0
€ 0,00
0 items
Verwerkersovereenkomst De Theebutler
Contents
Artikel 1. Begrippen
Artikel 2. Voorwerp van deze Verwerkersovereenkomst 2
Artikel 3. Inwerkingtreding en duur 3
Artikel 4. Omvang verwerkingsbevoegdheid Verwerker 3
Artikel 5. Beveiliging van de Verwerking 3
Artikel 6. Geheimhouding door Personeel van Verwerker 4
Artikel 7. Subverwerker 4
Artikel 8. Bijstand vanwege rechten van Betrokkene 4
Artikel 9. Inbreuk in verband met Persoonsgegevens 4
Artikel 10. Terugbezorgen of wissen Persoonsgegevens 5
Artikel 11. Informatieverplichting en audit 5
Artikel 12. Aansprakelijkheid en vrijwaring 6
Artikel 13. Toepasselijk recht en bevoegdheid 6
Bijlage 1. De Verwerking van Persoonsgegevens 6
Bijlage 2. Passende technische en organisatorische maatregelen 7
DE ONDERGETEKENDEN:
en
OVERWEGENDE DAT:
A. Verwerker en Verwerkingsverantwoordelijke een overeenkomst hebben gesloten (de “Hoofdovereenkomst”) op grond waarvan Verwerker bepaalde diensten aan Verwerkingsverantwoordelijke levert en in dat kader (mede) persoonsgegevens verwerkt waarvoor Verwerkingsverantwoordelijke ‘verwerkingsverantwoordelijke’ in de zin van de Algemene Verordening Gegevensbescherming (“AVG”) is;
B. Partijen gelet op het bepaalde in artikel 28 lid 3 AVG de voorwaarden van de verwerking van de persoonsgegevens door Verwerker wensen vast te leggen in de onderhavige overeenkomst (de “Verwerkersovereenkomst”).
KOMEN OVEREEN:
Alle begrippen, zoals ‘persoonsgegeven’ en ‘verwerking’, die in deze Verwerkersovereenkomst worden gebruikt, hebben de betekenis die daar in de AVG aan is gegeven. In afwijking daarvan of in aanvulling daarop wordt onder de volgende begrippen in deze Verwerkersovereenkomst verstaan:
1.1 Betrokkene: degene op wie een Persoonsgegeven betrekking heeft.
1.2 Inbreuk in verband met Persoonsgegevens: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens.
1.3 Overeenkomst: de overeenkomst tussen Verwerkingsverantwoordelijke en Verwerker........................... van datum .....-.....-20..... met kenmerk .................... .
1.4 Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon, die Verwerker in het kader van de Overeenkomst ten behoeve van Verwerkingsverantwoordelijke verwerkt.
1.5 Verordening: Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van de Richtlijn 95/46/EG (algemene verordening gegevensbescherming).
1.6 Verwerkersovereenkomst: deze overeenkomst inclusief overwegingen en bijbehorende bijlagen.
1.7 Verwerking: een bewerking of een geheel van bewerkingen in het kader van de Overeenkomst met betrekking tot Persoonsgegevens, of een geheel van Persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen.
2.1 Deze Verwerkersovereenkomst is van toepassing op de verwerking van de persoonsgegevens door Verwerker in het kader van de uitvoering van de Hoofdovereenkomst. In geval van tegenstrijdigheid tussen de bepalingen uit deze Verwerkersovereenkomst en de bepalingen van de Hoofdovereenkomst, prevaleren de bepalingen van deze Verwerkersovereenkomst.
2.2 De aard en het doel van de Verwerking, het soort Persoonsgegevens en de categorieën van Persoonsgegevens, Betrokkenen en ontvangers zijn in Bijlage 1 omschreven.
2.3 Verwerker garandeert de toepassing van passende technische en organisatorische maatregelen, opdat de Verwerking aan de vereisten van de Verordening voldoet en de bescherming van de rechten van de Betrokkene is gewaarborgd. Verwerker garandeert te voldoen aan de vereisten van de toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens.
3.1 Deze Verwerkersovereenkomst treedt in werking op het moment waarop deze door Partijen is ondertekend.
3.2 Deze Verwerkersovereenkomst eindigt nadat en voor zover Verwerker alle Persoonsgegevens overeenkomstig artikel 10 heeft gewist of terugbezorgd.
3.3 Geen van Partijen kan deze Verwerkersovereenkomst tussentijds opzeggen.
3.4 In geval van beëindiging van de Hoofdovereenkomst en/of op eerste schriftelijke verzoek van Verwerkingsverantwoordelijke, zal Verwerker onmiddellijk (alle of een deel van) de persoonsgegevens vernietigen, dan wel aan Verwerkingsverantwoordelijke retourneren, zulks naar uitsluitende keuze van Verwerkingsverantwoordelijke, zonder kopieën daarvan achter te houden. Tevens zal Verwerker werknemers en/of sub-verwerkers instrueren om hetzelfde te doen.
3.5 Verwerker zal op eerste verzoek van Verwerkingsverantwoordelijke tevens verklaren dat de vernietiging als bedoeld in het voorgaande artikellid heeft plaatsgevonden.
4.1 Verwerker verwerkt de persoonsgegevens uitsluitend in opdracht en ten behoeve van
Verwerkingsverantwoordelijke. De verwerking geschiedt in overeenstemming met de schriftelijke instructies van Verwerkingsverantwoordelijke en in overeenstemming met de
AVG en eventuele overige toepasselijke wet- en regelgeving.
4.2 In geen geval verwerkt Verwerker de persoonsgegevens voor andere, eigen doeleinden.
4.3 Verwerker zal alle passende technische en organisatorische maatregelen treffen om de persoonsgegevens te beveiligen tegen vernietiging, verlies, vervalsing, niet toegelaten verspreiding of toegang, dan wel enige andere vorm van onrechtmatige verwerking, welke maatregelen een passend beveiligingsniveau dienen te garanderen gelet op de risico’s die de verwerking en de aard van de persoonsgegevens met zich meebrengen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging.
4.4 Verwerker erkent dat het waarborgen van een passend beveiligingsniveau voortdurend kan dwingen tot het treffen van aanvullende beveiligingsmaatregelen. Verwerker zal onverwijld voldoen aan alle redelijke verzoeken van Verwerkingsverantwoordelijke tot het treffen van aanvullende beveiligingsmaatregelen.
5.1 Partijen erkennen dat het waarborgen van een passend beveiligingsniveau voortdurend kan dwingen tot het treffen van aanvullende beveiligingsmaatregelen. Verwerker waarborgt een op het risico afgestemd beveiligingsniveau.
5.2 Indien en voor zover Verwerkingsverantwoordelijke daarom uitdrukkelijk schriftelijk verzoekt, zal Verwerker aanvullende maatregelen treffen met het oog op de beveiliging van de Persoonsgegevens.
5.3 Verwerker verwerkt Persoonsgegevens niet buiten de Europese Economische Ruimte (EER), tenzij hij daarvoor uitdrukkelijk schriftelijk toestemming heeft verkregen van Verwerkingsverantwoordelijke en behoudens afwijkende wettelijke verplichtingen.
5.4 Verwerker informeert Verwerkingsverantwoordelijke zonder onredelijke vertraging zodra hij kennis heeft genomen van onrechtmatige Verwerkingen van Persoonsgegevens of inbreuken op beveiligingsmaatregelen zoals genoemd in het eerste en tweede lid.
5.5 Verwerker verleent Verwerkingsverantwoordelijke bijstand bij het doen nakomen van de verplichtingen uit hoofde van de artikelen 32 tot en met 36 van de Verordening.
6.1 Verwerker houdt de persoonsgegevens geheim en draagt er zorg voor dat de persoonsgegevens niet direct of indirect ter beschikking komen van derden anders dan zoals expliciet toegestaan in deze Verwerkersovereenkomst.
6.2 Verwerker garandeert dat zij al haar werknemers, vertegenwoordigers en/of goedgekeurde sub-verwerkers die betrokken zijn bij de verwerking van de persoonsgegevens op de hoogte stelt van de vertrouwelijke aard van de persoonsgegevens. Verwerker waarborgt dat dergelijke personen en partijen gebonden zijn aan een adequate geheimhoudingsovereenkomst/-verklaring.
6.3 De in dit artikel beschreven geheimhoudingsbepalingen zijn niet van toepassing indien:
a. Verwerkersverantwoordelijke voorafgaand zijn schriftelijke toestemming heeft gegeven om persoonsgegevens aan derden te verschaffen; of
b. Verwerker op grond van een wettelijke verplichting de persoonsgegevens aan een derde dient te verstrekken, in welk geval Verwerker Verwerkingsverantwoordelijke hierover onmiddellijk zal informeren.
7.1 Het is Verwerker niet toegestaan om bij de verwerking van de persoonsgegevens een derde als sub-verwerker in te schakelen zonder voorafgaande, schriftelijke toestemming van Verwerkingsverantwoordelijke. Verwerkingsverantwoordelijke is gerechtigd om aan een eventuele toestemming voorwaarden te verbinden. In ieder geval worden aan dergelijke derden bij overeenkomst minstens dezelfde verplichtingen inzake gegevensbescherming opgelegd als die deze Verwerkersovereenkomst aan Verwerker oplegt.
7.2 Indien en voor zover de inschakeling van derden door Verwerker is toegestaan door Verwerkingsverantwoordelijke, blijft Verwerker hoofdelijk aansprakelijk voor de eventuele gevolgen van de verwerking door deze derden.
7.3 OPTIONEEL: Verwerkingsverantwoordelijke geeft hierbij toestemming voor het inschakelen van de in Bijlage 3 opgenomen sub-verwerkers.
Verwerker biedt Verwerkingsverantwoordelijke alle redelijke medewerking om Verwerkingsverantwoordelijke in staat te stellen binnen de wettelijke termijnen te voldoen aan verzoeken van betrokkenen die zijn gebaseerd op aan betrokkene toegekende rechten op grond van de AVG, meer in het bijzonder, verzoeken om inzage van en rectificatie of verwijdering van de persoonsgegevens of beperking van de hem betreffende verwerking (daaronder begrepen het intrekken van eerder gegeven toestemming), alsmede verzoeken die zijn gebaseerd op het recht op gegevensoverdraagbaarheid
9.1 Verwerker stelt Verwerkingsverantwoordelijke onmiddellijk – uiterlijk binnen [24] uur – na ontdekking van een mogelijk datalek schriftelijk op de hoogte waarbij Verwerker de volgende informatie vermeldt:
a. aard van het datalek, inclusief de betrokken persoonsgegevens, de categorieën van betrokkenen;
b. dag en tijdstip waarop het datalek is geconstateerd:
c. de mogelijke gevolgen van het datalek;
d. de maatregelen die zijn getroffen of voorgesteld om het datalek aan te pakken en/of de eventuele nadelige gevolgen daarvan te beperken;
e. de contactpersoon bij Verwerker en diens contactgegevens voor verdere correspondentie omtrent het datalek.
9.2 Onder ‘datalek’ wordt verstaan: een inbreuk op de beveiliging van de persoonsgegevens, die leidt tot (de mogelijke) onopzettelijke of onrechtmatige vernietiging, verlies, wijziging, onbevoegde openbaarmaking van – of toegang tot – de persoonsgegevens, of enige aanwijzing dat een dergelijke inbreuk zal plaatsvinden of heeft plaatsgevonden.
9.3 Het is uitsluitend aan de Verwerkingsverantwoordelijke te bepalen of een bij Verwerker geconstateerd datalek wordt gemeld aan de toezichthoudende autoriteit en/of aan de betreffende betrokkenen.
9.4 Verwerker zal aan Verwerkingsverantwoordelijke te allen tijde volledige medewerking verlenen teneinde Verwerkingsverantwoordelijke in staat te stellen om onderzoek naar het (mogelijke) datalek uit te voeren en/of tijdig melding te maken van het datalek bij de toezichthoudende autoriteit en, waar van toepassing, bij de betrokkenen.
10.1 Na afloop van de Overeenkomst draagt Verwerker, naar gelang de keuze van Verwerkingsverantwoordelijke zorg voor het terugbezorgen aan Verwerkingsverantwoordelijke of het wissen van alle Persoonsgegevens. Verwerker verwijdert kopieën, behoudens afwijkende wettelijke voorschriften.
10.2 Verwerker wist of retourneert de Persoonsgegevens in overleg met de Verwerkingsverantwoordelijke binnen 1 week na afloop van de Hoofdovereenkomst, bij gebreke waarvan Verwerker een boete verschuldigd is van €250,- per dag, met een maximum van €5.000,-
10.3 Persoonsgegevens worden in de door Verwerkingsverantwoordelijke aangegeven vorm en op de door Verwerkingsverantwoordelijke aangegeven wijze terugbezorgd.
11.1 Verwerker stelt alle informatie ter beschikking die nodig is om aan te tonen dat de verplichtingen uit deze Verwerkersovereenkomst zijn en worden nagekomen.
11.2 Verwerker verleent alle benodigde medewerking aan audits.
11.3 Verwerkingsverantwoordelijke en/of de door haar ingeschakelde auditor zal de bij de controle gevonden informatie geheimhouden en alleen gebruiken om naleving door Verwerker van de verplichtingen uit deze Verwerkersovereenkomst en de AVG te controleren.
11.4 De kosten voor het inzetten van een eventuele auditor en/of eigen personeel van Verwerkingsverantwoordelijke zijn voor rekening van Verwerkingsverantwoordelijke, tenzij uit de audit volgt dat Verwerker een of meerdere verplichtingen onder deze Verwerkersovereenkomst of de AVG niet nakomt. Verwerker draagt zelf de eventuele eigen kosten die verband houden met de audit.
11.5 Wanneer bij de controle onregelmatigheden worden aangetroffen zal Verwerker binnen redelijke termijn een verbeterplan opstellen en afstemmen met Verwerkingsverantwoordelijke. Voor zover Verwerkingsverantwoordelijke direct aanbevelingen doet aan Verwerker voortvloeiende uit de controle, garandeert Verwerker deze binnen de door Verwerkingsverantwoordelijke te bepalen redelijke termijn uit te voeren.
12.1 Onafhankelijk van de tussen Partijen in de Hoofdovereenkomst bepaalde aansprakelijkheidsverdeling, is Verwerker aansprakelijk voor de schade of nadeel die Verwerkingsverantwoordelijke leidt als gevolg van een aan Verwerker toerekenbare tekortkoming onder deze Verwerkersovereenkomst en/of het in strijd handelen met de bij of krachtens de AVG gegeven voorschriften, waaronder uitdrukkelijk begrepen schade als gevolg van aan Verwerkingsverantwoordelijke opgelegde boetes van toezichthoudende autoriteiten. Pagina 6 van 9 Penrose model Verwerkersovereenkomst Voor meer informatie, bekijk onze website: www.penrose.law De totale aansprakelijkheid van Partijen is, tenzij er sprake is van opzet of bewuste roekeloosheid, beperkt tot het in de Hoofdovereenkomst overeengekomen bedrag.
12.3 Verwerker vrijwaart Verwerkingsverantwoordelijke tegen en stelt Verwerkingsverantwoordelijke schadeloos voor alle aanspraken van derden (waaronder betrokkenen) die, direct of indirect, verband houden met het niet, niet tijdig of niet behoorlijk nakomen van de op Verwerker en/of haar sub-verwerkers rustende verplichtingen uit hoofde van deze Verwerkersovereenkomst en/of het in strijd handelen met de bij of krachtens de AVG gegeven voorschriften.
13.1 Op deze Verwerkersovereenkomst is uitsluitend Nederlands recht van toepassing.
13.2 Geschillen tussen Verwerker en Verwerkingsverantwoordelijke naar aanleiding van of verband houdende met deze Verwerkersovereenkomst zullen bij uitsluiting worden voorgelegd aan de daartoe bevoegde rechter in het arrondissement waar Verwerkingsverantwoordelijke is gevestigd.
Aldus overeengekomen en ondertekend namens,
Verwerkingsverantwoordelijke Verwerker
Naam:...................................................... Naam:.....................................................
Datum en plaats:....................................... Datum en plaats:......................................
Handtekening: Handtekening:
| Het onderwerp/aard en doel van de Verwerking | |
| Het soort Persoonsgegevens | Naam Adres E-mailadres Telefoonnummer IP-adres Bankrekeningnummer |
| Beschrijving categorieën Betrokkenen | Klanten Websitebezoekers |
| Beschrijving categorieën ontvangers van Persoonsgegevens | Theo/leefwebdesign |
| Omschrijving van de dienst | De persoonsgegevens zullen gebruikt worden om de overeengekomen overeenkomst uit te kunnen voeren. Daarnaast zullen de E-mailadressen gebruikt worden voor marketing mits daar toestemming voor is gegeven. |