JUSTNIMBUS GEGEVENSVERWERKINGS OVEREENKOMST
JUSTNIMBUS GEGEVENSVERWERKINGS OVEREENKOMST
INHOUDSOPGAVE
Artikel 1 Partijen 03
Artikel 2 Definities en interpretatie. 03
Artikel 3 Verwerking van de persoonsgegevens van de onderneming. 05
Artikel 4 Verwerker personeel… 05
Artikel 5 Beveiliging 05
Artikel 6 Subverwerking… 06
Artikel 7 Rechten van de betrokkene 06
Artikel 8 Inbreuk op persoonsgegevens… 06
Artikel 9 Verwerker… 07
Artikel 10 Verwijdering of teruggave van Bedrijfspersoonsgegevens… 07
Artikel 11 Auditrechten 07
Artikel 12 Gegevensoverdracht 07
Artikel 13 Algemene Xxxxxxxxxxx 00
Artikel 14 Toepasselijk recht en jurisdictie… 08
Appendix
1 Verwijzingen naar externe wetsartikelen 09
1. Partijen
a. De klant die partij is bij de Overeenkomst, hierna te noemen: “Klant”, waarop deze voorwaarden van toepassing zijn, voor zover van deze voorwaarden niet door partijen uitdrukkelijk en schriftelijk is afgeweken.
b. EfraRain Systems B.V. "JustNimbus" een besloten vennootschap met beperkte aansprakelijkheid, gevestigd te Weesp aan van Houten Xxxxxxxxxxxxx 00, 0000 XX, xx Xxxxxxxxx geregistreerd bij de Kamer van Koophandel onder nummer 32158348, hierna "JustNimbus" genoemd
De Klant en JustNimbus worden hierna gezamenlijk aangeduid als de "Partijen" en elk afzonderlijk als een "Partij".
OVERWEGENDE DAT
(A) JustNimbus treedt op als een Gegevensverwerker.
(B) JustNimbus wenst bepaalde Diensten, die de verwerking van persoonsgegevens impliceren, uit te besteden aan de Gegevensverwerker.
(C) De partijen streven naar de uitvoering van een overeenkomst inzake gegevensverwerking die voldoet aan de vereisten van het huidige wettelijke kader met betrekking tot gegevensverwerking en aan de Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens, en tot intrekking van Richtlijn 95/46/EG (algemene verordening inzake gegevensbescherming).
(D) De partijen wensen hun rechten en plichten vast te leggen.
ER WORDT ALS VOLGT OVEREENGEKOMEN:
2. Definities en interpretatie
2.1 Tenzij hierin anders is gedefinieerd, hebben de in deze Overeenkomst gebruikte termen en uitdrukkingen met een hoofdletter de volgende betekenis:
2.1.1 "Overeenkomst" betekent deze Overeenkomst inzake gegevensverwerking en alle bijlagen;
2.1.2 "Persoonsgegevens van JustNimbus": alle Persoonsgegevens die door een Gecontracteerde Verwerker namens JustNimbus worden verwerkt op grond van of in verband met de Opdrachtgeverovereenkomst;
2.1.3 "Opdrachtnemer": een Subverwerker;
2.1.4 "Gegevensbeschermingswetten": de EU-gegevensbeschermingswetten en, voor zover van toepassing, de gegevensbeschermings- of privacywetgeving van een ander land;
2.1.5 "EER": de Europese Economische Ruimte;
2.1.6 "EU-gegevensbeschermingswetten": EU-Richtlijn 95/46/EG, zoals omgezet in de nationale wetgeving van elke lidstaat en zoals van tijd tot tijd gewijzigd, vervangen of vervangen, met inbegrip van de GDPR en wetten tot uitvoering of aanvulling van de GDPR;
2.1.7. "BBPR": de algemene EU-verordening inzake gegevensbescherming 2016/679;
2.1.8 "Doorgifte van gegevens":
2.1.8.1 een overdracht van Bedrijfspersoonsgegevens van JustNimbus aan een Contractuele Verwerker; of
2.1.8.2 een doorgifte van Bedrijfspersoonsgegevens van een Gecontracteerde Verwerker naar een Onderaannemer, of tussen twee vestigingen van een Gecontracteerde Verwerker, in elk van de gevallen waarin een dergelijke doorgifte verboden zou zijn op grond van de wetgeving inzake gegevensbescherming (of op grond van de voorwaarden van de overeenkomsten inzake gegevensoverdracht die zijn opgesteld om de beperkingen van de wetgeving inzake gegevensbescherming aan te pakken);
2.1.9 "Diensten": de regenwatersysteem producten en diensten die JustNimbus levert.
2.1.10 "Subverwerker": elke persoon die door of namens de Verwerker is aangesteld om namens XxxxXxxxxx persoonsgegevens te verwerken in verband met de Overeenkomst.
2.2 De termen "Commissie", "Verantwoordelijke voor de verwerking", "Betrokkene", "Lidstaat", "Persoonsgegevens", "Inbreuk op persoonsgegevens", "Verwerking" en "Toezichthoudende Autoriteit" hebben dezelfde betekenis als in de GDPR, en hun begrippen worden dienovereenkomstig geïnterpreteerd.
3. Verwerking van de persoonsgegevens van de onderneming
3.1 De verwerker moet:
3.1.1 voldoen aan alle toepasselijke wetten inzake gegevensbescherming bij de verwerking van bedrijfspersonen; en
3.1.2 Verwerk de Persoonsgegevens van de onderneming niet anders dan in de gedocumenteerde instructies van de desbetreffende onderneming.
3.2 De Verwerker van XxxxXxxxxx geeft opdracht tot het verwerken van Bedrijfspersoonsgegevens.
4. Verwerker Personeel
De verwerker zal redelijke maatregelen nemen om de betrouwbaarheid te verzekeren van elke werknemer, agent of contractant van elke Gecontracteerde Verwerker die toegang kan hebben tot de Persoonlijke Gegevens van JustNimbus, en zal er in elk geval voor zorgen dat de toegang strikt beperkt blijft tot de personen die de relevante Persoonlijke Gegevens van JustNimbus moeten kennen/inzien, zoals strikt noodzakelijk is voor de doeleinden van de Hoofdovereenkomst, en om de toepasselijke wetten na te leven in het kader van de verplichtingen van die persoon ten aanzien van de Gecontracteerde Verwerker, door ervoor te zorgen dat al deze personen onderworpen zijn aan geheimhoudingsverbintenissen of professionele of wettelijke verplichtingen tot geheimhouding.
5. Beveiliging
5.1 Rekening houdend met de stand van de techniek, de kosten van de uitvoering en de aard, de omvang, de context en de doeleinden van de Verwerking, alsmede met het risico dat de waarschijnlijkheid en de ernst van de rechten en vrijheden van natuurlijke personen uiteenlopen, zal de Verwerker met betrekking tot de Persoonsgegevens van JustNimbus passende technische en organisatorische maatregelen treffen om een aan dat risico aangepast beveiligingsniveau te waarborgen, met inbegrip van, in voorkomend geval, de maatregelen als bedoeld in artikel 32, lid 1, van de AVG/GDPR.
5.2 Bij de beoordeling van het passende beveiligingsniveau houdt de Verwerker in het bijzonder rekening met de risico's die de Verwerking met zich meebrengt, met name als gevolg van een inbreuk op de persoonsgegevens.
6. Subverwerking
6.1 De Verwerker zal geen enkele Subprocessor van JustNimbus aanwijzen (of bekend maken), tenzij dit door JustNimbus wordt vereist of toegestaan.
7. Rechten van de betrokkene
7.1 Rekening houdend met de aard van de Verwerking zal de Verwerker JustNimbus bijstaan door, voor zover mogelijk, passende technische en organisatorische maatregelen te treffen om te voldoen aan de verplichtingen van XxxxXxxxxx, zoals redelijkerwijze door XxxxXxxxxx begrepen, om te voldoen aan verzoeken tot uitoefening van rechten van Betrokkenen op grond van de Wet Bescherming Persoonsgegevens.
7.2 De verwerker zal:
7.2.1 JustNimbus onverwijld op de hoogte stellen indien zij een verzoek van een betrokkene op grond van de Wet Bescherming Persoonsgegevens van JustNimbus ontvangt; en
7.2.2 ervoor te zorgen dat hij niet op dat verzoek reageert, behalve op de gedocumenteerde instructies van de onderneming of zoals vereist door de toepasselijke wetgeving waaraan de bewerker is onderworpen, in welk geval de bewerker, voor zover toegestaan door de toepasselijke wetgeving, de onderneming op de hoogte stelt van dat wettelijke vereiste voordat de bewerker op het verzoek reageert.
8. Inbreuk op persoonsgegevens
8.1. De verwerker zal de onderneming zonder onnodige vertraging op de hoogte stellen wanneer de verwerker kennis krijgt van een inbreuk op de persoonsgegevens van de onderneming, waarbij hij de onderneming voldoende informatie zal verstrekken om de onderneming in staat te stellen te voldoen aan haar verplichtingen tot het melden of informeren van de betrokkenen over de inbreuk op de persoonsgegevens krachtens de wetten op de gegevensbescherming.
8.2. De verwerker zal met het bedrijf samenwerken en redelijke commerciële stappen ondernemen die door het bedrijf worden voorgeschreven om te helpen bij het onderzoek, de beperking en het herstel van elk van deze inbreuken in verband met Persoonsgegevens.
9. De verwerker
zal XxxxXxxxxx redelijke bijstand verlenen bij alle effectbeoordelingen op het gebied van gegevensbescherming en voorafgaand overleg met de toezichthoudende autoriteiten of andere bevoegde autoriteiten op het gebied van gegevensbescherming, die JustNimbus redelijkerwijs geacht wordt te zijn vereist op grond van artikel 35 of 36 van de AVG/GDPR of gelijkwaardige bepalingen van enige andere wet op de gegevensbescherming, in elk geval uitsluitend met betrekking tot de verwerking van de persoonsgegevens van JustNimbus door en rekening houdend met de aard van de verwerking en de informatie die beschikbaar is voor de contractueel vastgelegde verwerkers.
10. Verwijdering of teruggave van Bedrijfspersoonsgegevens
10.1 Onder voorbehoud van het bepaalde in dit artikel 9 dient de verwerker onverwijld en in ieder geval binnen de grenzen van 10 werkdagen na de datum van beëindiging van de Diensten die betrekking hebben op de Verwerking van Bedrijfspersoonsgegevens (de "Beëindigingsdatum"), alle kopieën van die Bedrijfspersoonsgegevens te verwijderen en de verwijdering ervan te bewerkstelligen.
11. Auditrechten
11.1 Behoudens het bepaalde in dit artikel 10 zal de Verwerker alle informatie die nodig is om de naleving van deze overeenkomst aan te tonen aan JustNimbus ter beschikking stellen en zal hij JustNimbus of een door JustNimbus gemandateerde accountant toestaan en bijdragen aan audits, met inbegrip van inspecties, met betrekking tot de Verwerking van de Persoonsgegevens van JustNimbus door de Gecontracteerde Verwerkers.
11.2 Informatie- en auditrechten van de Onderneming ontstaan alleen onder artikel
11.1 voor zover de Overeenkomst hen niet anderszins informatie- en auditrechten geeft die voldoen aan de relevante vereisten van de Wet Bescherming Persoonsgegevens.
12. Gegevensoverdracht
12.1 De Verwerker mag geen Gegevens overdragen of autoriseren naar landen buiten de EU en/of de Europese Economische Ruimte (EER) zonder voorafgaande schriftelijke toestemming van XxxxXxxxxx. Indien persoonsgegevens die in het kader van deze Overeenkomst worden verwerkt, worden doorgegeven van een land binnen de Europese Economische Ruimte naar een land buiten de Europese Economische Ruimte, zorgen de Partijen ervoor dat de persoonsgegevens voldoende beschermd. Om dit te bereiken, baseren de partijen zich, tenzij anders overeengekomen, op door de EU goedgekeurde standaard contractbepalingen voor de overdracht van persoonsgegevens.
13. Algemene voorwaarden
13.1 Vertrouwelijkheid. Elke partij moet deze Overeenkomst en de informatie die zij ontvangt over de andere partij en haar bedrijf in verband met deze Overeenkomst ("Vertrouwelijke Informatie") vertrouwelijk houden en mag die Vertrouwelijke Informatie niet gebruiken of openbaar maken zonder voorafgaande schriftelijke toestemming van de andere partij, behalve voor zover dat nodig is:
(a) openbaarmaking wettelijk verplicht is;
(b) de relevante informatie reeds openbaar is.
13.2 Kennisgevingen. Alle kennisgevingen en mededelingen die in het kader van deze overeenkomst worden gedaan, moeten schriftelijk worden gedaan en zullen persoonlijk worden afgeleverd, per post worden verstuurd of per e-mail worden verzonden naar het adres of e-mailadres dat is vermeld in het opschrift van deze overeenkomst, op een ander adres dat van tijd tot tijd door de partijen wordt meegedeeld en waarop zij van adres veranderen.
14. Toepasselijk recht en jurisdictie
14.1. Op deze overeenkomst is het Nederlands recht van toepassing, met uitzondering van de bepalingen inzake rechtskeuze.
Voor zover door nationale rechtsregels niet dwingend anders wordt voorgeschreven is de rechter te Amsterdam bij uitsluiting bevoegd kennis te nemen van elk geschil, controverse of claim die voortvloeit uit of verband houdt met deze overeenkomst, of de schending, beëindiging of geldigheid ervan, zal definitief worden beslecht door middel van arbitrage in Amsterdam, Nederland. De taal van de arbitrage is in het Nederlands.
Niettegenstaande het voorgaande behoudt JustNimbus zich het recht voor om eventuele onbetaalde kosten in een openbare rechtbank te claimen.
APPENDIX 1: Verwijzingen naar externe wetsartikelen Artikel
1(C) Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016
xxxxx://xxx-xxx.xxxxxx.xx/xxxxx-xxxxxxx/xx/XXX/?xxxxxxxxx:00000X0000
1(C) Richtlijn 95/46/EG (algemene verordening inzake gegevensbescherming).
xxxxx://xxx-xxx.xxxxxx.xx/xxxxx-xxxxxxx/xx/XXX/?xxxxxxxxx:00000X0000
2.1.6 EU-Richtlijn 95/46/EG
xxxxx://xxx-xxx.xxxxxx.xx/xxxxx-xxxxxxx/XX/XXX/?xxxxxxxxx%0X00000X0000
2.1.7 EU-verordening inzake gegevensbescherming 2016/679;
xxxxx://xxx-xxx.xxxxxx.xx/xxxxx-xxxxxxx/XX/XXX/?xxxxXXXXX%0X00000X0000
5.1 artikel 32, lid 1, van de AVG/GDPR
xxxxx://xxxxxxxx.xx/xx/xx-xxxxxxx-00
9. artikel 35 van de AVG/GDPR
xxxxx://xxxxxxxx.xx/xx/xx-xxxxxxx-00
9. artikel 36 van de AVG/GDPR