Verwerkingsovereenkomst
Verwerkingsovereenkomst
Ondergetekenden:
1. De Verwerkingsverantwoordelijke te dezer zake rechtsgeldig vertegenwoordigd door:
Bedrijfsnaam: | Stichting Kitty |
Contactpersoon: | De xxxx X. Xxxxxxxxx |
Adres: | Xxxxxxxxxxxxx 0 |
PC + woonplaats: | 5405NHUden |
KVK nummer: | 71514430 |
2. De besloten vennootschap met beperkte aansprakelijkheid Flying Kiwi VOF (KvK- nummer: 00000000), hierna te noemen “Flying Kiwi”, statutair gevestigd te gemeente Boekel en kantoorhoudende te 0000 XX Xxxxxx aan de Tuinstraat 16, te dezer zake rechtsgeldig vertegenwoordigd door de xxxx X. xxx xxx Xxxxxxx en mevrouw X.X. xxx xxx Xxxxxxx-Versteegden hierna te noemen “Verwerker”;
Verwerkingsverantwoordelijke en Verwerker hierna gezamenlijk tevens te noemen “Partijen”; overwegende dat:
- Verwerkingsverantwoordelijke met Verwerker een Overeenkomst heeft gesloten voor het verrichten van hosting werkzaamheden, alsook, voor het verrichten van werkzaamheden die, gelet op het doel van de dienstverlening, daarmee redelijkerwijs samenhangen of die met nadere instemming worden bepaald;
- Verwerkingsverantwoordelijke met Verwerker een Overeenkomst heeft gesloten voor het verrichten van onder andere online marketingwerkzaamheden, alsook, voor het verrichten van werkzaamheden die, gelet op het doel van de dienstverlening, daarmee redelijkerwijs samenhangen of die met nadere instemming worden bepaald;
- Verwerkingsverantwoordelijke met Verwerker een Overeenkomst heeft gesloten voor het ontwikkelen c.q. onderhouden c.q. beheren van onder andere software (webshops, websites en/of applicaties), alsook, voor het verrichten van werkzaamheden die, gelet op het doel van de dienstverlening, daarmee redelijkerwijs samenhangen of die met nadere instemming worden bepaald;
- Voor de uitvoering van deze Overeenkomst Persoonsgegevens worden verwerkt;
- Verwerkingsverantwoordelijke verantwoordelijk is voor de Persoonsgegevens en verplicht is om ervoor zorg te dragen dat Verwerker voldoende waarborgen biedt ten aanzien van de technische en organisatorische beveiligingsmaatregelen met betrekking tot de te verrichten verwerkingen;
- Partijen in deze Verwerkingsovereenkomst hun gewijzigde afspraken over het verwerken van Persoonsgegevens door Verwerker wensen vast te leggen, waarbij geldt dat de bestaande bewerkersovereenkomst tussen Partijen niet wordt beëindigd, doch haar voorwaarden en bepalingen worden gewijzigd in die zin dat deze vervangen worden door de voorwaarden en bepalingen zoals opgenomen in deze Verwerkersovereenkomst;
verklaren te zijn overeengekomen als volgt: Artikel 1 definities
De hierna en hiervoor in deze Verwerkingsovereenkomst met een hoofdletter geschreven begrippen hebben de volgende betekenis:
a) Persoonsgegevens: alle informatie betreffende een geïdentificeerde natuurlijke persoon zoals bedoeld in artikel 4.1 AVG;
b) Verwerking: een bewerking of een geheel van bewerkingen met betrekking tot Persoonsgegevens of een geheel van Persoonsgegevens, al dan niet uitgevoerd via automatische procedés zoals bedoeld in artikel 4.2 AVG.
c) Overeenkomst: de in de considerans vermelde Overeenkomst (inzake onder andere hosting en marketing en ontwikkeling) met betrekking tot de diensten van Verwerker;
d) Verwerkingsovereenkomst: deze overeenkomst, inclusief considerans en bijlagen;
e) Betrokkene: de natuurlijke persoon op wie de Persoonsgegevens betrekking hebben;
f) Inbreuk: een inbreuk in verband met Persoonsgegevens zoals bedoeld in artikel
4.12 AVG, welke leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte Persoonsgegevens (oftewel datalek). Tot 25 mei 2018 de “inbreuk op de beveiliging” zoals bedoeld in artikel 34a Wet bescherming persoonsgegevens.
g) AVG: Algemene Verordening Gegevensbescherming, inclusief de uitvoeringswet van deze verordening. De AVG vervangt de Wet bescherming persoonsgegevens per 25 mei 2018.
Artikel 2 Totstandkoming, duur en einde
1. Deze Verwerkingsovereenkomst is van toepassing op iedere Verwerking die op basis van de Overeenkomst door Verwerker wordt uitgevoerd.
2. De voorwaarden en bepalingen van deze Verwerkingsovereenkomst treden in werking op de datum van ondertekening en eindigt van rechtswege op het moment dat Verwerker geen Persoonsgegevens meer onder zich heeft die in het kader van de Overeenkomst worden verwerkt.
3. Geen van beide Partijen kan deze Verwerkingsovereenkomst tussentijds opzeggen.
4. Artikelen die gezien hun aard, onder meer in het kader van de afwikkeling van de Verwerkingsovereenkomst, bestemd zijn om na het einde van de Verwerkingsovereenkomst van toepassing te blijven, blijven ook na beëindiging van de Verwerkingsovereenkomst onverminderd van kracht.
Artikel 3 Verwerking
1. Verwerker verbindt zich om in opdracht van de Verwerkingsverantwoordelijke en onder de voorwaarden van deze Verwerkingsovereenkomst Persoonsgegevens te verwerken. Verwerker verwerkt Persoonsgegevens slechts onder de schriftelijke instructies van Verwerkingsverantwoordelijke.
2. Verwerking zal uitsluitend plaatsvinden in het kader van de Overeenkomst en betreft de opslag van gegevens in de door de Verwerker voor de Verwerkingsverantwoordelijke gemanagede IT-omgeving en/of onder andere online marketingwerkzaamheden en/of werkzaamheden in verband met ontwikkeling c.q. onderhoud c.q. beheer van software, alsmede die diensten die daarmee, gelet op het doel van de dienstverlening door Verwerker, redelijkerwijs samenhangen of die tussen Partijen nader worden vastgesteld.
3. Verwerking vindt plaats onder verantwoordelijkheid van Verwerkingsverantwoordelijke. Verwerker heeft geen zelfstandige zeggenschap over de Persoonsgegevens, het doel en de middelen van de verwerking en neemt geen beslissingen over zaken als het gebruik van Persoonsgegevens, de bewaartermijn van de voor Verwerkingsverantwoordelijke verwerkte Persoonsgegevens en het verstrekken van Persoonsgegevens aan derden.
4. De Persoonsgegevens die in het kader van de Overeenkomst worden verwerkt en de categorieën van Betrokkenen van wie deze Persoonsgegevens afkomstig zijn, zijn gespecificeerd in bijlage 1.
5. Verwerker zal ervoor zorgdragen dat zij voldoet aan de afspraken in deze Verwerkingsovereenkomst en de op haar als Verwerker van toepassing zijnde wet- en regelgeving. Verwerker zal Verwerkingsverantwoordelijke in kennis stellen indien naar haar mening een instructie van Verwerkingsverantwoordelijke in strijd is met de van toepassing zijnde wet- en regelgeving.
6. De verplichtingen uit deze Verwerkingsovereenkomst gelden ook voor degene die verwerken onder het gezag van Verwerker, waaronder onder meer maar niet uitsluitend begrepen werknemers van Verwerker.
7. Voor zover mogelijk zal Verwerker op verzoek van Verwerkingsverantwoordelijke meewerken aan een gegevensbeschermingseffectbeoordeling (PIA).
Artikel 4 Doorgifte Persoonsgegevens
1. Verwerker zal de Persoonsgegevens alleen Verwerken binnen de Europese Economische Ruimte, tenzij hierover met Verwerkingsverantwoordelijke andere schriftelijke afspraken zijn gemaakt.
Artikel 5 Sub-verwerkers
1. Verwerker kan sub-verwerkers inschakelen. Met ondertekening van deze Verwerkingsovereenkomst geeft Verwerkingsverantwoordelijke toestemming aan Verwerker om in het kader van deze Verwerkingsovereenkomst gebruik te maken van de in bijlage 2 genoemde derden.
2. Verwerker staat ervoor in dat de door haar ingeschakelde sub-verwerkers (tenminste) dezelfde verplichtingen krijgen opgelegd als die op Verwerker rusten uit hoofde van deze Verwerkingsovereenkomst.
3. Verwerker staat jegens Verwerkingsverantwoordelijke in voor een correcte naleving van de plichten uit een sub-verwerkersovereenkomst door een sub-verwerker en blijft ten aanzien
van de Verwerkingsverantwoordelijke volledig aansprakelijk voor het nakomen van de verplichtingen van deze sub-verwerker.
Artikel 6 Beveiliging
1. Verwerker zal voldoende technische- en organisatorische maatregelen nemen om de Persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking, alsmede om een passende mate van betrouwbaarheid (beschikbaarheid, integriteit en vertrouwelijkheid) te waarborgen. Verwerker staat er niet voor in dat de beveiliging onder alle omstandigheden doeltreffend is. Indien een uitdrukkelijk omschreven beveiliging in de Verwerkersovereenkomst ontbreekt, zal Verwerker zich inspannen om de beveiliging te laten voldoen aan een niveau dat gelet op de stand van de techniek, de gevoeligheid van de Persoonsgegevens en de aan het treffen van de beveiliging verbonden kosten, passend is en voldoet aan artikel 32 lid 1 AVG.
2. Verwerkingsverantwoordelijke heeft zich goed geïnformeerd over de beveiligingsmaatregelen die Verwerker heeft genomen en is van mening dat deze maatregelen een beveiligingsniveau hebben dat past bij de aard, omvang, context en verwerkingsdoeleinden van de Verwerking en de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van Betrokkenen.
3. Verwerker informeert Verwerkingsverantwoordelijke als een van de beveiligingsmaatregelen substantieel wijzigt.
Artikel 7 Verzoeken Betrokkenen
1. De verantwoordelijkheid voor het omgaan met (de uitvoering van) rechten van Betrokkenen berust bij Verwerkingsverantwoordelijke. Indien Verwerker in dit verband een verzoek van een Betrokkene ontvangt, zal Verwerker het verzoek doorsturen naar Verwerkingsverantwoordelijke en Betrokkene daarvan op de hoogte brengen. Verwerkingsverantwoordelijke zal het verzoek van een Betrokkene zelf verder afhandelen.
2. Verwerker zal Verwerkingsverantwoordelijke ondersteuning bieden in de zin van art. 38 lid 3 sub e AVG bij het nakomen van diens verplichtingen met het oog op de beantwoording van verzoeken rondom de rechten van Betrokkenen. Verwerker zal de Verwerkingsverantwoordelijke bijstaan in de zin van art. 28 lid 3 sub f AVG bij het nakomen van diens verplichtingen op het gebied van de beveiliging van persoonsgegevens en de meldplicht datalekken.
Artikel 8 Melden Inbreuk
1. Als er sprake is van een Inbreuk dan stelt Verwerker de Verwerkingsverantwoordelijke daarvan op de hoogte. Verwerker streeft ernaar deze melding binnen 48 uur te doen nadat de Inbreuk door Xxxxxxxxx is ontdekt of zo snel mogelijk nadat Verwerker daarover door haar sub-verwerker(s) is geïnformeerd.
2. Verwerker zal Verwerkingsverantwoordelijke daarbij voorzien van de navolgende informatie:
o de aard van de Inbreuk, waar mogelijk onder vermelding van de categorieën van Betrokkenen en persoonsregistergegevens in kwestie en, bij benadering, het aantal Betrokkenen en persoonsgegevensregisters in kwestie;
o de naam en de contactgegevens van de functionaris voor de gegevensbescherming of een ander contactpunt waar meer informatie kan worden verkregen;
o de waarschijnlijke gevolgen van de Inbreuk;
o de maatregelen die de Verwerkingsverantwoordelijke heeft voorgesteld of genomen om de Inbreuk aan te pakken, waaronder, in voorkomend geval, de maatregelen ter beperking van de eventuele nadelige gevolgen ervan.
3. De melding van een Inbreuk aan de toezichthouder en/of aan Betrokkenen is te allen tijde de eigen verantwoordelijkheid van Verwerkingsverantwoordelijke.
Artikel 9 Geheimhouding en vertrouwelijkheid
1. Alle Persoonsgegevens worden als vertrouwelijke gegevens gekwalificeerd en dienen als zodanig te worden behandeld. Personen in dienst van, dan wel werkzaam ten behoeve van de Verwerker, evenals de Verwerker zelf, zijn verplicht tot geheimhouding met betrekking tot de Persoonsgegevens waarvan zij kennis kunnen nemen.
2. Onderhavige verplichting tot geheimhouding geldt niet, indien Verwerkingsverantwoordelijke uitdrukkelijk toestemming heeft gegeven om de Persoonsgegevens aan derden te verschaffen of als er een wettelijke verplichting bestaat voor Verwerker om de Persoonsgegevens aan een derde partij te verstrekken.
Artikel 10 Audit
1. De Verwerkingsverantwoordelijke heeft het recht om audits te laten uitvoeren door een onafhankelijke, deskundige derde die aan geheimhouding is gebonden, ter controle van de wijze waarop Verwerker de overeengekomen verplichtingen uit hoofde van deze Verwerkingsovereenkomst, waaronder beveiligingsmaatregelen, naleeft.
2. De audit mag maximaal één keer per kalenderjaar plaatsvinden.
3. Verwerker zal aan de audit meewerken en alle in dit kader redelijkerwijs relevante informatie ter beschikking stellen.
4. De kosten van een audit zijn voor rekening van Verwerkingsverantwoordelijke.
5. Het bepaalde in dit artikel is niet van toepassing voor zover een verzoek tot een audit:
a. een disproportionele last voor Verwerker met zich mee brengt;
b. niet is gerelateerd aan de verwerking van Persoonsgegevens;
c. zou leiden tot het openbaren van bedrijfsgeheimen van Verwerker;
d. in strijd zou zijn met wetgeving.
Artikel 11 Aansprakelijkheid
1. Verwerkingsverantwoordelijke staat er voor in dat de verwerking van Persoonsgegevens op basis van de Overeenkomst niet onrechtmatig is en geen inbreuk maakt op de rechten van Betrokkene(n). Verwerker is uitsluitend verantwoordelijk voor de verwerking van Persoonsgegevens onder de Overeenkomst overeenkomstig de instructies van Verwerkingsverantwoordelijke en onder diens verantwoordelijkheid.
2. Verwerker is niet aansprakelijk voor schade die het gevolg is van het niet-naleven van de op Verwerkingsverantwoordelijke van toepassing zijnde wet- en regelgeving. Verwerkingsverantwoordelijke vrijwaart Verwerker voor alle aanspraken van derden op grond van zulke schade. De vrijwaring geldt niet alleen voor de schade die derden hebben geleden (materieel maar ook immaterieel), maar ook voor de kosten die Verwerker in verband daarmee moet maken en de kosten van eventuele boetes die aan Verwerker worden opgelegd ten gevolge van het handelen van Verwerkingsverantwoordelijke.
3. De in de Overeenkomst en daarbij behorende algemene voorwaarden overeengekomen beperking van de aansprakelijkheid van Verwerker is onverminderd van kracht op de verplichtingen zoals opgenomen in deze Verwerkingsovereenkomst.
Artikel 12 Teruggave
1. Na afloop van de Verwerkingsovereenkomst dienen alle Persoonsgegevens, kopieën en bewerkingen daarvan, op eerste verzoek van Verwerkingsverantwoordelijke, onmiddellijk te worden geretourneerd c.q. verstrekt aan Verwerkingsverantwoordelijke, dan wel te worden vernietigd c.q. verwijderd, een en ander naar keuze van Verwerkingsverantwoordelijke.
Artikel 13 Slotbepalingen
1. Aanvullingen en wijzigingen op deze Verwerkingsovereenkomst zijn slechts geldig indien deze schriftelijk tussen Partijen zijn overeengekomen.
2. Op deze Verwerkingsovereenkomst en de uitvoering daarvan is Nederlands recht van toepassing.
3. Geschillen tussen Partijen verband houdende met deze Verwerkingsovereenkomst worden zullen worden voorgelegd aan de bevoegde rechter in het arrondissement van de Rechtbank Oost-Brabant.
4. Voor zover enige bepaling van deze Verwerkingsovereenkomst in strijd is met de bepalingen in de Overeenkomst, prevaleert hetgeen in deze Verwerkingsovereenkomst is bepaald, voor zover de strijdigheid betrekking heeft op het verwerken van Persoonsgegevens.
5. Indien enige bepaling in deze Verwerkingsovereenkomst ongeldig blijkt, dan heeft dit geen gevolgen voor de geldigheid van de overige bepalingen in deze Verwerkingsovereenkomst. Partijen zullen dan een nieuwe bepaling vaststellen ter vervanging van de ongeldige bepaling, waarbij zoveel mogelijk de aard en strekking van de ongeldige bepaling in acht zal worden genomen.
6. De in deze Verwerkingsovereenkomst genoemde bijlagen zijn onverbrekelijk met deze Verwerkingsovereenkomst verbonden en maken daarvan onlosmakelijk deel uit.
7. Met het ondertekenen van deze Verwerkingsovereenkomst wordt de bestaande bewerkersovereenkomst tussen Partijen niet beëindigd, doch worden haar voorwaarden en bepalingen gewijzigd in die zin dat deze vervangen worden door de voorwaarden en bepalingen zoals opgenomen in deze Verwerkingsovereenkomst. De bepalingen in de Overeenkomst, inclusief de daarbij behorende algemene voorwaarden, blijven onverminderd tussen Partijen van kracht.
Ondertekend te: | Boekel |
Datum: | 12-01-2020 |
Flying Kiwi VOF
X. xxx xxx Xxxxxxx
X.X. xxx xxx Xxxxxxx – Versteegden
Persoonsgegevens en categorieën Betrokkenen
Verwerker zal in het kader van de Overeenkomst de volgende (bijzondere) Persoonsgegevens verwerken in opdracht van Verwerkingsverantwoordelijke:
✓ NAW-gegevens
✓ Telefoonnummer
✓ E-mailadres
✓ Bezoekgedrag
✓ IP-adres
✓ Social media accounts
✓ (pas)foto’s
✓ Beeldmateriaal
Verwerkingsverantwoordelijke garandeert dat bovenstaande weergave volledig en correct is.
Sub-verwerkers Verwerker schakelt deze Sub-verwerkers in bij het uitvoeren van de Overeenkomst:
- Intention, verantwoordelijk voor het leveren van hosting en domeinzaken. Statutair gevestigd te Boekel, en kantoorhoudend aan de Xxxxxxxxxx 00, 0000 XX Xxxxxx, in deze vertegenwoordigd door haar (indirect) bevoegd bestuurder de xxxx X. Xxxxxxxxx.