Verwerkersovereenkomst | Meestermodel
Verwerkersovereenkomst | Meestermodel
Datum: 16 mei 2018
Deze verwerkersovereenkomst maakt integraal en onlosmakelijk onderdeel uit van de afspraken die partijen zijn overeengekomen en de dienstverlening van Meestermodel (de Overeenkomst). Op deze verwerkersovereenkomst zijn derhalve ook de algemene voorwaarden van Meestermodel van toepassing.
De Gebruiker wordt de mogelijkheid gegeven om onderstaande overeenkomst met betrekking tot de verwerking van persoonsgegevens aan te gaan met Meestermodel tijdens het aanmeldproces.
DE PARTIJEN
- Gebruiker, de natuurlijke- of rechtspersoon, handelend in uitoefening van beroep op bedrijf, met wie Meestermodel een Overeenkomst heeft gesloten (Verwerkingsverantwoordelijke),
en
- Meestermodel, statutair gevestigd te Heilig Landstichting en bij de Kamer van Koophandel ingeschreven onder nummer 68178492 (Verwerker),
hierna afzonderlijk te noemen als Partij en gezamenlijk te noemen als Partijen,
IN AANMERKING NEMENDE DAT:
• Verwerker diensten levert op het gebied van software voor de advocatuur;
• Verwerkingsverantwoordelijke gebruik wil maken van de diensten van Verwerker, waarbij Verwerker ten behoeve van Verwerkingsverantwoordelijke bepaalde persoonsgegevens zal verwerken;
• Verwerkersverantwoordelijke wordt aangemerkt als verwerkersverantwoordelijke in de zin van de privacywetgeving, of in voorkomende gevallen als verwerker in de zin van de privacywetgeving, in welk geval de Verwerker de rol van sub-verwerker vervult;
• Partijen, mede gelet op het vereiste uit de privacywetgeving, hun rechten en plichten schriftelijk wensen vast te leggen in deze verwerkersovereenkomst;
• waar in deze verwerkersovereenkomst termen uit de Algemene Verordening Gegevensbescherming (AVG) worden genoemd, hiermee de corresponderende termen uit de AVG worden bedoeld.
ZIJN ALS VOLGT OVEREENGEKOMEN:
Artikel 1. Algemeen
1.1 Verwerker verbindt zich onder de voorwaarden uit deze verwerkersovereenkomst in opdracht van Verwerkersverantwoordelijke persoonsgegevens te verwerken. Verwerking zal uitsluitend plaatsvinden in het kader van de uitvoering van de Overeenkomst, plus die doeleinden die daarmee redelijkerwijs samenhangen of die met nadere instemming worden bepaald, en uitsluitend op basis van instructies van Verwerkingsverantwoordelijke. Verwerkingsverantwoordelijke zal Verwerker schriftelijk op de hoogte stellen van de verwerkingsdoeleinden voor zover deze niet reeds in de Overeenkomst of deze verwerkersovereenkomst zijn genoemd.
1.2 Verwerker zal in het kader van de Overeenkomst alle persoonsgegevens verwerken, die bij het gebruik van de Diensten kunnen worden opgeslagen. Het betreft de volgende soorten persoonsgegevens:
i) NAW-gegevens;
ii) E-mailadres;
iii) Telefoonnummer(s) van de Xxxxxxxxx;
iv) IP-Adres;
v) (Bank)rekeningnummer.
1.3 Verwerker heeft géén zeggenschap over het doel en de middelen voor de verwerking van persoonsgegevens. Verwerker neemt géén zelfstandige beslissingen over ontvangst en gebruik van de persoonsgegevens, de verstrekking aan derden en de duur van de opslag.
Artikel 2. Verdeling van verantwoordelijkheid
2.1 De toegestane verwerkingen zullen onder controle van Verwerker worden uitgevoerd binnen een (semi)geautomatiseerde omgeving.
2.2 Verwerker is louter verantwoordelijk voor de verwerking van de persoonsgegevens onder deze verwerkersovereenkomst, overeenkomstig de schriftelijke instructies van Verwerkersverantwoordelijke en onder uitdrukkelijke (eind) verantwoordelijkheid van Verwerkersverantwoordelijke.
2.3 Voor de overige verwerkingen van persoonsgegevens, waaronder in ieder geval begrepen (maar niet beperkt tot) de verzameling van de persoonsgegevens door de Verwerkersverantwoordelijke, verwerkingen voor doeleinden die niet door Verwerkersverantwoordelijke aan Verwerker zijn gemeld en/of verwerkingen door derden die zijn ingeschakeld door de Verwerkersverantwoordelijke, is Verwerker uitdrukkelijk niet verantwoordelijk. De verantwoordelijkheid voor deze verwerkingen rust bij de Verwerkersverantwoordelijke.
2.4 Verwerkersverantwoordelijke garandeert dat de inhoud, het gebruik en de opdracht tot de verwerkingen van de persoonsgegevens zoals bedoeld in deze verwerkersovereenkomst, niet onrechtmatig zijn en geen inbreuk maken op enig recht van derden, en vrijwaart Verwerker tegen alle aanspraken en claims die hiermee verband houden.
2.5 In het geval dat voor een nieuwe verwerking onder deze verwerkersovereenkomst een gegevensbeschermingseffectbeoordeling of voorafgaande raadpleging van de toezichthouder verplicht is, zal Verwerker, voor zover dat binnen haar macht ligt, hieraan meewerken. Verwerker kan hiervoor redelijke kosten in rekening brengen bij Verwerkersverantwoordelijke.
2.6 Verwerker zal, indien wettelijk verplicht en noodzakelijk, meewerken aan een eventueel onderzoek door de Autoriteit Persoonsgegevens naar een verwerking onder deze verwerkersovereenkomst. Verwerker kan hiervoor redelijke kosten in rekening brengen bij Verwerkersverantwoordelijke.
2.7 De verplichtingen van Verwerker die uit deze verwerkersovereenkomst voortvloeien, gelden ook voor degenen die persoonsgegevens verwerken onder het gezag van Verwerker, waaronder in ieder geval de werknemers van Verwerker worden verstaan.
Artikel 3. Beveiliging
3.1 Verwerker zal zich inspannen om passende technische en organisatorische maatregelen nemen met betrekking tot de te verrichten verwerkingen van persoonsgegevens, tegen verlies of tegen enige vorm van onrechtmatige verwerking (zoals onbevoegde kennisname, aantasting, wijziging of verstrekking van persoonsgegevens). De door Verwerker getroffen maatregelen zijn door Verwerker gepubliceerd op de pagina met de privacyverklaring op de website van Verwerker. Deze maatregelen worden door beide Partijen als passend beschouwd en Partijen zijn het erover eens dat deze een passend beschermingsniveau garanderen.
3.2 Vanwege de aard van het internet en technologie garandeert Verwerker niet dat de beveiligingsmaatregelen onder alle omstandigheden doeltreffend zijn.
Artikel 4. Subverwerkers
4.1 Verwerkersverantwoordelijke geeft Verwerker hierbij toestemming om bij de verwerking van persoonsgegevens op grond van deze verwerkersovereenkomst, gebruik te maken van onderaannemers (sub-verwerkers), met inachtneming van de daarvoor toepasselijke privacywetgeving. Verwerker zal Verwerkersverantwoordelijke op verzoek informeren welke sub-verwerkers hij inschakelt.
4.2 Indien Verwerker het voornemen heeft om nieuwe sub-verwerkers in te schakelen voor het verwerken van persoonsgegevens, dan zal Verwerker Verwerkersverantwoordelijke, indien redelijkerwijs mogelijk, hierover vooraf informeren.
4.3 Verwerker zorgt er in ieder geval voor dat sub-verwerkers schriftelijk vergelijkbare plichten op zich nemen als tussen Verwerkersverantwoordelijke en Verwerker zijn overeengekomen.
Artikel 5. Doorgifte
5.1 Verwerker mag de persoonsgegevens verwerken in landen binnen de Europese Economische Ruimte (EER). Daarnaast mag Verwerker de persoonsgegevens doorgeven naar landen buiten de EER, mits aan de daarvoor geldende wettelijke vereisten is voldaan.
5.2 Verwerker zal Verwerkersverantwoordelijke op diens verzoek melden naar welk land of welke landen de persoonsgegevens worden doorgegeven.
Artikel 6. Audit
6.1 Verwerkersverantwoordelijke heeft het recht om audits te laten uitvoeren door een onafhankelijke deskundige derde die aan geheimhouding is gebonden, ter controle van de naleving van de afspraken uit deze verwerkersovereenkomst en alles wat daarmee direct verband houdt.
6.2 De audit vindt uitsluitend plaats nadat Verwerkersverantwoordelijke de bij Verwerker aanwezige relevante rapportages heeft opgevraagd, beoordeeld en redelijke argumenten aanbrengt die een door Verwerkersverantwoordelijke geïnitieerde audit alsnog rechtvaardigen. Een dergelijke audit wordt gerechtvaardigd wanneer de bij Verwerker aanwezige rapportages geen of onvoldoende uitsluitsel geven over het naleven van deze verwerkersovereenkomst.
6.3 De door Verwerkersverantwoordelijke geïnitieerde audit vindt niet eerder dan vier weken na voorgaande aankondiging en maximaal eens per kalenderjaar plaats.
6.4 Verwerker zal aan de audit meewerken en alle voor de audit redelijkerwijs relevante informatie ter beschikking stellen voor de audit.
6.5 De bevindingen naar aanleiding van de uitgevoerde audit zullen door Partijen in overleg worden beoordeeld. Naar aanleiding daarvan zullen wijzigingen al dan niet worden doorgevoerd door een van de Partijen of door beide Partijen gezamenlijk.
6.6 Alle kosten van de audit, ook de door Verwerker gemaakte kosten, komen voor rekening van Verwerkersverantwoordelijke.
Artikel 7. Meldplicht
7.1 In het geval van een inbreuk in verband met persoonsgegevens, zoals bedoeld in artikel 33 van de AVG, zal Verwerker de Verwerkersverantwoordelijke daarover binnen 48 uur informeren. Verwerker spant zich naar beste kunnen in om ervoor te zorgen dat de verstrekte informatie volledig, correct en accuraat is.
7.2 Indien wet- en/of regelgeving dit vereist zal Verwerker zijn medewerking verlenen aan het informeren van de relevante autoriteiten en/of betrokkenen. Verwerkersverantwoordelijke beoordeelt zelf of hij de toezichthoudende autoriteiten en/of betrokkenen zal informeren of niet. Verwerkingsverantwoordelijke blijft de verantwoordelijke partij voor het voldoen aan eventuele (wettelijke) meldplichten.
7.3 De meldplicht behelst in ieder geval het melden van het feit dat er een lek is geweest, alsmede, voor zover de informatie voorhanden is:
i) wat de (vermeende) oorzaak is van het lek;
ii) contactgegevens voor de opvolging van de melding;
iii) bij benadering: het aantal betrokkenen en registers van persoonsgegevens;
iv) wat is het (vooralsnog bekende en/of te verwachten) gevolg; v) wat is de (voorgestelde) oplossing; en vi) wat de reeds ondernomen maatregelen zijn.
Artikel 8. Verzoeken van betrokkenen
8.1 In het geval dat een betrokkene een verzoek met betrekking tot zijn persoonsgegevens richt aan Verwerker, zal Verwerker dit verzoek doorsturen aan Verwerkingsverantwoordelijke en zal Verwerkingsverantwoordelijke het verzoek verder afhandelen. Indien voor het afhandelen van een dergelijk verzoek de medewerking van Verwerker nodig is, zal Verwerker hier zijn redelijke medewerking
aan verlenen. De door Verwerker redelijkerwijs gemaakte of te maken kosten in verband met de voornoemde medewerking zullen door Verwerkingsverantwoordelijke worden vergoed.
Artikel 9. Geheimhouding
9.1 Op alle persoonsgegevens die Verwerker van Verwerkersverantwoordelijke ontvangt en/of zelf verzamelt in het kader van deze verwerkersovereenkomst, rust een geheimhoudingsplicht jegens derden.
9.2 Deze geheimhoudingsplicht is niet van toepassing voor zover Verwerkersverantwoordelijke uitdrukkelijke toestemming heeft gegeven om de informatie aan derden te verschaffen, indien het verstrekken van de informatie aan derden logischerwijs noodzakelijk is gezien de aard van de verstrekte opdracht en de uitvoering van deze verwerkersovereenkomst, of indien er een wettelijke verplichting bestaat om de informatie aan een derde te verstrekken.
Artikel 10. Duur en beëindiging
10.1 Deze verwerkersovereenkomst komt tot stand door ondertekening van Partijen en zal voortduren voor de duur van de Overeenkomst en bij gebreke daarvan voor de duur van de (verdere) samenwerking.
10.2 Partijen verlenen hun volledige medewerking om, indien nodig, deze verwerkersovereenkomst aan te passen en geschikt te maken voor eventuele nieuwe of veranderde privacywetgeving.
10.3 Indien de Overeenkomst eindigt, eindigt deze verwerkersovereenkomst ook van rechtswege.
10.4 Voorafgaand aan het ten einde komen van de Overeenkomst, dan wel binnen 30 dagen na het ten einde komen van de Overeenkomst, kan
Verwerkingsverantwoordelijke met Verwerker nadere afspraken maken over wat er
moet gebeuren met de persoonsgegevens van Verantwoordelijk die Verwerker eventueel nog onder zich heeft. Op verzoek van Verwerkingsverantwoordelijke zal Verwerker de door haar verwerkte persoonsgegevens vernietigen of (in originele of kopievorm) terug leveren aan Verwerkingsverantwoordelijke. Verwerker mag hiervoor kosten in rekening brengen bij Verwerkingsverantwoordelijke op basis van de gebruikelijke tarieven van Verwerker.
10.5 Indien Verwerkingsverantwoordelijke binnen 30 dagen na het ten einde komen van de Hoofdovereenkomst niet heeft aangegeven nadere afspraken te willen maken met Verwerker over het terug leveren of vernietigen van de persoonsgegevens, dan is Verwerker gerechtigd om de persoonsgegevens te vernietigen vanaf de 31e dag nadat de Overeenkomst is geëindigd.
Namens Meestermodel
Mr. drs. M.P.A. Thoonen
Meestermodel