VERWERKERSOVEREENKOMST

CORRECTHOSTING

 

Partijen

 

  • Correcthosting, gevestigd aan de Zaagmolenlaan 4 te Woerden en rechtsgeldig vertegenwoordigd door XXXXXX (hierna: “Verwerkingsverantwoordelijke”);

 

  • [NAAM], gevestigd aan het [ADRES] te [PLAATS], Kamer van Koophandel nummer [KVK] en rechtsgeldig vertegenwoordigd door [VERTEGENWOORDIGER] (hierna: “Verwerker”);

 

in aanmerking nemende dat

  • Verwerkingsverantwoordelijke de beschikking heeft over persoonsgegevens van diverse betrokkenen;
  • Waar in deze overeenkomst gesproken wordt over persoonsgegevens, hiermee persoonsgegevens in de zin van artikel 4 lid 1 van de Algemene Verordening Gegevensbescherming (hierna: “AVG”) bedoeld worden;
  • Verwerkingsverantwoordelijke bepaalde vormen van verwerking wil laten verrichten door de Verwerker ten behoeve van de uitvoering van [NAAM + DATUM] (hierna: ‘’Overeenkomst’’), teneinde [DOELEINDEN VAN DE SOORTEN VERWERKINGEN OPNEMEN];
  • Verwerkingsverantwoordelijke de doeleinden en middelen aanwijst voor de verwerking en waarvoor de hierin genoemde voorwaarden gelden;
  • Verwerker bereid is de verplichtingen omtrent beveiliging en andere aspecten van de AVG en, tot 25 mei 2018, de Wet bescherming persoonsgegevens (hierna: “Wbp) na te komen, voor zover dit binnen zijn macht ligt;
  • Verwerkingsverantwoordelijke hierbij aangemerkt wordt als Verwerkingsverantwoordelijke in de zin van artikel 4 lid 7 van de AVG;
  • Verwerker hierbij aangemerkt wordt als Verwerker in de zin van artikel 4 lid 8 van de AVG;
  • Partijen, mede gelet op het vereiste uit artikel 28 lid 3 van de AVG, hun rechten en plichten schriftelijk wensen vast te leggen middels deze Verwerkersovereenkomst (hierna: “Verwerkersovereenkomst”);
  • waar in deze Verwerkersovereenkomst gerefereerd wordt aan bepalingen uit de AVG, tot 25 mei 2018 de corresponderende bepalingen uit de Wbp worden bedoeld.

 

 

 

 

 

 

 


 

zijn als volgt overeengekomen

 

  • DOELEINDEN VAN VERWERKING
    • Vewerker verbindt zich onder de voorwaarden van deze Vewerkersovereenkomst in opdracht van Verwerkingsverantwoordelijke persoonsgegevens te verwerken. Verwerking zal uitsluitend plaatsvinden in het kader van de Overeenkomst en die doeleinden die met nadere instemming worden bepaald.
    • Vewerker zal de persoonsgegevens niet voor enig ander doel verwerken dan zoals door Verwerkingsverantwoordelijke is vastgesteld.
    • Verwerker neemt geen zelfstandige beslissingen over het verwerken van de persoonsgegevens voor andere doeleinden, waaronder over de verstrekking daarvan aan derden en de duur van de opslag van gegevens. De zeggenschap over persoonsgegevens verstrekt aan Verwerker in het kader van deze Verwerkersovereenkomst of andere overeenkomsten tussen partijen, alsmede over de door Verwerker in dat kader verwerkte gegevens, berust bij de Verwerkingsverantwoordelijke.
    • De in opdracht van Verwerkingsverantwoordelijke te verwerken persoonsgegevens blijven eigendom van Verwerkingsverantwoordelijke en/of de betreffende betrokkenen.

 

  • VERPLICHTINGEN VERWERKER
    • Verwerker garandeert de naleving van de toepasselijke wet- en regelgeving, waaronder in ieder geval begrepen de wet- en regelgeving op het gebied van de bescherming van persoonsgegevens, zoals de AVG.
    • Verwerker zal Verwerkingsverantwoordelijke, op diens eerste verzoek daartoe, informeren over de door haar genomen maatregelen aangaande haar verplichtingen onder deze Verwerkersovereenkomst en de AVG.
    • De verplichtingen van de Verwerker die uit deze Verwerkersovereenkomst voortvloeien, gelden ook voor degenen die persoonsgegevens verwerken onder het gezag van Verwerker, waaronder begrepen maar niet beperkt tot werknemers, in de ruimste zin van het woord.
    • Het verwerken van gegevens door Verwerker zal nimmer met zich meebrengen dat de databases van Verwerker worden verrijkt met de gegevens afkomstig uit de datasets van Verwerkingsverantwoordelijke. Het combineren van gegevens afkomstig van Verwerkingsverantwoordelijke door Verwerker is niet toegestaan.
    • Verwerker zal Verwerkingsverantwoordelijke de noodzakelijke medewerking verlenen wanneer er in het kader van een verwerking een gegevensbeschermingseffectbeoordeling, ook wel data protection impact assessment (DPIA) of voorafgaande raadpleging van de toezichthouder, noodzakelijk mocht zijn.
    • Verwerker vrijwaart Verwerkingsverantwoordelijke van eventuele claims en procedures van derde partijen, waaronder uitdrukkelijk begrepen toezichthouders zoals de Autoriteit Persoonsgegevens en betrokkenen, gebaseerd op of voortvloeiend uit een schending van de AVG en/of deze Verwerkersovereenkomst.

 

  • DOORGIFTE VAN PERSOONSGEGEVENS
    • Verwerker mag de persoonsgegevens enkel verwerken in landen binnen de Europese Unie. Doorgifte naar landen buiten de Europese Unie is verboden.
    • Verwerker zal Verwerkingsverantwoordelijke melden in welk land of landen de persoonsgegevens worden verwerkt.

 

 

 

 

  • VERDELING VAN VERANTWOORDELIJKHEID
    • De toegestane verwerkingen worden uitgevoerd binnen een geautomatiseerde omgeving onder volledige controle van Verwerker.
    • Verwerkingsverantwoordelijke is verantwoordelijk voor de eigen verwerkingen van persoonsgegevens, waarbij Verwerker niet is betrokken.

 

  • INSCHAKELEN VAN DERDEN OF ONDERAANNEMERS
    • Verwerker mag in het kader van de Overeenkomst geen gebruik maken van een derde, zonder voorafgaande schriftelijke toestemming van Verwerkingsverantwoordelijke, welke toestemming onderwerp kan zijn van nadere voorwaarden.
    • Verwerker zorgt er in ieder geval voor dat deze derden schriftelijk dezelfde plichten op zich nemen als tussen Verwerkingsverantwoordelijke en Verwerker zijn overeengekomen. Verwerker staat in voor een correcte naleving van deze plichten door deze derden en is bij fouten van deze derden zelf aansprakelijk voor alle schade alsof zij zelf de fout(en) heeft begaan. Verwerkingsverantwoordelijke heeft het recht de mogelijk hierbij betrokken overeenkomsten in te zien. Verwerker vrijwaart Verwerkingsverantwoordelijke van dergelijke claims.

 

  • MELDPLICHT
    • In het geval van een beveiligingslek en/of een datalek (waaronder wordt verstaan: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens zoals bedoeld in artikel 4 onder 12 AVG) zal Verwerker de Verwerkingsverantwoordelijke direct, dan wel binnen 24 uur na het plaatsvinden van het lek, daarover infomeren, naar aanleiding waarvan de Verwerkingsverantwoordelijke beoordeelt of zij de betrokkene(n) en/of de relevante toezichthouder(s) zal informeren of niet. Verwerker garandeert dat de verstrekte informatie volledig, correct en accuraat is. De meldplicht geldt ongeachte de impact van het lek.
    • Indien de wet- en/of regelgeving dit vereist zal Verwerker meewerken aan het informeren van de ter zake relevante autoriteiten en/of betrokkenen.
    • De meldplicht behelst in ieder geval het melden van het feit dat er een lek is geweest, alsmede:
  • Wat de (vermeende) oorzaak is van het lek;
  • Wat is het (vooralsnog bekende en/of te verwachten) gevolg;
  • Wat is de (voorgestelde) oplossing;
  • Welke rechten heeft de betrokkene;
  • Contactgegevens voor de opvolging van de melding;
  • Wie is geïnformeerd (zoals betrokkene zelf, Verwerkingsverantwoordelijke, toezichthouder);
  • Wat de reeds ondernomen maatregelen zijn.

 

  • BEVEILIGING
    • De Verwerker zal passende technische en organisatorische maatregelen nemen met betrekking tot de te verrichten verwerkingen van Persoonsgegevens, tegen verlies of tegen enige vorm van onrechtmatige verwerking (zoals onbevoegde kennisname, aantasting, wijziging of verstrekking van de persoonsgegevens).
    • Verwerker heeft in ieder geval de volgende maatregelen genomen:
  • logische toegangscontrole, gebruik makend van sterke wachtwoorden;
  • fysieke maatregelen voor toegangsbeveiliging;
  • automatische logging van alle handelingen rond de persoonsgegevens;
  • encryptie (versleuteling) van digitale bestanden met persoonsgegevens;
  • organisatorische maatregelen voor toegangsbeveiliging;
  • beveiliging van netwerkverbindingen via Secure Socket Layer (SSL) technologie;
  • doelgebonden toegangsbeperkingen;
  • controle op toegekende bevoegdheden.

 

  • AFHANDELING VERZOEKEN VAN BETROKKENEN
    • In het geval dat een betrokkene een van zijn wettelijke rechten wenst uit te oefenen en het verzoek hiertoe richt aan Verwerker, zal Verwerker dit verzoek afhandelen indien het verzoek gericht is op verwerking betreffende de doeleinden van de Verwerker. Verwerker zal in alle andere gevallen het verzoek doorsturen aan Verwerkingsverantwoordelijke, en Verwerkingsverantwoordelijke zal het verzoek verder afhandelen. Verwerker mag de betrokkene daarvan op de hoogte stellen.
    • In het geval dat een betrokkene een verzoek tot inzage richt aan de Verwerkingsverantwoordelijke zal Verwerker, indien Verwerkingsverantwoordelijke dit verlangt, medewerking verlenen voor zover mogelijk en voor zover redelijk is.

 

  • GEHEIMHOUDING EN VERTROUWELIJKHEID
    • Op alle persoonsgegevens die Verwerker van Verwerkingsverantwoordelijke ontvangt en/of zelf verzamelt in het kader van deze Verwerkersovereenkomst, rust een geheimhoudingsplicht jegens derden. Verwerker zal deze informatie niet voor een ander doel gebruiken dan waarvoor zij deze heeft verkregen, zelfs niet wanneer deze in een zodanige vorm is gebracht zodat deze niet tot betrokkenen herleidbaar is.
    • Deze geheimhoudingsplicht is niet van toepassing voor zover Verwerkingsverantwoordelijke uitdrukkelijke toestemming heeft gegeven om de informatie aan derden te verschaffen, indien het verstrekken van de informatie aan derden logischerwijs noodzakelijk is gezien de aard van de verstrekte opdracht en de uitvoering van deze Verwerkersovereenkomst, of indien er een wettelijke verplichting bestaat om de informatie aan een derde te verstrekken.

 

  • AUDIT
    • Verwerkingsverantwoordelijke heeft het recht om audits uit te laten voeren door een onafhankelijke deskundige derde die aan geheimhouding is gebonden ter controle van naleving van alle punten uit deze Verwerkersovereenkomst, en alles dat daarmee verband houdt.
    • Deze audit mag in ieder geval plaatsvinden bij een concreet vermoeden van misbruik van persoonsgegevens.
    • Verwerker zal aan de audit meewerken en alle voor de audit redelijkerwijs relevante informatie, inclusief ondersteunende gegevens zoals systeemlogs, en medewerkers zo tijdig mogelijk ter beschikking stellen.
    • De bevindingen naar aanleiding van de uitgevoerde audit zullen door Partijen in onderling overleg worden beoordeeld en, naar aanleiding daarvan, al dan niet worden doorgevoerd door één van de Partijen of door beide Partijen gezamenlijk.
    • De kosten van de audit worden door Verwerker gedragen indien er niet conform de Verwerkersovereenkomst blijkt te zijn gewerkt, en/of er fouten worden gevonden in de bevindingen, die toegerekend moeten worden aan Verwerker. In ieder ander geval zullen de kosten van de audit worden gedragen door Verwerkingsverantwoordelijke.

 

  • DUUR EN BEËINDIGING
    • Deze Verwerkersovereenkomst is aangegaan voor de duur zoals bepaald in de Overeenkomst, en bij gebreke daarvan voor de duur van de samenwerking.
    • Het is Verwerker niet toegestaan deze Verwerkersovereenkomst tussentijds op te zeggen.
    • Partijen mogen deze Verwerkersovereenkomst alleen wijzigen met wederzijdse instemming.
    • Verwerker zal zijn volledige medewerking verlenen deze Verwerkersovereenkomst aan te passen en geschikt te maken voor eventuele nieuwe privacywetgeving.
    • Bij beëindiging, ontbinding of opzegging van deze Verwerkersovereenkomst, op verzoek, op welke grond of wijze dan ook, zal Verwerker uit eigen beweging (i) aan Verwerkingsverantwoordelijke alle persoonsgegevens ter beschikking stellen op de wijze en in het format dat Verwerkingsverantwoordelijke wenst, (ii) per direct de verwerking van de persoonsgegevens staken, (iii) alle documenten waarin de persoonsgegevens zijn vastgelegd aan Verwerkingsverantwoordelijke ter beschikking stellen, en (iv) alle persoonsgegevens die elektronisch zijn opgeslagen permanent van de gegevensdrager verwijderen, of voor zover permanente verwijdering van de gegevensdrager niet mogelijk is, de gegevensdrager vernietigen. Verwerker zal op eerste verzoek van Verwerkingsverantwoordelijk schriftelijk bevestigen aan Verwerkingsverantwoordelijke dat Verwerker aan alle verplichtingen uit hoofde van dit artikel heeft voldaan.

 

  • BOETEBEPALING
    • In het geval van schending van deze Bewerkersovereenkomst zal Verwerker een direct opeisbare boete van EUR 25.000,- (zegge; vijfentwintigduizend euro) per overtreding en EUR 2.500,- per dag dat de schending voortduurt verbeuren aan Verwerkingsverantwoordelijke. Onverminderd het recht van Verwerkingsverantwoordelijke tot het vorderen van (volledige) schadevergoeding.

 

  • OVERIGE BEPALINGEN
    • De Verwerkersovereenkomst en de uitvoering daarvan worden beheerst door Nederlands recht.
    • Logs, gedane metingen, auditverslagen door Verwerkingsverantwoordelijke gelden als dwingend bewijs, behoudens tegenbewijs te leveren door Verwerker.
    • In geval van strijdigheid van verschillende documenten of de bijlagen daarvan, geldt de volgende rangorde:
      1. de Overeenkomst;
      2. deze Verwerkersovereenkomst;
      3. eventuele aanvullende voorwaarden.
    • Alle geschillen, welke tussen Partijen mochten ontstaan in verband met de Verwerkersovereenkomst, zullen worden voorgelegd aan de bevoegde rechter te Utrecht.

 

 

 

Correcthosting                                                             [NAAM] Verwerker

(Verwerkingsverantwoordelijke)

 

_____/_____/___________                                           _____/_____/___________

datum                                                                            datum   

 

______________________                                            ______________________

naam                                                                             naam    

 

 

______________________                                           ______________________

handtekening                                                                   handtekening