Verwerkers-
overeenkomst

Deze verwerkersovereenkomst heeft betrekking op bepaalde producten- en/of diensten van datadone B.V., gevestigd en kantoorhoudend te Enter (ov), ingeschreven bij de Kamer van Koophandel Oost Nederland onder nummer 02095886 (hierna: datadone) waarbij datadone optreedt als verwerker van persoonsgegevens zoals bedoeld in de Algemene Verordening Gegevensbescherming (hierna: AVG). Datadone verwijst naar deze verwerkersovereenkomst (en de bijlagen) bij een aanbieding/ offerte en deze is samen met de algemene voorwaarden, de servicelevel agreement en de aanbieding/ offerte onderdeel van de overeenkomst die met een opdrachtgever tot stand komt.

 

In deze verwerkersovereenkomst worden de hiernavolgende termen in de navolgende betekenis gebruikt, tenzij uitdrukkelijk anders is aangegeven.

a. AVG: Algemene Verordening Gegevensbescherming (Verordening 2016/679) van 27 april 2016, zoals van kracht per 25 mei 2018;

b. Betrokkene (wordt gedefinieerd onder Persoonsgegevens), Verwerker, Derde, Persoonsgegevens, Verwerking, Persoonsgegevens, Verwerkersverantwoordelijke: de begrippen zoals gedefinieerd in artikel 4 van de AVG, waarbij in deze verwerkersovereenkomst datadone de rol van Verwerker heeft en de opdrachtgever van datadone de rol van Verwerkersverantwoordelijke;

c.  Verwerkersovereenkomst: deze Verwerkersovereenkomst, inclusief Bijlagen;

d. Bijlage: een bijlage bij deze Verwerkersovereenkomst, welke daarvan een onlosmakelijk deel uitmaakt, te weten: de Privacy Bijsluiter (bijlage 1) en een beschrijving van de Technische en organisatorische beveiligingsmaatregelen (bijlage 2);

e. Datalek: een inbreuk in verband met persoonsgegevens, zoals bedoeld in artikel 4 sub 12 AVG;

e. Product- en Dienstenovereenkomst: de overeenkomst tussen Verwerkingsverantwoordelijke en datadone zoals bedoeld in de algemene voorwaarden van datadone, tezamen met de servicelevel agreement en eventuele andere documenten;

f. Subverwerker: de partij die door Verwerker (datadone) wordt ingeschakeld als Verwerker ten behoeve van de Verwerking van de Persoonsgegevens in het kader van deze Verwerkersovereenkomst en de Product- en Dienstenovereenkomst;

g. Datadone / datadone: datadone B.V. in zijn hoedanigheid als Verwerker van Persoonsgegevens. 

Deze Verwerkersovereenkomst is van toepassing op de Verwerking van Persoonsgegevens in het kader van de uitvoering van overeenkomsten tussen datadone en haar opdrachtgevers en de hierop van toepassing zijnde algemene voorwaarden van datadone.

De Verwerkingsverantwoordelijke verstrekt aan datadone de opdracht tot Verwerking van Persoonsgegevens ten behoeve van de uitvoering van de Product- en Dienstenovereenkomst.

Verwerkingsverantwoordelijke is ten aanzien van de in diens opdracht uit te voeren Verwerkingen van Persoonsgegevens de Verwerkingsverantwoordelijke. De Verwerkingsverantwoordelijke heeft en houdt zelfstandige zeggenschap over het doel en de middelen van de Verwerking van de Persoonsgegevens.

Datadone draagt er zorg voor dat de Verwerkingsverantwoordelijke voorafgaande aan het sluiten van deze Verwerkersovereenkomst toereikend wordt geïnformeerd over de dienst(en) die de Verwerker verleent, en de uit te voeren Verwerkingen. De gegeven informatie moet de Verwerkingsverantwoordelijke in staat stellen een keuze te maken met betrekking tot de aangeboden diensten.

De Verwerkingsverantwoordelijke kan verplicht zijn de Verwerking van de Persoonsgegevens te melden bij de Autoriteit Persoonsgegevens. Verwerkingsverantwoordelijke en Verwerker verstrekken elkaar over en weer alle benodigde informatie teneinde een goede naleving van de relevante privacywet- en regelgeving mogelijk te maken.

Deze Verwerkersovereenkomst is van toepassing op de Verwerking van Persoonsgegevens in het kader van de uitvoering van overeenkomsten tussen datadone en haar opdrachtgevers en de hierop van toepassing zijnde algemene voorwaarden van datadone.

Verwerker verplicht zich om de van Verwerkingsverantwoordelijke verkregen Persoonsgegevens niet voor andere doeleinden of op andere wijze te gebruiken dan voor het doel, en de wijze waarvoor, de gegevens zijn verstrekt of aan hem bekend zijn geworden. Het is Verwerker derhalve niet toegestaan andere gegevensverwerkingen uit te voeren dan met de Verwerkingsverantwoordelijke (mondeling, schriftelijk dan wel elektronisch) overeengekomen. Deze verplichting geldt zowel gedurende de looptijd van de Verwerkersovereenkomst als na afloop daarvan.

Een overzicht van de categorieën Persoonsgegevens en gebruik waarvoor de Persoonsgegevens worden verwerkt, is uiteengezet in de Privacy Bijsluiter bij deze Verwerkersovereenkomst. Datadone kan de Privacy Bijsluiter van tijd tot tijd schriftelijk aanpassen of wijzigen indien een wijziging in de verwerking dit noodzaakt en zal de Verwerkingsverantwoordelijke hiervan op de hoogte stellen. Te allen tijde geldt de meest recente versie van de Verwerkersovereenkomst en Privacy Bijsluiter zoals gepubliceerd op de website van datadone.

Verwerker onthoudt zich van verstrekking van Persoonsgegeven aan een Derde, tenzij deze uitwisseling plaatsvindt in opdracht van de Verwerkingsverantwoordelijke of wanneer dit noodzakelijk is om te voldoen aan een op de Verwerker rustende wettelijke verplichting. In geval van een wettelijke verplichting, verifieert Verwerker voorafgaand aan de verstrekking de grondslag van het verzoek en de identiteit van de verzoeker. Daarnaast informeert Verwerker de Verwerkingsverantwoordelijke – indien wettelijk toegestaan – onmiddellijk, zo mogelijk voorafgaand aan de verstrekking.

Verwerker zorgt ervoor dat eenieder, waaronder haar werknemers, vertegenwoordigers en/of Subverwerkers, die betrokken zijn bij de Verwerking van de Persoonsgegevens deze gegevens als vertrouwelijk behandelt. Verwerker bewerkstelligt dat voor eenieder die betrokken is bij de Verwerking van de Persoonsgegevens een geheimhoudingsovereenkomst of –beding is gesloten.

De in dit artikel bedoelde geheimhoudingsplicht geldt niet voor zover Verwerkingsverantwoordelijke uitdrukkelijk toestemming heeft gegeven om de Persoonsgegevens aan een Derde te verstrekken, indien het verstrekken van de Persoonsgegevens aan een Derde noodzakelijk is gezien de aard van de door Verwerker aan Verwerkingsverantwoordelijke te verlenen diensten, of indien er een wettelijke verplichting bestaat om de Persoonsgegevens aan een Derde te verstrekken.

Datadone zal, gelijk de Verwerkingsverantwoordelijke, zorg dragen voor passende technische en organisatorische maatregelen om Persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige Verwerking. Deze maatregelen zullen, met inachtneming van de stand van de techniek en de kosten gemoeid met de implementatie en de uitvoering van de maatregelen, een passend beschermingsniveau verzekeren, zulks met inachtneming van de risico’s die het verwerken van Persoonsgegevens, en de aard daarvan, meebrengen.

De maatregelen zoals hierboven genoemd omvatten in ieder geval:

a. Maatregelen om te waarborgen dat enkel bevoegd personeel toegang heeft tot de Persoonsgegevens die in het kader van de Verwerkersovereenkomst worden verwerkt;

b. Maatregelen om de Persoonsgegevens te beschermen tegen met name onopzettelijke of onrechtmatige vernietiging, verlies, onopzettelijke wijziging, onbevoegde of onrechtmatige opslag, toegang of openbaarmaking;

c. Maatregelen om zwakke plekken te identificeren ten aanzien van de Verwerking van Persoonsgegevens in de systemen die worden ingezet voor het verlenen van diensten aan de Verwerkingsverantwoordelijke;

d. Een passend informatiebeveiligingsbeleid voor de Verwerking van de Persoonsgegevens.

Verwerker zal de door haar getroffen informatiebeveiligingsmaatregelen evalueren en verscherpen, aanvullen of verbeteren voor zover de eisen of (technologische) ontwikkelingen daartoe aanleiding geven.

In Bijlage 2 worden de afspraken tussen Partijen vastgelegd over de technische en organisatorische beveiligingsmaatregelen. Deze maatregelen liggen in het verlengde van de beveiligingsmaatregelen die de Verwerkingsverantwoordelijke moet treffen.

Datadone stelt de Verwerkingsverantwoordelijke in staat om te kunnen voldoen aan zijn wettelijke verplichting om toezicht te houden op de naleving door de Verwerker van de technische en organisatorische beveiligingsmaatregelen alsmede op de naleving van de in ‘Datalekken’ genoemde verplichtingen ten aanzien van Datalekken. Naast rapportages door datadone kan dat aan de hand van, maar niet beperkt tot, een geldige certificering of een gelijkwaardig controle- of bewijsmiddel.

In aanvulling op lid 4 heeft de Verwerkingsverantwoordelijke te allen tijde het recht om, in overleg met datadone en met inachtneming van een redelijke termijn, op eigen kosten, de door datadone genomen technische en organisatorische beveiligingsmaatregelen te laten toetsen door een onafhankelijke Register EDP-auditor. Partijen kunnen in onderling overleg afspreken dat de audit wordt uitgevoerd door een door Verwerker in te schakelen gecertificeerde en onafhankelijke auditor die een derden-verklaring (TPM) afgeeft. De Verwerkingsverantwoordelijke wordt geïnformeerd over de uitkomsten van de audit.

Datadone heeft een passend beleid voor de omgang met Datalekken.

Indien Verwerkingsverantwoordelijke dan wel Verwerker een Datalek vaststelt, dan zal deze de andere Partij zonder onredelijke vertraging informeren.

Verwerker verstrekt ingeval van een Datalek alle relevante informatie aan Verwerkingsverantwoordelijke met betrekking tot het Datalek, waaronder informatie over eventuele ontwikkelingen rond het Datalek, en de maatregelen die de Verwerker treft om aan zijn kant de gevolgen van het Datalek te beperken en herhaling te voorkomen. Aanvullend informeren Partijen elkaar onverwijld indien blijkt dat de inbreuk op de beveiliging waarschijnlijk ongunstige gevolgen zal hebben voor de persoonlijke levenssfeer van Betrokkene.

Verwerker stelt bij een Datalek Verwerkingsverantwoordelijke in staat om passende vervolgstappen te (laten) nemen ten aanzien van het Datalek. Verwerker dient hierbij aansluiting te zoeken bij de bestaande processen die Verwerkingsverantwoordelijke daartoe heeft ingericht. Partijen nemen zo spoedig mogelijk alle redelijkerwijs benodigde maatregelen om (verdere) schending of inbreuken betreffende de Verwerking de Persoonsgegevens, en meer in het bijzonder (verdere) schending van de AVG, te voorkomen of te beperken.

In geval van een Datalek, voldoet Verwerkingsverantwoordelijke aan eventuele wettelijke meldingsplichten. Partijen kunnen in onderling overleg bepalen of, en zo ja hoe, Verwerker een melding aan de Autoriteit Persoonsgegevens kan verrichten. De Verwerkingsverantwoordelijke zal de Betrokkenen, indien wettelijk vereist, informeren over een dergelijke inbreuk. Partijen zullen te goeder trouw in onderling overleg afspraken maken over de redelijke verdeling van de eventuele kosten die verbonden zijn aan het voldoen aan de meldingsplichten.

Over incidenten met betrekking tot de beveiliging, anders dan een Datalek, die vallen buiten het bereik van ‘Definities’, sub e, informeert de Verwerker de Verwerkingsverantwoordelijke conform de afspraken zoals neergelegd in Bijlage 2.

Een klacht of verzoek van een Betrokkene met betrekking tot de Verwerking van de Persoonsgegevens wordt door de Verwerker onverwijld doorgestuurd naar de Verwerkingsverantwoordelijke, die verantwoordelijk is voor de afhandeling van het verzoek. Verwerker verleent Verwerkingsverantwoordelijke – voor zover redelijkerwijs mogelijk – volledige medewerking om binnen de wettelijke termijnen te voldoen aan de verplichtingen op grond van de AVG, meer in het bijzonder de rechten van Betrokkenen zoals een verzoek om inzage, verbetering, aanvulling, verwijdering of afscherming van Persoonsgegevens. Partijen zullen te goeder trouw overleggen over de redelijke verdeling van de eventuele kosten die hiermee gemoeid zijn.

Partijen zien erop toe dat voor zover Persoonsgegevens buiten de Europese Economische Ruimte (verder: EER) worden verwerkt, dit alleen plaatsvindt conform wettelijke voorschriften, en eventuele verplichtingen die in dit verband op Verwerkingsverantwoordelijken rusten. Indien gegevens buiten de EER worden verwerkt, zal dit enkel geschieden in een land waarvan de Europese Commissie heeft bepaald dat in dit land een passend niveau van bescherming bestaat voor Persoonsgegevens, dan wel dit passende niveau van bescherming anderszins verzekerd is door de relevante autoriteiten of gerechtelijke instanties, zoals maar niet beperkt tot het gebruik van door de bevoegde instantie goedgekeurde ‘Binding Corporate Rules’ of door het gebruik van EU modelbepalingen inzake gegevensdoorgifte.

Indien gegevens buiten de EER worden verwerkt wordt dit in Bijlage 1 aangegeven, inclusief een opgave van de partijen waar de gegevens worden verwerkt.

Verwerker kan een Subverwerker inschakelen, van wie de identiteit en vestigingsgegevens zullen worden opgenomen in Bijlage 1 (Privacy Bijsluiter). Over het inschakelen van overige Subverwerkers zullen wij u vooraf informeren en in de gelegenheid stellen hiertegen bezwaar te maken.

Verwerker verplicht iedere Subverwerker contractueel de geheimhoudingsverplichtingen, meldingsverplichtingen en beveiligingsmaatregelen na te leven met betrekking tot de Verwerking van Persoonsgegevens welke verplichtingen en maatregelen minimaal dienen te voldoen aan het bepaalde in deze Verwerkersovereenkomst.

Verwerker verplicht iedere Subverwerker contractueel om Persoonsgegevens niet verder te verwerken anders dan in het kader van deze Verwerkersovereenkomst is overeengekomen.

Verwerkingsverantwoordelijke zal Verwerker adequaat informeren over (wettelijke) bewaartermijnen die van toepassing zijn op de Verwerking van Persoonsgegevens door Verwerker.

Verwerkingsverantwoordelijke verplicht Verwerker om de in opdracht van Verwerkingsverantwoordelijke Verwerkte Persoonsgegevens bij de beëindiging van de Verwerkersovereenkomst binnen redelijke termijn te (doen) vernietigen, tenzij de Persoonsgegevens langer bewaard moeten worden, zoals in het kader van (wettelijke) verplichtingen, dan wel op verzoek van de Verwerkingsverantwoordelijke. De Verwerkingsverantwoordelijke kan op eigen kosten een controle laten uitvoeren of vernietiging heeft plaatsgevonden.

Verwerker zal Verwerkingsverantwoordelijke (schriftelijk of elektronisch) bevestigen dat vernietiging van de Verwerkte persoonsgegevens heeft plaatsgevonden.

Verwerker zal alle door haar ingeschakelde Subverwerkers die betrokken zijn bij de Verwerking van de Persoonsgegevens op de hoogte stellen van een beëindiging van de Verwerkersovereenkomst en zal waarborgen dat alle Subverwerkers de Persoonsgegevens (laten) vernietigen.

In het geval van tegenstrijdigheid tussen de bepalingen uit deze Verwerkersovereenkomst en de bepalingen van de Product- en Dienstenovereenkomst, dan zullen de bepalingen van deze Verwerkersovereenkomst leidend zijn.

Indien Partijen van de artikelen in deze Verwerkersovereenkomst door omstandigheden moeten afwijken, of deze willen aanvullen, dan zullen deze wijzigingen en/of aanvullingen door Partijen worden beschreven en gemotiveerd in een overzicht dat als bijlage aan de Verwerkersovereenkomst worden gehecht. Het bepaalde in dit lid geldt niet voor aanvullingen en/of wijzigingen van de Bijlagen 1 en 2.

Bij belangrijke wijzigingen in het product en/of de (aanvullende) diensten die van invloed zijn op de Verwerking van de Persoonsgegevens wordt, alvorens de Verwerkingsverantwoordelijke de keuze hiertoe aanvaardt, de Verwerkingsverantwoordelijke in begrijpelijke taal geïnformeerd over de consequenties van deze wijzigingen. Onder belangrijke wijzigingen wordt in ieder geval verstaan: de toevoeging of wijziging van een functionaliteit die leidt tot een uitbreiding ten aanzien van de te Verwerken Persoonsgegevens, de doeleinden waaronder de Persoonsgegevens worden Verwerkt en het inschakelen van een (andere) Subverwerker. De wijzigingen zullen in Bijlage 1 worden opgenomen.

Wijzigingen in de Verwerkersovereenkomst eenzijdig door datadone worden aangepast en aan de Verwerkersverantwoordelijke worden voorgelegd. In het geval enige bepaling van deze Verwerkersovereenkomst nietig, vernietigbaar of anderszins niet afdwingbaar is of wordt, blijven de overige bepalingen van deze Verwerkersovereenkomst volledig van kracht. Partijen zullen in dat geval met elkaar in overleg treden om de nietige, vernietigbare of anderszins niet afdwingbare bepaling te vervangen door een uitvoerbare alternatieve bepaling. Daarbij zullen partijen zoveel mogelijk rekening houden met het doel en de strekking van de nietige, vernietigde of anderszins niet afdwingbare bepaling.

De looptijd van deze Verwerkersovereenkomst is gelijk aan de looptijd van de tussen Partijen gesloten Product- en Dienstenovereenkomst, inclusief eventuele verlengingen daarvan.

De Verwerkersovereenkomst eindigt van rechtswege bij de beëindiging van de Product- en Dienstenovereenkomst. De beëindiging van deze Verwerkersovereenkomst zal Partijen niet ontslaan van hun verplichtingen die voortvloeien uit deze Verwerkersovereenkomst die naar hun aard worden geacht ook na beëindiging voort te duren. Dit betreft in ieder geval (doch is niet beperkt tot) artikel ‘Geheimhouding’ en artikel ‘Toepasselijk recht en forumkeuze’.

Op deze rechtsverhouding is Nederlands recht exclusief van toepassing.
Alle geschillen tussen partijen worden beslecht door de rechtbank Overijssel, zittingsplaats Almelo.