Data Processing

Verwerkersovereenkomst

Deze verwerkersovereenkomst is bedoeld als onderdeel van de overeenkomst die tussen licentienemer en verwerker is gesloten ten behoeve van de verlening van diensten en richt zich specifiek op de verwerking van persoonsgegevens in de uitvoering van de overeenkomst. In aanmerking nemende dat

Verwerkingsverantwoordelijke (Licentienemer) persoonsgegevens door Verwerker (Dienstverlener) wil laten verwerken, ten behoeve van de uitvoering van de overeenkomst die met Verwerker is gesloten (hierna: “de Overeenkomst”);
Met persoonsgegevens gegevens in de zin van artikel 4 lid 1 van de Verordening (EU) 2016/679, Algemene Verordening Gegevensbescherming (hierna “AVG”) bedoeld worden;
Verwerker die in het kader van de uitvoering van de Overeenkomst met Verwerkingsverantwoordelijke persoonsgegevens verwerkt, is aan te merken als Verwerker in de zin van artikel 4 lid 8 van de AVG en verantwoordelijke als Verwerkingsverantwoordelijke in de zin van artikel 4 lid 7 van de AVG;
Verwerker en Verwerkingsverantwoordelijke (hierna afzonderlijk: “Partij”, en gezamenlijk: “Partijen”), mede gelet op het vereiste uit artikel 28 lid 3 van de AVG, hun rechten en plichten schriftelijk wensen vast te leggen middels deze verwerkersovereenkomst (hierna: “Verwerkersovereenkomst”);
De algemene bepalingen uit de Verwerkersovereenkomst gelden voor alle verwerkingen in de uitvoering van de Overeenkomst;
Waar per 25 mei 2018 de bepalingen uit de AVG van kracht worden, voor die tijd verwezen wordt naar de overeenkomstige bepalingen uit de Wet bescherming persoonsgegevens (hierna “Wbp”)

##ARTIKEL 1. ALGEMEEN

1.1 Verwerker verbindt zich onder de voorwaarden van deze Verwerkersovereenkomst in opdracht van Verwerkingsverantwoordelijke persoonsgegevens te verwerken. Verwerker zal de persoonsgegevens verwerken op behoorlijke en zorgvuldige wijze en in overeenstemming met de AVG.

1.2 Verwerking door Verwerker zal uitsluitend plaatsvinden voor zover noodzakelijk om de dienst zoals omschreven in de Overeenkomst aan de Verwerkingsverantwoordelijke te verlenen (hierna: “Dienst”).

1.3 Verwerker zal persoonsgegevens die haar in het kader van de Overeenkomst ter beschikking zijn gesteld niet langer bewaren dan noodzakelijk is (i) voor de uitvoering van deze Overeenkomst; of (ii) om een op hem rustende wettelijke verplichting na te komen.

1.4 Verwerker zal de persoonsgegevens uitsluitend verwerken in opdracht en volgens de instructies van Verwerkingsverantwoordelijke. Verwerker mag de persoonsgegevens niet ten eigen nutte, ten nutte van derden, en/of andere doeleinden verwerken, behoudens op hem rustende afwijkende dwingendrechtelijke verplichtingen. De zeggenschap over persoonsgegevens verstrekt aan Verwerker in het kader van de Overeenkomst of andere overeenkomsten tussen Partijen, alsmede over de door Verwerker in dat kader verwerkte gegevens, berust bij Verwerkingsverantwoordelijke.

1.5 Verwerker is verantwoordelijk voor de verwerking van de persoonsgegevens onder deze Verwerkersovereenkomst, overeenkomstig de instructies van Verwerkingsverantwoordelijke. Verwerkingsverantwoordelijke is verantwoordelijk voor de eigen verwerkingen van persoonsgegevens, waarbij Verwerker niet is betrokken.

1.6 Verwerker is verplicht Verwerkingsverantwoordelijke onmiddellijk te informeren over toekomstige wijzigingen in de uitvoering van de Overeenkomst, zodat Verwerkingsverantwoordelijke kan toezien op de naleving van afspraken met Verwerker. Hieronder wordt mede begrepen de inschakeling van (nieuwe) sub-verwerkers, onverminderd het bepaalde in artikel 3 (Inzet van sub-verwerkers) en artikel 12 (Wijziging).

1.7 Het verwerken van gegevens door Verwerker, waaronder persoonsgegevens, zal nimmer met zich meebrengen dat de databases van Verwerker worden verrijkt met de gegevens afkomstig uit de datasets van Verwerkingsverantwoordelijke. Het zonder schriftelijke toestemming combineren van gegevens afkomstig van Verwerkingsverantwoordelijke door Verwerker is niet toegestaan.

1.8 De in deze Verwerkersovereenkomst gehanteerde definities hebben dezelfde betekenis als de overeenstemmende definities opgenomen in de AVG

ARTIKEL 2. VERPLICHTINGEN VERWERKER

2.1 Verwerker garandeert de naleving van de toepasselijke wet- en regelgeving, waaronder in ieder geval begrepen de wet- en regelgeving op het gebied van de bescherming van persoonsgegevens, waaronder de AVG.

2.2 Verwerker zal Verwerkingsverantwoordelijke, op diens eerste verzoek daartoe, informeren over de door haar genomen maatregelen aangaande haar verplichtingen onder deze Verwerkersovereenkomst en de AVG.

2.3 De verplichtingen van de Verwerker die uit deze Verwerkersovereenkomst voortvloeien, gelden ook voor degenen die persoonsgegevens verwerken onder het gezag van Verwerker, waaronder maar niet beperkt tot een op enigerlei wijze aan Verwerker verbonden (natuurlijke) persoon, zoals personeel en/of derden. Verwerker zorgt daarbij o.a. voor de juiste autorisaties wat betreft toegang van deze personen tot de persoonsgegevens van Verwerkingsverantwoordelijke.

2.4 Verwerker zal Verwerkingsverantwoordelijke ondersteunen bij de uitvoering van een Data Protection Impact Assessment (hierna: ‘DPIA’) wanneer Verwerker dit op grond van de AVG verplicht is, of ondersteuning hierbij vanuit de Verwerkingsverantwoordelijke gewenst is. Deze ondersteuning kan zich onder andere uiten in het ter beschikking stellen van de benodigde informatie door Verwerker aan Verwerkingsverantwoordelijke, voor het correct uitvoeren van de DPIA. Uitsluitend na voorafgaand overleg hierover en instemming door Verwerkingsverantwoordelijke, kan Verwerker de redelijke kosten die ter ondersteuning van de DPIA door Verwerker worden gemaakt in rekening brengen bij Verwerkingsverantwoordelijke.

ARTIKEL 3. INZET VAN SUB-VERWERKER

3.1 Het is de Verwerker toegestaan sub-verwerkers in te schakelen.

3.2 Bij inschakeling van sub-verwerkers zal Verwerker schriftelijk minimaal dezelfde verplichtingen opleggen aan de sub-verwerker als die gelden jegens de Verwerker in deze Verwerkersovereenkomst. Verwerkingsverantwoordelijke heeft het recht de mogelijk hierbij betrokken overeenkomsten in te zien.

3.3 Verwerker staat in voor een correcte naleving van deze plichten door deze sub-verwerkers.

ARTIKEL 4. BEVEILIGING

4.1 Verwerker brengt passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking (zoals onbevoegde kennisname, aantasting, wijziging of verstrekking van de persoonsgegevens). Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging daarvan, een passend beveiligingsniveau gelet op de risico’s die de verwerking en de aard van de te beschermen persoonsgegevens meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking te voorkomen en voldoen aan de beveiligingseisen gesteld aan de verwerking van persoonsgegevens op grond van artikel 32 AVG.

4.2 Verwerker zal te allen tijde een passend en actueel beveiligingsbeleid hanteren waarin de technische en organisatorische beveiligingsmaatregelen zijn uitgewerkt. Verwerker zal Verwerkingsverantwoordelijke desgevraagd op diens eerste verzoek inzage verschaffen in dit beveiligingsbeleid.

ARTIKEL 5. VERTROUWELIJKHEID

5.1 Partijen zullen alle gegevens waarvan zij het vertrouwelijk karakter kennen of redelijkerwijs kunnen vermoeden en die hen in het kader van de uitvoering van de Overeenkomst of Verwerkersovereenkomst ter kennis of beschikking komen, geheimhouden en op geen enkele wijze (zelfs niet wanneer deze in een zodanige vorm is gebracht zodat deze niet tot betrokkenen herleidbaar is) verder intern of extern bekendmaken en/of aan derden verstrekken, behalve voor zover:

Bekendmaking en/of verstrekking van die gegevens in het kader van de uitvoering van de Overeenkomst noodzakelijk is;
Enig dwingendrechtelijk wettelijk voorschrift of rechterlijke uitspraak Partijen tot bekendmaking en/of verstrekking van die gegevens of informatie verplicht, waarbij Partijen eerst de andere partij hiervan op de hoogte stellen;
Bekendmaking en/of verstrekking van die gegevens geschiedt met voorafgaande schriftelijke toestemming van de Verwerkingsverantwoordelijke.

5.2 Partijen zullen voor hen werkzame personen (ongeacht of deze direct in dienst zijn), die betrokken zijn bij de verwerking van vertrouwelijke gegevens contractueel verplichten tot geheimhouding van die vertrouwelijke gegevens.

ARTIKEL 6. MELDPLICHT DATALEKKEN EN BEVEILIGINGSINBREUK

6.1 In het geval van een (vermoeden van) een Datalek (een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens) zal Verwerker de Verwerkingsverantwoordelijke direct, doch uiterlijk binnen twaalf (12) uur na de eerste ontdekking van het incident, informeren, waarna de Verwerkingsverantwoordelijke beoordeelt of zij de betrokkene(n) en/of de relevante toezichthouder(s) zal informeren of niet. De meldplicht geldt ongeacht de impact van het lek. 6 .2 De meldplicht behelst in ieder geval het melden van het feit dat er een lek is geweest, als ook voor zover bekend bij Verwerker:

Wat de (vermeende) oorzaak is van het lek;
Wat het (vooralsnog bekende en/of te verwachten) gevolg is;
Wat de (voorgestelde) oplossing is;
Contactgegevens voor de opvolging van de melding;
Het aantal personen waarvan gegevens zijn gelekt (indien geen exact aantal bekend is: het minimale en maximale aantal personen waarvan gegevens zijn gelekt);
Een omschrijving van de groep personen van wie gegevens zijn gelekt;
Het soort of de soorten persoonsgegevens die gelekt zijn;
De datum waarop het lek heeft plaatsgevonden (indien geen exacte datum bekend is: de periode waarbinnen het lek heeft plaatsgevonden);
De datum en het tijdstip waarop het lek bekend is geworden bij Verwerker of bij een door hem ingeschakelde sub-verwerker;
Of de gegevens versleuteld, gehasht of op een andere manier onbegrijpelijk of ontoegankelijk zijn gemaakt voor onbevoegden;
Wat de voorgenomen en/of reeds ondernomen maatregelen zijn om het lek te dichten en om de gevolgen van het lek te beperken.

6.3 Verwerker garandeert dat de onder artikel 6.2 verstrekte informatie volledig, juist en nauwkeurig is.

6.4 Verwerker zal op eigen kosten alle redelijkerwijs benodigde maatregelen treffen om onbevoegde kennisneming, wijziging, en verstrekking dan wel anderszins onrechtmatige verwerking te voorkomen of te beperken en een schending van beveiligingsmaatregelen, schending van de geheimhoudingsplicht of verder verlies van vertrouwelijke gegevens te beëindigen en in de toekomst te voorkomen.

6.5 Verwerker zal op verzoek van Verwerkingsverantwoordelijke, of indien de wet- en/of regelgeving dit vereist, meewerken aan het informeren van de bevoegde autoriteiten en betrokkene(n).

ARTIKEL 7. AUDIT

7.1 Verwerkingsverantwoordelijke heeft het recht om audits uit te laten voeren door een onafhankelijke derde, die aan geheimhouding is gebonden, ter controle van naleving van alle punten uit deze Verwerkersovereenkomst. Verwerkingsverantwoordelijke kan deze audit eenmaal per jaar uitvoeren, of vaker bij een concreet vermoeden van misbruik van persoonsgegevens. De door Verwerkingsverantwoordelijke geïnitieerde audit vindt minimaal twee weken na voorafgaande aankondiging plaats.

7.2 Verwerker zal, te allen tijde, aan een audit meewerken en alle voor het onderzoek redelijkerwijs relevante informatie, inclusief ondersteunende gegevens zoals systeemlogs, en medewerkers zo tijdig mogelijk ter beschikking stellen.

7.3 Naast de auditmogelijkheid die Verwerkingsverantwoordelijke heeft, zal Verwerker actief de bij haar aanwezige soortgelijke auditrapportages toesturen. Deze rapportages kunnen onder andere volgen uit audits uitgevoerd in het kader van een ISO27001 of gelijkwaardige certificering.

7.4 De kosten van de audit op verzoek van Verwerkingsverantwoordelijke komen voor rekening van Verwerkingsverantwoordelijke, tenzij uit de bevindingen blijkt dat de Verwerker de bepalingen uit de Verwerkersovereenkomst niet is nagekomen. In dat geval komen de kosten van de audit voor rekening van Verwerker.

7.5 Wanneer tijdens een audit wordt vastgesteld dat Verwerker niet aan het bepaalde in de Overeenkomst en de Verwerkersovereenkomst voldoet, zal Verwerker alle redelijkerwijs noodzakelijke maatregelen nemen om te zorgen dat zij hieraan alsnog voldoet.

ARTIKEL 8. INTERNATIONAAL VERKEER

8.1 Verwerker garandeert dat iedere verwerking van persoonsgegevens welke door of namens Verwerker met inbegrip van de door haar ingeschakelde sub-verwerkers wordt verricht in verband met het uitvoeren van de Overeenkomst binnen de Europese Economische Ruimte (EER) plaats zal vinden. Het verwerken van gegevens buiten de EER is enkel toegestaan, mits aan de wettelijke voorwaarden hiervoor conform de AVG is voldaan.

8.2 Op het moment dat er persoonsgegevens worden verwerkt buiten de EER, zal de transmissie van de persoonsgegevens uitsluitend versleuteld plaatsvinden waarbij voor de versleuteling geavanceerde technieken zullen worden gebruikt.

8.3 Verwerker verschaft voorafgaand aan het sluiten van de Verwerkersovereenkomst inzicht in de locatie(s) waar de gegevensverwerkingen in het kader van de Overeenkomst zullen plaatsvinden.

ARTIKEL 9. OPSPORINGSVERZOEKEN

9.1 Indien Verwerker een verzoek of een bevel van een toezichthouder, overheidsinstantie of een opsporingsinstantie ontvangt om persoonsgegevens te verschaffen, zal Verwerker de Verwerkingsverantwoordelijke onverwijld informeren, voor zover dat wettelijk gezien is toegestaan.

ARTIKEL 10. RECHTEN VAN BETROKKENEN

10.1 Verwerker zal haar volledige medewerking verlenen opdat Verwerkingsverantwoordelijke kan voldoen aan zijn wettelijke verplichtingen in het geval dat een betrokkene een van zijn wettelijke rechten wenst uit te oefenen.

10.2 Indien een betrokkene met betrekking tot de uitvoering van zijn rechten onder de AVG direct contact opneemt met Verwerker, dan zal Verwerker dit verzoek doorzenden aan Verwerkingsverantwoordelijke.

ARTIKEL 11. WIJZIGINGEN

11.1 Partijen mogen deze Verwerkersovereenkomst alleen schriftelijk en met wederzijdse instemming wijzigen.

ARTIKEL 12. DUUR EN BEËINDIGING

12.1 De duur van de Verwerkersovereenkomst is gelijk aan de duur van de Overeenkomst.

12.2 Bij beëindiging zal Verwerker alle gegevens verwijderen of op verzoek van Verwerkingsverantwoordelijke overdragen aan een opvolgend dienstverlener.

ARTIKEL 13. TOEPASSELIJK RECHT

13.1 De Verwerkersovereenkomst wordt beheerst door Nederlands recht.

13.2 Geschillen worden voorgelegd aan de bevoegde rechter in de plaats waar Verwerker gevestigd is.