Verwerkersovereenkomst
Partijen:
MARV-Websolutions, statutair gevestigd te (6546 BA Nijmegen) aan Kerkenbos 1042 en ingeschrevenbij de Kamer van Koophandel onder inschrijvingsnummer 57793158, hierbij rechtsgeldig vertegenwoordigd doorde heer C.M.P. Veekens in zijn hoedanigheid als directeur (hierna aangeduid als “verwerker”);
en
[Bedrijf klant], gevestigd aan [adres] in [plaatsnaam] en ingeschreven bij de Kamer van Koophandel onder inschrijvingsnummer [nummer], hierbij rechtsgeldig vertegenwoordigd door [de heer/mevrouw] [naam] in [zijn/haar] hoedanigheid als [hoedanigheid] (hierna aangeduid als “verwerkingsverantwoordelijke”);
hierna gezamenlijk aangeduid als “partijen” en individueel als de “partij”;
overwegen dat:
en komen het volgende overeen:
Artikel 1. Definities
1.1 Betrokkene: degene op wie een persoonsgegeven betrekking heeft.
1.2 Datalek: een inbreuk op de beveiliging van persoonsgegevens die ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens.
1.3 Persoonsgegevens: gegevens betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. Ook (herleidbare) gepseudonimiseerde persoonsgegevens vallen onder dit begrip.
1.4 Bijzonder persoonsgegeven: gevoelige gegevens, zoals informatie over iemands godsdienst, gezondheid of strafrechtelijke verleden, welke gegevens volgens de privacywetgeving extra bescherming verdienen.
1.5 Subverwerker: een derde die door verwerker wordt ingeschakeld om ten behoeve van verwerker persoonsgegevens te verwerken, zonder aan het rechtstreeks gezag van verwerker te zijn onderworpen.
1.6 Verwerkingsverantwoordelijke: de verantwoordelijke voor de verwerking in de zin van de Wet bescherming persoonsgegevens (WBP) en/of Europese verordeningen en richtlijnen ten aanzien van bescherming van persoonsgegevens (AVG).
1.7 Verwerker: degene die ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt zonder aan zijn rechtstreeks gezag te zijn onderworpen.
1.8 Verwerking: elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens.
Artikel 2. Doeleinden van verwerking
2.1 Verwerker verbindt zich onder de voorwaarden van deze verwerkersovereenkomst in opdracht van verwerkingsverantwoordelijke persoonsgegevens te verwerken. Verwerking zal uitsluitend plaatsvinden in het kader van de uitvoering van de overeenkomst, plus die doeleinden die daarmee redelijkerwijs samenhangen of die met nadere instemming worden bepaald.
2.2 Verwerker zal in het kader van deze verwerkersovereenkomst alle persoonsgegevens verwerken, die bij het gebruik van de diensten kunnen worden opgeslagen, waaronder bijvoorbeeld doch niet uitsluitend worden verstaan: bedrijfsnaam, voornaam, achternaam, adresgegevens, postcode, woonplaats, e-mailadres, telefoonnummer, KVK nummer en in geval van automatische incasso, ook het bankrekeningnummer. De categorie betrokkenen betreft de klanten van verwerkingsverantwoordelijke.
2.3 Verwerker spant zich in om, in het kader van de hiervoor bedoelde werkzaamheden, de door of via verwerkingsverantwoordelijke ter beschikking gestelde persoonsgegevens zorgvuldig te verwerken. Verwerkingsverantwoordelijke garandeert dat er in zijn opdracht geen verwerking van bijzondere persoonsgegevens zal plaatsvinden. Indien er wel bijzondere persoonsgegevens worden verwerkt, meldt verwerkingsverantwoordelijke dat vooraf bij verwerker en zullen partijen nadere afspraken overeenkomen voor wat betreft de verwerking van de bijzondere persoonsgegevens.
2.4 Verwerker is niet verantwoordelijk voor doeleinden die niet door verwerkingsverantwoordelijke aan verwerker zijn gemeld en/of verwerkingen door derden die zijn ingeschakeld door verwerkersverantwoordelijke. De verantwoordelijkheid voor deze verwerkingen ligt bij verwerkingsverantwoordelijke.
2.5 Verwerker levert primair hosting- en onderhoudsdiensten alsmede domeinnaamregistraties. Het verwerken van persoonsgegevens is hierbij een bijkomstigheid. In beginsel zal verwerker de persoonsgegevens namelijk niet inzien. In dit kader kan gedacht worden aan het door verwerkingsverantwoordelijke opslaan van gegevens op systemen van verwerker. Hierdoor verwerkt verwerker in veel gevallen automatisch alle persoonsgegevens die verwerkingsverantwoordelijke via de hosting- en onderhoudsdiensten opslaat.
2.6 Verwerker neemt geen zelfstandige beslissingen over ontvangst en gebruik van de persoonsgegevens, de verstrekking aan derden en de duur van de opslag.
Artikel 3. Verplichtingen verwerker
3.1 Verwerker verwerkt gegevens ten behoeve van verwerkingsverantwoordelijke voor de in artikel 1 bedoelde doeleinden. Verwerker zal de persoonsgegevens niet voor eigen doeleinden verwerken. Verwerker heeft geen zeggenschap over het doel en de middelen voor de verwerking van persoonsgegevens.
3.2 Verwerker zal bij de verwerking van persoonsgegevens handelen in overeenstemming met de AVG.
3.3 De toegestane verwerkingen zullen onder controle van verwerker worden uitgevoerd binnen een (semi)geautomatiseerde omgeving.
3.4 Verwerker stelt verwerkingsverantwoordelijke onmiddellijk op de hoogte indien naar zijn oordeel instructies in strijd zijn met de toepasselijke wetgeving met betrekking tot de verwerking van persoonsgegevens of anderszins onredelijk zijn.
3.5 Verwerker zal, indien dit redelijkerwijs binnen zijn invloedssfeer ligt, bijstand verlenen aan verwerkingsverantwoordelijke bij het vervullen van diens wettelijke verplichtingen. Dit betreft het verlenen van bijstand bij het vervullen van diens verplichtingen uit hoofde van de artikelen 32 tot en met 36 AVG, zoals het verlenen van bijstand bij het uitvoeren van een Data Protection Impact Assessment (“DPIA”) en een voorafgaande raadpleging bij een verwerking met een hoog risico. Verwerker mag de hiervoor gemaakte kosten in rekening brengen bij verwerkingsverantwoordelijke.
3.6 Verwerkingsverantwoordelijke garandeert dat de inhoud, het gebruik en de opdracht tot de verwerkingen van de persoonsgegevens zoals bedoeld in de verwerkersovereenkomst, niet onrechtmatig zijn en geen inbreuk maken op enig recht van derden, en vrijwaart verwerker tegen alle aanspraken en claims die hiermee verband houden.
3.7 De verplichtingen van verwerker die uit deze verwerkersovereenkomst voortvloeien, gelden ook voor degenen die persoonsgegevens verwerken onder het gezag van verwerker, waaronder in elk geval wordt verstaan de werknemers van verwerker.
3.8 Zonder toestemming van verwerkingsverantwoordelijke is het verwerker niet toegestaan om de verwerkersovereenkomst over te dragen aan een andere partij.
3.9 Verwerker is alleen verantwoordelijk voor de verwerking van de persoonsgegevens onder deze verwerkersovereenkomst, overeenkomstig de schriftelijke instructies van verwerkingsverantwoordelijke en onder uitdrukkelijke (eind)verantwoordelijkheid van verwerkingsverantwoordelijke.
Artikel 4. Doorgifte van persoonsgegevens
4.1 Verwerker mag de persoonsgegevens verwerken in landen binnen de Europese Economische Ruimte (“EER”). Daarnaast mag verwerker de persoonsgegevens doorgeven naar een land buiten de EER, mits dat land een passend beschermingsniveau waarborgt en verwerker voldoet aan de overige verplichtingen die op haar rusten op grond van deze verwerkersovereenkomst en de AVG.
4.2 Verwerker zal verwerkingsverantwoordelijke op diens eerste verzoek melden om welk land of welke landen het gaat. Verwerker staat ervoor in dat er bij landen buiten de EER sprake is van een passend beschermingsniveau.
Artikel 5. Inschakelen van subverwerkers
5.1 Verwerker mag in het kader van de verwerkersovereenkomst gebruik maken van subverwerkers, doch met inachtneming van de daarvoor toepasselijke privacywetgeving. Verwerker zal verwerkingsverantwoordelijke op verzoek informeren welke subverwerkers hij inschakelt.
5.2 Indien verwerker het voornemen heeft om nieuwe subverwerkers in te schakelen voor het verwerken van persoonsgegevens, dan zal verwerker verwerkingsverantwoordelijke hierover vooraf informeren. Verwerkingsverantwoordelijke heeft het recht om tegen enige, nieuwe of te wijzigen subverwerker(s), schriftelijk en binnen twee weken na verzending van de berichtgeving hierover van verwerker schriftelijk gemotiveerd bezwaar te maken. Indien verwerkingsverantwoordelijke bezwaar maakt, zullen partijen in overleg treden om tot een oplossing te komen.
5.3 Indien verwerkingsverantwoordelijke geen bezwaar maakt binnen de genoemde termijn van twee weken, dan wordt verwerkingsverantwoordelijke geacht met het inschakelen van de nieuwe subverwerker in te stemmen.
5.4 Verwerker zal aan de ingeschakelde subverwerkers overeenkomstige verplichtingen opleggen als tussen verwerkingsverantwoordelijke en verwerker zijn overeengekomen.
5.5 Verwerker staat in voor een correcte naleving van de plichten uit deze verwerkersovereenkomst door deze subverwerkers en is bij fouten van deze subverwerkers zelf aansprakelijk voor alle schade alsof zij zelf de fout(en) heeft begaan.
Artikel 6. Geheimhoudingsplicht
6.1 Verwerker is verplicht tot geheimhouding van alle persoonsgegevens die door verwerkingsverantwoordelijke aan verwerker worden verstrekt en/of verwerker zelf verzamelt in het kader van deze verwerkersovereenkomst. Verwerker draagt ervoor zorg dat de tot het verwerken van de persoonsgegevens gemachtigde personen, contractueel verplicht zijn tot geheimhouding van de persoonsgegevens waarvan hij of zij kennisneemt.
6.2 Deze geheimhoudingsplicht is niet van toepassing voor zover verwerkingsverantwoordelijke uitdrukkelijke toestemming heeft gegeven om de informatie aan derden te verschaffen, indien het verstrekken van de informatie aan derden logischerwijs noodzakelijk is gezien de aard van de verstrekte opdracht en de uitvoering van deze verwerkersovereenkomst, of indien er een wettelijke verplichting bestaat om de informatie aan een derde te verstrekken.
6.3 In dit kader wordt tevens verwezen naar artikel 6 van de algemene voorwaarden van MARV-Websolutions.
Artikel 7. Meldplicht datalekken
7.1 Verwerker stelt verwerkingsverantwoordelijke zonder onredelijke vertraging, doch uiterlijk binnen 48 uur, op de hoogte van een inbreuk in verband met persoonsgegevens zoals bedoeld in artikel 4 lid 12 van de AVG (hierna: “datalek”). Verwerker spant zich naar beste kunnen in om ervoor te zorgen dat deze verstrekte informatie volledig, correct en accuraat is. Daarbij zal verwerker redelijke maatregelen treffen om de gevolgen van het datalek te beperken en verdere en toekomstige datalekken te voorkomen.
7.2 Indien wet- en/of regelgeving dit vereist zal verwerker zijn medewerking verlenen aan het informeren van de relevante autoriteiten en/of betrokkenen. Verwerkingsverantwoordelijke beoordeelt zelf of hij de toezichthoudende autoriteiten en/of betrokkenen zal informeren of niet. Verwerkingsverantwoordelijke draagt hiervoor de verantwoordelijkheid.
7.3 Verwerker zal bijstand verlenen aan verwerkingsverantwoordelijke, rekening houdend met de aard van de verwerking en de hem ter beschikking staande informatie, ten aanzien van het datalek.
7.4 De kennisgeving aan de verwerkingsverantwoordelijke omvat, voor zover op dat moment bekend, in ieder geval:
Artikel 8. Afhandeling verzoeken van betrokkenen
8.1 In het geval dat een betrokkene een verzoek met betrekking tot zijn persoonsgegevens richt aan verwerker, zal verwerker het verzoek doorsturen aan verwerkingsverantwoordelijke en de betrokkene hiervan op de hoogte stellen. Verwerkingsverantwoordelijke zal het verzoek vervolgens verder zelfstandig afhandelen.
8.2 In het geval dat een betrokkene een verzoek tot uitoefening van een van zijn wettelijke rechten richt aan verwerkingsverantwoordelijke zal verwerker, indien verwerkingsverantwoordelijke dit verlangt, medewerking verlenen voor zover dit mogelijk en redelijk is. Verwerker mag hiervoor redelijke kosten bij verwerkingsverantwoordelijke in rekening brengen.
Artikel 9. Beveiligingsmaatregelen
9.1 Verwerker zal zich inspannen om passende technische en organisatorische maatregelen te nemen om de persoonsgegevens, welke worden verwerkt ten dienste van verwerkingsverantwoordelijke, te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking.
9.2 Verwerker zal op verzoek een overzicht van de beveiligingsmaatregelen verstrekken. Verwerker heeft in ieder geval de volgende maatregelen genomen:
9.3 Bij verandering van beveiligingsmaatregelen zal verwerker dit melden aan verwerkingsverantwoordelijke.
9.4 Verwerker staat er niet voor in dat de beveiliging onder alle omstandigheden doeltreffend is. Verwerker zal zich inspannen de beveiliging te laten voldoen aan een niveau dat, gelet op de stand van de techniek, de gevoeligheid van de persoonsgegevens en de aan het treffen van de beveiliging verbonden kosten, niet onredelijk is.
9.5 Verwerkingsverantwoordelijke stelt enkel persoonsgegevens aan verwerker ter beschikking voor verwerking, indien zij zich ervan heeft verzekerd dat de vereiste beveiligingsmaatregelen zijn getroffen. Verwerkingsverantwoordelijke is verantwoordelijk voor de naleving van de door partijen afgesproken maatregelen.
9.6 Verwerker mag de beveiligingsmaatregelen op ieder moment eenzijdig aanpassen. Zij zal verwerkingsverantwoordelijke schriftelijk op de hoogte stellen van aanpassingen.
9.7 Mocht de verwerkingsverantwoordelijke aanvullende specifieke maatregelen verlangen dan vindt hierover overleg plaats tussen verwerkingsverantwoordelijke en verwerker.
Artikel 10. Controle
10.1 Verwerkingsverantwoordelijke heeft het recht de naleving van de verplichtingen van verwerker in deze verwerkersovereenkomst te laten controleren. Verwerkingsverantwoordelijke kan dit maximaal eenmaal per jaar laten controleren door een onafhankelijke derde die aan geheimhouding gebonden is, in geval sprake is van een redelijk, schriftelijk gecommuniceerd en gegrond vermoeden van overtreding van deze verwerkersovereenkomst. Deze door verwerkingsverantwoordelijke geïnitieerde controle vindt niet eerder plaats dan vier weken na voorafgaande aankondiging.
10.2 Verwerker zal aan de controle meewerken en alle voor de controle redelijkerwijs relevante informatie en zijn medewerkers ter beschikking stellen voor de controle.
10.3 Indien er in een jaar reeds een controle door een onafhankelijke derde is uitgevoerd, kan verwerker volstaan, in tegenstelling tot hetgeen is geregeld in lid 2 van dit artikel, met het geven van toegang tot de relevante gedeelten van het rapport, indien er binnen datzelfde jaar wederom om een controle van naleving van de verplichtingen van verwerker in de verwerkersovereenkomst wordt verzocht.
10.4 Verwerker en verwerkingsverantwoordelijke besluiten gezamenlijk over de datum, het tijdstip en de omvang van de controle.
10.5 De redelijke kosten voor het meewerken aan de controle worden door de verwerkingsverantwoordelijke gedragen, met dien verstande dat de kosten voor de in te huren onafhankelijke derde te allen tijde door verwerkingsverantwoordelijke zullen worden gedragen.
10.6 De bevindingen naar aanleiding van de uitgevoerde controle zullen door partijen in overleg worden beoordeeld. Naar aanleiding daarvan zullen wijzigingen al dan niet worden doorgevoerd door één van de partijen of door beide partijen gezamenlijk.
10.7 De controle en de resultaten daarvan zullen door de verwerkingsverantwoordelijke vertrouwelijk worden behandeld.
Artikel 11. Aansprakelijkheid
11.1 In het kader van aansprakelijkheid wordt verwezen naar de algemene voorwaarden van MARV-Websolutions, artikel 7 en 10, met onderstaande aanvullende paragrafen:
11.2 Onder indirecte schade wordt verstaan alle schade die geen directe schade is en daarmee in ieder geval, maar niet beperkt tot, gevolgschade, gederfde winst, gemiste besparingen, verminderde goodwill, schade door bedrijfsstagnatie, schade door het niet bepalen van marketingdoeleinden, schade verband houdende met het gebruik van door verwerkingsverantwoordelijke voorgeschreven gegevens of databestanden, of verlies, verminking of vernietiging van gegevens of databestanden.
11.3 De in dit artikel bedoelde uitsluitingen en beperkingen komen te vervallen indien en voor zover de schade het gevolg is van opzet of bewuste roekeloosheid van verwerker.
Artikel 12. Beëindiging en wijziging verwerkersovereenkomst
12.1 Deze verwerkersovereenkomst komt tot stand doordat verwerkingsverantwoordelijke deze (al dan niet digitaal) aanvaardt en zal voortduren voor de duur van de overeenkomst en bij gebreke daarvan voor de duur van de samenwerking.
12.2 Wijziging van deze verwerkersovereenkomst kan slechts schriftelijk plaatsvinden en vereist instemming van beide partijen.
12.3 Partijen treden met elkaar in overleg over wijzigingen in deze verwerkersovereenkomst als een wijziging in wet- of regelgeving daartoe aanleiding geeft. Partijen verlenen te allen tijde hun volledige medewerking om deze verwerkersovereenkomst aan te passen en geschikt te maken voor eventuele nieuwe of veranderde privacywetgeving.
12.4 Indien de overeenkomst eindigt, eindigt deze verwerkersovereenkomst van rechtswege. Bij de beëindiging van de verwerkersovereenkomst zal verwerker zonder onredelijke vertraging, op verzoek en op kosten van verwerkingsverantwoordelijke de persoonsgegevens zoals deze zich op de infrastructuur (onder beheer) van verwerker bevinden, terugbezorgen aan verwerkingsverantwoordelijke.
12.5 Verwerker zal alle persoonsgegevens van verwerkingsverantwoordelijke zo spoedig mogelijk na beëindiging van de verwerkersovereenkomst wissen, inclusief eventuele kopieën, tenzij verwerkers wettelijk verplicht is deze gegevens te bewaren.
Artikel 13. Toepasselijk recht en geschillenbeslechting
13.1 De verwerkersovereenkomst en de uitvoering daarvan worden beheerst door Nederlands recht.
13.2 Alle geschillen, welke tussen partijen mochten ontstaan in verband met de verwerkersovereenkomst, zullen worden voorgelegd aan de bevoegde rechter van het arrondissement waarin verwerker gevestigd is.
De digitale partner voor Webhosting, Wordpress Webdesign en Wordpress Onderhoud!
De digitale partner voor Webhosting, Wordpress Webdesign en Wordpress Onderhoud!