Verwerkersovereenkomst
Eerste publicatie (v1.0): : 01-11-2021
Laatste versie (v1.2): 01-01-2024
Gelden voor levering van diensten en producten.
Inleiding:
Deze verwerkersovereenkomst is van toepassing op alle door Plan&Was B.V. geleverde producten en diensten en maakt onderdeel uit van de tot stand gekomen opdrachten.
De Opdrachtgever van de tot stand gekomen opdracht(en) is in deze overeenkomst verantwoordelijk (“De Verwerkingsverantwoordelijke”) voor de persoonsgegevens.
Plan&Was B.V., gevestigd te Schoffel 61, 1648 GG te De Goorn, is in deze overeenkomst (“De Verwerker”) van de persoonsgegevens.
Hierna zullen beide partijen als Verwerkingsverantwoordelijke of Verwerker worden aangeduid.
In aanmerking nemende dat
- Verwerkingsverantwoordelijke de beschikking heeft over persoonsgegevens van diverse betrokkenen, zoals bedoeld in artikel 4 sub 1 van de Algemene Verordening Gegevensbescherming (hierna: “AVG”);
- Verwerkingsverantwoordelijke ten behoeve van de uitvoering van de overeenkomst(en) die met Verwerker is/zijn gesloten (hierna: “Overeenkomst(en)”) persoonsgegevens wil laten verwerken door Verwerker, teneinde het verwerken van deze (persoons)gegevens. Het betreft alle persoonsgegevens die Verwerkingsverantwoordelijke door Verwerker laat verwerken;
- Verwerkingsverantwoordelijke aangemerkt kan worden als Verwerkingsverantwoordelijke in de zin van artikel 4 sub 7 van de AVG;
- Verwerker aangemerkt kan worden als Verwerker in de zin van artikel 4 sub 8 AVG;
- Partijen, mede gelet op het vereiste uit artikel 28 lid 3 AVG hun rechten en plichten schriftelijk wensen vast te leggen middels deze Verwerkersovereenkomst (hierna: Verwerkersovereenkomst).
Zijn als volgt overeengekomen:
Artikel 1. Doeleinden
- Verwerker verbindt zich onder de voorwaarden van deze Verwerkersovereenkomst in opdracht van Verwerkingsverantwoordelijke persoonsgegevens te verwerken. Verwerking zal uitsluitend plaatsvinden in het kader van het in ‘Bijlage 1’ gespecificeerde doel van Verwerkingsverantwoordelijke, plus die doeleinden die daarmee redelijkerwijs samenhangen of die met nadere instemming worden bepaald.
- Verwerker heeft geen zeggenschap over het doel en de middelen voor de verwerking van persoonsgegevens. Verwerker neemt geen zelfstandige beslissingen over de ontvangst en het gebruik van de persoonsgegevens, de verstrekking aan derden en de duur van de opslag van persoonsgegevens.
- De in opdracht van Verwerkingsverantwoordelijke te verwerken persoonsgegevens blijven eigendom van Verwerkingsverantwoordelijke en/of de betreffende betrokkenen.
Artikel 2. Verplichtingen Verwerker
- Ten aanzien van de in artikel 1 genoemde verwerkingen zal Verwerker zorg dragen voor de naleving van de toepasselijke wet- en regelgeving, waaronder in ieder geval begrepen de wet- en regelgeving op het gebied van de bescherming van persoonsgegevens, zoals de AVG.
- Verwerker zal Verwerkingsverantwoordelijke, op diens verzoek daartoe, informeren over de door haar genomen maatregelen aangaande haar verplichtingen onder deze Verwerkersovereenkomst.
- De verplichtingen van de Verwerker die uit deze Verwerkersovereenkomst voortvloeien, gelden ook voor degenen die persoonsgegevens verwerken onder het gezag van Verwerker, waaronder begrepen maar niet beperkt tot werknemers, in de ruimste zin van het woord.
Artikel 3. Doorgifte van persoonsgegevens
- Verwerker mag de persoonsgegevens verwerken in landen binnen de Europese Economische Ruimte. Doorgifte naar landen buiten de Europese Economische Ruimte is toegestaan, mits Verwerkingsverantwoordelijke aan Verwerker hier voorafgaand toestemming voor heeft gegeven.
- Voor het doorgeven van persoonsgegevens naar landen buiten de Europese Unie stelt de Verordening dat dit alleen mag als het door de Verordening geboden beschermingsniveau niet wordt ondermijnd. Dit is het geval als het land buiten de Europese Unie een adequaat niveau van gegevensbescherming kent.
- Doorgifte naar landen buiten de Europese Economische Ruimte is toegestaan voor landen buiten de Europese unie waarvoor de Europese Commissie een adequaatheidsbeslissingen heeft aangenomen, waaronder Nieuw-Zeeland, Zwitserland en Canada (behalve Quebec). Ook voor de Verenigde Staten bestaat een adequaatheidsbeslissing, maar alleen voor zover de ontvangende partij zichzelf heeft verplicht zich te houden aan de principes zoals vastgelegd in deze beslissing, ook wel het Privacy Shield geheten.
- Verwerker zal Verwerkingsverantwoordelijke, indien zij daarom expliciet verzoekt, melden in welk land of landen de persoonsgegevens worden verwerkt.
Artikel 4. Verdeling van verantwoordelijkheid
- Verwerker is louter verantwoordelijk voor de verwerking van de persoonsgegevens onder deze Verwerkersovereenkomst, overeenkomstig de instructies van Verwerkingsverantwoordelijke en onder de uitdrukkelijke (eind)verantwoordelijkheid van Verwerkingsverantwoordelijke. Voor de overige verwerkingen van persoonsgegevens, waaronder in ieder geval begrepen maar niet beperkt tot de verzameling van de persoonsgegevens door de Verwerkingsverantwoordelijke, verwerkingen voor doeleinden die niet door Verwerkingsverantwoordelijke aan Verwerker zijn gemeld, verwerkingen door derden en/of voor andere doeleinden, is Verwerker uitdrukkelijk niet verantwoordelijk.
- Partijen zullen in hun respectieve rol van verwerkingsverantwoordelijke en verwerker de voor hen geldende verplichtingen uit de AVG nakomen. Verwerkingsverantwoordelijke zal Verwerker vrijwaren voor alle aanspraken van derden die het gevolg zijn van een schending van één of meer verplichtingen uit de AVG die gelden voor een verwerkingsverantwoordelijke. Verwerker zal Verwerkingsverantwoordelijke vrijwaren voor alle aanspraken van derden die het gevolg zijn van een schending van één of meer verplichtingen uit de AVG die gelden voor een verwerker.
- Verwerkingsverantwoordelijke garandeert dat de inhoud, het gebruik en de opdracht tot de verwerkingen van de persoonsgegevens zoals bedoeld in de Verwerkersovereenkomst, niet onrechtmatig is en geen inbreuk maken op enig recht van derden, en vrijwaart Verwerker tegen alle aanspraken en claims die hiermee verband houden.
Artikel 5. Inschakelen van derden of onderaannemers
- Verwerkingsverantwoordelijke geeft Verwerker hierbij toestemming om bij de verwerking van persoonsgegevens gebruik te maken van derden (sub-verwerkers) die in het kader van deze Verwerkersovereenkomst persoonsgegevens verwerken, met inachtneming van de toepasselijke privacywetgeving.
- Op eerste verzoek van Verwerkingsverantwoordelijke verstrekt Verwerker aan Verwerkingsverantwoordelijke een lijst met namen van ingeschakelde derden die persoonsgegevens verwerken in het kader van deze Verwerkersovereenkomst. Op basis hiervan kan Verwerkingsverantwoordelijke op redelijke gronden bezwaar aantekenen tegen het inschakelen van deze derden. In dat geval treden partijen in overleg om tot een werkbare oplossing te komen.
- Verwerker zorgt ervoor dat deze derden schriftelijk dezelfde plichten op zich nemen als tussen Verwerkingsverantwoordelijke en Verwerker is overeengekomen.
Artikel 6. Beveiliging en audit
- Verwerker zal passende technische en organisatorische maatregelen nemen met betrekking tot de te verrichten verwerkingen van persoonsgegevens, tegen verlies of tegen enige vorm van onrechtmatige verwerking (zoals onbevoegde kennisname, aantasting, wijziging of verstrekking van de persoonsgegevens). De wijze van beveiliging is echter mede afhankelijk van de diensten die door Verwerkingsverantwoordelijke zijn afgenomen zoals omschreven in de Overeenkomst. Op verzoek van Verwerkingsverantwoordelijke overlegt Verwerker een overzicht van de genomen maatregelen, naar alle redelijkheid en voor zover relevant voor de dienstverlening en/of informatievergaring van Verwerkingsverantwoordelijke. Verwerker kan er, gezien de snelheid waarmee de techniek zich dagelijks ontwikkelt, niet voor instaan dat de beveiliging onder alle omstandigheden doeltreffend is.
- Verwerkingsverantwoordelijke stelt enkel persoonsgegevens aan Verwerker ter beschikking voor verwerking, indien zij zich ervan heeft verzekerd dat de passende beveiligingsmaatregelen zijn getroffen.
- Verwerker zal Verwerkingsverantwoordelijke ondersteunen bij de uitvoering van een Privacy Impact Assessment (hierna: ‘PIA’) of een voorafgaande raadpleging van de toezichthouder, mocht dit wettelijk verplicht zijn.
- Verwerkingsverantwoordelijke heeft het recht om ten minste eenmaal per kalenderjaar een audit uit te laten voeren door een onafhankelijke auditor die aan geheimhouding is gebonden, ter controle van naleving van de afspraken uit deze Verwerkersovereenkomst omtrent de beveiliging van de persoonsgegevens die Verwerker ten behoeve van Verwerkingsverantwoordelijke verwerkt.
- Verwerkingsverantwoordelijke zal de wens voor het uitvoeren van de audit vooraf, met inachtneming van een termijn van minimaal twee weken, aankondigen aan Verwerker. Verwerker zal vervolgens een beschikbare datum, die niet later dan vier weken na de aankondiging van Verwerkingsverantwoordelijke plaatsvindt, voor de uitvoering van de audit doorgeven aan Verwerkingsverantwoordelijke.
- De audit zal zodanig worden uitgevoerd dat de bedrijfsvoering van Verwerker zo min mogelijk wordt verstoord.
- De bevindingen naar aanleiding van de uitgevoerde audit zullen door Partijen in onderling overleg worden beoordeeld en, naar aanleiding daarvan, voor zover dat redelijk is in het kader van de uitvoering van de Overeenkomst al dan niet worden doorgevoerd door één van de Partijen of door beide Partijen gezamenlijk. Partijen zullen de uitkomsten en bevindingen van de audit vertrouwelijk behandelen.
- De kosten voor de audit zoals omschreven in lid 1 worden gedragen door Verwerkingsverantwoordelijke. Tevens worden de kosten voor de inzet van de Compliance Officers van Verwerker gedurende de audit gedragen door Verwerkingsverantwoordelijke. Indien uit de controle blijkt dat Verwerker materieel tekortschiet in de nakoming van deze Verwerkersovereenkomst, komen de redelijke kosten voor rekening van Verwerker.
Artikel 7. Afhandeling verzoeken van betrokkenen
- In het geval dat een betrokkene een verzoek tot uitoefening van zijn/haar wettelijke rechten, zoals opgenomen in de AVG, richt aan Verwerker, zal Verwerker dit verzoek doorsturen aan Verwerkingsverantwoordelijke.
- Verwerkingsverantwoordelijke zal het verzoek vervolgens verder zelfstandig afhandelen. Indien blijkt dat de Verwerkingsverantwoordelijke hulp benodigd heeft van de Verwerker voor de uitvoering van een verzoek van een betrokkene, dan kan de Verwerker hiervoor kosten in rekening brengen.
Artikel 8. Meldplicht
- In het geval dat Verwerker een inbreuk in verband met persoonsgegevens, zoals bedoeld in de AVG, zal Verwerker zich naar beste kunnen inspannen om Verwerkingsverantwoordelijke daarover zo spoedig mogelijk te informeren, doch uiterlijk binnen 48 uur nadat Verwerker kennisneemt van de inbreuk, naar aanleiding waarvan Verwerkingsverantwoordelijke beoordeelt of zij de toezichthouder en/of de betrokkenen zal informeren of niet. Verwerkingsverantwoordelijke is en blijft verantwoordelijk voor een eventuele wettelijke verplichtingen daartoe.
- De meldplicht behelst in ieder geval het melden van het feit dat er een lek is geweest, alsmede, voor zover bekend bij Verwerker:
- wat de (vermeende) oorzaak is van het lek;
- wat het (vooralsnog bekende en/of te verwachten) gevolg is;
- het aantal gegevens die zijn gelekt;
- de datum waarop het lek heeft plaatsgevonden (indien geen exacte datum bekend is: de periode waarbinnen het lek heeft plaatsgevonden);
- de datum en het tijdstip waarop het lek bekend is geworden bij Verwerker of bij een door hem ingeschakelde derde/onderaannemer;
- of de gegevens versleuteld, gehasht of op een andere manier onbegrijpelijk of ontoegankelijk zijn gemaakt voor onbevoegden;
- wat de voorgenomen en/of reeds ondernomen maatregelen zijn om het lek te dichten en om de gevolgen van het lek te beperken.
- Een melding door Verwerker aan Verwerkingsverantwoordelijke moet alleen worden gedaan als de gebeurtenis zich daadwerkelijk voorgedaan heeft. Verwerkingsverantwoordelijke is en blijft zelfstandig verantwoordelijk voor een eventuele melding richting de toezichthouder en/of de betrokkenen.
- Indien de wet- en/of regelgeving dit vereist zal Verwerker, tegen vergoeding van de kosten die zij daarvoor maakt, meewerken aan het informeren van de ter zake relevante autoriteiten en eventueel betrokkenen.
Artikel 9. Geheimhouding en vertrouwelijkheid
- Op alle persoonsgegevens die Verwerker van Verwerkingsverantwoordelijke ontvangt in het kader van deze Verwerkersovereenkomst, rust een geheimhoudingsplicht jegens derden. Deze geheimhoudingsplicht blijft ook gelden na beëindiging van deze overeenkomst.
- Deze geheimhoudingsplicht is niet van toepassing voor zover Verwerkingsverantwoordelijke uitdrukkelijke toestemming heeft gegeven om de informatie aan derden te verschaffen, indien het verstrekken van de informatie aan derden logischerwijs noodzakelijk is gezien de aard van de verstrekte opdracht en de uitvoering van deze Verwerkersovereenkomst of indien er een wettelijke verplichting bestaat om de informatie aan een derde te verstrekken.
Artikel 10. Duur en beëindiging
- Deze Verwerkersovereenkomst is aangegaan voor de duur zoals bepaald in de Overeenkomst, en bij gebreke daarvan voor de duur van de samenwerking.
- De Verwerkersovereenkomst kan tussentijds niet worden opgezegd.
- Partijen mogen deze Verwerkersovereenkomst alleen wijzigen met wederzijdse instemming.
- Zodra deze Verwerkersovereenkomst, om welke reden en op welke wijze dan ook, is beëindigd, zal Verwerker alle persoonsgegevens die bij hem aanwezig zijn zo snel mogelijk verwijderen en/of vernietigen, tenzij Partijen anders zijn overeengekomen.
Artikel 11. Overige bepalingen
- De Verwerkersovereenkomst en de uitvoering daarvan worden beheerst door Nederlands recht.
- Alle geschillen, welke tussen Partijen mochten ontstaan in verband met de
- Indien één of meer bepalingen van de Verwerkersovereenkomst niet rechtsgeldig blijkt te zijn, zal de Verwerkersovereenkomst voor het overige van kracht blijven. Partijen overleggen alsdan over de bepalingen welke niet rechtsgeldig zijn, teneinde een vervangende regeling te treffen die wel rechtsgeldig is en zoveel mogelijk aansluit bij de strekking van de te vervangen regeling.
- Indien de privacywetgeving wijzigt, zullen partijen meewerken deze Verwerkersovereenkomst aan te passen teneinde aan deze wetgeving te kunnen (blijven) voldoen.
- In geval van strijdigheid van verschillende documenten of de bijlagen daarvan, geldt de volgende rangorde:
- Overige schriftelijk vastgelegde afspraken, wederzijds op directieniveau bekrachtigd;
- De Offerte;
- Het Contract;
- Deze Verwerkersovereenkomst;
- De verwerkersovereenkomst van opdrachtgever;
- De Algemene Voorwaarden van Verwerker.
- Partijen komen uitdrukkelijk overeen dat ten aanzien van aansprakelijkheid de normale wettelijke regeling geldt.
Verwerker
Bedrijfsnaam: Plan&Was B.V.
Naam: Dhr. J. Poen
Plaats: De Goorn
Verwerkersverantwoordelijke / Opdrachtgever:
Online acceptant behorende aan de opdrachtbevestiging.
Ingangsdatum:
Datum waarop de overeenkomst tot stand is gekomen.
Bijlage 1: Specificatie persoonsgegevens, betrokkenen en doel van de verwerking
Verwerker zal in het kader van de Overeenkomst, de volgende (bijzondere) persoonsgegevens verwerken in opdracht van Verwerkingsverantwoordelijke:
Klanten, medewerkers, website bezoekers, relaties, prospect, leveranciers, mail ontvangers, mail verzenders.
Het betreft de volgende categorieën betrokkenen:
Naam, adres, postcode en woonplaats gegevens, emailadressen, IBAN/Bankrekeningnummer, telefoonnummers, IP-Adressen en gegevens die uit eigen beweging aangeleverd of ingevuld zijn.
Het betreft verwerking met als doeleinde(n):
Gegevens worden niet langer bewaard dan noodzakelijk voor het doel waarvoor deze zijn verstrekt dan wel zolang als op grond van de wet is vereist.