VERWERKERSOVEREENKOMST
PARTIJEN
De besloten vennootschap PinkWeb B.V., gevestigd te Amersfoort en kantoorhoudende te (3813 EZ) Amersfoort aan de Grote Spui 39, rechtsgeldig vertegenwoordigd door ondertekenaar(s), Hierna te noemen: “Visma | PinkWeb”,
en
De besloten vennootschap met beperkte aansprakelijkheid
statutair gevestigd te en aldaar kantoorhoudende
(postcode , ingeschreven in het handelsregister onder nummer , rechtsgeldig vertegenwoordigd door ondertekenaar,
Hierna te noemen: “Opdrachtgever”,
Gezamenlijk hierna ook te noemen: “Partijen” en individueel “Partij”.
OVERWEGENDE DAT:
A. Partijen de tussen hen geldende afspraken met betrekking tot de dienstverlening van Visma | Visma | PinkWeb aan Opdrachtgever in een overeenkomst met datum hebben vastgelegd (de “Overeenkomst”);
B. Visma | PinkWeb over een ISO/IEC 27001:2013 certificering beschikt (xxxxx://xxx.xxxxxxx.xx/xxx/);
C. Visma | PinkWeb in het kader van de uitvoering van de Overeenkomst bepaalde persoonsgegevens zal verwerken voor Opdrachtgever;
D. Opdrachtgever ten aanzien van de verwerking van persoonsgegevens als verwerkingsverantwoordelijke in de zin van artikel 4 aanhef en onder 7 van de Algemene verordening gegevensbescherming (“AVG”) is aan te merken;
E. Visma | PinkWeb ten aanzien van het voor Opdrachtgever opslaan en verwerken van de persoonsgegevens als verwerker in de zin van artikel 4 aanhef en onder 8 AVG is aan te merken;
F. Visma | PinkWeb en Opdrachtgever – mede ter uitvoering van het bepaalde in artikel 28, derde lid van de AVG – in de onderhavige overeenkomst een aantal voorwaarden wensen vast te leggen die van toepassing zijn op hun relatie in verband met de (verwerking van persoonsgegevens in het kader van) genoemde activiteiten voor en in opdracht van Opdrachtgever;
G. Deze verwerkersovereenkomst als bijlage zal worden opgenomen bij de Overeenkomst,
VERKLAREN TE ZIJN OVEREENGEKOMEN ALS VOLGT:
Artikel 1. Definities
1.1. In deze Verwerkersovereenkomst hebben de volgende begrippen, steeds met een hoofdletter geschreven, de volgende betekenis ongeacht of deze in meervoud of enkelvoud worden gebruikt:
a. Algemene Voorwaarden: de algemene voorwaarden van Verwerker, welke
onlosmakelijk deel uitmaakt van de Overeenkomst;
b. Bijlage: aanhangsel bij de Verwerkersovereenkomst, dat onlosmakelijk deel uitmaakt van de Verwerkersovereenkomst;
c. Verwerkersovereenkomst: de onderhavige overeenkomst welke deel uitmaakt van de
Overeenkomst;
d. Overeenkomst: de tussen Verwerkingsverantwoordelijke en Verwerker
gesloten overeenkomst;
e. Persoonsgegevens: alle gegevens die direct of indirect herleidbaar zijn tot een natuurlijk persoon als bedoeld in artikel 4 aanhef en onder 1 AVG;
f. Verwerken: het verwerken van Persoonsgegevens als bedoeld in artikel 4 aanhef en onder 2 AVG.
1.2. De bepalingen uit de Overeenkomst zijn onverkort van toepassing op de Verwerkersovereenkomst. Voor zover er in de Overeenkomst bepalingen omtrent de verwerking van persoonsgegevens zijn opgenomen, prevaleren de bepalingen uit deze Verwerkersovereenkomst.
Artikel 2. Verwerking persoonsgegevens
2.1. Visma | PinkWeb verbindt zich in het kader van deze Verwerkersovereenkomst in opdracht van Opdrachtgever Persoonsgegevens te Verwerken. Opdrachtgever en Visma | PinkWeb hebben onderhavige Verwerkersovereenkomst gesloten met betrekking tot uitvoering van de Overeenkomst en de Algemene Voorwaarden. Een overzicht van het soort Persoonsgegevens, de categorieën van betrokkenen en de doelen waarvoor de Verwerking van Persoonsgegevens plaatsvindt, is opgenomen in Bijlage 1. Opdrachtgever staat ervoor in dat de in Bijlage 1 omschreven persoonsgegevens en categorieën betrokkenen volledig en correct zijn, en vrijwaart Visma | PinkWeb voor enige gebreken en aanspraken die resulteren uit een incorrecter weergave door Opdrachtgever.
2.2. Opdrachtgever garandeert dat de opdracht tot Verwerking van Persoonsgegevens in overeenstemming is met alle toepasselijke wet- en regelgeving en vrijwaart Visma | PinkWeb tegen alle aanspraken van derden welke op enigerlei wijze voortvloeien uit het niet naleven van deze garantie.
2.3. Opdrachtgever staat er jegens Visma | PinkWeb voor in dat (i) de Persoonsgegevens niet onrechtmatig zijn en geen inbreuk maken op rechten van derden, (ii) dat zij gerechtigd is om de Persoonsgegevens aan Visma | PinkWeb te verstrekken, en (iii) dat zij gerechtigd is Visma | PinkWeb als verwerker van de betreffende persoonsgegevens in te schakelen.
2.4. Opdrachtgever vrijwaart Visma | PinkWeb volledig tegen alle claims van derde partijen, die op enigerlei wijze voortvloeien uit en/of verband houden met de verwerking van
persoonsgegevens door Visma | PinkWeb en/of die het gevolg zijn van de schending van bovengenoemde garanties door Opdrachtgever.
2.5. Visma | PinkWeb verbindt zich uitsluitend Persoonsgegevens te Verwerken ten behoeve van de in deze Verwerkersovereenkomst en/of de Overeenkomst genoemde activiteiten. Visma | PinkWeb garandeert dat zij, zonder uitdrukkelijke en schriftelijke toestemming van Opdrachtgever, op geen enkele wijze gebruik zal maken van de Persoonsgegevens die onder deze Verwerkersovereenkomst en/of Overeenkomst worden Verwerkt, tenzij een op Visma | PinkWeb van toepassing zijnde wettelijke bepaling haar tot Verwerking verplicht. In dat geval stelt Visma | PinkWeb Opdrachtgever, voorafgaand aan de Verwerking, in kennis van dat wettelijk voorschrift, tenzij die wetgeving deze kennisgeving om gewichtige redenen van algemeen belang verbiedt.
Artikel 3. Technische en organisatorische voorzieningen
3.1. Visma | PinkWeb zal passende technische en organisatorische maatregelen ten uitvoer (laten) leggen om Persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatig Verwerking en zo een op het risico afgestemd beveiligingsniveau waarborgen. Deze maatregelen zullen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau garanderen, gelet op de risico’s die de Verwerking en de aard van de te beschermen gegevens met zich meebrengen, zoals gespecificeerd in de Statement of Applicability van de ISO/IEC 27001:2013 certificering.
3.2. De door Visma | PinkWeb genomen technische en organisatorische maatregelen staan beschreven in Bijlage 2. Opdrachtgever erkent kennis te hebben genomen van de betreffende maatregelen en door ondertekening van deze Verwerkersovereenkomst gaat Opdrachtgever akkoord met de in Bijlage 2 opgenomen set aan maatregelen als minimum voor Verwerker.
3.3. Visma | PinkWeb zal Opdrachtgever, rekening houdend met de aard van de Verwerking en voor zover redelijkerwijs mogelijk, bijstand verlenen bij het doen nakomen van diens plicht onder de AVG om passende technische en organisatorische maatregelen te treffen om een op het risico afgestemd beveiligingsniveau te waarborgen.
Artikel 4. Vertrouwelijkheid
4.1. Visma | PinkWeb zal al haar medewerkers dan wel personen die werkzaamheden voor haar verrichten, die betrokken zijn bij de uitvoering van de Overeenkomst, een geheimhoudingsverklaring – al dan niet opgenomen in de arbeidsovereenkomst met die medewerkers – laten tekenen waarin in ieder geval is opgenomen dat deze medewerkers en personen geheimhouding moeten betrachten ten aanzien van de Persoonsgegevens die worden Verwerkt in het kader van de Overeenkomst.
Artikel 5. Gegevensverwerking buiten Nederland
5.1. De Persoonsgegevens worden opgeslagen in Nederland. Het overbrengen van Persoonsgegevens door Visma | PinkWeb buiten de Europese Economische Ruimte is
alleen toegestaan met inachtneming van de daarvoor geldende wettelijke verplichtingen en/of na voorafgaande schriftelijke toestemming van Opdrachtgever.
Artikel 6. Sub Verwerkers
6.1. Het is Visma | PinkWeb toegestaan om in het kader van deze Verwerkersovereenkomst en de Overeenkomst gebruik te maken van derden en/of onderaannemers (“Sub Verwerkers”), zoals opgenomen in Bijlage 3. Indien Visma | PinkWeb andere Sub Verwerker wenst in te schakelen, zal Visma | PinkWeb Opdrachtgever inlichten over de beoogde veranderingen en Opdrachtgever de mogelijkheid bieden om tegen deze veranderingen bezwaar te maken.
6.2. Indien Visma | PinkWeb op grond van de Overeenkomst zijn verplichtingen mag uitbesteden aan Sub Verwerkers, legt Visma | PinkWeb aan de betreffende Sub Verwerkers contractueel minimaal dezelfde verplichtingen inzake gegevensbescherming op te leggen zoals bepaald in deze Verwerkersovereenkomst, waaronder met name de geheimhoudingsverplichtingen, meldingsverplichtingen, beveiligingsmaatregelen en gegevensverwerking buiten Nederland.
Artikel 7. Inbreuk in verband met Persoonsgegevens
7.1. Indien Visma | PinkWeb kennis krijgt van een inbreuk in verband met Persoonsgegevens zoals gedefinieerd in de AVG en/of enig ander incident ten aanzien van de beveiliging van persoonsgegevens, zal zij i) Opdrachtgever daarvan zonder onredelijke vertraging, of in ieder geval binnen 36 uur, op de hoogte stellen en ii) alle redelijke maatregelen nemen om (verdere) schending van de AVG te voorkomen of te beperken.
7.2. Visma | PinkWeb zal, voor zover redelijk, haar medewerking verlenen aan Opdrachtgever en Opdrachtgever ondersteunen in het uitvoeren van haar wettelijke verplichtingen ten aanzien van het geconstateerde incident.
7.3. Visma | PinkWeb zal, voor zover redelijk, Opdrachtgever ondersteunen bij de op Opdrachtgever rustende meldplicht ten aanzien van de inbreuk in verband met Persoonsgegevens bij de Autoriteit Persoonsgegevens (“AP”) en/of de betrokkene, zoals bedoeld in artikel 33 lid 3 en 34 lid 1 AVG. Visma | PinkWeb is nimmer gehouden tot het zelfstandig verrichten van een melding van een inbreuk in verband met Persoonsgegevens bij de AP en/of de betrokkene.
7.4. Visma | PinkWeb is nimmer aansprakelijk voor de (correcte en/of tijdige uitvoering van de) op Opdrachtgever rustende meldplicht zoals bedoeld in artikel 33 en 34 AVG.
Artikel 8. Aansprakelijkheid
8.1. Ten aanzien van de aansprakelijkheid van Visma | PinkWeb onder de Verwerkersovereenkomst alsmede ten aanzien van de in de Verwerkersovereenkomst opgenomen vrijwaringsverplichtingen voor Visma | PinkWeb, geldt onverkort de in artikel 11 van de Algemene Voorwaarden opgenomen regeling inzake de beperking van aansprakelijkheid.
8.2. Onverminderd artikel 8.1 van deze Verwerkersovereenkomst, is Visma | PinkWeb slechts aansprakelijk voor de schade die door Verwerking is veroorzaakt wanneer bij deze Verwerking niet is voldaan aan specifiek tot Verwerker gerichte verplichtingen van de AVG of
buiten dan wel in strijd met de rechtmatige instructies van Verwerkingsverantwoordelijke is gehandeld.
Artikel 9. Bijstand aan Opdrachtgever
9.1. Visma | PinkWeb zal Opdrachtgever, voor zover redelijkerwijs mogelijk, bijstand verlenen bij het vervullen van diens plicht onder de AVG om verzoeken om uitoefening van de rechten van een betrokkene te beantwoorden, in het bijzonder het recht op inzage (art. 15 AVG), rectificatie (art. 16 AVG), gegevenswissing (art. 17 AVG), beperking (art. 18 AVG), overdraagbaarheid (art. 20 AVG) en het recht van bezwaar (art. 21 en 22 AVG). Visma | PinkWeb zal een klacht of een verzoek van een betrokkene met betrekking tot de Verwerking van Persoonsgegevens zo snel mogelijk doorsturen naar Opdrachtgever, die verantwoordelijk is voor de afhandeling van het verzoek. Visma | PinkWeb is gerechtigd de eventuele kosten die gemoeid zijn met de medewerking in rekening te brengen bij Opdrachtgever.
9.2. Visma | PinkWeb zal Opdrachtgever, voor zover redelijkerwijs mogelijk, bijstand verlenen bij het doen nakomen van diens plicht onder de AVG om een gegevensbeschermingseffectbeoordeling (art. 35 en 36 AVG) uit te voeren.
Artikel 10. Toezicht op de naleving
10.1. Visma | PinkWeb stelt Opdrachtgever in staat om maximaal eens per kalenderjaar, onder aanzegging van een redelijke termijn en met toestemming van Visma | PinkWeb, de naleving van de Verwerkersovereenkomst en met name de door Visma | PinkWeb getroffen beveiligingsmaatregelen te controleren. Een dergelijke controle zal te allen tijde worden uitgevoerd op een wijze die zo min mogelijk effect heeft op de normale bedrijfsvoering van Visma | PinkWeb en is voor rekening van Opdrachtgever.
10.2. Visma | PinkWeb zal aan Opdrachtgever en/of auditors ingehuurd door Opdrachtgever toegang verschaffen tot (relevante delen van) de ruimtes, systemen en/of servers waarin/waarmee de verwerking van persoonsgegevens plaatsvindt en zal aan Opdrachtgever en/of auditors ingehuurd door Opdrachtgever de informatie verschaffen die redelijkerwijs benodigd is voor het uitoefenen van het in dit artikel bedoelde toezicht.
10.3. Visma | PinkWeb zal op verzoek van Opdrachtgever jaarlijks een rapportage aan Opdrachtgever verstrekken waarin Visma | PinkWeb informeert over de stand van de beveiligingsmaatregelen, eventuele incidenten of inbreuken in verband met Persoonsgegevens en mogelijke beveiligingsrisico's ten aanzien van de Persoonsgegevens die Visma | PinkWeb in opdracht van Opdrachtgever verwerkt.
Artikel 11. Overige bepalingen
11.1. Deze Verwerkersovereenkomst eindigt indien de Overeenkomst tussen Partijen wordt beëindigd.
11.2. Ten aanzien van opzegging en/of ontbinding van deze Verwerkersovereenkomst, gelden de specifieke bepalingen uit de Overeenkomst. Onverminderd de specifieke bepalingen uit de Overeenkomst, zal Visma | PinkWeb op eerste verzoek van Opdrachtgever alle
Persoonsgegevens wissen of deze aan hem terugbezorgen, en bestaande kopieën verwijderen, tenzij Visma | PinkWeb wettelijk verplicht is de Persoonsgegevens op te slaan.
11.3. In geval van retournering van persoonsgegevens zal Visma | PinkWeb deze verstrekken in de vorm zoals deze bij Visma | PinkWeb aanwezig zijn, doch ontdaan van mogelijke gegevens anders dan namens Opdrachtgever verwerkte persoonsgegevens.
11.4. Zo lang Visma | PinkWeb persoonsgegevens onder zich heeft, blijven alle in deze Verwerkersovereenkomst genoemde bepalingen van kracht.
Aldus overeengekomen en in tweevoud opgemaakt,
Namens Visma | PinkWeb: Datum Plaats Amersfoort | Namens Opdrachtgever Datum Plaats | ||
Naam |
| Naam |
|
Functie | Bestuurder | Functie |
|
Handtekening |
| Handtekening |
|
Naam Functie Handtekening |
Bestuurder
| ||
BIJLAGE 1 SPECIFICATIE PERSOONSGEGEVENS EN BETROKKENEN
Categorie persoonsgegevens
De volgende persoonsgegevens kunnen verwerkt worden in het portaal.
● E-mailadres
● Geslacht
● Voornaam
● Initialen
● Tussenvoegsel
● Achternaam
● Telefoonnummer
● Mobiel nummer
● Taal
● BSN
● Straatnaam + nummer + toevoeging
● Postcode
● Plaats
● Land
● Profielfoto
Categorie betrokkenen
● Kantoorgebruikers
● Cliëntgebruikers
Doelen waarvoor de Verwerking van Persoonsgegevens plaatsvindt
● Weergave in het portaal (klantinformatie voor opdrachtgever).
● Om toegang te kunnen verlenen tot de applicatie.
● Om CRM-data van gebruikers te kunnen synchroniseren wanneer deze informatie uit een extern pakket afkomstig is en wordt aangeboden via de webservice.
BIJLAGE 2 SPECIFICATIE VAN BEVEILIGING
Organisatorisch: ISO 27001 certificering op de volledige dienstverlening, geheimhoudingsplicht van medewerkers en ingeschakelde derden, VoG verplichting voor alle medewerkers, Information Security Officer binnen de organisatie, security awareness trainingen voor alle medewerkers.
Voor verdere specificatie zie onze Statement of Applicability via xxxxx://xxx.xxxxxxx.xx/xxx.
BIJLAGE 3 SUB-VERWERKERS
Sub-Verwerkers zoals bedoeld in artikel 6 van de Verwerkersovereenkomst:
Visma | PinkWeb maakt gebruik van de dienstverlening van de volgende Sub Verwerkers:
1. Batavia XBRL Services B.V. (rendering en validatie van XBRL-bestanden)
2. Shock Media B.V. (Hostingprovider)
3. Messagebird (versturen verificatiecodes)