Verwerkersovereenkomst
Verwerkersovereenkomst
Deze verwerkersovereenkomst is een bijlage bij de Storec overeenkomst zoals door Partijen is gesloten (hierna: “Hoofdovereenkomst”) tussen Oude Veldhuis Automatisering VOF, ingeschreven bij de Kamer van Koophandel onder nummer 08156323, (hierna: “Verwerker”) en een wederpartij aan wie zij Storec levert (hierna: “Verantwoordelijke”). Verantwoordelijke en Verwerker zijn hierna gezamenlijk te noemen de “Partijen” en afzonderlijk “Partij”.
Partijen nemen in aanmerking dat:
• Verantwoordelijke de beschikking heeft over persoonsgegevens en voor de verwerking hiervan Verwerker wenst in te schakelen;
• Verantwoordelijke de doeleinden en middelen aanwijst voor de verwerking en waarvoor de hierin genoemde voorwaarden gelden;
• Verwerker hiertoe bereid is en tevens bereid is verplichtingen omtrent de beveiliging en andere aspecten van de Wet bescherming persoonsgegevens (hierna: “Wbp”) na te komen, voor zover dit binnen de macht van Verwerker ligt;
• Verantwoordelijke kan worden aangemerkt als verantwoordelijke in de zin van artikel 1 sub d van de Wbp;
• Verwerker kan worden aangemerkt als verwerker in de zin van artikel 1 sub e van de Wbp;
• de Wbp aan Verantwoordelijke de plicht oplegt om toe te zien op de naleving van de door Verwerker genomen maatregelen;
• waar in deze overeenkomst gesproken wordt gesproken over persoonsgegevens, hiermee persoonsgegevens in de zin van artikel 1 sub a van de Wbp worden bedoeld;
• Partijen, mede gelet op het vereiste uit artikel 14 lid 5 van de Wbp, hun rechten en plichten schriftelijk wensen vast te leggen middels deze verwerkersovereenkomst (hierna: “Verwerkersovereenkomst”);
• waar gerefereerd wordt aan bepalingen uit de Wbp, per 25 mei 2018 de corresponderende bepalingen uit de Algemene Verordening Gegevensbescherming (hierna: “AVG”) worden bedoeld.
Artikel 1. Doeleinden van verwerking
1.1 Verwerker verbindt zich onder de voorwaarden van deze Verwerkersovereenkomst in opdracht van Verantwoordelijke persoonsgegevens te verwerken. Verwerking zal uitsluitend plaatsvinden in het kader van de Hoofdovereenkomst en wel voor het opslaan van gegevens van Verantwoordelijke, en bijbehorende online diensten, plus die doeleinden die daarmee redelijkerwijs samenhangen of die met nadere instemming worden bepaald.
1.2 Verwerker zal de persoonsgegevens niet voor enig ander doel verwerken dan zoals door Verantwoordelijke is vastgesteld. Verantwoordelijke zal Verwerker op de hoogte stellen van de verwerkingsdoeleinden voor zover deze niet reeds in deze Verwerkersovereenkomst zijn genoemd.
1.3 De in opdracht van Verantwoordelijke te Verwerken persoonsgegevens blijven eigendom van Verantwoordelijke en/of de betreffende betrokkenen.
1.4 Verantwoordelijke staat ervoor in dat de verwerking van persoonsgegevens in overeenstemming is met alle verplichtingen uit de Wbp.
Artikel 2. Verplichtingen Verwerker
2.1 Verwerker stelt ten behoeve van de verwerkingen ICT-middelen ter beschikbaar die door Verantwoordelijke te gebruiken zijn voor de hierboven genoemde doeleinden. Verwerker verricht zelf alleen verwerkingen op basis van opdracht en aparte afspraken met Verantwoordelijke.
2.2 Verwerker zal Verantwoordelijke, op diens eerste verzoek daartoe, informeren over de door haar genomen maatregelen aangaande haar verplichtingen onder deze Verwerkersovereenkomst.
2.3 De verplichtingen van de Verwerker die uit deze Verwerkersovereenkomst voortvloeien, gelden ook voor degenen die persoonsgegevens verwerken onder het gezag van Verwerker, waaronder begrepen maar niet beperkt tot werknemers, in de ruimste zin van het woord.
Artikel 3. Doorgifte van persoonsgegevens
3.1 Verwerker zal de persoonsgegevens verwerken in de door haar gebruikte datacenters in Nederland.
3.2 Indien Verwerker voornemens is andere datacentra binnen de Europese Unie in te zetten voor de verwerking van persoonsgegevens, zal zij dit voorafgaand aan het verplaatsen van de persoonsgegevens melden bij Verantwoordelijke.
3.3 Verwerker zal zonder voorafgaande schriftelijke toestemming van Verantwoordelijke geen persoonsgegevens opslaan in, of doorgeven naar, landen buiten de Europese Unie.
Artikel 4. Verdeling van verantwoordelijkheid
4.1 De toegestane verwerkingen worden binnen een (semi)geautomatiseerde omgeving onder controle van Verwerker uitgevoerd.
4.2 Verwerker is louter verantwoordelijk voor de verwerking van de persoonsgegevens onder deze Verwerkersovereenkomst, overeenkomstig de instructies van Verantwoordelijke en onder de uitdrukkelijke (eind-)verantwoordelijkheid van Verantwoordelijke, ongeacht de wettelijke verantwoordelijkheid.
4.3 Voor de overige verwerkingen van persoonsgegevens, waaronder in ieder geval begrepen, maar niet beperkt tot, de verzameling van de persoonsgegevens door Verantwoordelijke, verwerkingen voor doeleinden die niet door Verantwoordelijke aan Verwerker zijn gemeld, verwerkingen door derden en/of voor andere doeleinden, is Verwerker uitdrukkelijk niet verantwoordelijk.
4.4 Verantwoordelijke garandeert dat de inhoud, het gebruik en de opdracht tot de verwerkingen van de persoonsgegevens zoals bedoeld in deze Verwerkersovereenkomst, niet onrechtmatig is en geen inbreuk maakt op enig recht van derden.
Artikel 5. Inschakelen van derden of onderaannemers
5.1 Verwerker mag in het kader van de Verwerkersovereenkomst geen gebruik maken van een derde, zonder voorafgaande schriftelijke toestemming van Verantwoordelijke, welke toestemming onderwerp kan zijn van nadere voorwaarden.
5.2 Verwerker zorgt er in ieder geval voor dat deze derden schriftelijk dezelfde plichten op zich nemen als tussen Verantwoordelijke en Verwerker zijn overeengekomen.
Artikel 6. Beveiliging
6.1 Verwerker zal zich inspannen voldoende technische en organisatorische maatregelen te nemen met betrekking tot de te verrichten verwerkingen van persoonsgegevens, tegen verlies of tegen enige vorm van onrechtmatige verwerking (zoals onbevoegde kennisname, aantasting, wijziging of verstrekking van de persoonsgegevens).
6.2 Ter beveiliging van de persoonsgevens van Verantwoordelijke heeft Verwerker de maatregelen, zoals genoemd in Bijlage 1, genomen.
6.3 Verantwoordelijke stelt enkel persoonsgegevens aan Verwerker ter beschikking voor verwerking, indien zij zich er van heeft verzekerd dat de vereiste beveiligingsmaatregelen zijn getroffen. Verantwoordelijke is verantwoordelijk voor de naleving van de door Partijen afgesproken maatregelen.
Artikel 7. Meldplicht
7.1 In het geval van ontdekking van een Beveiligingslek (een tekortkoming in of inbreuk op de beveiliging van persoonsgegevens) en/of een Datalek (een inbreuk op de beveiliging van persoonsgegevens die leidt tot een aanzienlijke kans op nadelige gevolgen, dan wel nadelige gevolgen heeft, voor de bescherming van persoonsgegevens zoals bedoeld in art. 34a lid 1 Wbp) zal Verwerker de Verantwoordelijke daarover zo snel mogelijk, in ieder geval binnen vierentwintig (24) uur infomeren, naar aanleiding waarvan de Verantwoordelijke beoordeelt of zij de Autoriteit Persoonsgegevens en/of betrokkene(n) zal informeren of niet. Verantwoordelijke is verantwoordelijk voor het voldoen aan eventuele wettelijke meldplichten.
7.2 De meldplicht behelst in ieder geval het melden van het feit dat er een lek is geweest. Daarnaast behelst de meldplicht:
contactgegevens voor de opvolging van de melding;
de datum waarop het lek heeft plaatsgevonden (indien geen exacte datum bekend is: de periode
waarbinnen het lek heeft plaatsgevonden);
wat de (vermeende) oorzaak is van het lek;
wat het (vooralsnog bekende en/of te verwachten) gevolg is van het lek;
het aantal personen waarvan gegevens zijn gelekt (indien geen exact aantal bekend is: het minimale en maximale aantal personen waarvan gegevens zijn gelekt);
een omschrijving van de groep personen van wie gegevens zijn gelekt; het soort of de soorten persoonsgegevens die gelekt zijn;
• of de gegevens versleuteld, gehasht of op een andere manier onbegrijpelijk of ontoegankelijk zijn gemaakt voor onbevoegden;
• wat de voorgenomen en/of reeds ondernomen maatregelen zijn om het lek te dichten en om de gevolgen van het lek te beperken.
Artikel 8. Afhandeling verzoeken van betrokkenen
8.1 In het geval dat een betrokkene een van zijn wettelijke rechten wenst uit te oefenen en het verzoek hiertoe richt aan Verwerker, zal Verwerker dit verzoek doorzenden aan Verantwoordelijke. Verantwoordelijke zal vervolgens zorg dragen voor de afhandeling van het verzoek. Verwerker mag de betrokkene daarvan op de hoogte stellen.
Artikel 9. Geheimhouding en vertrouwelijkheid
9.1 Op alle persoonsgegevens die Verwerker van Verantwoordelijke ontvangt en/of zelf verzamelt in het kader van deze Verwerkersovereenkomst, rust een geheimhoudingsplicht jegens derden. Verwerker zal deze informatie niet voor een ander doel gebruiken dan waarvoor zij deze heeft verkregen, zelfs niet wanneer deze in een zodanige vorm is gebracht zodat deze niet tot betrokkenen herleidbaar is.
9.2 Deze geheimhoudingsplicht is niet van toepassing voor zover Verantwoordelijke uitdrukkelijke toestemming heeft gegeven om de informatie aan derden te verschaffen, indien het verstrekken van de informatie aan derden logischerwijs noodzakelijk is gezien de aard van de verstrekte opdracht en de uitvoering van deze Verwerkersovereenkomst, of indien er een wettelijke verplichting bestaat om de informatie aan een derde te verstrekken.
Artikel 10. Audit
10.1 Verantwoordelijke heeft het recht om audits uit te laten voeren door een onafhankelijke derde die aan geheimhouding is gebonden ter controle van naleving van alle punten uit de verwerkersovereenkomst, en alles dat daar direct verband mee houdt.
10.2 Deze audit vindt uitsluitend plaats bij een concreet vermoeden van misbruik van persoonsgegevens, welke is aangetoond door Verantwoordelijke.
10.3 Verwerker zal aan de audit meewerken en alle voor de audit redelijkerwijs relevante informatie, inclusief ondersteunende gegevens zoals systeemlogs, en medewerkers zo tijdig mogelijk en
binnen een redelijke termijn ter beschikking stellen, waarbij een termijn van maximaal twee (2) weken redelijk is.
10.4 De bevindingen naar aanleiding van de uitgevoerde audit zullen door Partijen in onderling overleg worden beoordeeld en, naar aanleiding daarvan, al dan niet worden doorgevoerd door één van de Partijen of door beide Partijen gezamenlijk.
10.5 De kosten van de audit worden door Verantwoordelijke gedragen.
Artikel 11. Aansprakelijkheid
11.1 De aansprakelijkheid van Verwerker voor schade als gevolg van een toerekenbare tekortkoming in de nakoming van de Verwerkersovereenkomst, dan wel uit onrechtmatige daad of anderszins, is per gebeurtenis (een reeks opeenvolgende gebeurtenissen geldt als één gebeurtenis) beperkt tot de vergoeding van directe schade, tot maximaal het bedrag van de door Verwerker ontvangen vergoedingen voor de werkzaamheden onder deze Verwerkersovereenkomst over de maand voorafgaande aan de schadeveroorzakende gebeurtenis.
11.2 Onder directe schade wordt uitsluitend verstaan alle schade bestaande uit:
x. xxxxxx direct toegebracht aan stoffelijke zaken (“zaakschade”);
b. redelijke en aantoonbare kosten om de Verwerker er toe te manen de Verwerkersovereenkomst (weer) deugdelijk na te komen;
c. redelijke kosten ter vaststelling van de oorzaak en de omvang van de schade voor zover betrekking hebbende op de directe schade zoals hier bedoeld is; en
d. redelijke en aantoonbare kosten die Verantwoordelijke heeft gemaakt ter voorkoming of beperking van de directe schade zoals in dit artikel bedoeld.
11.3 De aansprakelijkheid van Verwerker voor indirecte schade is uitgesloten. Onder indirecte schade wordt verstaan alle schade die geen directe schade is.
11.4 De bewijslast dat sprake is van schade als gevolg van een Datalek en dat dit toerekenbaar is aan doen of nalaten van Verwerker berust bij de Verantwoordelijke.
11.5 Tenzij nakoming door Verwerker blijvend onmogelijk is, ontstaat de aansprakelijkheid van Verwerker wegens toerekenbare tekortkoming in de nakoming van de Overeenkomst slechts indien Verantwoordelijke de Verwerker onverwijld schriftelijk in gebreke stelt, waarbij een redelijke termijn voor de zuivering van de tekortkoming wordt gesteld, en Verwerker ook na die termijn toerekenbaar blijft tekortschieten in de nakoming van haar verplichtingen. De ingebrekestelling dient een zo volledig en gedetailleerd mogelijke omschrijving van de tekortkoming te bevatten, opdat Verwerker in de gelegenheid wordt gesteld adequaat te reageren.
11.6 Iedere vordering tot schadevergoeding door Verantwoordelijke tegen Verwerker die niet gespecificeerd en expliciet is gemeld, vervalt door het enkele verloop van twaalf (12) maanden na het ontstaan van de vordering.
Artikel 12. Duur en beëindiging
12.1 Deze Verwerkersovereenkomst komt tot stand wanneer de Hoofdovereenkomst dat doet.
12.2 Deze Verwerkersovereenkomst is aangegaan voor dezelfde termijn als de Hoofdovereenkomst en kan niet eerder worden opgezegd of ontbonden dan wanneer de Hoofdovereenkomst wordt opgezegd of ontbonden. Beëindiging van de Hoofdovereenkomst doet deze Verwerkersovereenkomst op hetzelfde moment eindigen.
12.3 Na beëindiging, ontbinding of opzegging van deze Verwerkersovereenkomst zal Verwerker een kopie van alle door Verantwoordelijke opgeslagen data verschaffen aan Verantwoordelijke op een nader te bepalen wijze in een gebruikelijk technisch formaat.
12.4 Voorts zal Verwerker, op het uitdrukkelijke verzoek van Verantwoordelijke, de door Verantwoordelijke opgeslagen persoonsgegevens binnen een redelijke termijn verwijderen of vernietigen.
12.5 Partijen mogen deze Verwerkersovereenkomst alleen wijzigen met wederzijdse instemming.
12.6 Partijen zullen elkaar de volledige medewerking verlenen deze Verwerkersovereenkomst aan te passen en geschikt te maken voor eventuele nieuwe privacywetgeving.
Artikel 13. Toepasselijk recht en geschillenbeslechting
13.1 De Verwerkersovereenkomst en de uitvoering daarvan worden beheerst door Nederlands recht.
13.2 Alle geschillen, welke tussen Partijen mochten ontstaan in verband met de Verwerkersovereenkomst, zullen worden voorgelegd aan de bevoegde rechter voor het arrondissement waarin Verwerker gevestigd is.
BIJLAGE 1: Beveiligingsmaatregelen
Verwerker heeft de volgende beveiligingsmaatregelen genomen:
- Opslag in twee (2) redundante datacentra:
o Geografisch gescheiden Equinix Enschede, Previder Hengelo (Nederlands rechtsgebied);
o Beide datacentra zijn ISO 27001 gecertificeerd;
o 24*7 bewaking;
o Toegangscontrole datacentra;
o Redundante stroomvoorziening;
o Gespiegelde dataopslag;
o Hard- en software redundant uitgevoerd.
- Geheimhoudingsplicht medewerkers
- Systemen en opslag zijn redundant uitgevoerd in twee verschillende datacentra
- Redundante netwerkkoppeling
- OTAP inrichting (Ontwikkeling, Test, Acceptatie en Productie)
- SSL certificaten
- Versleuteld datatransport
- Next Generation Redundante firewalls
- Twee-staps-authenticatie Storec Mobiel
- Logging datatoegang