BEWERKERSOVEREENKOMST

BEWERKERSOVEREENKOMST

BEWERKERSOVEREENKOMST BIT B.V. – VERSIE 2016-10-25

Deze bewerkersovereenkomst maakt integraal onderdeel uit van de afspraken tussen Verantwoordelijke (klant van BIT B.V.) en Bewerker (BIT B.V.), hierna genoemd “Overeenkomst”.

In aanmerking nemende dat

• Verantwoordelijke met zijn klanten een overeenkomst heeft gesloten en Verantwoordelijke voor de uitvoering van die overeenkomst Bewerker in wenst te schakelen;

• Verantwoordelijke en Bewerker ten behoeve van het voorgaande een Overeenkomst hebben gesloten;

• Bewerker bij de uitvoering van de Overeenkomst in sommige gevallen aangemerkt kan worden als Bewerker in de zin van artikel 1 sub e van de Wet bescherming persoonsgegevens (hierna: “Wbp”);

• Verantwoordelijke aangemerkt wordt als verantwoordelijke in de zin van artikel 1 sub d van de Wbp;

• Waar in deze bewerkersovereenkomst gesproken wordt over persoonsgegevens, hiermee persoonsgegevens in de zin van artikel 1 sub a van de Wbp bedoeld worden;

• Bewerker bereid is verplichtingen omtrent beveiliging en andere aspecten van de Wbp na te komen, voor zover dit binnen zijn macht ligt;

• De Wbp aan de Verantwoordelijke de plicht oplegt om ervoor zorg te dragen dat Bewerker voldoende waarborgen biedt ten aanzien van de technische en organisatorische beveiligingsmaatregelen met betrekking tot de te verrichten verwerkingen;

• De Wbp daarnaast aan de Verantwoordelijke de plicht oplegt om toe te zien op de naleving van die maatregelen;

• Partijen, mede gelet op het vereiste uit artikel 14 lid 5 van de Wbp, hun rechten en plichten schriftelijk wensen vast te leggen middels deze bewerkersovereenkomst (hierna: “Bewerkersovereenkomst”).

Zijn als volgt overeengekomen

1. Artikel 1: DOELEINDEN VAN VERWERKING

1.1 Bewerker verbindt zich onder de voorwaarden van deze Bewerkersovereenkomst in opdracht van Verantwoordelijke persoonsgegevens te verwerken. Verwerking zal uitsluitend plaatsvinden in het kader van de Bewerkersovereenkomst en die doeleinden die met nadere instemming worden bepaald.

1.2 Bewerker zal de persoonsgegevens niet voor enig ander doel verwerken dan zoals door Verantwoordelijke is vastgesteld. Verantwoordelijke zal Bewerker op de hoogte stellen van de verwerkingsdoeleinden voor zover deze niet reeds in deze Bewerkersovereenkomst zijn genoemd.

1.3 De Bewerker heeft geen zeggenschap over het doel en de middelen voor de verwerking van persoonsgegevens. Bewerker neemt geen beslissingen over de ontvangst en het gebruik van de persoonsgegevens, de verstrekking aan derden en de duur van de opslag van persoonsgegevens.

2. Artikel 2: VERPLICHTINGEN BEWERKER

2.1 Ten aanzien van de in artikel 1 genoemde verwerkingen zal Bewerker zorg dragen voor de naleving van de voorwaarden die, op grond van de Wbp, worden gesteld aan het verwerken van persoonsgegevens.

2.2 Bewerker zal Verantwoordelijke, op diens eerste verzoek daartoe, informeren over de door haar genomen maatregelen aangaande haar verplichtingen onder deze Bewerkersovereenkomst.

2.3 De verplichtingen van de Bewerker die uit deze Bewerkersovereenkomst voortvloeien, gelden ook voor degenen die persoonsgegevens verwerken onder het gezag van Bewerker.

2.4 Het verwerken van persoonsgegevens door Bewerker zal nimmer met zich meebrengen dat de databases van Bewerker worden verrijkt met de gegevens afkomstig uit de datasets van Verantwoordelijke.

3. Artikel 3: DOORGIFTE VAN PERSOONSGEGEVENS

3.1 Bewerker mag de persoonsgegevens verwerken in landen binnen de Europese Unie. Doorgifte naar landen buiten de Europese Unie is niet toegestaan zonder voorafgaande schriftelijke toestemming van Verantwoordelijke.

3.2 Bewerker zal Verantwoordelijke melden om welk land of landen het gaat.

4. Artikel 4: VERDELING VAN VERANTWOORDELIJKHEID

4.1 De toegestane verwerkingen zullen door Bewerker worden uitgevoerd binnen een geautomatiseerde omgeving.

4.2 Bewerker is louter verantwoordelijk voor de verwerking van de persoonsgegevens onder deze Bewerkersovereenkomst, overeenkomstig de instructies van Verantwoordelijke en onder de uitdrukkelijke (eind)verantwoordelijkheid van Verantwoordelijke. Voor alle overige verwerkingen van persoonsgegevens, waaronder in ieder geval begrepen maar niet beperkt tot de verzameling van de persoonsgegevens door de Verantwoordelijke, verwerkingen voor doeleinden die niet door

Verantwoordelijke aan Bewerker zijn gemeld, verwerkingen door derden en/of voor andere doeleinden, is Xxxxxxxx niet verantwoordelijk. De verantwoordelijkheid voor deze verwerkingen rust uitsluitend bij Verantwoordelijke.

5. Artikel 5: INSCHAKELEN VAN DERDEN OF ONDERAANNEMERS

5.1. Bewerker mag in het kader van de Bewerkersovereenkomst gebruik maken van een derde, zonder voorafgaande toestemming van Verantwoordelijke, onder de voorwaarde dat Verantwoordelijke, uitsluitend in het geval dat daar gegronde redenen voor zijn, het inschakelen van de derde kan verbieden.

5.2. Bewerker zorgt er onvoorwaardelijk voor dat deze derden schriftelijk dezelfde plichten op zich nemen als tussen Verantwoordelijke en Bewerker is overeengekomen. Bewerker staat in voor een correcte naleving van deze plichten door deze derden en is bij fouten van deze derden zelf jegens Verantwoordelijke aansprakelijk voor alle schade alsof zij zelf de fout(en) heeft begaan.

6. Artikel 6: BEVEILIGING

6.1 Bewerker zal zich inspannen, ten aanzien van haar infrastructuur en door haar ingeschakelde derden waarmee of via welke persoonsgegevens verwerkt kunnen worden, voldoende en passende technische en organisatorische maatregelen, waaronder in ieder geval de maatregelen zoals genoemd in de ISO 27001 en NEN 7510 norm, te nemen met betrekking tot de te verrichten verwerkingen van persoonsgegevens, tegen verlies of tegen enige vorm van onrechtmatige verwerking (zoals onbevoegde kennisname, aantasting, wijziging of verstrekking van de persoonsgegevens).

6.2 Bewerker is verantwoordelijk voor de naleving van de door Partijen afgesproken, en door Bewerker te nemen, maatregelen.

7. Artikel 7: MELDPLICHT

7.1. In het geval van een beveiligingslek en/of een datalek (waaronder wordt verstaan: een inbreuk op de beveiliging van persoonsgegevens die leidt tot of kan leiden tot kans op nadelige gevolgen, dan wel nadelige gevolgen heeft, voor de bescherming van persoonsgegevens) zal Bewerker, zich naar beste kunnen inspannen om Verantwoordelijke daarover onmiddellijk te informeren, doch uiterlijk binnen 48 uur na behandeling van de melding door Bewerker. Bewerker spant zich naar beste kunnen in om de verstrekte informatie volledig, correct en accuraat te maken. De meldplicht geldt ongeachte de impact van het lek.

7.2. Indien de wet- en/of regelgeving dit vereist zal Bewerker meewerken aan het informeren van de terzake relevante autoriteiten en eventueel betrokkenen. Verantwoordelijke is verantwoordelijk voor het melden naar de relevante autoriteiten.

7.3. De meldplicht behelst in ieder geval het melden van het feit dat er een lek is geweest, alsmede:

• Wat de (vermeende) oorzaak is van het lek;

• Wat is het (vooralsnog bekende en/of te verwachten) gevolg;

• Wat is de (voorgestelde) oplossing;

• Wat de reeds ondernomen maatregelen zijn.

8. Artikel 8: AFHANDELING VERZOEKEN VAN BETROKKENEN

8.1 In het geval dat een betrokkene een verzoek tot inzage, zoals bedoeld in artikel 35 Wbp, of verbetering, aanvulling, wijziging of afscherming, zoals bedoeld in artikel 36 Wbp, richt aan Bewerker, zal Bewerker het verzoek doorsturen aan Verantwoordelijke en de betrokkene hiervan op de hoogte stellen. Verantwoordelijke zal het verzoek vervolgens verder zelfstandig afhandelen.

9. Artikel 9: AUDIT

9.1. Verantwoordelijke heeft het recht om audits uit te laten voeren door een onafhankelijke derde die aan geheimhouding is gebonden ter controle van naleving van alle punten uit deze Bewerkersovereenkomst.

9.2. Deze audit vindt uitsluitend plaats nadat Verantwoordelijke de bij Bewerker aanwezige soortgelijke auditrapportages heeft opgevraagd, beoordeeld en redelijke argumenten aanbrengt die een door Verantwoordelijke geïnitieerde audit alsnog rechtvaardigen. Een dergelijke audit wordt gerechtvaardigd wanneer de bij Bewerker aanwezige soortgelijke auditrapportages geen of onvoldoende uitsluitsel geven over het naleven van deze Bewerkersovereenkomst door Xxxxxxxx. De door Verantwoordelijke geïnitieerde audit vindt binnen zes weken na voorafgaande aankondiging door Verantwoordelijke en maximaal eens per jaar plaats.

9.3. Bewerker zal aan de audit meewerken en alle voor de audit redelijkerwijs relevante informatie, inclusief ondersteunende gegevens zoals systeemlogs en voor zover Bewerker's privacyverklaring dat toestaat, en medewerkers zo tijdig mogelijk en binnen een redelijke termijn, waarbij een termijn van maximaal twee weken redelijk is tenzij een spoedeisend belang zich hiertegen verzet, ter beschikking stellen.

9.4. De bevindingen naar aanleiding van de uitgevoerde audit zullen door Partijen in onderling overleg worden beoordeeld en, naar aanleiding daarvan, al dan niet worden doorgevoerd door één van de Partijen of door beide Partijen gezamenlijk.

9.5. De redelijke kosten voor de audit worden door de Verantwoordelijke gedragen, met dien verstande dat de kosten voor de in te huren derde altijd door Verantwoordelijke zullen worden gedragen.

10. Artikel 10: DUUR EN BEËINDIGING

10.1 Deze Bewerkersovereenkomst is aangegaan voor de duur zoals bepaald in de Mantelovereenkomst tussen Partijen en bij gebreke daarvan in ieder geval voor de duur van de samenwerking.

10.2 De Bewerkersovereenkomst kan tussentijds niet worden opgezegd.

10.3 Partijen mogen deze Bewerkersovereenkomst alleen wijzigen met wederzijdse instemming.

10.4 Na beëindiging van de Bewerkersovereenkomst vernietigt Bewerker de van Verantwoordelijke ontvangen persoonsgegevens onverwijld, tenzij partijen anders overeen komen.

11. Artikel 11: OVERIGE BEPALINGEN

11.1 De Bewerkersovereenkomst en de uitvoering daarvan worden beheerst door Nederlands recht.

11.2 Alle geschillen, welke tussen Partijen mochten ontstaan in verband met de Bewerkersovereenkomst, zullen worden voorgelegd aan de bevoegde rechter in het arrondissement waar Bewerker is gevestigd.

11.3 In geval van strijdigheid van verschillende documenten of de bijlagen daarvan, geldt de volgende rangorde:

1. de Overeenkomst;

2. deze Bewerkersovereenkomst;

3. de Algemene Voorwaarden;

4. de Service Level Agreement;

5. eventuele aanvullende voorwaarden.