VERWERKERSOVEREENKOMST

VERWERKERSOVEREENKOMST

Xxxxxxxx hecht grote waarde aan het beschermen van deze Persoonsgegevens, daarom is Xxxxxxxx verantwoordelijk voor de gegevens die worden verwerkt en leggen in deze Verwerkersovereenkomst de volgende zaken vast:

1. Overzicht met verwerkingen van persoonsgegevens en verwerkingsdoelen;

2. Overzicht met beveiligingsmaatregelen;

3. Proces rondom het melden van Datalekken en de te verstrekken informatie van wat Xxxxxxxx wel en niet mag doen met de Persoonsgegevens.

1. DEFINITIES

De hierna en hiervoor gebruikte begrippen volgen uit de Algemene Verordening Gegevensbescherming en hebben de volgende betekenis:

1.1 Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (de betrokkene); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon

1.2 Verwerking: een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde proces, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens;

1.3 Verwerkingsverantwoordelijke: Klant, zijnde de rechtspersoon, die alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt; wanneer de doelstellingen van en de middelen voor deze verwerking in het Unierecht of het lidstatelijke recht worden vastgesteld, kan daarin worden bepaald wie de verwerkingsverantwoordelijke is of volgens welke criteria deze wordt aangewezen (Verantwoordelijke);

1.4 Verwerker: Alpharma, een rechtspersoon, die ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt (Verwerker);

1.5 Betrokkene: geïdentificeerde of identificeerbaar natuurlijk persoon op wie de verwerkte persoonsgegeven betrekking hebben;

1.6 Verwerkersovereenkomst: deze overeenkomst inclusief de bijlagen (Verwerkersovereenkomst);

1.7 Overeenkomst: de hoofdovereenkomst waar deze Verwerkersovereenkomst uit voortvloeit;

1.8 Inbreuk in verband met persoonsgegevens: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens (Datalek);

1.9 Gegevensbeschermingsetbeoordeling: het uitvoeren van een beoordeling, voorafgaand aan het uitvoeren van de verwerking, van het effect van de beoogde verwerkingsactiviteiten op de bescherming van de persoonsgegevens.

1.10 Toezichthoudende autoriteit: een onafhankelijke overheidsinstantie verantwoordelijk voor het toezicht op de naleving van de wet in verband met de verwerking van Persoonsgegevens. In Nederland is dit de Autoriteit Persoonsgegevens;

2. TOTSTANDKOMING, DUUR EN BEEINDIGING VAN DEZE VERWERKERSOVEREENKOMST

2.1 Deze Verwerkersovereenkomst treedt in werking op de datum waarop een Overeenkomst tussen Alpharma en Klant wordt afgesloten ten behoeve tot het afnemen van diensten door Klant.

2.2 Deze Verwerkersovereenkomst is onderdeel van de Overeenkomst en zal gelden voor zolang de Overeenkomst duurt.

2.3 Indien de Overeenkomst eindigt, eindigt deze Verwerkersovereenkomst automatisch; de Verwerkersovereenkomst kan niet apart worden opgezegd.

2.4 Na beëindiging van deze Verwerkersovereenkomst zullen de lopende verplichtingen voor Alpharma, zoals het melden van Datalekken, waarbij de Persoonsgegevens van Klant zijn betrokken, en de plicht tot geheimhouding blijven voortduren.

3. VERWERKEN PERSOONSGEGEVENS

3.1 Alpharma zal alleen Persoonsgegevens verwerken in opdracht en heeft geen zeggenschap over de Persoonsgegevens. Xxxxxxxx volgt instructies van de Klant hierover op en mag de Persoonsgegevens niet op een andere manier verwerken, tenzij Klant aan Alpharma daar van te voren toestemming of opdracht voor geeft.

3.2 Alpharma verwerkt alleen Persoonsgegevens die strikt nodig zijn voor het uitvoeren van de Overeenkomst en verwerkt deze enkel zodat Klant de afgenomen diensten kan gebruiken.

3.3 Alpharma houdt zich aan de wet en verwerkt de gegevens op een behoorlijke, zorgvuldige en transparante wijze.

3.4 Alpharma mag zonder voorafgaande schriftelijke toestemming geen andere personen of organisaties inschakelen bij het verwerken van de Persoonsgegevens.

3.5 Wanneer Xxxxxxxx met toestemming andere organisaties inschakelt, moeten zij minimaal voldoen aan de eisen die zijn opgenomen in deze Verwerkersovereenkomst.

3.6 Wanneer Klant een verzoek krijgt van een Betrokkene die zijn of haar privacy rechten wil uitoefenen, werkt Klant daar binnen een termijn van 14 dagen aan mee. Deze rechten bestaan uit een verzoek om inzage, verbetering, aanvulling, verwijdering of afscherming, bezwaar maken tegen de verwerking van de persoonsgegevens en een verzoek tot overdraagbaarheid van de eigen Persoonsgegevens.

3.7 Wanneer Klant Alpharma verzoekt om Klant informatie te geven, dan zal Xxxxxxxx de informatie verstrekken die Klant nodig heeft voor het uitvoeren van een Gegevensbeschermingseffectbeoordeling. Klant heeft dit nodig om in te kunnen schatten wat het risico van de Verwerking is die Alpharma namens Klant uitvoert.

4. BEVEILIGEN VAN PERSOONSGEGEVENS

4.1 Alpharma zorgt ervoor dat Persoonsgegevens voldoende worden beveiligd. Om verlies en onrechtmatige verwerkingen te voorkomen neem Alpharma passende technische en organisatorische maatregelen.

4.2 Deze maatregelen zijn afgestemd op het risico van de verwerking.

4.3 Klant mag een inspectie of audit in jouw organisatie laten uitvoeren om te bepalen of het verwerken van de Persoonsgegevens aan de wet en de afspraken uit deze Verwerkersovereenkomst voldoet. Hierbij zal Alpharma aan Klant medewerking verlenen, waaronder het toegang verlenen tot databases en het ter beschikking stellen van alle relevante informatie.

4.4 De kosten voor de uitvoering van deze audit zullen voor rekening komen van de Klant, ook wanneer blijkt dat Xxxxxxxx zich niet aan de verplichtingen in deze Verwerkersovereenkomst houdt.

4.5 De controle op de algehele verwerking van Persoonsgegevens door Klant kan, naast de audit mogelijkheid, ook gebeuren via zelfevaluatie. Xxxxxxxx zal hierbij aan Klant een rapport verstrekken waarin Xxxxxxxx aantoont dat Alpharma voldoet aan de wet en de afspraken uit deze Verwerkersovereenkomst. Deze rapportage dient te worden ondertekend door een management lid binnen de organisatie.

4.6 Wanneer Alpharma of Klant vindt dat een wijziging in de te nemen beveiligingsmaatregelen noodzakelijk is, treden beide partijen in overleg over de wijziging daarvan. De kosten voor het wijzigen van de beveiligingsmaatregelen komen voor de rekening van degene die de kosten maakt.

5. EXPORTEREN PERSOONSGEGEVENS

5.1 Alpharma mag geen Persoonsgegevens laten verwerken door andere personen of organisaties buiten de Europese Economische Ruimte (EER), zonder daarvoor voorafgaande schriftelijke toestemming te hebben verkregen van Klant.

6. GEHEIMHOUDING

6.1 Alpharma zal de aan zich verstrekte Persoonsgegevens geheim houden, tenzij dit op basis van een wettelijke verplichting niet mogelijk is.

6.2 Xxxxxxxx zal ervoor zorgen dat zijn personeel en ingeschakelde hulppersonen zich aan deze geheimhouding houden, door een geheimhoudingsplicht in de (arbeids-)contracten op te nemen.

7. DATALEKKEN

7.1 In geval van een ontdekking van een mogelijk Datalek zal Alpharma Klant hierover binnen 24 uur informeren en zal aan Klant alle relevante informatie verstrekken, zodat Klant indien nodig een melding bij de Toezichthouder kan doen.

7.2 Na de melding van een Datalek aan Klant, zal Alpharma Klant op de hoogte houden van nieuwe ontwikkelingen rondom het Datalek en de maatregelen die Alpharma heeft getroffen om de omvang van het Datalek te beperken en te beëindigen en een soortgelijk incident in de toekomst te kunnen voorkomen.

7.3 Het is niet toegestaan dat Alpharma een melding van een Datalek doet aan de Toezichthouder en ook mag Alpharma de Betrokkenen niet informeren over het Datalek. Dit is de verantwoordelijkheid van de Klant.

7.4 Eventuele kosten die gemaakt worden om het Datalek op te lossen en in de toekomst te kunnen voorkomen, komen voor rekening van diegene die de kosten maakt.

8. AANSPRAKELIJKHEID

8.1 Indien Alpharma tekortschiet in de nakoming van de verplichting uit deze Verwerkersovereenkomst kan Klant Alpharma in gebreke stellen. Ingebrekestelling geschiedt schriftelijk, waarbij aan Xxxxxxxx een redelijke termijn wordt gegund om alsnog haar verplichtingen na te komen.

8.2 Alpharma is aansprakelijk op grond van het bepaalde in artikel 82 AVG, voor schade of nadeel voortvloeiende uit het niet nakomen van deze Verwerkersovereenkomst. Deze aansprakelijkheid is beperkt tot het totaal betaalde bedrag voor de afgenomen diensten over een periode van 12 maanden.

8.3 Partijen vrijwaren elkaar over en weer voor alle aanspraken van derden (waaronder begrepen boetes van Autoriteiten) ter zake een handelen of nalaten in strijd met Privacywetgeving van de andere Partij.

8.4 Klant is niet aansprakelijk voor aanspraken van Betrokkenen of andere personen en organisaties waar Xxxxxxxx de samenwerking mee is aangegaan of waarvan Alpharma Persoonsgegevens verwerkt, als dit het gevolg is van het onrechtmatig of nalatig handelen van Alpharma.

9. TERUGGAVE PERSOONSGEGEVENS EN BEWAARTERMIJN

9.1 Na het beëindigen van deze Verwerkersovereenkomst geef Alpharma de Persoonsgegevens terug. Eventuele achter gebleven Persoonsgegevens zal Alpharma op een zorgvuldige en veilige manier vernietigen.

9.2 De Persoonsgegevens die Alpharma verwerkt volgens deze Verwerkersovereenkomst zal Xxxxxxxx vernietigen na verstrijken van de wettelijke bewaartermijn en/of op verzoek van Xxxxx. Een wettelijke bewaartermijn is er bijvoorbeeld wanneer Alpharma de Persoonsgegevens moet bewaren om belastingtechnische redenen.

9.3 Alpharma zal na de teruggave en/of vernietiging van de Persoonsgegevens schriftelijk aan Klant verklaren dat Alpharma de Persoonsgegevens niet langer heeft.

10. SLOTBEPALINGEN

10.1 Deze Verwerkersovereenkomst is onderdeel van de Overeenkomst. Alle rechten en verplichtingen uit de Overeenkomst zijn daarom ook van toepassing op de Verwerkersovereenkomst.

10.2 Bij eventuele tegenstrijdigheden tussen de bepalingen in de Verwerkersovereenkomst en de Overeenkomst, gelden de bepalingen uit deze Verwerkersovereenkomst.

10.3 Afwijkingen op deze Verwerkersovereenkomst zijn slechts geldig wanneer dit tussen Xxxxxxxx en Klant schriftelijk is vastgelegd.

10.4 Op deze Verwerkersovereenkomst is het Nederlandse recht van toepassing.

10.5 Over eventuele geschillen tussen Alpharma en Klant bepaalt de rechter in de rechtbank binnen het gebied waar het bedrijf van Klant gevestigd is.