Verwerkersovereenkomst
Verwerkersovereenkomst
Overwegingen:
A. Wij zijn met U op een overeenkomst aangegaan vanwege het verrichten van de volgende diensten door Ons:
ICT Beheer (de “Hoofdovereenkomst”).
Wij Verwerken daarbij de Persoonsgegevens die vermeld staan in Bijlage 1 die bij deze Overeenkomst hoort.
B. Wij zijn - vanwege het uitvoeren van deze Hoofdovereenkomst én met betrekking tot de Persoonsgegevens die Wij hierbij zullen Verwerken - aan te merken als “Verwerker” en U als “Verantwoordelijke”. In deze Overeenkomst leggen We onze wederzijdse rechten en verplichtingen vast.
Partijen komen het volgende overeen:
1. Definities
In deze Overeenkomst wordt een aantal begrippen gebruikt. De betekenis van die begrippen is hieronder verduidelijkt. De genoemde begrippen worden in deze Overeenkomst met een hoofdletter geschreven.
AVG:
Algemene Verordening Gegevensbescherming, inclusief de uitvoeringswet van deze verordening. De AVG vervangt de Wet bescherming persoonsgegevens per 25 mei 2018.
Betrokkene:
Degene op wie een Persoonsgegeven betrekking heeft.
Bijzondere Persoonsgegevens:
Dit zijn gegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken, en genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid. Alsmede persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende veiligheidsmaatregelen.
Datalek / Inbreuk in verband met persoonsgegevens:
Een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot - of waarbij redelijkerwijs niet uit te sluiten valt dat die kan leiden tot - de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens.
Derden:
Anderen dan U en Wij en Onze Medewerkers.
maandag 28 mei 2018 Pagina 1 van 8
Medewerkers:
Personen die werkzaam zijn bij U of bij Ons, ofwel in dienstbetrekking dan wel tijdelijk ingehuurd.
Meldplicht Datalekken:
De verplichting tot het melden van Datalekken aan de Autoriteit Persoonsgegevens en (in sommige gevallen) aan Betrokkene(n).
Hoofdovereenkomst:
De overeenkomst zoals hierboven bedoeld in de overwegingen onder A.
Overeenkomst:
Deze verwerkersovereenkomst.
Persoonsgegevens:
Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon („de Betrokkene”) die in het kader van de “Hoofdovereenkomst” wordt verwerkt; als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.
Sub-verwerker:
Een andere verwerker die door de Verwerker wordt ingezet om ten behoeve van de Verwerkingsverantwoordelijke specifieke verwerkingsactiviteiten te verrichten.
Verwerker:
Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de Verwerkingsverantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen.
Verwerkingsverantwoordelijke / Verantwoordelijke:
Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt.
Verwerken / Verwerking:
Een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.
2. Toepasselijkheid en looptijd
maandag 28 mei 2018 Pagina 2 van 8
2.1 Deze Overeenkomst is van toepassing op iedere Verwerking die door Ons als Verwerker wordt gedaan op basis van de Hoofdovereenkomst, gegeven door U als Verantwoordelijke.
2.2 Deze Overeenkomst treedt in werking op de datum waarop de Hoofdovereenkomst van kracht wordt en eindigt op het moment waarop deze eindigt. Het is niet mogelijk om deze Overeenkomst tussentijds op te zeggen.
2.3 Artikel 6 en 7 van deze Overeenkomst blijven gelden, ook nadat de Overeenkomst (of de Hoofdovereenkomst) is geëindigd.
3. Verwerking
3.1 Wij Verwerken de Persoonsgegevens uitsluitend op de manier die Wij met U hebben afgesproken in de Hoofdovereenkomst. Dit Verwerken doen Wij niet langer of uitgebreider dan noodzakelijk voor de uitvoering van deze Hoofdovereenkomst. De Verwerking vindt plaats volgens Uw schriftelijke instructies, tenzij Wij op grond van de wet- of regelgeving verplicht zijn om anders te handelen.
Indien een instructie, naar onze mening, een inbreuk maakt op de AVG stellen wij U daarvan in kennis.
3.2 De Verwerking vindt plaats onder Uw verantwoordelijkheid. Wij hebben geen zeggenschap over het doel en de middelen van de Verwerking en nemen geen beslissingen over zaken als het gebruik van Persoonsgegevens, de bewaartermijn van de voor u verwerkte Persoonsgegevens en het verstrekken van Persoonsgegevens aan Derden. U moet er voor zorgen dat U het doel en de middelen van de Verwerking van de Persoonsgegevens duidelijk heeft vastgesteld. De zeggenschap over de Persoonsgegevens berust nooit bij Ons.
3.3 U bent wettelijk verplicht de vigerende wet- en regelgeving op het gebied van privacy na te leven. In het bijzonder dient u vast te stellen of er sprake is van een rechtmatige grondslag voor het Verwerken van de Persoonsgegevens. Wij zorgen ervoor dat Wij voldoen aan de op ons als Verwerker van toepassing zijnde regelgeving op het gebied van de Verwerking van Persoonsgegevens en de afspraken die We hebben gemaakt in deze Overeenkomst.
3.4 Wij zorgen er bovendien voor dat de Medewerkers die toegang hebben tot de Persoonsgegevens een juiste en volledige instructie hebben gekregen over de omgang met Persoonsgegevens en dat zij bekend zijn met de verantwoordelijkheden en wettelijke verplichtingen.
3.5 Wij kunnen andere verwerkers (Sub-verwerkers) inschakelen voor het uitvoeren van bepaalde werkzaamheden die voortvloeien uit de Hoofdovereenkomst. Met ondertekening van deze Overeenkomst geeft u toestemming voor het inschakelen van de Sub-Verwerkers die genoemd zijn in de Bijlage die bij deze Overeenkomst hoort. Over het inschakelen van overige Sub-Verwerkers zullen wij u vooraf informeren en in de gelegenheid stellen hiertegen bezwaar te maken.
3.6 Voor zover mogelijk verlenen Wij U bijstand bij het vervullen van Uw verplichtingen om verzoeken om uitoefening van rechten van Betrokkenen af te handelen. Als Wij (rechtstreeks) verzoeken ontvangen van Xxxxxxxxxx(n) om uitoefening van hun rechten (bijvoorbeeld inzage, wijziging of verwijdering van Persoonsgegevens), dan zenden Wij deze verzoeken door naar U. U handelt deze verzoeken zelf af, waarbij Xxx U natuurlijk behulpzaam kunnen zijn als Wij in het kader van de Hoofdovereenkomst toegang hebben tot deze
maandag 28 mei 2018 Pagina 3 van 8
Persoonsgegevens. Hiervoor kunnen wij kosten in rekening brengen.
3.7 Wij zullen de Persoonsgegevens alleen Verwerken binnen de Europese Economische Ruimte, tenzij Wij hierover met U andere afspraken hebben gemaakt. Deze afspraken leggen Wij Gezamenlijk schriftelijk vast, of per e- mail.
3.8 Als Wij een verzoek krijgen om Persoonsgegevens ter beschikking te stellen dan doen Wij dit alleen als het verzoek is gedaan door een daartoe bevoegde instantie. Bovendien beoordelen Wij eerst of Wij van mening zijn dat het verzoek bindend is, of dat Wij op grond van gedrags- en beroepsregels aan het verzoek moeten voldoen. Als er geen strafrechtelijke of andere juridische belemmeringen zijn, dan stellen Wij U op de hoogte van het verzoek. Wij proberen dat op zodanig korte termijn te doen, dat het voor U mogelijk is om eventuele rechtsmiddelen tegen de verstrekking van de Persoonsgegevens in te stellen. Als Wij U op de hoogte mogen stellen dan zullen Wij ook met U overleggen over de wijze waarop en welke gegevens Wij ter beschikking zullen stellen.
4. Beveiligingsmaatregelen
4.1 Wij hebben de beveiligingsmaatregelen genomen die zijn genoemd in de Bijlage die bij deze Overeenkomst hoort. Bij het nemen van de beveiligingsmaatregelen is rekening gehouden met de te mitigeren risico’s, de stand van de techniek en de kosten van de beveiligingsmaatregelen.
4.2 U heeft zich goed geïnformeerd over de beveiligingsmaatregelen die Wij hebben genomen en bent van mening dat deze maatregelen een beveiligingsniveau hebben dat past bij de aard van de Persoonsgegevens en de omvang, context, doeleinden en risico’s van de Verwerking.
4.3 Wij informeren U als een van de beveiligingsmaatregelen substantieel wijzigt.
4.4 Wij bieden passende waarborgen voor de toepassing van de technische en organisatorische beveiligingsmaatregelen met betrekking tot de te verrichten Verwerkingen. Als U de wijze waarop Wij de beveiligingsmaatregelen naleven wilt laten inspecteren, dan kunt U hiertoe een verzoek aan Ons doen. Wij zullen hierover Gezamenlijk met U afspraken maken. De kosten van een inspectie zijn voor Uw rekening. U stelt aan Xxx een kopie van het inspectierapport ter beschikking.
5. Datalekken
5.1 Als er sprake is van een Datalek dan stellen Wij U daarvan op de hoogte. Wij streven ernaar dit te doen binnen 32 uur nadat wij dit Xxxxxxx hebben ontdekt, of zo snel mogelijk nadat wij daarover door Onze Sub- verwerkers zijn geïnformeerd. Nadere afspraken over de wijze waarop zijn opgenomen in artikel 11 van deze Overeenkomst. Wij zullen U daarbij voorzien van de informatie die U redelijkerwijs nodig heeft om - indien nodig - een juiste en volledige melding te doen aan de Autoriteit Persoonsgegevens en eventueel de Betrokkene(n) in het kader van de Meldplicht Datalekken c.q. wij zenden de melding van onze Sub-verwerker aan u door. Ook van de door Ons, of onze Sub-verwerker, naar aanleiding van het Datalek genomen maatregelen houden Wij U op de hoogte.
5.2 De melding van Datalekken aan de Autoriteit Persoonsgegevens en (eventueel) Betrokkene(n) is altijd Uw eigen verantwoordelijkheid.
maandag 28 mei 2018 Pagina 4 van 8
5.3 Het (bij)houden van een register van Datalekken is altijd Uw eigen verantwoordelijkheid.
6. Geheimhoudingsplicht
6.1 Wij houden de van u verkregen Persoonsgegevens geheim en verplichten Onze Medewerker en eventuele Sub-verwerkers ook tot geheimhouding.
7. Aansprakelijkheid
7.1 U staat er voor in dat de Verwerking van Persoonsgegevens op basis van deze Overeenkomst niet onrechtmatig is en geen inbreuk maakt op de rechten van Betrokkene(n).
7.2 Wij zijn niet aansprakelijk voor schade die het gevolg is van het door U niet naleven van de AVG of andere wet- of regelgeving. U vrijwaart ons ook voor aanspraken van Xxxxxx op grond van zulke schade. De vrijwaring geldt niet alleen voor de schade die Derden hebben geleden (materieel maar ook immaterieel), maar ook voor de kosten die Wij in verband daarmee moeten maken, bijvoorbeeld in een eventuele juridische procedure, en de kosten van eventuele boetes die aan Ons worden opgelegd ten gevolge van Uw handelen.
7.3 De in de Hoofdovereenkomst en daarbij behorende algemene voorwaarden overeengekomen beperking van Onze aansprakelijkheid is van kracht op de verplichtingen zoals opgenomen in deze Overeenkomst, met dien verstande dat een of meerdere schadevorderingen uit hoofde van deze Overeenkomst en /of de Hoofdovereenkomst nimmer tot overschrijding van de beperking kan leiden.
8. Overdraagbaarheid Overeenkomst
8.1 Het is voor U en Ons, behalve als Wij Gezamenlijk schriftelijk anders afspreken, niet toegestaan om deze Overeenkomst en de rechten en de plichten die samenhangen met deze Overeenkomst over te dragen aan derden.
9. Beëindiging en teruggave / vernietiging Persoonsgegevens
9.1 Als de Hoofdovereenkomst wordt beëindigd dan zullen Wij de door U aan Ons verstrekte Persoonsgegevens aan U terug overdragen of - als U Ons daarom verzoekt - vernietigen. Wij zullen uitsluitend een kopie van de Persoonsgegevens bewaren als Wij hiertoe op grond van wet- of (beroeps)regelgeving verplicht zijn.
9.2 De kosten van het verzamelen en overdragen van Persoonsgegevens bij het eindigen van de Hoofdovereenkomst zijn voor Uw rekening. Datzelfde geldt voor de kosten van de vernietiging van de Persoonsgegevens. Als U daarom vraagt dan geven Xxx U vooraf een kosteninschatting.
10. Aanvullingen en wijziging Overeenkomst
10.1 Aanvullingen en wijzigingen op deze Overeenkomst zijn alleen geldig als ze op schrift zijn gesteld. Onder “schriftelijk” worden ook wijzigingen begrepen die per e-mail zijn gecommuniceerd, gevolgd door een akkoord per e-mail van de andere partij.
maandag 28 mei 2018 Pagina 5 van 8
10.2 Een wijziging in de verwerkte Persoonsgegevens of in de betrouwbaarheidseisen, de privacyregelgeving of uw eisen kan aanleiding zijn om deze Overeenkomst aan te vullen of te wijzigen. Indien dit leidt tot significante aanpassingen in de Hoofdovereenkomst, of wanneer Wij niet kunnen voorzien in een passend niveau van bescherming, kan dit voor Ons reden zijn om de Hoofdovereenkomst te beëindigen.
11. Slotbepalingen
11.1 Op Uw verzoek stellen Wij U alle informatie ter beschikking die nodig is om de nakoming van de in deze Overeenkomst neergelegde verplichtingen aan te tonen. Wij maken audits mogelijk, waaronder inspecties, door een onafhankelijke deskundige en dragen er aan bij. De kosten van dergelijke verzoeken, audits of inspecties zijn voor Uw rekening. Ook eventuele audits bij Onze Sub-verwerkers zijn voor Uw rekening.
11.2 Partijen werken desgevraagd samen met de toezichthoudende autoriteit bij het vervullen van haar taken.
11.3 Op deze Overeenkomst is Nederlands recht van toepassing, de Nederlandse rechter is bevoegd kennis te nemen van alle geschillen die voortvloeien uit of samenhangen met deze Overeenkomst.
11.4 Deze Overeenkomst is lager in rang dan andere door Ons met U gesloten overeenkomsten. De bepalingen uit deze Overeenkomst gaan niet boven de bepalingen in Onze algemene voorwaarden.
11.5 Als één of meerdere bepalingen in deze Overeenkomst niet geldig blijken te zijn, dan heeft dit geen gevolgen voor de geldigheid van de andere bepalingen in deze Overeenkomst. Wij treden dan met U in overleg om Gezamenlijk een nieuwe bepaling op te stellen. Deze bepaling zal zoveel als mogelijk in de geest zijn van de ongeldige bepaling, maar dan uiteraard zo vormgegeven dat de bepaling wel geldig is.
maandag 28 mei 2018 Pagina 6 van 8
Bijlage 1
Persoonsgegevens
Hallo Morgen verwerkt onder andere persoonsgegevens voor en in opdracht van de klant omdat de klant een overeenkomst met Hallo Morgen heeft. Hallo Morgen en de klant zijn daarom verplicht volgens de Algemene Verordening Gegevensbescherming (AVG) om een Verwerkersovereenkomst te sluiten. Omdat Hallo Morgen ICT diensten (waaronder backups, aanmaken en onderhouden van email- en telefoniediensten) levert, heeft Hallo Morgen de verwerkingsovereenkomst opgenomen in de Algemene Voorwaarden. Hallo Morgen is in deze de 'verwerker' en de klant de 'verwerkingsverantwoordelijke'. Hallo Morgen en de klant verplichten zich over en weer om de Algemene Verordening Gegevensbescherming (AVG) na te leven. Hallo Morgen zal de persoonsgegevens alleen verwerken voor en in opdracht van de klant en om uitvoering te geven aan de overeenkomst.
Verwerking
De verwerking bestaat uit het leveren en/ of onderhouden van ICT systemen, telefonie en applicaties waarop de door de klant data ingevoerd en gegenereerd wordt. Hallo Morgen zal geen gegevens toevoegen, aanpassen of verwijderen zonder dat de klant daar specifieke instructie voor gegeven heeft. Die instructie kan via een verzoek worden gegeven.
Binnen deze ICT systemen, telefonie en applicaties, die Hallo Morgen levert en/ of onderhoudt, zijn verschillende soorten persoonsgegevens vast te leggen. Hallo Morgen is zich ervan bewust dat de klant al deze, en eventueel nog zelf aan te maken persoonsgegevens of categorieën, kan invoeren en dat Hallo Morgen deze dan zal verwerken. De klant is zelf verantwoordelijk voor de beoordeling of het doel en aard van de verwerking past bij de dienstverlening die Hallo Morgen doet.
Technische en organisatorische maatregelen Geheimhoudingsplicht
Hallo Morgen is zich bewust dat de informatie die de klant met Hallo Morgen deelt en opslaat binnen Hallo Morgen
Online, een geheim en bedrijfsgevoelig karakter heeft. Alle Hallo Morgen medewerkers zullen gedurende hun dienstverband en daarna, zoals in hun arbeidsovereenkomst met geheimhoudingsclausule is opgenomen, op verantwoorde wijze met de informatie van de klant omgaan.
Medewerkers met toegang tot klantgegevens
Systeembeheerders van Hallo Morgen hebben volledige toegang tot de klantgegevens voor o.a.:
- Het updaten van applicaties;
- Het maken van een back-up;
- Het verplaatsen van een gegevens
Consultants, Supportmedewerkers en andere Hallo Morgen medewerkers hebben alleen toegang tot de klantgegevens indien zij toestemming daarvoor hebben ontvangen van de klant en voor zolang zij toestemming hebben van de klant.
maandag 28 mei 2018 Pagina 7 van 8
Beveiliging
Hallo Morgen neemt blijvend passende technische en organisatorische maatregelen om de persoonsgegevens van de klant te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking. De klant is gerechtigd om in overleg met Hallo Morgen tijdens de looptijd van de overeenkomst door een onafhankelijke deskundige de naleving hiervan te controleren, bijvoorbeeld door middel van het uitvoeren van een audit. De klant zal alle kosten in verband met deze controle dragen.
Gegevens verwijderen
Hallo Morgen zal, na afloop van de Hoofdovereenkomst, alle klant gegevens verwijderen, zolang dit niet met onze bewaarplicht in gedrang komt. Mocht de klant eerder de gegevens verwijderd willen hebben, dan kan daarvoor een verzoek worden ingediend. Hallo Morgen verplicht zich daar gehoor aan te geven.
Derden
Op dit moment zijn dit onze subverwerkers, dit zijn de leveranciers van de diensten die wij leveren of leveranciers van applicaties om vragen, uren e.d. te registreren ten behoeve van onze werkzaamheden.
• Microsoft (o.a. Office365, Azure, Windows, etc.)
• RoutIT (VoIP telefonie, internetverbindingen)
• VoIPgrid (VoIP telefonie, onder de naam 'Hallo Morgen telefonie'
• Cloud 2 (Hallo Morgen Files, bestandsopslag)
• Xxxxxx Micro (licenties Microsoft)
• Connectwise (ons registratiesysteem voor onze werkzaamheden en uw vragen)
• IT Glue (ons documentatiesysteem van onze werkzaamheden en uw omgeving)
Wij schakelen alleen verdere derden (Sub-verwerkers) in bij het uitvoeren van de Hoofdovereenkomst indien dit onderling is afgesproken.