en
Verwerkersovereenkomst
1. Klant van Bezorgsupport gebruikmakend van één van de door Bezorgsupport gefactureerde diensten, hierna: Verwerkingsverantwoordelijke
en
2. Bezorgsupport, gevestigd aan de Xxxxxxxx 00, xx 0000 XX Xxxxxxxx, ingeschreven bij de Kamer van Koophandel onder nummer 27265046, in deze rechtsgeldig vertegenwoordigd door F.J. Xxxxxx, (hierna: Verwerker),
overwegende, dat
• de Verwerkingsverantwoordelijke Verwerker inschakelt voor dienstverlening en Verwerker toegang heeft tot persoonsgegevens,
• de Verwerkingsverantwoordelijke bepaalde vormen van verwerking wil laten verrichten door de Verwerker, waarbij de Verwerkingsverantwoordelijke is en het doel en de middelen aanwijst,
• de Verwerker hiertoe bereid is en tevens bereid is verplichtingen omtrent beveiliging en andere aspecten van de Algemene Verordening Gegevensbescherming (hierna: AVG) na te komen,
• Partijen, mede gelet op het vereiste uit artikel 28 de AVG, hun rechten en plichten schriftelijk wensen vast te leggen,
zijn Partijen het volgende overeengekomen:
Artikel 1. Doeleinden van verwerking
1.1. Deze Verwerkersovereenkomst heeft betrekking op de verwerking van Persoonsgegevens door Verwerker in opdracht van de Verwerkingsverantwoordelijke in het kader van de uitvoering van de Overeenkomst(en).
1.2. De persoonsgegevens die door Verwerker in het kader van de werkzaamheden als bedoeld in het vorige lid worden verwerkt en de categorieën van de betrokkenen van wie deze afkomstig zijn, zijn opgenomen in Bijlage 1.
1.3 Verwerker zal de persoonsgegevens niet voor enig ander doel verwerken dan zoals door Verwerker en Verwerkingsverantwoordelijke is vastgesteld en op basis van schriftelijke instructie aan Verwerkingsverantwoordelijke zijn medegedeeld. Verwerkingsverantwoordelijke zal Verwerker op de hoogte stellen van de verwerkingsdoeleinden voor zover deze niet reeds in deze Verwerkersovereenkomst zijn genoemd.
1.4. De in opdracht van Verwerkingsverantwoordelijke te Verwerken persoonsgegevens blijven eigendom van Verwerkingsverantwoordelijke en/of de betreffende betrokkenen.
1.5. Verwerkingsverantwoordelijke staat er voor in dat de verwerking van persoonsgegevens voldoet aan minimaal één van de rechtmatigheidseisen van de AVG.
Artikel 2. Verplichtingen Verwerkingsverantwoordelijke
2.1. Ten aanzien van de in artikel 1 genoemde verwerkingen zal Verwerker zorg dragen voor de naleving van de toepasselijke wet- en regelgeving, waaronder in ieder geval begrepen de wet- en regelgeving op het gebied van de bescherming van persoonsgegevens, zoals de Algemene Verordening Gegevensbescherming.
2.2. Verwerker zal Verwerkingsverantwoordelijke, op diens eerste verzoek daartoe, informeren over de door haar genomen maatregelen aangaande haar verplichtingen onder deze Verwerkersovereenkomst.
2.3. De verplichtingen van de Verwerker die uit deze Verwerkersovereenkomst voortvloeien, gelden ook voor degenen die persoonsgegevens verwerken onder het gezag van Verwerker, waaronder begrepen maar niet beperkt tot werknemers, in de ruimste zin van het woord.
2.4. De Verwerker zal de Verwerkingsverantwoordelijke onmiddellijk in kennis stellen indien naar zijn mening een instructie van de Verwerkingsverantwoordelijke in strijd is met de in lid 1 bedoelde wetgeving.
2.5. Verwerker zal, voor zover dat binnen haar macht ligt, bijstand verlenen aan Verwerkingsverantwoordelijke ten behoeve van het uitvoeren van een Privacy Impact Assessment (PIA) of Data Protection Impact Assessment (DPIA).
Artikel 3. Doorgifte van persoonsgegevens
3.1. Verwerker mag de persoonsgegevens niet eerder dan na toestemming van de Verwerkingsverantwoordelijke, verwerken in landen binnen de Europese Unie. Doorgifte naar landen buiten de Europese Unie is verboden.
3.2. Verwerker zal Verwerkingsverantwoordelijke voorafgaande informeren om welk land of welke landen het gaat.
Artikel 4. Verdeling van verantwoordelijkheid
4.1. De toegestane verwerkingen zullen door medewerkers van Verwerker worden uitgevoerd.
4.2. Verwerker is louter verantwoordelijk voor de verwerking van de persoonsgegevens onder deze Verwerkersovereenkomst, overeenkomstig de instructies van Verwerkingsverantwoordelijke en onder de uitdrukkelijke (eind-)verantwoordelijkheid van Verwerkingsverantwoordelijke. Voor de overige verwerkingen van persoonsgegevens, waaronder in ieder geval begrepen, maar niet beperkt tot, de verzameling van de persoonsgegevens door de Verwerkingsverantwoordelijke, verwerkingen voor doeleinden die niet door Verwerkingsverantwoordelijke aan Verwerker zijn gemeld, verwerkingen door derden en/of voor andere doeleinden, is Verwerker uitdrukkelijk niet verantwoordelijk.
4.3. Verwerkingsverantwoordelijke garandeert dat de inhoud, het gebruik en de opdracht tot de verwerkingen van de persoonsgegevens zoals bedoeld in deze Verwerkersovereenkomst niet onrechtmatig zijn en geen inbreuk maken op enig recht van derden.
Artikel 5. Inschakelen van sub-Verwerkers
5.1. Verwerker mag in het kader van deze Verwerkersovereenkomst geen gebruik maken van enige sub-Verwerker zonder voorafgaande schriftelijke toestemming van Verwerkingsverantwoordelijke, welke toestemming onderwerp kan zijn van nadere voorwaarden.
5.2. Verwerker zorgt er in ieder geval voor dat deze derden schriftelijk ten minste dezelfde plichten op zich nemen als tussen Verwerkingsverantwoordelijke en Verwerker zijn overeengekomen. Verwerkingsverantwoordelijke heeft het
recht de mogelijk hierbij betrokken overeenkomsten in te zien en te accorderen.
5.3. Verwerker staat in voor een correcte naleving van de plichten uit deze Verwerkersovereenkomst door sub- Verwerkers en is bij fouten van deze derden zelf aansprakelijk voor alle schade alsof zij zelf de fout(en) heeft begaan.
5.4 Eventueel ingeschakelde sub-Verwerkers zijn weergegeven in Bijlage 2.
Artikel 6. Beveiliging
6.1. Verwerker neemt, rekening houdend met de stand van de techniek en het risico van de Verwerking, adequate technische en organisatorische maatregelen met betrekking tot de te verrichten verwerkingen van persoonsgegevens, tegen verlies of tegen enige vorm van onrechtmatige verwerking, zoals onbevoegde kennisname, aantasting, onbevoegde wijziging of verstrekking van de persoonsgegevens.
6.2. Indien een uitdrukkelijk omschreven beveiliging in de Verwerkersovereenkomst ontbreekt, zal Verwerker zich inspannen de beveiliging te laten voldoen aan een niveau dat, gelet op de stand van de techniek, de gevoeligheid van de persoonsgegevens en de aan het treffen van de beveiliging verbonden kosten, niet onredelijk is.
6.3. Verwerkingsverantwoordelijke stelt enkel persoonsgegevens aan Verwerker ter beschikking voor verwerking, indien zij zich ervan heeft verzekerd dat de vereiste beveiligingsmaatregelen zijn getroffen. Verwerkingsverantwoordelijke is verantwoordelijk voor de naleving van de door Partijen afgesproken maatregelen.
Artikel 7. Meldplicht
7.1. Verwerkingsverantwoordelijke is te allen tijde verantwoordelijk voor het administreren van een beveiligingsincident en het melden van een datalek (waaronder wordt verstaan: een inbreuk op de beveiliging van persoonsgegevens die leidt tot een kans op nadelige gevolgen, dan wel nadelige gevolgen heeft, voor de bescherming van persoonsgegevens) aan de toezichthouder en in bepaalde gevallen aan Betrokkenen. Om Verwerkingsverantwoordelijke in staat te stellen aan deze wettelijke plicht te voldoen, stelt Verwerker de Verwerkingsverantwoordelijke en Verwerkingsverantwoordelijke zo spoedig mogelijk, doch uiterlijk binnen 24 uur na bekend wording op de hoogte van het beveiligingslek en/of het datalek.
7.2. Een melding moet altijd worden gedaan.
7.3. De meldplicht behelst in ieder geval:
• de aard van het incident of de inbreuk in verband met persoonsgegevens, waar mogelijk onder vermelding van de categorieën van betrokkenen en persoonsgegevensregisters in kwestie en het aantal betrokkenen en persoonsgegevensregisters in kwestie; Wanner het aantal niet exact is te bepalen is het aantal bij benadering te bepalen;
• de naam en de contactgegevens van de Functionaris Gegevensbescherming of een ander contactpunt waar meer informatie kan worden verkregen;
• de waarschijnlijke gevolgen van de inbreuk in verband met persoonsgegevens;
• de maatregelen die de Verwerkingsverantwoordelijke voorstelt of al heeft genomen om de inbreuk in verband met persoonsgegevens aan te pakken, waaronder, in voorkomend geval, de maatregelen ter beperking van de eventuele nadelige gevolgen daarvan.
Artikel 8. Afhandeling verzoeken van betrokkenen, Medewerkingsverplichtingen
8.1. De AVG en overige (privacy)wetgeving kent aan de Betrokkene bepaalde rechten toe. Verwerker zal zijn volledige en tijdige medewerking verlenen aan Verwerkingsverantwoordelijke bij de nakoming van de op Verwerkingsverantwoordelijke rustende verplichtingen voortvloeiend uit deze rechten.
8.2. Een door Verwerker ontvangen klacht of een verzoek van een Betrokkene met betrekking tot verwerking van Persoonsgegevens wordt door Verwerker zonder uitstel doorgestuurd naar Verwerkingsverantwoordelijke zonder daarop zelf te acteren.
8.3. Op het eerste daartoe strekkende verzoek van Verwerkingsverantwoordelijke zal Verwerker aan Verwerkingsverantwoordelijke alle relevante informatie verstrekken betreffende de aspecten van de door hem verrichte verwerking van Persoonsgegevens zodat Verwerkingsverantwoordelijke, mede aan de hand van die informatie, aan kan tonen dat zij de toepasselijke (privacy) wetgeving naleeft.
8.4. Verwerker zal voorts op eerste verzoek van Verwerkingsverantwoordelijke alle noodzakelijke bijstand verlenen bij de nakoming van de op grond van de toepasselijke privacywetgeving op Verwerkingsverantwoordelijke rustende wettelijke verplichtingen (zoals het uitvoeren van een PIA).
Artikel 9. Geheimhouding en vertrouwelijkheid
9.1. Op alle persoonsgegevens die Verwerker van Verwerkingsverantwoordelijke ontvangt en/of zelf verzamelt in het kader van deze Verwerkersovereenkomst, rust een geheimhoudingsplicht jegens derden. Verwerker zal deze informatie niet voor een ander doel gebruiken dan waarvoor zij deze heeft verkregen, zelfs niet wanneer deze in een zodanige vorm is gebracht zodat deze niet tot betrokkenen herleidbaar is.
9.2. Deze geheimhoudingsplicht is niet van toepassing voor zover Verwerkingsverantwoordelijke uitdrukkelijke toestemming heeft gegeven om de informatie aan derden te verschaffen, indien het verstrekken van de informatie aan derden logischerwijs noodzakelijk is gezien de aard van de verstrekte opdracht en de uitvoering van deze Verwerkersovereenkomst, of indien er een wettelijke verplichting bestaat om de informatie aan een derde te verstrekken.
9.3 In het geval Xxxxxxxxx enige persoonsgegevens of andere informatie over de Verwerking aan derden verstrekt of heeft verstrekt, informeert Verwerker Verwerkingsverantwoordelijke bij voorkeur voorafgaand aan de uitvoering , althans zo spoedig mogelijk na verstrekking.
Artikel 10. Audit
10.1. Verwerkingsverantwoordelijke heeft het recht om audits uit te laten voeren door een onafhankelijke ter zake deskundigen derde die aan geheimhouding is gebonden ter controle van naleving van alle punten uit de Verwerkersovereenkomst, en alles dat daar direct verband mee houdt.
10.2. Deze audit mag eens per jaar plaatsvinden.
10.3. Verwerker zal aan de audit meewerken en alle voor de audit redelijkerwijs relevante informatie, inclusief ondersteunende gegevens zoals systeemlogs, en medewerkers zo tijdig mogelijk ter beschikking stellen.
10.4. De bevindingen naar aanleiding van de uitgevoerde audit zullen door Verwerker worden beoordeeld en kunnen,
naar eigen goeddunken van Verwerkingsverantwoordelijke en op de wijze zoals Verwerkingsverantwoordelijke zelf bepaalt, worden doorgevoerd door Verwerkingsverantwoordelijke.
10.5. De kosten van de audit worden door Verwerkingsverantwoordelijke gedragen.
10.6 Het is Verwerker evenwel toegestaan om periodiek zelf een Audit te laten verrichten door een onafhankelijke ter zake deskundige, die werkt volgens een algemeen geaccepteerd protocol, waarvan de resultaten door de Auditer aan Verwerkingsverantwoordelijke worden toegezonden.
Artikel 11. Aansprakelijkheid
11.1. Partijen zijn ieder verantwoordelijk en aansprakelijk voor hun eigen handelen.
11.2. Enige beperking van de aansprakelijkheid in de Overeenkomst is mutatis mutandis ook van toepassing op deze Verwerkersovereenkomst, met dien verstande dat:
a.) eventuele (impliciete of expliciete) uitsluitingen van aansprakelijkheid voor verlies en/of verminking van Persoonsgegevens zijn uitgesloten;
b.) eventuele (impliciete of expliciete) uitsluitingen van aansprakelijkheid voor boetes die door de Autoriteit Persoonsgegevens of een andere toezichthouder worden opgelegd die rechtstreeks verband houden met een toerekenbare tekortkoming van Verwerkingsverantwoordelijke, of een aan Verwerkingsverantwoordelijke toerekenbaar gedraging of nalaten, zijn uitgesloten.
11.3. Verwerker vrijwaart Verwerkingsverantwoordelijke en stelt de Verwerkingsverantwoordelijke schadeloos voor alle claims, acties, aanspraken van derden, alsmede boetes van de Autoriteit Persoonsgegevens, die rechtstreeks voortvloeien uit een door de rechter vastgestelde toerekenbare tekortkoming en/of een door de rechter vastgestelde schending door Verwerkingsverantwoordelijke in de nakoming van zijn verplichtingen onder deze Verwerkersovereenkomst en/of enige schending door Verwerkingsverantwoordelijke van de van toepassing zijnde wetgeving op het gebied van verwerking van Persoonsgegevens.
11.4. Voor zover Partijen hoofdelijk aansprakelijk zijn jegens derden, waaronder begrepen de betrokkene, of gezamenlijk een boete opgelegd krijgen door de Autoriteit Persoonsgegevens, zijn zij jegens elkaar, ieder voor het gedeelte van de schuld dat hen in hun onderlinge verhouding aangaat, verplicht overeenkomstig het bepaalde in Boek 6, Titel 1, Afdeling 2 van het Burgerlijk Wetboek in de schuld en kosten bij te dragen, tenzij de AVG anders bepaalt in welk geval de AVG voorgaat.
11.5. Voor zover in de Overeenkomst geen beperking van aansprakelijkheid voor Verwerkingsverantwoordelijke is opgenomen, geldt de in lid 2 opgenomen beperking voor Verwerkingsverantwoordelijke eveneens voor de Verwerkingsverantwoordelijke.
11.6. Iedere beperking van aansprakelijkheid komt voorts voor de betreffende Partij te vervallen in geval van opzet of grove schuld aan de zijde van de betreffende Partij.
11.7. Partijen dragen zorg voor afdoende dekking van de aansprakelijkheid.
Artikel 12. Duur en beëindiging
12.1. Deze Verwerkersovereenkomst is aangegaan voor de duur zoals bepaald in de hoofdovereenkomst tussen Partijen en bij gebreke daarvan in ieder geval voor de duur van de samenwerking.
12.2. Zodra de Verwerkersovereenkomst, om welke reden en op welke wijze dan ook, is beëindigd, zal Verwerkingsverantwoordelijke – naar keuze van Verwerkingsverantwoordelijke – alle persoonsgegevens die bij haar aanwezig zijn in originele of kopievorm retourneren aan Verwerkingsverantwoordelijke, en/of deze originele persoonsgegevens en eventuele kopieën daarvan verwijderen en/of vernietigen.
12.3. Partijen kunnen deze overeenkomst wijzigen met wederzijdse schriftelijke instemming.
Artikel 13. Toepasselijk recht en geschillenbeslechting
13.1. De Verwerkersovereenkomst en de uitvoering daarvan worden beheerst door Nederlands recht.
13.2. Alle geschillen, welke tussen Partijen mochten ontstaan in verband met de Verwerkersovereenkomst, zullen worden voorgelegd aan de bevoegde rechter voor het arrondissement waarin Verwerkingsverantwoordelijke gevestigd is.
Artikel 14. Wijzigingen
14.1. Deze Verwerkersovereenkomst kan door Bezorgsupport worden gewijzigd.
14.2. De laatst geldende versie van de Verwerkersovereenkomst is telkens gepubliceerd op de website van Bezorgsupport.
Bijlage 1: Specificatie persoonsgegevens en categorie betrokkenen
Welke persoonsgegevens Bezorgsupport verwerkt
In deze bijlage vindt u per dienst een overzicht van de gegevens die worden gebruikt. Een toelichting per kolom:
a) Type dienst: voor welke dienst gegevens worden gebruikt. De kolom ‘Algemeen’ bevat gegevens die voor
meerdere diensten worden gebruikt of die niet voor een dienst worden verwerkt.
b) Type gegevens: welke gegevens worden verwerkt.
c) Bewaartermijnen: hoe lang de gegevens worden bewaard.
d) Verantwoordelijke: wie verantwoordelijk is voor de gegevens. Met ‘opdrachtgevende partij’ wordt de
organisatie bedoeld aan wie wij onze diensten leveren en waarvan wij uw gegevens hebben ontvangen.
e) Grond voor verwerking: op welke wettelijke basis de gegevens worden gebruikt.
Type dienst | Type gegevens | Bewaartermijnen | Verantwoordelijke | Grond voor verwerking |
Algemeen | Naam, telefoonnummer en e-mailadres van de contactpersoon van uw organisatie. | Tot einde dienstverlening | Bezorgsupport | Uitvoering overeenkomst |
Adres waar de diensten worden geleverd. | Tot einde dienstverlening | Opdrachtgevende partij | Uitvoering overeenkomst | |
Bedrijfsnaam voor facturatie. | Tot einde dienstverlening | Opdrachtgevende partij | Uitvoering overeenkomst | |
Verkeersinformatie e- mails, telefonie en internet in het kader van een wettelijke aftapverplichting of informatieverzoek. | Zes maanden | Bezorgsupport | Wettelijke verplichting | |
Informatie aangeleverd door gebruiker voor supportvragen. | Drie jaar | Bezorgsupport | Uitvoering overeenkomst | |
Gespreksopnames als u ons belt. | 180 dagen | Bezorgsupport | Gerechtvaardigd belang. Bezorgsupport gebruikt deze gesprekken om haar supportmedewerkers te trainen en als bewijs van gemaakte afspraken. | |
Internetverbinding | ServiceId verbinding, LineId en publiek IP- adres. | Tot einde dienstverlening | Opdrachtgevende partij | Uitvoering overeenkomst |
VoIP-telefonie | IP-adres en MAC-adres toestel, naam en telefoonnummer contacten. | Tot einde dienstverlening | Opdrachtgevende partij | Uitvoering overeenkomst |
Mobiele telefonie | Simkaartnummer, toestelnummer (IMEI), grensovergang- berichten en bundelnotificaties. | Tot einde dienstverlening | Opdrachtgevende partij | Uitvoering overeenkomst |
VoIP en mobiel | Gebruikgegevens: met wie, waar, wanneer en hoeveel is gebeld. | Zes maanden | Bezorgsupport | Uitvoering overeenkomst |
Geluidsopnames van uw gesprekken indien u deze functionaliteit afneemt. | Afhankelijk van de gebruiker | Opdrachtgevende partij | Uitvoering overeenkomst | |
247 Alarm | Contactgegevens sleutelhouders. | Tot einde dienstverlening | Opdrachtgevende partij | Uitvoering overeenkomst |
Website en smartphone applicaties | Bezoekstatistieken, functionele en statistische cookies. | 26 maanden | Bezorgsupport | Gerechtvaardigd belang. Bezorgsupport gebruikt deze gegevens voor het verbeteren van haar websites en applicaties, om te kijken welke functionaliteiten of artikelen populair zijn en ter versterking van de beveiliging. |
Bijlage 2: Sub-Verwerkers
Perfectview Deanone
N-able Mailchimp Nextpertise MBLX
Microsoft Transip Andromeda ICG
Vodafone KPN
RoutIT Hiopos Datto Pocos