Verwerkersovereenkomst

Verwerkersovereenkomst

Partijen:

I. G&S Vastgoed B.V. een besloten vennootschap met beperkte aansprakelijkheid naar Nederlands recht, gevestigd te Amsterdam en kantoorhoudende te (1082 MC) Amsterdam, Xxxxxx Xxxxxxxxxx 00, ingeschreven in het handelsregister onder nummer 33188041, “Verwerkingsverantwoordelijke”;

II. [Partij 2], een [besloten vennootschap met beperkte aansprakelijkheid naar Nederlands recht], gevestigd te [statutair e zetel] en kantoorhoudende te ([postcode]) [plaats], [straatnaam en nummer], ingeschreven in het handelsregister onder nummer [*], "Verwerker";

hierna gezamenlijk tevens te noemen "Partijen" en ieder afzonderlijk "Partij".

Overwegingen:

A. De Verwerkingsverantwoordelijke heeft op grond van de toepasselijke Privacywetgeving de plicht,

ervoor zorg te dragen dat Verwerker voldoende waarborgen biedt ten aanzien van de Verwerking en beveiliging van persoonsgegevens die door Verwerker worden Verwerkt in opdracht van de Verwerkingsverantwoordelijke;

B. Deze verwerkersovereenkomst bevat tevens de door Verwerker gehanteerde waarborgen zodat Verwerkingsverantwoordelijke kan voldoen aan haar meldplicht van eventuele (beveiligings) incidenten op grond van de toepasselijke Privacywetgeving;

C. De toepasselijke Privacywetgeving legt daarnaast aan Verwerkingsverantwoordelijke de plicht op om toe te zien op de naleving van bovengenoemde waarborgen door Verwerker. Deze verwerkersovereenkomst beschrijft hoe Verwerkingsverantwoordelijke deze plicht kan vervullen;

D. Verwerkingsverantwoordelijke en Verwerker zijn een overeenkomst aangegaan voor het verrichten van de volgende diensten [diensten], die ertoe leidt dat Xxxxxxxxx in opdracht van

Verwerkingsverantwoordelijke Persoonsgegevens (als hieronder gedefinieerd), Verwerkt, welke worden gespecificeerd in bijlage 1;

E. Verwerkingsverantwoordelijke en Verwerker wensen in deze verwerkersovereenkomst de wederzijdse rechten en verplichtingen voor de Verwerking van Persoonsgegevens door Verwerker vast te leggen overeenkomstig de toepasselijke Privacywetgeving;

F. Deze Overeenkomst vormt een aanvulling op de Onderliggende Overeenkomst. Bij tegenspraak tussen bepalingen uit deze Overeenkomst en de Onderliggende Overeenkomst prevaleren de bepalingen uit deze Overeenkomst.

Partijen zijn het volgende overeengekomen:

1. Definities

1.1. Definities

AVG: Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking

van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (Algemene Verordening Gegevensbescherming);

Betrokkene: degene op wie een Persoonsgegeven betrekking heeft, waarbij de categorieën van betrokkenen zijn gespecificeerd in Bijlage 1;

Onderliggende de overeenkomst, d.d. [DATUM] met kenmerk [xxx] waarbij

Overeenkomst: Verwerkingsverantwoordelijke aan Verwerker opdracht heeft gegeven om Verwerkingen te verrichten;

Overeenkomst: deze verwerkersovereenkomst;

Persoonsgegevens: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon als bedoeld in de toepasselijke Privacywetgeving dat Verwerker op grond van de Onderliggende Overeenkomst Verwerkt of dient te Verwerken, waarvan de soort persoonsgegevens nader zijn gespecificeerd in Bijlage 1;

Privacywetgeving: Alle toepasselijke wet- en regelgeving met betrekking tot de Verwerking en bescherming van persoonsgegevens, waaronder maar niet beperkt tot de Wbp, AVG en de Uitvoeringswet AVG;

Verwerken/ alle handelingen of reeks handelingen uitgevoerd met betrekking tot

Verwerking: Persoonsgegevens of een geheel van Persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van Persoonsgegevens;

Wbp: de Wet bescherming persoonsgegevens.

2. Toepasselijkheid

2.1. Tenzij Partijen anders schriftelijk zijn overeengekomen, zijn de bepalingen van deze Overeenkomst van toepassing op iedere Verwerking door Verwerker op grond van de Onderliggende Overeenkomst.

3. Verwerking door Verwerker

3.1. Verwerker verwerkt de Persoonsgegevens uitsluitend in opdracht van Verwerkingsverantwoordelijke, behoudens afwijkende wettelijke verplichtingen.

3.2. Verwerker verwerkt gegevens ten behoeve van Verwerkingsverantwoordelijke, overeenkomstig diens instructies en onder diens verantwoordelijkheid en op de wijze vastgelegd in de Onderliggende Overeenkomst.

3.3. Verwerker heeft geen zeggenschap over het doel en de middelen voor de Verwerking van Persoonsgegevens en neemt geen beslissingen over het gebruik van de Persoonsgegevens,

de verstrekking aan derden en de duur van de opslag van Persoonsgegevens.

3.4. Verwerker dient zorg te dragen voor de naleving van de voorwaarden die op grond van de toepasselijke Privacywetgeving worden gesteld aan het Verwerken van Persoonsgegevens.

3.5. Verwerker verschaft enkel toegang tot de Persoonsgegevens aan haar werknemers voor zover dit nodig is voor het verrichten van de diensten op grond van de Onderliggende Overeenkomst.

3.6. Verwerker mag de Persoonsgegevens enkel buiten Nederland verwerken met voorafgaande schriftelijke toestemming van de Verwerkingsverantwoordelijke. Een dergelijke doorgifte en Verwerking van Persoonsgegevens vindt bovendien slechts plaats onder in de toepasselijke Privacywetgeving opgenomen voorwaarden, zoals bijvoorbeeld:

a) doorgifte aan landen buiten Nederland is slechts toegestaan indien deze landen een

passend beschermingsniveau waarborgen en als zodanig formeel zijn erkend door plaatsing op de ‘witte lijst’ van de Europese Commissie; of

b) er wordt gebruik gemaakt van een modelcontract (z.g.n. EU Model Clauses).

In het geval van een doorgifte als omschreven in dit artikel, accepteert de Verwerker elke wijziging van deze Overeenkomst die noodzakelijk is voor de Verwerkingsverantwoordelijke om te voldoen aan de toepasselijke wetgeving.

3.7. Verwerker zal geen Persoonsgegevens aan een derde verstrekken of ter beschikking stellen tenzij op grond van een uitdrukkelijke schriftelijke opdracht van Verwerkingsverantwoordelijke of op bevel van een gerechtelijke of bestuurlijke instantie, op voorwaarde dat Verwerker in dat geval

Verwerkingsverantwoordelijke binnen 24 uur na ontvangst van een dergelijk bevel daarvan in kennis stelt om Verwerkingsverantwoordelijke zodoende in staat te stellen daartegen een haar ter beschikking staand rechtsmiddel in te stellen.

3.8. Indien Verwerker van oordeel is dat zij op grond van een wettelijke verplichting Persoonsgegevens ter beschikking dient te stellen aan een daartoe bevoegde instantie zal zij daar niet toe overgaan, dan na overleg met en goedkeuring van Verwerkingsverantwoordelijke. Zij zal Verwerkingsverantwoordelijke zo spoedig mogelijk schriftelijk in kennis stellen van de wettelijke verplichting en daarbij alle relevante informatie verstrekken die Verwerkingsverantwoordelijke redelijkerwijs nodig heeft om de benodigde maatregelen te treffen om te bepalen of verstrekking kan plaatsvinden en, zo ja, onder welke voorwaarden.

3.9. Verwerker dient Verwerkingsverantwoordelijke in kennis te stellen van alle verzoeken met betrekking

tot Persoonsgegevens die rechtstreeks van een Betrokkene zijn ontvangen, waaronder maar niet beperkt

tot verzoeken tot inzage, rectificatie, wissing, beperking van de verwerking of overdracht van de Persoonsgegevens. Verwerker geeft aan een dergelijk verzoek alleen gevolg indien Verwerkingsverantwoordelijke Verwerker daartoe schriftelijk opdracht heeft gegeven. Verwerker zal de Verwerkingsverantwoordelijke door middel van passende technische en organisatorische maatregelen op haar eerste verzoek alle medewerking verlenen bij het vervullen van diens plicht om verzoeken om uitoefening van de vastgestelde rechten van de Betrokkenen te beantwoorden.

3.10. Verwerker handelt alle verzoeken om inlichtingen van Verwerkingsverantwoordelijke met betrekking tot de Verwerking van de Persoonsgegevens vlot en behoorlijk af. Xxxxxxxxx stelt op eerste verzoek

van Verwerkingsverantwoordelijke alle informatie ter beschikking die nodig is om de nakoming van

de verplichtingen van Verwerkingsverantwoordelijke als neergelegd in artikel 28 AVG, met ingang van 25 mei 2018.

3.11. Verwerker zal de Verwerkingsverantwoordelijke medewerking verlenen bij het doen nakomen van de verplichtingen ten aanzien van het doen van een gegevensbeschermingseffectbeoordeling op grond van de toepasselijke Privacywetgeving.

3.12. Verwerker stelt de Verwerkingsverantwoordelijke onmiddellijk schriftelijk in kennis indien een instructie naar het redelijk oordeel van Verwerker inbreuk oplevert op de toepasselijke Privacywetgeving.

3.13. Verwerker mag uitsluitend na voorafgaande schriftelijke toestemming van Verwerkingsverantwoordelijke een derde inschakelen bij de uitvoering van deze Overeenkomst, onder de voorwaarden die Verwerkingsverantwoordelijke daarbij stelt. Indien een derde voorafgaande na schriftelijke toestemming van Verwerkingsverantwoordelijke wordt ingeschakeld om ten behoeve van de

Verwerkingsverantwoordelijke specifieke Verwerkingsactiviteiten te verrichten, zal Verwerker aan deze andere derde bij overeenkomst minstens dezelfde verplichtingen inzake de Verwerking en bescherming van Persoonsgegevens opleggen

als de verplichtingen die zijn opgenomen in deze Overeenkomst. Verwerker is in alle opzichten verantwoordelijk en aansprakelijk voor het doen en laten van derden die zij in het kader van deze

Overeenkomst inschakelt, en zal Verwerkingsverantwoordelijke vrijwaren voor alle schade en kosten veroorzaakt door deze derden.

4. Meldplicht Datalekken

4.1. Verwerker dient Verwerkingsverantwoordelijke, onverwijld en in ieder geval uiterlijk binnen 12 uur

nadat Xxxxxxxxx ervan kennis heeft gekregen, in kennis te stellen van iedere inbreuk op de beveiliging (van

welke aard dan ook) die (mede) betrekking heeft of kan hebben op de Verwerking van Persoonsgegevens. Deze in kennis stelling dient plaats te vinden op het e-mailadres: xxxxxxxxxxxxxxxxxxxxx@xxxxxxxxxxxxx.xxx.

Verwerker zal in ieder geval informatie verstrekken over het volgende:

(i) de aard van de inbreuk, waar mogelijk onder vermelding van de categorie-en van Betrokkenen in kwestie en, bij benadering, het aantal betrokkenen in kwestie;

(ii) de (mogelijk) getroffen Persoonsgegevens en, bij benadering, het aantal getroffen Persoonsgegevens in kwestie;

(iii) de vastgestelde en verwachte gevolgen van de inbreuk voor de Verwerking van de Persoonsgegevens en de daarbij betrokken personen;

(iv) de maatregelen die Verwerker heeft getroffen en zal treffen om de inbreuk in verband met de Persoonsgegevens aan te pakken, waaronder, in voorkomend geval, de maatregelen ter beperking van de eventuele negatieve gevolgen van de inbreuk; en

(v) het telefoonnummer waarop Xxxxxxxxx, vanaf het moment direct na de in kennis stelling, tot minimaal 72 uur daarna, voortdurend op bereikbaar is.

Verwerker erkent dat Verwerkingsverantwoordelijke onder omstandigheden wettelijk verplicht is om een inbreuk op de beveiliging (van welke aard dan ook) die (mede) betrekking heeft of kan hebben op de Persoonsgegevens die Verwerker verwerkt, aan Betrokkenen en/of autoriteiten te melden. Een dergelijke melding door Verwerkingsverantwoordelijke zal nimmer als tekortkoming in de nakoming van deze Overeenkomst of Onderliggende Overeenkomst of anderszins als onrechtmatige handeling worden beschouwd. Verwerker zal alle maatregelen treffen die nodig zijn om de (mogelijke) schade te beperken en Verwerkingsverantwoordelijke ondersteunen bij meldingen aan Xxxxxxxxxxx en/of autoriteiten.

5. Beveiligingsmaatregelen inspectie

5.1. Verwerker bevestigt, verklaart en garandeert alle passende technische en organisatorische maatregelen te hebben genomen om Persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige Verwerking. Deze maatregelen garanderen een passend beveiligingsniveau gelet op de stand van de techniek, de uitvoeringskosten, alsook gelet op de aard, de omvang, context en verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico's die Verwerking van de Persoonsgegevens die de Verwerker Verwerkt met zich meebrengen voor de rechten en vrijheden van de Betrokkenen. Verwerker zal hierbij voor zover van toepassing ten minste de beveiligingsmaatregelen als genoemd in artikel 32 lid 1 sub A tot en met D AVG treffen.

5.2. Verwerker dient Verwerkingsverantwoordelijke te informeren indien een van de beveiligingsmaatregelen wijzigt.

5.3. Verwerker staat toe dat Verwerkingsverantwoordelijke de naleving van de beveiligingsmaatregelen door Verwerker inspecteert of dat op verzoek van Verwerkingsverantwoordelijke de

gegevensverwerkingsfaciliteiten van Verwerker door een door Verwerkingsverantwoordelijke aan te wijzen onderzoeksinstantie worden geïnspecteerd in verband met de verwerkingsactiviteiten die onder

deze Overeenkomst vallen ("de Inspectie"). De Inspectie wordt uitgevoerd door een onderzoeksinstantie, die naar het redelijk oordeel van Verwerkingsverantwoordelijke neutraal en deskundig is.

Verwerkingsverantwoordelijke draagt zorg dat de onderzoeksinstantie verplicht is tot geheimhouding van haar bevindingen tegenover derden.

5.4. Verwerkingsverantwoordelijke zal Verwerker een exemplaar van het rapport van de Inspectie verstrekken.

6. Registratie

6.1. Per 25 mei 2018, zal Verwerker een register bijhouden van alle categorieën van Verwerkingen die zij ten behoeve van de Verwerkingsverantwoordelijke verricht. Dit register bevat alle volgende gegevens:

a. de naam en de contactgegevens van de Verwerker en eventuele door de Verwerker ingeschakelde derden en van de Verwerkingsverantwoordelijke voor rekening waarvan de Verwerker handelt, en, in voorkomend geval, van de vertegenwoordiger van de Verwerkingsverantwoordelijke of de Verwerker en van de functionaris voor gegevensbescherming;

b. de categorieën van Verwerkingen die voor rekening van iedere Verwerkingsverantwoordelijke zijn uitgevoerd;

c. indien van toepassing, doorgiften van persoonsgegevens aan een derde land of een internationale organisatie, onder vermelding van dat derde land of die internationale organisatie en, in geval van doorgiften vanuit een register conform artikel 49, lid 1, tweede alinea AVG, de documenten inzake de passende waarborgen;

d. De algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen als bedoeld in artikel 32 lid 1 AVG, zie Bijlage 2.

7. Verplichtingen Verwerkingsverantwoordelijke

7.1. Verwerkingsverantwoordelijke is ten aanzien van de Verwerking van Persoonsgegevens krachtens deze Overeenkomst de 'Verwerkingsverantwoordelijke'.

7.2. Verwerkingsverantwoordelijke gaat ermee akkoord en staat er voor in dat de Verwerking van de Persoonsgegevens overeenkomstig de Overeenkomst in overeenstemming is met toepasselijke Privacywetgeving.

8. Aansprakelijkheid

8.1. Verwerker is aansprakelijk voor alle directe schade (waaronder begrepen door toezichthouders opgelegde boetes, met uitzondering van delen van boetes welke toe te rekenen zijn aan handelen of nalaten van de Verwerkingsverantwoordelijke) voortvloeiende uit of verband houdend met het niet nakomen van deze Overeenkomst dan wel handelen in strijd met de toepasselijke Privacywetgeving.

8.2. Verwerker vrijwaart Verwerkingsverantwoordelijke tegen aanspraken van derden, waaronder Betrokkenen, in verband met het toerekenbaar tekortschieten van Verwerker in de nakoming van de Overeenkomst of overtreding door Verwerker van de toepasselijke Privacywetgeving en zal alle daarmee verband houdende en daaruit voortvloeiende kosten (waaronder mede begrepen kosten van juridische bijstand) en schade

van Verwerkingsverantwoordelijke vergoeden.

9. Geheimhouding

9.1. Verwerker heeft haar medewerkers verplicht, behoudens dwingendrechtelijke verplichtingen, tot geheimhouding van de Persoonsgegevens waarvan zij uit hoofde van de verbintenis met Verwerkingsverantwoordelijke kennisnemen.

9.2. Verwerker zal de Persoonsgegevens uitsluitend openbaren aan die medewerkers en/of derden die noodzakelijkerwijs van de Persoonsgegevens kennis dienen te nemen. Verwerker zal tevens er voor

zorg dragen dat de door hem ingeschakelde medewerkers en derden zich houden aan de in deze Overeenkomst en de Onderliggende Overeenkomst vastgelegde verplichtingen, daaronder begrepen de beveiligings-

en geheimhoudingsverplichtingen die rusten op Verwerker.

10. Beëindiging

10.1. De Overeenkomst is met ingang van de ingangsdatum van de Onderliggende Overeenkomst voor onbepaalde tijd aangegaan en eindigt op het tijdstip dat de Onderliggende Overeenkomst eindigt. Indien geen Onderliggende Overeenkomst is gesloten geldt als ingangsdatum de datum van ondertekening van deze Overeenkomst.

10.2. Tussentijdse opzegging van deze Overeenkomst is niet mogelijk.

10.3. Onverminderd andersluidende schriftelijke opdracht van Verwerkingsverantwoordelijke zal Verwerker in geval van beëindiging van de Overeenkomst onverwijld alle aan haar ter beschikking gestelde Persoonsgegevens aan Verwerkingsverantwoordelijke retourneren en alle digitale kopieën van Persoonsgegevens vernietigen en aan Verwerkingsverantwoordelijke verklaren dat zij dit heeft uitgevoerd. Indien naar het redelijk oordeel van Verwerker een zelfstandige wettelijke verplichting van Verwerker het geheel of gedeeltelijk retourneren of vernietigen van de Persoonsgegevens door Verwerker verbiedt of beperkt zal zij Verwerkingsverantwoordelijke zo spoedig mogelijk schriftelijk in kennis stellen van de wettelijke verplichting en daarbij alle relevante informatie verstrekken die Verwerkingsverantwoordelijke redelijkerwijs nodig heeft om te bepalen of vernietiging kan plaatsvinden en, zo ja, onder welke voorwaarden. Indien naar het redelijk oordeel van Verwerkingsverantwoordelijke de wettelijke verplichting (gedeeltelijke) vernietiging van de Persoonsgegevens door Verwerker toelaat zal Verwerker daartoe

op verzoek van Verwerkingsverantwoordelijke onverwijld overgaan. Is Verwerkingsverantwoordelijke van oordeel dat vernietiging niet mag plaatsvinden, dan zal zij Verwerker daarvan schriftelijk op de hoogte stellen. Verwerker garandeert in dat geval de vertrouwelijkheid van de Persoonsgegevens jegens

Verwerkingsverantwoordelijke en zal de Persoonsgegevens niet Verwerken behalve ter voldoening aan haar bovenbedoelde wettelijke verplichting of na schriftelijke opdracht van Verwerkingsverantwoordelijke.

10.4. Verplichtingen uit deze Overeenkomst welke naar hun aard bestemd zijn om ook na het einde van deze Overeenkomst voort te duren, blijven na het einde van deze Overeenkomst bestaan. Tot deze

verplichtingen behoren de bepalingen over de geheimhouding van de persoonsgegevens, toepasselijk recht en geschillenbeslechting.

11. Overdracht rechten en plichten

11.1. Deze Overeenkomst en de rechten en verplichtingen uit deze Overeenkomst kunnen door Verwerker niet aan derden worden overgedragen zonder de voorafgaande schriftelijke toestemming van Verwerkingsverantwoordelijke.

12. Deelbaarheid

12.1. Indien één of meer bepalingen van deze Overeenkomst niet rechtsgeldig blijkt te zijn, zal de Overeenkomst voor het overige van kracht blijven. Partijen zullen over de bepalingen welke niet rechtsgeldig zijn overleg plegen, teneinde een vervangende regeling te treffen die wel rechtsgeldig is en zoveel mogelijk aansluit bij de strekking van de te vervangen regeling.

13. Toepasselijk recht en geschillen

13.1. Nederlands recht is van toepassing op deze Overeenkomst.

13.2. Alle geschillen voortvloeiende uit of samenhangende met deze Overeenkomst zullen worden voorgelegd aan de bevoegde rechter te Rotterdam.

- handtekeningenpagina volgt –

Handtekeningenpagina Verwerkersovereenkomst Aldus overeengekomen en in tweevoud ondertekend.

Verwerkingsverantwoordelijke Verwerkingsverantwoordelijke

Door: Door:

Functie: Functie:

Plaats: Plaats:

Datum: Datum:

Verwerker Verwerker

Door: Door:

Functie: Functie:

Plaats: Plaats:

Datum: Datum:

BIJLAGE 1 - Persoonsgegevens

Soort persoonsgegevens

▪ Voornamen

▪ Voorletters

▪ Achternaam

▪ Tussenvoegsel

▪ Geboortedatum

▪ Geslacht

▪ Titels

▪ Burgerservicenummer

▪ ID Bewijs nummer

▪ ID Bewijs uitgiftedatum

▪ ID Bewijs Uitgifte Plaats

▪ ID Bewijs Einddatum

▪ Nationaliteit

▪ Geboorteplaats

▪ Verblijfsdocument Einddatum

▪ Verblijfsdocument Uitgifte datum

Let op: dit zijn voorbeelden, dit is geen uitputtende lijst.

Categorieën betrokkenen ZZP’ers Uitzendkrachten Payrollers

Let op: dit zijn voorbeelden, dit is geen uitputtende lijst.

BIJLAGE 2 - Beschrijving technische en organisatorische beveiligingsmaatregelen

Zie aparte bijlage, zoals is bijgevoegd.