Verwerkersovereenkomst
Verwerkersovereenkomst
Deze verwerkersovereenkomst is van toepassing op verwerkingen van persoonsgegevens die Valk Solutions BV, gevestigd te 3417 XT Montfoort aan de Xxxxxxxxx 0 en ingeschreven bij de Kamer van Koophandel in Utrecht onder KvK-nummer 30209227, als ‘Verwerker’ tevens aangeduid met ‘Valk’, uitvoert in opdracht van een wederpartij aan wie zij diensten levert, hierna te noemen de Opdrachtgever, tevens ‘Verwerkingsverantwoordelijke’, ook wel aangeduid als ‘Klant’.
Overwegingen
- Tussen Verwerkingsverantwoordelijke en Verwerker is een “Overeenkomst ASPOS” van kracht op grond waarvan Verwerker bepaalde werkzaamheden verricht, zijnde het leveren van een retail platform, genaamd ASPOS, ten behoeve van (web)winkel automatisering en gerelateerde Saas diensten, hierna te noemen de ‘Overeenkomst’.
- In het kader van de uitvoering van de Overeenkomst verstrekken Verwerkingsverantwoordelijke en indien van toepassing haar franchisenemers aan Verwerker persoonsgegevens van betrokkenen zoals bedoeld in de Algemene Verordening Persoonsgegevens (hierna te noemen ‘Persoonsgegevens’, ‘Betrokkenen’ en ‘AVG’). De betreffende Persoonsgegevens alsmede de grondslag voor de verwerking hiervan zijn opgenomen zijn in een door Verwerkingsverantwoor- delijke opgesteld Verwerkingsregister Persoonsgegevens.
- Met betrekking tot de Persoonsgegevens is Opdrachtgever Verwerkingsverantwoordelijke in de zin van de AVG en is Valk Solutions Verwerker. Als Verwerker beperkt Valk zich tot het verwerken van Persoonsgegevens zonder zeggenschap te hebben over het doel van en de middelen voor de verwerking van Persoonsgegevens. Valk neemt geen beslissingen over het gebruik van de gegevens, de verstrekking aan Derden en andere ontvangers, de duur van de gegevensopslag en is niet onderworpen aan het rechtstreekse gezag van de Opdrachtgever.
- Ingevolge artikel 5 lid 2 van de AVG rust op Verwerkingsverantwoordelijke de verplichting om zorg te dragen dat Verwerker voldoende waarborgen biedt ten aanzien van de technische en organisatorische beveiligingsmaatregelen met betrekking tot de te verrichten verwerkingen, alsmede de verplichting om toe te zien op de naleving van die maatregelen.
- Partijen wensen hun afspraken over deze verwerking van Persoonsgegevens door Verwerker vast te leggen in deze overeenkomst als bedoeld in artikel 28 lid 3 van de AVG (hierna te noemen ‘Verwerkersovereenkomst’).
Artikel 1. Strekking en duur
1. Deze Verwerkersovereenkomst vormt een integraal onderdeel van de Overeenkomst en alle overeenkomsten die daar eventueel uit voortvloeien. De duur van deze Verwerkersovereenkomst is gelijk aan de duur van de Overeenkomst en kan niet tussentijds worden beëindigd. De Verwerkersovereenkomst eindigt als de Overeenkomst eindigt.
2. Valk verplicht zich jegens Opdrachtgever tot al hetgeen waartoe een Verwerker van Persoonsge- gevens jegens een Verwerkingsverantwoordelijke verplicht is op grond van de AVG. Opdracht- gever verplicht zich jegens Valk Solutions tot al hetgeen waartoe een Verwerkingsverantwoor- delijke jegens een Verwerker verplicht is op grond van de AVG.
3. Valk levert diensten op grond van de Overeenkomst aan Opdrachtgever en indien van toepassing
aan diverse franchisenemers van Opdrachtgever. Deze Verwerkersovereenkomst is van overeenkomstige toepassing op elke overeenkomst die Valk sluit met (een franchisenemer van) Opdrachtgever. De verplichtingen voortvloeiende uit deze Verwerkersovereenkomst, die Verwerker heeft tegenover Verwerkingsverantwoordelijke, heeft Verwerker ook jegens de franchisenemers van Opdrachtgever die een serviceovereenkomst hebben met Valk.
4. De Persoonsgegevens die door Verwerker in het kader van de werkzaamheden als bedoeld in de Overeenkomst worden verwerkt en de categorieën van de betrokkenen van wie deze afkomstig zijn, zijn opgenomen in de sub-bijlage. Verwerker zal de Persoonsgegevens niet voor enig ander doel verwerken dan zoals door Verwerkingsverantwoordelijke is vastgelegd. Verwerkings- verantwoordelijke zal Verwerker schriftelijk op de hoogte stellen van het onderwerp en de duur van de Verwerking, de aard en het doel van de Verwerking, het soort Persoonsgegevens en de categorieën van Betrokkenen en de rechten en verplichtingen van de Verwerkingsverantwoor- delijke jegens Betrokkenen, zoals bedoeld in artikel 28 lid 3 AVG, voor zover deze gegevens niet reeds in deze Verwerkersovereenkomst of Onderliggende Overeenkomst zijn genoemd.
Artikel 2. Verplichtingen Verwerker
1. Ten aanzien van de verwerkingen van Persoonsgegevens zal Verwerker zorg dragen voor de naleving van de toepasselijke wetgeving, waaronder in ieder geval begrepen de wetgeving op het gebied van de bescherming van Persoonsgegevens.
2. Verwerker zal de van Verwerkingsverantwoordelijke of haar franchisenemers ontvangen Persoonsgegevens uitsluitend verwerken voor doeleinden en op basis van schriftelijke instructies die rechtstreeks voortvloeien uit de Overeenkomst, behoudens toestemming van Verwerkingsverantwoordelijke en wettelijke verplichtingen.
3. Het is Verwerker niet toegestaan de Persoonsgegevens te verwerken met een ander doel dan is overeengekomen in artikel 2 lid 1 van deze Verwerkersovereenkomst, noch om andere handelingen met de Persoonsgegevens uit te voeren dan omschreven in deze Verwerkersover- eenkomst, tenzij Verwerkingsverantwoordelijke hiervoor toestemming heeft gegeven.
4. Verwerker verplicht zich de Persoonsgegevens niet langer te bewaren dan noodzakelijk is voor uitvoering van de Overeenkomst en deze in opdracht van Verwerkingsverantwoordelijke te vernietigen uiterlijk binnen drie maanden na beëindiging van de Overeenkomst of zoveel later als Verwerkingsverantwoordelijke daarom uitdrukkelijk verzoekt.
5. Verwerker stelt Verwerkingsverantwoordelijke te allen tijde in staat om binnen de wettelijke termijnen te voldoen aan de verplichtingen op grond van de AVG, meer in het bijzonder de verplichtingen ten aanzien van de rechten van Betrokkenen, zoals, maar niet beperkt tot een verzoek om inzage, verbetering, aanvulling, verwijdering of afscherming van persoonsgegevens en het uitvoeren van een gehonoreerd aangetekend verzet. De kosten voor deze werkzaam- heden zijn voor rekening van Opdrachtgever. Verzoeken van Betrokkene, die gericht zijn aan Verwerker, worden door Verwerker onverwijld doorgestuurd naar Verwerkingsverantwoordelijke, die dit verzoek vervolgens zal afhandelen.
6. Verwerker neemt passende technische en organisatorische maatregelen om te waarborgen dat onbevoegd personeel geen toegang heeft tot de Persoonsgegevens en/of de gegevens- verwerkende toepassingen. Verwerker verklaart dat ieder van zijn medewerkers die door Verwerker wordt gemachtigd tot toegang tot de Persoonsgegevens verplicht is tot geheimhouding
van de Persoonsgegevens waarvan hij kennis neemt. Hiertoe zal Verwerker – voor zover hierin niet reeds is voorzien – de desbetreffende medewerkers een geheimhoudingsverklaring laten ondertekenen.
7. Verwerker zal, voor zover dat binnen haar macht ligt, bijstand verlenen aan Verwerkingsverant- woordelijke ten behoeve van het uitvoeren van gegevensbeschermingseffectbeoordelingen, ook wel genoemd Data Protection Impact Assessment (DPIA) in de zin van artikel 35 AVG.
8. De verplichtingen van de Verwerker die uit deze Verwerkersovereenkomst voortvloeien, gelden ook voor degenen die Persoonsgegevens verwerken onder het gezag van Verwerker, waaronder begrepen maar niet beperkt tot werknemers, in de ruimste zin van het woord.
Artikel 3. Beveiliging Persoonsgegevens
1. Verwerker verplicht zich adequate maatregelen te nemen en te onderhouden tot technische en organisatorische beveiliging tegen onbevoegde toegang tot Persoonsgegevens, verlies of tegen enige vorm van onrechtmatige verwerking overeenkomstig artikel 32 van de AVG.
2. De in artikel 3 lid 1 van deze Verwerkersovereenkomst bedoelde beveiligingsmaatregelen dienen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau te bieden gelet op de risico’s die de verwerking en de aard van te beschermen gegevens met zich meebrengen.
3. Verwerker verbindt zich jegens Verwerkingsverantwoordelijke om het niveau van zijn technische en organisatorische maatregelen te handhaven, te evalueren, te verbeteren, te verfijnen en aan te passen aan de voortschrijdende technologische en maatschappelijke ontwikkelingen. Verwerker zal hiertoe actuele ontwikkelingen volgen en additionele voorzieningen treffen voor zover dat redelijkerwijs van hem kan worden verwacht.
4. Deze maatregelen zullen binnen de context van de werkzaamheden in de Overeenkomst in ieder geval betrekking hebben op:
- continuïteitsbeheer;
- fysieke beveiliging en beveiliging van apparatuur;
- toegangsbeveiliging;
- beveiligingsmaatregelen in toepassingssystemen;
- logging en controle;
- incidentenbeheer;
- afhandeling van datalekken en beveiligingsincidenten;
- waarborgen zodat bij verlies en/of beschadiging van de Persoonsgegevens herstel kan plaatshebben;
- vernietiging van gegevens bij vervanging of afvoeren van mediadragers;
- maatregelen om te waarborgen dat enkel werknemers waarvoor dit noodzakelijk is voor de uitvoering van Overeenkomst, toegang hebben tot de Persoonsgegevens die in het kader van de Verwerkersovereenkomst worden verwerkt (autorisaties);
- maatregelen om inbreuken op de beveiliging in de systemen die worden ingezet voor de uitvoering van de Overeenkomst en de verwerking van Persoonsgegevens te identificeren;
5. Verwerker voorziet Verwerkingsverantwoordelijke desgevraagd van noodzakelijke informatie waardoor Verantwoordelijke een oordeel kan vormen over de naleving door Verwerker van de beveiligingsmaatregelen, zoals bijvoorbeeld een kopie van de ISAE 3402 verklaring.
Artikel 4. Audit
1. Verwerkingsverantwoordelijke heeft het recht om bij Verwerker een onderzoek (audit) in te stellen met betrekking tot de (kwaliteit van) de getroffen beveiligingsmaatregelen door onafhankelijke deskundigen. Deze audit vindt uitsluitend plaats nadat Verwerkingsverantwoor- delijke de bij Verwerker aanwezige soortgelijke relevante auditrapportages heeft opgevraagd, beoordeeld en redelijke argumenten aanbrengt die een door Verwerkingsverantwoordelijke geïnitieerde audit alsnog rechtvaardigen. Een dergelijke audit wordt gerechtvaardigd wanneer de bij Verwerker aanwezige soortgelijke auditrapportages geen of onvoldoende uitsluitsel geven over het naleven van deze Verwerkersovereenkomst door Verwerker. De door Verwerkingsver- antwoordelijke geïnitieerde audit vindt plaats op een datum in overleg niet eerder dan twee weken na voorafgaande aankondiging en toezending van een inhoudelijke agenda door Verwerkingsverantwoordelijke, maximaal eens per kalenderjaar en duurt maximaal 1 werkdag per keer. Verwerkingsverantwoordelijke koppelt eventuele bevindingen eerst in concept schriftelijk terug aan Verwerker waarna Xxxxxxxxx een management reactie kan geven voordat de bevinding definitief wordt gemaakt. De kosten van een dergelijk onderzoek komen voor rekening van Verwerkingsverantwoordelijke. Als blijkt dat Xxxxxxxxx tekort schiet op afspraken in de Verwerkersovereenkomst zal Verwerker het tekort op eigen kosten verhelpen.
Artikel 5. Meldplicht datalek
1. Verwerker is gehouden voldoende technische- en organisatorische maatregelen te treffen zodat eventuele beveiligingsincidenten spoedig geconstateerd kunnen worden.
2. Verwerker rapporteert datalekken onverwijld, maar uiterlijk binnen 48 (achtenveertig) uur na ontdekking, aan Verwerkingsverantwoordelijke, waarbij Verwerkingsverantwoordelijke zal beoordelen of er sprake is van een datalek dat gemeld dient te worden aan de Autoriteit Persoonsgegevens dan wel Betrokkenen.
3. Indien Verwerker vaststelt dat sprake is van een datalek, zal zij alle noodzakelijke maatregelen treffen om verdere ontsluiting dan wel verspreiding van Persoonsgegevens te voorkomen. Verwerker zal hiertoe in overleg treden met Verwerkingsverantwoordelijke en redelijke aanwijzingen van Verwerkingsverantwoordelijke waar mogelijk opvolgen. Verwerker zal Verwerkingsverantwoordelijke steeds op de hoogte houden van de ontwikkelingen met betrekking tot het datalek en de maatregelen die hij treft om de gevolgen van het datalek te beperken en herhaling van het datalek te voorkomen.
4. Verwerker werkt waar nodig, op eerste verzoek van Verwerkingsverantwoordelijke, mee aan het adequaat informeren van Xxxxxxxxxxx dan wel het verzamelen van informatie noodzakelijk voor het doen van de melding bij de Autoriteit Persoonsgegevens door Verwerkingsverantwoordelijke.
Artikel 6. Subverwerkers, geografische beperking, doorgifte aan Derden
1. Het is Verwerker toegestaan bij de verwerking van Persoonsgegevens gebruik te maken van subverwerkers, indien dit noodzakelijk is voor de uitvoering van de Overeenkomst. Verwerker blijft in deze gevallen te allen tijde aanspreekpunt voor Verwerkingsverantwoordelijke en verantwoordelijk voor de naleving van de bepalingen uit deze Verwerkersovereenkomst.
2. Verwerker garandeert dat geen Persoonsgegevens zullen worden verwerkt buiten de Europese
Economische Ruimte.
3. Verwerker zal de Persoonsgegevens niet zonder voorafgaande toestemming van Verwerkings- verantwoordelijke aan een Derde partij verstrekken of ter beschikking stellen, tenzij op grond van een uitdrukkelijke schriftelijke opdracht van Verwerkingsverantwoordelijke of op bevel van een gerechtelijke of bestuurlijke instantie, op voorwaarde dat Verwerker in dat geval Verantwoor- delijke binnen 48 uur na ontvangst van een dergelijk bevel daarvan in kennis stelt.
Artikel 7. Aansprakelijkheid
1. Aansprakelijkheid van Verwerker is uitgesloten, behoudens de gevallen waarin Xxxxxxxxx zich niet houdt aan de verplichtingen uit deze Verwerkersovereenkomst of de wet.
2. Verwerker houdt zich passend verzekerd tegen beroeps- en bedrijfsaansprakelijkheid.
3. Verwerkingsverantwoordelijke garandeert dat de inhoud, het gebruik en de opdracht tot de Verwerkingen van de Persoonsgegevens zoals bedoeld in deze Verwerkersovereenkomst, niet onrechtmatig zijn en geen inbreuk maken op enig recht van Betrokkenen of Derden.
4. Verwerkingsverantwoordelijke vrijwaart Verwerker van alle aanspraken van Xxxxxxxxxxx of Derden die door of vanwege deze Verwerking(en) ontstaan.
Artikel 8. Wijziging, einde overeenkomst
1. Indien een wijziging in de wetgeving daar aanleiding toe geeft, is Verwerkingsverantwoordelijke bevoegd heronderhandelingen te voeren over bepalingen van deze Verwerkersovereenkomst.
2. Verwerker heeft het recht om de Verwerkersovereenkomst te wijzigen binnen de bepalingen van de AVG. Verwerkingsverantwoordelijke doet er goed aan de Verwerkersovereenkomst geregeld te raadplegen zodat hij op de hoogte is van eventuele wijzigingen.
3. Indien de Verwerkersovereenkomst om welke reden dan ook eindigt, doet Xxxxxxxxx op eerste verzoek van Verwerkingsverantwoordelijke datgene wat redelijkerwijs noodzakelijk is om Persoonsgegevens veilig te stellen en aan Verwerkingsverantwoordelijke over te dragen zodat Verwerkingsverantwoordelijke de dienstverlening van Verwerker elders kan onderbrengen.
4. Tevens retourneert Xxxxxxxxx in opdracht van Verwerkingsverantwoordelijke onverwijld alle hem door Verwerkingsverantwoordelijke ter beschikking gestelde Persoonsgegevens in de vorm van papieren documenten of digitale bestanden. Voor zover Persoonsgegevens digitaal zijn opgeslagen door Verwerker, zal Verwerker die Persoonsgegevens onverwijld vernietigen.
Artikel 9. Slotbepalingen
1. Op deze Verwerkersovereenkomst is Nederlands recht van toepassing.
2. In geval van strijdigheid tussen enerzijds bepalingen uit de Overeenkomst en de daarop van toepassing zijnde voorwaarden en anderzijds bepalingen uit deze Verwerkersovereenkomst prevaleren de bepalingen uit de Verwerkingsovereenkomst.
3. De gedeeltelijke ongeldigheid van een of meer bepalingen van deze Verwerkersovereenkomst brengt niet de nietigheid of vernietigbaarheid van de gehele Verwerkersovereenkomst met zich mee. Voor zover de bedoelde ongeldigheid betrekking heeft op een wezenlijk onderdeel, zullen Partijen in overleg vaststellen welke wijzigingen in de Verwerkersovereenkomst noodzakelijk uit die ongeldigheid voortvloeien, waarbij zoveel mogelijk aansluiting gezocht zal worden bij de bedoeling van Partijen zoals die uit deze Verwerkersovereenkomst blijkt.
Sub-bijlage bij Bijlage 4. Specificatie persoonsgegevens en betrokkenen
Persoonsgegevens
Verwerker zal in het kader van artikel 1 lid 4 van de Verwerkersovereenkomst de volgende Persoonsgegevens verwerken in opdracht van Verwerkingsverantwoordelijke:
NAW gegevens | Aanvullende gegevens | Klantkaart gegevens |
Titel | Intern ID | Klantkaartnummer |
Naam | Klantnummer | Geldig t/m |
Adres | KlantContactnummer | Geblokkeerd |
Postcode | Klantstatus | Reden blokkeren |
Woonplaats | Geblokkeerd | |
Stad | Reden geblokkeerd | Transactiegegevens |
Land | Datum aangemaakt | Transactiedatum |
Afleveradres(sen) | Datum laatste mutatie | Transactienummer |
Contactpersonen | Telefoonnummer | Transactietype |
Ter attentie van | Mobiel telefoonnummer | Product (en) |
Adres Type | Geboortedatum | Prijs |
Marketing adres j/n | Geslacht | Betaalwijze |
Geldig adres j/n | Internetadres | Korting |
AdresMemo | E-mailadres | Winkelnummer |
GLN | Winkelnaam | |
Financiële gegevens | Klantmemo | Bonuspunt mutatie |
CoCNumber | Klantgroep | Bonusbedrag mutatie |
BTWNumber | Standaardcontactpersoon | TanCheck |
Bankrekeningnummer | Interessegebieden | |
Betaaltermijn in dagen | ContactType | |
Incassotermijn in dagen | Prijslijst | |
IBAN nummer | Profiel | |
BIC/SWIFT | Factuur per mail j/n | |
Kortingspercentage | Collectieve factuur j/n | |
Maximaal Krediet | Op rekening j/n | |
Incasso macht. code | Punten verzilveren j/n | |
Incasso macht. omschrijv. | Servicemails j/n | |
Incasso macht.dtm hand. | Sms j/n | |
factuur xml | E-mail j/n | |
Belastingtarief | Nieuwsbrief j/n | |
Interne notitie | ||
Laatste aankoopdatum | ||
Pincode | ||
Wachtwoord | ||
Welkomstgroet | ||
Burgerservicenummer (BSN) | ||
Kopie identiteitskaart (ID) |
Van de volgende categorieën betrokkenen: Klanten van Verantwoordelijke.