Verwerkersovereenkomst Supplydrive 2019 Overeenkomst ter bescherming van Persoonsgegevens
Verwerkersovereenkomst Supplydrive 2019
Overeenkomst ter bescherming van Persoonsgegevens
Supplydrive B.V.
Inhoudsopgave
Artikel 2. Algemeen / Doeleinden van de verwerking 3
Artikel 3. Verplichtingen van partijen 4
Artikel 4. Inschakelen van Subverwerkers 4
Artikel 5. Doorgifte van Persoonsgegevens 5
Artikel 6. Verdeling van verantwoordelijkheid 5
Artikel 8. Beveiligingsincidenten en Datalekken 6
Artikel 10. Aansprakelijkheid 7
Artikel 12. Looptijd en beëindiging 8
Artikel 13. Toepasselijk recht en geschillenbeslechting 8
De partijen:
1. Supplydrive BV, gevestigd en kantoorhoudend te 0000XX Xxxxxxx aan de
Xxxxxxxxxxx 00, rechtsgeldig vertegenwoordigd door de heer E.L. Xxxxxx, directeur, hierna te noemen: Verwerker
en
2. Klant, hierna te noemen: Verwerkingsverantwoordelijke, hierna gezamenlijk te noemen: Partijen;
OVERWEGENDE DAT:
a. Verwerker een onderneming is die zich bezig houdt met applicatie-integratiediensten, consultancy diensten en/of bijbehorende diensten;
b. Verwerker een overeenkomst heeft gesloten met Verwerkingsverantwoordelijke in het kader van één of meerdere van de onder a. omschreven diensten;
c. Verwerkingsverantwoordelijke beschikt over Persoonsgegevens van diverse Betrokkenen;
d. Voor zover Verwerker in het kader van de diensten die zij levert aan Verwerkingsverantwoordelijke Persoonsgegevens verwerkt, waarbij de Verwerkingsverantwoordelijke doel en middelen aanwijst, Partijen in het kader van de Uitvoeringswet Algemene verordening gegevensbescherming (AVG) en richtlijnen ten aanzien van bescherming van Persoonsgegevens overeenkomen om bij die verwerking de bepalingen van deze Verwerkersovereenkomst in acht te nemen,
KOMEN OVEREEN:
Artikel 1. Begrippen
In deze Verwerkersovereenkomst wordt een aantal begrippen met een beginhoofdletter gebruikt. Onder de volgende begrippen wordt in deze Verwerkersovereenkomst verstaan:
1.1 Betrokkene: degene op wie een Persoonsgegeven betrekking heeft.
1.2 Datalek: een inbreuk op de beveiliging van Persoonsgegevens die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies , de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens.
1.3 Personeel: de door Partijen voor de uitvoering van deze Verwerkersovereenkomst in te schakelen personen, welke onder hun verantwoordelijkheid zullen werken.
1.4 Persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. Ook (herleidbare) gepseudonimiseerde Persoonsgegevens vallen onder dit begrip.
1.5 Subverwerker: derde die door Verwerker wordt ingeschakeld om ten behoeve van Verwerker Persoonsgegevens te verwerken, zonder aan het rechtstreeks gezag van Verwerker te zijn onderworpen.
1.6 Verwerkingsverantwoordelijke: de verantwoordelijke voor de Verwerking in de zin van de Wet bescherming Persoonsgegevens en/of Europese verordeningen en richtlijnen ten aanzien van bescherming van Persoonsgegevens.
1.7 Verwerker: degene die ten behoeve van de Verwerkingsverantwoordelijke Persoonsgegevens verwerkt zonder aan zijn rechtstreeks gezag te zijn onderworpen.
1.8 Verwerking: elke handeling of elk geheel van handelingen met betrekking tot Persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens.
1.9. Dienst(en): alle diensten en/of producten die Verwerker levert aan Verwerkingsverantwoordelijke op basis van een overeenkomst tussen Verwerker en Verwerkingsverantwoordelijke
Artikel 2. Algemeen / Doeleinden van de verwerking
2.1 Verwerker verbindt zich onder de voorwaarden van deze Verwerkersovereenkomst in opdracht van Verwerkingsverantwoordelijke Persoonsgegevens te verwerken. Verwerking zal uitsluitend plaatsvinden in het kader van het leveren van Diensten door Verwerker aan Verwerkingsverantwoordelijke, plus die doeleinden die daarmee redelijkerwijs samenhangen of die met nadere instemming worden bepaald.
2.2 Gelet op de aard van de Diensten van Verwerker, zal Verwerker alle Persoonsgegevens verwerken van alle categorieën van Betrokkenen die met gebruik van de diensten worden opgeslagen, dan wel op een andere manier aan Verwerker worden verstrekt om te worden verwerkt in het kader van de Diensten. Verwerking heeft (mogelijk) betrekking op:
a. Personalia gegevens; naam, adres, woonplaats, telefoonnummer, geslacht, e-mailadres
b. Financiële gegevens; IBAN (rekening)nummers, betalingshistorie
c. Gegevens ten behoeve van dienstverlening; bezoekverslag, afrekening van Diensten
d. Meldingregistratie; het registreren van meldingen t.a.v. de klant met als doel deze op een klantvriendelijke wijze, binnen een zo kort mogelijke termijn op te lossen.
e. Systeem (log) gegevens; IP-adressen, aanmeldgegevens, wachtwoorden (versleuteld) aantal keren aangemeld (licentiecontrole)
2.3 Verwerker zal de Persoonsgegevens niet voor enig ander doel verwerken dan zoals door Verwerkingsverantwoordelijke is vastgesteld. Verwerkingsverantwoordelijke zal Verwerker op de hoogte stellen van de Verwerkingsdoeleinden voor zover deze niet reeds in deze Verwerkersovereenkomst zijn genoemd.
2.4 De in opdracht van Verwerkingsverantwoordelijke te verwerken Persoonsgegevens blijven eigendom van Verwerkingsverantwoordelijke en/of betreffende Betrokkenen.
2.5. Voor zover er bij het gebruik van de diensten van Verwerker door Verwerkingsverantwoordelijke bijzondere persoonsgegevens worden verwerkt, dient Verwerkingsverantwoordelijke dit vooraf aan Verwerker te melden en zullen partijen in overleg beoordelen of daarvoor aanvullende maatregelen moeten worden genomen.
2.6. Verwerker heeft geen zeggenschap over het doel en de middelen voor de Verwerking van Persoonsgegevens en neemt geen zelfstandige beslissingen over de ontvangst en het gebruik van de Persoonsgegevens, de verstrekking aan derden en de duur van de opslag.
Artikel 3. Verplichtingen van partijen
3.1 Beide partijen zullen zorg dragen voor de naleving van de toepasselijke wet- en regelgeving, waaronder in ieder geval begrepen de wet- en regelgeving op het gebied van de bescherming van Persoonsgegevens.
3.2 Verwerker zal Verwerkingsverantwoordelijke, op diens eerste verzoek daartoe binnen een redelijke termijn informeren over de door haar genomen maatregelen aangaande haar verplichtingen onder deze Verwerkersovereenkomst.
3.3 De verplichtingen van de Verwerker die uit de Verwerkersovereenkomst voortvloeien, gelden ook voor degenen die Persoonsgegevens verwerken onder het gezag van Verwerker, waaronder begrepen maar niet beperkt tot werknemers, in de ruimste zin van het woord.
3.4 Op verzoek van Verwerkingsverantwoordelijke zal Verwerker de redelijkerwijs benodigde bijstand verlenen bij ten behoeve van het voldoen aan verzoeken van Xxxxxxxxxxx (zoals diens recht op verwijdering, wijziging, inzage, verstrekking van persoonlijke gegevens in een gangbaar format). De kosten die Verwerker hiertoe (redelijkerwijs) maakt of dient te maken worden door Verwerkingsverantwoordelijke aan Verwerker vergoed.
3.5. Als een Betrokkene een verzoek over zijn Persoonsgegevens richt aan Verwerker, zal Verwerker het verzoek doorsturen naar Verwerkersverantwoordelijke. Verwerker mag de Betrokkene daarvan op de hoogte stellen.
Artikel 4. Inschakelen van Subverwerkers
4.1 Verwerkingsverantwoordelijke stemt ermee in dat Verwerker in het kader van de Diensten en de daarmee gepaard gaande verwerking van Persoonsgegevens Subverwerkers inschakelt. Verwerker zal Verwerkingsverantwoordelijke op verzoek informeren over welke Subverwerkers zij inschakelt.
4.2 Verwerker zal aan de Subverwerker dezelfde verplichtingen opleggen - en een en ander schriftelijk vastleggen in een contract - als voor zichzelf uit deze Verwerkersovereenkomst voortvloeien en toezien op de naleving daarvan door Subverwerker.
4.3 Indien Verwerker het voornemen heeft om nieuwe Subverwerkers in te schakelen, dan zal Verwerker Verwerkingsverantwoordelijke daarover vooraf informeren en heeft Verwerkingsverantwoordelijke een termijn van 2 weken om daartegen schriftelijk bezwaar te maken. Indien Verwerkingsverantwoordelijke binnen deze termijn van 2 weken geen bezwaar maakt, dan wordt zij geacht in te stemmen met het inschakelen van de nieuwe Subverwerker(s). Indien Verwerkingsverantwoordelijke binnen 2 weken bezwaar maakt, dan zullen partijen zich inspannen om in overleg tot een redelijke oplossing te komen. Indien partijen geen overeenstemming bereiken, dan is Verwerker gerechtigd de nieuwe Subverwerker(s) in te schakelen en is Verwerkingsverantwoordelijke bevoegd de Overeenkomst op te zeggen tegen de datum waarop Verwerker de nieuwe Subverwerker(s) inschakelt.
Artikel 5. Doorgifte van Persoonsgegevens
5.1 Verwerker verwerkt Persoonsgegevens in landen binnen de Europese Unie. Verwerkingsverantwoordelijke geeft toestemming aan Verwerker voor de Verwerking van Persoonsgegevens in landen buiten de Europese Unie met inachtneming van de daarvoor geldende wet- en regelgeving. Verwerker zal Verwerkingsverantwoordelijke op verzoek melden naar welk land of welke landen de Persoonsgegevens worden doorgegeven.
Artikel 6. Verdeling van verantwoordelijkheid
6.1 De toegestane Verwerkingen zullen door medewerkers van Verwerker worden uitgevoerd binnen een (semi-)geautomatiseerde omgeving.
6.2 Verwerker is louter verantwoordelijk voor de Verwerking van de Persoonsgegevens onder deze Verwerkersovereenkomst, overeenkomstig de instructies van Verwerkingsverantwoordelijke en onder de uitdrukkelijke (eind)verantwoordelijkheid van Verwerkingsverantwoordelijke. Voor de overige Verwerkingen van Persoonsgegevens, waaronder in ieder geval begrepen maar niet beperkt tot de verzameling van de Persoonsgegevens door de Verwerkingsverantwoordelijke, Verwerkingen voor doeleinden die niet door Verwerkingsverantwoordelijke aan Verwerker zijn gemeld, Verwerkingen door derden en/of andere doeleinden, is Verwerker uitdrukkelijk niet verantwoordelijk. De verantwoordelijkheid voor deze Verwerkingen rust bij Verwerkingsverantwoordelijke.
6.3 Verwerkingsverantwoordelijke garandeert dat de inhoud, het gebruik en de opdracht tot de Verwerkingen van de Persoonsgegevens zoals bedoeld in deze Verwerkersovereenkomst, niet onrechtmatig is en geen inbreuk maken op enig recht van derden. De Verwerkingsverantwoordelijke vrijwaart voor aanspraken van derden die voortvloeien uit het niet voldoen aan voornoemde garantie door Verwerkingsverantwoordelijke.
Artikel 7. Beveiliging
7.1 Verwerker treft technische en organisatorische beveiligingsmaatregelen om de Persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige Verwerking, rekening houdend met de aard, de omvang en de context van de doeleinden van de Verwerking van Persoonsgegevens ten behoeve van Verwerkingsverantwoordelijke, de stand van de techniek, de
uitvoeringskosten en de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van Xxxxxxxxxxx. Op verzoek van Verwerkingsverantwoordelijke werkt Verwerker mee aan encryptie (versleuteling) en pseudonimisering van Persoonsgegevens, indien dit gelet op de
omstandigheden vermeld in de vorige volzin noodzakelijk is. Indien dit leidt tot hogere kosten voor Verwerker, zal Verwerkingsverantwoordelijke deze kosten vergoeden.
7.2 De beveiligingsmaatregelen bieden, naar het oordeel van de Verwerkingsverantwoordelijke, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging van de
beveiligingsmaatregelen een passend beveiligingsniveau, gelet op de risico’s die de Verwerking en de aard van de Persoonsgegevens met zich meebrengen.
7.3 Indien Verwerkingsverantwoordelijke of Verwerker van oordeel is dat er een wijziging in de door Verwerkingsverantwoordelijke te treffen beveiligingsmaatregelen noodzakelijk is om een passend beveiligingsniveau te bieden, dan treden Verwerkingsverantwoordelijke en Verwerker in overleg over de gewenste wijziging in de beveiligingsmaatregelen. Verwerker heeft het recht de kosten die verband houden met de wijziging in de beveiligingsmaatregelen in rekening te brengen bij Verwerkingsverantwoordelijke.
7.4 Verwerkingsverantwoordelijke stelt enkel Persoonsgegevens aan Verwerker ter beschikking voor Verwerking, indien zij zich er van heeft verzekerd dat de vereiste beveiligingsmaatregelen zijn getroffen. Verwerkingsverantwoordelijke is verantwoordelijk voor de naleving van de door Partijen afgesproken maatregelen.
7.5 Verwerkingsverantwoordelijke heeft het recht toe te zien op de naleving van Verwerker van de in deze Verwerkersovereenkomst overeengekomen beveiligingsmaatregelen, conform de afspraken die hierover zijn gemaakt.
Artikel 8. Beveiligingsincidenten en Datalekken
8.1 Om Verwerkingsverantwoordelijke te ondersteunen in het voldoen aan zijn verplichting tot het melden van Datalekken, komen Partijen hierbij overeen dat Xxxxxxxxx zich zal inspannen om Verwerkingsverantwoordelijke zo snel mogelijk, maar uiterlijk binnen 72 uur, te informeren over een datalek, nadat Xxxxxxxxx beveiligingsincidenten heeft ontdekt.
8.2 Melding van Datalekken blijft te allen tijde de verantwoordelijkheid van Verwerkingsverantwoordelijke en Verwerkingsverantwoordelijke zal zorgdragen voor het voldoen aan eventuele meldplichten.
8.3 Verwerker zal, waar mogelijk en nodig, zijn medewerking verlenen aan noodzakelijke informatievoorziening aan Verwerkingsverantwoordelijke in het kader van de door Verwerker gemelde Datalekken aan Verwerkingsverantwoordelijke alsmede, als de wet- en regelgeving dat vereist, meewerken aan het informeren van de autoriteiten en/of betrokkenen..
Artikel 9. Geheimhouding
9.1 Alle medewerkers van Verwerkingsverantwoordelijke en alle medewerkers van Verwerker, voor zover deze laatste toegang hebben tot de Persoonsgegevens, zijn verplicht tot geheimhouding van de Persoonsgegevens waarvan zij kennis nemen jegens derden, tenzij Verwerkingsverantwoordelijke toestemming heeft gegeven om de informatie over Persoonsgegevens aan derden te verstrekken, het verstrekken van dergelijke informatie aan derden noodzakelijk is voor de uitvoering van de
Overeenkomst, er een wettelijke plicht bestaat tot het verstrekken van dergelijke informatie aan derden en/of informatie aan Subverwerkers wordt verstrekt.
9.2 Verwerker zal de Persoonsgegevens niet gebruiken voor een ander doel dan waarvoor zij deze van Verwerkingsverantwoordelijke heeft verkregen. Verwerkingsverantwoordelijke geeft toestemming aan Verwerker om Persoonsgegevens voor eigen doeleinden van Verwerker te anonimiseren, zodat deze niet (langer) te herleiden tot Betrokkenen en de geanonimiseerde gegevens voor andere doeleinden te gebruiken.
Artikel 10. Aansprakelijkheid
10.1 De aansprakelijkheid van Verwerker voor schade als gevolg van een toerekenbare tekortkoming in de nakoming van de Verwerkersovereenkomst, dan wel uit onrechtmatige daad of anderszins, is per gebeurtenis (een reeks opeenvolgende gebeurtenissen geldt als één gebeurtenis) beperkt tot de vergoeding van de directe schade tot maximaal het bedrag van de door Verwerker ontvangen vergoedingen voor de werkzaamheden onder deze Verwerkersovereenkomst.
10.2 Onder directe schade wordt uitsluitend verstaan alle schade bestaande uit:
a. redelijke en aantoonbare kosten om de Verwerker er toe te manen de Verwerkersovereenkomst (weer) deugdelijk na te komen;
b. redelijke kosten ter vaststelling van de oorzaak en omvang van de schade voor zover betrekking hebbende op de directe schade zoals hier bedoeld is; en
c. redelijke en aantoonbare kosten die Verwerkingsverantwoordelijke heeft gemaakt ter voorkoming of beperking van de directe schade zoals in dit artikel bedoeld.
10.3 De aansprakelijkheid van Verwerker voor indirecte schade is uitgesloten. Onder indirecte schade wordt verstaan alle schade die geen directe schade is en daarmee in ieder geval, maar niet beperkt tot, gevolgschade, gederfde winst, gemiste besparingen, verminderende goodwill, schade door bedrijfsstagnatie, schade verband houdende met het gebruik van door Verwerkingsverantwoordelijke voorgeschreven gegevens of databestanden, of verlies, verminking of vernietiging van gegevens of databestanden.
10.4 De in dit artikel bedoelde uitsluitingen en beperkingen komen te vervallen indien en voor zover de schade het gevolg is van opzet of bewuste roekeloosheid van Verwerker.
10.5 Tenzij nakoming door Verwerker blijvend onmogelijk is, ontstaat de aansprakelijkheid van Verwerker wegens toerekenbare tekortkoming in de nakoming van de Overeenkomst slechts indien Verwerkingsverantwoordelijke de Verwerker onverwijld schriftelijk in gebreke stelt, waarbij een redelijke termijn voor de zuivering van de tekortkoming wordt gesteld, en Verwerker ook na die termijn toerekenbaar blijft tekortschieten in de nakoming van haar verplichtingen. De ingebrekestelling dient een zo volledig en gedetailleerd mogelijke omschrijving van de tekortkoming te bevatten, opdat Verwerker in de gelegenheid wordt gesteld adequaat te reageren.
10.6 Iedere vordering tot schadevergoeding door Verwerkingsverantwoordelijke tegen Verwerker die niet gespecificeerd en expliciet is gemeld, vervalt door het enkele verloop van twaalf (12) maanden na het ontstaan van de vordering.
Artikel 11. Audits
11.1 Verwerkingsverantwoordelijke heeft recht om eens per jaar een audit uit te voeren of laten voeren door een door de Verwerkingsverantwoordelijke gemachtigde deskundige derde die aan geheimhouding is gebonden met als doel om de naleving van de verplichtingen uit deze Verwerkersovereenkomst te controleren. Verwerker zal hieraan meewerken en de informatie
verstrekken die nodig is om de nakoming van de verplichtingen uit deze Verwerkersovereenkomst aan te tonen.
11.2 De Verwerkingsverantwoordelijke dient een audit minimaal 4 weken van te voren aan te kondigen.
11.3. De bevindingen van de audit zullen in onderling overleg worden beoordeeld en zullen zo nodig wijzigingen worden doorgevoerd.
11.3. Alle kosten van de audit, waaronder ook de door Verwerker gemaakte kosten, komen voor rekening van Verwerkingsverantwoordelijke.
Artikel 12. Looptijd en beëindiging
12.1 Deze Verwerkersovereenkomst treedt in werking op het moment dat de verwerkersverantwoordlijke diensten afneemt van de verwerker en eindigt op het moment dat de verwerkersverantwoordlijke geen dienst meer afneemt van de verwerker.
12.2 Verwerker zal, in geval van einde van deze Verwerkersovereenkomst, alle onder zich zijnde en van Verwerkingsverantwoordelijke ontvangen Persoonsgegevens, retourneren aan Verwerkingsverantwoordelijke of, indien door Partijen overeengekomen, vernietigen.
12.3 Het bepaalde in artikel 12.2 geldt niet indien een wettelijke regeling het geheel of gedeeltelijk retourneren of vernietigen van de Persoonsgegevens door Verwerker belet. In een dergelijk geval zal Verwerker de Persoonsgegevens enkel blijven verwerken voor zover noodzakelijk uit hoofde van zijn wettelijke verplichtingen.
12.4 Partijen mogen deze Overeenkomst alleen wijzigen met wederzijdse instemming.
Artikel 13. Toepasselijk recht en geschillenbeslechting
13.1 De Verwerkersovereenkomst en de uitvoering daarvan worden beheerst door Nederlands recht.
13.2 Alle geschillen, welke tussen Partijen mochten ontstaan in verband met de Verwerkersovereenkomst, zullen worden voorgelegd aan de bevoegde rechter voor het arrondissement waarin Verwerker gevestigd is.