Verwerkersovereenkomst

In deze Verwerkersovereenkomst worden de navolgende begrippen met een Begin- hoofdletter gebruikt. Onder deze begrippen wordt verstaan:

1.1   Verwerkersovereenkomst: de onderhavige overeenkomst;
1.2   Derden: Alle andere partijen en entiteiten dan Verwerker zelf, waaronder onderaannemers en leveranciers;
1.3   Overeenkomst: de tussen Partijen gesloten overeenkomst ter zake van het door Verwerker voor Opdrachtgever verrichten van diensten;
1.4   Persoonsgegevens: elk gegeven betreffende of herleidbaar tot een geïdentificeerde of identificeerbare natuurlijk persoon;
1.5   Verwerking: elke handeling of elk geheel van handelingen met betrekking tot Persoonsgegevens, waaronder bijvoorbeeld het verzamelen, vastleggen, bewaren, gebruiken, opvragen, ter beschikking stellen en vernietigen van Persoonsgegevens;
1.6   AVG: Algemene Verordening Gegevensbescherming;

2.1   De Verwerkersovereenkomst maakt integraal onderdeel uit van de tussen Partijen gesloten Overeenkomst en is te beschouwen als een aanvulling daarop dan wel wijziging daarvan.

2.2   De Verwerkersovereenkomst gaat in op de ingangsdatum van de Overeenkomst, of als dat eerder is, op het moment dat Verwerker de beschikking krijgt over Persoonsgegevens. De Verwerkersovereenkomst eindigt op het moment dat door Verwerker geen Persoonsgegevens meer worden verwerkt in het kader van de uitvoering van de Overeenkomst.

2.3   Verwerker zal binnen 6 maanden na afloop of (tussentijdse) beëindiging van de Overeenkomst alle door haar verwerkte Persoonsgegevens, die verband houden met de dienstverlening aan Opdrachtgever, overdragen aan Opdrachtgever of, uitsluitend op schriftelijk verzoek van Opdrachtgever, vernietigen en schriftelijk aan Opdrachtgever bevestigen dat alle Persoonsgegevens terug zijn overgedragen dan wel zijn vernietigd. Dit geldt voor (op) alle (plaatsen) door Verwerker verwerkte Persoonsgegevens, zoals bijvoorbeeld maar niet beperkt tot (kopieën van) fysieke documenten en (kopieën van) elektronisch vastgelegde Persoonsgegevens (in productiesystemen, mailboxen en fileservers enz).

2.4   Opdrachtgever kan een vertegenwoordiger aanwijzen om de vernietiging te controleren en Partijen komen overeen dat Opdrachtgever tot controle bij Verwerker kan overgaan.

3.1.   Verwerker verwerkt de Persoonsgegevens slechts in het kader van de uitvoering van de Overeenkomst, in opdracht van Opdrachtgever en in overeenstemming met de Overeenkomst en Verwerkersovereenkomst. De Verwerker zal de Persoonsgegevens in geen geval voor eigen doeleinden gebruiken. Verwerker is gehouden de instructies van Opdrachtgever in verband met het verwerken van Persoonsgegevens op te volgen.

3.2   Opdrachtgever behoudt te allen tijde zeggenschap over de Persoonsgegevens. Op verzoek van Opdrachtgever zal Verwerker Opdrachtgever dan ook steeds onmiddellijke toegang verlenen tot de Persoonsgegevens.

3.3   De Verwerking van Persoonsgegevens door Verwerker zal voldoen aan alle toepasselijke wet- en regelgeving terzake van de bescherming van Persoonsgegevens en de eventueel van tijd tot tijd van kracht zijnde interne voorschriften van Opdrachtgever in verband met het verwerken van Persoonsgegevens, voor zover aan Verwerker verstrekt.

4.1   Verwerker neemt alle passende technische en organisatorische beveiligingsmaatregelen om de Persoonsgegevens te beschermen tegen vernietiging, verlies of onrechtmatige verstrekking of andere onrechtmatige Verwerking, waaronder onnodig verzamelen en verdere Verwerking van Persoonsgegevens en vrijwaart Opdrachtgever tegen alle aanspraken hiermee verband houdende.

5.1   Opdrachtgever heeft het recht om audits uit te (laten) voeren om vast te stellen of Verwerker aan haar verplichtingen terzake de Verwerking van Persoonsgegevens uit hoofde van de Overeenkomst en deze Verwerkersovereenkomst voldoet. Deze audits kunnen zich onder meer richten op de procedures rondom autorisaties, logbestanden, opslag van gegevensdragers en de wijze waarop Persoonsgegevens worden verwerkt. Op eerste verzoek van Opdrachtgever zal Verwerker Opdrachtgever toegang verlenen tot de systemen waarmee Persoonsgegevens worden verwerkt en alle overige gegevens of systemen voor zover relevant voor voornoemde controle door Opdrachtgever of door een door Opdrachtgever aan te wijzen derde. Kosten voortvloeiende uit werkzaamheden die Verwerker dient uit te voeren als gevolg van de audit zijn voor Opdrachtgever.

6.1   Verwerker is verplicht tot geheimhouding van de Persoonsgegevens en andere zakelijke gegevens en data die zij van Opdrachtgever ontvangt of anderszins in het kader van de Overeenkomst verwerkt, ontvangt of genereert.  

7.1   Verwerker zal Opdrachtgever onverwijld en voorafgaand aan de verstrekking informeren indien een daartoe bevoegde (overheids)instantie een op de wet gebaseerd verzoek tot verstrekking van Persoonsgegevens heeft gedaan. Een en ander teneinde voorafgaande aan de verstrekking te overleggen tussen Partijen over de gegevensverstrekking.

7.2   Verwerker zal Opdrachtgever, onder meer in verband met de meldplicht datalekken, te allen tijde onmiddellijk en adequaat informeren indien zich een incident voordoet met betrekking tot de verwerking van de Persoonsgegevens. In geval van een incident zal Verwerker een beschrijving geven van het incident, de gevolgen daarvan en van de maatregelen om de gevolgen te verhelpen. Tevens zal Verwerker haar medewerking verlenen aan Opdrachtgever en de instructies van Opdrachtgever met betrekking tot dit incident opvolgen. Dit om Opdrachtgever in staat te stellen een adequaat onderzoek te verrichten naar het incident, een correcte reactie te formuleren en passende vervolgstappen te nemen ten aanzien van het incident. Als een onmiddellijke melding niet mogelijk is stelt Verwerker Opdrachtgever ten minste binnen 24 uur na ontdekking van het incident op de hoogte dat Opdrachtgever kan voldoen aan een termijn die wordt opgelegd door een bevoegde instantie en die van toepassing is op grond van wet- en regelgeving.

7.3   Verwerker zal Opdrachtgever op de hoogte houden van eventuele nieuwe ontwikkelingen rond het incident en van de maatregelen die de Verwerker treft om aan zijn kant de gevolgen van het incident te beperken en herhaling te voorkomen.

7.4   Melding van het incident bij de privacy toezichthouder geschiedt door Opdrachtgever. Verwerker zal niet zonder toestemming van Opdrachtgever het incident melden aan de privacy toezichthouder.

7.5   De term ‘incident’ als gebruikt in dit artikel 7 omvat, maar is niet beperkt tot: (i) elke ongeautoriseerde of onrechtmatige verwerking, verwijdering of verlies van Persoonsgegevens; (ii) elke inbreuk op de beveiliging en/of vertrouwelijkheid zoals bepaald in deze Verwerkersovereenkomst, die leidt tot een onrechtmatige Verwerking, verwijdering of verlies van Persoonsgegevens, of enige aanwijzing dat een dergelijke inbreuk zal plaatsvinden of heeft plaatsgevonden.

7.6   Het is Verwerker niet toegestaan enige mededeling te doen aan derden en/of de media. Eventuele vragen worden onmiddellijk doorgeleid aan Opdrachtgever.

7.7   Verwerker zal Opdrachtgever onmiddellijk op de hoogte stellen van een klacht of verzoek van een betrokkene met betrekking tot de Verwerking van Persoonsgegevens door Verwerker.

8.1   De Verwerker is aansprakelijk voor de schade voortvloeiende uit het niet-nakomen van deze Verwerkersovereenkomst alsmede de in de bij of krachtens de Algemene Verordening Gegevensbescherming (AVG) gegeven voorschriften, onverminderd de aansprakelijkheid op grond van andere regels.

9.1   Het is Verwerker zonder voorafgaande schriftelijke toestemming van Opdrachtgever niet toegestaan om haar verplichtingen met betrekking tot het bewerken van Persoonsgegevens uit te besteden aan derden. Voor zover deze toestemming wordt gegeven door Opdrachtgever aan Verwerker, dient sub-verwerker zich aan dezelfde voorwaarden te verbinden als Verwerker.

10.1   De verplichtingen van Verwerker die uit deze Verwerkersovereenkomst voortvloeien gelden onverminderd voor haar medewerkers, en eventuele door Verwerker gecontracteerde derden.

11.1   Ieder geschil tussen partijen ter zake van deze Verwerkersovereenkomst zal bij eerste aanleg worden voorgelegd aan de bevoegd rechter welke in de Overeenkomst is benoemd.

11.2   In geval van een geschil, geeft de meest gerede van partijen aan de andere partij schriftelijk te kennen, dat er sprake is van een geschil, alsmede een summiere opgave van hetgeen naar het oordeel van die partij het onderwerp van het geschil is.

11.3   Op deze Verwerkersovereenkomst is Nederlands recht van toepassing.