Verwerkersovereenkomst
PARTIJEN:
I. De “Verwerker” te weten RM Online Marketing B.V., statutair gevestigd en kantoorhoudende te Amsterdam aan het adres Overschiestraat 65 1062 XD, ingeschreven in het handelsregister van de Kamer van Koophandel onder nummer 91004683, ten deze rechtsgeldig vertegenwoordigd door de heer S. Pool.
welke persoonsgegeven verwerkt ten behoeve van de te leveren diensten aan;
II. De “Verantwoordelijke”.
OVERWEGENDE DAT:
I. Verwerker een online marketingbureau in de breedste zin van het woord is en dat zij is gespecialiseerd in online advertising, zoekmachine optimalisatie en e-commerce consultancy. Zij assisteert bij website ontwikkeling & onderhoud en zorgt voor de uitvoering van online marketing activiteiten, hierna gezamenlijk te noemen: “de Dienst(en)”;
II. Verwerker de Dienst(en) aan Verwerkingsverantwoordelijke aanbiedt en daartoe één of meer overeenkomsten tot het leveren van de Dienst(en) met Verwerkingsverantwoordelijke heeft gesloten of zal sluiten, hierna gezamenlijk te noemen: “de Overeenkomst”;
III. Verwerker bij het uitvoeren van de Overeenkomst gegevens zal verwerken waarvoor Verwerkingsverantwoordelijke verantwoordelijk is en blijft. Tot die gegevens behoren persoonsgegevens en voor zover de Verwerkingsverantwoordelijke ze verwerkt ook bijzondere persoonsgegevens in de zin van de Algemene Verordening Gegevensbescherming (EU 2016/679) (AVG), hierna te noemen: “de persoonsgegevens”;
IV. partijen, gelet op het bepaalde in artikel 28 lid 3 AVG, de voorwaarden van de verwerking van deze persoonsgegevens in deze verwerkersovereenkomst willen vastleggen.
KOMEN HET VOLGENDE OVEREEN:
Artikel 1. Definities
- Verwerker: RM Online Marketing B.V., gevestigd en kantoorhoudende te Amsterdam en ingeschreven bij de Kamer van Koophandel onder nummer 91004683.
- Verwerkingsverantwoordelijke: de natuurlijke of rechtspersoon die een Overeenkomst met Verwerker heeft afgesloten of degene aan wie Verwerker een offerte daartoe heeft uitgebracht.
- Algemene Voorwaarden: de algemene voorwaarden van Verwerker zoals terug te vinden op diens website.
- Dienst(en): de specifieke dienst(en) die Verwerker met Verwerkingsverantwoordelijke overeenkomt of is overeengekomen, zoals vermeld in de Overeenkomst dan wel in de offerte.
- Overeenkomst: de overeenkomst tussen Verwerker en Verwerkingsverantwoordelijke krachtens welke Verwerker de Dienst(en) zal uitvoeren.
- Website: de website van Verwerker, te bereiken via https://rocketmarketing.nl/.
- Bijlagen:
- Bijlage 1: lijst van verwerkingen
- Bijlage 2: lijst van subverwerkers
- Bijlage 3: door Verwerker genomen beveiligingsmaatregelen
Artikel 2. Algemeen
- Deze verwerkersovereenkomst is een bijlage bij de tussen RM Online Marketing B.V., gevestigd te Amsterdam en ingeschreven bij de Kamer van Koophandel onder nummer 91004683 (“Verwerker”), en haar wederpartij (“Verwerkingsverantwoordelijke”) gesloten overeenkomst, de Overeenkomst, in het kader van de uitvoering van de Dienst die Verwerkingsverantwoordelijke afneemt van Verwerker, plus die doeleinden die daarmee redelijkerwijs samenhangen of die met nadere instemming worden vastgesteld (“de Doeleinden”).
- Verwerker biedt Verwerkingsverantwoordelijke de mogelijkheid om de Dienst(en) af te nemen, waarbij Verwerker bij de uitvoering van de Dienst(en) voor en ten behoeve van Verwerkingsverantwoordelijke Persoonsgegevens kan Verwerken. Bij deze Verwerking van Persoonsgegevens kan Verwerkingsverantwoordelijke worden aangemerkt als Verwerkingsverantwoordelijke, of indien Verwerkingsverantwoordelijke de Persoonsgegevens ten behoeve van een derde partij Verwerkt als Verwerker. Verwerker vervult (afhankelijk van de hoedanigheid waarin Verwerkingsverantwoordelijke Persoonsgegevens Verwerkt) de rol van Verwerker of subverwerker.
Artikel 3. Toepassingsgebied
- Deze overeenkomst is van toepassing voor zover bij het leveren van de Dienst(en) onder de Overeenkomst een of meer de verwerkingen die zijn opgenomen in bijlage 1 plaatsvinden.
- De verwerkingen van bijlage 1 die bij het leveren van de Dienst(en) plaatsvinden worden hierna: “de verwerkingen” genoemd en de persoonsgegevens die daarbij zullen worden verwerkt: “de persoonsgegevens”.
- Met betrekking tot de verwerkingen is Verwerkingsverantwoordelijke de verwerkingsverantwoordelijke en Verwerker de verwerker in de zin van de AVG. De natuurlijke personen, en voor zover van toepassing hun vertegenwoordigers, die op grond van de Overeenkomst feitelijk van de diensten van Verwerker gebruik maken worden hierna ook als “de betrokkenen” aangeduid.
- Alle begrippen in deze overeenkomst hebben de betekenis die daar in de AVG aan wordt gegeven.
- Indien Verwerker meer en/of andere persoonsgegevens in opdracht van Verwerkingsverantwoordelijke verwerkt of indien zij ze anders verwerkt dan in dit artikel omschreven, geldt deze overeenkomst voor zover mogelijk ook voor die verwerkingen.
- Met betrekking tot de verwerking van bepaalde gegevens van de betrokkenen kan Verwerker zelf (mede)verantwoordelijke zijn, voor zover zij contactgegevens en andere gegevens van de betrokkenen nodig heeft om de Overeenkomst te kunnen uitvoeren.
- Voor zover in de algemene voorwaarden van Verwerker bepalingen omtrent de verwerking van persoonsgegevens zijn opgenomen, prevaleren de bepalingen uit deze verwerkersovereenkomst.
Artikel 4. Onderwerp
- Verwerkingsverantwoordelijke heeft en houdt volledige zeggenschap over de persoonsgegevens (zowel die in het kader van de Overeenkomst als die door verdere verwerking zijn ontstaan) en is daarvoor verantwoordelijk. Indien Verwerkingsverantwoordelijke de persoonsgegevens niet zelf met gebruikmaking van de systemen van Verwerker (heeft) verwerkt, verwerkt Verwerker de persoonsgegevens uitsluitend op basis van schriftelijke instructies van Verwerkingsverantwoordelijke, onder meer met betrekking tot de eventuele doorgifte van persoonsgegevens naar derde partijen buiten de Europese Unie. Verwerker mag de persoonsgegevens wel in geanonimiseerde vorm gebruiken voor statistische of marketingdoeleinden. De Overeenkomst geldt als eengenerieke instructie ter zake.
- Verwerkingsverantwoordelijke garandeert dat de opdracht tot verwerking van de persoonsgegevens in overeenstemming is met alle toepasselijke wet- en regelgeving. Verwerkingsverantwoordelijke vrijwaart Verwerker tegen alle aanspraken van derden die op enigerlei wijze voortvloeien uit niet-naleving van deze garantie.
- De verwerkingen van persoonsgegevens geschieden uitsluitend in het kader van de Overeenkomst. Verwerker verwerkt persoonsgegevens niet anders dan in de Overeenkomst voorzien. Met name gebruikt Verwerker de persoonsgegevens niet voor eigen doeleinden.
- Zonder de uitdrukkelijke schriftelijke voorafgaande toestemming gebruikt Verwerker de persoonsgegevens niet, tenzij een op Verwerker van toepassing zijnde wettelijke bepaling hem tot enige verwerking verplicht. In dat geval stelt Verwerker Verwerkingsverantwoordelijke, voorafgaand aan de verwerking, in kennis van dat wettelijk voorschrift, tenzij die wetgeving deze kennisgeving om gewichtige redenen van algemeen belang verbiedt.
Artikel 5. Doeleinden van verwerking
- Verwerker verbindt zich onder de voorwaarden van deze Verwerkersovereenkomst in opdracht van Verwerkingsverantwoordelijke persoonsgegevens te verwerken. Verwerking zal uitsluitend plaatsvinden in het kader van hosting van websites van Verwerkingsverantwoordelijke, en bijbehorende online diensten, het in de ‘cloud’ opslaan van gegevens van Verwerkingsverantwoordelijke, en bijbehorende online diensten, plus die doeleinden die daarmee redelijkerwijs samenhangen of die met nadere instemming worden bepaald.
- Verwerker zal in opdracht van Verwerkingsverantwoordelijke uitsluitend (bijzondere) persoonsgegevens verwerken die in het kader van deze Verwerkersovereenkomst door Verwerkingsverantwoordelijke aan Verwerker zijn verstrekt.
- Verwerker neemt geen zelfstandige beslissingen over het verwerken van de persoonsgegevens voor andere doeleinden, waaronder over de verstrekking daarvan aan derden en de duur van de opslag van gegevens. De zeggenschap over persoonsgegevens verstrekt aan Verwerker in het kader van deze Verwerkersovereenkomst of andere overeenkomsten tussen partijen, alsmede over de door Verwerker in dat kader verwerkte gegevens, berust bij Verwerkingsverantwoordelijke.
- De in opdracht van Verwerkingsverantwoordelijke te verwerken persoonsgegevens blijven eigendom van Verantwoordelijke en/of de betreffende betrokkenen.
- Verwerkingsverantwoordelijke staat er voor in dat het een register zal bijhouden van de onder deze Verwerkersovereenkomst geregelde verwerkingen. Verwerkingsverantwoordelijke vrijwaart Verwerker tegen alle aanspraken en claims die verband houden met het niet of niet juist naleven van de registerplicht.
Artikel 6. Verplichtingen Verwerker
- Ten aanzien van de in artikel 1 genoemde verwerkingen zal Verwerker zorg dragen voor de naleving van de toepasselijke wet- en regelgeving, waaronder in ieder geval begrepen de wet- en regelgeving op het gebied van de bescherming van persoonsgegevens, zoals de Algemene Verordening Gegevensbescherming.
- Verwerker zal Verwerkingsverantwoordelijke, op diens eerste schriftelijke verzoek daartoe, informeren over de door haar genomen maatregelen aangaande haar verplichtingen onder deze Verwerkersovereenkomst.
- De verplichtingen van Verwerker die uit deze verwerkersovereenkomst voortvloeien, gelden ook voor degenen die persoonsgegevens verwerken onder het gezag van Verwerker, waaronder begrepen maar niet beperkt tot eventuele werknemers, in de ruimste zin van het woord.
- Verwerker zal Verwerkingsverantwoordelijke de noodzakelijke medewerking verlenen wanneer er in het kader van een verwerking een gegevensbeschermingseffectbeoordeling, ook wel data protection impact assessment (DPIA) of voorafgaande raadpleging van de toezichthouder, noodzakelijk mocht zijn. Eventueel daarmee gepaard gaande kosten zijn voor rekening van Verwerkingsverantwoordelijke.
Artikel 7. Doorgifte van persoonsgegevens
- Verwerker verwerkt persoonsgegevens in landen binnen de Europese Unie. Verwerkingsverantwoordelijke geeft Verwerker daarnaast toestemming voor de Verwerking van Persoonsgegevens in landen buiten de Europese Unie, voor zover Verwerker de daarvoor geldende wet- en regelgeving in acht neemt.
- Verwerker zal Verwerkingsverantwoordelijke, op diens verzoek daartoe, melden om welk land of welke landen het gaat.
Artikel 8. Verdeling van verantwoordelijkheid
- Verwerker stelt ten behoeve van de verwerkingen (semi-)geautomatiseerde ICT middelen beschikbaar die door Verwerkingsverantwoordelijke te gebruiken zijn voor de hierboven genoemde doelen. Verwerker verricht zelf alleen op basis van aparte afspraken verwerkingen.
- Verwerker is louter verantwoordelijk voor de verwerking van de persoonsgegevens onder deze verwerkersovereenkomst, overeenkomstig de instructies van Verwerkingsverantwoordelijke en onder de uitdrukkelijke (eind)verantwoordelijkheid van Verwerkingsverantwoordelijke. Voor de overige verwerkingen van persoonsgegevens, waaronder in ieder geval begrepen maar niet beperkt tot de verzameling van de persoonsgegevens door Verwerkingsverantwoordelijke, verwerkingen voor doeleinden die niet door Verwerkingsverantwoordelijke aan Verwerker zijn gemeld, verwerkingen door derden en/of voor andere doeleinden, is Verwerker uitdrukkelijk niet verantwoordelijk.
- Verwerkingsverantwoordelijke garandeert dat de inhoud, het gebruik en de opdracht tot de verwerkingen van de persoonsgegevens zoals bedoeld in deze Overeenkomst, niet onrechtmatig zijn en geen inbreuk maken op enig recht van derden.
- Verwerkingsverantwoordelijke staat te allen tijde in voor de rechtmatigheid van deze Verwerkingen en dat zijn systemen en infrastructuur te allen tijde adequaat beveiligd zijn.
- Het is aan Verwerkingsverantwoordelijke om te beoordelen of Verwerker afdoende garanties biedt met betrekking tot het toepassen van passende technische en organisatorische maatregelen opdat de Verwerking aan de vereisten van de Algemene Verordening Gegevensbescherming en/of enige andere toepasselijke wet- en regelgeving voldoet en de bescherming van de rechten van Betrokkenen voldoende zijn gewaarborgd.
- Onverminderd de overige rechten van Verwerker, vrijwaart Verwerkingsverantwoordelijke Verwerker van eventuele schade, aanspraken van derden en door toezichthouders opgelegde boetes, indien Verwerkingsverantwoordelijke in strijd handelt met deze Bijlage en/of de Algemene Verordening Gegevensbescherming en/of enige andere toepasselijke wet- en regelgeving.
Artikel 9. Inschakelen van derden of subverwerkers
- Verwerkingsverantwoordelijke verleent Verwerker hierbij toestemming om bij de Verwerking derden de in bijlage 2 genoemde subverwerkers en/of categorieën van subverwerkers in te schakelen. Op diens verzoek zal Verwerker Verwerkingsverantwoordelijke zo spoedig mogelijk informeren over de door Verwerker nieuw in te schakelen subverwerkers.
- Verwerkingsverantwoordelijke heeft het recht om tegen enige, door Verwerker ingeschakelde derden, bezwaar te maken. In dat geval is, voor zover van toepassing, Verwerkingsverantwoordelijke gehouden de door Verwerker dientengevolge te maken hogere kosten te vergoeden.
- Verwerker spant zich ervoor in dat deze derden schriftelijk dezelfde plichten op zich nemen als tussen Verwerkingsverantwoordelijke en Verwerker is overeengekomen met betrekking tot de verwerking van persoonsgegevens.
- Indien een subverwerker de aanvullende verplichtingen uit deze overeenkomst niet accepteert, kan Verwerkingsverantwoordelijke beslissen Verwerker voor de betreffende verwerkingen van die aanvullende verplichtingen te ontheffen opdat Verwerker toch de subverwerkingsovereenkomst kan sluiten.
Artikel 10. Beveiliging
- Verwerker zal de passende technische en organisatorische maatregelen nemen met betrekking tot de te verrichten verwerkingen van persoonsgegevens die artikel 32 van de AVG van haar eist, een en ander tegen verlies of tegen enige vorm van onrechtmatige verwerking (zoals onbevoegde kennisname, aantasting, wijziging of verstrekking van de persoonsgegevens).
- De door Verwerker genomen technische en organisatorische maatregelen zijn beschreven in bijlage 3. Verwerkingsverantwoordelijke bevestigt kennis te hebben genomen van de betreffende maatregelen en ermee in te stemmen. Verwerker kan wijzigingen aanbrengen in de getroffen beveiligingsmaatregelen indien dat naar haar oordeel noodzakelijk is om een passend beveiligingsniveau te blijven bieden.
- De omschreven beveiligingsmaatregelen bieden, naar het oordeel van Verwerker, rekening houdend met de in lid 2 van dit artikel genoemde factoren een op het risico van de Verwerking van de door hem gebruikte of verstrekte Persoonsgegevens afgestemd beveiligingsniveau.
- Verwerkingsverantwoordelijke stelt uitsluitend persoonsgegevens ter Verwerking aan Verwerker ter beschikking, indien Verwerkingsverantwoordelijke zich ervan heeft verzekerd dat de vereiste beveiligingsmaatregelen zijn getroffen. Verwerkingsverantwoordelijke is verantwoordelijk voor de naleving van de door Partijen afgesproken maatregelen.
- Verwerker staat er niet voor in dat de beveiliging onder alle omstandigheden doeltreffend is. Indien een uitdrukkelijk omschreven beveiliging in deze verwerkersovereenkomst ontbreekt, zal Verwerker zich inspannen dat de beveiliging zal voldoen aan een niveau dat, gelet op de stand van de techniek, de gevoeligheid van de persoonsgegevens en de aan het treffen van de beveiliging verbonden kosten, niet onredelijk is.
- Verwerker draagt er zorg voor dat de personen die bij Verwerker aan de verwerkingen meewerken, zulks niet beperkt tot haar werknemers, gebonden zijn aan een geheimhoudingsverplichting ter zake van de persoonsgegevens.
- Verwerker zal Verwerkingsverantwoordelijke, voor zover redelijkerwijs mogelijk, bijstand verlenen bij het (doen) nakomen van diens plicht onder de AVG tot het treffen van passende technische en organisatorische maatregelen teneinde een op het risico afgestemd beveiligingsniveau te waarborgen. Eventueel daarmee gepaard gaande kosten zijn voor rekening van Verwerkingsverantwoordelijke.
Artikel 11. Meldplicht
- In het geval van een beveiligingslek en/of een datalek (waaronder wordt verstaan: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins Verwerkte gegevens) zal Verwerker zich naar beste kunnen inspannen om Verwerkingsverantwoordelijke daarover zo snel mogelijk, doch uiterlijk binnen twee dagen na ontdekking, in een door Verwerker te bepalen gangbaar formaat te informeren, tenzij het niet waarschijnlijk is dat de inbreuk een risico voor de rechten en vrijheden van natuurlijke personen inhoudt.
- Naar aanleiding van de door Verwerker verstrekte informatie beoordeelt Verwerkingsverantwoordelijke of zij de toezichthoudende autoriteiten en/of de betrokkenen zal informeren of niet. Het is uitsluitend aan Verwerkingsverantwoordelijke om te vast te stellen of hij het datalek dient te melden aan de Autoriteit Persoonsgegevens en/of aan betreffende betrokkenen. Verwerker kan daarbij desgevraagd tegen het overeengekomen tarief adviseren.
- Verwerker spant zich naar beste kunnen in om de verstrekte informatie volledig, correct en accuraat te maken. Verwerker zal voorts alle redelijke maatregelen nemen om (verdere) schending van de bepalingen van de AVG te voorkomen of te beperken. Verwerkingsverantwoordelijke stemt er bij voorbaat mee in dat Verwerker in dat kader derden kan inschakelen zonder Verwerkingsverantwoordelijke daarover voorafgaand in te lichten.
- Indien de wet- en/of regelgeving dit vereist zal Verwerker meewerken aan het informeren van de ter zake relevante autoriteiten en eventueel Betrokkenen. Verwerkingsverantwoordelijke is verantwoordelijk voor het melden naar de relevante autoriteiten.
- De meldplicht behelst voor Verwerker in ieder geval het melden aan Verwerkingsverantwoordelijke van het feit dat er een lek is geweest, alsmede:
- wat de (vermeende) oorzaak is van het lek;
- wat het (vooralsnog bekende en/of te verwachten) gevolg is;
- wat de (voorgestelde) oplossing is;
- wat de reeds ondernomen maatregelen zijn;
- wat de contactgegevens voor de opvolging van de melding zijn;
- wie geïnformeerd is (zoals Betrokkene zelf, Verwerkingsverantwoordelijke, toezichthouder).
- Verwerker zal, voor zover redelijk, zulks rekening houdend met de aard van de verwerkingen en de stand van de techniek, Verwerkingsverantwoordelijke ondersteunen in het uitvoeren van haar wettelijke verplichtingen ten aanzien van het geconstateerde incident en haar medewerking daaraan verlenen. Verwerker is niet gehouden tot melding van een inbreuk in verband met persoonsgegevens bij de Autoriteit Persoonsgegevens en/of de betrokkene. Verwerker is dan ook niet aansprakelijk voor de (correcte en/of tijdige uitvoering van de) op Verwerkingsverantwoordelijke rustende meldplicht zoals bedoeld in artikelen 33 en 34 AVG.
- Verwerker documenteert alle inbreuken in verband met de persoonsgegevens als bedoeld in artikel 9 lid 1 van deze verwerkersovereenkomst met inbegrip van de feiten omtrent de inbreuk in verband met de persoonsgegevens, de gevolgen daarvan en de genomen corrigerende maatregelen. Deze documentatie verstrekt Verwerker uitsluitend aan Verwerkingsverantwoordelijke in geval van een verzoek van de Autoriteit Persoonsgegevens aan Verwerkingsverantwoordelijke, als bedoeld in artikel 33 lid 5 AVG.
Artikel 12. Rechten van betrokkenen
- In het geval dat een betrokkene een verzoek tot uitoefening van zijn wettelijke rechten aan Verwerker richt, zal Verwerker het verzoek uiterlijk binnen twee werkdagen doorsturen aan Verwerkingsverantwoordelijke en de betrokkene hiervan op de hoogte stellen. Verwerkingsverantwoordelijke zal het verzoek vervolgens verder zelfstandig afhandelen.
- In het geval dat een betrokkene een verzoek tot uitoefening van een van zijn wettelijke rechten aan Verwerkingsverantwoordelijke richt, zal Verwerker, indien Verwerkingsverantwoordelijke dit verlangt, medewerking verlenen voor zover dit mogelijk en redelijk is. Verwerker mag hiervoor redelijke kosten bij Verwerkingsverantwoordelijke in rekening brengen. Zonder nadere afspraken daaromtrent zijn de kosten voor rekening van Verwerkingsverantwoordelijke.
- Verwerker zal een klacht van een betrokkene over de verwerking van persoonsgegevens binnen uiterlijk vijf (5) werkdagen doorsturen aan Verwerkingsverantwoordelijke, die verantwoordelijk is voor de behandeling van de klacht.
Artikel 13. Geheimhouding en vertrouwelijkheid
- Op alle persoonsgegevens die Verwerker van Verwerkingsverantwoordelijke ontvangt en/of zelf verzamelt in het kader van deze verwerkersovereenkomst, rust een geheimhoudingsplicht jegens derden. Verwerker zal deze informatie niet voor een ander doel gebruiken dan waarvoor zij deze heeft verkregen, zelfs niet wanneer deze in een zodanige vorm is gebracht zodat deze niet tot betrokkenen herleidbaar is.
- Deze geheimhoudingsplicht is niet van toepassing:
- voor zover Verwerkingsverantwoordelijke uitdrukkelijke toestemming heeft gegeven om de informatie aan derden te verschaffen; of
- indien het verstrekken van de informatie aan derden logischerwijs noodzakelijk is voor de uitvoering van de Overeenkomst of deze Bijlage; of
- indien een wettelijke verplichting en/of een rechterlijk bevel Verwerker verplicht de informatie aan een derde te verstrekken; of
- ten aanzien van derden waaraan – met inachtneming van het bepaalde in artikel 6 – Persoonsgegevens in hun hoedanigheid als subverwerker worden verstrekt.
Artikel 14. Audit
- Verwerkingsverantwoordelijke heeft het recht audits uit te laten voeren door een onafhankelijke (ICT-)deskundige die aan geheimhouding is gebonden ter controle van naleving van alle punten uit deze verwerkersovereenkomst.
- Deze audit vindt uitsluitend plaatst nadat Verwerkingsverantwoordelijke de bij Verwerker aanwezige soortgelijke auditrapportages heeft opgevraagd, beoordeeld en redelijke argumenten aanbrengt die een door Verwerkingsverantwoordelijke geïnitieerde audit alsnog rechtvaardigen. Een dergelijke audit wordt gerechtvaardigd als de bij Verwerker aanwezige soortgelijke auditrapportages geen of onvoldoende uitsluitsel geven over het naleven van deze verwerkersovereenkomst door Verwerker. De door Verwerkingsverantwoordelijke geïnitieerde audit vindt twee weken na voorafgaande aankondiging door Verwerkingsverantwoordelijke en maximaal eenmaal per jaar plaats.
- Het onderzoek van Verwerkingsverantwoordelijke zal zich altijd beperken tot de systemen van Verwerker die voor de verwerkingen worden gebruikt. Verwerkingsverantwoordelijke zal de bij de controle gevonden informatie geheimhouden en alleen gebruiken om de naleving door Verwerker van de verplichtingen uit deze overeenkomst te controleren en de informatie of delen daarvan zo snel als mogelijk wissen. Verwerkingsverantwoordelijke staat ervoor in dat de eventueel ingeschakelde derden deze verplichtingen ook op zich nemen.
- Bij plaatsvinden van een audit zal Verwerker alle redelijkerwijs relevante informatie, inclusief ondersteunende gegevens zoals systeemlogs, en medewerkers zo tijdig mogelijk en binnen een redelijke termijn, waarbij een termijn van maximaal twee weken redelijk is, ter beschikking stellen. Verwerkingsverantwoordelijke zal er zorg voor dragen dat de audit een zo min mogelijk bedrijfsverstorend effect op de overige werkzaamheden van Verwerker veroorzaakt.
- De bevindingen naar aanleiding van de uitgevoerde audit zullen door Partijen in onderling overleg worden beoordeeld en, naar aanleiding daarvan, al dan niet worden doorgevoerd door één van de Partijen of door beide Partijen gezamenlijk.
- Verwerkingsverantwoordelijke draagt de kosten van de audit , tenzij uit een dergelijke controle blijkt dat sprake is van aantoonbaar ernstig verwijtbare nalatigheid aan de zijde van Verwerker met betrekking tot het doorvoeren van de in bijlage 2 van deze overeenkomst overeengekomen beveiligingsmaatregelen. Zulks met dien verstande dat de kosten voor de in te huren (ICT-)deskundige altijd door Verwerkingsverantwoordelijke zullen worden gedragen.
- Op aanwijzen van Verwerkingsverantwoordelijke zal Verwerker de beveiliging verbeteren. Verwerkingsverantwoordelijke vergoedt de kosten hiervan, tenzij de beveiliging zonder de door Verwerkingsverantwoordelijke gewenste wijziging niet aan de vereisten van de AVG voldeed (beveiliging naar hedendaagse maatstaven, geen onredelijk hoge kosten).
Artikel 15. Aansprakelijkheid
- Verwerkingsverantwoordelijke draagt, onder meer, de verantwoordelijkheid van de verwerking van persoonsgegevens en is uit dien hoofde volledig aansprakelijk voor (het gestelde doel van) de verwerkingen, het gebruik en de inhoud van de persoonsgegevens, de verstrekking aan derden, de duur van de opslag van de persoonsgegevens, de wijze van de verwerking en de daartoe gehanteerde middelen.
- Verwerker is jegens Verwerkingsverantwoordelijke slechts aansprakelijk zoals partijen zijn overeengekomen in de Overeenkomst en/of de algemene voorwaarden van Verwerker.
- Onverminderd het bepaalde in artikel 15 lid 1 en lid 2 van deze verwerkersovereenkomst is Verwerker slechts aansprakelijk voor schade die door de verwerking is veroorzaakt in het geval dat bij deze verwerking niet is voldaan aan specifiek tot Verwerker gerichte verplichtingen van de AVG of als buiten dan wel in strijd met rechtmatige instructies van Verwerkingsverantwoordelijk is gehandeld.
- De aansprakelijkheid van Verwerker voor schade als gevolg van een toerekenbare tekortkoming in de nakoming van deze verwerkersovereenkomst, dan wel uit onrechtmatige daad of anderszins, is uitgesloten. Voor zover voornoemde aansprakelijkheid niet kan worden uitgesloten en onverminderd het bepaalde in de leden 1, 2 en 3 van dit artikel is deze per gebeurtenis (een reeks opeenvolgende gebeurtenissen geldt als één gebeurtenis) beperkt tot de vergoeding van directe schade, tot maximaal het bedrag van de door Verwerker onder deze verwerkersovereenkomst voor de werkzaamheden ontvangen vergoedingen over de maand voorafgaande aan de schadeveroorzakende gebeurtenis. De aansprakelijkheid van Verwerker voor directe schade zal in totaal nooit meer bedragen dan het bedrag aan ontvangen vergoedingen voor de werkzaamheden onder deze verwerkersovereenkomst over de drie maanden voorafgaand aan de schadeveroorzakende gebeurtenis.
- Onder directe schade wordt uitsluitend verstaan schade bestaande uit:
- schade direct toegebracht aan stoffelijke zaken (“zaakschade”);
- redelijke en aantoonbare kosten om Verwerker er toe te manen deze verwerkersovereenkomst (weer) deugdelijk na te komen;
- redelijke kosten ter vaststelling van de oorzaak en de omvang van de schade voor zover betrekking hebbende op de directe schade zoals hier bedoeld is; en
- redelijke en aantoonbare kosten die Verwerkingsverantwoordelijke heeft gemaakt ter voorkoming of beperking van de directe schade zoals in dit artikel bedoeld.
- De aansprakelijkheid van Verwerker voor indirecte schade is uitgesloten. Onder indirecte schade wordt verstaan alle schade die geen directe schade is en daarmee in ieder geval, maar niet beperkt tot, gevolgschade, gederfde winst, gemiste besparingen, verminderde goodwill, schade door bedrijfsstagnatie, schade door het niet bepalen van marketingdoeleinden, schade verband houdende met het gebruik van door Verwerkingsverantwoordelijke voorgeschreven gegevens of databestanden, of verlies, verminking of vernietiging van gegevens of databestanden.
- De in dit artikel bedoelde uitsluitingen en beperkingen komen te vervallen indien en voor zover de schade het gevolg is van opzet of bewuste roekeloosheid van Verwerker of haar bedrijfsleiding.
- Tenzij nakoming door Verwerker blijvend onmogelijk is, ontstaat de aansprakelijkheid van Verwerker wegens toerekenbare tekortkoming in de nakoming van de Overeenkomst slechts indien Verwerkingsverantwoordelijke Verwerker onverwijld schriftelijk in gebreke stelt, waarbij een redelijke termijn voor de zuivering van de tekortkoming wordt gesteld, en Verwerker ook na die termijn toerekenbaar blijft tekortschieten in de nakoming van haar verplichtingen. De ingebrekestelling dient een zo volledig en gedetailleerd mogelijke omschrijving van de tekortkoming te bevatten, opdat Verwerker in de gelegenheid wordt gesteld adequaat te reageren.
- Iedere vordering tot schadevergoeding door Verwerkingsverantwoordelijke tegen Verwerker die niet gespecificeerd en expliciet is gemeld, vervalt door het enkele verloop van twaalf (12) maanden na het ontstaan van de vordering.
Artikel 16. Duur en beëindiging
- Deze verwerkersovereenkomst komt tot stand op het moment dat de aanvaarding van Verwerkingsverantwoordelijke van het aanbod van Verwerker Verwerker heeft bereikt. Deze verwerkersovereenkomst zal voortduren voor de duur van de Overeenkomst en bij gebreke daarvan voor de duur van de (verdere) samenwerking.
- Deze verwerkersovereenkomst eindigt op het moment dat de Overeenkomst eindigt, tenzij Verwerker na beëindiging van de Overeenkomst, om wat voor reden dan ook, nog altijd persoonsgegevens van Verwerkingsverantwoordelijke verwerkt, in welk geval deze verwerkersovereenkomst van toepassing blijft zolang Verwerker de persoonsgegevens nog verwerkt.
- Verwerker is te allen tijde gerechtigd deze verwerkersovereenkomst te wijzigen en/of aan te vullen indien dit noodzakelijk is om aan (toekomstige) wet- en regelgeving te voldoen. Wijzigingen van ondergeschikt belang, zoals kennelijke verschrijvingen, evidente omissies en overige wijzigingen van vergelijkbare aard, kunnen te allen tijde worden doorgevoerd zonder dat Verwerkingsverantwoordelijke daarmee hoeft in te stemmen en zonder dat Verwerkingsverantwoordelijke gerechtigd is de Overeenkomst en/of deze verwerkersovereenkomst te beëindigen. De meeste actuele versie van deze verwerkersovereenkomst is te vinden op de website van Verwerker.
- De verplichtingen uit deze verwerkersovereenkomst die naar hun aard bestemd zijn om de beëindiging te overleven, onder meer en doch niet beperkt tot artikel 13, 15 en 18 van deze verwerkersovereenkomst, blijven ook na beëindiging ervan van kracht.
Artikel 17. Bewaartermijnen, verwijdering en back-up
- Verwerker zal de persoonsgegevens binnen zestig dagen na het einde van de Overeenkomst wissen of, naar keuze van Verwerkingsverantwoordelijke, aan hem overdragen, tenzij de persoonsgegevens in het kader van (wettelijke) verplichtingen van Verwerker langer dienen te worden bewaard, of als Verwerkingsverantwoordelijke Verwerker verzoekt de persoonsgegevens langer te bewaren en Verwerker en Verwerkingsverantwoordelijke over de kosten en overige voorwaarden van dat langere bewaren overeenstemming hebben bereikt. Dit laatste onverminderd de verantwoordelijkheid van Verwerkingsverantwoordelijke de wettelijke bewaartermijnen in acht te nemen. Eventuele overdracht van (kopieën van) de persoonsgegevens aan Verwerkingsverantwoordelijke geschiedt op kosten van Verwerkingsverantwoordelijke.
- Verwerkingsverantwoordelijke is verantwoordelijk voor het bepalen van de (wettelijke) bewaartermijnen van de persoonsgegevens en zal Verwerker daarover adequaat informeren. Verwerker zal de persoonsgegevens niet langer verwerken dan overeenkomstig deze bewaartermijnen. Voor zover persoonsgegevens op enigerlei wijze onder controle van Verwerkingsverantwoordelijke zijn, blijft Verwerkingsverantwoordelijke verantwoordelijk voor het tijdig wissen van die gegevens.
- Onverminderd de specifieke bepalingen uit de Overeenkomst zal Verwerker de persoonsgegevens op eerste verzoek van Verwerkingsverantwoordelijke wissen of aan hem terugbezorgen, en bestaande kopieën ervan verwijderen, tenzij Verwerker wettelijk verplicht is de persoonsgegevens op te slaan. Verwerker zal Verwerkingsverantwoordelijke zodra de gegevens zijn vernietigd op diens verzoek daarvan een schriftelijke bevestiging geven.
- Verwerker zal op verzoek van Verwerkingsverantwoordelijke verklaren dat het wissen als bedoeld in artikel 17 lid 1 en artikel 17 lid 3 heeft plaatsgevonden. Verwerkingsverantwoordelijke kan op eigen kosten een controle laten uitvoeren om na te gaan of Verwerker de gegevens daadwerkelijk heeft gewist. Artikel 14 van deze overeenkomst is van toepassing op die controle. Indien nodig zal Verwerker alle subverwerkers die bij de verwerking van de persoonsgegevens betrokken zijn op de hoogte stellen van de beëindiging van de Overeenkomst en zal zij hen instrueren te handelen zoals in deze verwerkersovereenkomst is overeengekomen.
- Verwerkingsverantwoordelijke draagt zorg voor back-up van de persoonsgegevens, tenzij partijen uitdrukkelijk anders (zijn) overeenkomen.
Artikel 18. Toepasselijk recht en geschillenbeslechting
- Deze verwerkersovereenkomst en de uitvoering daarvan worden beheerst door Nederlands recht.
- Alle geschillen, die in verband met deze verwerkersovereenkomst tussen Partijen (mochten) ontstaan, zullen worden voorgelegd aan de bevoegde rechter voor het arrondissement waarin Verwerker gevestigd is.
- Logs en door Verwerker gedane metingen geleden als dwingend bewijs, behoudens tegenbewijs te leveren door Verwerkingsverantwoordelijke.
Verwerkingsverantwoordelijke geeft middels ondertekening van dit tekenblad aan uitdrukkelijk akkoord te zijn met de inhoud van deze verwerkersovereenkomst en dat ten gevolge van de ondertekening de Verwerkersovereenkomst met Verwerker tot stand is gekomen.
Bijlage 1: Verwerkingen van persoonsgegevens en bewaartermijnen
Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon; als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.
De Persoonsgegevens die partijen mogelijk kunnen verwerken:
- Unieke referentie(s) (bijvoorbeeld klantnummer).
- Geboortedatum & Geslacht.
- Typeringen (bijvoorbeeld klant, prospect, bezoeker).
- Gegevens met betrekking tot transacties/donaties/aankoopgeschiedenis/betalingen.
- Permissies (opt-ins).
- Interacties (bijvoorbeeld open- en klikgedrag).
- Data verkregen uit sociale profielen.
- Identificatiegegevens (NAW).
- Fysieke gegevens.
- Persoonlijke kenmerken.
- Leefgewoonten.
- Psychische gegevens.
- Samenstelling van het gezin.
- Vrijetijdsbesteding en interesses.
- Opleiding en vorming.
- Burgerservice nummer / tijdelijk onderwijsnummer.
- Gegevens betreffende de gezondheid.
- Beeldopnamen.
- Geluidsopnamen.
- Locatiegegevens.
- Woningkenmerken.
- Consumptiegewoonten.
- Vrijetijdsbesteding en interesses.
- Lidmaatschappen.
- Beroep en betrekking.
- Raciale of etnische gegevens.
- Gegevens over het seksuele leven.
- Financiële bijzonderheden.
Verwerkingsverantwoordelijke bepaalt uiteindelijk zelf welke persoonsgegevens er worden verwerkt binnen de diensten uit de Hoofdovereenkomst. Verwerkersverantwoordelijke beschikt ten alle tijde over een actueel en volledig overzicht van de door Verwerker te verwerken persoonsgegevens. Verwerker zal waar nodig input leveren voor het opstellen van dit overzicht.
1.2: Het gebruik (= wijze(n) van verwerking) van de Persoonsgegevens en de doeleinden van en de middelen voor de verwerking:
De persoonsgegevens hebben betrekking op de natuurlijke personen (betrokkenen) die:
- een relatie hebben met Verwerkingsverantwoordelijke (bijvoorbeeld, maar niet beperkt tot: klanten, leden, bezoekers, leads, prospects, donateurs, gasten, medewerkers, consumenten, burgers);
- en/of zich hebben ingeschreven voor communicatie-uitingen van Verwerkingsverantwoordelijke.
De doeleinden van de verwerkingen van persoonsgegevens worden bepaald door Verwerkingsverantwoordelijke. Voorbeelden van doeleinden zijn, maar beperken zich
niet tot: marketing (-communicatie), onderzoek, wettelijke verplichtingen, klantenwerving, uitvoering overeenkomst met betrokkenen.
Voorbeelden van verwerkingen zijn, maar beperken zich niet tot: verzamelen, vastleggen, ordenen, segmenteren, filteren, structureren, opslaan, mailen, bijwerken of wijzigen, synchroniseren, verrijken, analyseren, opvragen, raadplegen, gebruiken, delen, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen.
1.3: De gebruiks- en bewaartermijnen van de (verschillende soorten) Persoonsgegevens:
Verwerker zal de Persoonsgegevens binnen zestig dagen na het einde van de Hoofdovereenkomst wissen of het beheer van deze gegevens overdragen aan
Verwerkersverantwoordelijke. Daarnaast worden persoonsgegevens verwijderd indien
Verwerkingsverantwoordelijke het recht op vergetelheid van betrokkene ten uitvoer brengt.
Bijlage 2: Lijst van subverwerkers en/of categorieën van subverwerkers
Verwerker kan, afhankelijk van de te leveren diensten, bij de Verwerking gebruik maken van de volgende (categorieën) subverwerkers:
Email gerelateerde software
- Mailchimp
- Roundcube webmail
- Outlook exchange
CRM / project- en leadmanagement software
- Woopra
- Monday
- ActiveCampaign
Cloudopslag software
- Dropbox
- Google Drive
- Google Docs (Google Gsuite)
Website/webshop/backup hosting
- Hosting industries
- Skyberate
Marketing en tracking gerelateerde software
- Google Analytics
- Google Trends
- Google Search Console
- Google Tag Manager
- Hotjar
- MOZ
- VWO
- Swydo
- SEO Powersuite
- SEMrush
- Feedback company reviewtools
- Kiyoh reviewtools
- Klantenvertellen reviewtools
Een toelichting op deze categorieën, inclusief de bijbehorende specifieke subverwerkers, is door Verwerkingsverantwoordelijke te allen tijde op te vragen bij Verwerker.
Bijlage 3: Beveiligingsmaatregelen
Afhankelijk van de te leveren diensten, zijn bijvoorbeeld doch niet uitsluitend de volgende beveiligingsmaatregelen genomen door Verwerker:
Logische toegangscontrole
- Tweestaps verificatie
- Verplichting sterke wachtwoorden
- IP adres CMS toegang restricties
- Up-to-date virusscan
Website beveiliging (deels bij hostingpartij)
- Veranderen van login URL websites (wanneer van toepassing)
- Waar mogelijk schrijfrechten van bepaalde FTP bestanden/mappen
- Toegangscontrole op basis van IP adres
- 24/7 monitoring
- Blacklisted IP adressen altijd blokkeren
Fysieke toegangscontrole
- Afsluiten pand
- Screen lock policy
- Clean desk policy
- Clean screen en desktop policy
Een toelichting op deze maatregelen is door Verwerkingsverantwoordelijke te allen tijde op te vragen bij Verwerker.