerkte persoonsgegevens. De desbetreffende informatie zal door Verwerker worden verstrekt aan de volgende functionaris van Verantwoordelijke:

Gegevens nog in te vullen door Verantwoordelijke

De heer/ mevrouw telefoon

email-adres: .

Bij geen reactie - binnen een (1) uur - stelt Verwerker onverwijld zijn vervanger in kennis, zijnde:

De heer/ mevrouw telefoon

email-adres:

6.4 De meldplicht behelst in ieder geval het melden van het feit dat er een Datalek is geweest. Daarnaast behelst de meldplicht, indien en voor zover deze informatie voorhanden is:

- De datum waarop, of de periode waarin het Datalek heeft plaatsgevonden.

- Een omschrijving van het Datalek.

- De (vermeende) oorzaak is van het Datalek.

- Een beschrijving van de soort groep en het aantal personen waarvan de gegevens bij het Datalek (mogelijk) betrokken zijn en, indien bekend, de identiteit van deze betrokkenen.

- Het (vooralsnog bekende en/of te verwachten) gevolg.

- De (voorgestelde) oplossing.

- De maatregelen die genomen zijn om de gevolgen van de het Datalek te beperken.

- Contactgegevens van de contactpersoon binnen de Verwerker voor de opvolging van de melding.

- Wie geïnformeerd is door de Verwerker (zoals betrokkene zelf, Verantwoordelijke, toezichthoudende autoriteit met betrekking tot de verwerking van persoonsgegevens).

6.5 Indien de in artikel 6.4 bedoelde gegevens niet reeds direct voor Verwerker beschikbaar zijn, zal Verwerker zich er voor inspannen om de verstrekte informatie binnen redelijke termijn volledig, correct en accuraat aan te leveren.

6.6 Het is de verantwoordelijkheid van Verantwoordelijke om te beslissen of na ontvangst van de in artikel 6.3 en 6.4 bedoelde informatie een melding van het datalek aan de toezichthoudende autoriteit met betrekking tot de verwerking van persoonsgegevens en/of de betrokkenen worden gedaan.

6.7 Indien de wet- en/of regelgeving dit vereist, zal Verwerker in overleg met Verantwoordelijke meewerken aan het informeren van de terzake relevante autoriteiten en/of betrokkenen.

6.8 Verwerker dient, zodra een datalek is geconstateerd, zo spoedig mogelijk en voor eigen rekening en risico alle maatregelen te treffen die redelijkerwijs noodzakelijk zijn om de schadelijke gevolgen van het datalek te beperken en om herhaling te voorkomen.

Artikel 7. Afhandeling verzoeken van betrokkenen of de Autoriteit Persoonsgegevens

7.1 Verzoeken gedaan door betrokkenen of de Autoriteit Persoonsgegevens in het kader van de verwerking van persoonsgegevens onder deze verwerkersovereenkomst, zullen te allen tijde door Verantwoordelijke worden afgehandeld. Verwerker zal indien en voor zover nodig Verantwoordelijke ondersteunen bij het afhandelen van dergelijke verzoeken. Verwerker heeft het recht een marktconforme vergoeding in rekening te brengen voor de ondersteuning.

7.2 Indien Verwerker een als bedoeld in artikel 7.1 van deze verwerkersovereenkomst ontvangt, zal Verwerker Verantwoordelijke onverwijld op de hoogte stellen van dit verzoek, waarna Verantwoordelijke verantwoordelijk is voor de afhandeling van het betreffende verzoek.

Artikel 8. Data Protection Impact Assessment (DPIA)

8.1 Indien en voor zover noodzakelijk, zal Verwerker haar medewerking verlenen aan het uitvoeren van een Data Protection Impact Assessment (DPIA) door Verantwoordelijke. Verwerker heeft het recht een marktconforme vergoeding in rekening te brengen voor de ondersteuning.

Artikel 9. Geheimhouding en vertrouwelijkheid

9.1 Op alle persoonsgegevens die Verwerker van Verantwoordelijke ontvangt en/of zelf verzamelt in het kader van deze verwerkersovereenkomst, rust een geheimhoudingsplicht jegens derden. Verwerker zal deze informatie niet voor een ander doel gebruiken dan waarvoor zij deze heeft verkregen, zelfs niet wanneer deze in een zodanige vorm is gebracht dat deze niet tot betrokkenen herleidbaar is.

9.2 Deze geheimhoudingsplicht is niet van toepassing voor zover Verantwoordelijke uitdrukkelijke toestemming heeft gegeven om de informatie aan derden te verschaffen, zoals in het geval van sub Verwerkers, indien het verstrekken van de informatie aan derden logischerwijs noodzakelijk is gezien de aard van de verstrekte opdracht en de uitvoering van deze

verwerkersovereenkomst, of indien er een wettelijke verplichting bestaat om de informatie aan een derde te verstrekken.

Artikel 10. Audit

10.1 Verantwoordelijke heeft het recht om audits door een onafhankelijke derde uit te laten voeren ter controle van naleving van alle punten uit de verwerkersovereenkomst.

10.2 Deze audit mag eens per jaar plaatsvinden alsook bij een concreet vermoeden van misbruik van persoonsgegevens.

10.3 Verwerker zal aan de audit meewerken en deze derde daartoe onder meer toegang geven tot haar gebouwen en systemen om te kunnen controleren of aan de beveiligingsmaatregelen is voldaan.

10.4 Indien Verantwoordelijke van dit recht gebruik wenst te maken, zal zij Verwerker daarvan ten minste vier weken voor aanvang van het onderzoek schriftelijk op de hoogte stellen en het onderzoek in overleg met Verwerker zodanig inrichten dat de normale bedrijfsvoering van Verwerker daardoor zo min mogelijk wordt geschaad.

10.5 De bevindingen naar aanleiding van de uitgevoerde audit zullen zo spoedig mogelijk door Partijen worden besproken. Eventuele maatregelen die Partijen naar aanleiding van de uitgevoerde audit zijn overeengekomen worden zo spoedig mogelijk door Verwerker doorgevoerd.

10.6 De redelijke kosten van de audit worden door Verwerker gedragen indien er niet conform de verwerkersovereenkomst blijkt te zijn gewerkt. In ieder ander geval zullen de kosten van de audit worden gedragen door Verantwoordelijke.

10.7 Verwerker sluit met diverse “Verantwoordelijke partijen” (bijv. woningcorporaties) verwerkersovereenkomsten af. Ter voorkoming van “ieder zijn eigen audit” en navenant enorme kosten, wordt het volgende afgesproken:

- De partijen die met Verwerker een verwerkersovereenkomst hebben afgesloten, stemmen onderling af over het tijdstip van een audit, de keuze voor een auditer, maar ook over de noodzaak van een uit te laten voeren audit.

- De partijen die met Verwerker een verwerkersovereenkomst hebben afgesloten, delen gelijkelijk de kosten van een dergelijke audit (rekening houdend met art 10.6).

- Verwerker zal in elke volgende verwerkersovereenkomst ditzelfde artikel opnemen.

- Verwerker zal schriftelijk bijhouden met welke partijen Verwerker een verwerkersovereenkomst heeft afgesloten.

Artikel 11. Aansprakelijkheid en boetebepalingen

11.1 Verwerker is aansprakelijk voor alle schade die voortvloeit uit de aan Verwerker toerekenbare schending van de wet- en regelgeving betreffende de verwerking van persoonsgegevens in het kader van deze verwerkersovereenkomst en/of niet-nakoming van verplichtingen van deze verwerkersovereenkomst door Xxxxxxxxx.

11.2 Verwerker zal Verantwoordelijke vrijwaren en stelt Verantwoordelijke schadeloos voor alle boetes, aanspraken, kosten en vorderingen, waaronder boetes van de Autoriteit Persoonsgegevens die Verantwoordelijke maakt of lijdt en die direct voortvloeien uit of tot stand komen in verband met een tekortkoming door Verwerker en/of diens onderaannemers in de nakoming van zijn verplichtingen onder deze verwerkersovereenkomst en/of enige schending door Xxxxxxxxx en/of diens onderaannemers van de van toepassing zijnde

wetgeving op het gebied van verwerking van persoonsgegevens in verband met de Overeenkomst.

Artikel 12. Duur en beëindiging

12.1 Deze verwerkersovereenkomst komt tot stand door ondertekening van Partijen en op de datum van de laatste ondertekening.

12.2 Deze verwerkersovereenkomst is onlosmakelijk verbonden met de in overweging I genoemde dienstverleningsovereenkomsten. Mochten een van deze overeenkomsten eindigen, dan eindigt de onderhavige verwerkersovereenkomst na afhandeling van onderstaand artikel 12.3 eveneens met betrekking tot de betreffende dienstverleningsovereenkomst.

12.3 Zodra de verwerkersovereenkomst, om welke reden en op welke wijze dan ook, is beëindigd, zal Verwerker alle persoonsgegevens die bij haar aanwezig zijn in originele of kopievorm retourneren aan Verantwoordelijke, en daarna deze en eventuele kopieën daarvan verwijderen en/of vernietigen, tenzij Verwerker wettelijk verplicht is de persoonsgegevens op te slaan. Indien Verwerker wettelijk verplicht is om de persoonsgegevens alsnog te bewaren, dan zal dit worden medegedeeld aan de Verwerkingsverantwoordelijke.

Artikel 13. Slotbepalingen

13.1 De verwerkersovereenkomst en de uitvoering daarvan worden beheerst door Nederlands recht.

13.2 Alle geschillen, welke tussen Partijen mochten ontstaan in verband met de verwerkersovereenkomst, zullen worden voorgelegd aan de bevoegde rechter voor het arrondissement waarin Verantwoordelijke gevestigd is.

13.3 Indien enige bepaling in deze verwerkersovereenkomst strijdig is met enige andere tussen Verwerker en Verantwoordelijke overeengekomen afspraak, prevaleert hetgeen in deze verwerkersovereenkomst is bepaald.

Aldus overeengekomen en opgemaakt in tweevoud,

Voor Verwerker: Voor Verantwoordelijke:

Naam: Naam:

Xxxx Xxxxxxxxx

Functie: Functie:

Algemeen directeur

Datum: Datum:

Verwerkersovereenkomst - ista Nederland B.V.

Bijlage 1: Categorieën persoonsgegevens, verwerkingshandelingen, locaties, waar de verwerkingen plaatsvinden en sub Verwerkers

Categorieën persoonsgegevens locaties

• NAW- en contactgegevens van bewoners waarvoor Verwerker de energieafrekening en dienstverlening verzorgt alsook de NAW en contactgegevens van de betreffende Verantwoordelijke;

• Verbruik gegevens van bewoners waarvoor Verwerker de energieafrekening en dienstverlening verzorgt;

• Cashmanagement gegevens. Indien Verwerker in opdracht van Verantwoordelijke tevens het cash management (Debicasso) van de energievoorziening aan bewoners uitvoert, dan zal Verwerker de navolgende aanvullende gegevens verwerken:

o Bankrekeningnummers van bewoners;

o Openstaande saldi ten aanzien van de energienota;

o Betalingsregelingen en/of incassoregeling.

Verwerkingshandelingen Energieafrekening

Het fysiek dan wel digitaal ontvangen van eerder genoemde gegevens, welke noodzakelijk zijn om

een correcte energie afrekening op te stellen, en deze vervolgens in het productiesysteem Nepros ter verwerking opslaan, aanpassen dan wel raadplegen. Tevens worden deze gegevens verrijkt met de energieverbruiken vanuit de meetinfrastructuur, zodat de energieafrekening voor het betreffende complex kan worden opgesteld.

Cash Management

Het fysiek dan wel digitaal ontvangen van eerder genoemde gegevens, welke vervolgens in het Debicasso systeem (AFAS) van Verwerker worden verwerkt, geraadpleegd en opgeslagen. Deze gegevens worden vertrouwelijk behandeld, niet verspreid en middels een beveiligde webportal aan betreffende bewoner ter inzage aangeboden, zodat deze kan zien welke informatie is opgeslagen en wat de status van zijn energiebetalingen is. Bij wanbetaling wordt betreffende informatie met Verantwoordelijke gedeeld en kan dit leiden tot inschakeling van de deurwaarder van Verantwoordelijke.

Locaties

Verwerker heeft één vestiging in Nederland, te weten op de Xxxxxxxxxxxxx 00 xx 0000 XX Xxxxxxxx. Alle verwerkingshandelingen worden vanuit deze vestiging verricht.

Sub Verwerkers

Verwerker schakelt sub Verwerkers in die in opdracht van Verwerker persoonsgegevens ver- dan wel bewerken die noodzakelijk zijn om hun werkzaamheden verrichten.

• Meteropnemers; deze krijgen gegevens door Verwerker aangereikt en vullen de energieverbruiken (meterstanden) behorende bij betreffende bewoner in. Deze informatie wordt vervolgens aan Verwerker aangeleverd. Meteropnemers hebben geen toegang tot systemen van Verwerker;

• Installateurs; deze krijgen gegevens door Verwerker aangereikt en installeren meetapparatuur in de woning van betreffende bewoner. De serienummers van betreffende meetapparatuur worden aan Verwerker aangeleverd. Installateurs hebben geen toegang tot systemen van Verwerker.