VERWERKINGSOVEREENKOMST

VERWERKINGSOVEREENKOMST

Deze verwerkersovereenkomst is van toepassing op de verwerking van persoonsgegevens die VWE Automotive Solutions BV, gevestigd te Heerhugowaard, bij de Kamer van Koophandel geregistreerd onder nummer 36045676, verder te noemen “Verwerker”, uitvoert ten behoeve van de wederpartij aan wie zij diensten levert, verder te noemen “Verwerkingsverantwoordelijk” (hierna te noemen: “Verantwoordelijke”).

Hierna gezamenlijk te noemen ‘Partijen’

OVERWEGINGEN:

• Partijen zijn in de Hoofdovereenkomst overeengekomen dat Verwerker bepaalde diensten zal leveren aan Verantwoordelijke.

• Verwerker zal, in het kader van de Hoofdovereenkomst, ten behoeve van Verantwoordelijke persoonsgegevens (hierna: “Persoonsgegevens”) verwerken in de zin van de Algemene Verordening Gegevensbescherming (Verordening 2016/679/EU; hierna: de AVG);

• Partijen – mede ter uitvoering van het bepaalde in artikel 28 van de AVG – in de onderhavige Verwerkingsovereenkomst een aantal voorwaarden wensen vast te leggen die van toepassing zijn op hun relatie in verband met de vermelde verwerkingsdiensten van Verwerker.

PARTIJEN VERKLAREN TE ZIJN OVEREENGEKOMEN ALS VOLGT:

1. DEFINITIES

1.1 Betrokkene:

De natuurlijke persoon op wie een Persoonsgegeven betrekking heeft.

1.2 Verwerker:

Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/ dat ten behoeve van de Verantwoordelijke persoonsgegevens verwerkt.

1.3 Verwerkingsovereenkomst:

Deze overeenkomst tussen Verantwoordelijke en Verwerker met als onderwerp het verwerken van Persoonsgegevens, inclusief alle documenten waarnaar verwezen wordt en die de nadere rechten en verplichtingen van Partijen uiteenzetten.

1.4 Datalek:

Een inbreuk op beveiligingsmaatregelen die erop zijn gericht Persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige Verwerking.

1.5 Hoofdovereenkomst:

De overeenkomst die Verantwoordelijke en Verwerker zijn aangegaan ter levering van diensten door Verwerker en waaruit verwerking van Persoonsgegevens voortvloeit.

1.6 Persoonsgegeven:

Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon.

Versie 23-05-2018 Pagina 1 van 6

1.7 Sub-Verwerker:

De natuurlijke persoon of rechtspersoon die een Verwerker bijstaat in het Verwerken van Persoonsgegevens ten behoeve van de Verantwoordelijke.

1.8 Verantwoordelijke:

De natuurlijke persoon, rechtspersoon of ieder ander die, of het bestuursorgaan dat, alleen of tezamen met anderen, het doel van en de middelen voor de verwerking van Persoonsgegevens vaststelt.

1.9 Verwerking van Persoonsgegevens:

Elke handeling of elk geheel van handelingen met betrekking tot Persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens.

1.10 Alle van de hierboven gebruikte woorden en termen in het enkelvoud hebben dezelfde betekenis als in het meervoud en vice versa.

1.11 De aanduidingen boven de artikelen van deze Verwerkingsovereenkomst hebben uitsluitend tot doel de leesbaarheid van de Verwerkingsovereenkomst te vergroten. De inhoud en strekking van het onder een bepaalde aanduiding opgenomen artikel beperken zich derhalve niet tot die aanduiding.

2. VERWERKING VAN PERSOONSGEGEVENS

2.1 Verantwoordelijke laat Persoonsgegevens verwerken door Xxxxxxxxx in overeenstemming met Appendix 1. Verwerker verwerkt deze Persoonsgegevens uitsluitend ter uitvoering van de Hoofdovereenkomst, deze Verwerkingsovereenkomst en andere met Verantwoordelijke schriftelijk overeengekomen instructies. Verwerker zal de Persoonsgegevens onder geen enkele omstandigheid voor eigen doeleinden gebruiken, behoudens andersluidende wettelijke verplichtingen.

2.2 Verwerker is niet gerechtigd een Sub-Verwerker in te schakelen zonder voorafgaande schriftelijke toestemming van Verantwoordelijke. Verwerker licht Verantwoordelijke in over beoogde veranderingen inzake de toevoeging of vervanging van Sub-Verwerkers. Daarbij wordt Verantwoordelijke de mogelijkheid geboden bezwaar te maken tegen deze veranderingen. In het geval Verantwoordelijke bezwaar maakt, is Verwerker gerechtigd de Hoofdovereenkomst met onmiddellijke ingang op te zeggen of de uitvoering daarvan op te schorten, zonder tot enige (schade)vergoeding, compensatie of andere verplichting gehouden te zijn als gevolg van die opzegging. Daarnaast zal Verwerker, alvorens zij overgaat tot inschakeling van de Sub- Verwerker, in een schriftelijke overeenkomst dezelfde of gelijkwaardige verplichtingen aan die Sub-Verwerker opleggen als die op Verwerker zelf rusten uit hoofde van deze Verwerkingsovereenkomst.

2.3 Verantwoordelijke geeft hierbij toestemming voor het inschakelen van de Sub-Verwerkers vermeld in Appendix 1.

2.4 Verwerker zal Verantwoordelijke, rekening houdend met de aard van de verwerking en de Verwerker ter beschikking staande informatie, indien nodig en voor zover mogelijk, bijstand verlenen bij het nakomen van de verplichtingen uit hoofde van de artikelen 32 tot en met 36 van de AVG.

2.5 Verwerker zal, rekening houdend met de aard van de verwerking en Verwerker direct ter beschikking staande (technische) mogelijkheden, voor zover mogelijk, medewerking verlenen

bij het vervullen van de plicht van Verantwoordelijke om verzoeken van Betrokkenen omtrent de rechten uiteengezet in hoofdstuk III van de AVG, te beantwoorden.

2.6 Verwerker zal de Persoonsgegevens uitsluitend opslaan en verwerken binnen de Europese Economische Ruimte, tenzij anders overeengekomen of wanneer de Verantwoordelijke anders instrueert.

2.7 Verwerker zal Verantwoordelijke, voor zover mogelijk, alle informatie ter beschikking stellen die nodig is om de nakoming van deze Verwerkingsovereenkomst aan te tonen. Daartoe zal Verwerker met name medewerking verlenen aan audits, waaronder inspecties, door Verantwoordelijke of een door Verantwoordelijke gemachtigde controleur. De kosten van dergelijke audits worden gedragen door Verantwoordelijke.

2.8 Verantwoordelijke staat ervoor in dat de verwerking van Persoonsgegevens zoals opgedragen aan Verwerker en/of uitgevoerd door Verantwoordelijke met behulp van de diensten van Verwerker, niet in strijd is met regelgeving betreffende bescherming van Persoonsgegevens en niet onrechtmatig is. Verantwoordelijke vrijwaart Verwerker voor alle aanspraken, schade en boetes, die hiermee verband houden.

2.9 Indien voor het (kunnen) nakomen van enige verplichting van Verwerker uit hoofde van deze Verwerkingsovereenkomst bepaalde (al dan niet technische) maatregelen, onderzoeksactiviteiten, aanpassingen of werkzaamheden (hierna gezamenlijk: werkzaamheden) vereist zijn, kan Verwerker slechts verplicht worden tot het verrichten van deze werkzaamheden, indien deze uitdrukkelijk en schriftelijk met Verwerker zijn overeengekomen. Xxxxxxxxx is gerechtigd aan Verantwoordelijke prijzen in rekening te brengen voor de in dit verband vereiste werkzaamheden (naar keuze van Verwerker: tevens als voorschot). Hieronder wordt mede, maar niet uitsluitend, verstaan de tijd die medewerkers van Verwerker besteden aan het voldoen aan deze verplichtingen.

3. BEVEILIGING

3.1 Verwerker treft passende technische en organisatorische maatregelen om de Persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking.

3.2 De bij het aangaan van de Verwerkingsovereenkomst genomen maatregelen als bedoeld in artikel 3.1 worden weergegeven in Appendix 2. Verantwoordelijke erkent dat Verwerker met de in Appendix 2 vermelde maatregelen voldoet aan de verplichting bedoeld in artikel 3.1.

3.3 Indien, al dan niet op grond van vernieuwde wet- en/of regelgeving, nadere maatregelen nodig blijken te zijn om een passend beveiligingsniveau zoals bedoeld in artikel 3.1 te blijven garanderen, is Verwerker gerechtigd (additionele) prijzen in rekening te brengen aan Verantwoordelijke, in verband met de bij Verwerker opgekomen kosten in verband met die nadere maatregelen, alvorens Verwerker jegens Verantwoordelijke tot actualisering verplicht is.

4. DATALEKKEN

4.1 Verantwoordelijke is verantwoordelijk voor het beoordelen van het bestaan van een verplichting tot, en het daadwerkelijk uitvoeren van, melding van een Datalek aan een toezichthoudende autoriteit en/of Betrokkenen.

4.2 Verwerker zal enig Datalek na kennisname hiervan door Xxxxxxxxx, zo snel mogelijk rapporteren aan Verantwoordelijke. Verwerker vermeldt daarbij, voor zover mogelijk, in ieder geval de volgende gegevens:

a) De (vermoedelijke) oorzaak en aard van het Datalek;

b) De categorieën van Betrokkenen en Persoonsgegevens in kwestie en bij benadering het aantal Betrokkenen in kwestie;

c) de (vooralsnog bekende en/of te verwachten) gevolgen van het Datalek.

4.3 Verantwoordelijke en Verwerker betrachten strikte geheimhouding jegens ieder ander dan elkaar omtrent het Datalek, eventuele vrees voor een Datalek en verdere gerelateerde zaken, behoudens andersluidende verplichtingen ingevolge het Unierecht of Nederlands recht.

5. GEHEIMHOUDING

5.1 Verwerker is gehouden tot geheimhouding van de Persoonsgegevens. Verwerker mag de Persoonsgegevens slechts gebruiken ter uitvoering van de Hoofdovereenkomst en deze Verwerkingsovereenkomst.

5.2 Verwerker zal de Persoonsgegevens niet aan anderen ter beschikking stellen dan zijn eigen werknemers en/of derden die een legitieme reden hebben tot inzage daarvan. Verwerker zal waarborgen dat zijn werknemers en/of derden die toegang hebben tot de Persoonsgegevens zich ertoe hebben gebonden verbonden vertrouwelijkheid in acht te nemen.

6. DUUR

6.1 De Verwerkingsovereenkomst treedt in werking op het moment van ondertekening en is aangegaan voor de duur van de Hoofdovereenkomst.

6.2 Na afloop van de verwerkingsactiviteiten zal Verwerker, op verzoek van Xxxxxxxxxxxxxxxxx, alle persoonsgegevens wissen of aan Verantwoordelijke terugbezorgen, en bestaande kopieën verwijderen, tenzij opslag van de persoonsgegevens Unierechtelijk of volgens Nederlands recht verplicht is.

7. APPENDICES

7.1 De Appendices van de Verwerkingsovereenkomst maken een integraal onderdeel uit van de Verwerkingsovereenkomst. Bij strijd tussen de Appendices en de Verwerkingsovereenkomst, prevaleert de Verwerkingsovereenkomst.

8. TOEPASSELIJK RECHT

8.1 Op deze Verwerkingsovereenkomst is het Nederlandse recht van toepassing.

8.2 Geschillen tussen partijen, die niet in overleg kunnen worden opgelost, zullen worden voorgelegd aan de daartoe bevoegde Nederlandse rechter van de rechtbank Noord-Holland, locatie Alkmaar.

APPENDIX 1 – VERWERKING VAN PERSOONSGEGEVENS

(Behorende bij de Verwerkingsovereenkomst gesloten tussen Verantwoordelijke en Verwerker betreffende verwerking van Persoonsgegevens)

De volgende categorieën Persoonsgegevens kan Verwerker verwerken ten behoeve van Verantwoordelijke, zoals maar niet beperkt tot:

Klant CRM

NAW-gegevens, emailadres, telefoonnummer, legitimatiegegevens en kentekengegevens

Administratiemodule

NAW-gegevens, emailadres, telefoonnummer, bankgegevens

Aard en doel van verwerking:

Klant CRM

VWE biedt klanten de mogelijkheid om in MijnVWE zijn/haar klanten te registreren, beheren en benodigde persoonsgegevens van klanten toe te passen in daartoe vastgestelde diensten. VWE draagt zorg voor het technisch gezien juist opslaan en archiveren van de persoonsgegevens en het koppelen van de persoonsgegevens aan diensten die de klant wil uitvoeren. Dat geldt voor alle diensten die gebruik maken van de gegevens in ‘klant CRM’, zoals maar niet beperkt tot APK mailing.

Bouw van de website

VWE biedt klanten als product en dienst de Module Website aan. Met deze Module kan de klant een website voor zijn autobedrijf laten maken. Deze wordt extern ontwikkeld, gehost en beheerd.

Adminstratiemodule

VWE biedt klanten de mogelijkheid om in de Administratiemodule ten behoeve van zijn/haar klanten offertes, koopovereenkomsten en facturen aan te maken. VWE draagt zorg voor het technisch gezien juist opslaan en archiveren van de persoonsgegevens en het koppelen van de persoonsgegevens aan diensten die de klant wil uitvoeren.

Duur van de verwerking

In beginsel voor de duur van de Hoofdovereenkomst, tenzij anders overeengekomen.

Sub-Verwerkers

De Sub-Verwerkers als bedoeld in 2.3 waarvoor Verantwoordelijke toestemming geeft, zijn: Idot B.V. ten behoeve van de bouw, hosting en het beheer van de website.

APPENDIX 2 – TECHNISCHE EN ORGANISATORISCHE BEVEILIGINGSMAATREGELEN

(Behorende bij de Verwerkingsovereenkomst gesloten tussen Verantwoordelijke en Verwerker betreffende verwerking van Persoonsgegevens)

Beveiligingsmaatregelen per datum totstandkoming Verwerkingsovereenkomst: Betrouwbaarheidseisen

De gegevens worden bewaard binnen een eigen beheerd datacenter. Om de continuïteit te borgen worden de gegevens gerepliceerd naar een tweede datacenter, ook in eigen beheer.

Zowel fysieke als logische toegang tot de systemen wordt strikt beperkt tot personeel waarvoor het noodzakelijk is voor het uitoefenen van zijn of haar functie.

De systemen worden middels firewalls, filters, antivirus en anti-malware systemen beveiligd.

De infrastructuur en systemen worden periodiek, en indien nodig per direct, bijgewerkt tot het laatste beveiligingsniveau.

Beveiligingsmaatregelen

Het betreft een door VWE eigen beheerde omgeving die zowel fysiek als logisch is beveiligd. De omgevingen zijn niet toegankelijk voor niet bevoegde personen. De bevoegdheden zijn per functie/rol gedefinieerd en in autorisatiematrices vastgelegd. Toegang tot de systemen wordt op gebruikersniveau gelogd.

Verbindingen naar en tussen applicaties van VWE worden beveiligd middels SS/TLS encryptie. Wachtwoorden die de medewerkers gebruiken worden afgedwongen complex, dan wel ‘sterk’ te zijn

hetgeen inhoud dat een combinatie van letters, hoofdletters, getallen en een speciaal teken (bijvoorbeeld, !, $, #) verplicht is. Wachtwoorden dienen iedere 45 dagen te worden gewijzigd.

Medewerkers worden bij de onboarding gewezen op het informatiebeveiligingsbeleid en hun bevoegdheden en verantwoordelijkheden aangaande het omgaan met IT apparatuur en gegevens.

Controle

Op het bestaan en werking van deze maatregelen wordt periodiek een onafhankelijke IT audit uitgevoerd. Er worden geen rapportages aan de klant verstrekt.

Indien VWE constateert dat er maatregelen verouderd zijn, worden klanten per e-mail geïnformeerd over aanvullende maatregelen.

Toekomstige nieuwe en/of aanvullende beveiligingsmaatregelen

Indien additionele maatregelen nodig zijn wordt dit in samenspraak met de klant binnen een redelijke termijn geïmplementeerd.

Werkwijze bij incidenten en datalekken

Indien er Incidenten en/of datalekken zijn geconstateerd m.b.t. data die de wederpartij raakt, zal VWE de wederpartij zo spoedig mogelijk informeren en indien noodzakelijk de benodigde correctieve acties uitvoeren. Informatie zal per e-mail verstrekt worden aan het VWE opgegeven e-mailadres van de klant.