Data Verwerkingsovereenkomst

Inhoudsopgave
Algemene afspraken:
  • Verwerker en Verwerkingsverantwoordelijke zijn een samenwerking aangegaan op het gebied van business intelligence support diensten (hierna te noemen Diensten) waarbij de Verwerkingsverantwoordelijke beschikt over persoonsgegevens van diverse betrokkenen op basis van een overeenkomst gesloten tussen Partijen betreffende de Diensten.
  • De Verwerkingsverantwoordelijke bepaalde vormen van verwerking wil laten verrichten door de Verwerker, waarbij de Verwerkingsverantwoordelijke het doel en de middelen aanwijst.
  • De Verwerker tevens bereid is de wettelijk verplichte maatregelen omtrent beveiliging en andere aspecten van de Algemene Verordening Gegevensbescherming (hierna: AVG) te nemen, voor zover dit binnen zijn macht ligt, en voor de uitvoering van deze Verwerkersovereenkomst hebben de begrippen ‘verwerken’ of ‘verwerking’ en ‘betrokkene’dezelfde betekenis als in de AVG.
  • Partijen, mede gelet op het vereiste uit artikel 28 lid 3 AVG, hun rechten en plichten schriftelijk wensen vast te leggen in deze verwerkersovereenkomst (hierna: Verwerkersovereenkomst).
Artikel 1 – Toepasselijkheid en duur
  1. Deze overeenkomst is van toepassing op iedere verwerking die door de Verwerker wordt gedaan in het kader van de overeengekomen Diensten die de Verwerker levert aan de Verantwoordelijke en komt tot stand door ondertekening van Partijen en op de datum van de laatste ondertekening.
  2. Deze overeenkomst treed in werking op de ondertekeningsdatum en eindigt op het moment dat Verwerker geen persoonsgegevens meer onder zich heeft die in het kader van onze samenwerking werden verwerkt.
  3. Deze Verwerkersovereenkomst zal automatisch van rechtswege eindigen op hetzelfde moment dat de geleverde Diensten door Verwerker om welke reden dan ook is geeindigd. Mocht een overeenkomst of opdracht op een later moment verlengd worden, dan zal deze Verwerkersovereenkomst herleven met dezelfde duur als de overeenkomst gesloten tussen Partijen.
  4. Zodra de Verwerkersovereenkomst, om welke reden en op welke wijze dan ook, is beëindigd, zal Verwerker – naar keuze van Verwerkingsverantwoordelijke – alle persoonsgegevens die bij haar aanwezig zijn in originele of kopievorm retourneren aan Verwerkingsverantwoordelijke, en/of deze originele persoonsgegevens en eventuele kopieën daarvan verwijderen en/of vernietigen.
Artikel 2 – Doeleinden van verwerking
  1. Verwerker verbindt zich onder de voorwaarden van deze Verwerkersovereenkomst in opdracht van Verwerkingsverantwoordelijke persoonsgegevens te verwerken. Verwerking zal uitsluitend plaatsvinden in het kader van het aanbieden en beheren van de Diensten zoals geleverd door Verwerker voor Verwerkingsverantwoordelijke, verbindingen maken tussen data systemen van de Verantwoordelijke, om deze vervolgens in een (nieuw) data systeem te zetten, en deze gegevens te analyseren zoals overeengekomen tussen Partijen. De Verwerker bouwt vervolgens een platform voor de Verwerkingsverantwoordelijke, plus die doeleinden die daarmee redelijkerwijs samenhangen of die met nadere instemming worden bepaald.
  2. De persoonsgegevens die door Verwerker in het kader van de werkzaamheden als bedoeld in het vorige lid worden verwerkt en de categorieën van de betrokkenen van wie deze afkomstig zijn, zijn apart opgenomen in overeenkomst gesloten tussen Partijen betreffende de Diensten, alsmede in Bijlage 1.
  3. Verwerker zal de persoonsgegevens niet voor enig ander doel verwerken dan zoals door Verwerkingsverantwoordelijke is vastgesteld en zal het beveiligingsprotocol hanteren zoals opgenomen in deze Overeenkomst. Verwerkingsverantwoordelijke zal Verwerker op de hoogte stellen van de verwerkingsdoeleinden voor zover deze niet reeds in deze Verwerkersovereenkomst zijn genoemd.
  4. De in opdracht van Verwerkingsverantwoordelijke te verwerken persoonsgegevens blijven eigendom van Verwerkingsverantwoordelijke en/of de betreffende betrokkenen.
Artikel 3 – Verplichtingen Verwerker
  1. Ten aanzien van de in artikel 1 genoemde verwerkingen zal Verwerker zorg dragen voor de naleving van de toepasselijke wet- en regelgeving, waaronder in ieder geval begrepen de wet- en regelgeving op het gebied van de bescherming van persoonsgegevens, zoals de AVG.
  2. De Verwerker zal in het kader van de uitvoering van de werkzaamheden volgens de instructie en onder verantwoordelijkheid van de Verwerkingsverantwoordelijke persoonsgegevens verwerken. Het is de Verwerker niet toegestaan de van de Verwerkingsverantwoordelijke verkregen persoonsgegevens voor een ander doel te verwerken dan in het kader van de Diensten die Verwerker levert aan de Verwerkingsverantwoordelijke.
  3. Verwerker zal Verwerkingsverantwoordelijke, op diens eerste verzoek daartoe, informeren over de door haar genomen maatregelen aangaande haar verplichtingen onder deze Verwerkersovereenkomst.
  4. De verplichtingen van de Verwerker die uit deze Verwerkersovereenkomst voortvloeien, gelden ook voor degenen die persoonsgegevens verwerken onder het gezag van Verwerker, waaronder begrepen maar niet beperkt tot werknemers, in de ruimste zin van het woord.
  5. De Verwerker zal de Verwerkingsverantwoordelijke onmiddellijk in kennis stellen indien naar zijn mening een instructie van de Verwerkingsverantwoordelijke in strijd is met de in lid 1 bedoelde wetgeving.
  6. Verwerker zal, voor zover dat binnen haar macht ligt, bijstand verlenen aan Verwerkingsverantwoordelijke ten behoeve van het uitvoeren van gegevens-beschermings-effectbeoordelingen (PIA’s).
  7. De Verwerker zal conform artikel 30 AVG een register van alle categorieën van verwerkingsactiviteiten voeren, die zij ten behoeve van Verwerkingsverantwoordelijke verricht onder deze Verwerkersovereenkomst indien noodzakelijk. Op verzoek zal de Verwerker de Verwerkingsverantwoordelijke hier inzage in verschaffen.
  8. De persoonsgegevens worden door Verwerker niet langer bewaard dan noodzakelijk is voor de uitvoering van deze Verwerkersovereenkomst of om een op hen rustende wettelijke verplichting na te komen.
  9. Verwerker stelt de Verwerkingsverantwoordelijke ten allen tijde in staat om binnen de wettelijke termijnen te voldoen aan de verplichtingen op grond van de AVG, meer in het bijzonder de rechten van betrokkenen. Deze rechten kunnen bestaan uit een verzoek om inzage, verbetering, aanvulling, verwijdering of afscherming, bezwaar maken tegen de verwerking van de persoonsgegevens en een verzoek tot overdraagbaarheid van de eigen persoonsgegevens.
Artikel 4 – Doorgifte van persoonsgegevens

Verwerker mag de persoonsgegevens verwerken in landen binnen de Europese Unie. Doorgifte naar landen buiten de Europese Unie is verboden.

Artikel 5 - Verdeling van verantwoordelijkheid
  1. De toegestane verwerkingen zullen door medewerkers van Verwerker worden uitgevoerd binnen een geautomatiseerde omgeving.
  2. Verwerker is louter verantwoordelijk voor de verwerking van de persoonsgegevens onder deze Verwerkersovereenkomst, overeenkomstig de instructies van Verwerkingsverantwoordelijke en onder de uitdrukkelijke (eind-)verantwoordelijkheid van Verwerkingsverantwoordelijke. Voor de overige verwerkingen van persoonsgegevens, waaronder in ieder geval begrepen, maar niet beperkt tot, de verzameling van de persoonsgegevens door de Verwerkingsverantwoordelijke, verwerkingen voor doeleinden die niet door Verwerkingsverantwoordelijke aan Verwerker zijn gemeld, verwerkingen door derden en/of voor andere doeleinden, is Verwerker uitdrukkelijk niet verantwoordelijk.
  3. Verwerkingsverantwoordelijke garandeert dat de inhoud, het gebruik en de opdracht tot de verwerkingen van de persoonsgegevens zoals bedoeld in deze Verwerkersovereenkomst niet onrechtmatig zijn en geen inbreuk maken op enig recht van derden.
Artikel 6 – Inschakelen van derden of onderaannemers
  1. Verwerkingsverantwoordelijke verleent Verwerker hierbij een algemene toestemming om bij de toegestande verwerking derden (subverwerkers) in te schakelen. Op verzoek van de Verwerkingsverantwoordelijke zal Verwerker Verwerkingsverantwoordelijke zo spoedig mogelijk informeren over de door haar ingeschakelde subverwerkers.
  2. Verwerkingsverantwoordelijke mag bezwaar maken indien het gebruik van een specifieke gemelde derde onaanvaardbaar voor haar is.
  3. Verwerker zorgt er in ieder geval voor dat deze derden schriftelijk ten minste dezelfde plichten op zich nemen als tussen Verwerkingsverantwoordelijke en Verwerker zijn overeengekomen alsmede contractueel bepalen dat eventuele onderaannemers dezelfde plichten opnemen als tussen de Verwerkingsverantwoordelijke en Verwerker.
  4. Verwerker staat in voor een correcte naleving van de plichten uit deze Verwerkersovereen-komst door deze derden.
Artikel 7 – Beveiliging
  1. Verwerker zal zich inspannen voldoende technische en organisatorische maatregelen te nemen met betrekking tot de te verrichten verwerkingen van persoonsgegevens, tegen verlies of tegen enige vorm van onrechtmatige verwerking (zoals onbevoegde kennisname, aantasting, wijziging of verstrekking van de persoonsgegevens).
  2. Verwerker staat er niet voor in dat de beveiliging onder alle omstandigheden doeltreffend is. Indien een uitdrukkelijk omschreven beveiliging in de Verwerkersovereenkomst ontbreekt, zal Verwerker zich inspannen de beveiliging te laten voldoen aan een niveau dat, gelet op de stand van de techniek, de aard, omvang en de context van de verwerkingen, de doeleinden en het beoogd gebruik van de Diensten, de verwerkingsrisico’s, de gevoeligheid van de persoonsgegevens en de aan het treffen van de beveiliging verbonden kosten, niet onredelijk is.
  3. Verwerkingsverantwoordelijke stelt enkel persoonsgegevens aan Verwerker ter beschikking voor verwerking, indien zij zich ervan heeft verzekerd dat de vereiste beveiligingsmaatregelen zijn getroffen. Verwerkingsverantwoordelijke is verantwoordelijk voor de naleving van de door Partijen afgesproken maatregelen.
  4. Verwerker kan wijzigingen aanbrengen in de getroffen beveiligingsmaatregelen indien dat naar haar oordeel noodzakelijk is om een passend beveiligingsniveau te blijven bieden. De door Verwerker gemaakte kosten in verband met de aan te brengen wijzigingen in de beveiligingsmaatregelen zullen door Verwerkingsverantwoordelijke worden vergoed.
  5. De Verwerkingsverantwoordelijke heeft het recht om op kosten van de Verwerker de benodigde beveiligingsmaatregelen uit te (laten) voeren indien de Verwerker verzaakt om beveiligingsmaatregelen te nemen zoals bepaald in deze verwerkersovereenkomst, echter niet eerder dan dat de Verwerkingsverantwoordelijke de Verwerker in gebreke heeft gesteld, stellende een redelijke termijn, maar niet langer dan dertig dagen om alsnog aan zijn verplichting tot het nemen van beveiligingsmaatregelen te voldoen. Indien het spoedeisende belang dit met zich brengt, is de Verwerkingsverantwoordelijke gerechtigd de hiervoor bedoelde beveiligingsmaatregelen terstond, zonder nader ingebrekestelling, uit te (laten) voeren.
Artikel 8 – Meldplicht
  1. Verwerkingsverantwoordelijke is te allen tijde verantwoordelijk voor het melden van een beveiligingslek en/of datalek (waaronder wordt verstaan: een inbreuk op de beveiliging van persoonsgegevens die leidt tot een kans op nadelige gevolgen, dan wel nadelige gevolgen heeft, voor de bescherming van persoonsgegevens) aan de toezichthouder en/of betrokkenen. Om Verwerkingsverantwoordelijke in staat te stellen aan deze wettelijke plicht te voldoen, stelt Verwerker de Verwerkingsverantwoordelijke binnen een redelijke termijn op de hoogte van het beveiligingslek en/of het datalek onder vermelding van een samenvatting van het incident, van hoeveel personen de persoonsgegevens betrokken zijn bij het incident, een omschrijving van de groep personen die betrokken zijn bij het incident, wanneer het incident plaatsvond, wat de aard van de inbreuk is, om welke type persoonsgegevens het gaat en welke gevolgen de in inbreuk kan hebben voor de persoonlijke levenssfeer van de betrokkenen.
  2. Een melding dient altijd te worden gedaan, echter alleen als de gebeurtenis zich daadwerkelijk heeft voorgedaan
  3. De meldplicht behelst in ieder geval het melden van het feit dat er een lek is geweest. Daarnaast behelst de meldplicht:
    • de aard van de inbreuk in verband met persoonsgegevens, waar mogelijk onder vermelding van de categorieën van betrokkenen en persoonsgegevens in kwestie en, bij benadering, het aantal betrokkenen en persoonsgegevensregisters in kwestie;
    • de naam en de contactgegevens van de functionaris voor gegevensbescherming of een ander contactpunt waar meer informatie kan worden verkregen;
    • de waarschijnlijke gevolgen van de inbreuk in verband met persoonsgegevens;
    • de maatregelen die de Verwerker heeft voorgesteld of genomen om de inbreuk in verband met persoonsgegevens aan te pakken, waaronder, in voorkomend geval, de maatregelen ter beperking van de eventuele nadelige gevolgen daarvan.
  4. De Verwerker zal conform artikel 33 lid 5 AVG alle datalekken documenteren, met inbegrip van de feiten omtrent de inbreuk in verband met persoonsgegevens, de gevolgen daarvan en de genomen corrigerende maatregelen. Op verzoek zal de Verwerker de Verwerkingsverantwoordelijke hier inzage in verschaffen.
Artikel 9 – Afhandeling verzoeken van betrokkenen

In het geval dat een betrokkene een verzoek tot uitoefening van zijn/haar wettelijke rechten (artikel 1522 AVG) richt aan Verwerker, zal Verwerker het verzoek doorsturen aan de Verwerkingsverantwoordelijke en de betrokkene hiervan op de hoogte stellen. De Verwerkingsverantwoordelijke zal het verzoek verder zelfstandig afhandelen en blijft verantwoordelijk voor de afhandeling. Indien blijkt dat de Verwerkingsverantwoordelijke hulp nodig heeft van Verwerker voor de uitvoering van een verzoek van een betrokkene, zal Verwerker hieraan meewerken en zal Verwerker hiervoor kosten in rekening brengen.

Artikel 10 – Geheimhouding en vertrouwelijkheid
  1. Op alle persoonsgegevens die Verwerker van Verwerkingsverantwoordelijke ontvangt en/of zelf verzamelt in het kader van deze Verwerkersovereenkomst, rust een geheimhoudingsplicht jegens derden. Verwerker zal deze informatie niet voor een ander doel gebruiken dan waarvoor zij deze heeft verkregen, zelfs niet wanneer deze in een zodanige vorm is gebracht zodat deze niet tot betrokkenen herleidbaar is.
  2. Deze geheimhoudingsplicht is niet van toepas-sing voor zover Verwerkingsverantwoordelijke uitdrukkelijke toestemming heeft gegeven om de informatie aan derden te verschaffen, indien het verstrekken van de informatie aan derden logischerwijs noodzakelijk is gezien de aard van de verstrekte opdracht en de uitvoering van deze Verwerkersovereenkomst, of indien er een wettelijke verplichting bestaat om de informatie aan een derde te verstrekken.
  3. De Verwerker zal de informatie op dusdanige wijze opslaan, dat onbevoegden hiertoe geen toegang hebben.
  4. Verwerker zal ervoor zorgen dat haar personeelsleden en/of voor haar werkzame derden op de hoogte zijn van bovenstaande verplichtingen en deze stipt zullen naleven. Verwerker draagt er zorg voor, dat bij de werkzaamheden betrokken werknemers en derden contractueel tot geheimhouding verplicht zijn.
Artikel 11 – Audit
  1. Verwerkingsverantwoordelijke heeft het recht om toezicht te houden op de wijze waarop de Verwerker invulling geeft aan de werkzaamheden van de Verwerker. Verwerkingsverantwoordelijke heeft het recht om maatregelen te treffen, teneinde de prestaties van de Ver-werker op betrouwbare wijze te meten en te beoordelen door middel van een audit. Tevens is de Verwerkingsverantwoordelijke bevoegd te onderzoeken, al dan niet ter plaatse, of er zich ten opzichte van de initiële beoordeling van de Verwerker geen belangrijk wijzigingen van de feiten of omstandigheden hebben voorgedaan, die van invloed kunnen zijn op de (continuering van) de werkzaamheden.
  2. Deze audit mag tevens plaatsvinden bij een concreet vermoeden van misbruik van persoonsgegevens, en zal Partijen overleggen gezamenlijk over de datum waarop deze audit zal plaatsvinden.
  3. Verwerker zal aan de audit meewerken en alle voor de audit redelijkerwijs relevante informatie, inclusief ondersteunende gegevens zoals systeemlogs, en medewerkers zo tijdig mogelijk ter beschikking stellen.
  4. De bevindingen naar aanleiding van de uitgevoerde audit zullen door Partijen in onderling overleg worden beoordeeld en, naar aanleiding daarvan, al dan niet worden doorgevoerd door één van de Partijen of door beide Partijen gezamenlijk.
  5. De personen die een audit uitvoeren, zullen zicht conformeren aan de beveiligingsprocedures die bij de Verwerker van kracht zijn, voor zover deze beveiligingsprocedures aan de Verwerkingsverantwoordelijke bekend zijn gemaakt.
  6. De redelijke kosten van het inzetten van de auditors en eigen personeel van de Verwerkingsverantwoordelijke zijn voor rekening voor de Verwerkingsverantwoordelijke. De Verwerker is in verband daarmee alleen verantwoordelijk voor zijn eigen personeelskosten.
Artikel 12 – Aansprakelijkheid en vrijwaring
  1. Partijen komen uitdrukkelijk overeen dat ten aanzien van aansprakelijkheid de bepaling uit de overeenkomst gesloten tussen Partijen betreffende de Diensten geldt.
  2. Verwerkingsverantwoordelijke staat ervoor in dat de in overeenkomst betreffende de levering van de Diensten en Bijlage 1 van deze Verwerkersovereenkomst persoonsgegevens en categorieën betrokkenen volledig en correct zijn, en vrijwaart Verwerker voor enige gebreken en aanspraken die resulteren uit een incorrecte weergave door Verwerkingsverantwoordelijke.
  3. De maatregelen zoals opgenomen in Bijlage 1 bieden geen garantie of zekerheid dat elke vorm van ongeautoriseerde toegang, gebruik, of ongewenst verlies van persoonsgegevens zal worden voorkomen.
Artikel 13 – Slotbepalingen
  1. Partijen mogen deze overeenkomst alleen wijzigen met wederzijdse instemming.
  2. De Verwerkersovereenkomst en de uitvoering daarvan worden beheerst door Nederlands recht.
  3. Alle geschillen, welke tussen Partijen mochten ontstaan in verband met de Verwerkersovereenkomst, zullen worden voorgelegd aan de bevoegde rechter voor het arrondissement waarin Verwerker gevestigd is.