Verwerkersovereenkomst als bijlage (hoofd)overeenkomst of algemene voorwaarden

Algemeen

–              Indien Vervloet & Co Gorinchem B.V. bij de uitoefening van een overeenkomst met een derde persoonsgegevens verwerkt, zijn in aanvulling op de algemene voorwaarden, onderstaande artikelen van toepassing.

–              Bij de verwerking van Persoonsgegevens kan (naam bedrijf) worden aangemerkt als Verwerkingsverantwoordelijke, of indien (naam bedrijf) de Persoonsgegevens ten behoeve van een derde partij verwerkt als Verwerker. Leverancier (of klant) vervult (afhankelijk van de hoedanigheid waarin de Opdrachtgever Persoonsgegevens verwerkt) de rol van Verwerker of sub-verwerker;

–              De Verwerkingsverantwoordelijke wil bepaalde vormen van verwerking laten verrichten door de Verwerker, waarbij de Verwerkingsverantwoordelijke het doel en de middelen aanwijst;

–              De Verwerker is bereid om deze werkzaamheden te verrichten;

–              De Verwerker is tevens bereid verplichtingen omtrent beveiliging en andere aspecten van de geldende privacywetgeving, waaronder in ieder geval de Algemene Verordening Gegevensbescherming, hierna te noemen: “AVG”, te verstaan (ingangsdatum 25 mei 2018), na te komen.

Artikel 1. Doeleinden van verwerking

  • Deze verwerkersovereenkomst maakt, net als de algemene voorwaarden van Vervloet & Co Gorinchem B.V., onderdeel uit van de hoofdovereenkomst en alle toekomstige overeenkomsten tussen partijen.

 

1.2.        Door de overeengekomen hoofdovereenkomst heeft Verwerkingsverantwoordelijke aan Verwerker de opdracht gegeven om persoonsgegevens te verwerken. Verwerker verbindt zich onder de voorwaarden van deze verwerkersovereenkomst in opdracht van de Verwerkingsverantwoordelijke persoonsgegevens te verwerken. Verwerker verwerkt de persoonsgegevens slechts in het kader van de uitvoering van de Hoofdovereenkomst.

1.3.        De Verwerker verwerkt alleen die persoonsgegevens zoals verder gespecificeerd in Annex 1. Verwerker voert deze verwerkingshandelingen alleen uit met betrekking tot de uit de Hoofdovereenkomst voortvloeiende en in deze Verwerkersovereenkomst of anderszins goedgekeurde met voorafgaande schriftelijke toestemming van de Verantwoordelijke nader beschreven aard en doeleinden.

1.4          Verwerker zal de persoonsgegevens niet, behoudens wettelijke verplichtingen, voor enig ander doel verwerken dan zoals door de Verwerkingsverantwoordelijke is vastgesteld. De Verwerkingsverantwoordelijke zal Verwerker op de hoogte stellen van de verwerkingsdoeleinden voor zover deze niet reeds in deze Verwerkersovereenkomst zijn genoemd.

1.5.        Alle rechten op de in opdracht van de Verwerkingsverantwoordelijke te verwerken persoonsgegevens blijven bij de Verwerkingsverantwoordelijke en/of de betreffende betrokkenen.

Artikel 2. Verplichtingen Verwerker

2.1          Verwerker zal zorg dragen voor naleving van de te dezen op enig moment toepasselijke wet- en regelgeving, waaronder in ieder geval begrepen de wet- en regelgeving op het gebied van de bescherming van persoonsgegevens, zoals de AVG/GDPR.

2.2          Verwerker stelt de Verwerkingsverantwoordelijke in kennis indien naar zijn mening een instructie inbreuk oplevert op enige wet- en regelgeving op het gebied van gegevensbescherming.

2.3.        De Verwerker verwerkt de persoonsgegevens uitsluitend op basis van schriftelijke instructies van de Verwerkingsverantwoordelijke, onder meer met betrekking tot doorgiften van persoonsgegevens aan een derde land of een internationale organisatie, tenzij een wettelijk voorschrift hem tot verwerking verplicht.

2.4          Verwerker zal de Verwerkingsverantwoordelijke, op diens eerste verzoek daartoe, informeren over de door haar genomen maatregelen aangaande haar verplichtingen onder deze Verwerkersovereenkomst, alsmede over de naleving door Verwerker van haar verplichtingen op grond van de toepasselijk wet- en regelgeving zoals hiervoor bedoeld.

2.5.        De Verwerker neemt geen andere verwerker in dienst zonder voorafgaande specifieke of algemene schriftelijke toestemming van de Verwerkingsverantwoordelijke.

2.6          De verplichtingen van de Verwerker die uit deze Verwerkersovereenkomst voortvloeien, gelden ook voor degenen die persoonsgegevens verwerken onder het gezag van Verwerker, waaronder begrepen maar niet beperkt tot werknemers, in de ruimste zin van het woord.

Artikel 3. Doorgifte van persoonsgegevens

3.1          Verwerker mag na schriftelijke instructies van de Verwerkingsverantwoordelijke, de persoonsgegevens verwerken in landen binnen de Europese Unie. Doorgifte naar landen buiten de Europese Unie is verboden, tenzij dit land volgens de Europese Commissie een adequaat niveau van gegevensbescherming biedt en de Europese Commissie zodoende een adequaatheidsbesluit heeft aangenomen zoals bedoeld in artikel 45 AVG.

3.2.        Indien geen sprake is van een door de Europese Commissie afgegeven adequaatheidsbesluit in de zin van lid 1, dan kan doorgifte naar een land buiten de Europese Unie slechts plaatsvinden, indien de Verwerkingsverantwoordelijke of de Verwerker passende waarborgen biedt en betrokkenen over afdwingbare rechten en doeltreffende rechtsmiddelen beschikken zoals bedoeld in artikel 46 en 47 AVG.

3.3.        Bij ontstentenis van een adequaatheidsbesluit overeenkomstig artikel 45 AVG of van passende waarborgen overeenkomstig artikel 46 en 47 AVG, kan een doorgifte van persoonsgegevens buiten de Europese Unie slechts plaatsvinden mits aan één van de voorwaarden zoals genoemd in artikel 49 lid 1 sub a tot en met g AVG is voldaan.

3.4.        Bij ontstentenis van een adequaatheidsbesluit overeenkomstig artikel 45 AVG of van passende waarborgen overeenkomstig artikel 46 en 47 AVG of van één van de voorwaarden zoals genoemd in artikel 49 lid 1 sub a tot en met g AVG, kan doorgifte van persoonsgegevens buiten de Europese Unie slechts plaatsvinden indien de doorgifte niet repetitief is, het gaat om een beperkt aantal betrokken personen, de doorgifte noodzakelijk is voor de dwingende gerechtvaardigde belangen van de verwerkingsverantwoordelijke die ze doorgeeft en de rechten van de betrokkene niet voorgaan, de Verwerkingsverantwoordelijke alle relevante omstandigheden in verband met de doorgifte heeft beoordeeld en op basis van die beoordeling passende waarborgen heeft getroffen. De Verwerkingsverantwoordelijke informeert de Autoriteit Persoonsgegevens over de doorgifte evenals de betrokkenen.

3.5          Verwerker zal in geval van doorgifte van persoonsgegevens naar een land buiten de Europese Unie de Verwerkingsverantwoordelijke melden om welk land of welke landen het gaat.

3.6.        Waar in dit artikel gesproken wordt over de Europese Unie, worden tevens de landen Liechtenstein, IJsland en Noorwegen begrepen.

Artikel 4. Verdeling van verantwoordelijkheid

4.1          De toegestane verwerkingen zullen door medewerkers van Verwerker worden uitgevoerd binnen een geautomatiseerde omgeving.

4.2.        De Verwerkingsverantwoordelijke en de Verwerker treffen maatregelen om ervoor te zorgen dat iedere natuurlijke persoon die handelt onder het gezag van de Verwerkingsverantwoordelijke of van de Verwerker en toegang heeft tot persoonsgegevens, deze slechts in opdracht van de Verwerkingsverantwoordelijke verwerkt, tenzij hij daartoe Unierechtelijk of lidstaatrechtelijk is gehouden.

4.3          Verwerker is louter verantwoordelijk voor de verwerking van de persoonsgegevens onder deze Verwerkersovereenkomst, overeenkomstig de instructies van de Verwerkingsverantwoordelijke en onder de uitdrukkelijke (eind-)verantwoordelijkheid van de Verwerkingsverantwoordelijke. Voor de overige verwerkingen van persoonsgegevens, waaronder in ieder geval begrepen, maar niet beperkt tot, de verzameling van de persoonsgegevens door de Verwerkingsverantwoordelijke, verwerkingen voor doeleinden die niet door de Verwerkingsverantwoordelijke aan de Verwerker zijn gemeld, verwerkingen door derden en/of voor andere doeleinden, is de Verwerker uitdrukkelijk niet verantwoordelijk.

4.4          De Verwerkingsverantwoordelijke garandeert dat de inhoud, het gebruik en de opdracht tot de verwerkingen van de persoonsgegevens zoals bedoeld in deze Overeenkomst, niet onrechtmatig is en geen inbreuk maken op enig recht van derden.

4.5         De Verwerkingsverantwoordelijke vrijwaart de Verwerker tegen elke rechtsvordering van derden, uit welke hoofde dan ook, in verband met de uitvoering van de Verwerkersovereenkomst en/of de diensten die Verwerker levert, tenzij de Verwerkingsverantwoordelijke bewijst dat de feiten die aan de aanspraak ten grondslag liggen uitsluitend aan de Verwerker toegerekend moeten worden en sprake is van opzet of grove nalatigheid.

Artikel 5. Beveiliging

5.1          De Verwerker en de Verwerkingsverantwoordelijke zullen passende technische- en organisatorische maatregelen nemen met betrekking tot de te verrichten verwerkingen van persoonsgegevens, tegen verlies of tegen enige vorm van onrechtmatige verwerking (zoals onbevoegde kennisname, aantasting, wijziging of verstrekking van de persoonsgegevens).

5.2         De onder punt 5.1. genoemde technische en organisatorische maatregelen omvatten in ieder geval de beveiligingsmaatregelen zoals opgenomen in Annex 2.

5.3         Indien een uitdrukkelijk omschreven beveiliging in de Verwerkersovereenkomst ontbreekt, zal de Verwerker de beveiliging laten voldoen aan een niveau dat, gelet op de stand van de techniek, de gevoeligheid van de persoonsgegevens en de aan het treffen van de beveiliging verbonden kosten, niet onredelijk is.

5.4          De Verwerkingsverantwoordelijke stelt enkel persoonsgegevens aan de Verwerker ter beschikking voor verwerking, indien zij zich er van heeft verzekerd dat de vereiste beveiligingsmaatregelen zijn getroffen. De Verwerkingsverantwoordelijke is verantwoordelijk voor de naleving van de door Partijen afgesproken maatregelen.

Artikel 6. Meldplicht

6.1          In het geval van een – risico op een – beveiligingslek en/of een datalek zal de Verwerker de Verwerkingsverantwoordelijke zonder onredelijke vertraging, doch in ieder geval binnen 24 uur na ontdekking informeren. De verwerkingsverantwoordelijke beoordeelt of zij de betrokkene zal informeren of niet, en staat voor die keuze in. De Verwerkingsverantwoordelijke deelt de inbreuk onverwijld aan betrokkene mee, indien de inbreuk in verband met persoonsgegevens waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van de betrokkene.

6.2          Een melding moet altijd worden gedaan.

6.3         De meldplicht behelst in ieder geval het melden van het feit dat er een lek is geweest.

Daarnaast behelst de meldplicht:

 

  • wat de (vermeende) oorzaak is van het lek; en
  • wie geïnformeerd is (zoals betrokkene zelf, Verwerkingsverantwoordelijke, toezichthouder).

6.4          De Verwerkingsverantwoordelijke meldt de inbreuk aan het bevoegde toezichthoudende autoriteit zonder onredelijke vertraging, doch uiterlijk binnen 72 uur na kennisname. De melding omvat onder meer de aard van de inbreuk en om welke en hoeveel betrokkene het gaat. Voorts worden de contactgegevens van de functionaris voor gegevensbescherming doorgegeven en wordt melding gemaakt van de waarschijnlijke gevolgen van de inbreuk. Tot slot worden de maatregelen die de Verwerkingsverantwoordelijke heeft voorgesteld of genomen om de inbreuk in verband met persoonsgegevens aan te pakken aan de toezichthoudende autoriteit doorgegeven.

6.5.        De Verwerkersverantwoordelijke beoordeelt of zij de betrokkene zal informeren en staat zelf voor die keuze in.

Artikel 7. Afhandeling verzoeken van betrokkenen

7.1          In het geval dat een betrokkene een verzoek tot inzage, zoals onder de AVG zijn vervat in de artikelen 15 t/m 21 AVG, richt aan de Verwerker, zal de Verwerker het verzoek doorsturen aan de Verwerkingsverantwoordelijke en zal de Verwerkingsverantwoordelijke het verzoek verder afhandelen. De Verwerker mag de betrokkene daarvan op de hoogte stellen.

Artikel 8. Geheimhouding en vertrouwelijkheid

8.1          Op alle persoonsgegevens die de Verwerker van de Verwerkingsverantwoordelijke ontvangt en/of zelf verzamelt in het kader van deze Verwerkersovereenkomst, rust een geheimhoudingsplicht jegens derden. De Verwerker dient zodoende vertrouwelijk om met alle ontvangen persoonsgegevens. De Verwerker zal deze informatie niet voor een ander doel gebruiken dan waarvoor zij deze heeft verkregen, zelfs niet wanneer deze in een zodanige vorm is gebracht zodat deze niet tot betrokkenen herleidbaar is. De Verwerker zal een zelfde geheimhoudingsverplichting opleggen aan haar medewerkers, althans personen die werkzaam zijn voor de Verwerker en die in het kader van die werkzaamheden toegang hebben tot de Persoonsgegevens.

8.2          Deze geheimhoudingsplicht is niet van toepassing voor zover de Verwerkingsverantwoordelijke uitdrukkelijke toestemming heeft gegeven om de informatie aan derden te verschaffen, indien het verstrekken van de informatie aan derden logischerwijs noodzakelijk is gezien de aard van de verstrekte opdracht en de uitvoering van deze Verwerkersovereenkomst, of indien er een wettelijke verplichting bestaat om de informatie aan een derde te verstrekken.

Artikel 9. Audit

9.1          De Verwerker stelt de Verwerkingsverantwoordelijke desgewenst in de gelegenheid om de naleving door de Verwerker van de in deze Verwerkersovereenkomst genoemde verplichtingen te doen controleren door de Verwerkingsverantwoordelijke zelf dan wel door onafhankelijke auditors. De Verwerker zal de Verwerkingsverantwoordelijke alle gegevens en informatie verstrekken die deze redelijkerwijs nodig heeft voor de audit. De kosten voor het laten uitvoeren van audits zijn voor rekening van de Verwerkingsverantwoordelijke. Als uit de audit blijkt dat de Verwerker niet volledig voldoet aan zijn verplichtingen, zal de Verwerker de door de controle aangetoonde tekortkomingen op zijn eigen kosten beëindigen.

Artikel 10. Aansprakelijkheid 

10.1       De totale aansprakelijkheid van Verwerker voor alle (financiële) schade, boetes en kosten die Verwerkingsverantwoordelijke heeft en die rechtstreeks of indirect voortvloeien uit een tekortkoming door de Verwerker of derden in de nakoming van verplichtingen onder deze Verwerkersovereenkomst zijn beperkt zoals vermeld in de algemene voorwaarden.

 

Artikel 11. Duur en beëindiging

11.1       Deze Verwerkersovereenkomst is van toepassing zolang de Verwerker op grond van de Hoofdovereenkomst de persoonsgegevens voor de Verwerkingsverantwoordelijke verwerkt.

11.2       Indien en zodra deze Verwerkersovereenkomst eindigt, zal de Verwerker de documenten, computerschijven en andere gegevensdragers met daarop de Persoonsgegevens aan de Verwerkingsverantwoordelijke retourneren en bestaande kopieën verwijderen. Voor zover de Persoonsgegevens zijn opgenomen in een computersysteem en/of in een andere vorm waardoor deze redelijkerwijs niet kunnen worden teruggegeven, zal de Verwerker de Persoonsgegevens daaruit voor zover dit technisch mogelijk is, volledig verwijderen en een kopie van de Persoonsgegevens aan de Verwerkingsverantwoordelijke verstrekken.

11.3       Na beëindiging van deze Verwerkersovereenkomst blijven de bepalingen, die naar hun aard bestemd zijn om ook nadien van kracht te blijven, waaronder begrepen de geheimhoudingsverplichting en de vrijwaring, onverminderd van kracht.

Artikel 12. Toepasselijk recht en geschillenbeslechting

12.1       De Verwerkersovereenkomst en de uitvoering daarvan worden beheerst door Nederlands recht.

12.2       Alle geschillen, welke tussen Partijen mochten ontstaan in verband met de Verwerkersovereenkomst, zullen worden voorgelegd aan de bevoegde rechter voor het arrondissement waarin de Verwerkingsverantwoordelijke gevestigd is.

ANNEX 1

 

Let op; indien van toepassing verwijs naar overeenkomstige artikelen uit de Hoofdovereenkomst

Type/Categorie Betrokkene

 

Beschrijving van persoonsgegevens

 

 

Soort verwerking van persoons-gegevens

 

Doel(einden) van de verwerking van persoonsgegevens

 

Klanten,

Mederwerkers van klanten

Mogelijke klanten

 

 

 

 

Naam (initialen, achternaam)

Adres

Postcode

Woonplaats

Telefoonnummer

E-mailadres

Geboortedatum

Geslacht

Gegevens ID-bewijs (in verband met de Wwft)

Financiële gegevens, zowel zakelijk als privé

NAW-gegevens en BSN van personeelsleden van Verantwoordelijke

Salarisadministratie

Financiële administratie

Fiscale werkzaamheden

Verzorgen van rapportages

Advisering

 

De werkzaamheden, te beschouwen als de primaire dienstverlening, in het kader waarvan Verantwoordelijke een opdracht heeft verstrekt aan Verwerker;

Het onderhoud, waaronder updates en releases van het door Verwerker dan wel sub-verwerker aan Verantwoordelijke ter beschikking gestelde systeem;

Het gegevens- en technisch beheer, ook door een subverwerker

De hosting, ook door een subverwerker

ANNEX 2

De Verwerker heeft in ieder geval de volgende beveiligingsmaatregelen getroffen:

– Backup- en herstelprocedures (extern beheerd)

– Beveiliging van netwerkverbindingen (intern en extern beheerd)

– Bevoegdheden zijn functioneel toegewezen aan een beperkt aantal personen dat met de uitvoering van de verwerking is belast

– Encryptie van persoonsgegevens tijdens elektronische overdracht (systeem-naar-systeem koppelingen) naar externe partijen

– Beveiligingsbeleid

– Gedragscode

– Geheimhoudingsverklaringen in arbeidscontracten

– Indringeralarm

– Logische toegangscontrole door middel van wachtwoorden en/of persoonlijke toegangscodes

– Subverwerkersovereenkomsten met derden

– Veilige wijze van het opslaan van gegevensbestanden binnen het kantoornetwerk