van toepassing op alle overeenkomsten van dienstverlening tussen TSD IT b.v. en haar klanten)
Verwerkersovereenkomst
(van toepassing op alle overeenkomsten van dienstverlening tussen TSD IT b.v. en haar klanten)
In deze voorwaarden genoemde partijen:
Partij: Genoemd:
TSD IT b.v. hierna te noemen verwerker
Klant die dienstverlening van TSD afneemt hierna te noemen (verwerkingsverantwoordelijke voor persoonsgegevens) verwerkingsverantwoordelijke
Tezamen hierna te noemen partijen
Overwegende dat;
A. Verwerkingsverantwoordelijke en verwerker een overeenkomst hebben met betrekking tot het afnemen van software en/of hardware van verwerker en/of de daaraan door verwerker uit te voeren aanverwante dienstverlening;
B. Verwerkingsverantwoordelijke verantwoordelijk is voor de verwerking van persoonsgegevens die aan verwerkingsverantwoordelijke zijn toevertrouwd en onder diens toezicht vallen;
C. Verwerker persoonsgegevens verwerkt voor verwerkingsverantwoordelijke;
D. Verwerkingsverantwoordelijke en verwerker op grond van artikel 28 AVG deze verwerkersovereenkomst (hierna te noemen: verwerkersovereenkomst) sluiten waarin de rechten en plichten ten aanzien van de verwerking van de persoonsgegevens zijn geregeld;
E. Deze verwerkersovereenkomst van toepassing is op alle reeds tot stand gekomen overeenkomsten tussen verwerkingsverantwoordelijke en verwerker alsmede op nieuwe (sub) overeenkomsten van dienstverlening tussen partijen, tenzij uitdrukkelijk anders en schriftelijk overeengekomen.
Artikel 1. Reikwijdte van de verwerkersovereenkomst
1.1. Verwerkingsverantwoordelijke geeft opdracht aan verwerker om gegevens te verwerken namens verwerkingsverantwoordelijke. De type verwerkingen zijn opgesomd maar niet beperkt tot deze als beschreven in artikel 1.3. Indien er sprake is van andere werkzaamheden als beschreven onder artikel
1.3. zullen deze per specifieke opdracht worden vastgelegd.
1.2. Persoonsgegevens worden uitsluitend verwerkt in het belang van het uitvoeren van de overeenkomst als beschreven onder punt A tot en met E. Verwerker heeft geen zelfstandige beslissingsbevoegdheid over het doel van de verwerking van de persoonsgegevens van verwerkingsverantwoordelijke.
Verwerkersovereenkomst KLVWO 201804 Pagina 1 van 5
1.3. Verwerker heeft, afhankelijk van de afgenomen dienstverlening, toegang tot persoonsgegevens van verwerkingsverantwoordelijke voor onder andere:
- het inrichten/implementeren/onderhouden van software- en hardware-systemen
- uitvoeren van dataconversies
- het plaatsen van een nieuwe versie, build of patch, acute fix óf maatwerkoplossing in een ICT-omgeving
- het bieden support (ondersteuning), al dan niet direct in de ICT-omgeving van klant
- het maken van een back-up
- het verplaatsen van een ICT-omgeving
- het inzien en/of ophalen (naar de ICT-omgeving van verwerker) van databases
- het tot stand brengen/onderhouden/aanpassen van koppelingen met webservices
- het monitoren, updaten en herstarten van servers
- het geven van opleidingen, al dan niet direct in de ICT-omgeving van klant
Artikel 2. Gegevens verstrekken:
2.1. Persoonsgegevens zullen nooit beschikbaar worden gesteld aan derden tenzij verwerker daartoe uitdrukkelijke toestemming heeft verkregen of verwerker op grond van dwingendrechtelijke regelgeving verplicht is om persoonsgegevens te verstrekken aan derden. In die situatie zal verwerker verwerkingsverantwoordelijke daarvan op de hoogte stellen tenzij dit niet is toegestaan conform de genoemde regelgeving.
Artikel 3. Subverwerkers:
3.1. Verwerker kan werkzaamheden uitbesteden aan een derde partij (te noemen: subverwerkers). Subverwerkers waarmee verwerker kan samenwerken zijn weergegeven op de website van verwerker: xxx.xxx.xx/xx/xxxxXXX/xxxxxxxx.
3.2. Indien verwerker gebruik wenst te maken van een andere partij dan bedoeld in het voorgaande artikel, wordt dit kenbaar gemaakt via publicatie op xxx.xxx.xx/xx/xxxxXXX/xxxxxxxx. Verwerkingsverantwoordelijke heeft de gelegenheid bezwaar te maken tegen een subverwerker.
3.3. In geval van uitbesteding van werkzaamheden aan een subverwerker, legt verwerker aan betreffende subverwerker dezelfde verantwoordelijkheden en verplichtingen op als tussen verwerkingsverantwoordelijke en verwerker binnen deze overeenkomst zijn bepaald.
Artikel 4. Maatregelen van verwerker:
4.1. Verwerker heeft naar best effort intern organisatorische en technische maatregelen getroffen ter borging van de beschikbaarheid, integriteit en vertrouwelijkheid van de persoonsgegevens met als doel om de persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking. Verwerker zal deze maatregelen in stand houden waarbij nieuwe ontwikkelingen in acht worden genomen.
4.2. Verwerker hanteert een privacy-statement binnen de geboden dienstverlening en houdt toezicht op naleving daarvan.
4.3. Iedere medewerker van verwerker committeert zich aan geheimhouding en ondertekent daarvoor een geheimhoudingsverklaring.
Verwerkersovereenkomst KLVWO 201804 Pagina 2 van 5
4.4. Bij de ontwikkeling van nieuwe onderdelen en producten wordt door verwerker aandacht besteed aan de bescherming van persoonsgegevens in relatie tot deze nieuwe ontwikkeling.
4.5. Verwerker onderhoudt voor haar eigen organisatie maatregelen ter bescherming van bedrijfscontinuïteit in geval van calamiteiten.
Artikel 5. Datalek
5.1. Beide partijen zullen elkaar zo snel mogelijk, maar uiterlijk binnen 48 uur na ontdekking, informeren indien er sprake is van (het vermoeden) van een incident of datalek, van welke aard dan ook, dat betrekking kan hebben of heeft op de gegevens die onder de reikwijdte van de overeenkomst tussen verwerkingsverantwoordelijke en verwerker valt.
5.2. Een melding van een vermeend datalek bij één der partijen geschiedt te allen tijde aan het management/directie van verwerkingsverantwoordelijke of verwerker. Indien een melding niet vaststaand bij hiervoor genoemde (functie) is gedaan, is niet voldaan aan de bepaling in artikel 5.1.
5.3. Indien de inbreuk een datalek is volgens de Meldplicht Datalekken zal verwerker de verwerkingsverantwoordelijke, voor zover binnen de invloedsfeer van verwerker, naar best effort medewerking verlenen om het datalek ongedaan te maken of te beperken.
5.4. Verwerker houdt, binnen haar eigen verantwoordelijkheid bij de behandeling van datalekken de eigen procedure Meldplicht Datalekken als primaire richtlijn aan.
5.5. Verwerkingsverantwoordelijke zal in geval van een datalek zelf zorgdragen voor de melding aan de Autoriteit Persoonsgegevens mits noodzakelijk volgens de wetgeving. Verwerker behoudt zich het recht voor om in geval van haar toegebrachte schade ten gevolge van een onjuiste melding de verwerkingsverantwoordelijke daarvoor aansprakelijk te houden.
Artikel 6. Privacy-rechten betrokkenen:
6.1. Verwerker zal medewerking verlenen aan verwerkingsverantwoordelijke bij de uitvoering van een verzoek tot inzage van persoonsgegevens op grond van artikel 15 AVG. Een verzoek daartoe dient door verwerkingsverantwoordelijke te allen tijde schriftelijk te worden ingediend.
6.2. Verwerker zal medewerking verlenen aan verwerkingsverantwoordelijke bij de uitvoering van een verzoek tot rectificatie van persoonsgegevens op grond van artikel 16 AVG. Een verzoek daartoe dient door verwerkingsverantwoordelijke te allen tijde schriftelijk te worden ingediend.
6.3. Verwerker zal medewerking verlenen aan verwerkingsverantwoordelijke in geval van een verzoek tot overdracht van data op grond van artikel 20 AVG. Een verzoek daartoe dient door verwerkingsverantwoordelijke te allen tijde schriftelijk te worden ingediend.
6.4. Verwerker zal persoonsgegevens en overige data van verwerkingsverantwoordelijke niet langer bewaren dan noodzakelijk is in het kader van de uitvoering van de dienstverlening zoals overeengekomen.
6.5. Verwerker zal persoonsgegevens van verwerkingsverantwoordelijke niet langer bewaren indien er een (individueel) specifiek verzoek tot “recht op gegevenswissing” wordt gedaan conform artikel 17 AVG. Een verzoek daartoe dient door verwerkingsverantwoordelijke te allen tijde schriftelijk te worden ingediend.
6.6. In geval van beëindiging van de overeenkomst tussen verwerker en verwerkingsverantwoordelijke zal verwerker op verzoek van verwerkingsverantwoordelijke kopieën van (digitale) data aanleveren op
Verwerkersovereenkomst KLVWO 201804 Pagina 3 van 5
een gestructureerde en gangbare manier waarna de persoonsgegevens bij verwerker binnen 4 weken na beëindiging van de overeenkomst zullen worden vernietigd tenzij dit niet mogelijk is op grond van andere dwingendrechtelijke bepalingen.
Artikel 7. Toezicht op naleving:
7.1. Verwerkingsverantwoordelijke is te allen tijde gerechtigd om de verwerking van persoonsgegevens bij verwerker te controleren tenzij deze instructie een inbreuk met betrekking tot de verordening (AVG) oplevert of er sprake zou zijn van inbreuk op andere bepalingen met betrekking tot gegevensbescherming.
7.2. Een verzoek tot controle op naleving van hetgeen is bepaald in deze overeenkomst kan worden uitgevoerd door verwerkingsverantwoordelijke zelf of door een, door verwerkingsverantwoordelijke, ingeschakelde gecertificeerde auditor. Eventuele kosten van een derde controlerende partij (gecertificeerd auditor) op verzoek van verwerkingsverantwoordelijke komen voor rekening van verwerkingsverantwoordelijke.
7.3. Een verzoek tot controle van gegevensverwerking dient te allen tijde schriftelijk te worden ingediend waarna een afspraak tot de uitvoering van de controle zal worden gemaakt. Verwerker zal verwerkingsverantwoordelijke binnen een redelijke termijn doch uiterlijk binnen 2 maanden in de gelegenheid stellen de controle uit te voeren. Deze controle vindt plaats onder begeleiding van een medewerker van verwerker.
Artikel 8. Aansprakelijkheid:
Verwerker is, overeenkomstig artikel 82 AVG, slechts aansprakelijk voor schade die door verwerking is veroorzaakt indien bij die verwerking niet is voldaan aan de specifiek tot de verwerkers gerichte verplichtingen van de AVG of buiten dan wel in strijd met rechtmatige instructies van de verwerkingsverantwoordelijke is gehandeld.
Artikel 9. Contactgegevens en autorisatie:
9.1. Verwerkingen, als weergegeven in artikel 1 van deze verwerkersovereenkomst, vereisen toestemming van verwerkingsverantwoordelijke. Verwerker behoudt zich het recht voor om, in geval van twijfel, extra autorisatiecontrole toe te passen op de reeds verkregen toestemming dan wel een opdracht niet uit te voeren in geval van gerede twijfel. Verwerker zal verwerkingsverantwoordelijke hiervan op de hoogte stellen.
9.2. Directie en personeel van verwerkingsverantwoordelijke zijn namens verwerkingsverantwoordelijke geautoriseerd tot het geven van toestemming voor de uitvoering van verwerkingen. Directie en personeel van verwerker zijn namens verwerker geautoriseerd tot het aannemen van verwerkingsopdrachten. Opdrachten worden schriftelijk, bij voorkeur door middel van e-mail, ingediend.
9.3. In geval van een Melding Datalekken of onjuiste uitvoering binnen de scope van deze overeenkomst dient de geautoriseerde namens verwerkingsverantwoordelijke zich te wenden tot het management van verwerker. Indien in deze situaties niet is gemeld bij het management wordt de melding als niet gedaan beschouwd.
Verwerkersovereenkomst KLVWO 201804 Pagina 4 van 5
Artikel 10. Duur en beëindiging:
10.1. Deze verwerkersovereenkomst is van kracht zolang verwerker de opdracht heeft van verwerkingsverantwoordelijke om persoonsgegevens te verwerken op grond van de overeenkomst tussen verwerkingsverantwoordelijke en verwerker.
10.2. Na beëindiging van de overeenkomst tussen verwerkingsverantwoordelijke en verwerker eindigt automatisch ook de verwerkersovereenkomst. Een opzegging van een overeenkomst geschiedt te allen tijde schriftelijk. Overdracht van data zal vervolgens plaatsvinden conform hetgeen bepaald in artikel 6.6.
Artikel 11. Nietigheid, toepasselijk recht en jurisdictie
11.1. Indien enige bepaling van deze verwerkersovereenkomst nietig of anderszins niet afdwingbaar is, blijven alle overige bepalingen onverminderd van kracht. Partijen zullen alsdan een bepaling overeenkomen die de strekking van de nietige bepaling zoveel mogelijk benadert.
11.2. Op deze verwerkersovereenkomst is het Nederlands Recht van toepassing.
11.3. Alle geschillen in verband met deze verwerkersovereenkomst of de uitvoering ervan worden voorgelegd aan de bevoegde rechter bij de Rechtbank Noord-Nederland.
Verwerkersovereenkomst KLVWO 201804 Pagina 5 van 5