Verwerkersovereenkomst


Verwerkersovereenkomst

Deze verwerkersovereenkomst is van toepassing op alle vormen van verwerking van persoonsgegevens die MotoDesk, een handelsnaam van Zign, gevestigd te Erm, ingeschreven bij de Kamer van Koophandel onder nummer 5200 9645, (hierna: Verwerker) uitvoert ten behoeve van een wederpartij aan wie zij diensten levert (hierna: Verwerkingsverantwoordelijke).

Hierna gezamenlijk te noemen ’Partijen’;

In aanmerking nemende:

A. Partijen hebben een overeenkomst gesloten met betrekking tot hosting services en domeinnaamregistraties, hierna te noemen: “Overeenkomst”. Ter uitvoering van de Overeenkomst verwerkt Verwerker ten behoeve van Verwerkingsverantwoordelijke Persoonsgegevens;

B. Partijen wensen zorgvuldig en in overeenstemming met de AVG en andere Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens om te gaan met de Persoonsgegevens die ter uitvoering van de Overeenkomst verwerkt (zullen) worden;

C. Partijen wensen in overeenstemming met de AVG en andere Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens hun rechten en plichten ten aanzien van de Verwerking van Persoonsgegevens van Betrokkenen Schriftelijk vast te leggen in deze Verwerkersovereenkomst.

D. Uitsluitend Verwerkingsverantwoordelijke stelt het doel van en de middelen voor de verwerking van persoonsgegevens vast en Verwerker heeft hierop geen invloed;

Zijn als volgt overeengekomen:

Artikel 1. Inleidende bepalingen

1.1. De begrippen in deze Verwerkersovereenkomst die worden gedefinieerd in de Wbp, hebben de betekenis zoals daarin wordt omschreven.

1.2. Waar in deze Verwerkersovereenkomst wordt gerefereerd aan een bepaling uit de Wbp, wordt per 25 mei 2018 de corresponderende bepaling uit de Algemene Verordening Gegevensbescherming (de “AVG”) bedoeld.

Artikel 2. Doeleinden van de verwerking

2.1. Bewerker verbindt zich onder de voorwaarden uit deze Verwerkersovereenkomst in opdracht van Verantwoordelijke persoonsgegevens te verwerken. Verwerking zal uitsluitend plaatsvinden in het kader van het uitvoeren van de Overeenkomst en voor doeleinden die met nadere instemming worden bepaald.

2.2. Verantwoordelijke bepaalt zelf welke (soorten) persoonsgegevens hij door Bewerker laat verwerken en op welke (categorieën) betrokkenen deze persoonsgegevens betrekking hebben. Bewerker heeft hierop geen invloed.

2.3. Bewerker zal de persoonsgegevens niet voor enig ander doel verwerken dan zoals door Verantwoordelijke is vastgesteld. Verantwoordelijke zal Bewerker op de hoogte stellen van de verwerkingsdoeleinden voor zover deze niet reeds in de Verwerkersovereenkomst zijn genoemd.

2.4. De in opdracht van Verantwoordelijke te verwerken persoonsgegevens blijven eigendom van Verantwoordelijke of de betreffende betrokkene(n).

2.5. Verantwoordelijke garandeert dat de inhoud, het gebruik en de opdracht tot verwerkingen van persoonsgegevens zoals bedoeld in de Verwerkersovereenkomst niet onrechtmatig is en geen inbreuk maakt op enig recht van derden. Daarnaast staat de Verantwoordelijke ervoor in: dat de verwerking van persoonsgegevens onder één van de vrijstellingen onder de Wbp valt, of wanneer dit niet het geval is er een melding bij de Autoriteit Persoonsgegevens heeft plaatsgevonden; endat zij vanaf 25 mei 2018 een register zal bijhouden van de onder deze Verwerkersovereenkomst geregelde verwerkingen.

2.6. Verantwoordelijke vrijwaart Bewerker tegen alle aanspraken en claims die verband houden met het niet of niet juist naleven van de verplichtingen uit artikel 2.5.

Artikel 3. Verplichtingen Bewerker

3.1. Ten aanzien van de in artikel 2 genoemde verwerkingen zal Bewerker zorgdragen voor de naleving van de voorwaarden die, op grond van de Wbp en de AVG, worden gesteld aan het verwerken van persoonsgegevens door Bewerker.

3.2. Bewerker zal Verantwoordelijke, op diens eerste verzoek daartoe, informeren over de door haar genomen maatregelen aangaande haar verplichtingen onder deze Verwerkersovereenkomst en de Wbp en AVG.

3.3. De verplichtingen van Bewerker die uit deze Verwerkersovereenkomst voortvloeien, gelden ook voor degenen die persoonsgegevens verwerken onder het gezag van Bewerker.

Artikel 4. Doorgifte van persoonsgegevens

4.1. Bewerker mag de persoonsgegevens verwerken in landen binnen de Europese Unie. Doorgifte naar landen buiten de Europese Unie is uitsluitend toegestaan met inachtneming van de hiervoor geldende voorschriften uit de Wbp en AVG.

4.2. Bewerker zal Verantwoordelijke op diens verzoek melden om welk land of welke landen het gaat.

Artikel 5. Verdeling van verantwoordelijkheid

5.1. De toegestane verwerkingen zullen door Bewerker worden uitgevoerd binnen een (semi)geautomatiseerde omgeving onder controle van Bewerker.

5.2. Bewerker is slechts verantwoordelijk voor de verwerking van de persoonsgegevens onder deze Verwerkersovereenkomst, overeenkomstig de instructies van Verantwoordelijke en onder de uitdrukkelijke (eind)verantwoordelijkheid van Verantwoordelijke.

5.3. Voor alle overige verwerkingen van persoonsgegevens, waaronder in ieder geval de verzameling van persoonsgegevens door Verantwoordelijke, verwerkingen voor doeleinden die niet door Verantwoordelijke aan Bewerker zijn gemeld, verwerkingen door derden of voor andere doeleinden, is Bewerker niet verantwoordelijk.

Artikel 6. Inschakelen van derden of onderaannemers

6.1. Verantwoordelijke geeft Bewerker toestemming om bij de verwerking van persoonsgegevens op grond van deze Verwerkersovereenkomst gebruik te maken van derden, met inachtneming van de toepasselijke privacywet- en regelgeving.

6.2. Bewerker zal Verantwoordelijke, indien Verantwoordelijke daar om verzoekt, zo spoedig mogelijk informeren over de door haar ingeschakelde derden. Verantwoordelijke heeft het recht om tegen enige, door Bewerker ingeschakelde derden, bezwaar te maken.

6.3. Bewerker zal geen bezwaar maken op onredelijke gronden en dient het bezwaar voldoende te motiveren. Wanneer Verantwoordelijke bezwaar maakt tegen door de Bewerker ingeschakelde derden, zullen Partijen in overleg treden om tot een oplossing te komen.

6.4. Bewerker zorgt dat door haar ingeschakelde derden schriftelijk verplichtingen op zich nemen die minstens even streng zijn als de verplichtingen die op grond van de Verwerkersovereenkomst op de Bewerker rusten.

6.5. Bewerker staat in voor een correcte naleving van de in artikel 6.4 bedoelde plichten door deze derden en is bij fouten van zelf jegens Verantwoordelijke aansprakelijk alsof zij de fout(en) zelf heeft begaan.

6.6. De maximale aansprakelijkheid van Bewerker voor schade als bedoeld in artikel 6.5 is beperkt tot het in de Overeenkomst (met inbegrip van de algemene voorwaarden van Bewerker) overeengekomen bedrag.

Artikel 7. Beveiliging

7.1. Bewerker zal passende technische en organisatorische maatregelen nemen met betrekking tot de te verrichten verwerkingen van persoonsgegevens, tegen verlies of tegen enige vorm van onrechtmatige verwerking (zoals onbevoegde kennisname, aantasting, wijziging of verstrekking van de persoonsgegevens).

7.2. Ondanks dat Bewerker conform het eerste lid van dit artikel passende beveiligingsmaatregelingen dient te treffen, kan Bewerker er niet volledig voor instaan dat de beveiliging onder alle omstandigheden doeltreffend is. Bewerker zal bij een dreiging van – of daadwerkelijk doorbreken van – deze beveiligingsmaatregelen er echter alles aan doen om verlies van persoonsgegevens zoveel mogelijk te beperken.

7.3. Indien een uitdrukkelijk omschreven beveiliging in de Verwerkersovereenkomst ontbreekt, bewerkstelligt Bewerker dat de beveiliging voldoet aan een niveau dat, gelet op de stand van de techniek, de gevoeligheid van de persoonsgegevens en de aan het treffen van de beveiliging verbonden kosten, niet onredelijk is.

7.4. Verantwoordelijke stelt enkel persoonsgegevens aan Bewerker ter beschikking voor verwerking, indien Verantwoordelijke zich ervan heeft verzekerd dat de vereiste beveiligingsmaatregelen zijn getroffen.

Artikel 8. Meldplicht

8.1. In het geval van een datalek (waaronder wordt verstaan: een inbreuk op de beveiliging van persoonsgegevens die leidt tot een aanzienlijke kans op nadelige gevolgen, dan wel nadelige gevolgen heeft, voor de bescherming van persoonsgegevens, in de zin van artikel 34a Wbp), spant Bewerker zich in om Verantwoordelijke daarover zo snel mogelijkte informeren, maar in ieder geval binnen 48 uur nadat het datalek bekend is geworden bij Bewerker.

8.2. De meldplicht geldt enkel indien het lek daadwerkelijk heeft plaatsgevonden en behelst in ieder geval het melden van het feit dat er een datalek is geweest, alsmede, voor zover deze informatie bij Bewerker beschikbaar is:

• wat de (vermeende) oorzaak is van het lek;

• wat het (vooralsnog bekende of te verwachten) gevolg is;

• wat de (voorgestelde) oplossing is;

• contactgegevens voor de opvolging van de melding;

• het aantal personen waarvan gegevens zijn gelekt, of het minimale en maximale aantal personen waarvan gegevens zijn gelekt indien geen exact aantal bekend is;

• een omschrijving van de groep personen van wie gegevens zijn gelekt;

• het soort of de soorten persoonsgegevens die gelekt zijn;

• de datum waarop het lek heeft plaatsgevonden, of de periode waarbinnen het lek heeft plaatsgevonden indien geen exacte datum bekend is;

• de datum en het tijdstip waarop het lek bekend is geworden bij Bewerker of bij een door hem ingeschakelde derde of onderaannemer;

• of de gegevens versleuteld, gehasht of op een andere manier onbegrijpelijk of ontoegankelijk zijn gemaakt voor onbevoegden; en

• wat de voorgenomen en reeds ondernomen maatregelen zijn om het lek te dichten en om de gevolgen van het lek te beperken.

8.3. Verantwoordelijke beoordeelt zelf of zij de relevante autoriteiten en/of betrokkene(n) zal informeren en is zelf verantwoordelijk voor de naleving van (wettelijke) meldplichten. Indien de privacywet- en regelgeving dit vereist, zal Bewerker meewerken aan het informeren van de terzake relevante autoriteiten of betrokkenen.

Artikel 9. Afhandeling verzoeken van betrokkenen

9.1. Indien een betrokkene een van zijn wettelijke rechten wenst uit te oefenen en het verzoek hiertoe richt aan Bewerker, zal Bewerker dit verzoek doorzenden aan Verantwoordelijke. Verantwoordelijke zal vervolgens zorg dragen voor de afhandeling van het verzoek. Bewerker mag de betrokkene daarvan op de hoogte stellen.

9.2. In het geval dat een betrokkene een verzoek tot uitoefening van een van zijn wettelijke rechten richt aan Verantwoordelijke zal Bewerker, indien Verantwoordelijke dit verlangt, medewerking verlenen voor zover mogelijk en voor zover dit redelijk is. Bewerker mag hiervoor redelijke kosten bij Verantwoordelijke in rekening brengen.

Artikel 10. Geheimhoudingsplicht

10.1. Op alle persoonsgegevens die Bewerker van Verantwoordelijke ontvangt of die Bewerker zelf verzamelt in het kader van deze Verwerkersovereenkomst, rust een geheimhoudingsplicht jegens derden.

10.2. Deze geheimhoudingsplicht is niet van toepassing voor zover Verantwoordelijke uitdrukkelijke toestemming heeft gegeven om de informatie aan derden te verschaffen, indien het verstrekken van de informatie aan derden logischerwijs noodzakelijk is voor de uitvoering van de Verwerkersovereenkomst, of indien er een wettelijke verplichting bestaat om de informatie aan een derde te verstrekken.

10.3. Indien Bewerker wettelijk verplicht is informatie aan een derde te verstrekken, zal Bewerker de Verantwoordelijke hier zo spoedig mogelijk over informeren voor zover dat wettelijk is toegestaan.

Artikel 11. Audit

11.1. Verantwoordelijke heeft het recht om audits uit te laten voeren door een onafhankelijke deskundige derde die aan geheimhouding is gebonden ter controle van de beveiligingseisen als overeengekomen in Artikel 7 van de Verwerkersovereenkomst.

11.2. De in artikel 11.1 bedoelde audit vindt uitsluitend plaatst bij een concreet vermoeden van misbruik welke is aangetoond door Verantwoordelijke. De door Verantwoordelijke geïnitieerde audit vindt twee weken na voorafgaande aankondiging door Verantwoordelijke plaats.

11.3. Bewerker zal aan de audit meewerken en alle voor de audit redelijkerwijs relevante informatie, inclusief ondersteunende gegevens zoals systeemlogs, en medewerkers zo tijdig mogelijk en binnen een redelijke termijn ter beschikking stellen, waarbij een termijn van maximaal twee weken redelijk is.

11.4. De bevindingen naar aanleiding van de uitgevoerde audit zullen door Partijen in onderling overleg worden beoordeeld en, naar aanleiding daarvan, al dan niet worden doorgevoerd door één van de Partijen of door beide Partijen gezamenlijk.

11.5. De kosten van de audit worden door Verantwoordelijke gedragen.

Artikel 12. Aansprakelijkheid

12.1. Voor de aansprakelijkheid van Partijen voor schade als gevolg van een toerekenbare tekortkoming in de nakoming van de Verwerkersovereenkomst, dan wel uit onrechtmatige daad of anderszins, wordt de in de Overeenkomst (met inbegrip van de algemene voorwaarden van Bewerker) overeengekomen regeling omtrent aansprakelijkheid van toepassing verklaard.

Artikel 13. Duur en beëindiging

13.1. Deze Verwerkersovereenkomst wordt aangegaan voor de duur zoals bepaald in de Overeenkomst en bij gebreke daarvan in ieder geval voor de duur van de samenwerking tussen Partijen. Deze Verwerkersovereenkomst kan tussentijds niet worden opgezegd. Dit zijn de algemene voorwaarden die van toepassing zijn op alle ICT-diensten van Zign. Deze voorwaarden gelden zowel voor zakelijke klanten als voor consumenten. In sommige gevallen gelden voor consumenten andere voorwaarden dan voor zakelijke klanten. Als dit het geval is, wordt dat duidelijk aangegeven.