Verwerkersovereenkomst.

Verwerkersovereenkomst.

De ondergetekenden.

1. «Account Naam», gevestigd te en kantoorhoudende te «straatnaam + huisnummer, postcode, plaats» ten deze rechtsgeldig vertegenwoordigd door «Initialen en achternaam», in de functie van «functienaam», hierna te noemen: “«Account Naam»” of “ Verwerkingsverantwoordelijke” en,

2. DM Productions B.V, gevestigd en kantoorhoudende te Hoofddorp, ten deze rechtsgeldig vertegen- woordigd door xxxxxxx X. Xxxxxx-Xxxxxxxx, in de functie van directeur, hierna te noemen: “MyParcel” of “Verwerker”; en hierna gezamenlijk te noemen: “Partijen”

Overwegende dat.

a. «Account Naam» een overeenkomst met MyParcel heeft gesloten ter zake van ‘vervoer van goederen’ (hierna: “Dienst”);

b. Partijen voorzien dat in het kader van de uitvoering van de overeenkomst door XxXxxxxx persoonsge- gevens in de zin van artikel 4 lid 1 Verordening (EU) 2016/679 van het Europese Parlement en de Raad (hierna: “Algemene verordening gegevensbescher- ming” of “AVG”), als nader omschreven in Bijlage 1 (hierna: “Persoonsgegevens”), zullen worden ver- werkt zonder aan het rechtstreeks gezag van «Ac- count Naam» te zijn onderworpen;

c. MyParcel ten aanzien van het digitale deel van de Dienst (bijvoorbeeld de back office-omgeving, de

eventuele voormelding, digitale sortering, de Track & Trace-functionaliteit etc.) als Verwerkingsverantwoor- delijke kwalificeert in de zin van artikel 4 lid 7 van de AVG;

d. «Account Naam» ten aanzien van het fysieke deel van de Dienst (het verzamelen, sorteren en bezor- gen) het doel en de middelen van de persoonsgege- vensverwerking bepaalt en daarom gekwalificeerd dient te worden als Verwerkingsverantwoordelijke in de zin van artikel 4 lid 7 van de AVG;

e. MyParcel, met inachtneming van het gestelde onder overweging C en D, ten behoeve van de Verwer- kingsverantwoordelijke krachtens de Overeenkomst Persoonsgegevens verwerkt voor wat betreft het fysieke deel van de Dienst, op grond waarvan MyPar- cel gekwalificeerd dient te worden als Verwerker in de zin van artikel 4 lid 8 AVG;

f. «Account Naam» als Verwerkingsverantwoordelijke op grond van artikel 28 lid 3 AVG verplicht is een Verwerkersovereenkomst aan te gaan met Verwerker en Partijen derhalve de voorwaarden alsmede de wederzijdse rechten en verplichtingen inzake de ver- werking van de Persoonsgegevens door Verwerker schriftelijk willen vastleggen door middel van deze Verwerkersovereenkomst (hierna: “Verwerkersover- eenkomst”);

g. Deze Verwerkersovereenkomst geldt voor alle ver- werkingen van Persoonsgegevens in de uitvoering van en gedurende de looptijd van de Overeenkomst.

Verklaren als volgt te zijn overeengekomen.

1. Definities

1.1 Betrokkene is degene op wie een Persoons- gegeven betrekking heeft.

1.2 Bijzondere gegevens zijn Persoonsgegevens als bedoeld in artikel 9 lid 1 AVG.

1.3 Datalek is een inbreuk op de beveiliging die leidt tot de vernietiging, het verlies, de wijzi- ging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens.

1.4 Dienst is de onder de Overeenkomst te leveren dienst van de Verwerker.

1.5 Persoonsgegeven is elk gegeven betreffende een geïdentificeerde of identificeerbare natuur- lijke persoon, die op welke wijze dan ook door Verwerker verwerkt wordt of zal worden in het kader van de Overeenkomst.

1.6 Subverwerker is een partij die in opdracht van Verwerker Persoonsgegevens verwerkt.

1.7 Verwerkersovereenkomst is de onderhavige overeenkomst.

1.8 Verwerking is elke handeling of geheel van handelingen met betrekking tot Persoons- gegevens.

2. Gegevensverwerking

2.1 Verwerker verbindt zich onder de voorwaarden van deze Verwerkersovereenkomst om in opdracht van Verwerkingsverantwoordelijke Persoonsgegevens te verwerken. Verwerker zal de Persoonsgegevens verwerken op behoorlijke en zorgvuldige wijze en in overeenstemming met de AVG en andere toepasselijke wet- en regelgeving en/of gedragscodes betreffende de verwerking van Persoonsgegevens.

2.2 Verwerkingsverantwoordelijke garandeert dat de Persoonsgegevens die hij aan Verwerker verschaft, voldoen aan alle toepasselijke wet- en regelgeving op het gebied van bescherming van persoonsgegevens en dat deze wet- en regelgeving toestaat dat de Persoonsgegevens aan Verwerker worden verschaft en dat de Persoonsgegevens door Verwerker worden verwerkt.

2.3 Verwerker verwerkt de Persoonsgegevens op behoorlijke en zorgvuldige wijze en uitsluitend voor zover noodzakelijk om de Dienst aan de Verwerkingsverantwoordelijke te leveren.

De categorieën Persoonsgegevens die aan Verwerker worden verstrekt en voor de uitvoe- ring van de Dienst verwerkt mogen worden zijn omschreven in Bijlage 1.

2.4 Verwerker zal de Persoonsgegevens uitsluitend verwerken in opdracht en volgens de instructies van Verwerkingsverantwoordelijke. Verwerker

4. Beveiliging en meldplicht datalekken

zal de Persoonsgegevens niet voor eigen of andere doeleinden verwerken, behoudens op hem rustende dwingendrechtelijke verplichtin- gen.

2.5 Verwerker zal Persoonsgegevens die haar in het kader van de Overeenkomst ter beschik- king zijn gesteld niet langer bewaren dan noodzakelijk is (i) voor de uitvoering van deze Overeenkomst; of (ii) om een op hem rustende wettelijke verplichting na te komen.

3. Geheimhouding

3.1 Verwerker is, behoudens andersluidend wette- lijk voorschrift en/of een rechterlijk bevel, ver- plicht de Persoonsgegevens als vertrouwelijk te behandelen en strikt geheim te houden.

3.2 Verwerker zal ervoor zorgen dat diegenen die handelen onder zijn gezag dan wel in zijn op- dracht (medewerkers en eventuele derde(n)) die noodzakelijkerwijs van de Persoonsgegevens kennis dienen te nemen, zich houden aan de in dit artikel opgenomen geheimhoudingsverplich- ting. Verwerker bewerkstelligt dat voor ieder

die betrokken is bij de verwerking van deze persoonsgegevens een geheimhoudingsover- eenkomst of -beding is gesloten.

3.3 Verwerker zal Verwerkingsverantwoordelijke onverwijld op de hoogte stellen van ieder ver- zoek tot kennisneming, verstrekking of andere vorm van opvragen en mededeling van de Persoonsgegevens die in strijd zijn met de in dit artikel opgenomen geheimhoudingsplicht.

4.1 Verwerker draagt er zorg voor passende tech- nische en organisatorische maatregelen te heb- ben genomen, in stand te houden en, indien nodig, aan te passen om de Persoonsgegevens te beveiligen tegen verlies, vervalsing, onrecht- matige verspreiding of toegang, dan wel enige andere vorm van onrechtmatige verwerking.

In Bijlage 2 zijn de beveiligingsmaatregelen beschreven die de Verwerker ten tijde van het afsluiten van deze Verwerkingsovereenkomst in ieder geval heeft genomen.

4.2 Verwerker draagt er zorg voor dat zijn (eigen of ingehuurde) medewerkers die betrokken zijn bij de verwerking van de Persoonsgegevens, de in deze Verwerkersovereenkomst opgenomen verplichtingen van Verwerker kennen en nako- men.

4.3 In het geval van een vermoedelijk(e) of daad- werkelijk(e) (i) Datalek; (ii) schending van beveiligingsmaatregelen; (iii)schending van de geheimhoudingsplicht of (iv) verlies van persoonsgegevens zal Verwerker de Verwerkingsverantwoordelijke direct, doch uiterlijk binnen 36 uur na de eerste ontdekking van het incident, informeren conform de vereisten neergelegd in Bijlage 3.

Verwerker zal alle redelijkerwijs benodigde maatregelen treffen om (verdere) onbevoegde kennisneming, wijziging, en verstrekking dan wel anderszins onrechtmatige verwerking te voorkomen of te beperken en een schending van beveiligingsmaatregelen, schending van

de geheimhoudingsplicht of verder verlies van persoonsgegevens te beëindigen en in de toe- komst te voorkomen, onverminderd enig recht van Verwerkingsverantwoordelijke op schade- vergoeding of andere maatregelen.

4.4 Verwerker zal op verzoek van Verwerkingsver- antwoordelijke meewerken aan het informeren van de bevoegde autoriteiten en Betrokkene(n).

4.5 Verwerker maakt afspraken met Subverwerkers over het melden van incidenten aan Verwerker, die de Verwerker en Verwerkingsverantwoorde- lijke in staat stellen verplichtingen in het geval van een incident zoals beschreven in artikel 4 lid 3 na te komen.

5. Inschakeling Subverwerkers

5.1 Verwerkingsverantwoordelijke verleent toe- stemming aan Verwerker om voor de verwer- king van de Persoonsgegevens Subverwerkers in te schakelen die in Bijlage 4 zijn opgenomen. Indien beoogd wordt nieuwe Subverwerkers in te schakelen of als er wijzigingen kunnen gaan optreden dient Verwerker de Verwerkingsver- antwoordelijke hierover voorafgaand te infor- meren en in staat te stellen bezwaar te maken tegen de veranderingen.

5.2 Verwerker draagt er zorg voor dat de betreffen- de Subverwerker tenminste dezelfde verplich- tingen op zich neemt als opgenomen voor de Verwerker in deze Verwerkersovereenkomst.

5.3 Verwerker blijft in de verhouding tussen partijen altijd aanspreekpunt voor de Verwerkings-

verantwoordelijke. De door Verwerkingsverant- woordelijke gegeven toestemming laat onverlet de verantwoordelijkheid en aansprakelijkheid van de Verwerker voor de nakoming van de Verwerkingsovereenkomst.

6. Verwerkingen buiten de Europese Economische Ruimte

Verwerker zal slechts Persoonsgegevens door- geven naar of toegankelijk maken vanuit een land buiten de Europese Economische Ruimte, wanneer zij daarvoor passende waarborgen heeft getroffen. Bijlage 5 bevat een overzicht van verwerkingen buiten de EER en de getroffen waarborgen.

7. Rechten van betrokkenen

7.1 Verwerker verleent Verwerkingsverantwoor- delijke, rekening houdend met de aard van de verwerking en voorzover mogelijk, bijstand om binnen de wettelijke termijnen te voldoen aan de verplichtingen op grond van de AVG of andere toepasselijke regelgeving, meer in het bijzonder de rechten van betrokkenen, waaronder maar niet uitsluitend: het recht van inzage, het recht op rectificatie, het recht op gegevenswissing, het recht op beperking, het

recht op overdraagbaarheid van gegevens, het recht van bezwaar. De daarbij gepaard gaande redelijke kosten komen voor rekening van de Verwerker.

7.2 Verwerker zal Verwerkingsverantwoordelijke onverwijld in kennis stellen van de door be- trokkenen gedane schriftelijke verzoeken aan Verwerker en de Verwerkingsverantwoordelijke vragen om verdere instructies hieromtrent.

8. Ondersteuning uitvoer gegevensbeschermings- effectbeoordeling en voorafgaande raadpleging Rekening houdend met de aard van de verwerking en de bij de Verwerker beschikbare informatie, ver- leent de Verwerker de Verwerkingsverantwoorde- lijke bijstand bij het nakomen van de verplichtingen uit hoofde van artikel 35 AVG (uitvoer gegevens- beschermingseffectbeoordeling) en artikel 36 AVG (voorafgaande raadpleging).

9. Overdracht en vernietiging gegevens

9.1 Verwerker zal ervoor zorgdragen dat, in over- leg met Verwerkingsverantwoordelijke (i) alle of een door de Verwerkingsverantwoordelijke bepaald gedeelte, in het kader van de Dienst ter beschikking gestelde Persoonsgegevens, worden vernietigd op alle locaties, (ii) alle of een door de Verwerkingsverantwoordelijke bepaald gedeelte, in het kader van de Dienst ter beschikking gestelde Persoonsgegevens, aan een opvolgend Dienstverlener ter beschik- king worden gesteld, dan wel (iii) Verwerkings- verantwoordelijke in de gelegenheid wordt gesteld om Persoonsgegevens of een door de

Verwerkingsverantwoordelijke bepaald gedeel- te, in het kader van de Dienst ter beschikking gestelde Persoonsgegevens aan de Dienst te onttrekken.

9.2 Verwerker is te allen tijde verplicht om op verzoek van de Verwerkingsverantwoordelijke binnen een redelijke termijn alle afschriften en kopieën van de van Verwerkingsverantwoor- delijke affomstige en/of in het kader van de Overeenkomst vervaardigde informatie met betrekking tot Verwerkingsverantwoordelijke te vernietigen.

9.3 Verwerker kan afwijken van het in voorgaande leden bepaalde, voor zover ten aanzien van de Persoonsgegevens een wettelijke (bewaar)ter- mijn zou gelden of voor zover dat noodzakelijk is om tegenover Verwerkingsverantwoordelijke nakoming van zijn verbintenissen te kunnen bewijzen.

10. Controlerecht

10.1 Verwerkingsverantwoordelijke heeft het recht de naleving van de bepalingen van deze Verwerkingsovereenkomst door de Verwerker één keer per kalenderjaar te (laten) controleren na voorafgaande schriftelijke aankondiging

en met inachtneming van een termijn van tien werkdagen.

10.2 Op verzoek van Verwerkingsverantwoordelijke stelt Verwerker alle informatie beschikbaar die redelijkerwijs nodig is om de nakoming van

de in deze Verwerkersovereenkomst gestelde verplichtingen aan te tonen en zal medewer- king verlenen om audits mogelijk te maken.

Deze audit wordt uitgevoerd door een door de Verwerkingsverantwoordelijke aangewezen onafhankelijke derde die gebonden is aan een geheimhoudingsplicht.

10.3 Verwerker kan, na afstemming met Verwer- kingsverantwoordelijke, ervoor kiezen de audit te vervangen door een Third Party Verklaring.

10.4 Verwerkingsverantwoordelijke draagt de kosten van de audit met uitzondering van de kosten van medewerkers van Verwerker die de audit begeleiden. Indien uit de audit blijkt dat Xxxxxxxxx ernstig en materieel tekort is geschoten in de nakoming van deze Verwer- kersovereenkomst, komen de redelijke kosten van de audit voor rekening van Xxxxxxxxx.

10.5 Verwerker is bekend met de zelfstandige controlebevoegdheden van de Autoriteit Persoonsgegevens en eventuele andere toezichthouders onder wiens toezicht Ver- werkingsverantwoordelijke valt en zal deze toezichthouders in voorkomende gevallen toegang geven en medewerking verlenen aan een onderzoek met betrekking tot de op grond van de Overeenkomst verwerkte Per- soonsgegevens. Wanneer de Verwerker een dergelijk verzoek van de Autoriteit Persoons- gegevens ontvangt, informeert zij de Verwer- kingsverantwoordelijke onverwijld.

11. Aansprakelijkheid

Voor eventuele schade die het gevolg is van een toerekenbaar tekortschieten in de nakoming van de verplichtingen voortvloeiende uit deze Verwerker- sovereenkomst, dan wel handelen in strijd met de wet- en regelgeving door de Verwerker, is Verwer- ker aansprakelijk conform hetgeen tussen partijen is overeengekomen in de Overeenkomst.

12. Intellectuele) Eigendomsrechten op de Persoonsgegevens

Alle (intellectuele) eigendomsrechten – daaronder begrepen enige auteursrechten en databankrech- ten – op (het bestand c.q. de bestanden van) de

Persoonsgegevens blijven te allen tijde berusten bij Verwerkingsverantwoordelijke of haar licentiege- ver(s).

13. Duur, beëindiging en wijziging

13.1 Deze Verwerkersovereenkomst is een aanvul- ling op de Overeenkomst en heeft dezelfde looptijd als de Overeenkomst en eindigt zodra de Overeenkomst eindigt.

13.2 De beëindiging van deze Verwerkersovereen- komst zal partijen niet ontslaan van hun ver- plichtingen die voortvloeien uit deze Verwer- kersovereenkomst die naar hun aard worden geacht ook na beëindiging voor te duren.

13.3 Wijzigingen van deze Verwerkersovereen- komst zijn uitsluitend geldig indien deze tussen Partijen schriftelijk zijn overeengekomen.

14. Slotbepalingen

14.1 Tenzij in de Overeenkomst anders is bepaald, is op deze Verwerkersovereenkomst Nederlands recht van toepassing.

14.2 Alle geschillen voortvloeiend of verband houdend met deze Verwerkersovereenkomst zullen uitsluitend worden voorgelegd aan de bevoegde rechter zoals opgenomen in de Overeenkomst.

Aldus overeengekomen en getekend in tweevoud:

Namens Verwerkingsverantwoordelijke:

Naam: Xxxxxxx X. Xxxxxx - Xxxxxxxx

Functie: Directeur

Datum: 2-5-2018

Plaats: Hoofddorp

Handtekening

Namens Verwerker:

Naam: Functie: Datum: Plaats:

Handtekening

Categorieën persoonsgegevens

NAW-gegevens

Categorieën betrokkenen

Klanten MyParcel Geadresseerden

(Elektronische) Contactgegevens

Klanten MyParcel Geadresseerden

Bankrekeningnummer

Klanten MyParcel

Telefoonnummer

Klanten MyParcel Geadresseerden

Overzicht van de categorieën van te verwerken persoonsgegevens

Afhankelijk van de door de Verwerkingsverantwoordelijke gekozen producten en/of diensten worden de volgende categorieën persoonsgegevens verwerkt.

MyParcel verwerkt de volgende categorieën persoonsgegevens:

Verwerking

Doeleinde

Administratie

Bijhouden klantadministratie

Verzamelen verzendinformatie

Creëren van labels van vervoerders

Overdracht

Naar vervoerder voor het versturen van de pakketten

Welke verwerkingen vinden er plaats en wat is de aard en het doel van deze verwerking?

De Verwerker zal voldoende c.q. toereikende technische en organisatorische normen en maatregelen in acht nemen ten aanzien van de voor Verwerkingsverantwoor- delijke te verwerken gegevens waarbij onder genoemde maatregelen afhankelijk kunnen zijn van de door Verwer- kingsverantwoordelijke gekozen producten/diensten.

Fysieke maatregelen:

• Terreinafscheiding

• Afsluitbare gevelopeningen

• Afsluitbare ruimtes in het gebouw

• Buitenverlichting

• Raambekleding

ICT maatregelen:

• Gebruik van encryptie en beveiligingscertificaten

• Toepassen van wachtwoordbeleid

• Backup & restore procedures

• Inzet van firewall

• Inzet van middelen voor werkplekbeheer

• Actieve monitoring en operationeel beheer van omgeving

• Periodieke security checking

Organisatorische maatregelen:

• Handboek Beveiliging

• Bezoekersprocedure

• Gesloten buitengevel tijdens het proces

• Instructieprocessen/kaarten

• Geheimhoudingsverklaringen

Elektronische maatregelen:

• Toegangsverleningssysteem personen

• Toegangsverleningssysteem voertuigen tot terrein

• Inbraaksignaleringssysteem

• Meeneem-/sabotage beperkende maatregelen

• CCTV(camera) toezicht

Xx Xxxxxxxxx neemt contact op met «Voornaam», «Achternaam» via: E-mailadres: «e-mailadres»

Telefoonnummer: «mobiele nummer»

Gelieve ten minste de volgende informatie te verstrekken:

Wat is de (vermeende) oorzaak van de inbreuk?

Wat het (vooralsnog bekende en/of te verwachten) gevolg is? Wat de (voorgestelde) oplossing is?

Wat de contactgegevens zijn voor de opvolging van de melding?

Wat is het aantal personen waarvan gegevens betrokken zijn bij de inbreuk (indien geen exact aantal bekend is: het minimale en het maximale aantal personen waarvan gegevens betrokken zijn bij de inbreuk)?

Omschrijf de groep van personen van wie gegevens betrokken zijn bij de inbreuk. Welke soort of soorten persoonsgegevens zijn betrokken bij de inbreuk?

Wat is de datum waarop de inbreuk heeft plaatsgevonden?

In welke periode heeft de inbreuk plaatsgevonden (indien geen exacte datum bekend is)?

Wat is de datum en het tijdstip waarop de inbreuk bekend is geworden bij de verwerker of de door hem ingeschakelde derde of onderaannemer?

Zijn de gegevens versleuteld, gehasht of op een andere manier onbegrijpelijk of ontoegankelijk gemaakt voor onbevoegden?

Wat zijn de reeds ondernomen maatregelen om de inbreuk te beëindigen en om de gevolgen van de inbreuk te beperken?

Overzicht van Subverwerkers

De Verwerker vult onderstaand schema in om aan te geven met welke categorieën Subverwerkers wordt samengewerkt:

Categorieën Subverwerker

Rol binnen de verwerking

Subcontractors

Ondersteunen bij het logistieke proces

Retailers

Ondersteunen bij het collectie en bezorgproces

Netwerkpartners

Ondersteunen bij het buitenlandse logistieke proces

Buitenlandse Postale Partijen

Ondersteunen bij het buitenlandse logistieke proces

Overzicht doorgiften buiten de Europese Economische Ruimte

Hieronder geeft de Verwerker een overzicht van de door- giften buiten de Europese Economische Ruimte. Hierbij wordt aangegeven welk derde land het betreft, voor welk doel de doorgifte plaatsvindt en welke passende waar- borgen er op basis van artikel 46 AVG zijn getroffen.

Derde land

Doel doorgifte

Passende waarborgen

Afhankelijk van het door Verwerkings- Vervoer van zendingen verantwoordelijke gekozen product en

bestemming zoals opgenomen in de Overeenkomst

Universal Postal Union/contracten met netwerkpartners