Verwerkersovereenkomst

Partijen:

 

MARV-Websolutions, statutair gevestigd te (6546 BA Nijmegen) aan Kerkenbos 1042 en ingeschrevenbij de Kamer van Koophandel onder inschrijvingsnummer 57793158, hierbij rechtsgeldig vertegenwoordigd doorde heer C.M.P. Veekens in zijn hoedanigheid als directeur (hierna aangeduid als “verwerker”);

en

[Bedrijf klant], gevestigd aan [adres] in [plaatsnaam] en ingeschreven bij de Kamer van Koophandel onder inschrijvingsnummer [nummer], hierbij rechtsgeldig vertegenwoordigd door [de heer/mevrouw] [naam] in [zijn/haar] hoedanigheid als [hoedanigheid] (hierna aangeduid als “verwerkingsverantwoordelijke”);

hierna gezamenlijk aangeduid als “partijen” en individueel als de “partij”;

 

overwegen dat:

  • Deze verwerkersovereenkomst (hierna aangeduid als: “de verwerkersovereenkomst”) integraal onderdeel uitmaakt van de afspraken tussen partijen overeengekomen op [datum] (hierna aangeduid als: “de overeenkomst”);
  • deze verwerkersovereenkomst is gesloten in het kader van de dienstverlening van verwerker aan verwerkingsverantwoordelijke, ter uitvoering van de overeenkomst. De diensten kunnen betreffenhostingdiensten, onderhoudsdiensten, webdesign, registratie domeinnamen, grafisch design, aanleg netwerk en installatie bewakingscamera’s en/of camera-deurbellen;
  • indien definities worden gebruikt die overeenkomen met de definities in de Algemene verordeninggegevensbescherming (hierna aangeduid als: “AVG”), deze definities dezelfde betekenis hebben;
  • Verwerkingsverantwoordelijke hierbij aangemerkt wordt als verwerkingsverantwoordelijke in de zin van artikel 4 lid 7 van de AVG;
  • Verwerker hierbij aangemerkt wordt als verwerker in de zin van artikel 4 lid 8 van de AVG;
  • Verwerker ter uitvoering van haar dienstverlening persoonsgegevens in de zin van artikel 4 lid 1 van de AVG zal verwerken, in opdracht van verwerkingsverantwoordelijke;
  • Verwerker bereid is de verplichtingen omtrent beveiliging en andere aspecten van de AVG na te komen, voor zover dit binnen zijn macht ligt;
  • Partijen, mede gelet op het vereiste uit artikel 28 lid 3 van de AVG, hun rechten en plichtenschriftelijk wensen vast te leggen middels deze verwerkersovereenkomst;
  • In geval van strijdigheid van verschillende documenten of de bijlagen daarvan, de volgende rangorde geldt: de overeenkomst, de verwerkersovereenkomst, de algemene voorwaarden inclusief eventueel van toepassing zijnde aanvullende voorwaarden koop op afstand.

 

 

 

en komen het volgende overeen:

Artikel 1.          Definities

1.1                   Betrokkene: degene op wie een persoonsgegeven betrekking heeft.

1.2                   Datalek: een inbreuk op de beveiliging van persoonsgegevens die ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens.

1.3                   Persoonsgegevens: gegevens betreffende een geïdentificeerde of identificeerbare     natuurlijke persoon. Ook (herleidbare) gepseudonimiseerde persoonsgegevens vallen onder dit begrip.

1.4                   Bijzonder persoonsgegeven: gevoelige gegevens, zoals informatie over iemands godsdienst, gezondheid of strafrechtelijke verleden, welke gegevens volgens de privacywetgeving extra bescherming verdienen.

1.5                   Subverwerker: een derde die door verwerker wordt ingeschakeld om ten behoeve van verwerker persoonsgegevens te verwerken, zonder aan het rechtstreeks gezag van verwerker te zijn onderworpen.

1.6                   Verwerkingsverantwoordelijke: de verantwoordelijke voor de verwerking in de zin van de Wet bescherming persoonsgegevens (WBP) en/of Europese verordeningen en richtlijnen ten aanzien van bescherming van persoonsgegevens (AVG).

1.7                   Verwerker: degene die ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt zonder aan zijn rechtstreeks gezag te zijn onderworpen.

1.8                   Verwerking: elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens.

 

Artikel 2.          Doeleinden van verwerking

2.1                   Verwerker verbindt zich onder de voorwaarden van deze      verwerkersovereenkomst in opdracht van verwerkingsverantwoordelijke persoonsgegevens te verwerken. Verwerking zal uitsluitend plaatsvinden in het kader van de uitvoering van de overeenkomst, plus die doeleinden die daarmee redelijkerwijs samenhangen of die met nadere instemming worden bepaald.

2.2                   Verwerker zal in het kader van deze verwerkersovereenkomst alle persoonsgegevens verwerken, die bij het gebruik van de diensten kunnen worden opgeslagen, waaronder bijvoorbeeld doch niet uitsluitend worden verstaan: bedrijfsnaam, voornaam, achternaam, adresgegevens, postcode, woonplaats, e-mailadres, telefoonnummer, KVK nummer en in geval van automatische incasso, ook het bankrekeningnummer. De categorie betrokkenen betreft de klanten van verwerkingsverantwoordelijke.

2.3                   Verwerker spant zich in om, in het kader van de hiervoor bedoelde werkzaamheden, de door of via verwerkingsverantwoordelijke ter beschikking gestelde persoonsgegevens zorgvuldig te verwerken. Verwerkingsverantwoordelijke  garandeert   dat er in zijn opdracht geen verwerking van bijzondere persoonsgegevens zal plaatsvinden. Indien er wel bijzondere persoonsgegevens worden verwerkt, meldt verwerkingsverantwoordelijke dat vooraf bij verwerker en zullen partijen nadere afspraken overeenkomen voor wat betreft de verwerking van de bijzondere  persoonsgegevens.

2.4                   Verwerker is niet verantwoordelijk voor doeleinden die niet door verwerkingsverantwoordelijke aan verwerker zijn gemeld en/of verwerkingen door derden die zijn ingeschakeld door verwerkersverantwoordelijke. De verantwoordelijkheid voor deze verwerkingen ligt bij verwerkingsverantwoordelijke.

2.5                   Verwerker levert primair hosting- en onderhoudsdiensten alsmede domeinnaamregistraties. Het verwerken van persoonsgegevens is hierbij een bijkomstigheid. In beginsel zal verwerker de persoonsgegevens namelijk niet inzien. In dit kader kan gedacht worden aan het door verwerkingsverantwoordelijke opslaan van gegevens op systemen van verwerker. Hierdoor verwerkt verwerker in veel gevallen automatisch alle persoonsgegevens die verwerkingsverantwoordelijke via de hosting- en onderhoudsdiensten opslaat.

2.6                   Verwerker neemt geen zelfstandige beslissingen over ontvangst en gebruik van de persoonsgegevens, de verstrekking aan derden en de duur van de opslag.

Artikel 3.        Verplichtingen verwerker

 

3.1                   Verwerker verwerkt gegevens ten behoeve van verwerkingsverantwoordelijke voor de in artikel 1 bedoelde doeleinden. Verwerker zal de persoonsgegevens niet voor eigen doeleinden verwerken. Verwerker heeft geen zeggenschap over het doel en de middelen voor de verwerking van persoonsgegevens.

3.2                   Verwerker zal bij de verwerking van persoonsgegevens handelen in overeenstemming met de AVG.

3.3                   De toegestane verwerkingen zullen onder controle van verwerker worden uitgevoerd binnen een (semi)geautomatiseerde omgeving.

3.4                   Verwerker stelt verwerkingsverantwoordelijke onmiddellijk op de hoogte indien naar zijn oordeel instructies in strijd zijn met de toepasselijke wetgeving met betrekking tot de verwerking van persoonsgegevens of anderszins onredelijk zijn.

3.5                   Verwerker zal, indien dit redelijkerwijs binnen zijn invloedssfeer ligt, bijstand verlenen aan verwerkingsverantwoordelijke bij het vervullen van diens wettelijke verplichtingen. Dit betreft het verlenen van bijstand bij het vervullen van diens verplichtingen uit hoofde van de artikelen 32 tot en met 36 AVG, zoals het verlenen van bijstand bij het uitvoeren van een Data Protection Impact Assessment (“DPIA”) en een voorafgaande raadpleging bij een verwerking met een hoog risico. Verwerker mag de hiervoor gemaakte kosten in rekening brengen bij verwerkingsverantwoordelijke.

3.6                   Verwerkingsverantwoordelijke garandeert dat de inhoud, het gebruik en de opdracht tot de verwerkingen van de persoonsgegevens zoals bedoeld in de verwerkersovereenkomst, niet onrechtmatig zijn en geen inbreuk maken op enig recht van derden, en vrijwaart verwerker tegen alle aanspraken en claims die hiermee verband houden.

3.7                   De verplichtingen van verwerker die uit deze verwerkersovereenkomst voortvloeien, gelden ook voor degenen die persoonsgegevens verwerken onder het gezag van verwerker, waaronder in elk geval wordt verstaan de werknemers van verwerker.

3.8                   Zonder toestemming van  verwerkingsverantwoordelijke is het verwerker niet toegestaan om de verwerkersovereenkomst over te dragen aan een andere partij.

3.9                   Verwerker is alleen verantwoordelijk voor de verwerking van de persoonsgegevens onder deze verwerkersovereenkomst, overeenkomstig de schriftelijke instructies van verwerkingsverantwoordelijke en onder uitdrukkelijke (eind)verantwoordelijkheid van verwerkingsverantwoordelijke.

Artikel 4.          Doorgifte van persoonsgegevens

4.1                   Verwerker mag de persoonsgegevens verwerken in landen binnen de Europese Economische Ruimte (“EER”). Daarnaast mag verwerker de persoonsgegevens doorgeven naar een land buiten de EER, mits dat land een passend beschermingsniveau waarborgt en verwerker voldoet aan de overige verplichtingen die op haar rusten op grond van deze verwerkersovereenkomst en de AVG.

4.2                   Verwerker zal verwerkingsverantwoordelijke op diens eerste verzoek melden om welk land of welke landen het gaat. Verwerker staat ervoor in dat er bij landen buiten de EER sprake is van een passend beschermingsniveau.

Artikel 5.          Inschakelen van subverwerkers

5.1                   Verwerker mag in het kader van de verwerkersovereenkomst gebruik maken van      subverwerkers, doch met inachtneming van de daarvoor toepasselijke privacywetgeving. Verwerker zal   verwerkingsverantwoordelijke op verzoek informeren welke subverwerkers hij inschakelt.

5.2                   Indien verwerker het voornemen heeft om nieuwe subverwerkers in te schakelen voor het verwerken van persoonsgegevens, dan zal verwerker verwerkingsverantwoordelijke hierover vooraf informeren. Verwerkingsverantwoordelijke heeft het recht om tegen enige, nieuwe of te wijzigen subverwerker(s), schriftelijk en binnen twee weken na verzending van de berichtgeving hierover van verwerker schriftelijk gemotiveerd bezwaar te maken. Indien verwerkingsverantwoordelijke bezwaar maakt, zullen partijen in overleg treden om tot een oplossing te komen.

5.3                   Indien verwerkingsverantwoordelijke geen bezwaar maakt binnen de genoemde termijn van twee weken, dan wordt verwerkingsverantwoordelijke geacht met het inschakelen van de nieuwe subverwerker in te stemmen.

5.4                   Verwerker zal aan de ingeschakelde subverwerkers overeenkomstige verplichtingen opleggen als tussen verwerkingsverantwoordelijke en verwerker zijn overeengekomen.

5.5                   Verwerker staat in voor een correcte naleving van de plichten uit deze verwerkersovereenkomst door deze subverwerkers en is bij fouten van deze subverwerkers zelf aansprakelijk voor alle schade alsof zij zelf de fout(en) heeft begaan.

Artikel 6.          Geheimhoudingsplicht

6.1                   Verwerker is verplicht tot geheimhouding van alle persoonsgegevens die door verwerkingsverantwoordelijke aan verwerker worden verstrekt en/of verwerker zelf verzamelt in het kader van deze verwerkersovereenkomst. Verwerker draagt ervoor zorg dat de tot het verwerken van de persoonsgegevens gemachtigde personen, contractueel verplicht zijn tot geheimhouding van de persoonsgegevens waarvan hij of zij kennisneemt.

6.2                   Deze geheimhoudingsplicht is niet van toepassing voor zover verwerkingsverantwoordelijke uitdrukkelijke toestemming heeft gegeven om de informatie aan derden te verschaffen, indien het verstrekken van de informatie aan derden logischerwijs noodzakelijk is gezien de aard van de verstrekte opdracht en de uitvoering van deze verwerkersovereenkomst, of indien er een wettelijke verplichting bestaat om de informatie aan een derde te verstrekken.

6.3                   In dit kader wordt tevens verwezen naar artikel 6 van de algemene voorwaarden van MARV-Websolutions.

Artikel 7.          Meldplicht datalekken

7.1                   Verwerker stelt verwerkingsverantwoordelijke zonder onredelijke vertraging, doch uiterlijk binnen 48 uur, op de hoogte van een inbreuk in verband met persoonsgegevens zoals bedoeld in artikel 4 lid 12 van de AVG (hierna: “datalek”). Verwerker spant zich naar beste kunnen in om ervoor te zorgen dat deze verstrekte informatie volledig, correct en accuraat is. Daarbij zal verwerker redelijke maatregelen treffen om de gevolgen van het datalek te beperken en verdere en toekomstige datalekken te voorkomen.

7.2                   Indien wet- en/of regelgeving dit vereist zal verwerker zijn medewerking verlenen aan het informeren van de relevante autoriteiten en/of betrokkenen. Verwerkingsverantwoordelijke beoordeelt zelf of hij de toezichthoudende autoriteiten en/of betrokkenen zal informeren of niet. Verwerkingsverantwoordelijke draagt hiervoor de verantwoordelijkheid.

7.3                   Verwerker zal bijstand verlenen aan verwerkingsverantwoordelijke, rekening houdend met de aard van de verwerking en de hem ter beschikking staande informatie, ten aanzien van het datalek.

7.4                   De kennisgeving aan de verwerkingsverantwoordelijke omvat, voor zover op dat moment bekend, in ieder geval:

  1. de aard en (vermeende) oorzaak van het datalek;
  2. de (te verwachten) gevolgen van het datalek;
  3. welke categorieën persoonsgegevens zijn getroffen door het datalek;
  4. of en hoe de betreffende persoonsgegevens waren beveiligd;
  5. de (voorgestelde) oplossing om de gevolgen van het datalek te beperken of verdere datalekken te voorkomen;
  6. de reeds ondernomen maatregelen;
  7. de categorieën betrokkenen;
  8. het (geschatte) aantal betrokkenen;
  9. (afwijkende) contactgegevens voor de opvolging van de melding.

 

Artikel 8.          Afhandeling verzoeken van betrokkenen

8.1                   In het geval dat een betrokkene een verzoek met betrekking tot zijn persoonsgegevens richt aan verwerker, zal verwerker het verzoek doorsturen aan verwerkingsverantwoordelijke en de betrokkene hiervan op de hoogte stellen. Verwerkingsverantwoordelijke zal het verzoek vervolgens verder zelfstandig afhandelen.

8.2                   In het geval dat een betrokkene een verzoek tot uitoefening van een van zijn wettelijke rechten richt aan verwerkingsverantwoordelijke zal verwerker, indien verwerkingsverantwoordelijke dit verlangt, medewerking verlenen voor zover dit mogelijk en redelijk is. Verwerker mag hiervoor redelijke kosten bij verwerkingsverantwoordelijke in rekening brengen.

Artikel 9.          Beveiligingsmaatregelen

9.1                   Verwerker zal zich inspannen om passende technische en organisatorische maatregelen te nemen om de persoonsgegevens, welke worden verwerkt ten dienste van verwerkingsverantwoordelijke, te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking.

9.2                   Verwerker zal op verzoek een overzicht van de beveiligingsmaatregelen verstrekken. Verwerker heeft in ieder geval de volgende maatregelen genomen:

  1. logische toegangscontrole, gebruikmakend van wachtwoorden of keys;
  2. fysieke maatregelen voor toegangsbeveiliging;
  3. updates;
  4. firewall en spam beveiliging op de mail via de hosting partij.

9.3                   Bij verandering van beveiligingsmaatregelen zal verwerker dit melden aan verwerkingsverantwoordelijke.

9.4                   Verwerker staat er niet voor in dat de beveiliging onder alle omstandigheden doeltreffend is. Verwerker zal zich inspannen de beveiliging te laten voldoen aan een niveau dat, gelet op de stand van de techniek, de gevoeligheid van de persoonsgegevens en de aan het treffen van de beveiliging verbonden kosten, niet onredelijk is.

9.5                   Verwerkingsverantwoordelijke stelt enkel persoonsgegevens aan verwerker ter beschikking voor verwerking, indien zij zich ervan heeft verzekerd dat de vereiste beveiligingsmaatregelen zijn getroffen. Verwerkingsverantwoordelijke is verantwoordelijk voor de naleving van de door partijen afgesproken maatregelen.

9.6                   Verwerker mag de beveiligingsmaatregelen op ieder moment eenzijdig aanpassen. Zij zal verwerkingsverantwoordelijke schriftelijk op de hoogte stellen van aanpassingen.

9.7                   Mocht de verwerkingsverantwoordelijke aanvullende specifieke maatregelen verlangen dan vindt hierover overleg plaats tussen verwerkingsverantwoordelijke en verwerker.

Artikel 10.        Controle

10.1                 Verwerkingsverantwoordelijke heeft het recht de naleving van de verplichtingen van verwerker in deze verwerkersovereenkomst te laten controleren. Verwerkingsverantwoordelijke kan dit maximaal eenmaal per jaar laten controleren door een onafhankelijke derde die aan geheimhouding gebonden is, in geval sprake is van een redelijk, schriftelijk gecommuniceerd en gegrond vermoeden van overtreding van deze verwerkersovereenkomst. Deze door verwerkingsverantwoordelijke geïnitieerde controle vindt niet eerder plaats dan vier weken na voorafgaande aankondiging.

10.2                 Verwerker zal aan de controle meewerken en alle voor de controle redelijkerwijs relevante informatie en zijn medewerkers ter beschikking stellen voor de controle.

10.3                 Indien er in een jaar reeds een controle door een onafhankelijke derde is uitgevoerd, kan verwerker volstaan, in tegenstelling tot hetgeen is geregeld in lid 2 van dit artikel, met het geven van toegang tot de relevante gedeelten van het rapport, indien er binnen datzelfde jaar wederom om een controle van naleving van de verplichtingen van verwerker in de verwerkersovereenkomst wordt verzocht.

10.4                 Verwerker en verwerkingsverantwoordelijke besluiten gezamenlijk over de datum, het tijdstip en de omvang van de controle.

10.5                 De redelijke kosten voor het meewerken aan de controle worden door de verwerkingsverantwoordelijke gedragen, met dien verstande dat de kosten voor de in te huren onafhankelijke derde te allen tijde door verwerkingsverantwoordelijke zullen worden gedragen.

10.6                 De bevindingen naar aanleiding van de uitgevoerde controle zullen door partijen in overleg worden beoordeeld. Naar aanleiding daarvan zullen wijzigingen al dan niet worden doorgevoerd door één van de partijen of door beide partijen gezamenlijk.

10.7                 De controle en de resultaten daarvan zullen door de verwerkingsverantwoordelijke vertrouwelijk worden behandeld.

Artikel 11.        Aansprakelijkheid

11.1                 In het kader van aansprakelijkheid wordt verwezen naar de algemene voorwaarden van MARV-Websolutions, artikel 7 en 10, met onderstaande aanvullende paragrafen:

11.2                 Onder indirecte schade wordt verstaan alle schade die geen directe schade is en daarmee in ieder geval, maar niet beperkt tot, gevolgschade, gederfde winst, gemiste besparingen, verminderde goodwill, schade door bedrijfsstagnatie, schade door het niet bepalen van marketingdoeleinden, schade verband houdende met het gebruik van door verwerkingsverantwoordelijke voorgeschreven gegevens of databestanden, of verlies, verminking of vernietiging van gegevens of databestanden.

11.3                 De in dit artikel bedoelde uitsluitingen en beperkingen komen te vervallen indien en voor zover de schade het gevolg is van opzet of bewuste roekeloosheid van verwerker.

Artikel 12.        Beëindiging en wijziging verwerkersovereenkomst

12.1                 Deze verwerkersovereenkomst komt tot stand doordat verwerkingsverantwoordelijke deze (al dan niet digitaal) aanvaardt en zal voortduren voor de duur van de overeenkomst en bij gebreke daarvan voor de duur van de samenwerking.

12.2                 Wijziging van deze verwerkersovereenkomst kan slechts schriftelijk plaatsvinden en vereist instemming van beide partijen.

12.3                 Partijen treden met elkaar in overleg over wijzigingen in deze verwerkersovereenkomst als een wijziging in wet- of regelgeving daartoe aanleiding geeft. Partijen verlenen te allen tijde hun volledige medewerking om deze verwerkersovereenkomst aan te passen en geschikt te maken voor eventuele nieuwe of veranderde privacywetgeving.

12.4                 Indien de overeenkomst eindigt, eindigt deze verwerkersovereenkomst van rechtswege. Bij de beëindiging van de verwerkersovereenkomst zal verwerker zonder onredelijke vertraging, op verzoek en op kosten van verwerkingsverantwoordelijke de persoonsgegevens zoals deze zich op de infrastructuur (onder beheer) van verwerker bevinden, terugbezorgen aan verwerkingsverantwoordelijke.

12.5                 Verwerker zal alle persoonsgegevens van verwerkingsverantwoordelijke zo spoedig mogelijk na beëindiging van de verwerkersovereenkomst wissen, inclusief eventuele kopieën, tenzij verwerkers wettelijk verplicht is deze gegevens te bewaren.

Artikel 13.        Toepasselijk recht en geschillenbeslechting

13.1                 De verwerkersovereenkomst en de uitvoering daarvan worden beheerst door Nederlands recht.

13.2                 Alle geschillen, welke tussen partijen mochten ontstaan in verband met de verwerkersovereenkomst, zullen worden voorgelegd aan de bevoegde rechter van het arrondissement waarin verwerker gevestigd is.