Verwerkersovereenkomst
Verwerkersovereenkomst
Deze verwerkersovereenkomst is van toepassing op verwerkingen van persoonsgegevens die Valk Solutions BV, gevestigd te 0000 XX Xxxxxxxxx aan de Vlasakker 5 en ingeschreven bij de Kamer van Koophandel in Utrecht onder nummer 30209227, uitvoert in opdracht van een wederpartij aan wie zij diensten levert, hierna te noemen de Opdrachtgever. Tenzij anders is overeen- gekomen, of tenzij de Opdrachtgever bezwaar heeft gemaakt, geldt de verwerkersovereenkomst als integraal onderdeel van de afspraken tussen Valk Solutions en de Opdrachtgever.
OVERWEGINGEN
• Tussen Opdrachtgever en Valk Solutions is een overeenkomst tot stand gekomen op grond waarvan Valk Solutions bepaalde werkzaamheden verricht ten behoeve van de (winkel) automatisering en gerelateerde diensten, hierna te noemen de Overeenkomst.
• In het kader van de uitvoering van de Overeenkomst verstrekt Opdrachtgever aan Valk Solu- tions persoonsgegevens zoals bedoeld in de Algemene Verordening Persoonsgegevens (AVG).
• Met betrekking tot de persoonsgegevens geldt de Opdrachtgever als Verwerkings- verantwoordelijke in de zin van de AVG en Valk Solutions als Verwerker. Als Verwerker beperkt Valk Solutions zich tot het uitvoeren van verwerkingen van persoonsgegevens zonder zeggenschap te hebben over de aard, het doel noch het gebruik van de persoonsgegevens.
• Deze verwerkersovereenkomst geeft invulling aan de verplichting van de Verwerkings- verantwoordelijke om toe te zien dat de Verwerker voldoende waarborgen biedt ten aanzien van de adequate beveiliging van persoonsgegevens.
AFSPRAKEN
Artikel 1. Strekking
1.1 Deze verwerkersovereenkomst vormt een integraal onderdeel van de Overeenkomst en alle overeenkomsten die daar uit voortvloeien. De duur van de verwerkersovereenkomst is gelijk aan de duur van de Overeenkomst en kan niet tussentijds worden beëindigd.
1.2 Valk Solutions verplicht zich jegens Opdrachtgever tot al hetgeen waartoe een Verwerker van persoonsgegevens jegens een Verwerkingsverantwoordelijke verplicht is conform de AVG. Opdrachtgever verplicht zich jegens Valk Solutions tot al hetgeen waartoe een Verwerkings- verantwoordelijke jegens een Verwerker verplicht is conform de AVG.
1.3 De categorieën van persoonsgegevens die door Verwerker worden verwerkt, en de bijbehorende categorieën van betrokkenen, zijn opgenomen in de bijlage. Verwerker zal de persoonsgegevens niet voor enig ander doel verwerken dan voor de uitvoering van de
Verwerkersovereenkomst Mei 2018 Pagina 1 van 5
Overeenkomst met de Opdrachtgever.
Artikel 2. Verplichtingen Verwerker
2.1 De Verwerker zal de van de Verwerkingsverantwoordelijke ontvangen persoonsgegevens uitsluitend verwerken voor doeleinden die rechtstreeks voortvloeien uit de werkzaamheden voor de correcte uitvoering van de Overeenkomst.
2.2 Het is de Verwerker niet toegestaan om de persoonsgegevens te verwerken met een ander doel dan overeengekomen in de Overeenkomst, noch om andere handelingen met de persoonsgegevens te verrichten dan omschreven in deze verwerkersovereenkomst, tenzij Verwerkingsverantwoordelijke hiervoor toestemming heeft gegeven, of tenzij Verwerker hiertoe wettelijk verplicht is.
2.3 De Verwerker verplicht zich om de persoonsgegevens niet langer te bewaren dan nodig voor de uitvoering van de Overeenkomst.
2.4 De Verwerker stelt de Verwerkingsverantwoordelijke te allen tijde in staat om binnen de wettelijke termijnen te voldoen aan de verplichtingen van de AVG, in het bijzonder de verplichtingen ten aanzien van de rechten van betrokkenen, zoals een verzoek om inzage, wijziging of verwijdering van persoonsgegevens, of het indienen van een klacht. De kosten voor deze werkzaamheden komen voor rekening van Opdrachtgever.
2.5 Verwerker neemt passende beveiligingsmaatregelen om te waarborgen dat onbevoegd personeel geen toegang heeft tot de persoonsgegevens. Verwerker verklaart dat ieder van zijn medewerkers die door Verwerker wordt gemachtigd tot toegang tot de persoons- gegevens verplicht is tot geheimhouding daarvan. Hiertoe heeft de Verwerker de betreffende medewerkers laten tekenen voor geheimhouding.
2.6 Verwerker zal, voor zover dat binnen haar macht ligt, bijstand verlenen aan de Verwerkings- verantwoordelijke ten behoeve van het uitvoeren van privacy impact analyses (PIA’s).
Artikel 3. Beveiliging persoonsgegevens
3.1 Verwerker verplicht zich adequate maatregelen te nemen en te onderhouden ter fysieke, technische en organisatorische beveiliging tegen onbevoegde toegang tot, verlies of onrechtmatige verwerking van de persoonsgegevens.
3.2 De beveiligingsmaatregelen dienen, redelijkerwijs rekening houdend met de stand van de techniek en de kosten van tenuitvoerlegging, een passend beveiligingsniveau te bieden gelet op de risico’s die de verwerking en de aard van de gegevens met zich meebrengen.
3.3 De Verwerker verbindt zich jegens de Verwerkingsverantwoordelijke om het niveau van zijn beveiligingsmaatregelen te handhaven, evalueren en verbeteren rekening houdend met de
Verwerkersovereenkomst Mei 2018 Pagina 2 van 5
voortschrijdende technologische en maatschappelijke ontwikkelingen. De Verwerker zal hiertoe de actuele ontwikkelingen volgen en additionele voorzieningen treffen voor zover dat redelijkerwijs van haar kan worden verwacht.
3.4 De beveiligingsmaatregelen zullen binnen de context van de werkzaamheden om uitvoering te geven aan de Overeenkomst in ieder geval betrekking hebben op:
• Continuïteitsbeheer;
• Fysieke beveiliging en beveiliging van apparatuur;
• Toegangsbeveiliging;
• Beveiligingsmaatregelen in toepassingssystemen;
• Logging en controle;
• Incidentenbeheer;
• Afhandeling van datalekken en beveiligingsincidenten;
• Waarborgen zodat bij verlies of beschadiging herstel kan plaatshebben;
• Vernietiging van gegevens bij vervanging of afvoeren van mediadragers;
• Autorisaties zodat enkel werknemers voor wie dit noodzakelijk is voor de uitvoering van Overeenkomst toegang hebben tot de persoonsgegevens;
• Maatregelen om inbreuken op de beveiliging te identificeren.
3.5 De Verwerker voorziet de Verwerkingsverantwoordelijke desgevraagd van informatie waardoor laatstgenoemde een oordeel kan vormen over de naleving door Verwerker van de beveiligingsmaatregelen.
Artikel 4. Meldplicht datalek
4.1 De Verwerker is gehouden voldoende technische- en organisatorische maatregelen te treffen, zodat eventuele beveiligingsincidenten spoedig geconstateerd kunnen worden.
4.2 De Verwerker rapporteert datalekken binnen 48 uur na ontdekking aan de Verwerkings- verantwoordelijke, waarna laatstgenoemde zal beoordelen of er sprake is van een datalek dat gemeld dient te worden aan de Autoriteit Persoonsgegevens dan wel betrokkenen.
4.3 Indien de Verwerker vaststelt dat sprake is van een datalek, zal zij alle noodzakelijke maat- regelen treffen om verdere ontsluiting dan wel verspreiding van persoonsgegevens te voor- komen. De Verwerker zal hiertoe redelijke aanwijzingen van de Verwerkingsverantwoorde- lijke waar mogelijk opvolgen. De Verwerker zal de Verwerkingsverantwoordelijke op de hoogte houden van de maatregelen om de gevolgen van het datalek te beperken en herhaling van het datalek te voorkomen.
4.4 De Verwerker werkt op eerste verzoek van de Verwerkingsverantwoordelijke mee aan het adequaat informeren van betrokkenen en het verzamelen van informatie voor de melding bij de Autoriteit Persoonsgegevens door de Verwerkingsverantwoordelijke.
Verwerkersovereenkomst Mei 2018 Pagina 3 van 5
Artikel 5. Derden
5.1 Het is de Verwerker toegestaan bij verwerking van persoonsgegevens gebruik te maken van subverwerkers, indien dit noodzakelijk is voor de uitvoering van de Overeenkomst. De Verwerker blijft in deze gevallen aanspreekpunt voor de Verwerkingsverantwoordelijke en verantwoordelijk voor de naleving van de bepalingen in deze verwerkersovereenkomst.
5.2 De Verwerker garandeert dat geen persoonsgegevens zullen worden verwerkt buiten de Europese Economische Ruimte.
5.3 De Verwerker zal persoonsgegevens niet aan een derde verstrekken, tenzij op grond van een schriftelijke opdracht van de Verwerkingsverantwoordelijke, of op bevel van een gerechtelijke of bestuurlijke instantie, op de voorwaarde dat de Verwerker in dat geval de Verwerkings- verantwoordelijke binnen 48 uur na ontvangst van een dergelijk bevel daarvan in kennis stelt.
Artikel 6. Slotbepalingen
6.1 De Verwerker zal de verwerkersovereenkomst onderhouden en waar nodig aanpassen als wetgeving of een andere relevante ontwikkeling daartoe aanleiding geeft. De Verwerker zal deze verwerkersovereenkomst en volgende versies ervan op haar website publiceren en gepubliceerd houden, zodat de Verwerkingsverantwoordelijke er kennis van kan nemen.
6.2 Indien de verwerkersovereenkomst eindigt, doet de Verwerker op verzoek van de Verwerkingsverantwoordelijke datgene wat redelijkerwijs noodzakelijk is om persoons- gegevens veilig te stellen en over te dragen aan de Verwerkingsverantwoordelijke.
6.3 Tevens retourneert de Verwerker op eerste verzoek van de Verwerkingsverantwoordelijke onverwijld alle hem door de Verwerkingsverantwoordelijke ter beschikking gestelde persoonsgegevens in de vorm van papieren documenten of digitale bestanden.
6.4 Op deze overeenkomst is Nederlands recht van toepassing.
Verwerkersovereenkomst Mei 2018 Pagina 4 van 5
Bijlage. Specificatie persoonsgegevens en betrokkenen
In opdracht van de Verwerkingsverantwoordelijke zal de Verwerker in het kader van de verwerkersovereenkomst de volgende categorieën persoonsgegevens verwerken:
NAW gegevens | Aanvullende gegevens | Klantkaart gegevens |
Titel | Intern ID | Klantkaart nummer |
Naam | Klant nummer | Geldig t/m |
Adres | Klant contact nummer | Geblokkeerd |
Postcode | Klant status | Reden blokkeren |
Woonplaats | Geblokkeerd | |
Stad | Reden geblokkeerd | Transactiegegevens |
Land | Datum aangemaakt | Transactie datum |
Afleveradres(sen) | Datum laatste mutatie | Transactie nummer |
Contactpersonen | Telefoonnummer | Transactie type |
Ter attentie van | Mobiel telefoonnummer | Product(en) |
Adres type | Geboortedatum | Prijs |
Marketing adres j/n | Geslacht | Betaalwijze |
Geldig adres j/n | Internet adres | Korting |
Adres memo | Email adres | Winkel nummer |
GLN | Winkel naam | |
Financiële gegevens | Klant memo | Bonuspunt mutatie |
CoC nummer | Klant groep | Bonusbedrag mutatie |
BTW nummer | Standaard contactpersoon | Tan check |
Bankrekening nummer | Interesse gebieden | |
Betaal termijn | Contact type | |
Incasso termijn | Prijslijst | |
IBAN nummer | Profiel | |
BIC / SWIFT | Factuur per mail j/n | |
Kortingspercentage | Collectieve factuur j/n | |
Maximaal krediet | Op rekening j/n | |
Incasso machtiging code | Punten verzilveren j/n | |
Incasso machtiging omschrijving | Service mails j/n | |
Incasso machtiging dtm hand. | Sms j/n | |
Factuur xml | Email j/n | |
Belasting tarief | Nieuwsbrief j/n | |
Interne notitie | ||
Laatste aankoop datum | ||
Pin code | ||
Wachtwoord | ||
Welkomstgroet |
van de volgende categorieën betrokkenen:
• Klanten van de Verwerkingsverantwoordelijke;
• Medewerkers van de Verwerkingsverantwoordelijke.
Verwerkersovereenkomst Mei 2018 Pagina 5 van 5