Verwerkersovereenkomst

Artikel 1. Inleidende bepalingen

Artikel 1.1.
De begrippen in deze Verwerkersovereenkomst die worden gedefinieerd in de AVG, hebben de betekenis zoals daarin wordt omschreven.

Artikel 1.2.
Waar in deze Verwerkersovereenkomst wordt gerefereerd aan een bepaling uit de Wbp, wordt per 25 mei 2018 de corresponderende bepaling uit de Algemene Verordening Gegevensbescherming (de “AVG “) bedoeld.

Artikel 2. Doeleinden van de verwerking

Artikel 2.1.
Verwerker verbindt zich onder de voorwaarden uit deze Verwerkersovereenkomst in opdracht van Verantwoordelijke persoonsgegevens te verwerken. Verwerking zal uitsluitend plaatsvinden in het kader van het uitvoeren van de Overeenkomst en voor doeleinden die met nadere instemming worden bepaald.

Artikel 2.2.
Verantwoordelijke bepaalt zelf welke (soorten) persoonsgegevens hij door Verwerker laat verwerken en op welke (categorieën) betrokkenen deze persoonsgegevens betrekking hebben. Verwerker heeft hierop geen invloed.

Artikel 2.3.
Verwerker zal de persoonsgegevens niet voor enig ander doel verwerken dan zoals door Verantwoordelijke is vastgesteld. Verantwoordelijke zal Verwerker op de hoogte stellen van de verwerkingsdoeleinden voor zover deze niet reeds in de Verwerkersovereenkomst zijn genoemd.

Artikel 2.4.
De in opdracht van Verantwoordelijke te verwerken persoonsgegevens blijven eigendom van Verantwoordelijke of de betreffende betrokkene(n).

Artikel 2.5.
Verantwoordelijke garandeert dat de inhoud, het gebruik en de opdracht tot verwerkingen van persoonsgegevens zoals bedoeld in de Verwerkersovereenkomst niet onrechtmatig is en geen inbreuk maakt op enig recht van derden. Daarnaast staat de
Verantwoordelijke ervoor in: dat de verwerking van persoonsgegevens onder één van de vrijstellingen onder de AVG valt, of wanneer dit niet het geval is er een melding bij de Autoriteit Persoonsgegevens heeft plaatsgevonden; en dat zij vanaf 25 mei 2018 een register zal bijhouden van de onder deze Verwerkersovereenkomst geregelde verwerkingen.

Artikel 2.6.
Verantwoordelijke vrijwaart Verwerker tegen alle aanspraken en claims die verband houden met het niet of niet juist naleven van de verplichtingen uit artikel 2.5.

Artikel 3. Verplichtingen Verwerker

Artikel 3.1.
Ten aanzien van de in artikel 2 genoemde verwerkingen zal Verwerker zorg dragen voor de naleving van de voorwaarden die, op grond van de AVG en de AVG, worden gesteld aan het verwerken van persoonsgegevens door Verwerker.

Artikel 3.2.
Verwerker zal Verantwoordelijke, op diens eerste verzoek daartoe, informeren over de door haar genomen maatregelen aangaande haar verplichtingen onder deze Verwerkersovereenkomst en de Wbp en AVG.

Artikel 3.3.
De verplichtingen van Verwerker die uit deze Verwerkersovereenkomst voortvloeien, gelden ook voor degenen die persoonsgegevens verwerken onder het gezag van Verwerker.

Artikel 4. Doorgifte van persoonsgegevens

Artikel 4.1.
Verwerker mag de persoonsgegevens verwerken in landen binnen de Europese Unie.
Doorgifte naar landen buiten de Europese Unie is uitsluitend toegestaan met inachtneming van de hiervoor geldende voorschriften uit de AVG.

Artikel 4.2.
Verwerker zal Verantwoordelijke op diens verzoek melden om welk land of welke landen het gaat.

Artikel 5. Verdeling van verantwoordelijkheid

Artikel 5.1.
De toegestane verwerkingen zullen door Verwerker worden uitgevoerd binnen een (semi)geautomatiseerde omgeving onder controle van Verwerker.

Artikel 5.2.
Verwerker is slechts verantwoordelijk voor de verwerking van de persoonsgegevens onder deze Verwerkersovereenkomst, overeenkomstig de instructies van Verantwoordelijke en onder de uitdrukkelijke (eind)verantwoordelijkheid van Verantwoordelijke.

Artikel 5.3.
Voor alle overige verwerkingen van persoonsgegevens, waaronder in ieder geval de verzameling van persoonsgegevens door Verantwoordelijke, verwerkingen voor doeleinden die niet door Verantwoordelijke aan Verwerker zijn gemeld, verwerkingen door derden of voor andere doeleinden, is Verwerker niet verantwoordelijk.

Artikel 6. Inschakelen van derden of onderaannemers

Artikel 6.1.
Verantwoordelijke geeft Verwerker toestemming om bij de verwerking van persoonsgegevens op grond van deze Verwerkersovereenkomst gebruik te maken van derden, met inachtneming van de toepasselijke privacywet- en regelgeving.

Artikel 6.2.
Verwerker zal Verantwoordelijke, indien Verantwoordelijke daarom verzoekt, zo spoedig mogelijk informeren over de door haar ingeschakelde derden. Verantwoordelijke heeft het recht om tegen enige, door Verwerker ingeschakelde derden, bezwaar te maken.

Artikel 6.3.
Verwerker zal geen bezwaar maken op onredelijke gronden en dient het bezwaar voldoende te motiveren. Wanneer Verantwoordelijke bezwaar maakt tegen door de Verwerker ingeschakelde derden, zullen Partijen in overleg treden om tot een oplossing te komen.

Artikel 6.4.
Verwerker zorgt dat door haar ingeschakelde derden schriftelijk verplichtingen op zich nemen die minstens even streng zijn als de verplichtingen die op grond van de Verwerkersovereenkomst op de Verwerker rusten.

Artikel 6.5.
Verwerker staat in voor een correcte naleving van de in artikel 6.4 bedoelde plichten door deze derden en is bij fouten van zelf jegens Verantwoordelijke aansprakelijk alsof zij de fout(en) zelf heeft begaan.

Artikel 6.6.
De maximale aansprakelijkheid van Verwerker voor schade als bedoeld in artikel 6.5 is beperkt tot het in de Overeenkomst (met inbegrip van de algemene voorwaarden van Verwerker) overeengekomen bedrag.

Artikel 7. Beveiliging

Artikel 7.1.
Verwerker zal passende technische en organisatorische maatregelen nemen met betrekking tot de te verrichten verwerkingen van persoonsgegevens, tegen verlies of tegen enige vorm van onrechtmatige verwerking (zoals onbevoegde kennisname, aantasting, wijziging of verstrekking van de persoonsgegevens).

Artikel 7.2.
Ondanks dat Verwerker conform het eerste lid van dit artikel passende beveiligingsmaatregelingen dient te treffen, kan Verwerker er niet volledig voor instaan dat de beveiliging onder alle omstandigheden doeltreffend is. Verwerker zal bij een dreiging van – of daadwerkelijk doorbreken van – deze beveiligingsmaatregelen er echter alles aan doen om verlies van persoonsgegevens zoveel mogelijk te beperken.

Artikel 7.3.
Indien een uitdrukkelijk omschreven beveiliging in de Verwerkersovereenkomst ontbreekt, bewerkstelligt Verwerker dat de beveiliging voldoet aan een niveau dat, gelet op de stand van de techniek, de gevoeligheid van de persoonsgegevens en de aan het treffen van de beveiliging verbonden kosten, niet onredelijk is.

Artikel 7.4.
Verantwoordelijke stelt enkel persoonsgegevens aan Verwerker ter beschikking voor verwerking, indien Verantwoordelijke zich ervan heeft verzekerd dat de vereiste beveiligingsmaatregelen zijn getroffen.

Artikel 8. Meldplicht

Artikel 8.1.
In het geval van een data-lek (waaronder wordt verstaan: een inbreuk op de beveiliging van persoonsgegevens die leidt tot een aanzienlijke kans op nadelige gevolgen, dan wel nadelige gevolgen heeft, voor de bescherming van persoonsgegevens, in de zin van artikel 34a Wbp), spant Verwerker zich in om Verantwoordelijke daarover zo snel mogelijk te informeren, maar in ieder geval binnen 48 uur nadat het data-lek bekend is geworden bij Verwerker.

Artikel 8.2.
De meldplicht geldt enkel indien het lek daadwerkelijk heeft plaatsgevonden en behelst in ieder geval het melden van het feit dat er een data-lek is geweest, alsmede, voor zover deze informatie bij Verwerker beschikbaar is:
wat de (vermeende) oorzaak is van het lek;
wat het (vooralsnog bekende of te verwachten) gevolg is;
wat de (voorgestelde) oplossing is;
contactgegevens voor de opvolging van de melding;
het aantal personen waarvan gegevens zijn gelekt, of het minimale en maximale aantal personen waarvan gegevens zijn gelekt indien geen exact aantal bekend is;
een omschrijving van de groep personen van wie gegevens zijn gelekt;
het soort of de soorten persoonsgegevens die gelekt zijn;
de datum waarop het lek heeft plaatsgevonden, of de periode waarbinnen het lek heeft
plaatsgevonden indien geen exacte datum bekend is;
de datum en het tijdstip waarop het lek bekend is geworden bij Verwerker of bij een door hem ingeschakelde derde of onderaannemer;
of de gegevens versleuteld, gehasht of op een andere manier onbegrijpelijk of ontoegankelijk zijn gemaakt voor onbevoegden;
en wat de voorgenomen en reeds ondernomen maatregelen zijn om het lek te dichten en om de gevolgen van het lek te beperken.

Artikel 8.3.
Verantwoordelijke beoordeelt zelf of zij de relevante autoriteiten en/of betrokkene(n) zal informeren en is zelf verantwoordelijk voor de naleving van (wettelijke) meldplichten. Indien de privacywet- en regelgeving dit vereist, zal Verwerker meewerken aan het informeren van de te zake relevante autoriteiten of betrokkenen.

Artikel 9. Afhandeling verzoeken van betrokkenen

Artikel 9.1.
Indien een betrokkene een van zijn wettelijke rechten wenst uit te oefenen en het verzoek hiertoe richt aan Verwerker, zal Verwerker dit verzoek doorzenden aan Verantwoordelijke. Verantwoordelijke zal vervolgens zorg dragen voor de afhandeling van het verzoek. Verwerker mag de betrokkene daarvan op de hoogte stellen.

Artikel 9.2.
In het geval dat een betrokkene een verzoek tot uitoefening van een van zijn wettelijke rechten richt aan Verantwoordelijke zal Verwerker, indien Verantwoordelijke dit verlangt, medewerking verlenen voor zover mogelijk en voor zover dit redelijk is. Verwerker mag hiervoor redelijke kosten bij Verantwoordelijke in rekening brengen.

Artikel 10. Geheimhoudingsplicht

Artikel 10.1.
Op alle persoonsgegevens die Verwerker van Verantwoordelijke ontvangt of die Verwerker zelf verzamelt in het kader van deze Verwerkersovereenkomst, rust een geheimhoudingsplicht jegens derden.

Artikel 10.2.
Deze geheimhoudingsplicht is niet van toepassing voor zover Verantwoordelijke uitdrukkelijke toestemming heeft gegeven om de informatie aan derden te verschaffen, indien het verstrekken van de informatie aan derden logischerwijs noodzakelijk is voor de uitvoering van de Verwerkersovereenkomst, of indien er een wettelijke verplichting bestaat om de informatie aan een derde te verstrekken.

Artikel 10.3.
Indien Verwerker wettelijk verplicht is informatie aan een derde te verstrekken, zal Verwerker de Verantwoordelijke hier zo spoedig mogelijk over informeren voor zover dat wettelijk is toegestaan.

Artikel 11. Audit

Artikel 11.1.
Verantwoordelijke heeft het recht om audits uit te laten voeren door een onafhankelijke deskundige derde die aan geheimhouding is gebonden ter controle van de beveiligingseisen als overeengekomen in Artikel 7 van de Verwerkersovereenkomst.

Artikel 11.2.
De in artikel 11.1 bedoelde audit vindt uitsluitend plaatst bij een concreet vermoeden van misbruik welke is aangetoond door Verantwoordelijke. De door Verantwoordelijke geïnitieerde audit vindt twee weken na voorafgaande aankondiging door Verantwoordelijke plaats.

Artikel 11.3.
Verwerker zal aan de audit meewerken en alle voor de audit redelijkerwijs relevante informatie, inclusief ondersteunende gegevens zoals systeemlogs, en medewerkers zo tijdig mogelijk en binnen een redelijke termijn ter beschikking stellen, waarbij een termijn van maximaal twee weken redelijk is.

Artikel 11.4.
De bevindingen naar aanleiding van de uitgevoerde audit zullen door Partijen in onderling overleg worden beoordeeld en, naar aanleiding daarvan, al dan niet worden doorgevoerd door één van de Partijen of door beide Partijen gezamenlijk.

Artikel 11.5.
De kosten van de audit worden door Verantwoordelijke gedragen.

Artikel 12. Aansprakelijkheid

Artikel 12.1.
Voor de aansprakelijkheid van Partijen voor schade als gevolg van een toerekenbare tekortkoming in de nakoming van de Verwerkersovereenkomst, dan wel uit onrechtmatige daad of anderszins, wordt de in de Overeenkomst (met inbegrip van de algemene voorwaarden van Verwerker) overeengekomen regeling omtrent aansprakelijkheid van toepassing verklaard.

Artikel 13. Duur en beëindiging

Artikel 13.1.
Deze Verwerkersovereenkomst wordt aangegaan voor de duur zoals bepaald in de Overeenkomst en bij gebreke daarvan in ieder geval voor de duur van de samenwerking tussen Partijen. Deze Verwerkersovereenkomst kan tussentijds niet worden opgezegd.

Artikel 13.2.
Partijen mogen deze Verwerkersovereenkomst alleen wijzigen met wederzijdse instemming, maar zullen hun volledige medewerking verlenen om de Verwerkersovereenkomst aan te passen aan eventuele nieuwe of aangepaste privacywet- en regelgeving.

Artikel 13.3.
Na beëindiging van de Verwerkersovereenkomst zal Verwerker alle persoonsgegevens die bij haar aanwezig zijn vernietigen, tenzij Partijen anders overeenkomen.