VERWERKERSOVEREENKOMST
DE ONDERGETEKENDEN:
- De klant of partner waarmee deze overeenkomst (die aan deze bijlage is gehecht) is aangegaan (hierna: “Verwerkingsverantwoordelijke”); en
- JBrix (onderdeel van JB Design), gevestigd aan de Nijverheidsweg 7 in Giessenburg en ingeschreven in het register van de Kamer van Koophandel onder nummer 65913140, in deze rechtsgeldig vertegenwoordigd door J.L.T. Boer (hierna “Verwerker”).
hierna gezamenlijk ook aan te duiden als: “Partijen” en afzonderlijk als “Partij”.
OVERWEGENDE DAT:
- Verwerker diensten verricht ten behoeve van Verwerkingsverantwoordelijke, zoals beschreven in de in Bijlage 1 omschreven overeenkomsten.
- Verwerker de betreffende gegevens louter in opdracht van Verwerkingsverantwoordelijke verwerkt en niet voor eigen doeleinden.
- Partijen in deze Verwerkersovereenkomst de afspraken met betrekking tot de verwerking van Persoonsgegevens conform de Algemene Verordening Gegevensbescherming (Verordening 2016/679/EU) wensen vast te leggen.
VERKLAREN TE ZIJN OVEREENGEKOMEN ALS VOLGT:
- Definities
- In deze Verwerkersovereenkomst wordt onder de volgende met een hoofdletter aangeduide begrippen het volgende verstaan:
1.1.1 Algemene Verordening Gegevens Bescherming of AVG – Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG.
1.1.2 Betrokkene – een geïdentificeerde of identificeerbare natuurlijke persoon (artikel 4 sub 1 AVG).
1.1.3 Derde – een derde als bedoeld in artikel 4 sub 10 AVG.
1.1.4 Incident – (a) een klacht of (informatie)verzoek van een Betrokkene met betrekking tot de verwerking van Persoonsgegevens door Verwerker; (b) een onderzoek naar of beslaglegging door overheidsfunctionarissen op de Persoonsgegevens of een vermoeden dat dit gaat plaatsvinden; (c) een inbreuk in verband met Persoonsgegevens als bedoeld in artikel 4 onder 12 AVG;
(d) iedere ongeautoriseerde toegang, verwijdering, verminking, verlies of enige andere vorm van onrechtmatige verwerking van de Persoonsgegevens.
1.1.5 Medewerker – de door Partijen voor de uitvoering van deze Verwerkersovereenkomst betrokken natuurlijke persoon die werkzaam is bij of voor een van de Partijen.
1.1.6 Overeenkomst(en) – de in Bijlage 1 vermelde Overeenkomst(en) betreffende de levering van producten en/of diensten.
1.1.7 Partij – Verwerkingsverantwoordelijke of Verwerker.
1.1.8 Partijen – Verwerkingsverantwoordelijke en Verwerker.
1.1.9 Persoonsgegeven – alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon in de zin van artikel 4 onder 1 AVG.
1.1.10 Subverwerker – iedere niet-ondergeschikte derde partij die door Verwerker is betrokken bij de verwerking van Persoonsgegevens in het kader van de Overeenkomst, niet zijnde Medewerkers.
1.1.11 Verwerker – de verwerker als bedoeld in artikel 4 sub 8 AVG
1.1.12 Verwerkersovereenkomst – de onderhavige overeenkomst.
1.1.13 Verwerkingsverantwoordelijke – de verwerkingsverantwoordelijke als bedoeld in artikel 4 sub 7 AVG
- Onderwerp van deze Verwerkersovereenkomst
- Deze Verwerkersovereenkomst heeft betrekking op de verwerking van Persoonsgegevens door Verwerker in opdracht van de Verwerkingsverantwoordelijke in het kader van de uitvoering van de Overeenkomst(en).
- Partijen sluiten de Overeenkomst(en) om de expertise die Verwerker heeft als het gaat om het verwerken en beveiligen van Persoonsgegevens te gebruiken voor de uit de Overeenkomst(en) voortvloeiende en in deze Verwerkersovereenkomst nader beschreven doeleinden. Verwerker staat er voor in dat hij hiertoe gekwalificeerd is.
- Deze Verwerkersovereenkomst maakt onverbrekelijk deel uit van de Overeenkomst(en). Voor zover het bepaalde in de Verwerkersovereenkomst strijdig is met het bepaalde in de Overeenkomst(en), prevaleert het bepaalde in de Verwerkersovereenkomst.
- Uitvoering verwerking
- Verwerker garandeert dat hij ten behoeve van Verwerkingsverantwoordelijke uitsluitend Persoonsgegevens zal verwerken voor zover:
- Verwerkingsverantwoordelijke daartoe nadere schriftelijke instructies heeft gegeven;
- In het kader van het bepaalde in het eerste lid van artikel 3 onder a) zal Verwerker uitsluitend de in Bijlage 1 gespecificeerde Persoonsgegevens verwerken in het kader van de in die bijlage beschreven aard en doeleinden van de verwerking.
- Verwerker zal alle redelijke instructies van Verwerkingsverantwoordelijke in verband met de verwerking van de Persoonsgegevens opvolgen. Verwerker stelt Verwerkingsverantwoordelijke onmiddellijk op de hoogte indien naar zijn oordeel instructies in strijd zijn met de toepasselijke wetgeving met betrekking tot de verwerking van Persoonsgegevens.
- Onverminderd het bepaalde in het eerste lid van dit artikel 3, is het Verwerker toegestaan om Persoonsgegevens te verwerken indien een wettelijk voorschrift (waaronder begrepen daarop gebaseerde rechterlijke of bestuurlijke bevelen) hem tot een verwerking verplicht. In dat geval stelt de Verwerker voorafgaand aan de verwerking Verwerkingsverantwoordelijke in kennis van de beoogde verwerking en het wettelijk voorschrift, tenzij die wetgeving deze kennisgeving om gewichtige redenen van algemeen belang verbiedt. Verwerker zal Verwerkingsverantwoordelijke, waar mogelijk, in staat stellen zich te verweren tegen deze verplichte verwerking en ook overigens de verplichte verwerking beperken tot het strikt noodzakelijke.
- Verwerker zal de Persoonsgegevens aantoonbaar, op behoorlijke en zorgvuldige wijze verwerken en in overeenstemming met de op hem als Verwerker rustende verplichtingen op grond van de AVG en overige wet- en regelgeving.
- Verwerker zal de Persoonsgegevens alleen verwerken door hemzelf of laten verwerken door derden in landen binnen de Europese Economische Ruimte (“EER”) danwel in landen welke een waarborg tot een passend beschermingsniveau bieden conform artikel 45 AVG (Adequaatheidsbesluit).
- Verwerker waarborgt dat betrokken Medewerkers een geheimhoudingsovereenkomst hebben getekend en geeft Verwerkingsverantwoordelijke op verzoek inzage in deze geheimhoudingsovereenkomst.
- Verwerker garandeert dat hij ten behoeve van Verwerkingsverantwoordelijke uitsluitend Persoonsgegevens zal verwerken voor zover:
- Beveiliging Persoonsgegevens en controle
- Verwerker zal aantoonbaar, passende en doeltreffende technische en organisatorische beveiligingsmaatregelen nemen, die gezien de huidige stand der techniek en de daarmee gemoeide kosten overeenstemmen met de (in Bijlage 1 gespecificeerde) aard van de te verwerken Persoonsgegevens, ter bescherming van de Persoonsgegevens tegen verlies, onbevoegde kennisname, verminking of enige vorm van onrechtmatige verwerking, alsmede om de (tijdige) beschikbaarheid van de gegevens te garanderen. In deze beveiligingsmaatregelen zijn de mogelijk in de Overeenkomst reeds bepaalde maatregelen begrepen. De maatregelen omvatten in ieder geval:
- maatregelen om te waarborgen dat enkel bevoegde Medewerkers toegang hebben tot de Persoonsgegevens voor de doeleinden die zijn uiteengezet;
- maatregelen waarbij de Verwerker zijn Medewerkers en Subverwerkers uitsluitend toegang geeft tot Persoonsgegevens via op naam gestelde accounts, waarbij het gebruik van die accounts adequaat gelogd wordt;
- maatregelen om de Persoonsgegevens te beschermen tegen onopzettelijke of onrechtmatige vernietiging, onopzettelijk verlies of wijziging, onbevoegde of onrechtmatige opslag, verwerking, toegang of openbaarmaking;
- maatregelen om zwakke plekken te identificeren ten aanzien van de verwerking van Persoonsgegevens in de systemen die worden ingezet voor het verlenen van diensten aan Verwerkingsverantwoordelijke;
- maatregelen om de tijdige beschikbaarheid van de Persoonsgegevens te garanderen;
- maatregelen om te waarborgen dat Persoonsgegevens logisch gescheiden worden verwerkt van de Persoonsgegevens die hij voor zichzelf of namens derde partijen verwerkt;
- de overige maatregelen die Partijen zijn overeengekomen zoals vastgelegd in Bijlage 2.
- Verwerkingsverantwoordelijke heeft het recht toe te (laten) zien op de naleving van de hiervoor onder artikel 4.1 genoemde maatregelen. Verwerker stelt Verwerkingsverantwoordelijke, indien Verwerkingsverantwoordelijke daarom verzoekt, hiertoe in elk geval eenmaal per jaar in de gelegenheid op een door Partijen in gezamenlijk overleg nader te bepalen tijdstip en verder indien Verwerkingsverantwoordelijke daar aanleiding toe ziet naar aanleiding van (vermoeden van) informatie- of privacy-incidenten, dat te (laten) controleren. Verwerker zal in alle redelijkheid haar medewerking verlenen aan een dergelijk onderzoek. Verwerker zal eventuele door Verwerkingsverantwoordelijke naar aanleiding van een dergelijk onderzoek in redelijkheid gegeven instructies tot aanpassing van het beveiligingsbeleid binnen een redelijke termijn opvolgen.
- Partijen erkennen dat beveiligingseisen voortdurend veranderen en dat een effectieve beveiliging frequente evaluatie en regelmatige verbetering van verouderde beveiligingsmaatregelen vereist. Verwerker zal daarom de maatregelen zoals geïmplementeerd op basis van dit artikel 4 periodiek evalueren en, waar nodig, de maatregelen verbeteren om te blijven voldoen aan de verplichtingen onder dit artikel 4. Het voorgaande laat de instructiebevoegdheid van Verwerkingsverantwoordelijke om zo nodig aanvullende maatregelen te (doen) treffen onverlet.
- Verwerker zal aantoonbaar, passende en doeltreffende technische en organisatorische beveiligingsmaatregelen nemen, die gezien de huidige stand der techniek en de daarmee gemoeide kosten overeenstemmen met de (in Bijlage 1 gespecificeerde) aard van de te verwerken Persoonsgegevens, ter bescherming van de Persoonsgegevens tegen verlies, onbevoegde kennisname, verminking of enige vorm van onrechtmatige verwerking, alsmede om de (tijdige) beschikbaarheid van de gegevens te garanderen. In deze beveiligingsmaatregelen zijn de mogelijk in de Overeenkomst reeds bepaalde maatregelen begrepen. De maatregelen omvatten in ieder geval:
- Monitoring, informatieplichten en incidentenmanagement
- Verwerker zal actief monitoren op inbreuken op de beveiligingsmaatregelen en over de resultaten van de monitoring in overeenstemming met dit artikel 5 rapporteren aan Verwerkingsverantwoordelijke.
- Zodra zich een Incident voordoet, heeft voorgedaan of zou kunnen voordoen, is Verwerker verplicht Verwerkingsverantwoordelijke daarvan onmiddellijk in kennis te stellen en daarbij alle relevante informatie te verstrekken over:
- de aard van het Incident;
- de (mogelijk) getroffen Persoonsgegevens;
- de geconstateerde en de vermoedelijke gevolgen van het Incident; en
- de maatregelen die getroffen zijn of zullen worden om het Incident op te lossen dan wel de gevolgen/schade zoveel mogelijk te beperken.
- Verwerker is, onverminderd de overige verplichtingen uit dit artikel, verplicht om maatregelen te treffen die redelijkerwijs van hem kunnen worden verwacht om het Incident zo snel mogelijk te herstellen dan wel de verdere gevolgen zoveel mogelijk te beperken. Verwerker treedt zonder uitstel in overleg met Verwerkingsverantwoordelijke teneinde hierover nadere afspraken te maken.
- Verwerker zal Verwerkingsverantwoordelijke te allen tijde zijn medewerking verlenen en zal de instructies van Verwerkingsverantwoordelijke opvolgen en stelt Verwerkingsverantwoordelijke in staat een deugdelijk onderzoek te verrichten naar het Incident, een correcte respons te formuleren en passende vervolgstappen te nemen ten aanzien van het Incident, waaronder begrepen het informeren van de Autoriteit Persoonsgegevens (AP) en/of de Betrokkene.
- Verwerker zal te allen tijde geschreven procedures voorhanden hebben die hem in staat stellen om Verwerkingsverantwoordelijke van een onmiddellijke reactie over een Incident te voorzien, en om effectief samen te werken met Verwerkingsverantwoordelijke om het Incident af te handelen. Verwerker zal Verwerkingsverantwoordelijke voorzien van een afschrift van dergelijke procedures indien Verwerkingsverantwoordelijke daarom verzoekt.
- Meldingen die worden gedaan op grond van artikel 5.2 worden ogenblikkelijk gericht aan Verwerkingsverantwoordelijke of, indien relevant, aan een door Verwerkingsverantwoordelijke tijdens de duur van deze Verwerkersovereenkomst schriftelijk bekendgemaakte Medewerkers van Verwerkingsverantwoordelijke. Indien Verwerkingsverantwoordelijke een Functionaris voor de Gegevensbescherming (FG) als bedoeld in artikel 37 ev AVG heeft aangesteld, worden de meldingen gericht aan deze FG.
- Het is Verwerker niet toegestaan informatie te verstrekken over Incidenten aan betrokkenen of andere derde partijen, behoudens voor zover Verwerker daartoe wettelijk verplicht is of Partijen anderszins zijn overeengekomen.
- Medewerkingsverplichtingen
- De AVG en overige (privacy)wetgeving kent aan de Betrokkene bepaalde rechten toe. Verwerker zal zijn volledige en tijdige medewerking verlenen aan Verwerkingsverantwoordelijke bij de nakoming van de op Verwerkingsverantwoordelijke rustende verplichtingen voortvloeiend uit deze rechten.
- Een door Verwerker ontvangen klacht of een verzoek van een Betrokkene met betrekking tot verwerking van Persoonsgegevens wordt door Verwerker zonder uitstel doorgestuurd naar Verwerkingsverantwoordelijke.
- Op het eerste daartoe strekkende verzoek van Verwerkingsverantwoordelijke zal Verwerker aan Verwerkingsverantwoordelijke alle relevante informatie verstrekken betreffende de aspecten van de door hem verrichte verwerking van Persoonsgegevens zodat Verwerkingsverantwoordelijke, mede aan de hand van die informatie, aan kan tonen dat zij de toepasselijke (privacy) wetgeving naleeft.
- Verwerker zal voorts op eerste verzoek van Verwerkingsverantwoordelijke alle noodzakelijke bijstand verlenen bij de nakoming van de op grond van de toepasselijke privacywetgeving op Verwerkingsverantwoordelijke rustende wettelijke verplichtingen (zoals bijvoorbeeld het uitvoeren van een privacy impact assessment ) voor zover dit op de verwerkingen die Verwerker voor Verwerkingsverantwoordelijke ten uitvoer brengt en deze van toepassing zijn op deze verwerkingen.
- Inschakeling subverwerkers
- Verwerker zal zijn activiteiten die bestaan uit het verwerken van Persoonsgegevens niet uitbesteden aan een (nieuwe) Subverwerker zonder voorafgaande schriftelijke toestemming van Verwerkingsverantwoordelijke. Het voorgaande is niet van toepassing op de in Bijlage 1 vermeldde Subverwerkers binnen en buiten de Europese Economische Ruimte (EER) op voorwaarde dat Subverwerkers buiten de Europese Economische Ruimte (EER) voldoende waarborg tot een passend beschermingsniveau bieden (“Adequaatheidsbesluit” artikel 45 AVG)
- Voor zover Verwerkingsverantwoordelijke instemt met de inschakeling van een Subverwerker, zal Verwerker aan deze Subverwerker dezelfde of strengere verplichtingen opleggen als voor hemzelf uit deze Verwerkersovereenkomst en de wet voortvloeien. Verwerker zal deze afspraken schriftelijk vastleggen en zal toezien op de naleving daarvan door de Subverwerker. Verwerker zal Verwerkingsverantwoordelijke op verzoek afschrift verstrekken van de met de Subverwerker gesloten overeenkomst(en).
- Niettegenstaande de toestemming van Verwerkingsverantwoordelijke voor het inschakelen van een Subverwerker die in opdracht van de Verwerker (gedeeltelijk) gegevens verwerkt, blijft Verwerker volledig aansprakelijk jegens Verwerkingsverantwoordelijke voor de gevolgen van het uitbesteden van werkzaamheden aan een Subverwerker.
- Aansprakelijkheid
- Partijen zijn ieder verantwoordelijk en aansprakelijk voor hun eigen handelen.
- Enige beperking van de aansprakelijkheid in de Overeenkomst is mutatis mutandis ook van toepassing op deze Verwerkersovereenkomst, met dien verstande dat:
- eventuele (impliciete of expliciete) uitsluitingen van aansprakelijkheid voor verlies en/of verminking van Persoonsgegevens zijn uitgesloten;
- eventuele (impliciete of expliciete) uitsluitingen van aansprakelijkheid voor boetes die door de Autoriteit Persoonsgegevens of een andere toezichthouder worden opgelegd die rechtstreeks verband houden met een toerekenbare tekortkoming van Verwerker, of een aan Verwerker toerekenbaar gedraging of nalaten, zijn uitgesloten.
- Verwerker vrijwaart Verwerkingsverantwoordelijke en stelt de Verwerkingsverantwoordelijke schadeloos voor alle claims, acties, aanspraken van derden, alsmede boetes van de Autoriteit Persoonsgegevens, die rechtstreeks voortvloeien uit een toerekenbare tekortkoming door Verwerker en/of diens Subverwerkers in de nakoming van zijn verplichtingen onder deze Verwerkersovereenkomst en/of enige schending door Verwerker en/of diens Subverwerkers van de van toepassing zijnde wetgeving op het gebied van verwerking van Persoonsgegevens.
- Voor zover Partijen hoofdelijk aansprakelijk zijn jegens derden, waaronder begrepen de betrokkene, of gezamenlijk een boete opgelegd krijgen door de Autoriteit Persoonsgegevens, zijn zij jegens elkaar, ieder voor het gedeelte van de schuld dat hem in hun onderlinge verhouding aangaat, verplicht overeenkomstig het bepaalde in Boek 6, Titel 1, Afdeling 2 van het Burgerlijk Wetboek in de schuld en kosten bij te dragen, tenzij de AVG anders bepaalt in welk geval de AVG voorgaat.
- Voor zover in de Overeenkomst geen beperking van aansprakelijkheid voor Verwerkingsverantwoordelijke is opgenomen, geldt de in lid 2 opgenomen beperking voor Verwerker eveneens voor de Verwerkingsverantwoordelijke.
- Iedere beperking van aansprakelijkheid komt voorts voor de betreffende Partij te vervallen in geval van opzet of grove schuld aan de zijde van de betreffende Partij.
- Kosten
- De kosten voor de verwerking van gegevens die inherent zijn aan de normale uitvoering van de Overeenkomst, worden geacht besloten te liggen in de op grond van de Overeenkomst reeds verschuldigde vergoedingen.
- Enige ondersteuning of enige andere aanvullende dienstverlening die Verwerker op grond van deze Verwerkersovereenkomst dient te verlenen, of die wordt verzocht door Verwerkings-verantwoordelijke, inclusief alle verzoeken tot aanvullende informatie, zullen in voorkomende gevallen, echter pas nadat Partijen in onderling overleg hiertoe een regeling getroffen hebben, aan Verwerkingsverantwoordelijke in rekening gebracht worden.
- Duur en beëindiging
- Deze Verwerkersovereenkomst gaat in op de datum van ondertekening en de duur van deze Verwerkersovereenkomst is gelijk aan de duur van de in Bijlage 1 genoemde Overeenkomst(en), inclusief eventuele verlengingen daarvan.
- De Verwerkersovereenkomst maakt na ondertekening ervan door beide Partijen integraal en onlosmakelijk deel uit van de Overeenkomst(en). Beëindiging van de Overeenkomst(en), op welke grond dan ook (opzegging/ontbinding), heeft tot gevolg dat de Verwerkersovereenkomst eveneens op dezelfde grond beëindigd wordt (en vice versa), tenzij Partijen in voorkomend geval anders overeenkomen.
- Verplichtingen welke naar hun aard bestemd zijn om ook na beëindiging van deze Verwerkersovereenkomst voort te duren, blijven na beëindiging van deze Verwerkersovereenkomst gelden. Tot deze bepalingen behoren bijvoorbeeld die welke voortvloeien uit de bepalingen betreffende geheimhouding, aansprakelijkheid, geschillenbeslechting en toepasselijk recht.
- Ieder der Partijen is gerechtigd, onverminderd hetgeen daartoe bepaald is in de Overeenkomst, de uitvoering van deze Verwerkersovereenkomst en de daarmee samenhangende Overeenkomst op te schorten, dan wel zonder rechterlijke tussenkomst met onmiddellijke ingang te ontbinden, indien:
- de andere Partij wordt ontbonden of anderszins ophoudt te bestaan;
- de andere Partij aantoonbaar [ernstig] tekortschiet in de nakoming van de verplichtingen die voortvloeien uit deze Verwerkersovereenkomst en die toerekenbare tekortkoming niet binnen 30 dagen is hersteld na een daartoe strekkende schriftelijke ingebrekestelling;
- een Partij in staat van faillissement wordt verklaard of surséance van betaling aanvraagt.
- Gelet op de grote afhankelijkheid van Verwerkingsverantwoordelijke van Verwerker alsmede het continuïteitsrisico bij incidenten en calamiteiten (zoals faillissement), verklaart Verwerker zich reeds nu voor alsdan bereid op eerste verzoek van Verwerkingsverantwoordelijke aanvullende afspraken met Verwerkingsverantwoordelijke te maken teneinde voornoemde risico’s te verkleinen. Deze aanvullende afspraken kunnen onder meer bestaan uit:
- het maken van afspraken over het periodiek terug of aan een derde partij leveren van de door Verwerker verwerkte gegevens; en/of
- het met een derde partij sluiten van een overeenkomst die ertoe strekt dat de betreffende derde partij zich hoofdelijk verbindt tot of borg staat voor de nakoming van de Overeenkomst; en/of
- het met een derde partij sluiten van een (tri-partite) overeenkomst die ertoe strekt dat de betreffende derde partij (voortdurend) over alle benodigde gegevens komt te beschikken om in voorkomend geval (een deel van) de op grond van de Overeenkomst te verrichten prestaties – al dan niet op basis van een nieuwe overeenkomst – in plaats van of parallel aan Verwerker te kunnen (gaan) verrichten.
- Verwerkingsverantwoordelijke is gerechtigd deze Verwerkersovereenkomst en de Overeenkomst per direct te ontbinden indien Verwerker te kennen geeft niet (langer) te kunnen voldoen aan de betrouwbaarheidseisen die op grond van ontwikkelingen in de wet en/of de rechtspraak aan de verwerking van de Persoonsgegevens worden gesteld.
- Verwerker dient Verwerkingsverantwoordelijke voorafgaand en tijdig te informeren over een voorgenomen overname of eigendomsoverdracht.
- Het is Verwerker niet toegestaan om zonder uitdrukkelijke en schriftelijke toestemming van Verwerkingsverantwoordelijke deze Verwerkersovereenkomst en de rechten en plichten die samenhangen met deze Verwerkersovereenkomst over te dragen aan een derde partij.
- Bewaartermijnen, teruggave en vernietiging van Persoonsgegevens
- Verwerker bewaart de Persoonsgegevens niet langer dan strikt noodzakelijk, waaronder begrepen de wettelijke bewaartermijnen of een eventueel tussen Partijen gemaakte afspraak over bewaartermijnen zoals vastgelegd in Bijlage 1. In geen geval bewaart Verwerker de Persoonsgegevens langer dan tot het einde van deze Verwerkersovereenkomst. Verwerkingsverantwoordelijke bepaalt of en zo ja hoe lang gegevens bewaard moeten blijven.
- Bij beëindiging van de Verwerkersovereenkomst, of indien van toepassing aan het einde van de overeengekomen bewaartermijnen, of op schriftelijk verzoek van Verwerkingsverantwoordelijke zal Verwerker, tegen redelijke kosten, naar keuze van Verwerkingsverantwoordelijke, de Persoonsgegevens onherroepelijk (doen) vernietigen of teruggeven aan Verwerkingsverantwoordelijke. Op verzoek van Verwerkingsverantwoordelijke verstrekt Verwerker bewijs van het feit dat de gegevens onherroepelijk zijn vernietigd of verwijderd. Eventuele teruggave van de gegevens zal in een algemeen gangbaar, gestructureerd en gedocumenteerd gegevensformaat langs elektronische weg plaatsvinden. Indien teruggave, onherroepelijke vernietiging of verwijdering niet mogelijk is, stelt Verwerker Verwerkingsverantwoordelijke daarvan onmiddellijk op de hoogte. In dat geval garandeert Verwerker dat hij de Persoonsgegevens vertrouwelijk zal behandelen en niet langer zal verwerken.
- Intellectuele eigendomsrechten
- Voor zover de (verzameling van) Persoonsgegevens wordt beschermd door enig intellectueel eigendomsrecht, verleent Verwerkingsverantwoordelijke toestemming aan Verwerker de Persoonsgegevens te gebruiken in het kader van de uitvoering van deze Verwerkersovereenkomst.
- Slotbepalingen
- De overwegingen maken onderdeel uit van deze Verwerkersovereenkomst.
- In geval van nietigheid c.q. vernietigbaarheid van een of meer bepalingen uit deze Verwerkersovereenkomst, blijven de overige bepalingen onverkort van kracht.
- In alle gevallen waarin deze Verwerkersovereenkomst niet voorziet beslissen Partijen in onderling overleg.
- Op deze Verwerkersovereenkomst is Nederlands recht van toepassing.
- Partijen zullen zich inspannen conflicten in onderling overleg op te lossen. Hierbij is inbegrepen de mogelijkheid het geschil te beëindigen door een in onderling overleg vast te stellen mediation of arbitrage.
- Geschillen over of in verband met deze Verwerkersovereenkomst worden uitsluitend voorgelegd aan de daartoe bevoegde Rechtbank in Den Haag of aangewezen arbiter(s).
- : Overeenkomsten, omschrijving Persoonsgegevens, aard verwerkingen, etc.
Deze Verwerkersovereenkomst is een bijlage bij de volgende Overeenkomsten en heeft betrekking op de volgende verwerkingen van Persoonsgegevens.
Ingangs-datum contract | Kenmerk / nummer / titel contract | Korte omschrijving diensten | Aard van de verwerking | Soort Persoonsgegevens | Categorieën van betrokkenen | Doeleinden van de verwerking | Goedgekeurde subverwerkers | Afspraken bewaartermijnen |
Ingangsdatum overeenkomst | Gehecht aan deze bijalge | Beheer en support van e-mailmarketing software | Verwerking van de gegevens van klanten, relaties, werknemers en evt. andere partijen t.b.v. e-mailmarketingactiviteiten. | NAW-gegevens, e-mailadres, bedrijfsnaam, dubbele opt-in voor nieuwsbrieven, bedrijfsnaam, geboortedatum en overige persoonsgegevens die actief zijn verstrekt door het invullen van bijvoorbeeld een aanmeldformulier. | Klanten, relaties en medewerkers. | De genoemde persoonsgegevens worden verwerkt t.b.v. het uitvoeren van e-mailmarketing-activiteiten ter ondersteuning van de bedrijfsprocessen. | Mailgun, SendGrid, Wufoo, Zapier, Mailparser.io & interne/externe programmeur(s) | Zoals wettelijk staat voorgeschreven. |
- : Omschrijving nadere beveiligingsmaatregelen
- geïmplementeerd beveiligingsbeleid en het periodiek updaten en implementeren van het geüpdatete beveiligingsbeleid;
- geïmplementeerde gedragscode;
- geheimhoudingsverplichtingen in arbeidscontracten;
- indringeralarm;
- veilige wijze voor het opslaan van gegevensbestanden;
- logische toegangscontroles door middel van kennis, zoals password of persoonlijke toegangscodes;
- logische toegangscontroles door middel van fysieke toegangsmiddelen, zoals bijvoorbeeld maar niet beperkt tot veiligheidssleutels;
- controleren van toegekende rechten van medewerkers van Verwerkingsverantwoordelijke (en logging van toegang);
- logging en controle van toegang tot het systeem door medewerkers van Verwerker (waaronder begrepen het controleren op tekenen van onrechtmatige toegang tot de Persoonsgegevens door medewerkers van Verwerker (of derden);
- herstelprocedures door bijvoorbeeld een restore vanuit een back up;
- voldoen aan de geheimhoudingsbepaling van deze Verwerkersovereenkomst; en
- het aanwijzen van een beperkt aantal personen, die met de uitvoering van de Verwerking van Persoonsgegevens zijn belast en geautoriseerd zijn om zichzelf toegang te verlenen tot de Persoonsgegevens, welke personen uitdrukkelijk alleen gerechtigd zijn om de voor de uitvoering van deze Verwerkersovereenkomst noodzakelijke handelingen te verrichten.