Verwerkersovereenkomst Optimo
Verwerkersovereenkomst Optimo
Ondergetekenden
(i) Optimo, zijnde Optimo Business Services B.V. , waarmee klant een of meerdere Dienstverleningsovereenkomsten is aangegaan;
en
(ii) Klant, zijnde de opdrachtgever van Optimo in het kader van de Dienstverlening;
hierna gezamenlijk te noemen: “Partijen”
Overwegende dat
a. Optimo diensten zal verrichten ten behoeve van Klant op basis van één of meerdere dienstverleningsovereenkomsten (hierna: “Dienstverlening”);
b. in het kader van de Dienstverlening Optimo de hierna gedefinieerde Persoonsgegevens zal verwerken die zijn verstrekt door en/of namens Klant.
c. uitsluitend Klant het doel en de middelen voor de verwerking van de Persoonsgegevens bepaalt en derhalve is aan te merken als ‘verwerkingsverantwoordelijke’ in de zin van de Algemene Verordening Gegevensbescherming (“AVG”);
d. Optimo Persoonsgegevens zal verwerken in opdracht van Klant en daarmee aan te merken is als ‘verwerker’ in de zin van de AVG;
e. Partijen in deze Verwerkersovereenkomst de afspraken met betrekking tot de verwerking van Persoonsgegevens in het kader van de Dienstverlening wensen vast te leggen in de zin van art. 28(3) AVG.
Komen als volgt overeen
1. Definities
Definities en begrippen uit de AVG zoals bijvoorbeeld “verwerkingsverantwoordelijke” en
“verwerker” hebben dezelfde betekenis die daaraan is gegeven in de AVG. Voorts hebben de hierna met hoofdletter geschreven begrippen de volgende betekenis.
1.1. Datalek: een "inbreuk in verband met persoonsgegevens" in de zin van art. 4(12) AVG inhoudende een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens.
1.2. Dienstverleningsovereenkomst: de overeenkomst(en) tussen Optimo en Klant in het kader van de Dienstverlening door Optimo.
1.3. Persoonsgegevens: de persoonsgegevens die in het kader van de Dienstverlening worden verwerkt door Optimo ten behoeve van Klant.
1.4. Privacywetgeving: de toepasselijke wet- en regelgeving met betrekking tot de verwerking van Persoonsgegevens, waaronder mede begrepen de AVG.
1.5. Sub-Verwerkers: de door Optimo ingeschakelde (sub-) verwerkers ter uitvoering van de Dienstverlening.
1.6. Verwerkersovereenkomst: de onderhavige overeenkomst indachtig art. 28(3) AVG.
2. Verwerking door Optimo
2.1. Optimo zal ten behoeve van Klant uitsluitend Persoonsgegevens verwerken voor zover dit noodzakelijk is in het kader van de overeengekomen Dienstverlening en slechts op basis van schriftelijke instructies van de Klant, waaronder mede begrepen deze Verwerkersovereenkomst en de Dienstverleningsovereenkomst(en).
2.2. In Annex 1 bij de Dienstverleningsovereenkomst zijn opgenomen (a.) de categorieën van betrokkenen; (b.) de soort Persoonsgegevens die door Optimo als verwerker in ieder geval (zullen) worden verwerkt; (c.) de doeleinden van de verwerking, voorzover deze niet reeds uit de Dienstverleningsovereenkomst voortvloeien; (d.) de Sub- Verwerkers waarvan Optimo thans gebruikt maakt; (e.) eventuele specifieke wissings- en/of retourneringsafspraken.
2.3. Het is Optimo niet toegestaan om de Persoonsgegevens te verwerken voor eigen doeleinden.
2.4. Optimo zal de Persoonsgegevens op behoorlijke en zorgvuldige wijze verwerken in overeenstemming met de AVG, althans de Privacywetgeving.
2.5. Het is Optimo niet toegestaan om Persoonsgegevens te (laten) verwerken buiten de Europese Economische Ruimte. Dit kan slechts met uitdrukkelijke schriftelijke toestemming van Klant.
2.6. Optimo zal de Persoonsgegevens vertrouwelijk behandelen.
3. Rechtmatigheid van de verwerking
3.1. Klant staat ervoor in dat de verwerking van de Persoonsgegevens rechtmatig is en voldoet aan de Privacywetgeving; alsmede dat de verwerking geen inbreuk maakt op enig recht van een derde/betrokkene.
3.2. Klant vrijwaart Optimo en stelt haar schadeloos voor alle claims, aanspraken, acties van derden, schade en/of kosten, waaronder bijvoorbeeld boetes van de Autoriteit Persoonsgegevens die Optimo maakt, lijdt of verbeurt en die rechtstreeks of indirect voortvloeien uit of het gevolg zijn van (i) een tekortkoming door Klant en/of door een door haar ingeschakelde derde in de nakoming van de Verwerkersovereenkomst; en/of
(ii) vanwege enige schending door de Klant van toepasselijke wet- en regelgeving zoals bijvoorbeeld de AVG.
4. Beveiliging
4.1. Optimo zal voorafgaande aan de verwerking van de Persoonsgegevens en gedurende de Dienstverlening passende technische en organisatorische beveiligingsmaatregelen treffen ten behoeve van de zorgvuldige verwerking van de Persoonsgegevens.
4.2. Optimo zal bij het treffen van voornoemde beveiligingsmaatregelen rekening houden met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context, de verwerkingsdoeleinden, de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van personen, om een op het risico afgestemd beveiligingsniveau te waarborgen, die, waar passend, onder meer het volgende kan omvatten:
a. de pseudonimisering en versleuteling van Persoonsgegevens;
b. het vermogen om op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen en diensten te garanderen;
c. het vermogen om bij een fysiek of technisch incident de beschikbaarheid van en de toegang tot de persoonsgegevens tijdig te herstellen;
d. een procedure voor het op gezette tijdstippen testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging van de verwerking.
4.3. Ter concrete uitwerking van het beveiligingsbeleid bedoeld in art. 4.1 heeft Optimo de maatregelen getroffen zoals uiteengezet in haar beveiligingsbeleid. De meest recente
versie van het beveiligingsbeleid is raadpleegbaar op.
Optimo-Informatiebeveiligings-en-Privacybeleid.pdf
5. Audits
5.1. Optimo, stelt op tijdig verzoek van de Klant de in redelijkheid te vergen informatie ter beschikking die nodig is om de nakoming van deze Verwerkersovereenkomst aan te tonen.
5.2. Optimo maakt waar nodig audits/inspecties door een registeraccountant en/of registerinformaticus mogelijk en assisteert daarbij voor zover dit in redelijkheid te vergen is. Klant kondigt een beoogde audit ten minste één (1) maand van tevoren aan, opdat partijen in goed overleg tot een definitieve datum kunnen komen. Deze auditbevoegdheid van de Klant is slechts gegeven in het kader van de nakoming van art. 28(3) AVG en de daaruit voorvloeiende verplichtingen.
5.3. De auditor zal zijn gebonden aan een vóóraf te sluiten geheimhoudingsovereenkomst met Xxxxxx waarin een dwangsom is opgenomen in geval van overtreding van de geheimhoudingsverplichting door de auditor. De klant staat in voor de nakoming van die geheimhoudingsverplichting.
5.4. Xxxxx verbindt zich te allen tijde tot strikte geheimhouding ten aanzien van de (bedrijfs)gegevens/know how van Optimo, waaronder mede begrepen in het kader van eventuele audits/inspecties.
5.5. De kosten van de audit en de medewerking verleend door Optimo en eventuele derden komen voor rekening van Klant, tenzij tijdens de audit objectief en aantoonbaar is vastgesteld door een onafhankelijke auditor dat Optimo ernstig toerekenbaar te kort is geschoten in de nakoming van (i) specifiek tot Optimo als verwerker gerichte verplichtingen voortvloeiende uit de AVG; of (ii) in de nakoming van de overeengekomen beveiligingsmaatregelen, in welk geval de in redelijkheid gemaakte kosten van de audit voor rekening van Optimo komen.
6. Signalering, informeren en medewerking
a. de aard van de inbreuk in verband met de Persoonsgegevens, bij benadering en waar mogelijk onder vermelding van de categorieën en aantallen van betrokkenen en de soorten persoonsgegevens;
b. de waarschijnlijke gevolgen van het Datalek;
c. de maatregelen die zijn genomen om het Datalek, waaronder, in voorkomend geval, de maatregelen ter beperking van de eventuele nadelige gevolgen daarvan.
6.2. Optimo zal zich inspannen om de gevolgen van een Datalek zoveel als redelijkerwijs mogelijk te beperken.
6.3. In het kader van de eventuele informatieverplichting van de Klant aan de Autoriteit Persoonsgegevens en/of eventuele betrokkenen in verband met een incident zal Optimo in goed overleg haar in redelijkheid te vergen medewerking verlenen.
6.4. Onder “incident” wordt het volgende verstaan:
a. een klacht of (informatie)verzoek van een betrokkene (natuurlijk persoon) met betrekking tot de verwerking van Persoonsgegevens door Xxxxxx;
b. een (vermoed) onderzoek door overheidsfunctionarissen met betrekking tot de Persoonsgegevens;
c. een Datalek.
6.5. Optimo zal Klant tijdig informeren over een incident onverminderd het bepaalde in art.
6.1 van deze Verwerkersovereenkomst.
6.6. Meldingen door Optimo aan de Klant worden gericht aan de persoon vermeld in Annex 2 bij de Dienstverleningsovereenkomst. Daarin wordt ook de contactpersoon vermeldt die namens Optimo in het kader van deze Verwerkersovereenkomst geldt als aanspreekpunt.
6.7. Mede ter voorkoming van reputatieschade is het Partijen niet toegestaan om informatie te verstrekken over incidenten aan betrokkenen of derden, behoudens: (i) een wettelijk verplichting daartoe; (ii) in het kader van juridische advisering; (iii) dan wel na toestemming van de andere Partij, welke toestemming niet op onredelijke gronden wordt onthouden.
6.8. In geval van een incident - waaronder in geval een Partij contact heeft met de Autoriteit Persoonsgegevens - houden Partijen elkaar op de hoogte van de relevante informatie en de ontwikkelingen, mede ter voorkoming van miscommunicatie en (reputatie)schade. Partijen zullen alsdan met elkaar in overleg treden.
6.9. Optimo zal, rekening houdend met de aard van de verwerking en de haar ter beschikking staande informatie, de Klant de in redelijkheid te vergen bijstand verlenen bij het doen nakomen van de verplichtingen uit hoofde van de artikelen 32 tot en met 36 AVG.
6.10. Optimo zal, rekening houdend met de aard van de verwerking en voor zover mogelijk, de in redelijkheid te vergen bijstand verlenen aan de Klant bij het vervullen van de plicht van de Klant om verzoeken van betrokkenen te beantwoorden met betrekking tot de in hoofdstuk III van de AVG genoemde rechten, waaronder ten aanzien van: informatie en toegang tot hun Persoonsgegevens; rectificatie en wissing van hun Persoonsgegevens; en het recht van bezwaar.
7. Inschakelen derden
7.1. Optimo waarborgt dat de tot het verwerken van de Persoonsgegevens gemachtigde personen - waaronder bijvoorbeeld medewerkers en Sub-Verwerkers - zich ertoe hebben verbonden om vertrouwelijkheid in acht te nemen of door een passende wettelijke verplichting van vertrouwelijkheid zijn gebonden.
7.2. Optimo is bevoegd tot inschakeling van derden voor de verwerking die daarmee kwalificeren als Sub-Verwerkers. Voorafgaande aan die inschakeling licht Optimo de Klant in - voor zover dat in redelijkheid te vergen is - over de beoogde veranderingen inzake de toevoeging of vervanging van Sub-Verwerkers. De klant heeft alsdan de mogelijkheid om hiertegen gemotiveerd schriftelijk bezwaar te maken binnen tien (10) kalenderdagen, bij gebreke waarvan het recht op bezwaar vervalt en voornoemde verandering voor geaccepteerd wordt gehouden. Indien de Klant bezwaar maakt en Optimo om commerciële en/of spoedeisende redenen redelijkerwijs niet aan de bezwaren van Klant kan voldoen, is Optimo bevoegd de Dienstverlening met onmiddellijke ingang op te zeggen of op te schorten zonder gehouden te zijn tot enige schadevergoeding in verband daarmee.
7.3. Klant verklaart zich ermee akkoord dat de in het voorgaande artikellid bedoelde informeren en de bezwaarbevoegdheid in ieder geval in redelijkheid niet gevergd kan worden ingeval van een spoedeisende situatie, bijvoorbeeld ten aanzien van de continuïteit en/of veiligheid van de Dienstverlening.
7.4. Wanneer Optimo een andere Sub-Verwerker in dienst neemt om voor rekening van de Klant specifieke verwerkingsactiviteiten te verrichten, worden aan deze andere verwerker bij een overeenkomst of een andere rechtshandeling de naar hun aard zelfde verplichtingen inzake gegevensbescherming opgelegd als bedoeld in deze Verwerkersovereenkomst, met name ten aanzien van de verplichting om afdoende passende technische en organisatorische maatregelen te bieden opdat de verwerking aan het bepaalde in de AVG voldoet.
7.5. In Annex 1 onder d. van Dienstverleningsovereenkomst zijn de reeds door Optimo ingeschakelde (soorten) Sub-Verwerkers opgenomen waarvoor Klant door ondertekening van de Dienstverleningsovereenkomst, zijn toestemming geeft.
8. Aansprakelijkheid
8.1. De aansprakelijkheid van Optimo is beperkt conform de Algemene Voorwaarden van Optimo.
8.2. Optimo heeft ten behoeve van haar rol van verwerker een aparte cyberverzekering afgesloten. In aanvulling op art. 8.3 van de Algemene Voorwaarden geldt dat voor zover op Optimo enige aansprakelijkheid rust in het kader van haar rol als verwerker en Optimo gehouden is enige schade te vergoeden in dat verband, dan is de te vergoeden schade beperkt tot het bedrag dat in het desbetreffende geval uit hoofde van de door Optimo gesloten cyberverzekering wordt uitbetaald met een
maximumbedrag van € 500.000,- per gebeurtenis met een maximum van € 1.000.000,- per jaar, onverminderd het bepaalde in art. 8 van de Algemene Voorwaarden.
8.3. Optimo zal een adequate cyberverzekering in stand houden. Desgewenst zendt Optimo een afschrift van de polis toe aan de Klant. Optimo hecht eraan te benadrukken dat Klant er verstandig aan doet om zelf ook een cyberverzekering af te sluiten in haar rol van verwerkingsverantwoordelijke in de zin van de AVG.
9. Duur en beëindiging
9.1. Deze Verwerkersovereenkomst gaat in op de datum van ondertekening van deze Verwerkersovereenkomst.
9.2. Deze Verwerkersovereenkomst eindigt van rechtswege op hetzelfde moment als de Dienstverleningsovereenkomst eindigt.
9.3. Verplichtingen welke naar hun aard bestemd zijn om ook na beëindiging van deze Verwerkersovereenkomst voort te duren, blijven na beëindiging van de Verwerkersovereenkomst gelden. Deze bepalingen zijn - voor zover van toepassing - uitsluitend de bepalingen betreffende aansprakelijkheid, garanties, geheimhouding, medewerking, toepasselijk recht en de bevoegde rechter.
9.4. Deze Verwerkersovereenkomst kan door partijen niet worden opgezegd anders dan door geldige opzegging van de Dienstverleningsovereenkomst.
9.5. Klant geeft hierbij de uitdrukkelijke instructie aan Optimo om na het einde van de Dienstverlening de Persoonsgegevens binnen dertig (30) dagen te wissen. Partijen kunnen desgewenst schriftelijk nadere en/of afwijkende wissings- en/of retourneringsafspraken maken in de Dienstverleningsovereenkomst.
9.6. Xxxxx verklaart en aanvaart bekend te zijn met de mogelijkheid om de door de Klant verstrekte gegevens/documenten - waaronder tevens Persoonsgegevens - vóór het einde van de Dienstverlening zelf eenvoudig te kunnen en zullen downloaden. Op tijdig verzoek voor het einde van de Dienstverlening kan Klant Optimo desondanks verzoeken tot retournering van de Persoonsgegevens.
10. Slotbepalingen
10.1. In geval van strijdigheid tussen de bepalingen uit deze Verwerkersovereenkomst en de Dienstverleningsovereenkomst prevaleren de bepalingen uit de Verwerkersovereenkomst, tenzij partijen daarvan uitdrukkelijk schriftelijk zijn afgeweken onder verwijzing van het artikelnummer van de bepaling waarvan is afgeweken.
10.2. Optimo is bevoegd de Verwerkersovereenkomst tussentijds aan te passen, mits de aangewezen vertegenwoordigers van klant en Optimo akkoord zijn. Dit laat klant specifieke afspraken in Annex 1 en Annex 2 bij de Dienstverleningsovereenkomst onverlet.
11. Rechtskeuze en bevoegde rechter
11.1. De rechtsrelatie door partijen wordt uitsluitend beheerst door het Nederlands recht.
11.2. Alle geschillen voortvloeiende uit en/of die verband houden met deze Verwerkersovereenkomst worden in eerste instantie voorgelegd aan de bevoegde rechter conform de Algemene Voorwaarden van Optimo.