Voorwaarden Verwerking persoonsgegevens (Bewerkersovereenkomst)

Voorwaarden Verwerking persoonsgegevens (Bewerkersovereenkomst)

Indien een onderneming die behoort tot de groep van De Meerlanden Holding N.V. (de betreffende onderneming en De Meerlanden Holding N.V. hierna gezamenlijk en afzonderlijke ook te noemen: “Meerlanden” of “Verantwoordelijke”) persoonsgegevens toegankelijk maakt voor een partij dan wel ter beschikking stelt aan een partij dan wel doet verwerken door een partij, stemt deze partij in met en verplicht zich jegens Meerlanden tot naleving van de voorwaarden zoals opgenomen in deze Bewerkersovereenkomst.

Overwegende:

(a) Meerlanden heeft aan een partij een opdracht verstrekt danwel met partij een overeenkomst gesloten (hierna respectievelijk te noemen: “Overeenkomst”) in het kader waarvan gegevens door of vanwege Meerlanden (in kopie) ter beschikking worden gesteld aan die partij (hierna te noemen: “Bewerker”);

(b) De betreffende gegevens zijn geheel of gedeeltelijk persoonsgegevens i.d.z.v. van artikel 1 sub (a) van de Wet bescherming persoonsgegevens (Wbp);

(c) Meerlanden wenst voorwaarden te verbinden aan de Verwerking van de persoonsgegevens door de Bewerker en legt deze hierbij vast;

(d) Deze overwegingen en de onderstaande voorwaarden zijn een bewerkersovereenkomst i.d.z.v. artikel 14 lid 2 Wbp;

Voorwaarden

1. Begrippen

De hierna en hiervoor in dit document vermelde, met een hoofdletter geschreven begrippen, hebben de volgende betekenis:

• Bewerker: opdrachtnemer of leverancier van Meerlanden;

• Bewerkersovereenkomst: dit document inclusief overwegingen en voorwaarden;

• Betrokkene: degene op wie een Persoonsgegeven betrekking heeft;

• Beveiligingsmaatregelen: passende technische en organisatorische maatregelen

i.d.z.v. artikel 13 Wbp om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking.

• Datalek: een inbreuk op de beveiliging (zoals bedoeld in artikel 34a, lid 1, Wbp) waarbij persoonsgegevens zijn blootgesteld aan verlies of onrechtmatige verwerking; dus blootgesteld aan datgene waartegen Beveiligingsmaatregelen bescherming moesten bieden.

• Diensten: de door Bewerker ten behoeve van Meerlanden uit te voeren werkzaamheden of te leveren goederen.

• Meerlanden: De Meerlanden Holding N.V. danwel een groepsonderneming daarvan;

• Overeenkomst: een of meerdere overeenkomsten gesloten tussen Meerlanden en Bewerker inzake Diensten;

• Partij: Verantwoordelijke of Bewerker

• Persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon;

• Verwerking: elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen, of vernietigen van gegevens (vgl. artikel 1 Wbp);

• Verantwoordelijke: De Meerlanden Holding N.V. danwel een groepsonderneming daarvan;

2. Totstandkoming, duur en einde van de Bewerkersovereenkomst

2.1 Deze Bewerkersovereenkomst wordt geacht in werking te zijn getreden op het moment van aanvang van de Diensten danwel zoveel eerder dat Persoonsgegevens door of vanwege Meerlanden ter beschikking zijn gesteld aan de Bewerker.

2.2 Deze Bewerkersovereenkomst wordt aangegaan voor tenminste de periode waarvoor de Overeenkomst is aangegaan verlengd met een periode van 3 maanden doch met een minimum contractduur van 6 maanden vanaf in werking treding van de Bewerkersovereenkomst.

2.3 Deze overeenkomst eindigt niet van rechtswege.

2.4 Een Partij heeft na ommekomst van een contractduur van 6 maanden van deze Bewerkersovereenkomst het recht deze overeenkomst te beëindigen middels schriftelijke opzegging jegens de weder Partij indien en voor zover gedurende een periode van tenminste drie maanden (a) geen Overeenkomst vigeert, (b) geen Diensten zijn verricht en (c) geen Verwerking van Persoonsgegevens – zoals ter beschikking gesteld door of vanwege Meerlanden – heeft plaatsgevonden. Bij opzegging wordt door de opzeggende Partij een opzegtermijn van tenminste 1 maand in acht genomen.

2.5 Beëindiging van deze Bewerkersovereenkomst is niet mogelijk anders dan zoals voorzien in lid 4 danwel op grond van de wet.

3. Verwerking Persoonsgegevens

3.1 Bewerker verwerkt in opdracht van de Verantwoordelijke in verband met de uitvoering van de Diensten Persoonsgegevens zoals bedoeld in de Wet bescherming persoonsgegeven.

3.2 Bewerker zal de Persoonsgegevens op behoorlijke en zorgvuldige wijze en in overeenstemming met de Wbp en andere toepasselijke regelgeving betreffende de verwerking van Persoonsgegevens verwerken. De Verwerking is in ieder geval beperkt tot hetgeen noodzakelijk is voor de goede uitvoering van de Overeenkomst en van de Bewerkersovereenkomst. Onderdeel van de opdracht en/of instructies aan de Bewerker en/of de Overeenkomst met de Bewerker, zijn een omschrijving van de doeleinden van de gegevensverwerking, het soort persoonsgegevens dat wordt verwerkt en de categorieën van betrokkenen op wie de persoonsgegevens zien. Deze omschrijving maakt deel uit van deze Bewerkersovereenkomst.

3.3 Bewerker verwerkt Persoonsgegevens slechts in opdracht van Verantwoordelijke en volgt alle instructies van Verantwoordelijke dienaangaande op, behoudens dwingrechtelijke afwijkende wettelijke verplichtingen.

3.4 Bewerker heeft geen zeggenschap over het doel en de middelen voor de Verwerking van Persoonsgegevens. Voor zover niet anders is bepaald in deze Bewerkersovereenkomst, neemt Xxxxxxxx geen beslissingen over het gebruik van de gegevens, de verstrekking aan derden en de duur van de opslag van gegevens. De zeggenschap over de Persoonsgegevens door of vanwege Meerlanden verstrekt, berust bij de Verantwoordelijke en komt nimmer bij Bewerker te berusten.

3.5 Bewerker schakelt geen derden in zonder voorafgaande schriftelijke toestemming van Verantwoordelijke.

3.6 Indien Bewerker een derde inschakelt, verzekert Bewerker in ieder geval dat de derde zich richt naar de instructies van Verantwoordelijke, tot geheimhouding verplicht is en de nodige Beveiligingsmaatregelen ten opzichte van de gegevensverwerking neemt. Alle

verplichtingen uit deze Bewerkersovereenkomst voor de bescherming en beveiliging van de persoonsgegevens worden overgenomen in de overeenkomst met de derde en tevens bedongen als derdenbeding t.b.v. de Verantwoordelijke.

3.7 Het is Bewerker niet toegestaan Persoonsgegevens aan anderen dan Verantwoordelijke te verstrekken, tenzij op schriftelijk verzoek van Verantwoordelijke, of met diens schriftelijke toestemming. Bewerker is verplicht schriftelijk te bevestigen dat een verstrekking heeft plaatsgevonden, waarbij hij exact de verstrekte Persoonsgegevens, de Betrokkene(n), de ontvanger(s) en het moment van verstrekking dient te beschrijven.

3.8 Indien Bewerker op grond van een wettelijke verplichting gegevens dient te verstrekken, verifieert Bewerker de grondslag van het verzoek en de identiteit van de verzoeker en informeert hij onmiddellijk, zo mogelijk voorafgaand aan de verstrekking, Verantwoordelijke ter zake, tenzij dit Bewerker wettelijk of anderszins op basis van een gerechtelijk bevel niet is toegestaan.

3.9 Bewerker verleent Verantwoordelijke volledige medewerking om binnen de wettelijke termijnen te voldoen aan de verplichtingen op grond van de Wbp, meer in het bijzonder de rechten van Betrokkenen, zoals, maar niet beperkt tot, een verzoek om inzage, verbetering, aanvulling, verwijdering of afscherming van Persoonsgegevens en het uitvoeren van een gehonoreerd aangetekend verzet. Tevens verleent Xxxxxxxx volledige medewerking aan het adequaat informeren van de betrokkenen in het kader van de Meldplicht Datalekken.

3.10 Indien Bewerker (pogingen tot) onrechtmatige of anderszins ongeautoriseerde verwerkingen of inbreuken op de beveiligingsmaatregelen van de Persoonsgegevens signaleert, zal hij Verantwoordelijke hierover onmiddellijk inlichten en, indien en voor zover dit aan Bewerker is toe te rekenen of voor zijn risico komt, op eigen kosten alle redelijkerwijs benodigde maatregelen treffen om (verdere) schending van de Wbp of andere regelgeving betreffende de verwerking van de Persoonsgegevens, te voorkomen of te beperken.

4.Teruggave persoonsgegevens

4.1 In aanvulling op de geheimhoudingsverplichting van Xxxxxxxx retourneert Bewerker naafloop van de Overeenkomst en de Bewerkersovereenkomst alle Persoonsgegevens, kopieën en bewerkingen daarvan ─ kopieën of bewerkingen daarvan zijn of zullen worden vastgelegd ─ onmiddellijk op eerste verzoek van Verantwoordelijke c.q. verstrekt deze aan Verantwoordelijke (of een door Verantwoordelijke aan te wijzen derde), dan wel vernietigt Bewerker deze Persoonsgegevens, een en ander naar keuze van Verantwoordelijke.

4.2 Op verzoek van Verantwoordelijke zal Bewerker op het moment dat deze Bewerkersovereenkomst eindigt, de nodige medewerking verlenen ter zake van de overdracht van de werkzaamheden inzake de verwerking van de Persoonsgegevens aan Verantwoordelijke of een opvolgende Bewerker op zodanige wijze dat de continuïteit van de dienstverlening zo veel mogelijk gewaarborgd blijft.

4.3 Na afloop van de Overeenkomst en deze Bewerkersovereenkomst blijft dit artikel 4 van kracht.

5. Intellectuele eigendomsrechten

Alle (intellectuele) eigendomsrechten daaronder begrepen auteursrechten en databankenrechten op de verzameling van Persoonsgegevens, kopieën of bewerkingen daarvan, berusten te allen tijde bij Verantwoordelijke of haar licentiegever(s). Na afloop van de Overeenkomst en deze Bewerkersovereenkomst blijft dit artikel 5 van kracht.

6. Beveiliging

6.1 Bewerker neemt, met inachtneming van het bepaalde in de Wet bescherming Persoonsgegevens, alle passende technische en organisatorische beveiligingsmaatregelen om Persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige Verwerking.

6.2 Bewerker verwerkt geen Persoonsgegevens buiten een land van de Europese Unie, tenzij hij daarvoor uitdrukkelijk schriftelijk toestemming heeft verkregen van Verantwoordelijke.

7. Geheimhouding

7.1 Bewerker is gehouden tot geheimhouding van alle Persoonsgegevens en informatie die zij als uitvloeisel van deze Bewerkersovereenkomst of de Overeenkomst verwerkt.

7.2 Indien en voor zover Verantwoordelijke daarom uitdrukkelijk schriftelijk verzoekt, zal Xxxxxxxx ten aanzien van de daarbij aangeduide gegevens of informatie bijzondere maatregelen treffen met het oog op de geheimhouding daarvan, welke maatregelen onder meer kunnen inhouden de vernietiging van betrokken gegevens of informatie zodra de noodzaak voor Bewerker om daarvan nog langer kennis te nemen, is komen te vervallen.

7.3 Bewerker zal in haar overeenkomsten met zijn medewerkers en/of door hem ingehuurde personen bedingen dat door die personen op overeenkomstige wijze als in artikel 9.1 en

9.2 bepaald geheimhouding zal worden betracht ten aanzien van alle gegevens en informatie die zij in het kader van hun werkzaamheden voor Bewerker verwerken. Bewerker staat er jegens Verantwoordelijke voor in dat de bedoelde bedingen door de betrokken personen zullen worden nageleefd.

7.4 Na afloop van de Overeenkomst en deze Bewerkersovereenkomst blijft dit artikel 7 van kracht.

8. Meldplicht datalekken

8.1 Wanneer zich een Datalek in verband met Persoonsgegevens vallend onder de verantwoordelijkheid van Verantwoordelijke voordoet bij Bewerker, meldt Xxxxxxxx dit uiterlijk op de tweede werkdag na ontdekking van het incident bij de door Verantwoordelijke aan te wijzen persoon. Hierbij doet Bewerker opgave van de aard van het Datalek, de geconstateerde en vermoedelijke gevolgen van het Datalek voor de verwerking van de persoonsgegevens zoals bedoeld in deze overeenkomst, voor zover deze zijn vast te stellen door Xxxxxxxx alsmede van de maatregelen die Bewerker heeft getroffen om de gevolgen te beperken. Tevens stelt Xxxxxxxx aan Verantwoordelijke maatregelen voor, voor zover vallend onder haar verantwoordelijkheid, die de Verantwoordelijke of Betrokkenen kunnen treffen om deze gevolgen te verhelpen of te beperken.

9. Controle

9.1 Verantwoordelijke kan de Verwerkingen en de naleving van de overeengekomen technische en organisatorische beveiligingsmaatregelen van Bewerker, dan wel die van door Bewerker ingeschakelde derden (laten) controleren. Bewerker verstrekt op verzoek van Verantwoordelijke aan Verantwoordelijke een verklaring van een onafhankelijke externe deskundige, waarin deze een oordeel geeft over de genoemde naleving.

9.2 Bewerker zal alle redelijkerwijs benodigde medewerking verlenen aan de controle en er voor zorg dragen ook de door hem ingeschakelde derden hiertoe de redelijkerwijs benodigde medewerking zullen verlenen.

9.3 Partijen maken ten aanzien van de uitvoering zodanige afspraken dat het uitvoeren van een controle niet zal leiden tot een vertraging van de door Xxxxxxxx in het kader van de Overeenkomst en deze Bewerkersovereenkomst te verlenen Diensten. Indien dat onverhoopt toch het geval is, zullen Partijen in overleg treden teneinde daarvoor zo spoedig mogelijk een oplossing te vinden.

9.4 De met de controle gemoeide kosten zijn voor rekening van Verantwoordelijke, tenzij uit de controle blijkt dat Xxxxxxxx toerekenbaar is tekortgeschoten in de nakoming van zijn verplichting(en) uit deze Bewerkersovereenkomst en/of de Overeenkomst

9.5 Bewerker voert de door Verantwoordelijke aangegeven aanbevelingen ter verbetering uit binnen de alsdan nader overeen te komen termijn.

10. Slotbepalingen.

10.1 Afwijkingen van deze Bewerkersovereenkomst zijn slechts bindend voor zover zij uitdrukkelijk tussen Partijen schriftelijk zijn overeengekomen.

10.2 Deze Bewerkersovereenkomst geldt in aanvulling op dan wel in afwijking van de Overeenkomst en de daarop van toepassing zijnde algemene voorwaarden. In geval van strijdigheid tussen de Bewerkersovereenkomst en de Overeenkomst prevaleert het bepaalde in de Bewerkersovereenkomst.

Deze Bewerkersovereenkomst is van toepassing door het sluiten van de Overeenkomst danwel door het aanvangen van Diensten danwel door het ontvangen van Persoonsgegevens door of vanwege Meerlanden ter beschikking gesteld aan de Bewerker en Bewerker is gehouden de voorwaarden uit deze Bewerkersovereenkomst na te leven.

Onverminderd het bepaalde in de voorgaande zin verklaart Bewerker hierbij, voor zover nog nodig, kennis te hebben genomen van deze Bewerkersovereenkomst en de hierin opgenomen voorwaarden te aanvaarden en na te leven.

Aldus verklaard en getekend:

Bewerker: Naam: Functie: Datum