Verwerkersovereenkomst

Versie 1.0 | Mulder IT | mei 2018

  1. De klant zoals geregistreerd in het systeem van Mulder IT als zijnde Verwerkingsverantwoordelijke, (hierna: “Verantwoordelijke”.) :en
  2. Mulder IT gevestigd te [6851 TD] Huissen, aan de Primulalaan 2, rechtsgeldig vertegenwoordigd door de heer Peter Mulder (hierna: “Verwerker”);

in aanmerking nemende dat:

  • Verantwoordelijke de beschikking heeft over persoonsgegevens van diverse betrokkenen;
  • Verantwoordelijke bepaalde vormen van verwerking wil laten verrichten door de Verwerker;
  • Waar in deze overeenkomst gesproken wordt over persoonsgegevens, hiermee persoonsgegevens in de zin van artikel 4 lid 1 van de Algemene verordening gegevensbescherming(hierna: “AVG”) bedoeld worden;
  • Verantwoordelijke de doeleinden en middelen aanwijst voor de verwerking en waarvoor de hierin genoemde voorwaarden gelden;
  • Verwerker hiertoe bereid is en tevens bereid is verplichtingen omtrent beveiliging en andere aspecten van de AVG na te komen, voor zover dit binnen haar wettelijke verantwoordelijkheid ligt;
  • Verantwoordelijke aangemerkt kan worden als Verwerkingsverantwoordelijke in de zin van artikel 4 lid 7 van de AVG, maar steeds als ‘Verantwoordelijke” zal worden benoemd;
  • Verwerker aangemerkt kan worden als Verwerker in de zin van artikel 4 lid 8 van de AVG;
  • Partijen, mede gelet op het vereiste uit artikel 28 lid 3 van de AVG, hun rechten en plichten schriftelijk wensen vast te leggen middels deze Verwerkersovereenkomst (hierna: “Verwerkersovereenkomst”).

zijn als volgt overeengekomen:

 

ARTIKEL 1. DOEL VAN DE VERWERKING

1.1. Verwerker verbindt zich onder de voorwaarden van deze Verwerkersovereenkomst in opdracht van Verantwoordelijke persoonsgegevens te verwerken. Verwerking zal uitsluitend plaatsvinden in het kader van het verwerken van transactie data t.b.v. bestellingen aan Verantwoordelijke en aan klanten van Verantwoordelijke, zoals neergelegd in de algemene voorwaarden van Verwerker.

1.2. Verwerker zal de persoonsgegevens niet voor enig ander doel verwerken dan zoals door Verantwoordelijke is vastgesteld, met uitzondering van statistische en analytische doeleinden ten behoeve van Verwerker zelf.

1.3. Bij de verwerking door de Verwerker zullen de volgende soort(en) persoonsgegevens worden verwerkt: NAW gegevens, e-mail adressen, telefoonnummers.

1.4. De Verwerker neemt geen zelfstandige beslissingen over het verwerken van de persoonsgegevens. De zeggenschap over persoonsgegevens verstrekt aan Verwerker in het kader van deze Verwerkersovereenkomst of andere overeenkomsten tussen partijen, alsmede over de door Verwerker in dat kader verwerkte gegevens, berust bij de Verantwoordelijke.

1.5. De in opdracht van Verantwoordelijke te verwerken persoonsgegevens blijven eigendom c.q. bezit van Verantwoordelijke en/of de betreffende betrokkenen.

 

ARTIKEL 2. PLICHTEN VERWERKER

2.1. Verwerker garandeert de naleving van de toepasselijke wetgeving, waaronder in ieder geval begrepen de wetgeving op het gebied van de bescherming van persoonsgegevens, zoals de AVG, voor zover die verplichtingen onder haar wettelijke verantwoordelijkheid vallen.

2.2. Verwerker zal Verantwoordelijke, op diens eerste verzoek daartoe, informeren over de door haar genomen maatregelen aangaande haar verplichtingen onder deze Verwerkersovereenkomst en de relevante wetgeving.

2.3. De verplichtingen van de Verwerker die uit deze Verwerkersovereenkomst voortvloeien, gelden ook voor degenen die persoonsgegevens verwerken onder het gezag van Verwerker, waaronder begrepen maar niet beperkt tot werknemers, in de ruimste zin van het woord.

2.4. Verwerker zal Verantwoordelijke de mogelijkheid geven om minimaal eenmaal per jaar een audit uit te (doen) voeren naar de naleving van de bescherming van persoonsgegevens. Verantwoordelijke kan hiertoe een verzoek aan Verwerker doen. Verwerker zal hierover gezamenlijk met Verantwoordelijke afspraken maken. De kosten van een audit zijn voor rekening van Verantwoordelijke. Verantwoordelijke stelt Verwerker een kopie van de resultaten van de audit ter beschikking.

 

ARTIKEL 3. DOORGIFTE VAN PERSOONSGEGEVENS

3.1. Verwerker mag de persoonsgegevens verwerken in landen binnen de Europese Unie. Doorgifte naar landen buiten de Europese Unie is uitsluitend toegestaan na goedkeuring door Verantwoordelijke en met inachtneming van de toepasselijke wetgeving.

 

 

 

ARTIKEL 4. VERANTWOORDELIJKHEID EN AANSPRAKELIJKHEID

4.1. De toegestane verwerkingen worden uitgevoerd binnen een geautomatiseerde omgeving onder controle van Verwerker.

4.2. Verwerker is verantwoordelijk voor de verwerking van de persoonsgegevens onder deze Verwerkersovereenkomst, overeenkomstig de schriftelijke instructies van Verantwoordelijke en uitsluitend overeenkomstig haar wettelijke verantwoordelijkheid.

4.3. Verantwoordelijke is verantwoordelijk voor de eigen verwerkingen van persoonsgegevens, waarbij Verwerker niet is betrokken.

4.4. De Verwerker is jegens Verantwoordelijke aansprakelijk, indien de Verwerker haar verplichtingen op grond van deze overeenkomst of de wet, niet nakomt wegens een omstandigheid die aan de Verwerker is te wijten. De aansprakelijkheid van Verwerker jegens de Verantwoordelijke is beperkt op de wijze zoals in de algemene voorwaarden van Verwerker is geregeld.

 

ARTIKEL 5. INSCHAKELEN VAN DERDEN

5.1. Verwerker mag in het kader van deze Verwerkersovereenkomst gebruik maken van een derde en stelt de Verantwoordelijke daarvan onverwijld op de hoogte.

5.2. Verwerker zorgt er in ieder geval voor dat deze derde schriftelijk dezelfde plichten op zich neemt als tussen Verwerker en Verantwoordelijke zijn overeengekomen. Verwerker staat in voor een correcte naleving van deze plichten door deze derden en is bij fouten van deze derden zelf aansprakelijk voor schade alsof zij zelf de fout(en) heeft begaan, behoudens gevallen van opzet of bewuste roekeloosheid van de derde.

 

ARTIKEL 6. MELDPLICHT EN DATALEKKEN

6.1. In het geval van een datalek (oftewel een inbreuk in verband met persoonsgegevens), betrekking hebbende op de persoonsgegevens van Verantwoordelijke die Verwerker verwerkt, zal Verwerker de Verantwoordelijke daarover informeren binnen 24 uur na ontdekking, naar aanleiding waarvan de Verantwoordelijke beoordeelt of zij de betrokkene(n) en/of de relevante toezichthouder(s) zal informeren of niet. Verwerker garandeert dat de verstrekte informatie volledig, correct en accuraat is. De meldplicht van Verwerker aan Verantwoordelijke geldt ongeacht de impact van het lek.

6.2. Verantwoordelijke is te allen tijde verantwoordelijk voor de keuze om wel of niet te melden en zal ook zelf de melding uitvoeren. Slechts indien de wetgeving dit vereist zal Verwerker meewerken aan het informeren van de ter zake relevante autoriteiten en/of betrokkenen, alsmede aan de overige plichten uit de AVG

6.3. De meldplicht aan de verantwoordelijke behelst in ieder geval het melden van het feit dat er een lek is geweest, alsmede:

  • wat de (vermeende) oorzaak is van het lek;
  • wat is het (vooralsnog bekende en/of te verwachten) gevolg;
  • wat is de (voorgestelde) oplossing;
  • welke rechten heeft de betrokkene;
  • contactgegevens voor de opvolging van de melding;
  • wat de reeds ondernomen maatregelen zijn.

 

ARTIKEL 7. BEVEILIGINGSMAATREGELEN

7.1. Verwerker garandeert dat haar eigen beveiliging onder alle redelijkerwijs te verwachten omstandigheden adequaat is gelet op het type gegevens en het daaraan verbonden risico. De Verwerker garandeert in haar eigen organisatie voldoende technische en organisatorische maatregelen te nemen met betrekking tot de te verrichten verwerkingen van persoonsgegevens, tegen verlies of tegen enige vorm van onrechtmatige verwerking (zoals onbevoegde kennisname, aantasting, wijziging of verstrekking van de persoonsgegevens).

7.2. Verwerker heeft in ieder geval de volgende maatregelen genomen:

  • logische toegangscontrole, gebruik makend van wachtwoorden;
  • fysieke maatregelen voor toegangsbeveiliging;
  • encryptie (versleuteling) van digitale bestanden met persoonsgegevens in back-ups en op werkplekken;
  • organisatorische maatregelen voor toegangsbeveiliging;
  • beveiliging van netwerkverbindingen via Secure Socket Layer (SSL) technologie;
  • doelgebonden toegangsbeperkingen;
  • controle op toegekende bevoegdheden;
  • patch management;
  • meerlaagse antivirus beveiliging;
  • next generation firewall waarin verregaande beveiliging geactiveerd kan worden (bijv. SSL inspection).

 

ARTIKEL 8. VERZOEKEN VAN BETROKKENEN

8.1. In het geval dat een betrokkene een verzoek tot inzage, of verbetering, aanvulling, wijziging of afscherming richt aan Verwerker, zal Verwerker dit verzoek onverwijld doorsturen naar de Verantwoordelijke, zonder zelf aan het verzoek te voldoen, noch in contact te treden met de betrokkene.

8.2. In het geval dat een betrokkene een verzoek zoals in het voorgaande lid vermeld, richt aan de Verantwoordelijke zal Verwerker, indien Verantwoordelijke dit verlangt, medewerking verlenen voor zover noodzakelijk en voor zover dit redelijk is.

 

 

 

ARTIKEL 9. GEHEIMHOUDING EN VERTROUWELIJKHEID

9.1. Op alle persoonsgegevens die Verwerker van Verantwoordelijke ontvangt en vice versa en/of zelf verzamelt in het kader van deze Verwerkersovereenkomst, rust een geheimhoudingsplicht jegens derden.

9.2. Deze geheimhoudingsplicht is niet van toepassing voor zover Verantwoordelijke uitdrukkelijke toestemming heeft gegeven om de informatie aan derden te verschaffen, indien het verstrekken van de informatie aan derden logischerwijs noodzakelijk is gezien de aard van de verstrekte opdracht en de uitvoering van deze Verwerkersovereenkomst, of indien er een wettelijke verplichting bestaat om de informatie aan een derde te verstrekken.

 

ARTIKEL 10. DUUR EN BEËINDIGING

10.1. Deze Verwerkersovereenkomst is aangegaan voor de duur zoals bepaald in de separate Overeenkomst tussen partijen, en bij gebreke daarvan voor de duur van de samenwerking.

10.2. De Verwerkersovereenkomst kan na wederzijdse schriftelijke goedkeuring van partijen tussentijds worden beëindigd.

10.3. Bij beëindiging van de samenwerking, heeft Verantwoordelijke de keuze om de Verwerker alle namens Verantwoordelijke verwerkte persoonsgegevens te laten vernietigen, dan wel deze aan Verantwoordelijke terug te laten zenden. In beide gevallen zal Verwerker op zo kort mogelijke termijn geen persoonsgegevens van Verantwoordelijke meer onder zich hebben, behoudens een andersluidende wettelijke verplichting.

10.4. Partijen kunnen deze Verwerkersovereenkomst alleen wijzigen met wederzijdse instemming.

10.5. Partijen verlenen hun volledige medewerking deze Verwerkersovereenkomst aan te passen en geschikt te maken voor eventuele nieuwe privacywetgeving of veranderingen in bestaande privacywetgeving.

 

ARTIKEL 11. TOEPASSELIJK RECHT EN GESCHILLENBESLECHTING

11.1. De Verwerkersovereenkomst en de uitvoering daarvan worden beheerst door Nederlands recht.

11.2. Alle geschillen, die tussen partijen mochten ontstaan in verband met de Verwerkersovereenkomst, zullen worden voorgelegd aan de bevoegde rechter in het arrondissement waar Verantwoordelijke is gevestigd.