VERWERKERSOVEREENKOMST
VERWERKERSOVEREENKOMST
PARTIJEN
1. [NAAM Verantwoordelijke], een [besloten vennootschap / naamloze vennootschap / stichting
/ vereniging] statutair gevestigd te [PLAATS], ingeschreven in het handelsregister van de Kamer van Koophandel onder nummer [NUMMER] ("Verantwoordelijke");
en
2. Accensys Business Solutions B.V., besloten vennootschap statutair gevestigd te Woerden aan de Havenstraat 30 (3441BK), ingeschreven in het handelsregister van de Kamer van Koophandel onder nummer 30135552 ("Verwerker");
Verantwoordelijke en Verwerker worden gezamenlijk ook aangeduid als “Partijen” en elk afzonderlijk tevens een "Partij"
OVERWEGENDE DAT:
A. Verantwoordelijke en Verwerker een Overeenkomst hebben gesloten waaronder de hosting dienst(en); Accensys Software, ICT beheer, Online werkplek, Online Backup, Webhosting.
B. Verwerker host de data van de informatiebronnen van Verantwoordelijke zoals beschreven in offerte “OFF-XXXXXX”,
C. de Verantwoordelijke verplicht is om onder de Wet bescherming persoonsgegevens een Verwerkersovereenkomst te sluiten met Verwerker.
D. de AVG (zoals gedefinieerd onder artikel 1 van deze Verwerkersovereenkomst) vanaf 24 mei 2016 in werking is getreden en Partijen vanaf 25 mei 2018 op grond van artikel 28 AVG verplicht zijn om een verwerkersovereenkomst te sluiten voor de verwerking van persoonsgegevens; en
E. Partijen deze Verwerkersovereenkomst sluiten zodat (i) Verantwoordelijke aan haar verplichtingen op grond van de Wet bescherming persoonsgegevens kan voldoen; en (ii) Partijen persoonsgegevens in overeenstemming met de AVG verwerken.
Verwerkersovereenkomst Accensys
Accensys Business Solutions BV Xxxxxxxxxxx 00 0000 XX Xxxxxxx Telefoon 0348 48 00 44 xxx.xxxxxxxx.xx Mail xxxx@xxxxxxxx.xx
ING Bank Woerden XX00XXXX 0000 0000 00 Kvk Utrecht 30135552 BTW nummer 8051.29.145.B.01
KOMEN OVEREEN ALS VOLGT:
1. DEFINITIES
In deze Verwerkersovereenkomst worden de hierna volgende termen in de navolgende betekenis gebruikt, tenzij uitdrukkelijk anders is aangegeven.
"AVG" betekent de Algemene Verordening Gegevensbescherming (EU) 2016/679.
"Verwerkersovereenkomst" betekent deze verwerkersovereenkomst, inclusief
eventuele bijlagen;
"Datalek" betekent iedere inbreuk op de beveiliging van Persoonsgegevens voor zover de gemeld moet worden aan de Autoriteit Persoonsgegevens en/of betrokkenen onder Wbp en vanaf 25 mei 2018, onder de AVG;
"Overeenkomst" betekent verwerkersovereenkomst Accensys, inclusief wijzigingen en aanvullende overeenkomsten, overeengekomen tussen de Verantwoordelijke en de Verwerker;
"Persoonsgegevens" betekent elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon dat Verwerkt wordt door de Verwerker onder de Overeenkomst, zoals opgenomen in Bijlage 1;
"Sub Verwerker" betekent een verwerker, zoals gedefinieerd in de AVG, die in opdracht van de Verwerker Persoonsgegevens zal Verwerken ten behoeve van de Verantwoordelijke;
"Verwerken" of "Verwerking" betekent elke handeling of elk geheel van handelingen met
betrekking tot Persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens; en
2. VERPLICHTINGEN VAN DE VERWERKER
2.1. Behoudens afwijkende wettelijke verplichtingen, zal Verwerker:
a. uitsluitend Persoonsgegevens Verwerken op de wijze zoals omschreven in de Overeenkomst en conform de instructies van de Verantwoordelijke;
b. Persoonsgegevens alleen bewaren zolang de Verantwoordelijke dat verlangt en de Persoonsgegevens wijzigen, anonimiseren, blokken of verwijderen zodra de Verantwoordelijke daartoe instructies geeft;
c. de Verantwoordelijke, tegen een redelijke vergoeding, bijstand verlenen bij het doen nakomen van de verplichtingen uit hoofde van de artikelen 35 en 36 AVG voor zover bijstand van de Verwerker hiervoor noodzakelijk is;
d. rekening houdend met de aard van de verwerking, de Verantwoordelijke door middel van passende technische en organisatorische maatregelen, voor zover mogelijk, bijstand verlenen bij het vervullen van de plicht van Verantwoordelijke om verzoeken om uitoefening van de rechten van de betrokkene onder de AVG te beantwoorden; en
e. ervoor zorgen dat alleen (i) haar werknemers; en (ii) Sub Verwerkers toegang krijgen tot Persoonsgegevens en slechts zolang dit noodzakelijk is in het kader van de uitvoering van de verplichtingen van de Verwerker onder de Overeenkomst.
3. TECHNISCHE EN ORGANISATORISCHE MAATREGELEN
3.1. De Verwerker zal rekening houdend met de aard van de verwerking en de hem ter beschikking staande informatie de technische en organisatorische maatregelen treffen en in stand houden, zoals uiteengezet op de website xxxxx://xxx.xxxxxxxx.xx/xxxxxxxxxxxxxxxxxxxxx. De Verantwoordelijke garandeert dat de maatregelen passend zijn conform artikel 32 AVG voor de Persoonsgegevens die zij door Verwerker laat Verwerken.
4. SUB VERWERKERS
4.1. Het is de Verwerker toegestaan om in het kader van deze Verwerkersovereenkomst gebruik te maken van een Sub Verwerkers nadat de Verwerker de Verantwoordelijke hierover informeert. De Verantwoordelijke is gerechtigd bezwaar te maken tegen de inschakeling van een Sub Verwerker binnen twee weken nadat Verwerker hierover is geïnformeerd. Indien de Verwerker toch gebruik wenst te maken van de Sub Verwerker heeft de Verantwoordelijke het recht om de Overeenkomst per direct op te zeggen.
4.2. De Verwerker zal zich inspannen om de Sub Verwerker soortgelijke verplichtingen op te leggen die voor hem uit deze Verwerkersovereenkomst voortvloeien.
5. DOORGIFTE PERSOONSGEGEVENS
5.1. De Verwerker mag Persoonsgegevens doorgeven en Verwerken in een land buiten de Europese Economische Ruimte (EER), indien Verwerker:
a. hiertoe verplicht is op grond van een wettelijk voorschrift;
b. dat land een passend beschermingsniveau waarborgt en welke formeel zo is erkend door plaatsing op de 'witte lijst' van de Europese Commissie;
d. de doorgifte is toegestaan op basis van een andere grondslag onder Toepasselijke Wetgeving.
5.2. Indien Verwerker verplicht is persoonsgegevens op grond van een wettelijk voorschrift door te geven, zoals is bepaald in artikel 5.1.a, zal Verwerker de Verantwoordelijke hierover informeren, tenzij het wettelijk voorschrift deze kennisgeving om gewichtige redenen van algemeen belang verbiedt.
5.3. Indien Persoonsgegevens worden doorgestuurd naar een Sub Verwerker in een land buiten de EEG en Verwerker niet op eigen naam een modelcontract kan sluiten met Sub Verwerker, geeft de Verantwoordelijke hierbij instructie en een volmacht aan de Verwerker om, op naam van de Verantwoordelijke, de Sub Verwerker instructies te geven en de onder artikel 5.1.bc genoemde overeenkomsten te sluiten.
6. GEHEIMHOUDING
6.1. Op alle informatie die de Verwerker van de Verantwoordelijke ontvangt, rust een geheimhoudingsplicht jegens derden. Verwerker zal de Persoonsgegevens geheimhouden en zal haar werknemers en Sub Verwerkers voordat zij toegang verkrijgen tot de Persoonsgegevens, contractueel verplichten tot geheimhouding van de Persoonsgegevens waarvan zij met betrekking tot de uitvoering van de Overeenkomst kennis kunnen nemen.
6.2. Deze geheimhoudingsplicht is niet van toepassing voor zover de Verantwoordelijke zijn voorafgaande uitdrukkelijke toestemming heeft gegeven om informatie aan derden te verstrekken of indien het verstrekken van informatie aan derden logischerwijs noodzakelijk is gezien de aard van de door de Verantwoordelijke aan de Verwerker verstrekte opdracht. De geheimhoudingsplicht is niet van toepassing indien de Verwerker op grond van een wettelijke verplichting de informatie aan een derde dient te verstrekken.
6.3. Na beëindiging van deze Verwerkersovereenkomst blijft deze geheimhoudingsplicht bestaan.
7. MELDPLICHT
7.1. Verwerker zal Verantwoordelijke volledig en zonder onredelijke vertraging informeren over ieder Datalek zodra zij met het bestaan van de Datalek bekend is geworden, onder andere over:
a. het tijdstip van aanvang van de Datalek;
b. de aard en de omvang van de Datalek;
c. de verwachte hersteltijd; en
d. welke maatregelen zijn genomen of worden voorgesteld om te nemen om de Datalek te beëindigen.
7.2. Verwerker zal maatregelen nemen die redelijkerwijs van haar kunnen worden verwacht om de nadelige gevolgen van de Datalek in voorkomend geval te herstellen, dan wel zoveel mogelijk te beperken. Deze maatregelen zal de Verwerker voorts ook zo snel mogelijk aan de Verantwoordelijke melden.
8. AUDITS
8.2. Een keer per jaar zal Verwerker een audit laten doen naar de verwerking van persoonsgegevens door Verwerker voor eigen kosten. Verwerker zal Verantwoordelijke van het resultaat op de hoogte stellen via haar website xxxxx://xxx.xxxxxxxx.xx/xxxxxxxxxxxxxxxxxxxxx. Verantwoordelijke is voorts gerechtigd om zelf een audit, waaronder inspecties, te laten doen naar de naleving door de Verwerker van deze Verwerkersovereenkomst indien zij een gegronde reden heeft om aan de niet naleving van deze Verwerkersovereenkomst door Verwerker te twijfelen. Partijen zullen in dat geval onderling overleg een datum voor de audit plannen. Verantwoordelijke zal Verwerker minimaal een maand weken voorafgaand van de audit hiervan op de hoogte stellen.
8.3. De redelijke kosten van de uitvoering van artikel 8.1 en 8.2 zijn voor Verantwoordelijke.
9. AANSPRAKELIJKHEID
9.1. Met betrekking tot de (beperking van) aansprakelijkheid van Verwerker, geldt hetgeen tussen Partijen is overeengekomen onder de Overeenkomst.
9.2. Verantwoordelijke garandeert Verwerker dat de door haar aan Verwerker opgedragen werkzaamheden rechtmatig zijn en vrijwaart en stelt de Verwerker schadeloos met betrekking tot de Verwerking van de Persoonsgegevens onder deze Verwerkersovereenkomst ter zake van (i) alle schade; en (ii) aan Verwerker of Verantwoordelijke opgelegde boetes door toezichthouders in verband met een tekortkoming in de nakoming van één of meer verplichtingen van de Verantwoordelijke uit de Verwerkersovereenkomst of uit hoofde van toepasselijke wetgeving, waaronder de AVG.
10. DUUR EN BEËINDIGING VERWERKERSOVEREENKOMST
10.1. Deze Verwerkersovereenkomst wordt gesloten op het moment dat Partijen dezen hebben ondertekend en loopt door tot beëindiging van de Overeenkomst.
10.2. Verwerker draagt er zorg voor dat de hiervoor bedoelde Persoonsgegevens twee weken na beëindiging van de Overeenkomst op een wijze en medium naar keuze van de Verwerker, toegankelijke maken voor Verantwoordelijke. Daarna zal de Verwerker de Persoonsgegevens binnen drie maanden verwijderen. Op eerste verzoek van Verantwoordelijke zal Verwerker schriftelijk bevestigen dat dit daadwerkelijk gebeurd is.
11. OVERIGE BEPALINGEN
11.1. Op deze Verwerkersovereenkomst is Nederlands recht van toepassing.
11.2. Wijzigingen en aanvullingen van deze Verwerkersovereenkomst kunnen slechts schriftelijk, bij akte ondertekend door beide partijen, worden overeengekomen.
Verwerker
Datum: ……………………………………..
Naam: ……………………………………..
Handtekening: ..……….………………….
Verantwoordelijke
Datum: ……………………………………..
Naam: …………………………………….
Handtekening:……….…………………..
BIJLAGE 1
BESCHRIJVING VERWERKING PERSOONSGEGEVENS
Categorieën persoonsgegevens
Verwerker zal van Verantwoordelijke persoonsgegevens verwerken. De volgende categorieën zijn te onderscheiden volgens de wet persoonsgegevens (artikel 60);
• identificerende persoonsgegevens
• medische persoonsgegevens
• strafrechtelijke persoonsgegevens
Voor Verantwoordelijke verwerkt verwerker de volgende persoonsgegevens
• identificerende persoonsgegevens
Verwerking persoonsgegevens
Het proces van verwerken van persoonsgegevens is beschreven in het document “Beschrijving maatregelen informatiebeveiliging centrale omgeving” die op bijgaande webpagina is te vinden;