VERWERKINGSOVEREENKOMST
VERWERKINGSOVEREENKOMST
Partijen:
[ NAAM KLANT + RECHTSVORM ], gevestigd te
[ plaats, eventueel straat en huisnummer ], hierna tVeeranntwoooerdmeelijkne:”,U”“,“Uw”“, ten d rechtsgeldig vertegenwoordigd door [ naam ], in diens hoedanigheid van [ functie ];
en
Technorama LLP, gevestigd te (2382 NK) Zoeterwoude Rijndijk aan de Xxxxxxxxxx 00x, hierna te noemen:
“Verwerker” ,
Wij”,“Ons“” ofOnze”“
te dezesgneldig
rveerctehgetnwoordigd door
X.X.X. xx Xxxxx al zodanig op de inschrijving bij de Nederlandse KvK vermeld.
hierna gezamenlijk aangeduid als “Partijen” of “Gezamenl
Overwegingen:
- Wij zijn met U als Verantwoordelijke op [ datum ] een overeenkomst aangegaan met kenmerk [ kenmerk ] vanwege het verrichten van diensten door Ons. Wij Verwerken in dat kader de Persoonsgegevens die vermeld staan in de Bijlage die bij deze Overeenkomst hoort.
- Wij leveren u technologie, waarvoor de vaststelling tot overeenkomst wordt bepaald door facturatie.
- Partijen zijn - vanwege het uitvoeren van Directe en/of Onderliggende overeenkomst én met betrekking tot de Persoonsgegevens die Verwerker hierbij zal verwerken - aan te merken als respectievelijk “Verantwoordelijke” en “Verwerker”, waarbij de w vastgelegd.
Partijen komen het volgende overeen:
1. Definities
In deze Overeenkomst wordt een aantal begrippen gebruikt. De betekenis van die begrippen is hieronder verduidelijkt. De genoemde begrippen worden in deze Overeenkomst met een hoofdletter geschreven. Veelal wordt in de opsomming hieronder gebruik gemaakt van de omschrijving van het begrip uit de wet- en regelgeving op het gebied van privacy.
Betrokkene: Degene op wie een Persoonsgegeven betrekking heeft.
Verwerker: Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/ dat ten behoeve van de Verwerkingsverantwoordelijke persoonsgegevens verwerkt , zonder aan zijn rechtstreeks gezag te zijn onderworpen.
Sub-verwerker: Een andere verwerker die door de Verwerker wordt ingezet om ten behoeve
van de Verwerkingsverantwoordelijke specifieke verwerkingsactiviteiten te verrichten.
Verwerkingsverantwoordelijke / Verantwoordelijke:
Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt.
Bijzondere Persoonsgegevens: Dit zijn gegevens waaruit ras of etnische afkomst, politieke opvattingen,
religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken, en genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid.
Strafrechtelijke P. Gegevens persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare
feiten of daarmee verband houdende veiligheidsmaatregelen.
Datalek / Inbreuk in verband met persoonsgegevens:
Een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot - of waarbij redelijkerwijs niet uit te sluiten valt dat die kan leiden tot - de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens.
Derden: Anderen dan de partijen en hun medewerkers.
Meldplicht Datalekken: De verplichting tot het melden van Datalekken aan de Autoriteit
Persoonsgegevens en (in sommige gevallen) aan Betrokkene(n).
Medewerkers Personen die werkzaam zijn bij partijen, ofwel in dienstbetrekking dan wel
tijdelijk ingehuurd.
Directe en/of Onderliggende opdracht: De opdracht zoals hierboven bedoeld in de overwegingen onder eerste
aandachtsstreep.
Overeenkomst: Deze verwerkersovereenkomst.
Persoonsgegevens: Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon
(„de Betrokkene”) die Diriecnte enh/oef tOndekrligagedneder v
opdracht” worden verwerkt; als ident natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name
aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.
Persoonsgegevens van gevoelige aard:
Persoonsgegevens waarbij verlies of onrechtmatige Verwerking kunnen leiden tot (onder meer) stigmatisering of uitsluiting van Betrokkene , schade aan de gezondheid, financiële schade of tot (identiteits)fraude.
Tot deze categorieën van persoonsgegevens moeten in ieder geval worden gerekend:
•Bijzondere persoonsgegevens
•Gegevens over de financiële of economische situatie van de Betrokkene
•(Andere) gegevens die kunnen leiden tot stigmatisering of uitsluiting van de Betrokkene
•Gebruikersnamen, wachtwoorden en andere inloggegevens
•Gegevens die kunnen worden misbruikt voor (identiteits)fraude
Verwerken / Verwerking: Een verwerking of een geheel van verwerkingen met betrekking tot
persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.
AVG Algemene Verordening Gegevensbescherming, inclusief de uitvoeringswet van deze verordening. De AVG vervangt de Wet bescherming persoonsgegevens per 25 mei 2018.
2. Toepasselijkheid en looptijd
2.1 Deze Overeenkomst is van toepassing op iedere Verwerking die door Ons als Verwerker wordt gedaan op basis van de Directe en/of Onderliggende opdracht, gegeven door Uw als Verantwoordelijke.
2.2 Deze Overeenkomst treedt in werking op de datum waarop de Directe en/of Onderliggende opdracht van kracht wordt en eindigt op het moment dat Wij geen Persoonsgegevens meer onder ons hebben die Wij in het kader van de Directe en/of Onderliggende Opdracht voor Verantwoordelijke verwerken. Het is niet mogelijk om deze Overeenkomst tussentijds op te zeggen.
2.3 Artikel 6 en 7 van deze Overeenkomst blijven gelden, ook nadat de Overeenkomst (of de Directe en/of Onderliggende opdracht) is geëindigd.
3. Verwerking
3.1 Wij verwerken de Persoonsgegevens uitsluitend op de manier die Wij met Uw als Verantwoordelijke hebben afgesproken in de Directe en/of Onderliggende opdracht. Dit Verwerken doen Wij niet langer of uitgebreider dan noodzakelijk voor de uitvoering van deze Directe en/of Onderliggende opdracht. De Verwerking vindt plaats volgens schriftelijke instructies van Uw als Verantwoordelijke, tenzij Wij op grond van de wet- of regelgeving verplicht zijn om anders te handelen. Indien een instructie, naar Onze mening, een inbreuk maakt op de AVG stellen Wij Uw daarvan onmiddellijk in kennis.
3.2 De Verwerking vindt plaats onder verantwoordelijkheid van Uw als Verantwoordelijke. Wij hebben geen zeggenschap over het doel en de middelen van de Verwerking en nemen geen beslissingen over zaken als het gebruik van Persoonsgegevens, de bewaartermijn van de voor Uw verwerkte Persoonsgegevens en het verstrekken van Persoonsgegevens aan Derden. U moet er voor zorgen dat U het doel en de middelen van de Verwerking van de Persoonsgegevens duidelijk hebt vastgesteld. De zeggenschap over de Persoonsgegevens berust nooit bij Ons.
3.3 U bent wettelijk verplicht de vigerende wet- en regelgeving op het gebied van privacy na te leven. In het bijzonder dien U vast te stellen of er sprake is van een rechtmatige grondslag voor het Verwerken van de Persoonsgegevens. Wij zorgen ervoor dat Wij voldoen aan de op ons als Verwerker van toepassing zijnde regelgeving op het gebied van de Verwerking van Persoonsgegevens en de afspraken die We hebben gemaakt in deze Overeenkomst.
3.4 Wij zorgen ervoor dat alleen Onze Medewerkers toegang hebben tot de Persoonsgegevens. De uitzondering hierop is opgenomen in artikel 3.5. Wij beperken de toegang tot Medewerkers voor wie de toegang noodzakelijk is voor hun werkzaamheden, waarbij de toegang beperkt is tot Persoonsgegevens die deze Medewerkers nodig hebben voor hun werkzaamheden. Wij zorgen er bovendien voor dat de Medewerkers die toegang hebben tot de Persoonsgegevens een juiste en volledige instructie hebben gekregen over de omgang met Persoonsgegevens en dat zij bekend zijn met de verantwoordelijkheden en wettelijke verplichtingen.
3.5 Wij kunnen andere verwerkers (Sub-verwerkers) inschakelen voor het uitvoeren van bepaalde werkzaamheden die voortvloeien uit de Directe en/of Onderliggende opdracht, bijvoorbeeld als deze Sub-verwerkers over specialistische kennis of middelen beschikken waarover Wij niet beschikken. Als het inschakelen van Sub- Verwerkers tot gevolg heeft dat deze Persoonsgegevens gaan Verwerken dan zullen wij die Sub-Verwerkers (schriftelijk) de verplichtingen uit deze Overeenkomst opleggen. Met ondertekening van deze Overeenkomst geeft U toestemming voor het inschakelen van de Sub-Verwerkers die genoemd zijn in de Bijlage die bij deze Overeenkomst hoort. Over het inschakelen van overige Sub-Verwerkers zullen wij Uw vooraf informeren en in de gelegenheid stellen hiertegen bezwaar te maken.
3.6 Voor zover mogelijk verlenen Wij Uw bijstand bij het vervullen van Uw verplichtingen om verzoeken om uitoefening van rechten van Betrokkenen af te handelen. Als Wij (rechtstreeks) verzoeken ontvangen van Xxxxxxxxxx(n) om uitoefening van hun rechten (bijvoorbeeld inzage, wijziging of verwijdering van Persoonsgegevens), dan zenden Wij deze verzoeken door naar Uw. U handelt deze verzoeken zelf af, waarbij Xxx Uw natuurlijk behulpzaam kunnen zijn als Wij in het kader van de Directe en/of Onderliggende opdracht toegang hebben tot deze Persoonsgegevens. Hiervoor kunnen wij kosten in rekening brengen.
3.7 Wij zullen de Persoonsgegevens alleen Verwerken binnen de Europese Economische Ruimte, tenzij Wij hierover met Uw andere afspraken hebben gemaakt. Deze afspraken leggen Wij Gezamenlijk schriftelijk vast, of per e- mail. Met ondertekening van deze Overeenkomst geeft U toestemming voor de Verwerkingen buiten de EER die in de bij deze Overeenkomst horende Bijlage ( Privacy verklaring RVWA / DPIA ) worden genoemd.
3.8 Als Wij een verzoek krijgen om Persoonsgegevens ter beschikking te stellen dan doen Wij dit alleen als het verzoek is gedaan door een daartoe bevoegde instantie. Bovendien beoordelen Wij eerst of Wij van mening zijn dat het verzoek bindend is. Als er geen strafrechtelijke of andere juridische belemmeringen zijn, dan stellen Wij Uw op de hoogte van het verzoek. Wij proberen dat op zodanig korte termijn te doen, dat het voor Uw mogelijk is om eventuele rechtsmiddelen tegen de verstrekking van de Persoonsgegevens in te stellen. Als Wij Uw op de hoogte mogen stellen dan zullen Wij ook met Uw overleggen over de wijze waarop en welke gegevens Wij ter beschikking zullen stellen.
4. Beveiligingsmaatregelen
4.1 Wij hebben de beveiligingsmaatregelen genomen die zijn genoemd in de Bijlage ( Privacy verklaring RVWA / DPIA ) die bij deze Overeenkomst hoort. Bij het nemen van de beveiligingsmaatregelen is rekening gehouden
met de te mitigeren trecihnsieik ecn ode’ksos,ten vdanede sbetveailignindgsmvaaatrengeledn.e
4.2 U heeft zich goed geïnformeerd over de beveiligingsmaatregelen die Wij hebben genomen en bent van mening dat deze maatregelen een beveiligingsniveau hebben dat past bij de aard van de Persoonsgegevens en de
omvang, context, doeleinden en risico’s van de Verwerk
4.3 Wij informeren U als een van de beveiligingsmaatregelen substantieel wijzigt.
4.4 Wij bieden passende waarborgen voor de toepassing van de technische en organisatorische beveiligingsmaatregelen met betrekking tot de te verrichten Verwerkingen. Als U de wijze waarop Wij de beveiligingsmaatregelen naleven wilt laten inspecteren, dan kunt U hiertoe een verzoek aan Ons doen. Wij zullen hierover Gezamenlijk met Uw afspraken maken. De kosten van een inspectie zijn voor Uw rekening. U stelt aan Xxx een kopie van het inspectierapport ter beschikking.
5. Datalekken
5.1 Als er sprake is van een Datalek dan stellen Wij Uw daarvan op de hoogte. Wij streven ernaar dit te doen binnen 48 uur nadat wij dit Xxxxxxx hebben ontdekt, of zo snel mogelijk nadat wij daarover door Onze Sub-verwerkers zijn geïnformeerd. Nadere afspraken over de wijze waarop zijn opgenomen in artikel 11 van deze Overeenkomst. Wij zullen Uw daarbij voorzien van de informatie die U redelijkerwijs nodig hebt om - indien nodig - een juiste en volledige melding te doen aan de Autoriteit Persoonsgegevens en eventueel de Betrokkene(n) in het kader van de Meldplicht Datalekken c.q. wij zenden de melding van onze Sub-verwerker aan Uw door. Ook van de door Ons, of onze Sub-verwerker, naar aanleiding van het Datalek genomen maatregelen houden Wij Uw op de hoogte.
5.2 De melding van Datalekken aan de Autoriteit Persoonsgegevens en (eventueel) Betrokkene(n) is altijd Uw eigen verantwoordelijkheid.
5.3 Het (bij)houden van een register van Datalekken is altijd Uw eigen verantwoordelijkheid.
6. Geheimhoudingsplicht
6.1 Wij houden de van Uw verkregen Persoonsgegevens geheim en verplichten Onze Medewerker en eventuele Sub-verwerkers ook tot geheimhouding.
7. Aansprakelijkheid
7.1 U staat er voor in dat de Verwerking van Persoonsgegevens op basis van deze Overeenkomst niet onrechtmatig is en geen inbreuk maakt op de rechten van Betrokkene(n).
7.2 Wij zijn niet aansprakelijk voor schade die het gevolg is van het door Uw niet naleven van de AVG of andere wet- of regelgeving. U vrijwaart ons ook voor aanspraken van Xxxxxx op grond van zulke schade. De vrijwaring geldt niet alleen voor de schade die Derden hebben geleden (materieel maar ook immaterieel), maar ook voor de kosten die Wij in verband daarmee moeten maken, bijvoorbeeld in een eventuele juridische procedure, en de kosten van eventuele boetes die aan Ons worden opgelegd ten gevolge van Uw handelen of nalaten.
7.3 De in de Directe en/of Onderliggende opdracht en daarbij behorende algemene voorwaarden overeengekomen beperking van Onze aansprakelijkheid is van kracht op de verplichtingen zoals opgenomen in deze Overeenkomst, met dien verstande dat een of meerdere schadevorderingen uit hoofde van deze Overeenkomst en /of de Directe en/of Onderliggende opdracht nimmer tot overschrijding van de beperking kan leiden.
8. Overdraagbaarheid Overeenkomst
8.1 Het is voor Ons toegestaan om deze Overeenkomst en de rechten en de plichten die samenhangen met deze Overeenkomst over te dragen aan een ander. Wij zullen Uw alsdan tijdig in kennis stellen hiervan.
9. Beëindiging en teruggave / vernietiging Persoonsgegevens
9.1 Als de Directe en/of Onderliggende opdracht wordt beëindigd dan zullen Wij de door Uw aan Ons verstrekte Persoonsgegevens aan Uw terug overdragen of –als U Ons daarom verzoekt –vernietigen. Wij zullen uitsluitend een kopie van de Persoonsgegevens bewaren als Wij hiertoe op grond van wet- of regelgeving verplicht zijn.
9.2 De kosten van het verzamelen en overdragen van Persoonsgegevens bij het eindigen van de Directe en/of Onderliggende opdracht zijn voor Uw rekening. Datzelfde geldt voor de kosten van de vernietiging van de Persoonsgegevens. Als U daarom vraagt dan geven Xxx Uw vooraf een kosteninschatting.
10. Aanvullingen en wijziging Overeenkomst
10.1 Aanvullingen en wijzigingen op deze Overeenkomst zijn alleen geldig als ze op schrift zijn gesteld. Onder
“schriftelijk” worden ook-mawil ziijnjgzeciomgmiunnicgeeerdn, gevbolegdgdrooer epeneankkoodrdipeer per
e-mail van de andere partij.
10.2 Een wijziging in de verwerkte Persoonsgegevens of in de betrouwbaarheidseisen, de privacyregelgeving of uw eisen kan aanleiding zijn om deze Overeenkomst aan te vullen of te wijzigen. Indien dit leidt tot significante aanpassingen in de Directe en/of Onderliggende opdracht, of wanneer Wij niet kunnen voorzien in een passend niveau van bescherming, kan dit voor Ons reden zijn om de Directe en/of Onderliggende opdracht te beëindigen.
11. Slotbepalingen
11.1 Op Uw verzoek stellen Wij Uw alle informatie ter beschikking die nodig is om de nakoming van de in deze Overeenkomst neergelegde verplichtingen aan te tonen. Indien gewenst maken wij audits mogelijk, waarmee inspecties, door Uw of een door Uw gemachtigde controleur kunnen worden uitgevoerd.. De kosten van dergelijke verzoeken, audits of inspecties zijn voor Uw rekening. Ook eventuele audits bij Onze Sub-verwerkers zijn voor Uw rekening. Tevens kunnen de kosten voor benodigde software / implementatie bij u in rekening worden gebracht.
11.2 Partijen werken desgevraagd samen met de toezichthoudende autoriteit bij het vervullen van haar taken.
11.3 Op deze Overeenkomst is voor de levering van producten en diensten binnen Nederland, het Nederlands recht van toepassing, de Nederlandse rechter is bevoegd kennis te nemen van alle geschillen die voortvloeien uit of samenhangen met deze Overeenkomst. Voor leveringen in het buitenland, echter binnen de Europese Ruimte is het Europees recht boven het Nederlands recht van toepassing.
11.4 Deze Overeenkomst is hoger in rang dan andere door Ons met Uw gesloten overeenkomsten. Als U algemene voorwaarden gebruikt dan zijn deze niet van toepassing op deze Overeenkomst. De bepalingen uit deze Overeenkomst gaan boven de bepalingen in Onze algemene voorwaarden, tenzij expliciet naar een bepaling in de algemene voorwaarden wordt verwezen.
11.5 Als één of meerdere bepalingen in deze Overeenkomst niet geldig blijken te zijn, dan heeft dit geen gevolgen voor de geldigheid van de andere bepalingen in deze Overeenkomst. Wij treden dan met Uw in overleg om Gezamenlijk een nieuwe bepaling op te stellen. Deze bepaling zal zoveel als mogelijk in de geest zijn van de ongeldige bepaling, maar dan uiteraard zo vormgegeven dat de bepaling wel geldig is.
11.6 Mededelingen in het kader van deze Overeenkomst (inclusief mededelingen in het kader van artikel 5 – Datalekken) zullen door Uw en Ons worden gedaan aan onderstaande Medewerkers:
[naam]
[werkzaam bij: ] [contactgegevens]
[naam]
[werkzaam bij: ] [contactgegevens]
Als de gegevens behorend bij de bovengenoemde Medewerkers veranderen, of als zij worden vervangen door andere Medewerkers, dan lichten partijen elkaar daarover in.
Ondertekening
Ondertekend op [ datum ]
[ naam klant + naam ondertekenaar ] Technorama LLP, BWH de Jonge
Technorama LLP, Xxxxxxxxxx 00X, 0000 XX, Xxxxxxxxxxx Xxxxxxxx
xxx.xxxxxxxxxx.xx | xxxx@xxxxxxxxxx.xx Tel. x00(0)00-0000000 | Fax x00(0)00-0000000 | GSM: x00(0)000 000 000, ABN AMRO 57.95.83.201 | IBAN: XX00XXXX0000000000 | BIC: XXXXXX0X, BTW Nr. 000.00.00.00.B01.1270 | KvK Nr. 53468589