Vgrwgrfigrsovgrggnfiomst
Vgrwgrfigrsovgrggnfiomst
20-09-2022, versie 4.0
Behorende bij Algemene Voorwaarden van 20-09-2022, versie 4.0
Paraaf Verwerkingsverantwoordelijke ………………………… Paraaf Verwerker .……………………………………..
Montix – Internetbureau Rigtersbleek Aalten 4 - 108
T + 31 (0)53 750 30 30
Rabobank: 1279.70.371
Iban: XX00 XXXX 0000 0000 00
BTW: NL104010496B02 KvK : 62395807
Inhoudsopgavg
De ondergetekenden: 3
Artikel 1, Onderwerp van de Verwerkersovereenkomst 4
Artikel 2, Technische en organisatorische voorzieningen (beveiliging) 4
Artikel 3, Inschakeling derden 4
Artikel 4, Doorgifte naar derde landen 4
Artikel 5, Bijstand verlenen 5
Artikel 6, Vertrouwelijkheid 5
Artikel 7, Xxxxxxxxxxxx & verwijdering 5
Artikel 8, Aansprakelijkheid 5
Artikel 9, Controle & toezicht 6
Artikel 10, Overige bepalingen 6
Bijlage 1 8
Bijlage 2 beveiligingsmaatregelen. 10
Paraaf Verwerkingsverantwoordelijke ………………………… Paraaf Verwerker .……………………………………..
Montix – Internetbureau Rigtersbleek Aalten 4 - 108
T + 31 (0)53 750 30 30
Rabobank: 1279.70.371
Iban: XX00 XXXX 0000 0000 00
BTW: NL104010496B02 KvK : 62395807
De ondergetekenden:
Dit Addendum inzake Verwerking maakt onlosmakelijk deel uit van de Algemene Voorwaarden die gelden tussen Montix, gevestigd te Enschede, kantoorhoudende aan Rigtersbleek Aalten 4 - 108, hierbij rechtsgeldig vertegenwoordigd door Xxxxx xxx xxx Xxxx, eigenaar/directeur (hierna te noemen: “Verwerker”) en Opdrachtgever (hierna te noemen: “Verwerkingsverantwoordelijke”), gezamenlijk hierna ook te noemen “Partijen”.
Dit addendum is van kracht op het moment dat er een Overeenkomst tot stand is gekomen. De looptijd is gelijk aan de gesloten Overeenkomst.
Overwegende dat:
▪ Verwerkingsverantwoordelijke gebruik wil maken van de diensten van Verwerker ten behoeve van de webappplicatie(s) in beheer bij Verwerker.
▪ Partijen hiertoe op een separate overeenkomst hebben getekend ten aanzien van de door Verwerker te verrichten dienst.
▪ Verwerker in het kader van de Overeenkomst persoonsgegevens (hierna: “Persoonsgegevens”) in de zin van de Wet bescherming persoonsgegevens (hierna: “Wbp”) en de Algemene Verordening Gegevensbescherming (hierna: “AVG”) zal verwerken ten behoeve van Verwerkingsverantwoordelijke;
▪ Partijen - mede ter uitvoering van het bepaalde in artikel 14 lid 2 Wbp en artikel 28 lid 3 AVG - in de onderhavige aanvullende overeenkomst (hierna: “Verwerkersovereenkomst”) een aantal voorwaarden wensen vast te leggen die van toepassing zijn op hun relatie in verband met de genoemde activiteiten in opdracht van en ten behoeve van Verwerkingsverantwoordelijke;
▪ De in de onderhavige overeenkomst gehanteerde definities van “Verwerker” (“bewerker” in de Wbp), “Verwerkingsverantwoordelijke” (“verantwoordelijke” in de Wbp), “persoonsgegevens”, “verwerken” en “verwerking” in overeenstemming zijn met van toepassing zijnde definities zoals gehanteerd in artikel 1 van de Wbp en artikel 4 AVG;
▪ Partijen zich ervan bewust zijn dat tot 25 mei 2018 de Wbp van toepassing is op deze Verwerkersovereenkomst en vanaf 25 mei 2018 de AVG en de intentie hebben met de onderhavige Verwerkersovereenkomst aan de toepasselijke wetgeving te voldoen.
Verklaren te zijn overeengekomen als volgt:
Paraaf Verwerkingsverantwoordelijke ………………………… Paraaf Verwerker .……………………………………..
Montix – Internetbureau Rigtersbleek Aalten 4 - 108
T + 31 (0)53 750 30 30
Rabobank: 1279.70.371
Iban: XX00 XXXX 0000 0000 00
BTW: NL104010496B02 KvK : 62395807
Artikel 1, Onderwerp van de Verwerkersovereenkomst
1. Verwerkingsverantwoordelijke is verantwoordelijk voor de verwerking van de Persoonsgegevens in het kader van uitvoering van de Overeenkomst. Verwerker heeft geen zelfstandige zeggenschap over de Persoonsgegevens.
2. De Verwerker verwerkt Persoonsgegevens slechts in opdracht van de Verwerkingsverantwoordelijke in het kader van de uitvoering van de Overeenkomst, in overeenstemming met de door Verwerkingsverantwoordelijke bepaalde doeleinden en middelen en de bewaartermijnen zoals beschreven in Bijlage 1, alsmede in overeenstemming met eventuele overige door de Verwerkingsverantwoordelijke verstrekte schriftelijke instructies, tenzij een op Verwerker van toepassing zijnde Unierechtelijke of lidstaatrechtelijke bepaling Verwerker tot verwerking verplicht, in welk geval stelt Verwerker Verwerkingsverantwoordelijke, voorafgaand aan de verwerking, in kennis van dat wettelijk voorschrift, tenzij die wetgeving deze kennisgeving om gewichtige redenen van algemeen belang verbiedt.
3. Verwerkingsverantwoordelijke garandeert dat zijn instructies aan Verwerker leiden tot een verwerking door Xxxxxxxxx die in overeenstemming zal zijn met toepasselijke regelgeving en geen inbreuk zal maken op enig recht van derden.
Artikel 2, Technische en organisatorische voorzieningen (beveiliging)
1. Verwerkingsverantwoordelijke stelt enkel Persoonsgegevens aan Verwerker ter beschikking voor verwerking, indien Verwerkingsverantwoordelijke zich er van heeft verzekerd dat de vereiste beveiligingsmaatregelen zijn getroffen, welke mede gelet op het bepaalde in artikel 32 AVG een passend beschermingsniveau garanderen, gelet op de stand van de techniek en de kosten van de tenuitvoerlegging, gelet op de risico’s die de verwerking en de aard van de te beschermen gegevens met zich meebrengen, van welke beveiligingsmaatregelen een overzicht is opgenomen in Bijlage 2.
2. Verwerkingsverantwoordelijke is gerechtigd de maatregelen en de naleving van de op Verwerker rustende verplichtingen te controleren.
3. In geval Verwerker kennis heeft genomen van een inbreuk op de beveiliging zoals omschreven in artikel 34a Wbp en/of artikel 4 lid 12 AVG (hierna: “Datalek”), zal Verwerker Verwerkingsverantwoordelijke zo spoedig mogelijk, en waar mogelijk binnen 24 (vierentwintig) uur nadat het Datalek ter kennis van Verwerker is gekomen, informeren.
4. Indien zich, ondanks het feit dat Verwerker maatregelen zoals afgestemd met Verwerkingsverantwoordelijke heeft doorgevoerd, een Datalek voordoet, kan Verwerkingsverantwoordelijke Verwerker niet aansprakelijk houden voor enige door Verwerkingsverantwoordelijke als gevolg hiervan geleden schade.
Artikel 3, Inschakeling derden
1. Verwerker besteedt de verplichtingen die voortvloeien uit de Overeenkomst niet uit aan derden, tenzij Verwerkingsverantwoordelijke daarvoor voorafgaande schriftelijke toestemming heeft gegeven.
2. Verwerker zal eventuele subverwerkers verplichten de bepalingen van de Verwerkersovereenkomst na te leven. Verwerker maakt gebruikt van de diensten van de in bijlage 1 genoemde subverwerkers. Verwerker blijft te allen tijde verantwoordelijk voor het handelen of nalaten van de subverwerkers.
Artikel 4, Doorgifte naar derde landen
1. Het is Verwerker niet toegestaan de Persoonsgegevens door te geven en/of op te (laten) slaan in landen Paraaf Verwerkingsverantwoordelijke ………………………… Paraaf Verwerker .……………………………………..
Montix – Internetbureau Rigtersbleek Aalten 4 - 108
T + 31 (0)53 750 30 30
Rabobank: 1279.70.371
Iban: XX00 XXXX 0000 0000 00
BTW: NL104010496B02 KvK : 62395807
buiten de Europese Unie, tenzij Verwerker uitdrukkelijke schriftelijke toestemming van Verwerkingsverantwoordelijke heeft hiervoor en dit op grond van toepasselijke (Europese) privacyregelgeving toegestaan bijvoorbeeld omdat het betreffende land een passend beschermingsniveau biedt of gebruik wordt gemaakt van een daartoe bestemd ongewijzigd modelcontract, goedgekeurd door de Europese Commissie, (hierna: “EC Modelcontract”), met inachtneming van de overige bepalingen van de Verwerkersovereenkomst.
2. Indien doorgifte naar Verwerker of een derde partij in een land zonder passend beschermingsniveau plaatsvindt met toestemming van Verwerkingsverantwoordelijke, dan zal op deze doorgifte een ongewijzigd EC Modelcontract van toepassing zijn, dan zal zijn ondertekend door Verwerker en bijgesloten bij de Verwerkersovereenkomst. Verwerker garandeert dat alle subverwerkers die met toestemming van Verwerkingsverantwoordelijke worden ingeschakeld, het EC Modelcontract mede ondertekenen.
Artikel 5, Bijstand verlenen
1. Verwerker zal, rekening houdend met de aard van de verwerking, Verwerkingsverantwoordelijke door middel van passende technische en organisatorische maatregelen, voor zover mogelijk, bijstand verlenen die noodzakelijk is voor Verwerkingsverantwoordelijke om te kunnen voldoen aan verzoeken van betrokkenen wiens Persoonsgegevens worden verwerkt als bedoeld in artikel 35 en 36 van de Wbp en Hoofdstuk III van de AVG alsmede verzoeken van de bevoegde toezichthouder van Verwerkingsverantwoordelijke.
2. Verwerker zal, rekening houdend met de aard van de verwerking en de hem ter beschikking staande informatie Verwerkingsverantwoordelijke bijstand verlenen bij het doen nakomen van de verplichtingen uit hoofde van de artikelen 32 tot en met 36 AVG, waarbij Verwerker gerechtigd is in voorkomend geval aan Verwerkingsverantwoordelijke redelijke kosten in rekening te brengen.
Artikel 6, Vertrouwelijkheid
1. Verwerker, alsmede al haar medewerkers die toegang hebben tot de Persoonsgegevens, zullen de Persoonsgegevens waarvan zij kennisnemen geheimhouden, tenzij een wettelijk voorschrift hen tot mededeling verplicht.
2. Verwerker zal al haar medewerkers die betrokken zijn bij de uitvoering van de Overeenkomst terzake een geheimhoudingsverklaring laten tekenen. Xxxxxxxxx neemt alle maatregelen die nodig zijn om te garanderen dat deze geheimhoudingsplicht wordt nagekomen.
Artikel 7, Xxxxxxxxxxxx & verwijdering
Na beëindiging van de Overeenkomst, naar gelang de keuze van Verwerkingsverantwoordelijke, wist Verwerker binnen 6 maanden alle Persoonsgegevens of bezorgt Verwerker alle Persoonsgegevens terug aan Verwerkingsverantwoordelijke, en verwijdert bestaande kopieën, tenzij opslag van Persoonsgegevens op grond van geldende regelgeving verplicht is.
Artikel 8, Aansprakelijkheid
1. Indien Verwerker aansprakelijk is jegens Verwerkingsverantwoordelijke voor schade uit welke hoofde dan ook, onverminderd het bepaalde in artikel 2 lid 4, is Verwerker alleen aansprakelijk voor directe schade die Verwerkingsverantwoordelijke lijdt als gevolg van een aan Verwerker toerekenbare tekortkoming en/of onrechtmatige daad. De totale aansprakelijkheid onder de Overeenkomst, inclusief de Verwerkersovereenkomst, of overtreding door Verwerker en/of sub-bewerker(s) van de toepasselijke (Europese) privacyregelgeving, zal nooit meer bedragen dan €5.000,-.
2. Verwerker is nooit aansprakelijk voor gevolgschade, waaronder mede begrepen zuivere vermogensschade, Paraaf Verwerkingsverantwoordelijke ………………………… Paraaf Verwerker .……………………………………..
Montix – Internetbureau Rigtersbleek Aalten 4 - 108
T + 31 (0)53 750 30 30
Rabobank: 1279.70.371
Iban: XX00 XXXX 0000 0000 00
BTW: NL104010496B02 KvK : 62395807
gederfde winst, en immateriële schade. In het bijzonder is Verwerker niet aansprakelijk voor schade in verband met en/of als gevolg van:
a. beëindiging of wijziging van de geleverde dienst;
b. communicatiegebreken in verband met hardware-, software-, netwerk- of andere computerproblemen;
c. het gebruik van door Verwerkingsverantwoordelijke voorgeschreven gegevens of databestanden;
x. xxxxxxx, verminking of vernietiging van gegevens of databestanden; en/of,
e. ontoegankelijkheid van de dienst van Verwerker.
3. Voor zover nakoming niet blijvend onmogelijk is, ontstaat de aansprakelijkheid van Verwerker wegens toerekenbare tekortkoming in de nakoming van de Verwerkersovereenkomst slechts indien Verwerkingsverantwoordelijke Verwerker onverwijld en deugdelijk schriftelijk in gebreke stelt, waarbij een redelijke termijn ter zuivering van de tekortkoming wordt gesteld, en Verwerker ook na die termijn toerekenbaar tekort blijft schieten in de nakoming van haar verplichtingen. De ingebrekestelling dient een zo volledig en gedetailleerd mogelijke omschrijving van de tekortkoming te bevatten, zodat Verwerker in staat is adequaat te reageren.
4. Voorwaarde voor het ontstaan van enig recht op schadevergoeding is steeds dat Verwerkingsverantwoordelijke de schade zo spoedig mogelijk na het ontstaan daarvan schriftelijk bij Verwerker meldt. Ieder vordering tot schadevergoeding jegens Verwerker vervalt door het enkele verloop van zes (6) maanden na het ontstaan van de vordering.
Artikel 9, Controle & toezicht
Verwerkingsverantwoordelijke is gerechtigd, op eigen kosten, de maatregelen en de naleving van de op Verwerker rustende verplichtingen te controleren, op voorwaarde dat Verwerkingsverantwoordelijke Verwerker daarvan vijf (5) werkdagen van tevoren op de hoogte stelt en op voorwaarde dat Verwerkingsverantwoordelijke bij de inspectie de redelijke aanwijzingen van Verwerker opvolgt en de inspectie de bedrijfsvoering van Verwerker niet onredelijk verstoort.
Artikel 10, Overige bepalingen
1. In geval van strijdigheid van (een of meer bepalingen uit) de Verwerkersovereenkomst met (een of meer bepalingen uit) andere overeenkomsten tussen Verwerkingsverantwoordelijke en Verwerker, prevaleert de Verwerkersovereenkomst.
2. Deze overeenkomst heeft een looptijd gelijk aan de Overeenkomst en kan niet tussentijds worden beëindigd. Artikelen die gezien hun aard, onder meer in het kader van de afwikkeling van de Verwerkersovereenkomst, bestemd zijn om na het einde van de Verwerkersovereenkomst van toepassing te blijven, waaronder – maar niet beperkt tot – artikel 6 (Vertrouwelijkheid), artikel 7 (Verstrekking & verwijdering) en artikel 10 lid 5 en 6, blijven onverminderd van kracht na beëindiging van de Verwerkersovereenkomst.
3. Wijziging van de Verwerkersovereenkomst is slechts mogelijk door schriftelijke overeenstemming door Partijen.
4. In het geval enige bepaling van de Verwerkersovereenkomst nietig wordt verklaard of vernietigd wordt of blijkt dat een wijziging in (een bepaling van) de Verwerkersovereenkomst wegens gewijzigde omstandigheden noodzakelijk is voor naleving van de toepasselijke wet- en regelgeving op het gebied van privacy, zullen de overige bepalingen onverminderd van kracht blijven. Partijen zullen dan een nieuwe bepaling vaststellen ter vervanging van de nietige/vernietigde bepaling dan wel de Verwerkersovereenkomst zodanig wijzigen om deze in lijn te brengen met de toepasselijke wet- en regelgeving op het gebied van privacy, waarbij zoveel mogelijk
Paraaf Verwerkingsverantwoordelijke ………………………… Paraaf Verwerker .……………………………………..
Montix – Internetbureau Rigtersbleek Aalten 4 - 108
T + 31 (0)53 750 30 30
Rabobank: 1279.70.371
Iban: XX00 XXXX 0000 0000 00
BTW: NL104010496B02 KvK : 62395807
de strekking van de nietige/vernietigde bepaling in acht zal worden genomen.
5. Op de Verwerkersovereenkomst is Nederlands recht van toepassing.
6. Geschillen tussen Verwerkingsverantwoordelijke en Verwerker worden uitsluitend voorgelegd aan de bevoegde rechter in het arrondissement Enschede.
Paraaf Verwerkingsverantwoordelijke ………………………… Paraaf Verwerker .……………………………………..
Montix – Internetbureau Rigtersbleek Aalten 4 - 108
T + 31 (0)53 750 30 30
Rabobank: 1279.70.371
Iban: XX00 XXXX 0000 0000 00
BTW: NL104010496B02 KvK : 62395807
Bijlage 1
Doeleinden die met de Verwerking van gegevens door de Verwerker worden nagestreefd zijn de navolgenden:
1. Het realiseren en onderhouden van de webapplicatie(s) in beheer bij Verwerker.
2. Het verrichten van werkzaamheden die nodig zijn om de ontwikkeling en het testen van webapplicatie(s) te bewerkstelligen.
3. Het tonen van de juiste content aan de gebruiker op basis van rechten & rollen.
Middelen voor de verwerking omvatten:
4. (Web)servers (OTAP-straat).
5. Hosting soft- en hardware.
6. Hardware, waarmee medewerkers van de verwerker de applicatie(s) ontwikkelen en beheren
7. Netwerk Leverancier en hosting provider.
8. Implementatie van software ten behoeve van performancemonitoring en (gebruikers)statistieken.
Soort persoonsgegevens van de te verwerken data;
Alle herleidbare (niet geanonimiseerde) persoonsgegevens welke in de webapplicatie(s) verwerkt worden vallen onder deze verwerkersovereenkomst
Bewaartermijnen
De gegevens blijven gedurende de levensduur van de applicatie aanwezig, tenzij anders overeengekomen in de hoofdovereenkomst.
Gebruik van de gegevens
De Verwerker verwerkt de gegevens alleen voor het beheren en verder ontwikkelen van de webapplicatie.
Verstrekking aan derden
Verwerker zal geen gegevens verstrekken aan derden, tenzij ze gesommeerd worden daartoe door een bevoegde overheidsinstantie.
Subverwerkers
● Google Workspace (voormalig GSuite)
● Microsoft 365, voormalig Office 365
● Cobytes B.V., Hosting, Domeinnamen, SSL, e-mailboxen
● Cloudprovider, Hosting, Domeinnamen, SSL, e-mailboxen
● XXL Hosting, Hosting, Domeinregistratie, SSL, e-mailboxen
● Combell, Domeinnamen, Hosting, SSL, e-mailboxen, Microsoft365
● TransIP, Domeinnamen, Hosting, SSL, E-mailboxen
● Siteground, Domeinnamen, Hosting, SSL, e-mailboxen
● AutoDNS, Domeinnamen
● MailChimp, E-mail marketing
● MailBlue, E-mail marketing
● Spotler, E-mail marketing
● SE Ranking
● MOZ
● Semrush
● Ahrefs
● Google Ads, Analytics, DataStudio, Search Console, Tag Manager, Merchants Center (Shopping)
Paraaf Verwerkingsverantwoordelijke ………………………… Paraaf Verwerker .……………………………………..
Montix – Internetbureau Rigtersbleek Aalten 4 - 108
T + 31 (0)53 750 30 30
Rabobank: 1279.70.371
Iban: XX00 XXXX 0000 0000 00
BTW: NL104010496B02 KvK : 62395807
● Facebook, Instagram, LinkedIn, Twitter, WhatsApp (ook zakelijk account), Pinterest, YouTube
● Olark, Chat tool
Incidenteel maakt verwerker gebruik van de diensten van freelancers / plugin ontwikkelaars voor webontwikkeling. Deze hebben echter geen of beperkte toegang tot de productieomgevingen met persoonsgegevens.
Paraaf Verwerkingsverantwoordelijke ………………………… Paraaf Verwerker .……………………………………..
Montix – Internetbureau Rigtersbleek Aalten 4 - 108
T + 31 (0)53 750 30 30
Rabobank: 1279.70.371
Iban: XX00 XXXX 0000 0000 00
BTW: NL104010496B02 KvK : 62395807
Bijlage 2 beveiligingsmaatregelen.
Deze zijn actueel terug te vinden op xxxxx://xxx.Xxxxxx.xx/xxxxxxxx-xxxxxxxxxxx/
Paraaf Verwerkingsverantwoordelijke ………………………… Paraaf Verwerker .……………………………………..
Montix – Internetbureau Rigtersbleek Aalten 4 - 108
T + 31 (0)53 750 30 30
Rabobank: 1279.70.371
Iban: XX00 XXXX 0000 0000 00
BTW: NL104010496B02 KvK : 62395807