ARTICLE:

New dashboard feature launched in our app

Read more >

Boek een demo

Verwerkersovereenkomst

Artikel 1 Definities

De in deze Verwerkersovereenkomst met een begin-hoofdletter aangeduide begrippen hebben de betekenis die daaraan in dit artikel wordt toegekend. De begrippen worden bovenal geïnterpreteerd in overeenstemming met de in de AVG gehanteerde definities.

  1. Autoriteit Persoonsgegevens (“AP”): de Autoriteit Persoonsgegevens, zijnde de Nederlandse gegevensbeschermingsautoriteit die als zelfstandig bestuursorgaan in Nederland als toezichthouder is aangesteld voor het houden van toezicht op het Verwerken van Persoonsgegevens en naleving van de Privacywetgeving.
  2. Betrokkene(n): de persoon (of personen) op wie een Persoonsgegeven betrekking heeft.
  3. Beveiligingsincident: elke ontwikkeling met betrekking tot de beveiliging van Persoonsgegevens waarvan Verwerkingsverantwoordelijke redelijkerwijs op de hoogte dient te zijn, waaronder maar niet beperkt tot elke inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins Verwerkte gegevens (“Datalek”).
  4. Bijlage(n): een bijlage bij deze Verwerkersovereenkomst, die hiervan onlosmakelijk deel uitmaakt.
  5. Bijzondere Persoonsgegevens: Persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken, en Verwerking van genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, of gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid.
  6. Data Protection Impact Assessment (“DPIA”): een voorafgaand aan een Verwerking uit te voeren onderzoek waarmee het effect van een beoogde Verwerkingsactiviteit op de bescherming van Persoonsgegevens wordt beoordeeld.
  7. Derde: een natuurlijk persoon of rechtspersoon, overheidsinstantie, dienst of instantie die niet kwalificeert als Betrokkene, Verwerkingsverantwoordelijke, de Verwerker en/of de personen die onder rechtstreeks gezag van de Verwerkingsverantwoordelijke of de Verwerker gemachtigd zijn om Persoonsgegevens te Verwerken (bijv. medewerkers). Onder deze definitie valt ook een Subverwerker.
  8. Dienstverleningsovereenkomst: de overeenkomst tussen Partijen inzake de dienstverlening die Verwerker aan Verwerkingsverantwoordelijke verleent en waarvan deze Verwerkersovereenkomst onderdeel uitmaakt.
  9. Functionaris Gegevensbescherming: een functionaris die bij Verwerkingsverantwoordelijke toezicht houdt op de toepassing en naleving van de Privacywetgeving.
  10. Persoonsgegeven(s): elk gegeven betreffende een natuurlijk persoon die daardoor direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificatiemiddel, zoals een naam, een identificatienummer, locatiegegevens, een online-identificatiemiddel of van één of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die persoon.
  11. Privacywetgeving: de Algemene verordening gegevensbescherming (EU) 2016/679 (“AVG”) en overige toepasselijke wet- en regelgeving, zoals maar niet beperkt tot de Nederlandse Uitvoeringswet Algemene verordening gegevensbescherming (UAVG).
  12. Subverwerker: iedere Derde die door Verwerker eveneens als verwerker in de zin van de AVG is betrokken bij de Verwerking van Persoonsgegevens in het kader van de Verwerkersovereenkomst.
  13. Verwerkersovereenkomst: deze overeenkomst tussen Verwerkingsverantwoordelijke en Verwerker inclusief Bijlagen.
  14. Verwerkingsverantwoordelijke: de partij die het doel van en de middelen voor de Verwerking van de Persoonsgegevens vaststelt.
  15. Verwerken/Verwerking: een bewerking of een geheel van bewerkingen met betrekking tot Persoonsgegevens of een geheel van Persoonsgegevens, al dan niet uitgevoerd via automatische processen, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzenden, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.
  16. Verwerker: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de Verwerkingsverantwoordelijke persoonsgegevens Verwerkt.

Artikel 2 Voorwerp van deze Verwerkersovereenkomst

Deze Verwerkersovereenkomst regelt de Verwerking van Persoonsgegevens door Verwerker in het kader van de Dienstverleningsovereenkomst.

Verwerker zal de Persoonsgegevens ten behoeve van Verwerkingsverantwoordelijke Verwerken onder de voorwaarden van deze Verwerkersovereenkomst. In Bijlage 1 bij deze Verwerkersovereenkomst zijn de duur, de aard en het doel van de Verwerkingen, de middelen voor de Verwerkingen, het soort te Verwerken Persoonsgegevens, de categorieën van Betrokkenen en de duur van de opslag van de Persoonsgegevens beschreven. In Bijlage 2 zijn de beveiligingsmaatregelen en overige voorwaarden voor de Verwerking beschreven. Partijen zullen de Bijlagen indien nodig gedurende de looptijd van de Verwerkersovereenkomst steeds aanpassen.

Partijen stellen vast dat te Verwerken Persoonsgegevens voor zover deze direct of (indirect) betrekking hebben op ras of etnische afkomst, levensovertuiging, gezondheid, seksueel leven, lidmaatschap van een vakvereniging en/of gegevens in verband met strafrechtelijke vervolging Bijzondere Persoonsgegevens of gevoelige Persoonsgegevens kunnen zijn in de zin van de geldende Privacywetgeving. In dat geval voorziet Verwerker in specifieke beperkingen en/of aanvullende waarborgen.

Artikel 3 Uitvoering Verwerking

  1. Beide Partijen zullen de Persoonsgegevens op behoorlijke en zorgvuldige wijze, in overeenstemming met de Privacywetgeving Verwerken. Verwerker verklaart zich bekend met de Privacywetgeving.
  2. Uitsluitend Verwerkingsverantwoordelijke is verantwoordelijk voor het vaststellen van het doel en de middelen van de Verwerking van de Persoonsgegevens en garandeert dat zij naar beste weten ook gerechtigd is tot de Verwerking van de Persoonsgegevens op grond van de Privacywetgeving en dat de Persoonsgegevens correct, ter zake dienend en niet bovenmatig zijn in het licht van de doeleinden waarvoor de Persoonsgegevens (verder) worden Verwerkt.
  3. Behoudens wettelijke verplichtingen als hierna in artikel 3.6 te noemen, zal Verwerker de Persoonsgegevens uitsluitend Verwerken in opdracht van Verwerkingsverantwoordelijke en altijd volgens de schriftelijke instructies van Verwerkingsverantwoordelijke. Verwerker zal Verwerkingsverantwoordelijke spoedig schriftelijk informeren als de betreffende instructies naar zijn mening in strijd zijn met de Privacywetgeving – en in ieder geval waar redelijkerwijs mogelijk voorafgaand aan de Verwerking. Indien Verwerkingsverantwoordelijke daarna alsnog aandringt op naleving van de instructies, heeft Verwerker het recht deze Verwerkersovereenkomst te beëindigen.
  4. Verwerker zal de Persoonsgegevens die van Verwerkingsverantwoordelijke worden verkregen niet gebruiken voor enig ander doel dan het doel waarvoor deze zijn verkregen.
  5. Verwerker zal niet meer Persoonsgegevens Verwerken dan noodzakelijk voor het doel van haar Verwerking uit hoofde van de Dienstverleningsovereenkomst en deze Verwerkersovereenkomst en zal de Persoonsgegevens niet wijzigen zonder opdracht daartoe van Verwerkingsverantwoordelijke.
  6. Onverminderd het bepaalde in het eerste lid van dit artikel 3, is het Verwerker toegestaan om Persoonsgegevens te Verwerken indien een wettelijk voorschrift (waaronder begrepen daarop gebaseerde rechterlijke of bestuurlijke bevelen) hem tot een Verwerking verplicht. In dat geval stelt de Verwerker voorafgaand aan de Verwerking Verwerkingsverantwoordelijke in kennis van de beoogde Verwerking en het wettelijk voorschrift, tenzij die wetgeving deze kennisgeving om gewichtige redenen van algemeen belang verbiedt. Verwerker zal Verwerkings-verantwoordelijke, waar mogelijk, in staat stellen zich te verweren tegen deze verplichte Verwerking en ook overigens de verplichte Verwerking beperken tot het strikt noodzakelijke.
  7. Verwerkingsverantwoordelijke is verantwoordelijk voor het informeren van de Betrokkenen over de onderhavige Verwerking van Persoonsgegevens door Verwerker en het waarborgen van de rechten die Betrokkenen op basis van de Privacywetgeving kunnen uitoefenen, alsook voor de communicatie met Betrokkenen hieromtrent. Verwerker zal alle medewerking verlenen aan Verwerkingsverantwoordelijke om (i) Betrokkenen inzage te geven in hun Persoonsgegevens, (ii) Persoonsgegevens op verzoek van Betrokkenen te verwijderen of corrigeren, (iii) aan te tonen dat Persoonsgegevens na een verzoek daartoe van een Betrokkene verwijderd of gecorrigeerd zijn en/of (iv) Betrokkenen de mogelijkheid te bieden Persoonsgegevens aan een andere Verwerkingsverantwoordelijke over te dragen. Indien Verwerker een verzoek van een Betrokkene ontvangt, zal zij Verwerkingsverantwoordelijke hiervan onverwijld, doch uiterlijk binnen 4 werkdagen na ontvangst van het verzoek schriftelijk in kennis stellen.
  8. Verwerker hanteert een eigen privacy policy. Verwerker spant zich in dat haar privacy policy niet in strijd zal zijn met de privacy policy of andere vormen van informatie van Verwerkingsverantwoordelijke.
  9. Verwerker spant zich ervoor in te allen tijde schriftelijk te kunnen aantonen dat en op welke manier zij haar verplichtingen uit hoofde van deze Verwerkersovereenkomst naleeft. Partijen stellen alle relevante informatie ter zake ter beschikking in geval van verzoeken van bevoegde autoriteiten.
  10. Onverminderd hetgeen in deze Verwerkersovereenkomst is bepaald, zal Verwerker Verwerkingsverantwoordelijke assisteren in de naleving van haar verplichtingen uit hoofde van de Privacywetgeving en alle verzoeken van Verwerkingsverantwoordelijke inzake de Verwerking van Persoonsgegevens door of namens Verwerker onverwijld en adequaat beantwoorden, waarbij zij de gevraagde en overigens relevante informatie zal verstrekken. Verwerker biedt, onverminderd het voornoemde, tevens assistentie bij het afhandelen van verzoeken van Betrokkenen en zal alle instructies van Verwerkingsverantwoordelijke te dien aanzien opvolgen. Verwerker is gerechtigd hiervoor een vergoeding bij Verwerkingsverantwoordelijke in rekening te brengen.
  11. Verwerker zal Verwerkingsverantwoordelijke per ommegaande schriftelijk informeren indien zij ervan kennis heeft gekregen dat de Persoonsgegevens die zij verwerkt onjuist of achterhaald zijn.

Artikel 4 Beveiligingsincidenten en Data Protection Impact Assessment (DPIA)

  1. In het geval van een ontdekking van een (mogelijk) Beveiligingsincident zal Verwerker dit onverwijld rapporteren aan Verwerkingsverantwoordelijke. Verwerker zal voorts onmiddellijk maatregelen treffen om de gevolgen van het Beveiligingsincident in te perken.
  2. De meldplicht behelst in ieder geval het melden van het feit dat er een incident is geweest. Daarnaast behelst de meldplicht:
    • de aard van het Beveiligingsincident, waar mogelijk onder vermelding van de categorieën van Betrokkenen en Persoonsgegevens in kwestie en het aantal Betrokkenen en Persoonsgegevensregisters in kwestie;
    • de naam en contactgegevens van de FG of een ander contactpunt waar meer informatie kan worden verkregen;
    • de geconstateerde en mogelijke gevolgen van het Beveiligingsincident;
    • de maatregelen die Verwerker heeft voorgesteld of genomen om het Beveiligingsincident aan te pakken, waaronder, in voorkomend geval, de maatregelen ter beperking van de eventuele nadelige gevolgen daarvan.
  3. Indien en voor zover al deze informatie niet op hetzelfde moment kan worden verstrekt, bevat de oorspronkelijke kennisgeving de dan beschikbare informatie en wordt verdere informatie vervolgens zo spoedig als mogelijk verstrekt. Verwerker informeert Verwerkingsverantwoordelijke ook na een melding over ontwikkelingen betreffende het Beveiligingsincident.
  4. Uitsluitend Verwerkingsverantwoordelijke heeft de verplichting en de bevoegdheid Beveiligingsincidenten al dan niet te melden bij de Autoriteit Persoonsgegevens en eventuele Betrokkenen en zal haar verplichting tot het doen van een melding zelf beoordelen. Verwerker zal op verzoek haar volledige medewerking verlenen aan Verwerkingsverantwoordelijke bij het melden van het Beveiligingsincident bij de Autoriteit Persoonsgegevens en – in voorkomend geval – bij de Betrokkenen, onder meer door gevraagde, voor de melding benodigde informatie te verschaffen indien redelijkerwijs beschikbaar. Verwerker zal eventuele kosten in verband met de melding van het Beveiligingsincident volledig vergoeden.
  5. Verwerker zal Verwerkingsverantwoordelijke haar medewerking verlenen bij het verrichten van onderzoek naar de oorzaak van het Beveiligingsincident, het formuleren van een correcte respons, en het nemen van passende vervolgstappen ten aanzien van het Beveiligingsincident.
  6. Wanneer Verwerkingsverantwoordelijke op basis van de geldende Privacywetgeving verplicht is een DPIA uit te voeren, zal Verwerker hieraan desgevraagd haar medewerking verlenen. Indien uit het DPIA blijkt dat Verwerkingsverantwoordelijke voorafgaand aan de Verwerking de Autoriteit Persoonsgegevens over de Verwerking dient te raadplegen, verleent Verwerker hieraan desgevraagd haar medewerking. Wanneer redelijk in verband met de aard en omvang van de gevraagde werkzaamheden, is Verwerker gerechtigd hiervoor kosten in rekening te brengen, welke Verwerkingsverantwoordelijke zal vergoeden.

Artikel 5 Derden en Subverwerkers; Verwerking binnen/buiten de EER

  1. Verwerkingsverantwoordelijke geeft hierbij toestemming voor de door Verwerker in te schakelen Derde(n), waaronder Subverwerker(s) om haar verplichtingen uit deze Overeenkomst geheel of gedeeltelijk over te dragen c.q. in te schakelen bij de Verwerking. Indien een wijziging plaatsvindt in de in te schakelen Subverwerker(s), zal Verwerker Verwerkingsverantwoordelijke hiervan op de hoogte stellen. Verwerkingsverantwoordelijke kan bezwaar maken tegen een dergelijke wijziging, maar zal dit bezwaar niet op onredelijke gronden stoelen. Deze toestemming wordt voor wat betreft de inschakeling van Subverwerkers bij ondertekening van deze Overeenkomst verleend voor de in Bijlage 3 vermelde partij(en).
  2. Verwerker blijft jegens Verwerkingsverantwoordelijke en Betrokkene(n) volledig verantwoordelijk en aansprakelijk voor handelingen (c.q. nalaten) van de Derde(n). Verwerker is en blijft verantwoordelijk en aansprakelijk voor een correcte naleving van de plichten uit deze Verwerkersovereenkomst door Derde(n). Verwerker zal met de Derde ten aanzien van de Verwerking dezelfde schriftelijke afspraken maken als die in deze Overeenkomst zijn vastgelegd en deze op verzoek aan Verwerkingsverantwoordelijke tonen. Daarin zal Verwerker een derdenbeding overeenkomen, waarbij – in geval Verwerker feitelijk is verdwenen, rechtens is opgehouden te bestaan of insolvent is geworden – de Verwerkingsverantwoordelijke het recht heeft de overeenkomst met de Derde te beëindigen en de Derde te gelasten de Persoonsgegevens te wissen of terug te geven. Verwerker stelt Verwerkingsverantwoordelijke per ommegaande op de hoogte in geval van enig verzuim van een verplichting door de Derde.
  3. In beginsel worden de Persoonsgegevens niet buiten de Europees Economische Ruimte (EER) Verwerkt (tenzij op instructie van Verwerkingsverantwoordelijke of op basis van een aantoonbare wettelijke verplichting van Verwerker). Verwerking van Persoonsgegevens buiten de EER zal te allen tijde plaatsvinden onder de voorwaarden die de Privacywetgeving daaraan stelt, o.a. door de Verwerking alleen in landen met een adequaat beschermingsniveau te laten plaatsvinden, zoals landen waarvoor een adequaatheidsbesluit geldt of door gebruik te maken van een Verwerkersovereenkomst waarop de standaardcontractbepalingen van de Europese Commissie (EU Model Clauses) van toepassing zijn, mits aan de voorwaarden voor het gebruik daarvan is voldaan, met – waar (redelijkerwijs) nodig – het treffen van aanvullende maatregelen. Verwerker zal alle relevante informatie over deze Verwerkingen actief aan Verwerkingsverantwoordelijke (blijven) verstrekken.
  4. Ingeval als gevolg van het inschakelen van of de overdracht aan een Derde de Verwerking buiten de Europese Economische Ruimte plaatsvindt, is overdracht c.q. inschakeling slechts mogelijk na vooraf verkregen schriftelijke toestemming van Verwerkingsverantwoordelijke. Verwerkingsverantwoordelijke zal zijn toestemming niet op onredelijke gronden onthouden. Onverminderd het voornoemde zal Verwerker Verwerkingsverantwoordelijke onmiddellijk informeren als zij Persoonsgegevens buiten de Europese Economische Ruimte Verwerkt of gaat Verwerken en zal Verwerker volledige medewerking verlenen aan de maatregelen die Verwerkingsverantwoordelijke alsdan moet nemen om te voldoen aan de Privacywetgeving.

Artikel 6 Beveiliging van de Verwerking

  1. Verwerker zal conform Bijlage 2 passende technische en organisatorische (beveiligings-)maatregelen treffen die nodig zijn om de beschikbaarheid, integriteit en vertrouwelijkheid van Persoonsgegevens te waarborgen en te beveiligen tegen o.a. verlies of onrechtmatige Verwerking. Deze maatregelen zullen voldoen aan de geldende Privacywetgeving, waarbij Verwerker, rekening houdend met de stand van de techniek en de kosten van de implementatie en uitvoering van de maatregelen, zorgt voor een adequaat niveau van bescherming, rekening houdend met de bij de Verwerking betrokken risico’s en de aard van de te beveiligen gegevens. De beveiligingsmaatregelen worden beschreven in Bijlage 2 en Verwerker garandeert dat deze zullen voldoen aan de daarvoor geldende algemeen geaccepteerde beveiligingsstandaarden.
  2. Verwerker heeft een passend, geschreven beveiligingsbeleid geïmplementeerd voor de Verwerking van Persoonsgegevens, waarin de beveiligingsmaatregelen, zoals omschreven in Bijlage 2, nader zijn uitgewerkt. Deze beveiligingseisen veranderen voortdurend. Daarom zal Verwerker haar beveiligingseisen frequent evalueren en regelmatig verbeteringen doorvoeren.
  3. Indien en voor zover Verwerkingsverantwoordelijke daarom uitdrukkelijk schriftelijk verzoekt, zal Verwerker aanvullende beveiligingsmaatregelen maatregelen treffen met het oog op de beveiliging van de Persoonsgegevens. Ingeval Verwerkingsverantwoordelijke aanvullende beveiligingsmaatregelen vereist, die verder gaan dan de maatregelen die voldoen aan de geldende Privacywetgeving en algemeen geaccepteerde beveiligingsstandaarden, zullen Partijen overleggen over de haalbaarheid en financiële gevolgen daarvan. Uitgangspunt daarbij is dat Verwerkingsverantwoordelijke de extra kosten vergoedt, tenzij de extra maatregelen ook door andere klanten van Verwerker gebruikt (kunnen) worden.

Artikel 7 Geheimhouding

  1. Op alle Persoonsgegevens die Verwerker van Verwerkingsverantwoordelijke ontvangt en/of zelf verzamelt in het kader van deze Verwerkersovereenkomst, rust een geheimhoudingsplicht jegens Derden (onverminderd het in artikelen 3.6 en 5 bepaalde).
  2. Verwerker zal tevens een schriftelijke geheimhoudingsverplichting opleggen aan personen in dienst van dan wel werkzaam ten behoeve van Verwerker (zoals Derden), met betrekking tot de Persoonsgegevens waarvan zij kennis kunnen nemen. Verwerker toont op verzoek van Verwerkingsverantwoordelijke aan dat zij haar medewerkers c.q. Derden heeft verbonden vertrouwelijkheid in acht te nemen als bedoeld in dit artikel 7. Verwerker zal al hetgeen doen dat binnen haar macht is de naleving van die verplichtingen te waarborgen en effectueren.
  3. Verwerker zal ervoor zorgen dat bij de uitvoering van deze Verwerkersovereenkomst alleen personen toegang krijgen tot Persoonsgegevens voor zover strikt noodzakelijk voor de overeengekomen Verwerking.
  4. Partijen zullen zich niet jegens Derden uitlaten over Beveiligingsincidenten, behoudens wettelijke verplichtingen daartoe of indien Partijen ter zake anders overeenkomen.

Artikel 8 Informatieverstrekking en audits

  1. Verwerker stelt Verwerkingsverantwoordelijke in staat om de naleving door Verwerker van de in deze Verwerkersovereenkomst genoemde verplichtingen te doen controleren door de Verwerkingsverantwoordelijke of een door de Verwerkingsverantwoordelijke gemachtigde controleur, waarbij Verwerker alle gegevens en informatie zal verstrekken die deze redelijkerwijs nodig heeft voor de controle en onder meer doch niet alleen toegang zal verlenen tot al haar systemen, alle mogelijk relevante documenten en hardware. De controleur zal daarbij in beginsel geen vertrouwelijke gegevens van Verwerker gebruiken en inzien (tenzij redelijkerwijs noodzakelijk) en zal zich inspannen de werkprocessen van Verwerker niet althans zo min mogelijk te verstoren.
  2. Verwerkingsverantwoordelijke heeft na een voorafgaande schriftelijke kennisgeving met een redelijke termijn (ten minste dertig dagen), het recht om in beginsel één keer per jaar, doch vaker indien Verwerkingsverantwoordelijke daarvoor een gegronde reden heeft (bijvoorbeeld wegens een vermoeden dat Verwerker zich niet houdt aan haar verplichtingen uit hoofde van deze Verwerkersovereenkomst), op kosten van Verwerkingsverantwoordelijke een dergelijke controle uit te laten voeren.
  3. Indien uit de controle blijkt dat Verwerker niet volledig voldoet aan haar verplichtingen uit hoofde van de Overeenkomst en deze Verwerkersovereenkomst, dient Verwerker de bij de controle gebleken tekortkomingen zo spoedig als redelijkerwijs mogelijk en voor eigen rekening teniet te doen, te herstellen en/of te verhelpen.

Artikel 9 Wijzigingen

  1. Partijen zullen ingeval van wijzigingen in door Verwerker en/of Verwerkingsverantwoordelijke uit te voeren werkzaamheden uit hoofde van de Dienstverleningsovereenkomst die mogelijk gevolgen hebben voor de Verwerkingen, steeds met elkaar overleggen over de mogelijk noodzakelijke wijzigingen in deze Verwerkersovereenkomst, waaronder uitdrukkelijk begrepen wijzigingen in de technische en organisatorische maatregelen als bedoeld in artikel 6 van deze Verwerkersovereenkomst.
  2. Verwerkingsverantwoordelijke kan aanvullende, schriftelijke instructies geven of de in deze Verwerkersovereenkomst bedoelde bestaande instructies aanpassen, bijvoorbeeld in verband met wijzigingen of regels in de Privacywetgeving. Verwerkingsverantwoordelijke zal de kosten vergoeden die Verwerker redelijkerwijs moet maken om de in dit artikellid genoemde instructies uit te voeren.

Artikel 10 Looptijd en beëindiging

  1. Deze Verwerkersovereenkomst treedt in werking op het moment waarop de Dienstverleningsovereenkomst komst van kracht wordt en eindigt op het moment dat de Dienstverleningsovereenkomst is geëindigd en Verwerker geen Persoonsgegevens meer onder zich heeft die hij in het kader van de Dienstverleningsovereenkomst voor Verwerkingsverantwoordelijke Verwerkt.
  2. Geen van Partijen kan deze Verwerkersovereenkomst tussentijds opzeggen. Ieder der Partijen heeft het recht deze Verwerkersovereenkomst en de Dienstverleningsovereenkomst te beëindigen indien:
    • Een der Partijen de Verwerking overeenkomstig artikel 10.6 heeft opgeschort en naleving van de betreffende bepalingen niet binnen een redelijke termijn (uiterlijk 30 dagen na opschorting) is hervat;
    • Een der Partijen enige bepaling uit de Privacywetgeving en/of deze Verwerkersovereenkomst wezenlijk, herhaaldelijk of voortdurend schendt;
    • Een der Partijen niet voldoet aan een bindend besluit van een bevoegde rechter of autoriteit met betrekking tot zijn verplichtingen uit hoofde van Privacywetgeving en/of deze Verwerkersovereenkomst.
  3. Indien en zodra deze Verwerkersovereenkomst eindigt draagt Verwerker, naar keuze van Verwerkingsverantwoordelijke, zorg voor het retourneren aan Verwerkingsverantwoordelijke (zulks indien verzocht) of het verwijderen van alle Persoonsgegevens op eerste verzoek van Verwerkingsverantwoordelijke, dan wel uiterlijk 30 dagen na het beëindigen van deze Verwerkersovereenkomst. Persoonsgegevens worden in de door verwerkingsverantwoordelijke aangegeven vorm en op de door Verwerkingsverantwoordelijke aangegeven wijze geretourneerd (indien van toepassing). Voor zover de Persoonsgegevens zijn opgenomen in een computersysteem of in een andere vorm waardoor deze redelijkerwijs niet kunnen worden teruggegeven, zal Verwerker een kopie van de Persoonsgegevens aan Verwerkingsverantwoordelijke verstrekken. Verwerker verwijdert (vervolgens) alle Persoonsgegevens incl. alle kopieën. Als Verwerker een wettelijke verplichting heeft om de Persoonsgegevens en/of documenten, computerschijven en andere gegevensdragers met daarop de Persoonsgegevens te bewaren voor een bepaalde periode, zal Verwerker Verwerkingsverantwoordelijke hierover schriftelijk informeren en de Persoonsgegevens gedurende de betreffende wettelijke periode bewaren en daarna onmiddellijk verwijderen.
  4. Totdat de Persoonsgegevens zijn verwijderd en/of teruggegeven, blijft Verwerker ervoor zorgen dat de Persoonsgegevens worden Verwerkt in overeenstemming met het in deze Verwerkersovereenkomst bepaalde. Na beëindiging van deze Verwerkersovereenkomst blijven de bepalingen, die naar hun aard bestemd zijn om ook nadien van kracht te blijven, waaronder in ieder geval begrepen de bepalingen in dit artikel 10, de geheimhoudingsverplichting en de aansprakelijkheidsbepalingen, onverminderd van kracht.
  5. Onverminderd Privacywetgeving en het in deze Verwerkersovereenkomst bepaalde kan ieder der Partijen te allen tijde zijn verplichtingen onder deze Verwerkersovereenkomst op te schorten, indien de andere Partij niet, niet tijdig of niet volledig aan haar verplichtingen uit hoofde van deze Verwerkersovereenkomst voldoet. Partijen zullen elkaar per ommegaande in kennis stellen wanneer zij (vermoedelijk) niet aan enige verplichting(en) kunnen voldoen, waarbij zij aangeeft wat hiervoor de reden is en voor welke periode dat geldt (indien redelijkerwijs in te schatten).

Artikel 11 Aansprakelijkheid

  1. De aansprakelijkheidsbepaling van de Dienstverleningsovereenkomst is van overeenkomstige toepassing op deze Verwerkersovereenkomst.
  2. Verwerker draagt zorg voor afdoende dekking van de aansprakelijkheid door middel van een aansprakelijkheidsverzekering of andere doeltreffende voorziening. Op verzoek van Verwerkingsverantwoordelijke geeft Verwerker Verwerkingsverantwoordelijke inzage in (de polis van) deze aansprakelijkheidsverzekering van Verwerker (indien van toepassing) respectievelijk verstrekt Verwerker informatie over de getroffen voorziening aan Verwerkingsverantwoordelijke.
  3. Ingeval een vordering, boete of schade wordt opgelegd aan een der Partijen, naar het gezamenlijk oordeel van Partijen of op grond van een uitspraak van een bevoegde rechter, niet uitsluitend aan een van de Partijen kan worden toegerekend, is elke Partij aansprakelijk voor het evenredig aan haar toe te rekenen verzuim of ander handelen waardoor de schade is ontstaan.

Artikel 12 Toepasselijk recht en geschillenbeslechting

  1. Op deze Verwerkersovereenkomst is uitsluitend Nederlands recht van toepassing voor zover dwingendrechtelijke bepalingen zich daar niet tegen verzetten.
  2. Alle geschillen, welke ontstaan naar aanleiding van deze Verwerkersovereenkomst, dan wel naar aanleiding van de overeenkomsten die daarvan het gevolg zijn, zullen in eerste aanleg uitsluitend worden beslecht door de bevoegde rechter in het arrondissement zoals opgenomen in de Dienstverleningsovereenkomst. Partijen zullen zich op een redelijke manier inspannen om ieder geschil over de uitvoering van deze Verwerkersovereenkomst eerst in goed onderling overleg en buiten rechte op te lossen.

Artikel 13 Contactgegevens en slotbepalingen

  1. Meldingen van Verwerker aan Verwerkingsverantwoordelijke die worden gedaan op grond van deze Verwerkersovereenkomst worden gericht aan: Jan-Douwe Gaastra, jandouwe@facilitee.com of, indien relevant, aan een andere door Verwerkingsverantwoordelijke tijdens de duur van deze Verwerkersovereenkomst schriftelijk bekendgemaakte werknemer van verwerkingsverantwoordelijke.
  2. In geval van nietigheid c.q. vernietigbaarheid van een of meer bepalingen uit deze Verwerkersovereenkomst, blijven de overige bepalingen onverkort van kracht.
  3. In alle gevallen waarin deze Verwerkersovereenkomst niet voorziet beslissen Partijen in onderling overleg.
  4. Bepalingen in deze Verwerkersovereenkomst mogen niet worden geïnterpreteerd op een manier die indruist tegen de rechten en verplichtingen uit hoofde van de Privacywetgeving of op een wijze die afbreuk doet aan grondrechten of fundamentele vrijheden van Betrokkenen.
  5. Bepalingen in deze Verwerkersovereenkomst hebben, voor zover het Verwerking van Persoonsgegevens betreft, in geval van tegenstrijdigheden voorrang op het in de Dienstverleningsovereenkomst bepaalde.

BIJLAGE 1 Beschrijving Verwerking(en) Persoonsgegevens

I. Inleiding

Door middel van deze Bijlage wordt gespecificeerd welke Persoonsgegevens, voor welke doelen en met welke middelen in het kader van uitvoering van de Dienstverleningsovereenkomst door Verwerker worden Verwerkt.

II. Doelen, aard en middelen Verwerking

a. Doel

Verwerker Verwerkt de Persoonsgegevens ten behoeve van de uitvoering van de Dienstverleningsovereenkomst, meer in het bijzonder:

  • Het registreren van persoonlijke informatie van Betrokkenen door Verwerkingsverantwoordelijke; en
  • Het faciliteren van communicatie tussen betrokkenen en Verwerkingsverantwoordelijke, in het bijzonder het faciliteren van meldingen van de Betrokkenen aan Verwerkingsverantwoordelijke en de afhandeling daarvan door Verwerkingsverantwoordelijke.

a. Aard en middelen Verwerking
Persoonsgegevens worden door Verwerker opgeslagen inhet aan de cliënt aangeboden softwaresysteem.

Het risiconiveau van de Verwerking is:

Doel Laag/gemiddeld/hoog risico
Registreren persoonlijke informatie Betrokkenen Het verwerkingsrisico wordt als laag ingeschat, aangezien uitsluitend Persoonsgegevens worden verwerkt die geen bijzondere of gevoelige informatie omvatten. Bovendien zijn er adequate technische en organisatorische maatregelen getroffen om de integriteit en vertrouwelijkheid van de gegevens te waarborgen.
Faciliteren communicatie tussen Betrokkenen en Verwerkingsverantwoordelijke Het verwerkingsrisico wordt als laag ingeschat, aangezien uitsluitend Persoonsgegevens worden verwerkt die geen bijzondere of gevoelige informatie omvatten. Bovendien zijn er adequate technische en organisatorische maatregelen getroffen om de integriteit en vertrouwelijkheid van de gegevens te waarborgen.

III. Verwerkte Persoonsgegevens

1. Categorieën van Betrokkenen
De categorieën van Betrokkenen van wie de Persoonsgegevens die Verwerkt worden afkomstig zijn:

Doel Categorie van Betrokkenen
Doel Registreren persoonlijke informatie Betrokkenen Huurders & Leveranciers
Faciliteren communicatie tussen Betrokkenen en Verwerkingsverantwoordelijke Huurders & Leveranciers

2. Categorieën van Persoonsgegevens (per Betrokkene)

Voor het hiervoor genoemde doel of de hiervoor genoemde doelen worden de volgende Persoonsgegevens mogelijk Verwerkt:

Doel Categorie Persoonsgegevens
Doel Registreren persoonlijke informatie Betrokkenen NAW-gegevens
Faciliteren communicatie tussen Betrokkenen en Verwerkingsverantwoordelijke NAW-gegevens

3. Grondslagen Verwerking
De categorieën van Persoonsgegevens die Verwerker Verwerkt, worden Verwerkt op basis van de volgende grondslagen:

Categorie Grondslag (artikel 6 AVG)
NAW-gegevens De uitvoering van de overeenkomst tussen de Verwerkingsverantwoordelijke en de Betrokkenen.

4. Type Persoonsgegevens
De Verwerkte Persoonsgegevens zijn normale/gevoelige/Bijzondere Persoonsgegevens:

5. Bewaartermijnen Persoonsgegevens

Verwerker zal de Persoonsgegevens die in het kader van de Dienstverleningsovereenkomst worden Verwerkt niet langer bewaren dan noodzakelijk voor de uitvoering van de Dienstverleningsovereenkomst (behoudens wettelijke verplichtingen). Verwerker zal ervoor zorgdragen dat gedurende de bewaarperiode, de Persoonsgegevens eenvoudig toegankelijk blijven voor zowel Verwerkingsverantwoordelijke als (voor zover redelijkerwijs van toepassing) voor Betrokkenen.

Gegevens Bewaartermijn
NAW-gegevens De Persoonsgegevens worden bewaard tot het eindigen van de Dienstverleningsovereenkomst dan wel het eindigen van de overeenkomst tussen Verwerkingsverantwoordelijke en de Betrokkenen

BIJLAGE 2 Beveiligingsmaatregelen

In deze bijlage zijn de beveiligingsmaatregelen (technisch en organisatorisch, met inbegrip van eventuele certificeringen) niet-limitatief beschreven. De technische en organisatorische beveiligingsprocedures en maatregelen zullen voldoen aan de vereisten zoals opgenomen in de hoofdtekst van de Verwerkersovereenkomst en hetgeen Verwerkingsverantwoordelijke op grond van de Dienstverleningsovereenkomst mag verwachten. Hierbij is rekening gehouden met de aard, reikwijdte, context en het doel van de Verwerking, alsmede de risico’s voor de rechten en vrijheden van Betrokkenen.

De door Verwerker te nemen beveiligingsmaatregelen zijn in ieder geval, doch niet alleen, de volgende:

  1. Verwerker heeft een passend beleid voor de beveiliging van de Verwerking van de Persoonsgegevens, waarbij het beleid periodiek wordt geëvalueerd (o.a. op doeltreffendheid) en – zo nodig – aangepast. Het beleid is geïmplementeerd en wordt nageleefd. Daarnaast heeft Verwerker een gedragscode geïmplementeerd voor de omgang met Persoonsgegevens;
  2. Verwerker heeft de Persoonsgegevens die worden Verwerkt geclassificeerd op het gebied van beschikbaarheid, integriteit en vertrouwelijkheid en heeft op basis van die classificatie beveiligingsmaatregelen genomen om de risico’s voor de Verwerking van Persoonsgegevens te beperken;
  3. Verwerker neemt maatregelen om te waarborgen dat enkel geautoriseerde medewerkers van Verwerker toegang hebben tot de Verwerking van Persoonsgegevens in het kader van de Verwerkersovereenkomst. Hierbij heeft Verwerker procedures vastgesteld en gedeeld met Verwerkingsverantwoordelijke voor de identificatie, autorisatie en authenticatie van medewerkers alsmede rondom de registratie, aanmelding en afmelding van de medewerkers. Ook neemt Verwerker een geheimhoudingsverplichting op in de (arbeids-)contracten van door haar ingeschakeld personeel of andere Derden. Verwerker heeft een indringeralarm en fysieke toegangscontrole;
  4. Verwerker zorgt dat de toegang tot het product of de dienst beveiligd is door middel van een passend beleid voor wachtwoorden dat aansluit bij de stand van de techniek waaronder, maar niet daartoe beperkt, een systeem waarbij ongeoorloofde toegang wordt geregistreerd en genotificeerd, het bewaren van Persoonsgegevens in een systeem dat wordt versleuteld met bijvoorbeeld een wachtwoord of toegangscode, het loggen van daadwerkelijke toegang tot de Persoonsgegevens, het maken van back-ups en het versleutelen c.q. onleesbaar maken van Persoonsgegevens bij doorgifte naar Derden door middel van encryptie/pseudonimisering;
  5. Verwerker heeft procedures voor het verlenen van toegang tot Persoonsgegevens en controle daarvan (waaronder een registratie- en afmeldprocedure voor toewijzing van toegangsrechten, inclusief het bijhouden van een register ter zake van toegang), en het in logbestanden vastleggen van gebeurtenissen betreffende gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen. Verwerkingsverantwoordelijke wordt in de gelegenheid gesteld om deze logbestanden periodiek te controleren;
  6. Verwerker heeft maatregelen genomen om de Persoonsgegevens te beschermen tegen verwerkingsrisico's, vooral als gevolg van de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins Verwerkte gegevens, hetzij per ongeluk hetzij onrechtmatig;
  7. Verwerker maakt bij de beveiliging van de Verwerking van Persoonsgegevens gebruik van een (inter)nationale beveiligingsnorm;
  8. Verwerker heeft maatregelen genomen om zwakke plekken te identificeren ten aanzien van de Verwerking van Persoonsgegevens in de systemen die worden ingezet voor het verlenen van diensten aan Verwerkingsverantwoordelijke, alsmede herstelprocedures (o.a. voor het herstel van beschikbaarheid en toegang tot Persoonsgegevens na een Beveiligingsincident);
  9. Verwerker zorgt voor strike doelbinding en Verwerkt de Persoonsgegevens niet langer dan noodzakelijk voor het doel waarvoor deze Verwerkt worden. Na deze periode worden de Persoonsgegevens onomkeerbaar verwijderd, zoals beschreven in de Verwerkersovereenkomst. Verwerker hanteert een passend bewaartermijnenbeleid;
  10. Verwerker zorgt voor beperkingen voor gegevensdoorgifte;
  11. Andere maatregelen die op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de Verwerkingssystemen en -diensten garanderen, om de systeemconfiguratie (met inbegrip van de standaardinstelling) te waarborgen, voor interne governance en beheer op het gebied van IT en IT-beveiliging, voor certificering/waarborging van processen en producten, om gegevensminimalisering te waarborgen, de kwaliteit van de Verwerkte Persoonsgegevens te waarborgen, de verantwoordingsplicht te waarborgen en om gegevensoverdraagbaarheid mogelijk te maken en voor wissing te zorgen.
  12. Specifieke maatregelen die Verwerker moet nemen om Verwerkingsverantwoordelijke bijstand te kunnen verlenen.

Aantoonbaarheid technische beveiligingsmaatregelen product of dienst

Op verzoek van Verwerkingsverantwoordelijke zal Verwerker te allen tijde alle gevraagde of redelijkerwijs eveneens relevante informatie verstrekken over haar gegevensbeschermingsbeleid en getroffen beveiligingsmaatregelen.

Verwerker informeert Verwerkingsverantwoordelijke zonder onredelijke vertraging, waar mogelijk op voorhand doch uiterlijk binnen 14 dagen na een wijziging in haar beveiligingsbeleid daarover, of zoveel eerder als de aard van de wijziging vergt.

BIJLAGE 3 SUBVERWERKERS

Voor de Verwerking van Persoonsgegevens in het kader van de Dienstverleningsovereenkomst is het Verwerker toegestaan gebruik te maken van de volgende Subverwerkers:

  • Subverwerker 1: , Amazon Web Services Emea S.A.R.L. statutair gevestigd te Amsterdam en kantoorhoudende aan de Mr. Treublaan 7, 1097 DP, ingeschreven in het handelsregister onder nummer 68579780001;

Met deze Subverwerker zijn de volgende technische en organisatorische (beveiligings-)maatregelen overeengekomen:

  • AWS will not access or use, or disclose to any third party, any Customer Data, except, in each case, as necessary to maintain or provide the Services, or as necessary to comply with the law or a valid and binding order of a governmental body (such as a subpoena or court order). If a governmental body sends AWS a demand for Customer Data, AWS will attempt to redirect the governmental body to request that data directly from Customer. As part of this effort, AWS may provide Customer’s basic contact information to the governmental body. If compelled to disclose Customer Data to a governmental body, then AWS will give Customer reasonable notice of the demand to allow Customer to seek a protective order or other appropriate remedy unless AWS is legally prohibited from doing so.
  • AWS restricts its personnel from processing Customer Data without authorization by AWS as described in the Security Standards. AWS imposes appropriate contractual obligations upon its personnel, including relevant obligations regarding confidentiality, data protection and data security.
  • Security of the AWS Network as set out in Section 1.1 of the Security Standards
  • AWS will make the AWS Network accessible only to authorized personnel, and only as necessary to maintain and provide the Services. AWS will maintain access controls and policies to manage authorizations for access to the AWS Network from each network connection and user, including through the use of firewalls or functionally equivalent technology and authentication controls. AWS will maintain access controls designed to (i) restrict unauthorized access to data, and (ii) segregate each customer’s data from other customers’ data.
  • AWS will (i) provision and restrict user access to the AWS Network in accordance with least privilege principles based on personnel job functions, (ii) require review and approval prior to provisioning access to the AWS Network above least privileged principles, including administrator accounts; (iii) require at least quarterly review of AWS Network access privileges and, where necessary, revoke AWS Network access privileges in a timely manner, and (iv) require two- factor authentication for access to the AWS Network from remote locations.
  • AWS will perform regular external vulnerability assessments and penetration testing of the AWS Network, and will investigate identified issues and track them to resolution in a timely manner.
  • Before publicly launching new Services or significant new features of Services, AWS will perform application security reviews designed to identify, mitigate and remediate security risks.
  • AWS will maintain controls designed to log, authorize, test, approve and document changes to existing AWS Network resources, and will document change details within its change management or deployment tools. AWS will test changes according to its change management standards prior to migration to production. AWS will maintain processes designed to detect unauthorized changes to the AWS Network and track identified issues to a resolution.
  • AWS will maintain controls designed to provide data integrity during transmission, storage and processing within the AWS Network. AWS will provide Customer the ability to delete Customer Data from the AWS Network.
  • AWS will maintain a formal risk management program designed to support the continuity of its critical business functions (“Business Continuity Program”). The Business Continuity Program includes processes and procedures for identification of, response to, and recovery from, events that could prevent or materially impair AWS’s provision of the Services (a “BCP Event”).
  • AWS will maintain corrective action plans and incident response plans to respond to potential security threats to the AWS Network. AWS incident response plans will have defined processes to detect, mitigate, investigate, and report security incidents. The AWS incident response plans include incident verification, attack analysis, containment, data collection, and problem remediation. AWS will maintain an AWS Security Bulletin (as of the Effective Date, http://aws.amazon.com/security/security-bulletins/) which publishes and communicates security related information that may affect the Services and provides guidance to mitigate the risks identified.
  • AWS will maintain a media decommissioning process that is conducted prior to final disposal of storage media used to store Customer Data. Prior to final disposal, storage media that was used to store Customer Data will be degaussed, erased, purged, physically destroyed, or otherwise sanitized in accordance with industry standard practices designed to ensure that the Customer Data cannot be retrieved from the applicable type of storage media.
  • physical security of the facilities;
    • AWS will (i) implement and maintain physical safeguards designed to prevent unauthorized physical access, damage, or interference to the AWS Network, (ii) use appropriate control devices to restrict physical access to the AWS Network to only authorized personnel who have a legitimate business need for such access, (iii) monitor physical access to the AWS Network using intrusion detection systems designed to monitor, detect, and alert appropriate personnel of security incidents, (iv) log and regularly audit physical access to the AWS Network, and (v) perform periodic reviews to validate adherence with these standards.
    • AWS will (i) implement redundant systems for the AWS Network designed to minimize the effect of a malfunction on the AWS Network, (ii) design the AWS Network to anticipate and tolerate hardware failures, and (iii) implement automated processes designed to move customer data traffic away from the affected area in the case of hardware failure.
  • measures to control access rights for authorized personnel to the AWS;
    • AWS will implement and maintain employee security training programs regarding AWS information security requirements. The security awareness training programs will be reviewed and updated at least annually.
    • Where permitted by law, and to the extent available from applicable governmental authorities, AWS will require that each employee undergo a background investigation that is reasonable and appropriate for that employee’s position and level of access to the AWS Network.
  • Processes for regularly testing, assessing and evaluating the effectiveness of the technical and organizational measures implemented by AWS as described in Section 2 of the Security Standards.
    • AWS will conduct periodic reviews of the information security program for the AWS Network. AWS will update or alter its information security program as necessary to respond to new security risks and to take advantage of new technologies.
  • Pseudonymization and encryption to ensure an appropriate level of security.
  • Measures to ensure the ongoing confidentiality, integrity, availability and resilience of the processing systems and services that are operated by Customer; measures to allow Customer to backup and archive appropriately in order to restore availability and access to Customer Data in a timely manner in the event of a physical or technical incident.