PARTIJEN:
Verwerkersovereenkomst gebruik WeSeeDo
PARTIJEN:
1° …………………………………….., statutair gevestigd te ,ingeschreven
in het rechtspersonenregister onder het KvK nummer vertegenwoordigd door
………………………………….. , in de hoedanigheid van …………………………………………..
Hierna te noemen "de Verwerkingsverantwoordelijke"
EN:
2° PrivacyHelder BV, gevestigd te Bussum aan de Xxxx Xxxxxxxx 00, ingeschreven in het handelsregister onder het KvK nummer 73735906, vertegenwoordigd door Xxx Xxxxxx, in zijn hoedanigheid van directeur.
Hierna te noemen "de Verwerker"
OVERWEGENDE DAT:
De verwerker optreedt als reseller van WeSeeDo.
De Verwerkingsverantwoordelijke gebruik wil maken van de dienstverlening van Verwerker en hiermee bepaalde verwerkingen wil laten verrichten door Verwerker.
De Verwerkingsverantwoordelijke beschikt over persoonsgegevens van diverse betrokkenen.
De Verwerker tevens bereid is verplichtingen omtrent beveiliging en andere aspecten van de Algemene Verordening Gegevensbescherming na te komen voor zover dat binnen zijn macht ligt.
Partijen, mede gelet op het vereiste uit artikel 28, lid 3 van de Algemene Verordening Gegevensbescherming, hun rechten en plichten wensen vast te leggen.
Het Nederlands recht op deze overeenkomst van toepassing is.
KOMEN ALS VOLGT OVEREEN:
Artikel 1. Doeleinden van de verwerking
1.1 Verwerker verwerkt persoonsgegevens t.b.v.:
A) Het aanmaken en beheren van WeSeeDo abonnementen.
B) Xxxxxxxxxx die redelijkerwijs samenhangen met de geboden dienstverlening of die met nadere instemming worden bepaald
1.2 Verwerker zal de persoonsgegevens niet voor enig ander doel verwerken dan zoals door Verwerkingsverantwoordelijke is vastgesteld. Als basis voor deze doeleinden geldt deze overeenkomst en de afgegeven opdracht tot het aanmaken van abonnementen tussen partijen. De persoonsgegevens die onderdeel uitmaken van deze overeenkomst worden beschreven in bijlage 1.
1.3 De in opdracht van Verwerkingsverantwoordelijke te verwerken persoonsgegevens blijven eigendom van Verwerkingsverantwoordelijke.
Artikel 2. Verplichtingen van Verwerker
2.1 Ten aanzien van de in artikel 1.1 en 1.2 genoemde verwerkingen zal Verwerker zorg dragen voor de naleving van de op haar van toepassing zijnde wet- en regelgeving, waaronder in het bijzonder de Algemene Verordening Gegevensbescherming.
2.2 Verwerker zal Verwerkingsverantwoordelijke, op diens verzoek, informeren over de door haar genomen maatregelen aangaande haar verplichtingen volgens deze overeenkomst.
2.3 De verplichtingen van de Verwerker die voortvloeien uit deze overeenkomst gelden ook voor diegenen die persoonsgegevens verwerken onder het gezag van de Verwerker, hieronder in ieder geval begrepen, maar niet beperkt tot, werknemers en ingeschakelde derde partijen. De Verwerker is gehouden om deze verplichtingen actief naar deze personen en partijen te communiceren en deze te handhaven.
2.4 Verwerker is gehouden de verwerkingen van persoonsgegevens te verrichten binnen de Europese Unie, verwerking in landen buiten de Europese Unie is verboden.
2.5 De Verwerker is bij beëindiging van deze overeenkomst gehouden alle (persoons)gegevens van Verwerkingsverantwoordelijke aan te leveren in een door de Verwerkingsverantwoordelijke bruikbaar technisch format.
Artikel 3. Andere verplichtingen
Verwerker zal Verwerkingsverantwoordelijke helpen om andere verplichtingen na te komen. Zoals het melden van datalekken, het uitvoeren van een Data Protection Impact Assessment (DPIA) en bij een voorafgaande raadpleging.
Artikel 4. Verdeling van verantwoordelijkheid
4.1 De gegevens van de Verwerkingsverantwoordelijke en zijn werknemers worden opgenomen in het systeem van de Verwerker.
4.2 Verwerker en alle derden partijen die zij inschakelt mogen alleen op basis van werkzaamheden die voortvloeien uit de dienstverleningsovereenkomst of op specifieke aanwijzing van Verwerkingsverantwoordelijke verwerkingen uitvoeren op ter beschikking gestelde data. Onder verwerking wordt in ieder geval verstaan het vastleggen, verzamelen, wijzigen, opvragen, gebruiken of verstrekken van gegevens en tevens gelden hier alle overige bepalingen van verwerkingen volgens de Algemene Verordening Gegevensbescherming.
4.3 Verwerker is louter verantwoordelijk voor de verwerking van de persoonsgegevens die voortvloeien uit deze overeenkomst en de dienstverleningsovereenkomst, overeenkomstig de instructies van Verwerkingsverantwoordelijke en onder uitdrukkelijke eindverantwoordelijkheid van Verwerkingsverantwoordelijke.
4.4 Verwerkingsverantwoordelijke garandeert dat de inhoud, het gebruik en de opdracht tot verwerkingen van de persoonsgegevens zoals bedoeld in deze overeenkomst, niet onrechtmatig is en geen inbreuk maakt op enig recht van derden.
4.5 Verwerkingsverantwoordelijke garandeert dat de opdracht tot verwerking gebaseerd is op uitdrukkelijke toestemming van betrokkenen of dat deze op basis van een andere wettelijke grondslag rechtmatig is.
4.6 Verwerkingsverantwoordelijke stelt enkel persoonsgegevens aan Verwerker ter beschikking voor verwerking, indien zij zich ervan heeft verzekerd dat de vereiste beveiligingsmaatregelen zijn getroffen.
Artikel 5 Subverwerkers
5.1 De Verwerkingsverantwoordelijke geeft middels deze overeenkomst toestemming aan Verwerker om gegevens op te slaan en te beheren in de WeSeeDo applicatie. Dit zal gebeuren middels een Subverwerkersovereenkomst.
5.2 De Verwerkingsverantwoordelijke geeft middels deze overeenkomst toestemming aan Verwerker om subverwerkers in te schakelen die noodzakelijk zijn voor de verplichtingen uit de dienstverleningsovereenkomst. Dit zal gebeuren middels een Subverwerkersovereenkomst.
5.3 Verwerkingsverantwoordelijke heeft de mogelijkheid om gemaakte afspraken tussen Verwerker en Subverwerker op te vragen.
5.4 Verwerker zal aan Subverwerkers dezelfde verplichtingen opleggen als conform deze overeenkomst op Verwerker rusten.
Artikel 6. Privacyrechten
Verwerker helpt Verwerkingsverantwoordelijke om te voldoen aan plichten van Verwerkingsverantwoordelijke als betrokkenen hun privacyrechten uitoefenen (zoals het recht op inzage, correctie, vergetelheid en dataportabiliteit.
Artikel 7. Beveiliging
7.1 (a) Verwerker zal zich inspannen voldoende technische en organisatorische maatregelen te nemen met betrekking tot de te verrichten verwerkingen van persoonsgegevens, tegen verlies of enige vorm van onrechtmatige verwerking (zoals onbevoegde kennisname, aantasting, wijziging of verstrekking van de persoonsgegevens). Onder deze verplichting vallen onder andere verantwoord gebruik van rechten en inloggegevens, technische beveiliging en (personeels)beleid rondom informatiebeveiliging.
(b) Xxxxxxxxx wordt benoemd dat personeel van Verwerker of ingeschakelde derde partijen zich geen inzicht mogen verschaffen tot de geleverde data tenzij dat noodzakelijk is voor de levering van de diensten genoemd in de dienstverleningsovereenkomst of indien dit op uitdrukkelijk verzoek van Verwerkingsverantwoordelijke gebeurt.
(C) De daadwerkelijke dienstverlening wordt gefaciliteerd door WeSeeDo op een platform dat zowel ISO 27001 als NEN 7510 gecertificeerd is.
7.2 De Verwerker zal zich inspannen dat de beveiliging organisatorisch en technisch zal voldoen aan een niveau dat op het risico is afgestemd en gelet op de stand van de techniek, de gevoeligheid van de persoonsgegevens en de aan het treffen van de beveiliging verbonden kosten, passend is conform de eisen die de Algemene Verordening Gegevensbescherming stelt aan de Verwerkingsverantwoordelijke.
7.3 In het geval van een datalek zal de Verwerker de Verwerkingsverantwoordelijke daarover binnen 48 uur informeren. Hieronder valt ten minste verlies of onrechtmatige verwerking van persoonsgegevens.
7.4 De meldplicht bedoeld in artikel 7.3 behelst in ieder geval de volgende informatie
• De aard van de Inbreuk, waar mogelijk onder vermelding van de categorieën van Betrokkenen en persoonsgegevensregisters in kwestie en, bij benadering, het aantal Betrokkenen en persoonsgegevensregisters in kwestie.
• de naam en de contactgegevens van de functionaris voor gegevensbescherming of een ander contactpunt waar meer informatie kan worden verkregen door Verwerkingsverantwoordelijke.
• De waarschijnlijke gevolgen van de Inbreuk.
• de maatregelen die de Verwerker voorstelt of reeds heeft genomen om Inbreuk aan te pakken, waaronder de eventuele maatregelen ter beperking van de eventuele nadelige gevolgen daarvan.
Artikel 8. Geheimhoudingsplicht
Op alle persoonsgegevens die Verwerker van Verwerkingsverantwoordelijke ontvangt in het kader van deze overeenkomst, rust een strikte geheimhoudingsplicht jegens derden. Verwerker zal deze informatie niet voor enig ander doel gebruiken dan waarvoor zij deze heeft verkregen, zelfs niet wanneer deze in zodanige vorm is gebracht dat deze niet tot betrokkenen herleidbaar is.
Artikel 9. Gegevens verwijderen
Indien na het beëindigen van de dienstverleningsovereenkomst vaststaat dat Verwerkingsverantwoordelijke alle (persoons)gegevens in een door Verwerkingsverantwoordelijke schriftelijk geaccepteerd technisch formaat bezit, verwijdert Verwerker alle (persoons)gegevens volledig en onherroepelijk binnen veertien dagen nadat is vastgesteld dat Verwerkingsverantwoordelijke de Persoonsgegevens bezit.
Artikel 10. Audits
Verwerkingsverantwoordelijke heeft het recht audits uit te (laten) voeren bij Verwerker of ingeschakelde derde partijen om te waarborgen dat aan alle plichten uit deze overeenkomst wordt voldaan. Dit houdt onder meer in dat Verwerkingsverantwoordelijke inzicht moet kunnen krijgen in beveiligingsprotocollen, (personeels)beleid omtrent informatiebeveiliging maar ook audits mag (laten) uitvoeren op locatie van de Verwerker om te controleren dat aan alle vereisten uit deze overeenkomst en de Algemene Verordening Gegevensbescherming wordt voldaan.
Artikel 11. Duur en beëindiging
11.1 Deze overeenkomst komt tot stand door de (digitale) aanvraag voor een WeSeeDo abonnement.
11.2 Deze overeenkomst blijft van kracht zolang de Verwerker verwerkingen voor de Verwerkingsverantwoordelijke blijft uitvoeren. De bepalingen uit deze overeenkomst betreffende geheimhouding blijven tevens van kracht na het beëindigen van de dienstverlening.
11.3 Wijzigingen op deze overeenkomst zijn uitsluitend geldig indien deze tussen partijen schriftelijk zijn overeengekomen.
11.4 Deze overeenkomst kan alleen worden opgezegd indien de dienstverleningsovereenkomst tussen partijen wordt ontbonden en de dienstverlening tot een einde komt.
De Verwerkingsverantwoordelijke
<<klant>>
<<naam>> Directeur Datum:
De Verwerker
Privacy Helder Xxx Xxxxxx Directeur Datum…………
Bijlage 1: Specificatie van te verwerken gegevens
Typen persoonsgegevens
De volgende vertrouwelijke gegevens zullen worden verwerkt.
(Werknemers van) Verantwoordelijke | |
1. | E-mail adres |
2. | Voor en achternaam |
3. | Geslacht |
4. | Telefoonnummer |
5. | Beeldbelverbindingen tussen klanten en derden. |
Aan bovenstaande lijst van gegevens kunnen wijzigingen worden aangebracht indien dienstverlening wordt uitgebreid of gewijzigd of op uitdrukkelijk verzoek van de Verwerkingsverantwoordelijke.