Verwerkersovereenkomst
Pagina 1 van 9 | Verwerkersovereenkomst 22 oktober 2019
Verwerkersovereenkomst
Partijen:
I d-Media B.V. (KvK 71802037), gevestigd aan de Xxxxxxxxxxx 00 xx (0000 XX) Xxxxx is bij deze overeenkomst 'Verwerker';
I Gebruiker, iedere gebruiker van de (online) diensten van d-Media is I 'Verwerkingsverantwoordelijke'.
Overwegingen:
A Verwerkingsverantwoordelijke en Verwerker zijn een overeenkomst aangegaan voor het leveren van diensten door d-Media zoals het ontwerpen, ontwikkelen en beheren van websites, het verzorgen van e-mailings, zoekmachine optimalisatie, (Google) analytics analyse, hosting, domeinregistratie en andere (online) ICT diensten. Deze overeenkomst leidt ertoe dat Verwerker in opdracht van Verwerkingsverantwoordelijke Persoonsgegevens verwerkt
B Verwerkingsverantwoordelijke en Verwerker wensen in deze overeenkomst de wederzijdse rechten en verplichtingen voor de Verwerking van Persoonsgegevens door Verwerker vast te leggen overeenkomstig de toepasselijke Privacywetgeving.
1. Partijen zijn het volgende overeengekomen:
1.1 De in deze overeenkomst gebruikte woorden of formuleringen hebben de volgende betekenis: a AVG: Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016
betreffende de bescherming van natuurlijke personen in verband met de verwerking van
persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (Algemene Verordening Gegevensbescherming);
b Betrokkene: degene op wie een Persoonsgegeven betrekking heeft;
c Onderliggende Overeenkomst: de geldende overeenkomst van dienstverlening tussen d-Media en de gebruiker waarbij Verwerkingsverantwoordelijke aan Verwerker opdracht heeft gegeven om Verwerkingen te verrichten;
d Overeenkomst: deze verwerkersovereenkomst inclusief bijlagen daarbij;
e Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon, die Verwerker op grond van de Onderliggende Overeenkomst Verwerkt of dient te Verwerken, waarvan het soort persoonsgegevens en de categorieën van Betrokkenen nader zijn gespecificeerd in bijlage 1. Het gaat in het kader van deze Overeenkomst om persoonsgegevens die door de Verwerkingsverantwoordelijke zijn verzameld en verkregen. De eindverantwoordelijke is de Verwerkingsverantwoordelijke;
f Privacywetgeving: alle toepasselijke wet- en regelgeving met betrekking tot de Verwerking en bescherming van persoonsgegevens, waaronder maar niet beperkt tot de Wbp, AVG en de Uitvoeringswet AVG;
Pagina 2 van 9 | Verwerkersovereenkomst 22 oktober 2019
g Uitvoeringswet AVG: Regels ter uitvoering van Verordening (EU)
2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming) (PbEU 2016, L 119) (Uitvoeringswet Algemene verordening gegevensbescherming);
h Verwerken/verwerking: alle handelingen of reeks handelingen uitgevoerd op Persoonsgegevens of een geheel van Persoonsgegevens, al dan niet via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van Persoonsgegevens;
i Wbp: de Wet bescherming persoonsgegevens.
2. Toepasselijkheid
2.1 Tenzij Partijen anders schriftelijk zijn overeengekomen, zijn de bepalingen van deze Overeenkomst van toepassing op iedere Verwerking door Verwerker op grond van de Onderliggende Overeenkomst. Door gebruik te maken van de diensten van d-Media, stemt de Verwerkingsverantwoordelijke in met deze Overeenkomst.
3. Verwerking door Verwerker
3.1 Verwerker verwerkt Persoonsgegevens ten behoeve van Verwerkingsverantwoordelijke, overeenkomstig diens schriftelijke instructies en onder diens verantwoordelijkheid en op de wijze vastgelegd in de Onderliggende Overeenkomst.
3.2 Verwerker Verwerkt de Persoonsgegevens slechts in opdracht van Verwerkingsverantwoordelijke, behoudens afwijkende wettelijke verplichtingen.
3.3 Verwerker heeft geen zeggenschap over het doel en de middelen voor de Verwerking van Persoonsgegevens en neemt geen beslissingen over het gebruik van de Persoonsgegevens, de verstrekking aan derden en de duur van de opslag van Persoonsgegevens.
3.4 Verwerker stelt de Verwerkingsverantwoordelijke onmiddellijk schriftelijk in kennis indien een instructie naar het redelijk oordeel van Verwerker inbreuk oplevert op de toepasselijke Privacywetgeving.
3.5 Verwerker stelt op eerste verzoek van Verwerkingsverantwoordelijke alle informatie ter beschikking die nodig is om de nakoming van in deze Overeenkomst neergelegde verplichtingen aan te tonen.
Pagina 3 van 9 | Verwerkersovereenkomst 22 oktober 2019
3.6 Verwerker dient zorg te dragen voor de naleving van de voorwaarden die
op grond van de toepasselijke Privacywetgeving worden gesteld aan het Verwerken van Persoonsgegevens.
3.7 Verwerker verschaft enkel toegang tot de Persoonsgegevens aan haar werknemers voor zover dit nodig is voor het verrichten van de diensten op grond van de Onderliggende Overeenkomst.
3.8 Verwerker mag de Persoonsgegevens enkel buiten [Nederland][de Europese Economische Ruimte] Verwerken met voorafgaande schriftelijke toestemming van de Verwerkingsverantwoordelijke.
3.9 Verwerker zal de Persoonsgegevens niet langer dan noodzakelijk verwerken, tenzij Verwerkingsverantwoordelijke hiertoe uitdrukkelijk schriftelijk opdracht heeft gegeven.
4. Verstrekking Persoonsgegevens aan derden
4.1 Verwerker zal geen Persoonsgegevens aan een derde verstrekken of ter beschikking stellen tenzij op grond van een uitdrukkelijke schriftelijke opdracht van Verwerkingsverantwoordelijke of op bevel van een gerechtelijke of bestuurlijke instantie, op voorwaarde dat Verwerker in dat geval Verwerkingsverantwoordelijke binnen [24 uur] na ontvangst van een dergelijk bevel daarvan in kennis stelt om Verwerkingsverantwoordelijke zodoende in staat te stellen daartegen een haar ter beschikking staand rechtsmiddel in te stellen.
4.2 Indien Verwerker van oordeel is dat zij op grond van een wettelijke verplichting Persoonsgegevens ter beschikking dient te stellen aan een daartoe bevoegde instantie zal zij daar niet toe overgaan, dan na overleg met en goedkeuring van Verwerkingsverantwoordelijke. Zij zal Verwerkingsverantwoordelijke zo spoedig mogelijk schriftelijk in kennis stellen van de wettelijke verplichting en daarbij alle relevante informatie verstrekken die Verwerkingsverantwoordelijke redelijkerwijs nodig heeft om de benodigde maatregelen te treffen om te bepalen of verstrekking kan plaatsvinden en, zo ja, onder welke voorwaarden.
5. Verzoeken van Betrokkenen
5.1 Verwerker dient Verwerkingsverantwoordelijke in kennis te stellen van alle verzoeken die rechtstreeks van Xxxxxxxxxxx zijn ontvangen met betrekking tot de rechten van Betrokkenen op grond van de toepasselijke Privacywetgeving, waaronder maar niet beperkt tot verzoeken tot inzage, rectificatie, verwijdering, beperking van de verwerking of overdracht van de Persoonsgegevens. Verwerker geeft aan een dergelijk verzoek alleen gevolg indien Verwerkingsverantwoordelijke Verwerker daartoe schriftelijk opdracht heeft gegeven.
5.2 Verwerker handelt alle verzoeken om inlichtingen van Verwerkingsverantwoordelijke met betrekking tot de Verwerking van de Persoonsgegevens vlot en behoorlijk af. De kosten van de
Pagina 4 van 9 | Verwerkersovereenkomst 22 oktober 2019
afhandeling van verzoeken van Xxxxxxxxxxx komen ten laste van de Verwerkingsverantwoordelijke.
6. Medewerking Verwerker
6.1 Verwerker zal de Verwerkingsverantwoordelijke medewerking verlenen bij het doen nakomen van de verplichtingen om: (i) verzoeken van Xxxxxxxxxxx met betrekking tot de uitoefening van rechten van Betrokkenen op grond van de toepasselijke Privacywetgeving te beantwoorden; (ii) passende technische en organisatorische maatregelen te nemen om een op het risico afgestemd beveiligingsniveau te waarborgen; (iii) datalekken te melden aan toezichthouder en de betrokkenen; (iv) een gegevensbeschermingseffectbeoordeling uit te voeren; (v) de toezichthouder te raadplegen voorafgaand aan een Verwerking de een hoog risico met zich meebrengt.
7. Inschakelen derden door Xxxxxxxxx
7.1 Verwerker mag een derde inschakelen bij de uitvoering van deze Overeenkomst. De gegevens van derden (sub)verwerkers zijn op aanvraag van de Verwerkingsverantwoordelijke beschikbaar. Indien een derde wordt ingeschakeld om ten behoeve van de Verwerkingsverantwoordelijke specifieke verwerkingsactiviteiten te verrichten, zal Verwerker aan deze derde bij overeenkomst minstens dezelfde verplichtingen inzake de Verwerking en bescherming van Persoonsgegevens opleggen als de verplichtingen die zijn opgenomen in deze Overeenkomst. Verwerker is in alle opzichten verantwoordelijk en aansprakelijk voor het doen en laten van derden die zij in het kader van deze Overeenkomst inschakelt.
8. Geheimhouding
8.1 Verwerker zal de Persoonsgegevens en andere informatie verkregen van de Verwerkingsverantwoordelijke strikt geheim houden, waarbij zij minstens eenzelfde mate van zorg zal betrachten als die, die zij ten aanzien van de bescherming van haar eigen informatie van zeer vertrouwelijke aard in acht neemt. Verwerker zal de Persoonsgegevens of andere informatie verkregen van de Verwerkingsverantwoordelijke niet openbaar maken, distribueren, verstrekken, of op andere wijze bekend maken aan andere personen dan haar werknemers die van de Persoonsgegevens of andere informatie verkregen van de Verwerkingsverantwoordelijke kennis moeten kunnen nemen voor hun werkzaamheden voor de Verwerker en zal deze werknemers pas toegang geven tot de Persoonsgegevens en andere informatie verkregen van de Verwerkingsverantwoordelijke, nadat zij zijn geïnformeerd over het vertrouwelijke karakter van de Persoonsgegevens en andere informatie verkregen van de Verwerkingsverantwoordelijke. Verwerker legt het in deze Overeenkomst bepaalde ook aan haar werknemers op.
Pagina 5 van 9 | Verwerkersovereenkomst 22 oktober 2019
9. Meldplicht datalekken
9.1 Verwerker dient Verwerkingsverantwoordelijke onverwijld [en in ieder geval uiterlijk binnen 48 uur nadat Xxxxxxxxx ervan kennis heeft gekregen, in kennis te stellen van iedere inbreuk op de beveiliging (van welke aard dan ook) die (mede) betrekking heeft of kan hebben op de Verwerking van Persoonsgegevens.
9.2 Verwerker dient Verwerkingsverantwoordelijke in ieder geval informatie te verstrekken over het volgende: (i) de aard van de inbreuk, waar mogelijk onder vermelding van de categorieën van Betrokkenen in kwestie en, bij benadering, het aantal Betrokkenen in kwestie; (ii) de (mogelijk) getroffen Persoonsgegevens en, bij benadering, het aantal getroffen Persoonsgegevens in kwestie;
(iii) de vastgestelde en verwachte gevolgen van de inbreuk voor de Verwerking van de Persoonsgegevens en de daarbij betrokken personen; en (iv) de maatregelen die Verwerker heeft getroffen en zal treffen om de inbreuk aan te pakken, waaronder, in voorkomend geval, de maatregelen ter beperking van de eventuele negatieve gevolgen van de inbreuk.
9.3 Verwerker erkent dat Verwerkingsverantwoordelijke onder omstandigheden wettelijk verplicht is om een inbreuk op de beveiliging (van welke aard dan ook) die (mede) betrekking heeft of kan hebben op de Persoonsgegevens die Verwerker verwerkt, aan Betrokkenen en/of autoriteiten te melden. Een dergelijke melding door Verwerkingsverantwoordelijke zal nimmer als tekortkoming in de nakoming van deze Overeenkomst of Onderliggende Overeenkomst of anderszins als onrechtmatige handeling worden beschouwd.
9.4 Verwerker zal alle maatregelen treffen die nodig zijn om de (mogelijke) schade van een inbreuk op de beveiliging te beperken en zal Verwerkingsverantwoordelijke ondersteunen bij meldingen aan Betrokkenen en/of autoriteiten.
10. Beveiligingsmaatregelen en inspectie
10.
1
10.
2
10.
3
Verwerker zal conform artikel 32 AVG alle passende technische en organisatorische maatregelen om Persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking. Deze maatregelen, garanderen een passend beveiligingsniveau gelet op de stand van de techniek (state-of-the-art), de uitvoeringskosten, alsook gelet op de aard, de omvang, context en verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico's die Verwerking van de Persoonsgegevens die de Verwerker Verwerkt met zich meebrengen voor de rechten en vrijheden van de Betrokkenen.
Verwerker dient Verwerkingsverantwoordelijke te informeren indien een van de beveiligingsmaatregelen wijzigt.
Verwerker staat toe dat Verwerkingsverantwoordelijke de naleving van de beveiligingsmaatregelen door Verwerker inspecteert of dat op verzoek van Verwerkingsverantwoordelijke de gegevensverwerkingsfaciliteiten van Verwerker door een door Verwerkingsverantwoordelijke aan te wijzen onderzoeksinstantie worden geïnspecteerd in
Pagina 6 van 9 | Verwerkersovereenkomst 22 oktober 2019
10.
4
10.
5
verband met de verwerkingsactiviteiten die onder deze Overeenkomst
vallen ('de Inspectie'). De Inspectie wordt uitgevoerd door een onderzoeksinstantie, die naar het redelijk oordeel van Verwerkingsverantwoordelijke neutraal en deskundig is.
Verwerkingsverantwoordelijke draagt zorg dat de onderzoeksinstantie verplicht is tot geheimhouding van haar bevindingen tegenover derden.
Verwerkingsverantwoordelijke zal alle kosten, vergoedingen en onkosten in verband met de Inspectie betalen, met inbegrip van redelijke door Verwerker gemaakte interne kosten.
Verwerkingsverantwoordelijke zal Verwerker een exemplaar van het rapport van de Inspectie verstrekken.
11. Verplichtingen Verwerkingsverantwoordelijke
11.
1
11.
2
Verwerkingsverantwoordelijke is ten aanzien van de Verwerking van Persoonsgegevens krachtens deze Overeenkomst de 'Verwerkingsverantwoordelijke' zoals omschreven in artikel 4 sub 7 AVG. Verwerkingsverantwoordelijke gaat ermee akkoord en staat ervoor in dat de Verwerking van de Persoonsgegevens overeenkomstig deze Overeenkomst in overeenstemming is met de toepasselijke Privacywetgeving.
Verwerkingsverantwoordelijke gaat ermee akkoord en staat ervoor in dat de Verwerking van de Persoonsgegevens overeenkomstig deze Overeenkomst in overeenstemming is met de toepasselijke Privacywetgeving. Verwerkingsverantwoordelijke blijft te allen tijde verantwoordelijk voor de gegevens zoals zij deze verzamelt en aan d-Media ter verwerking aanbiedt. Verwerwerkingsverantwoordelijke is ook degene die toestemming van de betrokkene dient te verkrijgen, al dan niet uit hoofde van één van de 6 grondslagen als bedoeld in de AVG, alvorens zij de gegevens ter verwerking aan d-Media aanbiedt. De verplichtingen uit deze verwerkersovereenkomst gelden tevens voor ondernemingen van Partijen die behoren tot een groep van ondernemingen zoals bedoeld in artikel 2:24b van het Burgerlijk Wetboek en voor alle betrokken medewerkers van deze ondernemingen.
12. Aansprakelijkheid
12.
1
d-Media is behoudens opzet of bewuste schuld niet aansprakelijk voor schade voortvloeiende of verband houdende met het niet nakomen van deze overeenkomst dan wel handelen in strijd met de Privacywetgeving. De schade waarvoor d-Media aansprakelijk kan worden gesteld, is nooit hoger zijn dan de jaarlijkse contractwaarde van de overeenkomst tussen d-Media en de Verwerkingsverantwoordelijke. De contractwaarde staat gelijk aan de omzet die d-Media in een jaar bij de Verwerkingsverantwoordelijke realiseert.
13. Beëindiging
13.
1
De Overeenkomst is voor onbepaalde tijd aangegaan en eindigt op het tijdstip dat de Onderliggende Overeenkomst eindigt. De bepalingen uit deze verwerkersovereenkomst blijven
Pagina 7 van 9 | Verwerkersovereenkomst 22 oktober 2019
13.
2
gelden voor zover nodig voor de afwikkeling van de werkzaamheden voor de Verwerkingsverantwoordelijke.
Retourneren of vernietigen Persoonsgegevens bij beëindiging Overeenkomst
Onverminderd andersluidende schriftelijke opdracht van Verwerkingsverantwoordelijke zal Verwerker in geval van beëindiging van de Overeenkomst na verloop van 7 jaar alle aan haar ter beschikking gestelde Persoonsgegevens aan Verwerkingsverantwoordelijke retourneren en alle digitale kopieën van Persoonsgegevens vernietigen. Indien naar het redelijk oordeel van Verwerker een zelfstandige wettelijke verplichting van Verwerker het geheel of gedeeltelijk retourneren of vernietigen van de Persoonsgegevens door Verwerker verbiedt of beperkt zal zij Verwerkingsverantwoordelijke zo spoedig mogelijk schriftelijk in kennis stellen van de wettelijke verplichting en daarbij alle relevante informatie verstrekken die Verwerkingsverantwoordelijke redelijkerwijs nodig heeft om te bepalen of vernietiging kan plaatsvinden en, zo ja, onder welke voorwaarden. Indien naar het redelijk oordeel van Verwerkingsverantwoordelijke de wettelijke verplichting (gedeeltelijke) vernietiging van de Persoonsgegevens door Verwerker toelaat zal Verwerker daartoe op verzoek van Verwerkingsverantwoordelijke onverwijld overgaan. Is Verwerkingsverantwoordelijke van oordeel dat vernietiging niet mag plaatsvinden, dan zal zij Verwerker daarvan schriftelijk op de hoogte stellen. Verwerker garandeert in dat geval de vertrouwelijkheid van de Persoonsgegevens jegens Verwerkingsverantwoordelijke en zal de Persoonsgegevens niet Verwerken behalve ter voldoening aan haar bovenbedoelde wettelijke verplichting of na schriftelijke opdracht van Verwerkingsverantwoordelijke.
14. Overdracht rechten en plichten
14.
1
Deze Overeenkomst en de rechten en verplichtingen uit deze Overeenkomst kunnen door Verwerker niet aan derden worden overgedragen zonder de voorafgaande schriftelijke toestemming van Verwerkingsverantwoordelijke.
15. Deelbaarheid
15.
1
Indien één of meer bepalingen van deze Overeenkomst niet rechtsgeldig blijkt te zijn, zal de Overeenkomst voor het overige van kracht blijven. Partijen zullen over de bepalingen welke niet rechtsgeldig zijn overleg plegen, teneinde een vervangende regeling te treffen die wel rechtsgeldig is en zoveel mogelijk aansluit bij de strekking van de te vervangen regeling.
16. Toepasselijkheid recht en geschillen
16.
1
16.
2
Nederlands recht is van toepassing op deze Overeenkomst.
Alle geschillen voortvloeiende uit of samenhangende met deze Overeenkomst zullen uitsluitend worden voorgelegd aan de bevoegde rechter te Breda.
Aldus vastgesteld op 22 oktober 2019 te Breda
Pagina 8 van 9 | Verwerkersovereenkomst 22 oktober 2019
Pagina 9 van 9 | Verwerkersovereenkomst 22 oktober 2019
Bijlage 1 Persoonsgegevens
Soort gegevens | Categorie van betrokkene |
(Voor)naam | Relaties van Verwerkingsverantwoordelijke |
Adres | Idem |
Telefoonnummer | Idem |
IP adres | Idem |
Email adres | Idem |
BSN | Idem |
Bankrekeningnummer | Idem |
Foto | Idem |