Overwegende dat:
e-Quest VERWERKERSOVEREENKOMST v1.6
Ondergetekenden:
1. e-Quest inclusief e-Quest Groep BV, e-Quest IT Projecten BV, e-Quest IT Veghel BV, e-Quest IT Venlo BV en e-Quest IT Diensten BV, gevestigd te 5708 HZ Helmond aan de Xxxxxxxxxx Xxxxx 00, ten deze rechtsgeldig vertegenwoordigd door P.T.D. xxx xx Xxxxxxxx in diens hoedanigheid van Operationeel Directeur;
hierna te noemen ‘verwerker’; en
2. De <naam bedrijf> gevestigd te <postcode, plaats> aan de
<adres>, ten deze rechtsgeldig vertegenwoordigd door de heer/mevrouw (naam) in diens hoedanigheid van <functienaam>;
hierna te noemen: “verwerkingsverantwoordelijke”; zullen hierna gezamenlijk als “partijen” worden aangeduid.
Overwegende dat:
A. Partijen zijn op <datum> een overeenkomst aangegaan vanwege het verrichten van de volgende diensten: <diensten invullen>, die ertoe leidt dat verwerker in opdracht van verwerkingsverantwoordelijke persoonsgegevens verwerkt;
B. In deze Verwerkersovereenkomst leggen partijen de wederzijdse rechten en verplichtingen voor het verwerken van deze persoonsgegevens door verwerker vast overeenkomstig de Algemene Verordening Gegevensbescherming (hierna: AVG).
Partijen zijn het volgende overeengekomen: Artikel 1. Totstandkoming, duur en beëindiging
1.1 Deze Verwerkersovereenkomst is van toepassing op iedere verwerking die door verwerker wordt
gedaan vanwege het verrichten van de diensten, gegeven door de verwerkingsverantwoordelijke.
1.2 Deze Verwerkersovereenkomst treedt in werking op het moment van ondertekening.
1.3 De duur van de overeenkomst is gelijk aan de overeenkomsten voor de producten en diensten die de verwerker met de verwerkingsverantwoordelijke aangegaan is. Net als bij die producten en diensten overeenkomsten wordt ook de Verwerkersovereenkomst stilzwijgend verlengd, tenzij één van de partijen deze overeenkomst heeft opgezegd. Hierbij dient een opzegtermijn van twee maanden in acht te worden genomen.
1.4 Verwerker verwerkt de gegevens ten behoeve van verwerkingsverantwoordelijke, overeenkomstig de door haar gegeven schriftelijke instructies en onder haar verantwoordelijkheid.
1.5 De in opdracht van verwerkingsverantwoordelijke te verwerken persoonsgegevens blijven eigendom van verwerkingsverantwoordelijke en/of de betreffende betrokkenen.
1.6 Artikel 5 en 6 van deze Verwerkersovereenkomst blijven gelden, ook nadat de Verwerkersovereenkomst of de diensten zijn geëindigd.
Artikel 2. Verwerking van de persoonsgegevens
2.1 De persoonsgegevens worden door verwerker zorgvuldig verwerkt, maar niet voor een ander doel dan is overeengekomen en niet langer of uitgebreider dan noodzakelijk. De verwerking vindt plaats onder de verantwoordelijkheid van de verwerkingsverantwoordelijke.
Blad 1 van 6 versie 1.6 paraaf verwerker: …… paraaf verwerkersverantwoordelijke:….
e-Quest Groep B.V. | Postbus 580 | 5700 AN Helmond xxxxx@x-Xxxxx.xx | xxx.x-Xxxxx.xx
Schootense Dreef 26| 5708HZ Helmond | T : 0492-392626 | F : 0492-392360 | KVK : 71977023 | BTW : NL858925072B01 | IBAN-nr.: XX00XXXX0000000000
2.2 Verzoeken voor inzage, wijziging of verwijdering van persoonsgegevens komen voor rekening van de verwerkingsverantwoordelijke. De verwerker stelt zich in de gelegenheid om de benodigde gegevens voor een juiste afhandeling van het verzoek door te zenden aan de verwerkingsverantwoordelijke. Komt er een verzoek bij de verwerker binnen, dan wordt dit op de kortst mogelijke termijn schriftelijk doorgegeven aan de verwerkingsverantwoordelijke.
2.3 Partijen zullen de persoonsgegevens alleen verwerken binnen de Europese Economische Ruimte, tenzij partijen hierover andere schriftelijke afspraken hebben gemaakt.
Artikel 3. Medewerkers en sub-verwerkers
3.1 Verwerker geeft haar werknemers alleen toegang tot de persoonsgegevens voor zover dit nodig is voor het verrichten van de diensten op grond van de hierboven vermelde overeenkomst. Met name systeembeheerders hebben ten behoeve van het uitvoeren van de dienstverlening volledige toegang tot gegevens van verwerkingsverantwoordelijke. Dit is noodzakelijk om onder andere nieuwe versies van software te plaatsen, het maken van back-ups en disaster recovery kopieën en het doorvoeren van patches en hotfixes.
3.2 Verwerker kan andere verwerkers (sub-verwerkers) inschakelen voor het uitvoeren van bepaalde werkzaamheden die voortvloeien uit de te verrichte diensten. Met ondertekening van deze overeenkomst geeft de verwerkingsverantwoordelijke hiervoor toestemming. Op verzoek wordt een overzicht van huidige sub-verwerkers door verwerker aan verwerkingsverantwoordelijke verstrekt.
3.3 Voor het inschakelen van nieuwe sub-verwerkers is de verwerker verplicht om eerst schriftelijk toestemming te vragen aan de verwerkingsverantwoordelijke. Verwerkingsverantwoordelijke mag deze toestemming alleen weigeren als dit niet ten nadele komt van de uitvoering van de te verrichte diensten.
3.4 Alle medewerkers van verwerkingsverantwoordelijke zijn gehouden gedurende hun dienstverband en daarna, zoals in hun arbeidsovereenkomst en separate geheimhoudingsverklaring is opgenomen, op verantwoorde wijze met de informatie van de verwerker omgaan.
Artikel 4. Beveiligingsmaatregelen
4.1 Verwerker neemt passende technische en organisatorische maatregelen om de persoonsgegevens van de verwerkingsverantwoordelijke te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking. Deze maatregelen worden aangemerkt als een passend beveiligingsniveau in de zin van de AVG. De verwerkingsverantwoordelijke is gerechtigd om in overleg met verwerker tijdens de looptijd van de overeenkomst door een onafhankelijke deskundige de naleving hiervan te controleren, bijvoorbeeld door middel van het uitvoeren van een audit.
4.2 De verwerker informeert de verwerkingsverantwoordelijke als een van de beveiligingsmaatregelen substantieel wijzigt.
4.3 Verwerker registreert alle security incidenten en handelt deze volgens een vaste procedure af. De registratie en afhandeling van security incidenten wordt regulier getoetst met audits in het kader van de ISO27001 certificering. In de bijlage wordt vastgelegd welke persoonsgegevens er verwerkt worden, voor welk doel en met welke bewaartermijn.
4.4 Een aantal maatregelen die verwerker standaard in de dienstverlening geborgd heeft zijn:
Gedegen fysieke beveiliging van datacenters en kantoorpanden;
Backup- en Disaster & Recovery data op een uitwijklocatie;
Gebruik van versleutelde bestanden;
Strak toegang- en autorisatiebeleid;
Security awareness trainingen en informatiesessies;
Doorgevoerd informatiebeveiligingsbeleid, ISO27001 gecertificeerd;
In jaarkalender geplande acties i.r.t. informatiebeveiligingsbeleid (o.a. pentest);
Monitoring & controles op ongeautoriseerde toegang;
Redundantie in de infrastructuur, zowel datacenter als glasvezel;
Strikte procedures rondom opslag en beveiliging van data;
CRM systeem alleen toegankelijk via Single Signon;
VPN sessies eigen medewerkers middels 2 factor authentication;
Blad 2 van 6 versie 1.6 paraaf verwerker: …… paraaf verwerkersverantwoordelijke:….
e-Quest Groep B.V. | Postbus 580 | 5700 AN Helmond xxxxx@x-Xxxxx.xx | xxx.x-Xxxxx.xx
Schootense Dreef 26| 5708HZ Helmond | T : 0492-392626 | F : 0492-392360 | KVK : 71977023 | BTW : NL858925072B01 | IBAN-nr.: XX00XXXX0000000000
Geheimhoudingsverklaring gesloten met alle medewerkers;
Up-to-date houden van kennis i.r.t. wet- en regelgeving (o.a. protocol datalekken).
Met ondertekening van deze Verwerkersovereenkomst is de verwerkingsverantwoordelijke van mening dat de verwerker een beveiligingsniveau heeft dat past bij de aard van de persoonsgegevens en de omvang, context, doeleinden en risico’s van de verwerking.
Xxxxxxxxx heeft geen Data Protection Officer aangesteld, wel 2 Security Officers: Xxxxx xxx xx Xxxxxxxx en Xxxxxx Xxxxx. Eventuele security issues en/of vraagstukken m.b.t. informatiebeveiliging worden door hen behandeld.
Artikel 5. Datalekken
5.1 Als er sprake is van een (vermoedelijk) datalek, alsmede andere incidenten die op grond van wetgeving moeten worden gemeld aan de toezichthouder of betrokkene, dan stelt de verwerker de verwerkingsverantwoordelijke daarvan op de hoogte. De verwerker streeft erna om dit zo snel mogelijk zonder onredelijke vertraging bij de verwerkingsverantwoordelijke door te geven óf zo snel mogelijk nadat de verwerker daarover door zijn sub-verwerkers is geïnformeerd. De AVG geeft aan dat er ‘onverwijld’ gemeld moet worden. Dit is volgens de Autoriteit Persoonsgegevens zonder onnodige vertraging en zo mogelijk niet later dan 72 uur na ontdekking. Verwerker informeert de verwerkingsverantwoordelijke daarom zo snel mogelijk, uiterlijk binnen 48 uur na het ontdekken van een datalek, zodat de verwerkingsverantwoordelijke tijdig de melding kan doen bij de Autoriteit Persoonsgegevens
5.2 De verwerker voorziet de verwerkingsverantwoordelijke van de informatie die redelijkerwijs nodig is om - indien nodig - een juiste en volledige melding te doen aan de Autoriteit Persoonsgegevens en eventueel aan de betrokkene(n). Voor de duidelijkheid: als er een datalek is bij een leverancier van verwerkingsverantwoordelijke waarvan verwerkingsverantwoordelijke op de hoogte wordt gesteld, dan meldt verwerkingsverantwoordelijke dit uiteraard ook aan de verwerker.
5.3 Alleen de verwerkingsverantwoordelijke is bevoegd tot het doen van meldingen aan de Autoriteit Persoonsgegevens.
5.4 De verwerkingsverantwoordelijke documenteert alle vermoedelijke inbreuken in verband met persoonsgegevens.
5.5 Indien verwerkingsverantwoordelijke een (voorlopige) melding verricht bij de Autoriteit Persoonsgegevens en/of de betrokkene(n) over een datalek bij verwerkingsverantwoordelijke, terwijl zonder meer voor de verwerker duidelijk is dat bij verwerkingsverantwoordelijke geen sprake is van een datalek dan is de verwerkersverantwoordelijke aansprakelijk voor alle door verwerker geleden schade en kosten. De verwerkingsverantwoordelijke is daarnaast verplicht een dergelijke melding direct in te trekken.
Artikel 6. Geheimhoudingsplicht
6.1 Op alle persoonsgegevens die verwerker van verwerkingsverantwoordelijke ontvangt of zelf verzamelt in het kader van deze overeenkomst, rust een geheimhoudingsplicht jegens derden. Verwerker zal deze informatie niet voor een ander doel gebruiken dan waarvoor zij de informatie heeft gekregen.
6.2 Deze geheimhoudingsplicht is niet van toepassing voor zover verwerkingsverantwoordelijke uitdrukkelijke toestemming heeft gegeven om de informatie aan derden te verschaffen, indien het verstekken van de informatie aan derden logischerwijs noodzakelijk is gezien de aard van de verstrekte opdracht en de uitvoering van deze overeenkomst of indien er een wettelijke verplichting bestaat om de informatie aan een derde te verstrekken.
Artikel 7. Aansprakelijkheid
7.1 De verwerkingsverantwoordelijke blijft verantwoordelijk voor eventuele onrechtmatigheden in de verwerking van persoonsgegevens, alsmede een inbreuk op de rechten van betrokkene(n).
7.2 De verwerker kan niet aansprakelijk worden gesteld voor schade. Ook niet indien deze schade direct of indirect verband houdt met vertraging of opschorting. De verwerker is enkel aansprakelijk indien de schade te wijten is aan opzet of bewuste roekeloosheid.
Blad 3 van 6 versie 1.6 paraaf verwerker: …… paraaf verwerkersverantwoordelijke:….
e-Quest Groep B.V. | Postbus 580 | 5700 AN Helmond xxxxx@x-Xxxxx.xx | xxx.x-Xxxxx.xx
Schootense Dreef 26| 5708HZ Helmond | T : 0492-392626 | F : 0492-392360 | KVK : 71977023 | BTW : NL858925072B01 | IBAN-nr.: XX00XXXX0000000000
7.3 Indirecte schade zoals gevolgschade en omzet/winstderving zijn van vergoeding uitgesloten.
7.4 Indien de verwerkingsverantwoordelijke tekortschiet in de nakoming van een overeengekomen verplichting is de verwerkingsverantwoordelijke direct in verzuim zonder dat hier een ingebrekestelling voor nodig is.
7.5 Verwerker besteedt grote zorg aan een correcte uitvoering van haar dienstverlening. Ondanks deze inspanning kunnen er dingen verkeerd gaan, die voor de verwerkings-verantwoordelijke tot schade leiden. Verwerker streeft daarbij in overleg met de verwerkingsverantwoordelijke steeds naar een passende oplossing.
7.6 Verwerkingsverantwoordelijke en de verwerker zijn niet aansprakelijk ten opzichte van elkaar als er sprake is van overmacht. Onder overmacht wordt verstaan: Overmacht in de zin van de wet, ook bij toeleveranciers van partijen, ondeugdelijke nakoming van verplichtingen van toeleveranciers die door de verwerkingsverantwoordelijke aan verwerker zijn voorgeschreven, storingen in het elektriciteitsnet en storingen die dataverkeer belemmeren voor zover de oorzaak daarvan niet is te wijten aan partijen zelf.
7.7 Als verwerker aansprakelijk is, dan is deze aansprakelijkheid beperkt tot het bedrag dat met betrekking tot deze schade per gebeurtenis wordt uitgekeerd door de bedrijfsaansprakelijkheidsverzekering van verwerker. De gecombineerde Beroeps- en Bedrijfsaansprakelijkheidsverzekering die door de verwerker is afgesloten bevat verzekerde bedragen van respectievelijk € 2.000.000,- en € 5.000.000,-.
Wanneer het maximum verzekerde bedrag hoger is dan het bedrag van de opdracht, dan is de verwerker slechts aansprakelijk tot de hoogte van het bedrag van de opdracht (in de praktijk: de jaaromzet van de verwerkersverantwoordelijke bij de verwerker) dat verband houdt met de geleverde diensten.
De aansprakelijkheid van verwerker uit hoofde van deze Verwerkersovereenkomst is beperkt tot
€ 50.000,- per gebeurtenis en zal samengesteld nooit hoger zijn dan € 150.000,- per kalenderjaar, tenzij de schade het gevolg is van opzet van verwerker.
Artikel 8. Audits
8.1 Audits zijn slechts toegestaan indien de verwerker hier vooraf toestemming voor heeft gegeven.
8.2 Een audit mag door een onderzoeksinstantie worden uitgevoerd, die naar het oordeel van verwerker neutraal en deskundig is.
8.3 De kosten van de audits zijn voor de verwerkingsverantwoordelijke.
8.4 Een exemplaar van het rapport van de onderzoeksinstantie zal door verwerkingsverantwoordelijke aan de verwerker worden verstrekt.
Artikel 9. Overdraagbaarheid overeenkomst
9.1 Het is voor partijen, behalve als partijen gezamenlijk schriftelijk anders afspreken, niet toegestaan om deze Verwerkersovereenkomst en de rechten en de plichten die samenhangen met deze Verwerkersovereenkomst over te dragen aan een ander.
Artikel 10. Teruggave persoonsgegevens
10.1 Bij beëindiging van de te verrichte diensten door de verwerker moeten de verstrekte persoonsgegevens binnen nader overeen te komen redelijke termijn, aan de verwerkingsverantwoordelijke worden overgedragen of – als de verwerkingsverantwoordelijke daar om verzoekt – worden vernietigd.
10.2 De kosten van het verzamelen, overdragen of vernietigen van persoonsgegevens bij het eindigen van de te verrichte diensten zijn voor rekening van de verwerkingsverantwoordelijke. De eventuele kosten kunnen worden verrekend met de openstaande vorderingen van de verwerker.
Artikel 11. Overige
11.1 De bepalingen uit deze Verwerkersovereenkomst kunnen worden gewijzigd en/of aangevuld wanneer partijen daartoe schriftelijk toestemming hebben gegeven.
Blad 4 van 6 versie 1.6 paraaf verwerker: …… paraaf verwerkersverantwoordelijke:….
e-Quest Groep B.V. | Postbus 580 | 5700 AN Helmond xxxxx@x-Xxxxx.xx | xxx.x-Xxxxx.xx
Schootense Dreef 26| 5708HZ Helmond | T : 0492-392626 | F : 0492-392360 | KVK : 71977023 | BTW : NL858925072B01 | IBAN-nr.: XX00XXXX0000000000
11.2 Als één of meerdere bepalingen in deze Verwerkersovereenkomst niet geldig blijken te zijn, xxx heeft dit geen gevolgen voor de geldigheid van de andere bepalingen in deze Verwerkersovereenkomst.
11.3 Deze Verwerkersovereenkomst gaat voor de andere gesloten overeenkomsten door verwerker met de verwerkingsverantwoordelijke.
11.4 De verwerker is gerechtigd de uitvoering van deze Verwerkersovereenkomst door middel van een aangetekend schrijven op te schorten, dan wel zonder rechterlijke tussenkomst met onmiddellijke ingang geheel of gedeeltelijk te ontbinden, nadat verwerkingsverantwoordelijke constateert dat:
Verwerkingsverantwoordelijke (voorlopige) surseance van betaling aanvraagt; of
Verwerkingsverantwoordelijke zijn faillissement aanvraagt of in staat van faillissement wordt verklaard; of
De onderneming van verwerkingsverantwoordelijke wordt ontbonden; of
Verwerkingsverantwoordelijke zijn onderneming staakt; of
Sprake is van een ingrijpende wijziging in de zeggenschap over de activiteiten van de onderneming van verwerkingsverantwoordelijke die maakt dat het in alle redelijkheid niet van de verwerker kan worden verwacht dat zij de Verwerkersovereenkomst in stand houdt; of
De andere partij aantoonbaar tekortschiet in de nakoming van de verplichtingen die voortvloeien uit deze Verwerkersovereenkomst en die ernstige toerekenbare tekortkoming niet binnen 30 dagen is hersteld na een daartoe strekkende schriftelijke ingebrekestelling.
Artikel 12. Slotbepalingen
12.1 Op deze Verwerkersovereenkomst is Nederlands recht van toepassing.
12.2 Eventuele geschillen tussen partijen die zijn ontstaan uit of samenhangen met deze overeenkomst worden uitsluitend voorgelegd aan de bevoegde rechter van de Rechtbank Oost-Brabant.
Aldus opgemaakt en getekend te _ op _
<naam bedrijf>
Vertegenwoordigd door <naam vertegenwoordiger, functie >
e-Quest
Vertegenwoordigd door P.T.D. xxx xx Xxxxxxxx, Operationeel Directeur e-Quest
Blad 5 van 6 versie 1.6 paraaf verwerker: …… paraaf verwerkersverantwoordelijke:….
e-Quest Groep B.V. | Postbus 580 | 5700 AN Helmond xxxxx@x-Xxxxx.xx | xxx.x-Xxxxx.xx
Schootense Dreef 26| 5708HZ Helmond | T : 0492-392626 | F : 0492-392360 | KVK : 71977023 | BTW : NL858925072B01 | IBAN-nr.: XX00XXXX0000000000
Bijlage bij verwerkersovereenkomst Persoonsgegevens
Beschrijf hier duur, aard en doel van de verwerking, in te vullen door verwerkingsverantwoordelijke op basis van de te verrichte diensten door verwerker
Duur: <bewaartermijn van de gegevens>
Aard: Verwerkersovereenkomst
Doel: <reden van verwerking, t.b.v. …>
Beschrijf hier welke persoonsgegevens in het kader van de te verrichte diensten zullen worden verwerkt: Opsomming van soort persoonsgegevens en categorieën van betrokkenen, in te vullen door verwerkingsverantwoordelijke ondersteund door verwerker
De gegevens van verwerkingsverantwoordelijke die verwerker onder andere in haar CRM systemen opgeslagen heeft:
Klantnaam, kvk-nummer, naw gegevens, bankgegevens;
Contactpersonen met naam, naw gegevens, functie, IT-rollen;
Contractafspraken, getekende offertes en overeenkomsten;
Alle relevante informatie-uitwisselingen, brieven, mails en tickets;
Facturatie, betalingen, openstaand saldo.
In de aangeboden klantportal kan de IT-verantwoordelijke de klantgegevens (deels) inzien en beheren.
<aanvullen indien van toepassing>
Verwerking
Opsomming van de dienst(en) die de verwerker verleent aan de verwerkingsverantwoordelijke en de persoonsgegevens die verwerker daarbij verwerkt.
Omschrijving van de diensten:
Persoonsgegevens die worden verwerkt:
(Groepen) medewerkers die toegang hebben tot welke persoonsgegevens:
Handelingen van medewerkers: <Benoemen soort handelingen>
Derden
Indien vereist door de verwerkingsverantwoordelijke zal Verwerker benoemen welke sub- verwerkers worden ingeschakeld bij het uitvoeren van de opdracht zoals genoemd in de overeenkomst
Blad 6 van 6 versie 1.6 paraaf verwerker: …… paraaf verwerkersverantwoordelijke:….
e-Quest Groep B.V. | Postbus 580 | 5700 AN Helmond xxxxx@x-Xxxxx.xx | xxx.x-Xxxxx.xx
Schootense Dreef 26| 5708HZ Helmond | T : 0492-392626 | F : 0492-392360 | KVK : 71977023 | BTW : NL858925072B01 | IBAN-nr.: XX00XXXX0000000000