Generieke Verwerkersovereenkomst
Generieke Verwerkersovereenkomst
1. Naam van bedrijf
Straatnaam en nummer
Postcode en Plaats
hierna te noemen: “Verwerkingsverantwoordelijke”; en
RDC inMotiv Nederland B.V., statutair gevestigd en xxxxxxxxxxxxxxx xx 0000 XX Xxxxxxxxx aan de XxxxXxxxx 00, geregistreerd bij de Kamer van Koophandel onder nummer 33127663, te dezen rechtsgeldig vertegenwoordigd door de xxxx X. Xxxxxxxx, hierna te noemen: “Verwerker”;
Hierna gezamenlijk verder te noemen: “Partijen”
OVERWEGENDE DAT:
A. Verwerkingsverantwoordelijke aan Verwerker data ter beschikking stelt in het kader van de uitvoering van één of meer diensten van Verwerker aan Verwerkingsverantwoordelijke, welke diensten onderling schriftelijk zijn vastgelegd middels (een) overeenkomst(en) (hierna: “Dienstverleningsovereenkomst”). Verwerkingsverantwoordelijke en Verwerker onderkennen dat een onderdeel van de dienstverlening onder meer bestaat uit de verwerking van Persoonsgegevens.
B. Verwerkingsverantwoordelijke opdracht wenst te verlenen aan Verwerker voor het verwerken van de door hem verstrekte Persoonsgegevens en concurrentiegevoelige gegevens (hierna: “Persoonsgegevens”) in het kader van de Dienstverleningsovereenkomst, en Verwerker deze opdracht wenst te aanvaarden.
C. Verwerkingsverantwoordelijke en Verwerker gelet op het bepaalde in artikel 24 en 28 Algemene Verordening Gegevensbescherming (hierna: AVG) (inzake technische en organisatorische beveiligingsmaatregelen) nadere afspraken wensen te maken over de voorwaarden waaronder Verwerker de Persoonsgegevens zal verwerken;
D. Partijen in dit kader in deze Verwerkersovereenkomst de volgende afspraken schriftelijk wensen vast te leggen.
Komen hierbij het volgende overeen:
Artikel 1 – Verlening van opdracht tot verwerking Persoonsgegevens
1.1 Verwerkingsverantwoordelijke verleent bij het aangaan van een Dienstverleningsovereenkomst zoals aangegeven in artikel 4.1, opdracht aan Verwerker voor het verwerken van de Persoonsgegevens, welke opdracht Verwerker middels deze Verwerkersovereenkomst aanvaardt.
1.2 Partijen hebben in artikel 4 vastgelegd (1) voor welk doel de verwerking in opdracht van de Verwerkingsverantwoordelijke door Verwerker plaatsvindt (hierna: het “Doel”), (2) welke verwerkingshandelingen Verwerker uitvoert namens Verwerkingsverantwoordelijke, (3) op welke wijze Verwerkingsverantwoordelijke de Persoonsgegevens aan Verwerker ter beschikking zal stellen en (4) welke Persoonsgegevens er door Verwerkingsverantwoordelijke aan Verwerker ter beschikking worden gesteld voor verwerking.
1.3 Partijen bevestigen dat Verwerkingsverantwoordelijke volledig verantwoordelijk is voor het vaststellen van het Doel en de middelen voor de verwerking van de Persoonsgegevens. De Verwerker verwerkt de Persoonsgegevens uitsluitend in opdracht van en ten behoeve van de Verwerkingsverantwoordelijke.
1.4 Verwerkingsverantwoordelijke borgt dat zij haar rechtsgrond(en) en eigen doel(en) voor verwerking van de Persoonsgegevens van Betrokkenen heeft vastgelegd en gerechtigd is om Verwerker de Persoonsgegevens te doen verwerken.
1.5 Partijen zijn elk zelfstandig verplicht tot naleving van de voor hen geldende, uit de AVG voortvloeiende, verplichtingen.
Artikel 2 – Verplichtingen Verwerker
2.1 Verwerker verplicht zich (i) alle instructies van Verwerkingsverantwoordelijke in het kader van de verwerking van de Persoonsgegevens op te volgen, (ii) de Persoonsgegevens nimmer aan een Derde te verstrekken, dan wel een derde toegang te verlenen tot deze gegevens, zonder dat Verwerker hiervoor schriftelijk toestemming heeft verkregen van Verwerkingsverantwoordelijke,
(iii) de Persoonsgegevens uitsluitend te verwerken in het kader van het Doel, en deze gegevens voor geen enkel ander doel te gebruiken of aan te wenden dan voor die, of andere wettelijk toegestane doelen, (iv) bij de verwerking van de Persoonsgegevens zich te houden aan alle toepasselijke wet- en regelgeving en gedragscodes ten aanzien van de bescherming van deze gegevens, waaronder in ieder geval mede begrepen de AVG.
2.2 Verwerker garandeert dat de door hem gehanteerde beveiligingsmaatregelen voor het eigen domein een beveiligingsniveau bieden dat voldoet aan het in artikel 32 AVG vereiste beschermingsniveau. Verwerker zal uit eigen beweging, en op eigen kosten, de beveiligingsmaatregelen zodanig aanpassen dat deze gedurende de duur van deze Verwerkersovereenkomst een passend beschermingsniveau blijven bieden.
2.3 Verwerker borgt dat de Persoonsgegevens overgedragen aan Verwerker in het kader van Artikel 1 van deze Verwerkersovereenkomst, uitsluitend binnen de Europese Unie of binnen een land met een passend beschermingsniveau (adequacy decision in het kader van de GDPR van de EU) worden opgeslagen.
2.4 In het geval Verwerker voor het verwerken van de Persoonsgegevens gebruik maakt van een Derde (hierna:’SubVerwerker”), dan garandeert Verwerker dat betreffende Subverwerker eveneens een passend niveau van bescherming en veiligheid van de Persoonsgegevens waarborgen in de zin van de AVG. Als de SubVerwerker gevestigd is in een land buiten de EER of niet valt onder een adequacy decision, zullen de Verwerker en de SubVerwerker, actuele EU Standard Contractual Clauses overeenkomen.
2.6 Verwerker verplicht zich Verwerkingsverantwoordelijke terstond schriftelijk te informeren indien een onbevoegde potentieel beschikking heeft gekregen over (een deel van) de Persoonsgegevens, dan wel permanent of tijdelijk toegang daartoe heeft of heeft gehad, bij
fouten, onregelmatigheden of vermoedelijke schendingen van bepalingen (al dan niet door toedoen of nalaten van door of namens de Verwerker ingezette personen) van deze Verwerkersovereenkomst. Verwerker zal Verwerkingsverantwoordelijke in ieder geval informatie verstrekken over het volgende:
a. de aard van het incident of de inbreuk;
b. de (mogelijk) getroffen Persoonsgegevens;
c. de vastgestelde en verwachte gevolgen van de inbreuk voor de Verwerking van de Persoonsgegevens en de daarbij betrokken personen;
x. xx xxxxxxxxxx waar meer informatie over de inbreuk kan worden verkregen;
e. de maatregelen die Verwerker heeft getroffen en zal treffen om de negatieve gevolgen van de inbreuk te beperken.
2.7 Verwerker zal Verwerkingsverantwoordelijke terstond in kennis stellen van een bindend verzoek van een bevoegde instantie tot verstrekking van de Persoonsgegevens, tenzij het Verwerker op grond van enige wettelijke verplichting niet is toegestaan de Verwerkingsverantwoordelijke hiervan in kennis te stellen.
2.8 Verwerker borgt dat zij zich voegt naar de verplichting in artikel 30 AVG, tot het registreren van de verwerkingsactiviteiten.
2.9 In het kader van artikel 28 lid 3h AVG, biedt Verwerker de Verwerkingsverantwoordelijke de gelegenheid om aan te sluiten bij de jaarlijkse Assurance Verklaring van Verwerker.
2.10 Verwerker zal assistentie verlenen bij het uitvoeren van een DPIA (gegevensbeschermings- effectbeoordeling) en een eventuele plicht tot het doen van een voorafgaande raadpleging die daaruit voortvloeit.
Artikel 3 – Rechten van Betrokkene(n)
3.1 Verwerkingsverantwoordelijke is verantwoordelijk voor de (ingevoerde) Persoonsgegevens van de betrokkenen (hierna: “Betrokkene(n)” en daarbij voor het informeren en bijstaan van de rechten van de Betrokkenen. Verwerker zal nooit op verzoeken van Betrokkenen ingaan en altijd verwijzen naar de Verwerkingsverantwoordelijke. Verwerker zal haar medewerking verlenen aan de Verwerkingsverantwoordelijke zodat deze kan voldoen aan zijn wettelijke verplichtingen in het geval dat een Betrokkene haar rechten uitoefent op grond van de AVG of andere toepasselijke regelgeving betreffende de verwerking van Persoonsgegevens.
3.2 Verwerker zal op eerste verzoek van Verwerkingsverantwoordelijke zo spoedig mogelijk, doch uiterlijk binnen tien werkdagen nadat het verzoek is gedaan, aan Verwerkingsverantwoordelijke schriftelijk alle bij Verwerker beschikbare informatie verstrekken die Verwerkingsverantwoordelijke nodig heeft om te kunnen voldoen aan de aan Verwerkingsverantwoordelijke opgelegde verplichtingen inzake de Rechten van Betrokkenen onder de AVG.
3.3 Verwerker zal op eerste verzoek en op aangeven van Verwerkingsverantwoordelijke, opgeslagen Persoonsgegevens van Betrokkenen verbeteren, aanvullen, verwijderen of afschermen. Verwerker zal aan dit verzoek voldoen binnen zodanige termijn dat Verwerkingsverantwoordelijke niet in overtreding is van het bepaalde in artikel 12 lid 3 AVG, doch in elk geval binnen tien werkdagen nadat het verzoek door Verwerkingsverantwoordelijke is gedaan.
Artikel 4 – Doelen en middelen
4.1 De Doelen van de verwerking van Persoonsgegevens zijn gekoppeld aan het gebruik van één of meer diensten zoals vastgelegd in Dienstverleningsovereenkomst(en) die de
Verwerkingsverantwoordelijke is aangegaan met Verwerker. De Dienstverleningsovereenkomst(en) kan (kunnen) o.m. de volgende diensten betreffen:
a. Voor de diensten in het kader van CRM, klantcommunicatie via verschillende kanalen, het binnen het eigen bedrijf van Verwerkingsverantwoordelijke kunnen downloaden en gebruiken van de detailgegevens voor managementinformatie en onderhouden CRM gegevens zoals ingevuld door o.a. de dienst CaRe- Mail, Data Care;
b. Voor eigen gebruik en eventueel in combinatie met de statistische informatie met een dienst zoals AutoMotive Dashboard; het aggregeren en anonimiseren van data tot statistische data teneinde landelijk en/of regionaal inzicht te verkrijgen in trends (benchmarks etc.) en te aggregeren en daarmee te anonimiseren teneinde deze beschikbaar te stellen in de vorm van managementinformatie voor het bedrijf van Verwerkingsverantwoordelijke;
c. Het verzamelen van gegevens van personen (leads) die reageren op aanbiedingen voor nieuwe auto’s of occasions en proefritaanbiedingen middels online advertenties op websites en bij uitvoering van een proefrit via de dienst LeadHub;
d. Het controleren en corrigeren van klantdata, voertuigdata en voertuigbezitdata teneinde deze beschikbaar te stellen aan het bedrijfssysteem en door het bedrijf van Verwerkingsverantwoordelijke expliciet aangegeven businesspartners van dat bedrijf van Verwerkingsverantwoordelijke, zoals o.a. ingevuld door de dienst INDI, Klantvalidatie;
e. Voor diensten die het vastleggen van auto- en klantgegevens voor zekerheidsdoeleinden van Verwerkingsverantwoordelijke faciliteren, bij of voor levering of tijdelijk gebruik van voertuigen, zoals het New Car Ordering (NCO) systeem of Proefritmanager/Proefritcontroller;
f. Het onderhouden van de in opdracht van Verantwoordelijke te verwerken gegevens inzake het zakelijke gebruik van voertuigen (middels de BARS dienst);
g. Nadere tussen Partijen overeen te komen diensten welke in een daarvoor aparte Dienstverleningsovereenkomst of Bijlage I zullen worden vastgelegd.
4.2 In het kader van de hiervoor in artikel 4.1 genoemde Doelen kan Verwerker o.m. de volgende verwerkingshandelingen uitvoeren met de Persoonsgegevens:
a. Periodiek wordt een beveiligde verbinding opgezet met het bedrijfssysteem van Verwerkingsverantwoordelijke.
b. De voor de Doelen benodigde Persoonsgegevens worden opgehaald.
c. De veranderingen in de data sinds de vorige collectie-actie worden bepaald.
d. De data wordt centraal gestandaardiseerd en eventueel gecorrigeerd opgeslagen.
e. Dan is de data beschikbaar voor de diensten die worden gebruikt door het bedrijf van Verwerkingsverantwoordelijke en waarvoor een Dienstverleningsovereenkomst tussen Partijen is.
f. Nadere tussen Partijen overeen te komen verwerkingshandelingen welke in een daarvoor aparte Dienstverleningsovereenkomst of Bijlage I zullen worden vastgelegd.
4.3 De wijze waarop de Verwerkingsverantwoordelijke de data ter beschikking stelt voor de voornoemde Doelen (artikel 4.1) en de verwerkingen (artikel 4.2) kan verschillen. Hierbij kan hetgaan om de volgende middelen:
a. SFTP: Op basis van het Secure File Transfer Protocol wordt een beveiligd “postbusmechanisme” ingerichtwaarmee middels wederzijds geïmplementeerde bestandsformaten databestanden met (mutaties op) Persoonsgegevens worden uitgewisseld tussen Partijen.
b. XML: Op basis van wederzijds implementeren van vooraf gedefinieerde XML-interfaces worden middels eenbeveiligd protocol (mutaties op) Persoonsgegevens online real time en berichtsgewijs uitgewisseld tussen Partijen.
c. ROC Hub: Middels het installeren en activeren van de software van de Read-Only-Connector van Verwerkerworden Persoonsgegevens slechts gelezen en na toestemming van Verwerkingsverantwoordelijke op beveiligde wijze opgehaald. Er vindt geen mutatie of verandering plaats in de oorspronkelijke data.
d. Invoerapplicaties: middels een formulier in (web)applicaties worden middels een van Verwerker- zijdebeveiligde verbinding (https) gegevens uitgewisseld tussen Partijen.
e. Nadere tussen Partijen overeen te komen wijze van terbeschikkingstelling welke in een daarvoor aparte Dienstverleningsovereenkomst of Bijlage I zullen worden vastgelegd.
4.4 In het kader van de hiervoor in artikel 4.1 Doelen stelt de Verwerkingsverantwoordelijke de volgende soorten Persoonsgegevens beschikbaar:
a. Voertuiggegevens inclusief de gegevens omtrent aan het voertuig gekoppelde gegevens over opties, oorspronkelijke nieuwprijs, garantie en de staat van het voertuig.
b. Gegevens over voertuigbezit inclusief de gegevens omtrent de kentekenregistratie.
c. Persoonsgegevens al dan niet in relatie tot het voertuigbezit dan wel voertuiggebruik en/of voertuiglocatie.
d. Een beperkte set transactiegegevens m.b.t. het voertuig en het voertuigbezit voor zover van belang voor CRM en/of managementinformatie dan wel levering of (tijdelijk) gebruik van voertuigen.
e. Nadere tussen Partijen overeen te komen Persoonsgegevens welke in een daarvoor aparte Dienstverleningsovereenkomst of Bijlage I zullen worden vastgelegd.
Artikel 5 – Passende beveiliging
5.1 Verwerker host haar diensten in beveiligde datacenters, waar logische en fysieke beveiligingsmaatregelen worden gehandhaafd, zoals alarminstallaties en toegangscontroles. Het netwerk en de data zijn beschermd tegen niet-geautoriseerde bezoekers middels firewall, en softwarelagen die om authenticatie vragen. Na herhaaldelijk foutief aanmelden wordt de toegang geblokkeerd.
5.2 Permissie- en autorisatierechten worden enkel met toestemming, veelal via Mobi-ID, toegekend en geïmplementeerd. Verwerkingsverantwoordelijke bepaalt middels Mobi-ID zelf welke eigen medewerkers waartoe toegang hebben. Verwerker is zelf verantwoordelijk en aansprakelijk met betrekking tot de toegangsverlening aan eigen beheerders.
Daarmee is gewaarborgd dat enkel bevoegde personen toegang hebben tot de services. Ook indien een ander toegangsmechanisme dan Mobi-ID is gekozen, zijn beveiligingsmechanismen voor toegang geïmplementeerd. Verwerker hanteert daarnaast een getoetst wachtwoordbeleid voor gebruikers en beheerders en beheerst de voorspelbaarheid en betrouwbaarheid van haar processen middels de ITIL best practices en beoordeelt het niveau van beveiliging van haar eigen diensten minimaal jaarlijks middels een toetsing aan het eigen normenkader, gebaseerd op de ISO27002 normering.
Artikel 6 - Duur en beëindiging
6.1 Deze Verwerkersovereenkomst vangt aan op de datum van de eerste overeenkomst welke de diensten betreft zoals beschreven in artikel 4.1, en heeft een looptijd die minimaal gelijk is aan de langste looptijd van een overeenkomst van één van deze diensten. Zodra deze overeenkomst eindigt, eindigt deze Verwerkersovereenkomst eveneens automatisch per gelijke datum.
Artikel 7 – Gevolgen beëindiging
7.1 Bij beëindiging, ontbinding of opzegging van de Dienstverleningsovereenkomst, op welke grond of wijze dan ook, zal Verwerker tegen kostprijs en op verzoek van Verwerkingsverantwoordelijke (i) aan Verwerkingsverantwoordelijke alle Persoonsgegevens ter beschikking stellen op de wijze en in het format dat Verwerkingsverantwoordelijke (in redelijkheid en billijkheid) wenst, (ii) per direct de verwerking van de Persoonsgegevens staken, (iii) alle documenten waarin de Persoonsgegevens zijn vastgelegd aan Verwerkingsverantwoordelijke ter beschikking stellen, en
(iv) alle Persoonsgegevens die elektronisch zijn opgeslagen permanent van de gegevensdrager verwijderen, of voor zover permanente verwijdering van de gegevensdrager niet mogelijk is, de gegevensdrager vernietigen. Verwerker zal op verzoek van Verwerkingsverantwoordelijke schriftelijk bevestigen aan Verwerkingsverantwoordelijke dat Verwerker aan alle verplichtingen uit hoofde van dit artikel heeft voldaan.
7.2 Artikel 7.1 ii t/m iv gelden niet wanneer opslag van de Persoonsgegevens Unierechtelijk of naar Nederlands recht verplicht zou zijn voor Verwerker.
Artikel 8 – Aansprakelijkheid
8.1 De bepalingen inzake aansprakelijkheid opgenomen in de algemene voorwaarden van Verwerker, waarvan de Verwerkingsverantwoordelijke erkent kennis te hebben genomen en de toepassing ervan aanvaardt als onlosmakelijk verbonden met de onderliggende overeenkomst(en), zijn onverminderd van toepassing op deze Verwerkersovereenkomst.
8.2. Verwerker kan in het kader van Persoonsgegevensverwerking slechts aansprakelijk zijn voor de directe schade die door de verwerking wordt veroorzaakt wanneer hierbij niet voldaan is aan de specifiek tot de Verwerker gerichte verplichtingen van de AVG dan wel in strijd met de rechtmatige instructies of opdracht van de Verwerkingsverantwoordelijke in het kader van de Dienstverleningsovereenkomst(en) is gehandeld.
8.3. Enkel de Verwerkingsverantwoordelijke is aansprakelijk voor enige schade, van welke aard ook, zowel directe als indirecte schade en/of gevolgschade die te wijten is of verband houdt met de verwerking van Persoonsgegevens in strijd met de AVG, waaronder maar niet beperkt tot verminking of verlies van Persoonsgegevens, schade te wijten aan of die verband houdt met programmatuur van o.a. CRM of DMS systemen, dan wel de interfaces die gebouwd zijn door de softwareleveranciers of schade die veroorzaakt wordt doordat Verwerkingsverantwoordelijke niet de juiste dan wel de voorgeschreven technologie gebruikt, of zonder schriftelijke toestemming derden inschakelt die onderhoud plegen aan de door Verwerker gemaakte interfaces ofwel gegevens verwerkt waarvoor niet wordt voldaan aan de vereisten van grondslag, doelbinding of rechtmatigheid.
8.4 Indien een Partij tekort schiet in de nakoming van de Verwerkersovereenkomst als gevolg van opzet of bewuste roekeloosheid is de tekortgeschoten Partij aansprakelijk voor de schade en kosten die de andere Partij daardoor lijdt of heeft geleden.
Iedere aansprakelijkheid van Verwerker is daarbij beperkt tot de voorwaarden, condities en het uitgekeerde bedrag in het desbetreffende geval, uit hoofde van de door RDC gesloten verzekering(en).
Artikel 9 – Geheimhouding
9.1 Verwerker is het verboden product-, markt- en bedrijfsgegevens die Verwerkingsverantwoordelijke betreffen aan derden kenbaar te maken, tenzij deze informatie – zonder dat dit veroorzaakt is doordat de onderhavige geheimhoudingsverplichting is geschonden
– van algemene bekendheid is. Verwerker zal deze informatie uitsluitend gebruiken voor de uitvoering van de Dienstverleningsovereenkomst.
9.2 Verwerkingsverantwoordelijke zal aan Derden uitsluitend mededeling doen over de inhoud van deze Data Verwerkersovereenkomst indien en voor zover daarvoor van Verwerker vooraf schriftelijke toestemming is verkregen. Dit in verband met de beveiliging en de concurrentiegevoelige inhoud van deze Verwerkersovereenkomst.
9.3 Verwerker verplicht zich om personen die door haar worden ingezet bij de uitvoering van de Dienstverleningsovereenkomst dezelfde verplichting op te leggen als in artikel 9.1 is opgenomen.
Artikel 10 –Diversen
10.1 Deze Verwerkersovereenkomst is enkel van toepassing op (delen van) diensten welke zich bevinden in het domein van Verwerker, dan wel door Verwerker ingeschakelde Sub Verwerkers. Verwerker is niet verantwoordelijk voor beveiliging van (delen van de) diensten welke (lokaal) bij Verwerkingsverantwoordelijke of bij een door Verwerkingsverantwoordelijke ingeschakelde Derde(n) op locatie staan, dan wel in beheer zijn. Verwerker draagt in deze gevallen ook geen verantwoordelijkheid voor de wijze van gebruik van Persoonsgegevens.
10.2 Verwerkingsverantwoordelijke verstrekt door aangaan van de onderliggende overeenkomst(en) en deze Verwerkersovereenkomst uitdrukkelijk haar voorafgaande toestemming voor de inzet van Sub Verwerkers door Verwerker, onder de voorwaarden zoals door Verwerker aan SubVerwerkers gesteld in artikelen 2.3 t/m
2.5 van deze Verwerkersovereenkomst.
10.4 Deze Verwerkersovereenkomst en indien ingevuld de Bijlagen hierbij maken integraal onderdeel uit van de tussen Partijen gesloten Dienstverleningsovereenkomst.
Artikel 11 – Toepasselijk recht
11.1 Alle geschillen welke betrekking hebben op, voortvloeien uit, of verband houden met deze Verwerkersovereenkomst die niet in der minne kunnen worden geschikt, kunnen in eerste instantie uitsluitend ter beslechting worden voorgelegd aan de bevoegde rechter te Amsterdam.
11.2 Op deze Verwerkersovereenkomst is Nederlands recht van toepassing.
Voor gezien ondertekend, Aldus verklaard en ondertekend, Namens de Verwerkingsverantwoordelijke, Namens RDC inMotiv Nederland BV,
<.. image(Afbeelding met duisternis, zwart, handschrift, nacht Automatisch gegenereerde beschrijving) removed ..>
Naam: Naam: X. Xxxxxxxx
Functie: Functie: Directeur
Datum: / / Datum: 01 / 07 / 2024
~ pagina 7 ~