Algemene verwerkersovereenkomst
Algemene verwerkersovereenkomst
Wie is Miles Research?
Wie is Miles Research?
Miles Research is een full-service marktonderzoeksorganisatie. Binnen het vakgebied, en dus ook bij Miles Research, staat informatie centraal. Klanten van Miles Research moeten erop kunnen vertrouwen dat hun informatie bij Miles Research in veilige handen is. Met deze algemene Verwerkersovereenkomst wil Miles Research laten zien hoe zij omgaat met het verwerken van persoonsgegevens t.a.v. de wet- en regelgeving op het gebied van de Algemene Verordening Gegevensbescherming.
Wij passen waar nodig deze Verwerkersovereenkomst aan op basis van wetswijzigingen en rechtspraak
alsmede aanwijzingen van de Autoriteit Persoonsgegevens. Het verdient daarom aanbeveling deze tekst met enige regelmaat te raadplegen op onze website.
Miles Research is een full-service marktonderzoeksorganisatie. Binnen het vakgebied, en dus ook bij Miles Research, staat informatie centraal. Klanten van Miles Research moeten erop kunnen vertrouwen dat hun informatie bij Miles Research in veilige handen is. Met deze algemene Verwerkersovereenkomst wil Miles Research laten zien hoe zij omgaat met het verwerken van persoonsgegevens t.a.v. de wet- en regelgeving op het gebied van de Algemene Verordening Gegevensbescherming.
Wij passen waar nodig deze Verwerkersovereenkomst aan op basis van wetswijzigingen en rechtspraak
alsmede aanwijzingen van de Autoriteit Persoonsgegevens. Het verdient daarom aanbeveling deze tekst met enige regelmaat te raadplegen op onze website.
Partijen
Partijen
Opdrachtgever, hierna te noemen: "Verwerkingsverantwoordelijke"
enMiles Research B.V., statutair gevestigd te 5121 ML Rijen aan de Ericssonstraat 2, geregistreerd in het
handelsregister van de Kamer van Koophandel onder nummer 55307361, hierna te noemen: "Verwerker".
Hierna gezamenlijk te noemen: "Partijen" en afzonderlijk als "Partij".
Overwegende dat:
Overwegende dat:
a) Verwerkingsverantwoordelijke Persoonsgegevens van diverse betrokkenen door Verwerker wil laten verwerken, ten behoeve van de uitvoering van de overeenkomst die met Verwerker is gesloten;
b) De Verwerkingsverantwoordelijke bepaalde vormen van verwerking wil laten verrichten door de Verwerker, waarbij de Verwerkingsverantwoordelijke het doel en de middelen aanwijst;
c) De Verwerker hiertoe bereid is en tevens bereid is verplichtingen omtrent beveiliging en andere aspecten van de Algemene Verordening Gegevensbescherming na te komen, voor zover dit binnen zijn macht ligt;
d) Partijen, mede gelet op het vereiste uit Artikel 28 lid 3 AVG, hun rechten en plichten schriftelijk wensen vast te leggen middels deze Verwerkersovereenkomst;
e) De algemene bepalingen uit de Verwerkersovereenkomst gelden voor alle verwerkingen in de uitvoering van de Hoofdovereenkomst.
a) Verwerkingsverantwoordelijke Persoonsgegevens van diverse betrokkenen door Verwerker wil laten verwerken, ten behoeve van de uitvoering van de overeenkomst die met Verwerker is gesloten;
b) De Verwerkingsverantwoordelijke bepaalde vormen van verwerking wil laten verrichten door de Verwerker, waarbij de Verwerkingsverantwoordelijke het doel en de middelen aanwijst;
c) De Verwerker hiertoe bereid is en tevens bereid is verplichtingen omtrent beveiliging en andere aspecten van de Algemene Verordening Gegevensbescherming na te komen, voor zover dit binnen zijn macht ligt;
d) Partijen, mede gelet op het vereiste uit Artikel 28 lid 3 AVG, hun rechten en plichten schriftelijk wensen vast te leggen middels deze Verwerkersovereenkomst;
e) De algemene bepalingen uit de Verwerkersovereenkomst gelden voor alle verwerkingen in de uitvoering van de Hoofdovereenkomst.
Zijn als volgt overeengekomen:
Zijn als volgt overeengekomen:
Artikel 1.Definities
1.1 In deze Verwerkersovereenkomst wordt onder de volgende met een hoofdletter aangeduide begrippen het volgende verstaan:
a) Algemene Verordening Gegevensbescherming of AVG: Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG;
b) Betrokkene: een geïdentificeerde of identificeerbare natuurlijke persoon (artikel 4 sub 1 AVG);
c) Beveiligingsinbreuk: iedere ongeautoriseerde toegang, verwijdering, verminking, verlies of enige andere vorm van onrechtmatige verwerking van de Persoonsgegevens;
d) Datalek: een inbreuk in verband met Persoonsgegevens als bedoeld in artikel 4 onder 12 AVG;
e) Derde: een derde als bedoeld in artikel 4 sub 10 AVG;
f) Dienst: de werkzaamheden die Verwerker ten behoeve van Verwerkingsverantwoordelijke verricht en die zijn neergelegd in de Hoofdovereenkomst;
g) Functionaris voor de Gegevensbescherming: een functionaris als bedoeld in artikel 37 e.v. AVG;
h) Incident:
i. Een klacht of (informatie)verzoek van een Betrokkene met betrekking tot de verwerking van Persoonsgegevens door Verwerker;
ii. Schending van de geheimhoudingsplicht;
iii. Verlies van vertrouwelijke gegevens.
i) Medewerker: de door Partijen voor de uitvoering van deze Verwerkersovereenkomst betrokken natuurlijke persoon die werkzaam is bij of voor een van de Partijen;
j) Persoonsgegeven: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon in de zin van artikel 4 onder 1 AVG;
k) SubVerwerker: iedere niet-ondergeschikte derde partij die door Verwerker is betrokken bij de verwerking van Persoonsgegevens in het kader van de Overeenkomst, niet zijnde Medewerkers;
l) Third Party Memorandum: een verklaring van een onafhankelijke externe deskundige over de maatregelen die een Verwerker heeft getroffen;
m) Verwerker: de Verwerker als bedoeld in artikel 4 sub 8 AVG;
n) Verwerkersovereenkomst: deze overeenkomst;
o) Verwerkingsverantwoordelijke: de Verwerkingsverantwoordelijke als bedoeld in artikel 4 sub 7 AVG;
Artikel 1.Definities
1.1 In deze Verwerkersovereenkomst wordt onder de volgende met een hoofdletter aangeduide begrippen het volgende verstaan:
a) Algemene Verordening Gegevensbescherming of AVG: Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG;
b) Betrokkene: een geïdentificeerde of identificeerbare natuurlijke persoon (artikel 4 sub 1 AVG);
c) Beveiligingsinbreuk: iedere ongeautoriseerde toegang, verwijdering, verminking, verlies of enige andere vorm van onrechtmatige verwerking van de Persoonsgegevens;
d) Datalek: een inbreuk in verband met Persoonsgegevens als bedoeld in artikel 4 onder 12 AVG;
e) Derde: een derde als bedoeld in artikel 4 sub 10 AVG;
f) Dienst: de werkzaamheden die Verwerker ten behoeve van Verwerkingsverantwoordelijke verricht en die zijn neergelegd in de Hoofdovereenkomst;
g) Functionaris voor de Gegevensbescherming: een functionaris als bedoeld in artikel 37 e.v. AVG;
h) Incident:
i. Een klacht of (informatie)verzoek van een Betrokkene met betrekking tot de verwerking van Persoonsgegevens door Verwerker;
ii. Schending van de geheimhoudingsplicht;
iii. Verlies van vertrouwelijke gegevens.
i) Medewerker: de door Partijen voor de uitvoering van deze Verwerkersovereenkomst betrokken natuurlijke persoon die werkzaam is bij of voor een van de Partijen;
j) Persoonsgegeven: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon in de zin van artikel 4 onder 1 AVG;
k) SubVerwerker: iedere niet-ondergeschikte derde partij die door Verwerker is betrokken bij de verwerking van Persoonsgegevens in het kader van de Overeenkomst, niet zijnde Medewerkers;
l) Third Party Memorandum: een verklaring van een onafhankelijke externe deskundige over de maatregelen die een Verwerker heeft getroffen;
m) Verwerker: de Verwerker als bedoeld in artikel 4 sub 8 AVG;
n) Verwerkersovereenkomst: deze overeenkomst;
o) Verwerkingsverantwoordelijke: de Verwerkingsverantwoordelijke als bedoeld in artikel 4 sub 7 AVG;
Artikel 2. Onderwerp van deze Verwerkersovereenkomst
Artikel 2. Onderwerp van deze Verwerkersovereenkomst
2.1 Deze Verwerkersovereenkomst heeft betrekking op de verwerking van Persoonsgegevens door Verwerker in opdracht van de Verwerkingsverantwoordelijke in het kader van de uitvoering van de Hoofdovereenkomst.
2.2 Deze Verwerkersovereenkomst maakt onverbrekelijk deel uit van de Hoofdovereenkomst. Voor zover het bepaalde in de Verwerkersovereenkomst strijdig is met het bepaalde in de Hoofdovereenkomst, prevaleert het bepaalde in de Verwerkersovereenkomst
Artikel 3. Rechten en plichten van Verwerker
3.1 Verwerking door Verwerker vindt uitsluitend op schriftelijke instructies van Verwerkingsverantwoordelijke plaats gedurende de looptijd van de Hoofdovereenkomst of voor zover noodzakelijk voor de uitvoering van de Hoofdovereenkomst. Verwerker mag de Persoonsgegevens niet ten eigen nutte, ten nutte van derden, en/of voor eigen dan wel reclamedoeleinden c.q. andere doeleinden verwerken, behoudens op hem rustende afwijkende dwingendrechtelijke verplichtingen. Verwerker stelt Verwerkingsverantwoordelijke onmiddellijk op de hoogte indien naar zijn oordeel instructies in strijd zijn met de toepasselijke wetgeving met betrekking tot de verwerking van Persoonsgegevens.
3.2 Verwerker zal de Persoonsgegevens verwerken op behóorlijke en zorgvuldige wijze en in overeenstemming met de AVG en andere toepasselijke wet- en regelgeving betreffende de verwerking van Persoonsgegevens, zoals de Gedragscode van de Data & Insights Network. Verwerker zal in dat kader ten minste een register van verwerkingen aanleggen als bedoeld in artikel 30 AVG en Verwerkingsverantwoordelijke op eerste verzoek een kopie van dat register verstrekken.
3.3 Voor de uitvoering van de Hoofdovereenkomst kunnen uitsluitend de categorieën Persoonsgegevens worden verwerkt die in Bijlage A zijn gespecificeerd.
3.4 Verwerker zal Persoonsgegevens die haar in het kader van de Hoofdovereenkomst ter beschikking zijn gesteld niet langer bewaren dan noodzakelijk is voor de uitvoering van deze Hoofdovereenkomst of om een op hem rustende wettelijke verplichting na te komen. In Bijlage A staat gespecificeerd hoe lang Persoonsgegevens worden bewaard.
3.5 Verwerker is verplicht Verwerkingsverantwoordelijke onmiddellijk te informeren over toekomstige wijzigingen in de uitvoering van de Verwerkersovereenkomst als ook de Hoofdovereenkomst, zodat Verwerkingsverantwoordelijke kan toezien op de naleving van afspraken met Verwerker. Hieronder wordt mede begrepen de inschakeling van (nieuwe) SubVerwerkers, onverminderd het bepaalde in artikel 4 (Inzet van SubVerwerkers) en artikel 13 (Wijziging).
3.6 Op het eerste daartoe strekkende verzoek van Verwerkingsverantwoordelijke zal Verwerker aan Verwerkingsverantwoordelijke alle relevante informatie verstrekken betreffende de aspecten van de door hem verrichte verwerking van Persoonsgegevens zodat Verwerkingsverantwoordelijke, mede aan de hand van die informatie, aan kan tonen dat zij de toepasselijke (privacy) wetgeving naleeft.
3.7 Onverminderd het bepaalde in het eerste lid van dit artikel 3, is het Verwerker toegestaan om Persoonsgegevens te verwerken indien een wettelijk voorschrift (waaronder begrepen daarop gebaseerde rechterlijke of bestuurlijke bevelen) hem tot een verwerking verplicht. In dat geval stelt de Verwerker voorafgaand aan de verwerking Verwerkingsverantwoordelijke in kennis van de beoogde verwerking en het wettelijk voorschrift, tenzij die wetgeving deze kennisgeving om gewichtige redenen van algemeen belang verbiedt. Verwerker zal Verwerkingsverantwoordelijke, waar mogelijk, in staat stellen zich te verweren tegen deze verplichte verwerking en ook overigens de verplichte verwerking beperken tot het strikt noodzakelijke.
3.8 Indien de dienstverlening door Verwerker de verwerking van gezondheidsgegevens of andere bijzondere Persoonsgegevens impliceert, garandeert Verwerker dat hij niet in strijd met de wetgeving zal handelen.
Artikel 4. Inzet van SubVerwerkers
4.1 Wij kunnen andere Verwerkers (SubVerwerkers) inschakelen voor het uitvoeren van bepaalde werkzaamheden die voortvloeien uit de Onderliggende opdracht, bijvoorbeeld als deze SubVerwerkers over specialistische kennis of middelen beschikken waarover wij niet beschikken. Als het inschakelen van SubVerwerkers tot gevolg heeft dat deze Persoonsgegevens gaan verwerken, dan dient SubVerwerker minimaal hetzelfde niveau van gegevensbescherming te bieden als overeengekomen in deze overeenkomst, welke schriftelijk wordt vastgelegd.
4.2 De Verwerkingsverantwoordelijke verleent de Verwerker algemene toestemming voor het inschakelen van SubVerwerkers voor de verwerking van persoonsgegevens zoals opgenomen in de lijst van SubVerwerkers in Bijlage A.
4.3 Indien nieuwe SubVerwerkers worden ingeschakeld, of er treden wijzigingen op, dan dient Verwerker de Verwerkingsverantwoordelijke vooraf op de hoogte te stellen. De Verwerkingsverantwoordelijke heeft het recht om bezwaar te maken tegen de inzet van de voorgestelde SubVerwerker. Indien de Verwerkingsverantwoordelijke bezwaar maakt op redelijke gronden, zullen partijen in overleg treden om een passende oplossing te vinden.
4.4 Op verzoek van Verwerkingsverantwoordelijke stelt de Verwerker de schriftelijke gemaakte afspraken tussen Verwerker en SubVerwerker ter beschikking.
4.5 De door Verwerkingsverantwoordelijke gegeven toestemming laat onverlet de verantwoordelijkheid en aansprakelijkheid van Verwerker voor de nakoming van de Verwerkersovereenkomst.
Artikel 5. Beveiliging
5.1 Verwerker zal passende technische en organisatorische maatregelen nemen om Persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging daarvan, een passend beveiligingsniveau gelet op de risico's die de Verwerking en de aard van de te beschermen Persoonsgegevens meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere Verwerking te voorkomen. Verwerker legt de maatregelen schriftelijk vast en draagt er zorg voor dat de beveiliging zoals bedoeld in dit artikellid voldoet aan de beveiligingseisen op grond van de AVG.
5.2 Verwerker werkt aantoonbaar in overeenstemming met ISO27001 en ISO27701 en heeft een passend, geschreven informatiebeveiligings- en privacybeleid geïmplementeerd voor de verwerking van Persoonsgegevens, waarin in ieder geval de onder 1 genoemde maatregelen uiteen zijn gezet. Verwerker zal Verwerkingsverantwoordelijke desgevraagd onverwijld schriftelijk informatie verstrekken met betrekking tot (de organisatie van) de beveiliging van Persoonsgegevens
Artikel 6. Meldplicht en Incidenten
6.1 In het geval van een Incident – inbegrepen een Datalek en/of Beveiligingsinbreuk – zal Verwerker de Verwerkingsverantwoordelijke direct, zonder onnodige vertraging, na eerste ontdekking, informeren.
6.2 Verwerker zal alle redelijkerwijs benodigde maatregelen treffen om (verdere) onbevoegde kennisneming, wijziging, en verstrekking dan wel anderszins onrechtmatige verwerking te voorkomen of te beperken en een schending van beveiligingsmaatregelen, schending van de geheimhoudingsplicht of verder verlies van vertrouwelijke gegevens te beëindigen en in de toekomst te voorkomen, onverminderd enig recht van Verwerkingsverantwoordelijke op schadevergoeding of andere maatregelen. Deze bepaling is van toepassing op Incidenten bij de Verwerker en haar eventuele SubVerwerkers.
6.3 De informatieplicht van Verwerker behelst in ieder geval de in de Bijlage B beschreven gegevens voor zover toepasselijk. Verwerker garandeert dat de verstrekte informatie volledig, correct en accuraat is.
6.4 Verwerker zal Verwerkingsverantwoordelijke te allen tijde haar medewerking verlenen en zal de instructies van Verwerkingsverantwoordelijke opvolgen en stelt Verwerkingsverantwoordelijke in staat een deugdelijk onderzoek te verrichten naar het Incident, een correcte respons te formuleren en passende vervolgstappen te nemen ten aanzien van het Incident, waaronder begrepen het informeren van de Autoriteit Persoonsgegevens (AP) en/of de Betrokkene zoals bepaald in artikel 6.6.
6.5 Het is Verwerker niet toegestaan informatie te verstrekken over Incidenten aan Betrokkene(n) of andere derde partijen, behoudens voor zover Verwerker daartoe wettelijk verplicht is of Partijen anderszins zijn overeengekomen.
6.6 Verwerker maakt schriftelijke afspraken met SubVerwerkers over het melden van Incidenten aan Verwerker, die de Verwerker en Verwerkingsverantwoordelijke in staat stellen verplichtingen in het geval van een Incident na te leven. In deze afspraken moet in ieder geval de verplichting worden opgenomen dat de SubVerwerker de Verwerker direct na de eerste ontdekking zal informeren over een Incident – inbegrepen een Datalek en/of Beveiligingsinbreuk – en op verzoek van Verwerkingsverantwoordelijke zal meewerken aan het informeren van de bevoegde autoriteiten en Betrokkene(n).
Artikel 7. Audit
7.1 Verwerkingsverantwoordelijke heeft het recht om steeds wanneer daar aanleiding toe is de naleving van deze Verwerkersovereenkomst en de wettelijke bepalingen die op de verwerking van de persoonsgegevens van toepassing zijn, te laten controleren door middel van een audit uit te voeren door een IT auditor.
7.2 Deze audits mogen echter niet vaker dan één keer per kalenderjaar plaatsvinden, tenzij er redelijke gronden zijn om aan te nemen dat de Verwerker de verplichtingen uit deze overeenkomst of de toepasselijke wetgeving niet naleeft.
7.3 In het kader van het in lid 1 van dit artikel bepaalde zal Verwerker onder meer:
a) de benodigde ruimte(s) en gegevens toegankelijk maken en/of ter beschikking stellen alsmede alle medewerking te verlenen opdat de controle kan worden uitgevoerd;
b) Verwerkingsverantwoordelijke proactief informeren over relevante wijzigingen in haar organisatie of prestaties;
c) in geval van de goedgekeurde inschakeling van derde(n), met deze derde(n) overeenkomen dat Verwerkingsverantwoordelijke gerechtigd is de in het eerste lid van dit artikel bedoelde controle ook uit te oefenen bij deze derde(n).
7.4 Verwerkingsverantwoordelijke en/of de door haar ingeschakelde auditor zal de bij de controle gevonden informatie geheimhouden en alleen gebruiken om naleving door Verwerker van de verplichtingen uit deze Verwerkersovereenkomst en de AVG te controleren.
7.5 De kosten voor het inzetten van een eventuele auditor en/of eigen personeel van Verwerkingsverantwoordelijke zijn voor rekening van Verwerkingsverantwoordelijke, tenzij uit de audit volgt dat Verwerker een of meerdere verplichtingen onder deze Verwerkersovereenkomst of de AVG niet nakomt. Verwerker draagt zelf de eventuele eigen kosten die verband houden met de audit.
7.6 Wanneer bij de controle onregelmatigheden worden aangetroffen zal Verwerker binnen redelijke termijn een verbeterplan opstellen en afstemmen met Verwerkingsverantwoordelijke. Voor zover Verwerkingsverantwoordelijke direct aanbevelingen doet aan Verwerker voortvloeiende uit de controle, garandeert Verwerker deze binnen de door Verwerkingsverantwoordelijke te bepalen redelijke termijn uit te voeren.
Artikel 8. Gegevensbeschermingseffectbeoordeling (GEB/DPIA)
8.1 De Verwerker zal de Verwerkingsverantwoordelijke ondersteunen bij het uitvoeren van een Gegevensbeschermingseffectbeoordeling (GEB) wanneer een type verwerking waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Dit omvat, maar is niet beperkt tot, het verstrekken van de benodigde informatie en het faciliteren van audits.
8.2 De Verwerker zal, op verzoek van de Verwerkingsverantwoordelijke, samenwerken en de nodige ondersteuning bieden bij de uitvoering van de GEB. Dit omvat het verstrekken van relevante documentatie en het beantwoorden van vragen die voortvloeien uit de beoordeling.
8.3 De Verwerker verklaart dat hij beschikt over bestaande documentatie met betrekking tot de gegevensbeschermingseffectbeoordeling (GEB) en andere relevante gegevensbeschermings-maatregelen. Indien de Verwerkingsverantwoordelijke aanvullende informatie of documentatie wenst die verder gaat dan de reeds beschikbare documentatie, kan de Verwerker voor het verstrekken van deze extra informatie kosten in rekening brengen.
8.4 De Verwerker zal de Verwerkingsverantwoordelijke vooraf informeren over de geschatte kosten voor het verstrekken van de aanvullende informatie. De Verwerker zal pas beginnen met het verzamelen en verstrekken van de aanvullende informatie na schriftelijke goedkeuring van de Verwerkingsverantwoordelijke.
8.5 Indien uit de GEB blijkt dat de verwerking een hoog risico inhoudt dat niet kan worden beperkt door passende maatregelen, zal de Verwerker de Verwerkingsverantwoordelijke ondersteunen bij het raadplegen van de toezichthoudende autoriteit, zoals vereist door artikel 36 van de AVG.
8.6 De Verwerker zal alle documentatie met betrekking tot de GEB bewaren en beschikbaar stellen aan de Verwerkingsverantwoordelijke en de toezichthoudende autoriteit op verzoek.
Artikel 9. Internationaal verkeer
9.1 Verwerker garandeert dat iedere verwerking van Persoonsgegevens welke door of namens Verwerker met inbegrip van de door haar ingeschakelde SubVerwerkers wordt verricht in verband met het uitvoeren van de Overeenkomst binnen de Europese Economische Ruimte (EER) plaats zal vinden of naar of vanuit landen die een passend beschermingsniveau waarborgen in overeenstemming met de van toepassing zijnde privacyregelgeving. Zonder de voorafgaande schriftelijke toestemming van Verwerkingsverantwoordelijke mag Verwerker derhalve geen Persoonsgegevens doorgeven naar of opslaan in een land buiten de EER of Persoonsgegevens toegankelijk maken vanuit een niet-EER land, tenzij dit land een passend beschermingsniveau heeft. Aan deze toestemming kan Verwerkingsverantwoordelijke voorwaarden verbinden, waaronder maar niet beperkt tot de verplichting voor Verwerker om aan te tonen dat voldaan is aan de wettelijke vereisten ten aanzien van gegevensverkeer met landen buiten de EER.
9.2 Indien de technische karakteristieken van een transmissiemedium een dergelijke garantie onmogelijk maken, zal de transmissie van gegevens uitsluitend versleuteld plaatsvinden waarbij voor de versleuteling geavanceerde (zijnde minstens zo geavanceerd als in de markt gebruikelijk) technieken zullen worden gebruikt. Verwerker verschaft voorafgaand aan het sluiten van de Verwerkersovereenkomst inzicht in de locatie(s) waarop de Verwerking plaatsvindt.
Artikel 10. Opsporingsverzoeken
10.1 Indien Verwerker een verzoek of een bevel van een Nederlandse of buitenlandse toezichthouder, overheidsinstantie of een opsporings-, strafvorderings- of nationale veiligheidsinstantie ontvangt om (inzage in) Persoonsgegevens te verschaffen, dan zal Verwerker de Verwerkingsverantwoordelijke onverwijld informeren. Bij de behandeling van het verzoek of bevel zal Verwerker alle instructies van Verwerkingsverantwoordelijke acht nemen (waaronder de instructie om de behandeling van het verzoek of bevel geheel of gedeeltelijk aan Verwerkingsverantwoordelijke over te laten) en alle redelijkerwijs benodigde medewerking verlenen aan Verwerkingsverantwoordelijke.
10.2 Indien het Verwerker op grond van het verzoek of bevel is verboden om te voldoen aan zijn verplichtingen op grond van het bovenstaande, dan zal Verwerker de redelijke belangen van Verwerkingsverantwoordelijke behartigen. Verwerker zal daartoe in ieder geval:
– Juridisch laten toetsen in hoeverre Verwerker wettelijk verplicht is om aan het verzoek of bevel te voldoen; en het Verwerker daadwerkelijk is verboden om aan haar verplichtingen jegens Verwerkingsverantwoordelijke op grond van het bovenstaande te voldoen;
– Alleen aan het verzoek of bevel meewerken indien zij hiertoe wettelijk verplicht is en waar mogelijk (in rechte) bezwaar maken tegen het verzoek of bevel of het verbod om Verwerkingsverantwoordelijk hierover te informeren of haar instructies op te volgen;
– Niet meer of andere Persoonsgegevens verstrekken dan strikt noodzakelijk om aan het verzoek of bevel te voldoen.
Artikel 11. Rechten van Betrokkenen
11.1 Verwerker zal haar volledige medewerking verlenen opdat Verwerkingsverantwoordelijke kan voldoen aan zijn wettelijke verplichtingen in het geval dat een Betrokkene zijn rechten uitoefent op grond van de AVG of andere toepasselijke regelgeving betreffende de verwerking van Persoonsgegevens. Een Betrokkene heeft op grond van de AVG de volgende rechten:
– Het recht op inzage, correctie en verwijdering van Persoonsgegevens;
– Het recht op vergetelheid;
– Het recht op dataportabiliteit;
– Het recht op beperking van de verwerking;
– Het recht om bezwaar te maken tegen de gegevensverwerking.
11.2 Indien een Betrokkene met betrekking tot de uitvoering van zijn rechten onder de AVG direct contact opneemt met Verwerker, dan gaat Verwerker hier – behoudens uitdrukkelijke andersluidende instructie van Verwerkingsverantwoordelijke – in eerste instantie niet (inhoudelijk) op in, maar bericht hij dit onverwijld aan Verwerkingsverantwoordelijke met een verzoek om nadere instructies.
11.3 Als Verwerker de Dienst rechtstreeks aanbiedt aan Betrokkene van wie Persoonsgegevens worden verwerkt, is Verwerker verplicht om, uitsluitend op verzoek van Verwerkingsverantwoordelijke, op een makkelijk toegankelijke en permanent beschikbare manier de Betrokkene te informeren middels een 'privacy statement' die het volgende omvat:
– De naam en het adres van Verwerkingsverantwoordelijke en Verwerker;
– De doeleinden waarvoor Persoonsgegevens worden verwerkt;
– De rechtsgrond(en) voor de verwerking van Persoonsgegevens;
– De categorieën Persoonsgegevens die Verwerker verwerkt;
– Beveiliging van de Persoonsgegevens;
– De derden aan wie Persoonsgegevens toegankelijk worden gemaakt;
– De landen waarnaar Persoonsgegevens worden overgedragen;
– Bewaartermijn;
– De rechten van Betrokkene;
– Indien aangesteld: taken en contactgegevens FG.
Artikel 12. Vrijwaring
Opdrachtgever vrijwaart Verwerker voor alle aanspraken, behoudens opzet en/of grove schuld door Verwerker, bij schending van het gestelde bij of krachtens wet- en regelgeving aangaande gegevensbescherming of de uitvoering van deze overeenkomst. Indien Verwerker een SubVerwerker heeft ingeschakeld, dan is Verwerker volledig aansprakelijk voor het nakomen van alle verplichtingen door deze SubVerwerker, maar niet voor SubVerwerkers waarvan de Opdrachtgever de Verwerker verplicht heeft om mee samen te werken, voor de werkzaamheden besloten in de opdracht van deze overeenkomst.
Artikel 13. Maatregelen toezichthouder
Indien de toezichthouder in het kader van haar taak als handhaver een maatregel of boete oplegt aan Verwerkingsverantwoordelijke en indien de oorzaak voor het opleggen van de maatregel of boete te wijten is aan het niet nakomen van de in de Verwerkersovereenkomst gemaakte afspraken door Verwerker, dan kan Verwerkingsverantwoordelijke alle kosten voor deze maatregel of boete verhalen op Verwerker. Tevens heeft Verwerkingsverantwoordelijke het recht om de Hoofdovereenkomst en deze Verwerkersovereenkomst in bovengenoemde situatie met onmiddellijke ingang te ontbinden zonder dat de Verwerker aanspraak kan maken op enige vorm van schadevergoeding.
Artikel 14. Wijziging
14.1 In overeenstemming met de transparantie- en verantwoordingsplicht zoals vastgelegd in artikel 5 en 28 van de AVG stelt de Verwerker de Verwerkingsverantwoordelijke op de hoogte van wijzigingen in de Verwerkersovereenkomst, inbegrepen de toevoeging of vervanging van SubVerwerkers. Hiertoe stelt de Verwerker een aanmeldingsformulier beschikbaar waarop de Verwerkingsverantwoordelijke diens contactgegevens kan invullen, zodat de Verwerker wijzigingen in de Verwerkersovereenkomst kan communiceren.
14.2 Indien een wijziging in de te verwerken Persoonsgegevens of een risicoanalyse van de verwerking van Persoonsgegevens daartoe aanleiding geeft treden partijen op eerste verzoek van Verwerkingsverantwoordelijke in overleg over het aanpassen van de gemaakte afspraken binnen de Verwerkersovereenkomst.
14.3 De nieuw te maken afspraken dienen voorafgaand aan de toepassing daarvan schriftelijk te zijn vastgelegd en deel uit te maken van de Verwerkersovereenkomst.
14.4 De wijzigingen kunnen nooit tot gevolg hebben dat Verwerkingsverantwoordelijke niet kan voldoen aan de AVG en overige relevante wet- en regelgeving met betrekking tot Persoonsgegevens.
Artikel 15. Duur en beëindiging
15.1 De duur van de Verwerkersovereenkomst wordt in eerste instantie aangegaan voor de duur van twee (2) jaar.
15.2 Deze Verwerkersovereenkomst wordt zonder opzegging automatisch voor opvolgende periodes van twee (2) jaar verlengd.
15.3 De Verwerkersovereenkomst is niet los van de Hoofdovereenkomst te beëindigen.
15.4 Beëindiging van de Hoofdovereenkomst, op welke grond dan ook (opzegging/ontbinding), heeft tot gevolg dat de Verwerkersovereenkomst eveneens op dezelfde grond beëindigd wordt (en vice versa), tenzij Partijen in voorkomend geval anders overeenkomen.
15.5 Deze Verwerkersovereenkomst kan door een van de partijen worden opgezegd met inachtneming van een opzegtermijn van drie (3) maanden voorafgaand aan het einde van de initiële termijn of enige verlenging daarvan.
15.6 Partijen hebben het recht deze Verwerkersovereenkomst geheel of gedeeltelijk met onmiddellijke ingang te ontbinden in het geval de andere Partij surseance van betaling of faillissement aanvraagt of dit aan haar wordt verleend en van een toerekenbare tekortkoming in de nakoming van een wezenlijke verplichting op grond van deze Verwerkersovereenkomst die – indien het verzuim niet al van rechtswege is ingetreden – niet binnen een redelijke termijn van dertig (30) dagen na een ingebrekestelling door de tekortschietende Partij is gezuiverd
Artikel 16. Bewaartermijnen, teruggave en vernietiging van Persoonsgegevens
16.1 Verwerker bewaart de Persoonsgegevens niet langer dan strikt noodzakelijk, waaronder begrepen de wettelijke bewaartermijnen of een eventueel tussen Partijen gemaakte afspraak over bewaartermijnen zoals vastgelegd in Bijlage A. In geen geval bewaart Verwerker de Persoonsgegevens langer dan tot het einde van deze Verwerkersovereenkomst. Verwerkingsverantwoordelijke bepaalt of en zo ja hoe lang gegevens bewaard moeten blijven.
16.2 Bij beëindiging van de Verwerkersovereenkomst, of indien van toepassing aan het einde van de overeengekomen bewaartermijnen, of op schriftelijk verzoek van Verwerkingsverantwoordelijke zal Verwerker, tegen redelijke kosten, naar keuze van Verwerkingsverantwoordelijke, de Persoonsgegevens onherroepelijk (doen) vernietigen of teruggeven aan Verwerkingsverantwoordelijke. Op verzoek van Verwerkingsverantwoordelijke verstrekt Verwerker bewijs van het feit dat de gegevens onherroepelijk zijn vernietigd of verwijderd. Eventuele teruggave van de gegevens zal in een algemeen gangbaar, gestructureerd en gedocumenteerd gegevensformaat langs elektronische weg plaatsvinden. Indien teruggave, onherroepelijke vernietiging of verwijdering niet mogelijk is, stelt Verwerker Verwerkingsverantwoordelijke daarvan onmiddellijk op de hoogte. In dat geval garandeert Verwerker dat hij de Persoonsgegevens vertrouwelijk zal behandelen en niet langer zal verwerken.
Artikel 17. Vertrouwelijkheid
17.1 Indien vertrouwelijkheid van gegevens niet in de Hoofdovereenkomst of elders is geregeld, geldt dat Partijen alle (Persoons)gegevens en overige informatie waarvan zij het vertrouwelijk karakter kennen of redelijkerwijs kunnen vermoeden en die hen in het kader van de uitvoering van de Hoofdovereenkomst of Verwerkersovereenkomst ter kennis of beschikking komen, geheim houden en op geen enkele wijze verder intern of extern bekendmaken en/of aan derden verstrekken, behalve voor zover:
– Bekendmaking en/of verstrekking van die (Persoons)gegevens en overige informatie in het kader van de uitvoering van de Overeenkomst noodzakelijk is;
– Enig dwingendrechtelijk wettelijk voorschrift of rechterlijke uitspraak partijen tot bekendmaking en/of verstrekking van die (Persoons)gegevens of overige informatie verplicht, waarbij partijen eerst de andere Partij hiervan op de hoogte stellen;
– Bekendmaking en/of verstrekking van die (Persoons)gegevens en overige informatie geschiedt met voorafgaande schriftelijke toestemming van de andere Partij; dan wel
– Het informatie betreft die al rechtmatig openbaar was op een andere wijze dan door het handelen of nalaten van een der Partijen.
17.2 Verwerker waarborgt dat betrokken Medewerkers en SubVerwerkers een geheimhoudingsovereenkomst hebben getekend en geeft Verwerkingsverantwoordelijke op verzoek inzage in deze geheimhoudingsovereenkomst.
17.3 Partijen verlenen op verzoek van de andere Partij hun medewerking aan het uitoefenen van toezicht door of namens de andere Partij op de bewaring en het gebruik van vertrouwelijke (Persoons)gegevens en overige informatie door de andere Partij.
17.4 Partijen stellen alle (Persoons)gegevens en overige informatie die zij in het kader van de uitvoering van de Hoofdovereenkomst onder zich hebben, inclusief eventueel daarvan gemaakte kopiëen, op eerste verzoek aan de andere Partij ter beschikking.
Artikel 18. Slotbepalingen
18.1 De overwegingen maken onderdeel uit van deze Verwerkersovereenkomst.
18.2 In het geval van strijdigheid tussen de bepalingen uit deze Verwerkersovereenkomst en bepalingen uit de Hoofdovereenkomst zullen de bepalingen van de Verwerkersovereenkomst leidend zijn, met uitzondering van data, niet zijnde persoonsgegevens, indien dit nadrukkelijk anders is bepaald in de Hoofdovereenkomst.
18.3 In geval van nietigheid c.q. vernietigbaarheid van een of meer bepalingen uit deze Verwerkersovereenkomst, blijven de overige bepalingen onverkort van kracht.
18.4 In alle gevallen waarin deze Verwerkersovereenkomst niet voorziet beslissen partijen in onderling overleg.
Artikel 19. Toepasselijk recht en geschilbeslechting
19.1 Op deze Verwerkersovereenkomst is Nederlands recht van toepassing.
19.2 Partijen zullen zich inspannen conflicten in onderling overleg op te lossen. Hierbij is inbegrepen de mogelijkheid het geschil te beëindigen door een in onderling overleg vast te stellen mediation of arbitrage.
19.3 Alle geschillen, welke tussen Partijen mochten ontstaan in verband met de Verwerkersovereenkomst, zullen worden voorgelegd aan de bevoegde rechter in de plaats waar Verwerkingsverantwoordelijke gevestigd is.
Bijlage A: Specificatie verwerking Persoonsgegevens
Risicoklasse I persoonsgegevens (basis)
Tabel 1: Verwerking persoonsgegevens is van toepassing op de volgende producten en diensten van Verwerker:
2.1 Deze Verwerkersovereenkomst heeft betrekking op de verwerking van Persoonsgegevens door Verwerker in opdracht van de Verwerkingsverantwoordelijke in het kader van de uitvoering van de Hoofdovereenkomst.
2.2 Deze Verwerkersovereenkomst maakt onverbrekelijk deel uit van de Hoofdovereenkomst. Voor zover het bepaalde in de Verwerkersovereenkomst strijdig is met het bepaalde in de Hoofdovereenkomst, prevaleert het bepaalde in de Verwerkersovereenkomst
Artikel 3. Rechten en plichten van Verwerker
3.1 Verwerking door Verwerker vindt uitsluitend op schriftelijke instructies van Verwerkingsverantwoordelijke plaats gedurende de looptijd van de Hoofdovereenkomst of voor zover noodzakelijk voor de uitvoering van de Hoofdovereenkomst. Verwerker mag de Persoonsgegevens niet ten eigen nutte, ten nutte van derden, en/of voor eigen dan wel reclamedoeleinden c.q. andere doeleinden verwerken, behoudens op hem rustende afwijkende dwingendrechtelijke verplichtingen. Verwerker stelt Verwerkingsverantwoordelijke onmiddellijk op de hoogte indien naar zijn oordeel instructies in strijd zijn met de toepasselijke wetgeving met betrekking tot de verwerking van Persoonsgegevens.
3.2 Verwerker zal de Persoonsgegevens verwerken op behóorlijke en zorgvuldige wijze en in overeenstemming met de AVG en andere toepasselijke wet- en regelgeving betreffende de verwerking van Persoonsgegevens, zoals de Gedragscode van de Data & Insights Network. Verwerker zal in dat kader ten minste een register van verwerkingen aanleggen als bedoeld in artikel 30 AVG en Verwerkingsverantwoordelijke op eerste verzoek een kopie van dat register verstrekken.
3.3 Voor de uitvoering van de Hoofdovereenkomst kunnen uitsluitend de categorieën Persoonsgegevens worden verwerkt die in Bijlage A zijn gespecificeerd.
3.4 Verwerker zal Persoonsgegevens die haar in het kader van de Hoofdovereenkomst ter beschikking zijn gesteld niet langer bewaren dan noodzakelijk is voor de uitvoering van deze Hoofdovereenkomst of om een op hem rustende wettelijke verplichting na te komen. In Bijlage A staat gespecificeerd hoe lang Persoonsgegevens worden bewaard.
3.5 Verwerker is verplicht Verwerkingsverantwoordelijke onmiddellijk te informeren over toekomstige wijzigingen in de uitvoering van de Verwerkersovereenkomst als ook de Hoofdovereenkomst, zodat Verwerkingsverantwoordelijke kan toezien op de naleving van afspraken met Verwerker. Hieronder wordt mede begrepen de inschakeling van (nieuwe) SubVerwerkers, onverminderd het bepaalde in artikel 4 (Inzet van SubVerwerkers) en artikel 13 (Wijziging).
3.6 Op het eerste daartoe strekkende verzoek van Verwerkingsverantwoordelijke zal Verwerker aan Verwerkingsverantwoordelijke alle relevante informatie verstrekken betreffende de aspecten van de door hem verrichte verwerking van Persoonsgegevens zodat Verwerkingsverantwoordelijke, mede aan de hand van die informatie, aan kan tonen dat zij de toepasselijke (privacy) wetgeving naleeft.
3.7 Onverminderd het bepaalde in het eerste lid van dit artikel 3, is het Verwerker toegestaan om Persoonsgegevens te verwerken indien een wettelijk voorschrift (waaronder begrepen daarop gebaseerde rechterlijke of bestuurlijke bevelen) hem tot een verwerking verplicht. In dat geval stelt de Verwerker voorafgaand aan de verwerking Verwerkingsverantwoordelijke in kennis van de beoogde verwerking en het wettelijk voorschrift, tenzij die wetgeving deze kennisgeving om gewichtige redenen van algemeen belang verbiedt. Verwerker zal Verwerkingsverantwoordelijke, waar mogelijk, in staat stellen zich te verweren tegen deze verplichte verwerking en ook overigens de verplichte verwerking beperken tot het strikt noodzakelijke.
3.8 Indien de dienstverlening door Verwerker de verwerking van gezondheidsgegevens of andere bijzondere Persoonsgegevens impliceert, garandeert Verwerker dat hij niet in strijd met de wetgeving zal handelen.
Artikel 4. Inzet van SubVerwerkers
4.1 Wij kunnen andere Verwerkers (SubVerwerkers) inschakelen voor het uitvoeren van bepaalde werkzaamheden die voortvloeien uit de Onderliggende opdracht, bijvoorbeeld als deze SubVerwerkers over specialistische kennis of middelen beschikken waarover wij niet beschikken. Als het inschakelen van SubVerwerkers tot gevolg heeft dat deze Persoonsgegevens gaan verwerken, dan dient SubVerwerker minimaal hetzelfde niveau van gegevensbescherming te bieden als overeengekomen in deze overeenkomst, welke schriftelijk wordt vastgelegd.
4.2 De Verwerkingsverantwoordelijke verleent de Verwerker algemene toestemming voor het inschakelen van SubVerwerkers voor de verwerking van persoonsgegevens zoals opgenomen in de lijst van SubVerwerkers in Bijlage A.
4.3 Indien nieuwe SubVerwerkers worden ingeschakeld, of er treden wijzigingen op, dan dient Verwerker de Verwerkingsverantwoordelijke vooraf op de hoogte te stellen. De Verwerkingsverantwoordelijke heeft het recht om bezwaar te maken tegen de inzet van de voorgestelde SubVerwerker. Indien de Verwerkingsverantwoordelijke bezwaar maakt op redelijke gronden, zullen partijen in overleg treden om een passende oplossing te vinden.
4.4 Op verzoek van Verwerkingsverantwoordelijke stelt de Verwerker de schriftelijke gemaakte afspraken tussen Verwerker en SubVerwerker ter beschikking.
4.5 De door Verwerkingsverantwoordelijke gegeven toestemming laat onverlet de verantwoordelijkheid en aansprakelijkheid van Verwerker voor de nakoming van de Verwerkersovereenkomst.
Artikel 5. Beveiliging
5.1 Verwerker zal passende technische en organisatorische maatregelen nemen om Persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging daarvan, een passend beveiligingsniveau gelet op de risico's die de Verwerking en de aard van de te beschermen Persoonsgegevens meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere Verwerking te voorkomen. Verwerker legt de maatregelen schriftelijk vast en draagt er zorg voor dat de beveiliging zoals bedoeld in dit artikellid voldoet aan de beveiligingseisen op grond van de AVG.
5.2 Verwerker werkt aantoonbaar in overeenstemming met ISO27001 en ISO27701 en heeft een passend, geschreven informatiebeveiligings- en privacybeleid geïmplementeerd voor de verwerking van Persoonsgegevens, waarin in ieder geval de onder 1 genoemde maatregelen uiteen zijn gezet. Verwerker zal Verwerkingsverantwoordelijke desgevraagd onverwijld schriftelijk informatie verstrekken met betrekking tot (de organisatie van) de beveiliging van Persoonsgegevens
Artikel 6. Meldplicht en Incidenten
6.1 In het geval van een Incident – inbegrepen een Datalek en/of Beveiligingsinbreuk – zal Verwerker de Verwerkingsverantwoordelijke direct, zonder onnodige vertraging, na eerste ontdekking, informeren.
6.2 Verwerker zal alle redelijkerwijs benodigde maatregelen treffen om (verdere) onbevoegde kennisneming, wijziging, en verstrekking dan wel anderszins onrechtmatige verwerking te voorkomen of te beperken en een schending van beveiligingsmaatregelen, schending van de geheimhoudingsplicht of verder verlies van vertrouwelijke gegevens te beëindigen en in de toekomst te voorkomen, onverminderd enig recht van Verwerkingsverantwoordelijke op schadevergoeding of andere maatregelen. Deze bepaling is van toepassing op Incidenten bij de Verwerker en haar eventuele SubVerwerkers.
6.3 De informatieplicht van Verwerker behelst in ieder geval de in de Bijlage B beschreven gegevens voor zover toepasselijk. Verwerker garandeert dat de verstrekte informatie volledig, correct en accuraat is.
6.4 Verwerker zal Verwerkingsverantwoordelijke te allen tijde haar medewerking verlenen en zal de instructies van Verwerkingsverantwoordelijke opvolgen en stelt Verwerkingsverantwoordelijke in staat een deugdelijk onderzoek te verrichten naar het Incident, een correcte respons te formuleren en passende vervolgstappen te nemen ten aanzien van het Incident, waaronder begrepen het informeren van de Autoriteit Persoonsgegevens (AP) en/of de Betrokkene zoals bepaald in artikel 6.6.
6.5 Het is Verwerker niet toegestaan informatie te verstrekken over Incidenten aan Betrokkene(n) of andere derde partijen, behoudens voor zover Verwerker daartoe wettelijk verplicht is of Partijen anderszins zijn overeengekomen.
6.6 Verwerker maakt schriftelijke afspraken met SubVerwerkers over het melden van Incidenten aan Verwerker, die de Verwerker en Verwerkingsverantwoordelijke in staat stellen verplichtingen in het geval van een Incident na te leven. In deze afspraken moet in ieder geval de verplichting worden opgenomen dat de SubVerwerker de Verwerker direct na de eerste ontdekking zal informeren over een Incident – inbegrepen een Datalek en/of Beveiligingsinbreuk – en op verzoek van Verwerkingsverantwoordelijke zal meewerken aan het informeren van de bevoegde autoriteiten en Betrokkene(n).
Artikel 7. Audit
7.1 Verwerkingsverantwoordelijke heeft het recht om steeds wanneer daar aanleiding toe is de naleving van deze Verwerkersovereenkomst en de wettelijke bepalingen die op de verwerking van de persoonsgegevens van toepassing zijn, te laten controleren door middel van een audit uit te voeren door een IT auditor.
7.2 Deze audits mogen echter niet vaker dan één keer per kalenderjaar plaatsvinden, tenzij er redelijke gronden zijn om aan te nemen dat de Verwerker de verplichtingen uit deze overeenkomst of de toepasselijke wetgeving niet naleeft.
7.3 In het kader van het in lid 1 van dit artikel bepaalde zal Verwerker onder meer:
a) de benodigde ruimte(s) en gegevens toegankelijk maken en/of ter beschikking stellen alsmede alle medewerking te verlenen opdat de controle kan worden uitgevoerd;
b) Verwerkingsverantwoordelijke proactief informeren over relevante wijzigingen in haar organisatie of prestaties;
c) in geval van de goedgekeurde inschakeling van derde(n), met deze derde(n) overeenkomen dat Verwerkingsverantwoordelijke gerechtigd is de in het eerste lid van dit artikel bedoelde controle ook uit te oefenen bij deze derde(n).
7.4 Verwerkingsverantwoordelijke en/of de door haar ingeschakelde auditor zal de bij de controle gevonden informatie geheimhouden en alleen gebruiken om naleving door Verwerker van de verplichtingen uit deze Verwerkersovereenkomst en de AVG te controleren.
7.5 De kosten voor het inzetten van een eventuele auditor en/of eigen personeel van Verwerkingsverantwoordelijke zijn voor rekening van Verwerkingsverantwoordelijke, tenzij uit de audit volgt dat Verwerker een of meerdere verplichtingen onder deze Verwerkersovereenkomst of de AVG niet nakomt. Verwerker draagt zelf de eventuele eigen kosten die verband houden met de audit.
7.6 Wanneer bij de controle onregelmatigheden worden aangetroffen zal Verwerker binnen redelijke termijn een verbeterplan opstellen en afstemmen met Verwerkingsverantwoordelijke. Voor zover Verwerkingsverantwoordelijke direct aanbevelingen doet aan Verwerker voortvloeiende uit de controle, garandeert Verwerker deze binnen de door Verwerkingsverantwoordelijke te bepalen redelijke termijn uit te voeren.
Artikel 8. Gegevensbeschermingseffectbeoordeling (GEB/DPIA)
8.1 De Verwerker zal de Verwerkingsverantwoordelijke ondersteunen bij het uitvoeren van een Gegevensbeschermingseffectbeoordeling (GEB) wanneer een type verwerking waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Dit omvat, maar is niet beperkt tot, het verstrekken van de benodigde informatie en het faciliteren van audits.
8.2 De Verwerker zal, op verzoek van de Verwerkingsverantwoordelijke, samenwerken en de nodige ondersteuning bieden bij de uitvoering van de GEB. Dit omvat het verstrekken van relevante documentatie en het beantwoorden van vragen die voortvloeien uit de beoordeling.
8.3 De Verwerker verklaart dat hij beschikt over bestaande documentatie met betrekking tot de gegevensbeschermingseffectbeoordeling (GEB) en andere relevante gegevensbeschermings-maatregelen. Indien de Verwerkingsverantwoordelijke aanvullende informatie of documentatie wenst die verder gaat dan de reeds beschikbare documentatie, kan de Verwerker voor het verstrekken van deze extra informatie kosten in rekening brengen.
8.4 De Verwerker zal de Verwerkingsverantwoordelijke vooraf informeren over de geschatte kosten voor het verstrekken van de aanvullende informatie. De Verwerker zal pas beginnen met het verzamelen en verstrekken van de aanvullende informatie na schriftelijke goedkeuring van de Verwerkingsverantwoordelijke.
8.5 Indien uit de GEB blijkt dat de verwerking een hoog risico inhoudt dat niet kan worden beperkt door passende maatregelen, zal de Verwerker de Verwerkingsverantwoordelijke ondersteunen bij het raadplegen van de toezichthoudende autoriteit, zoals vereist door artikel 36 van de AVG.
8.6 De Verwerker zal alle documentatie met betrekking tot de GEB bewaren en beschikbaar stellen aan de Verwerkingsverantwoordelijke en de toezichthoudende autoriteit op verzoek.
Artikel 9. Internationaal verkeer
9.1 Verwerker garandeert dat iedere verwerking van Persoonsgegevens welke door of namens Verwerker met inbegrip van de door haar ingeschakelde SubVerwerkers wordt verricht in verband met het uitvoeren van de Overeenkomst binnen de Europese Economische Ruimte (EER) plaats zal vinden of naar of vanuit landen die een passend beschermingsniveau waarborgen in overeenstemming met de van toepassing zijnde privacyregelgeving. Zonder de voorafgaande schriftelijke toestemming van Verwerkingsverantwoordelijke mag Verwerker derhalve geen Persoonsgegevens doorgeven naar of opslaan in een land buiten de EER of Persoonsgegevens toegankelijk maken vanuit een niet-EER land, tenzij dit land een passend beschermingsniveau heeft. Aan deze toestemming kan Verwerkingsverantwoordelijke voorwaarden verbinden, waaronder maar niet beperkt tot de verplichting voor Verwerker om aan te tonen dat voldaan is aan de wettelijke vereisten ten aanzien van gegevensverkeer met landen buiten de EER.
9.2 Indien de technische karakteristieken van een transmissiemedium een dergelijke garantie onmogelijk maken, zal de transmissie van gegevens uitsluitend versleuteld plaatsvinden waarbij voor de versleuteling geavanceerde (zijnde minstens zo geavanceerd als in de markt gebruikelijk) technieken zullen worden gebruikt. Verwerker verschaft voorafgaand aan het sluiten van de Verwerkersovereenkomst inzicht in de locatie(s) waarop de Verwerking plaatsvindt.
Artikel 10. Opsporingsverzoeken
10.1 Indien Verwerker een verzoek of een bevel van een Nederlandse of buitenlandse toezichthouder, overheidsinstantie of een opsporings-, strafvorderings- of nationale veiligheidsinstantie ontvangt om (inzage in) Persoonsgegevens te verschaffen, dan zal Verwerker de Verwerkingsverantwoordelijke onverwijld informeren. Bij de behandeling van het verzoek of bevel zal Verwerker alle instructies van Verwerkingsverantwoordelijke acht nemen (waaronder de instructie om de behandeling van het verzoek of bevel geheel of gedeeltelijk aan Verwerkingsverantwoordelijke over te laten) en alle redelijkerwijs benodigde medewerking verlenen aan Verwerkingsverantwoordelijke.
10.2 Indien het Verwerker op grond van het verzoek of bevel is verboden om te voldoen aan zijn verplichtingen op grond van het bovenstaande, dan zal Verwerker de redelijke belangen van Verwerkingsverantwoordelijke behartigen. Verwerker zal daartoe in ieder geval:
– Juridisch laten toetsen in hoeverre Verwerker wettelijk verplicht is om aan het verzoek of bevel te voldoen; en het Verwerker daadwerkelijk is verboden om aan haar verplichtingen jegens Verwerkingsverantwoordelijke op grond van het bovenstaande te voldoen;
– Alleen aan het verzoek of bevel meewerken indien zij hiertoe wettelijk verplicht is en waar mogelijk (in rechte) bezwaar maken tegen het verzoek of bevel of het verbod om Verwerkingsverantwoordelijk hierover te informeren of haar instructies op te volgen;
– Niet meer of andere Persoonsgegevens verstrekken dan strikt noodzakelijk om aan het verzoek of bevel te voldoen.
Artikel 11. Rechten van Betrokkenen
11.1 Verwerker zal haar volledige medewerking verlenen opdat Verwerkingsverantwoordelijke kan voldoen aan zijn wettelijke verplichtingen in het geval dat een Betrokkene zijn rechten uitoefent op grond van de AVG of andere toepasselijke regelgeving betreffende de verwerking van Persoonsgegevens. Een Betrokkene heeft op grond van de AVG de volgende rechten:
– Het recht op inzage, correctie en verwijdering van Persoonsgegevens;
– Het recht op vergetelheid;
– Het recht op dataportabiliteit;
– Het recht op beperking van de verwerking;
– Het recht om bezwaar te maken tegen de gegevensverwerking.
11.2 Indien een Betrokkene met betrekking tot de uitvoering van zijn rechten onder de AVG direct contact opneemt met Verwerker, dan gaat Verwerker hier – behoudens uitdrukkelijke andersluidende instructie van Verwerkingsverantwoordelijke – in eerste instantie niet (inhoudelijk) op in, maar bericht hij dit onverwijld aan Verwerkingsverantwoordelijke met een verzoek om nadere instructies.
11.3 Als Verwerker de Dienst rechtstreeks aanbiedt aan Betrokkene van wie Persoonsgegevens worden verwerkt, is Verwerker verplicht om, uitsluitend op verzoek van Verwerkingsverantwoordelijke, op een makkelijk toegankelijke en permanent beschikbare manier de Betrokkene te informeren middels een 'privacy statement' die het volgende omvat:
– De naam en het adres van Verwerkingsverantwoordelijke en Verwerker;
– De doeleinden waarvoor Persoonsgegevens worden verwerkt;
– De rechtsgrond(en) voor de verwerking van Persoonsgegevens;
– De categorieën Persoonsgegevens die Verwerker verwerkt;
– Beveiliging van de Persoonsgegevens;
– De derden aan wie Persoonsgegevens toegankelijk worden gemaakt;
– De landen waarnaar Persoonsgegevens worden overgedragen;
– Bewaartermijn;
– De rechten van Betrokkene;
– Indien aangesteld: taken en contactgegevens FG.
Artikel 12. Vrijwaring
Opdrachtgever vrijwaart Verwerker voor alle aanspraken, behoudens opzet en/of grove schuld door Verwerker, bij schending van het gestelde bij of krachtens wet- en regelgeving aangaande gegevensbescherming of de uitvoering van deze overeenkomst. Indien Verwerker een SubVerwerker heeft ingeschakeld, dan is Verwerker volledig aansprakelijk voor het nakomen van alle verplichtingen door deze SubVerwerker, maar niet voor SubVerwerkers waarvan de Opdrachtgever de Verwerker verplicht heeft om mee samen te werken, voor de werkzaamheden besloten in de opdracht van deze overeenkomst.
Artikel 13. Maatregelen toezichthouder
Indien de toezichthouder in het kader van haar taak als handhaver een maatregel of boete oplegt aan Verwerkingsverantwoordelijke en indien de oorzaak voor het opleggen van de maatregel of boete te wijten is aan het niet nakomen van de in de Verwerkersovereenkomst gemaakte afspraken door Verwerker, dan kan Verwerkingsverantwoordelijke alle kosten voor deze maatregel of boete verhalen op Verwerker. Tevens heeft Verwerkingsverantwoordelijke het recht om de Hoofdovereenkomst en deze Verwerkersovereenkomst in bovengenoemde situatie met onmiddellijke ingang te ontbinden zonder dat de Verwerker aanspraak kan maken op enige vorm van schadevergoeding.
Artikel 14. Wijziging
14.1 In overeenstemming met de transparantie- en verantwoordingsplicht zoals vastgelegd in artikel 5 en 28 van de AVG stelt de Verwerker de Verwerkingsverantwoordelijke op de hoogte van wijzigingen in de Verwerkersovereenkomst, inbegrepen de toevoeging of vervanging van SubVerwerkers. Hiertoe stelt de Verwerker een aanmeldingsformulier beschikbaar waarop de Verwerkingsverantwoordelijke diens contactgegevens kan invullen, zodat de Verwerker wijzigingen in de Verwerkersovereenkomst kan communiceren.
14.2 Indien een wijziging in de te verwerken Persoonsgegevens of een risicoanalyse van de verwerking van Persoonsgegevens daartoe aanleiding geeft treden partijen op eerste verzoek van Verwerkingsverantwoordelijke in overleg over het aanpassen van de gemaakte afspraken binnen de Verwerkersovereenkomst.
14.3 De nieuw te maken afspraken dienen voorafgaand aan de toepassing daarvan schriftelijk te zijn vastgelegd en deel uit te maken van de Verwerkersovereenkomst.
14.4 De wijzigingen kunnen nooit tot gevolg hebben dat Verwerkingsverantwoordelijke niet kan voldoen aan de AVG en overige relevante wet- en regelgeving met betrekking tot Persoonsgegevens.
Artikel 15. Duur en beëindiging
15.1 De duur van de Verwerkersovereenkomst wordt in eerste instantie aangegaan voor de duur van twee (2) jaar.
15.2 Deze Verwerkersovereenkomst wordt zonder opzegging automatisch voor opvolgende periodes van twee (2) jaar verlengd.
15.3 De Verwerkersovereenkomst is niet los van de Hoofdovereenkomst te beëindigen.
15.4 Beëindiging van de Hoofdovereenkomst, op welke grond dan ook (opzegging/ontbinding), heeft tot gevolg dat de Verwerkersovereenkomst eveneens op dezelfde grond beëindigd wordt (en vice versa), tenzij Partijen in voorkomend geval anders overeenkomen.
15.5 Deze Verwerkersovereenkomst kan door een van de partijen worden opgezegd met inachtneming van een opzegtermijn van drie (3) maanden voorafgaand aan het einde van de initiële termijn of enige verlenging daarvan.
15.6 Partijen hebben het recht deze Verwerkersovereenkomst geheel of gedeeltelijk met onmiddellijke ingang te ontbinden in het geval de andere Partij surseance van betaling of faillissement aanvraagt of dit aan haar wordt verleend en van een toerekenbare tekortkoming in de nakoming van een wezenlijke verplichting op grond van deze Verwerkersovereenkomst die – indien het verzuim niet al van rechtswege is ingetreden – niet binnen een redelijke termijn van dertig (30) dagen na een ingebrekestelling door de tekortschietende Partij is gezuiverd
Artikel 16. Bewaartermijnen, teruggave en vernietiging van Persoonsgegevens
16.1 Verwerker bewaart de Persoonsgegevens niet langer dan strikt noodzakelijk, waaronder begrepen de wettelijke bewaartermijnen of een eventueel tussen Partijen gemaakte afspraak over bewaartermijnen zoals vastgelegd in Bijlage A. In geen geval bewaart Verwerker de Persoonsgegevens langer dan tot het einde van deze Verwerkersovereenkomst. Verwerkingsverantwoordelijke bepaalt of en zo ja hoe lang gegevens bewaard moeten blijven.
16.2 Bij beëindiging van de Verwerkersovereenkomst, of indien van toepassing aan het einde van de overeengekomen bewaartermijnen, of op schriftelijk verzoek van Verwerkingsverantwoordelijke zal Verwerker, tegen redelijke kosten, naar keuze van Verwerkingsverantwoordelijke, de Persoonsgegevens onherroepelijk (doen) vernietigen of teruggeven aan Verwerkingsverantwoordelijke. Op verzoek van Verwerkingsverantwoordelijke verstrekt Verwerker bewijs van het feit dat de gegevens onherroepelijk zijn vernietigd of verwijderd. Eventuele teruggave van de gegevens zal in een algemeen gangbaar, gestructureerd en gedocumenteerd gegevensformaat langs elektronische weg plaatsvinden. Indien teruggave, onherroepelijke vernietiging of verwijdering niet mogelijk is, stelt Verwerker Verwerkingsverantwoordelijke daarvan onmiddellijk op de hoogte. In dat geval garandeert Verwerker dat hij de Persoonsgegevens vertrouwelijk zal behandelen en niet langer zal verwerken.
Artikel 17. Vertrouwelijkheid
17.1 Indien vertrouwelijkheid van gegevens niet in de Hoofdovereenkomst of elders is geregeld, geldt dat Partijen alle (Persoons)gegevens en overige informatie waarvan zij het vertrouwelijk karakter kennen of redelijkerwijs kunnen vermoeden en die hen in het kader van de uitvoering van de Hoofdovereenkomst of Verwerkersovereenkomst ter kennis of beschikking komen, geheim houden en op geen enkele wijze verder intern of extern bekendmaken en/of aan derden verstrekken, behalve voor zover:
– Bekendmaking en/of verstrekking van die (Persoons)gegevens en overige informatie in het kader van de uitvoering van de Overeenkomst noodzakelijk is;
– Enig dwingendrechtelijk wettelijk voorschrift of rechterlijke uitspraak partijen tot bekendmaking en/of verstrekking van die (Persoons)gegevens of overige informatie verplicht, waarbij partijen eerst de andere Partij hiervan op de hoogte stellen;
– Bekendmaking en/of verstrekking van die (Persoons)gegevens en overige informatie geschiedt met voorafgaande schriftelijke toestemming van de andere Partij; dan wel
– Het informatie betreft die al rechtmatig openbaar was op een andere wijze dan door het handelen of nalaten van een der Partijen.
17.2 Verwerker waarborgt dat betrokken Medewerkers en SubVerwerkers een geheimhoudingsovereenkomst hebben getekend en geeft Verwerkingsverantwoordelijke op verzoek inzage in deze geheimhoudingsovereenkomst.
17.3 Partijen verlenen op verzoek van de andere Partij hun medewerking aan het uitoefenen van toezicht door of namens de andere Partij op de bewaring en het gebruik van vertrouwelijke (Persoons)gegevens en overige informatie door de andere Partij.
17.4 Partijen stellen alle (Persoons)gegevens en overige informatie die zij in het kader van de uitvoering van de Hoofdovereenkomst onder zich hebben, inclusief eventueel daarvan gemaakte kopiëen, op eerste verzoek aan de andere Partij ter beschikking.
Artikel 18. Slotbepalingen
18.1 De overwegingen maken onderdeel uit van deze Verwerkersovereenkomst.
18.2 In het geval van strijdigheid tussen de bepalingen uit deze Verwerkersovereenkomst en bepalingen uit de Hoofdovereenkomst zullen de bepalingen van de Verwerkersovereenkomst leidend zijn, met uitzondering van data, niet zijnde persoonsgegevens, indien dit nadrukkelijk anders is bepaald in de Hoofdovereenkomst.
18.3 In geval van nietigheid c.q. vernietigbaarheid van een of meer bepalingen uit deze Verwerkersovereenkomst, blijven de overige bepalingen onverkort van kracht.
18.4 In alle gevallen waarin deze Verwerkersovereenkomst niet voorziet beslissen partijen in onderling overleg.
Artikel 19. Toepasselijk recht en geschilbeslechting
19.1 Op deze Verwerkersovereenkomst is Nederlands recht van toepassing.
19.2 Partijen zullen zich inspannen conflicten in onderling overleg op te lossen. Hierbij is inbegrepen de mogelijkheid het geschil te beëindigen door een in onderling overleg vast te stellen mediation of arbitrage.
19.3 Alle geschillen, welke tussen Partijen mochten ontstaan in verband met de Verwerkersovereenkomst, zullen worden voorgelegd aan de bevoegde rechter in de plaats waar Verwerkingsverantwoordelijke gevestigd is.
Bijlage A: Specificatie verwerking Persoonsgegevens
Risicoklasse I persoonsgegevens (basis)
Tabel 1: Verwerking persoonsgegevens is van toepassing op de volgende producten en diensten van Verwerker:
2.1 Deze Verwerkersovereenkomst heeft betrekking op de verwerking van Persoonsgegevens door Verwerker in opdracht van de Verwerkingsverantwoordelijke in het kader van de uitvoering van de Hoofdovereenkomst.
2.2 Deze Verwerkersovereenkomst maakt onverbrekelijk deel uit van de Hoofdovereenkomst. Voor zover het bepaalde in de Verwerkersovereenkomst strijdig is met het bepaalde in de Hoofdovereenkomst, prevaleert het bepaalde in de Verwerkersovereenkomst
Artikel 3. Rechten en plichten van Verwerker
3.1 Verwerking door Verwerker vindt uitsluitend op schriftelijke instructies van Verwerkingsverantwoordelijke plaats gedurende de looptijd van de Hoofdovereenkomst of voor zover noodzakelijk voor de uitvoering van de Hoofdovereenkomst. Verwerker mag de Persoonsgegevens niet ten eigen nutte, ten nutte van derden, en/of voor eigen dan wel reclamedoeleinden c.q. andere doeleinden verwerken, behoudens op hem rustende afwijkende dwingendrechtelijke verplichtingen. Verwerker stelt Verwerkingsverantwoordelijke onmiddellijk op de hoogte indien naar zijn oordeel instructies in strijd zijn met de toepasselijke wetgeving met betrekking tot de verwerking van Persoonsgegevens.
3.2 Verwerker zal de Persoonsgegevens verwerken op behóorlijke en zorgvuldige wijze en in overeenstemming met de AVG en andere toepasselijke wet- en regelgeving betreffende de verwerking van Persoonsgegevens, zoals de Gedragscode van de Data & Insights Network. Verwerker zal in dat kader ten minste een register van verwerkingen aanleggen als bedoeld in artikel 30 AVG en Verwerkingsverantwoordelijke op eerste verzoek een kopie van dat register verstrekken.
3.3 Voor de uitvoering van de Hoofdovereenkomst kunnen uitsluitend de categorieën Persoonsgegevens worden verwerkt die in Bijlage A zijn gespecificeerd.
3.4 Verwerker zal Persoonsgegevens die haar in het kader van de Hoofdovereenkomst ter beschikking zijn gesteld niet langer bewaren dan noodzakelijk is voor de uitvoering van deze Hoofdovereenkomst of om een op hem rustende wettelijke verplichting na te komen. In Bijlage A staat gespecificeerd hoe lang Persoonsgegevens worden bewaard.
3.5 Verwerker is verplicht Verwerkingsverantwoordelijke onmiddellijk te informeren over toekomstige wijzigingen in de uitvoering van de Verwerkersovereenkomst als ook de Hoofdovereenkomst, zodat Verwerkingsverantwoordelijke kan toezien op de naleving van afspraken met Verwerker. Hieronder wordt mede begrepen de inschakeling van (nieuwe) SubVerwerkers, onverminderd het bepaalde in artikel 4 (Inzet van SubVerwerkers) en artikel 13 (Wijziging).
3.6 Op het eerste daartoe strekkende verzoek van Verwerkingsverantwoordelijke zal Verwerker aan Verwerkingsverantwoordelijke alle relevante informatie verstrekken betreffende de aspecten van de door hem verrichte verwerking van Persoonsgegevens zodat Verwerkingsverantwoordelijke, mede aan de hand van die informatie, aan kan tonen dat zij de toepasselijke (privacy) wetgeving naleeft.
3.7 Onverminderd het bepaalde in het eerste lid van dit artikel 3, is het Verwerker toegestaan om Persoonsgegevens te verwerken indien een wettelijk voorschrift (waaronder begrepen daarop gebaseerde rechterlijke of bestuurlijke bevelen) hem tot een verwerking verplicht. In dat geval stelt de Verwerker voorafgaand aan de verwerking Verwerkingsverantwoordelijke in kennis van de beoogde verwerking en het wettelijk voorschrift, tenzij die wetgeving deze kennisgeving om gewichtige redenen van algemeen belang verbiedt. Verwerker zal Verwerkingsverantwoordelijke, waar mogelijk, in staat stellen zich te verweren tegen deze verplichte verwerking en ook overigens de verplichte verwerking beperken tot het strikt noodzakelijke.
3.8 Indien de dienstverlening door Verwerker de verwerking van gezondheidsgegevens of andere bijzondere Persoonsgegevens impliceert, garandeert Verwerker dat hij niet in strijd met de wetgeving zal handelen.
Artikel 4. Inzet van SubVerwerkers
4.1 Wij kunnen andere Verwerkers (SubVerwerkers) inschakelen voor het uitvoeren van bepaalde werkzaamheden die voortvloeien uit de Onderliggende opdracht, bijvoorbeeld als deze SubVerwerkers over specialistische kennis of middelen beschikken waarover wij niet beschikken. Als het inschakelen van SubVerwerkers tot gevolg heeft dat deze Persoonsgegevens gaan verwerken, dan dient SubVerwerker minimaal hetzelfde niveau van gegevensbescherming te bieden als overeengekomen in deze overeenkomst, welke schriftelijk wordt vastgelegd.
4.2 De Verwerkingsverantwoordelijke verleent de Verwerker algemene toestemming voor het inschakelen van SubVerwerkers voor de verwerking van persoonsgegevens zoals opgenomen in de lijst van SubVerwerkers in Bijlage A.
4.3 Indien nieuwe SubVerwerkers worden ingeschakeld, of er treden wijzigingen op, dan dient Verwerker de Verwerkingsverantwoordelijke vooraf op de hoogte te stellen. De Verwerkingsverantwoordelijke heeft het recht om bezwaar te maken tegen de inzet van de voorgestelde SubVerwerker. Indien de Verwerkingsverantwoordelijke bezwaar maakt op redelijke gronden, zullen partijen in overleg treden om een passende oplossing te vinden.
4.4 Op verzoek van Verwerkingsverantwoordelijke stelt de Verwerker de schriftelijke gemaakte afspraken tussen Verwerker en SubVerwerker ter beschikking.
4.5 De door Verwerkingsverantwoordelijke gegeven toestemming laat onverlet de verantwoordelijkheid en aansprakelijkheid van Verwerker voor de nakoming van de Verwerkersovereenkomst.
Artikel 5. Beveiliging
5.1 Verwerker zal passende technische en organisatorische maatregelen nemen om Persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging daarvan, een passend beveiligingsniveau gelet op de risico's die de Verwerking en de aard van de te beschermen Persoonsgegevens meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere Verwerking te voorkomen. Verwerker legt de maatregelen schriftelijk vast en draagt er zorg voor dat de beveiliging zoals bedoeld in dit artikellid voldoet aan de beveiligingseisen op grond van de AVG.
5.2 Verwerker werkt aantoonbaar in overeenstemming met ISO27001 en ISO27701 en heeft een passend, geschreven informatiebeveiligings- en privacybeleid geïmplementeerd voor de verwerking van Persoonsgegevens, waarin in ieder geval de onder 1 genoemde maatregelen uiteen zijn gezet. Verwerker zal Verwerkingsverantwoordelijke desgevraagd onverwijld schriftelijk informatie verstrekken met betrekking tot (de organisatie van) de beveiliging van Persoonsgegevens
Artikel 6. Meldplicht en Incidenten
6.1 In het geval van een Incident – inbegrepen een Datalek en/of Beveiligingsinbreuk – zal Verwerker de Verwerkingsverantwoordelijke direct, zonder onnodige vertraging, na eerste ontdekking, informeren.
6.2 Verwerker zal alle redelijkerwijs benodigde maatregelen treffen om (verdere) onbevoegde kennisneming, wijziging, en verstrekking dan wel anderszins onrechtmatige verwerking te voorkomen of te beperken en een schending van beveiligingsmaatregelen, schending van de geheimhoudingsplicht of verder verlies van vertrouwelijke gegevens te beëindigen en in de toekomst te voorkomen, onverminderd enig recht van Verwerkingsverantwoordelijke op schadevergoeding of andere maatregelen. Deze bepaling is van toepassing op Incidenten bij de Verwerker en haar eventuele SubVerwerkers.
6.3 De informatieplicht van Verwerker behelst in ieder geval de in de Bijlage B beschreven gegevens voor zover toepasselijk. Verwerker garandeert dat de verstrekte informatie volledig, correct en accuraat is.
6.4 Verwerker zal Verwerkingsverantwoordelijke te allen tijde haar medewerking verlenen en zal de instructies van Verwerkingsverantwoordelijke opvolgen en stelt Verwerkingsverantwoordelijke in staat een deugdelijk onderzoek te verrichten naar het Incident, een correcte respons te formuleren en passende vervolgstappen te nemen ten aanzien van het Incident, waaronder begrepen het informeren van de Autoriteit Persoonsgegevens (AP) en/of de Betrokkene zoals bepaald in artikel 6.6.
6.5 Het is Verwerker niet toegestaan informatie te verstrekken over Incidenten aan Betrokkene(n) of andere derde partijen, behoudens voor zover Verwerker daartoe wettelijk verplicht is of Partijen anderszins zijn overeengekomen.
6.6 Verwerker maakt schriftelijke afspraken met SubVerwerkers over het melden van Incidenten aan Verwerker, die de Verwerker en Verwerkingsverantwoordelijke in staat stellen verplichtingen in het geval van een Incident na te leven. In deze afspraken moet in ieder geval de verplichting worden opgenomen dat de SubVerwerker de Verwerker direct na de eerste ontdekking zal informeren over een Incident – inbegrepen een Datalek en/of Beveiligingsinbreuk – en op verzoek van Verwerkingsverantwoordelijke zal meewerken aan het informeren van de bevoegde autoriteiten en Betrokkene(n).
Artikel 7. Audit
7.1 Verwerkingsverantwoordelijke heeft het recht om steeds wanneer daar aanleiding toe is de naleving van deze Verwerkersovereenkomst en de wettelijke bepalingen die op de verwerking van de persoonsgegevens van toepassing zijn, te laten controleren door middel van een audit uit te voeren door een IT auditor.
7.2 Deze audits mogen echter niet vaker dan één keer per kalenderjaar plaatsvinden, tenzij er redelijke gronden zijn om aan te nemen dat de Verwerker de verplichtingen uit deze overeenkomst of de toepasselijke wetgeving niet naleeft.
7.3 In het kader van het in lid 1 van dit artikel bepaalde zal Verwerker onder meer:
a) de benodigde ruimte(s) en gegevens toegankelijk maken en/of ter beschikking stellen alsmede alle medewerking te verlenen opdat de controle kan worden uitgevoerd;
b) Verwerkingsverantwoordelijke proactief informeren over relevante wijzigingen in haar organisatie of prestaties;
c) in geval van de goedgekeurde inschakeling van derde(n), met deze derde(n) overeenkomen dat Verwerkingsverantwoordelijke gerechtigd is de in het eerste lid van dit artikel bedoelde controle ook uit te oefenen bij deze derde(n).
7.4 Verwerkingsverantwoordelijke en/of de door haar ingeschakelde auditor zal de bij de controle gevonden informatie geheimhouden en alleen gebruiken om naleving door Verwerker van de verplichtingen uit deze Verwerkersovereenkomst en de AVG te controleren.
7.5 De kosten voor het inzetten van een eventuele auditor en/of eigen personeel van Verwerkingsverantwoordelijke zijn voor rekening van Verwerkingsverantwoordelijke, tenzij uit de audit volgt dat Verwerker een of meerdere verplichtingen onder deze Verwerkersovereenkomst of de AVG niet nakomt. Verwerker draagt zelf de eventuele eigen kosten die verband houden met de audit.
7.6 Wanneer bij de controle onregelmatigheden worden aangetroffen zal Verwerker binnen redelijke termijn een verbeterplan opstellen en afstemmen met Verwerkingsverantwoordelijke. Voor zover Verwerkingsverantwoordelijke direct aanbevelingen doet aan Verwerker voortvloeiende uit de controle, garandeert Verwerker deze binnen de door Verwerkingsverantwoordelijke te bepalen redelijke termijn uit te voeren.
Artikel 8. Gegevensbeschermingseffectbeoordeling (GEB/DPIA)
8.1 De Verwerker zal de Verwerkingsverantwoordelijke ondersteunen bij het uitvoeren van een Gegevensbeschermingseffectbeoordeling (GEB) wanneer een type verwerking waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Dit omvat, maar is niet beperkt tot, het verstrekken van de benodigde informatie en het faciliteren van audits.
8.2 De Verwerker zal, op verzoek van de Verwerkingsverantwoordelijke, samenwerken en de nodige ondersteuning bieden bij de uitvoering van de GEB. Dit omvat het verstrekken van relevante documentatie en het beantwoorden van vragen die voortvloeien uit de beoordeling.
8.3 De Verwerker verklaart dat hij beschikt over bestaande documentatie met betrekking tot de gegevensbeschermingseffectbeoordeling (GEB) en andere relevante gegevensbeschermings-maatregelen. Indien de Verwerkingsverantwoordelijke aanvullende informatie of documentatie wenst die verder gaat dan de reeds beschikbare documentatie, kan de Verwerker voor het verstrekken van deze extra informatie kosten in rekening brengen.
8.4 De Verwerker zal de Verwerkingsverantwoordelijke vooraf informeren over de geschatte kosten voor het verstrekken van de aanvullende informatie. De Verwerker zal pas beginnen met het verzamelen en verstrekken van de aanvullende informatie na schriftelijke goedkeuring van de Verwerkingsverantwoordelijke.
8.5 Indien uit de GEB blijkt dat de verwerking een hoog risico inhoudt dat niet kan worden beperkt door passende maatregelen, zal de Verwerker de Verwerkingsverantwoordelijke ondersteunen bij het raadplegen van de toezichthoudende autoriteit, zoals vereist door artikel 36 van de AVG.
8.6 De Verwerker zal alle documentatie met betrekking tot de GEB bewaren en beschikbaar stellen aan de Verwerkingsverantwoordelijke en de toezichthoudende autoriteit op verzoek.
Artikel 9. Internationaal verkeer
9.1 Verwerker garandeert dat iedere verwerking van Persoonsgegevens welke door of namens Verwerker met inbegrip van de door haar ingeschakelde SubVerwerkers wordt verricht in verband met het uitvoeren van de Overeenkomst binnen de Europese Economische Ruimte (EER) plaats zal vinden of naar of vanuit landen die een passend beschermingsniveau waarborgen in overeenstemming met de van toepassing zijnde privacyregelgeving. Zonder de voorafgaande schriftelijke toestemming van Verwerkingsverantwoordelijke mag Verwerker derhalve geen Persoonsgegevens doorgeven naar of opslaan in een land buiten de EER of Persoonsgegevens toegankelijk maken vanuit een niet-EER land, tenzij dit land een passend beschermingsniveau heeft. Aan deze toestemming kan Verwerkingsverantwoordelijke voorwaarden verbinden, waaronder maar niet beperkt tot de verplichting voor Verwerker om aan te tonen dat voldaan is aan de wettelijke vereisten ten aanzien van gegevensverkeer met landen buiten de EER.
9.2 Indien de technische karakteristieken van een transmissiemedium een dergelijke garantie onmogelijk maken, zal de transmissie van gegevens uitsluitend versleuteld plaatsvinden waarbij voor de versleuteling geavanceerde (zijnde minstens zo geavanceerd als in de markt gebruikelijk) technieken zullen worden gebruikt. Verwerker verschaft voorafgaand aan het sluiten van de Verwerkersovereenkomst inzicht in de locatie(s) waarop de Verwerking plaatsvindt.
Artikel 10. Opsporingsverzoeken
10.1 Indien Verwerker een verzoek of een bevel van een Nederlandse of buitenlandse toezichthouder, overheidsinstantie of een opsporings-, strafvorderings- of nationale veiligheidsinstantie ontvangt om (inzage in) Persoonsgegevens te verschaffen, dan zal Verwerker de Verwerkingsverantwoordelijke onverwijld informeren. Bij de behandeling van het verzoek of bevel zal Verwerker alle instructies van Verwerkingsverantwoordelijke acht nemen (waaronder de instructie om de behandeling van het verzoek of bevel geheel of gedeeltelijk aan Verwerkingsverantwoordelijke over te laten) en alle redelijkerwijs benodigde medewerking verlenen aan Verwerkingsverantwoordelijke.
10.2 Indien het Verwerker op grond van het verzoek of bevel is verboden om te voldoen aan zijn verplichtingen op grond van het bovenstaande, dan zal Verwerker de redelijke belangen van Verwerkingsverantwoordelijke behartigen. Verwerker zal daartoe in ieder geval:
– Juridisch laten toetsen in hoeverre Verwerker wettelijk verplicht is om aan het verzoek of bevel te voldoen; en het Verwerker daadwerkelijk is verboden om aan haar verplichtingen jegens Verwerkingsverantwoordelijke op grond van het bovenstaande te voldoen;
– Alleen aan het verzoek of bevel meewerken indien zij hiertoe wettelijk verplicht is en waar mogelijk (in rechte) bezwaar maken tegen het verzoek of bevel of het verbod om Verwerkingsverantwoordelijk hierover te informeren of haar instructies op te volgen;
– Niet meer of andere Persoonsgegevens verstrekken dan strikt noodzakelijk om aan het verzoek of bevel te voldoen.
Artikel 11. Rechten van Betrokkenen
11.1 Verwerker zal haar volledige medewerking verlenen opdat Verwerkingsverantwoordelijke kan voldoen aan zijn wettelijke verplichtingen in het geval dat een Betrokkene zijn rechten uitoefent op grond van de AVG of andere toepasselijke regelgeving betreffende de verwerking van Persoonsgegevens. Een Betrokkene heeft op grond van de AVG de volgende rechten:
– Het recht op inzage, correctie en verwijdering van Persoonsgegevens;
– Het recht op vergetelheid;
– Het recht op dataportabiliteit;
– Het recht op beperking van de verwerking;
– Het recht om bezwaar te maken tegen de gegevensverwerking.
11.2 Indien een Betrokkene met betrekking tot de uitvoering van zijn rechten onder de AVG direct contact opneemt met Verwerker, dan gaat Verwerker hier – behoudens uitdrukkelijke andersluidende instructie van Verwerkingsverantwoordelijke – in eerste instantie niet (inhoudelijk) op in, maar bericht hij dit onverwijld aan Verwerkingsverantwoordelijke met een verzoek om nadere instructies.
11.3 Als Verwerker de Dienst rechtstreeks aanbiedt aan Betrokkene van wie Persoonsgegevens worden verwerkt, is Verwerker verplicht om, uitsluitend op verzoek van Verwerkingsverantwoordelijke, op een makkelijk toegankelijke en permanent beschikbare manier de Betrokkene te informeren middels een 'privacy statement' die het volgende omvat:
– De naam en het adres van Verwerkingsverantwoordelijke en Verwerker;
– De doeleinden waarvoor Persoonsgegevens worden verwerkt;
– De rechtsgrond(en) voor de verwerking van Persoonsgegevens;
– De categorieën Persoonsgegevens die Verwerker verwerkt;
– Beveiliging van de Persoonsgegevens;
– De derden aan wie Persoonsgegevens toegankelijk worden gemaakt;
– De landen waarnaar Persoonsgegevens worden overgedragen;
– Bewaartermijn;
– De rechten van Betrokkene;
– Indien aangesteld: taken en contactgegevens FG.
Artikel 12. Vrijwaring
Opdrachtgever vrijwaart Verwerker voor alle aanspraken, behoudens opzet en/of grove schuld door Verwerker, bij schending van het gestelde bij of krachtens wet- en regelgeving aangaande gegevensbescherming of de uitvoering van deze overeenkomst. Indien Verwerker een SubVerwerker heeft ingeschakeld, dan is Verwerker volledig aansprakelijk voor het nakomen van alle verplichtingen door deze SubVerwerker, maar niet voor SubVerwerkers waarvan de Opdrachtgever de Verwerker verplicht heeft om mee samen te werken, voor de werkzaamheden besloten in de opdracht van deze overeenkomst.
Artikel 13. Maatregelen toezichthouder
Indien de toezichthouder in het kader van haar taak als handhaver een maatregel of boete oplegt aan Verwerkingsverantwoordelijke en indien de oorzaak voor het opleggen van de maatregel of boete te wijten is aan het niet nakomen van de in de Verwerkersovereenkomst gemaakte afspraken door Verwerker, dan kan Verwerkingsverantwoordelijke alle kosten voor deze maatregel of boete verhalen op Verwerker. Tevens heeft Verwerkingsverantwoordelijke het recht om de Hoofdovereenkomst en deze Verwerkersovereenkomst in bovengenoemde situatie met onmiddellijke ingang te ontbinden zonder dat de Verwerker aanspraak kan maken op enige vorm van schadevergoeding.
Artikel 14. Wijziging
14.1 In overeenstemming met de transparantie- en verantwoordingsplicht zoals vastgelegd in artikel 5 en 28 van de AVG stelt de Verwerker de Verwerkingsverantwoordelijke op de hoogte van wijzigingen in de Verwerkersovereenkomst, inbegrepen de toevoeging of vervanging van SubVerwerkers. Hiertoe stelt de Verwerker een aanmeldingsformulier beschikbaar waarop de Verwerkingsverantwoordelijke diens contactgegevens kan invullen, zodat de Verwerker wijzigingen in de Verwerkersovereenkomst kan communiceren.
14.2 Indien een wijziging in de te verwerken Persoonsgegevens of een risicoanalyse van de verwerking van Persoonsgegevens daartoe aanleiding geeft treden partijen op eerste verzoek van Verwerkingsverantwoordelijke in overleg over het aanpassen van de gemaakte afspraken binnen de Verwerkersovereenkomst.
14.3 De nieuw te maken afspraken dienen voorafgaand aan de toepassing daarvan schriftelijk te zijn vastgelegd en deel uit te maken van de Verwerkersovereenkomst.
14.4 De wijzigingen kunnen nooit tot gevolg hebben dat Verwerkingsverantwoordelijke niet kan voldoen aan de AVG en overige relevante wet- en regelgeving met betrekking tot Persoonsgegevens.
Artikel 15. Duur en beëindiging
15.1 De duur van de Verwerkersovereenkomst wordt in eerste instantie aangegaan voor de duur van twee (2) jaar.
15.2 Deze Verwerkersovereenkomst wordt zonder opzegging automatisch voor opvolgende periodes van twee (2) jaar verlengd.
15.3 De Verwerkersovereenkomst is niet los van de Hoofdovereenkomst te beëindigen.
15.4 Beëindiging van de Hoofdovereenkomst, op welke grond dan ook (opzegging/ontbinding), heeft tot gevolg dat de Verwerkersovereenkomst eveneens op dezelfde grond beëindigd wordt (en vice versa), tenzij Partijen in voorkomend geval anders overeenkomen.
15.5 Deze Verwerkersovereenkomst kan door een van de partijen worden opgezegd met inachtneming van een opzegtermijn van drie (3) maanden voorafgaand aan het einde van de initiële termijn of enige verlenging daarvan.
15.6 Partijen hebben het recht deze Verwerkersovereenkomst geheel of gedeeltelijk met onmiddellijke ingang te ontbinden in het geval de andere Partij surseance van betaling of faillissement aanvraagt of dit aan haar wordt verleend en van een toerekenbare tekortkoming in de nakoming van een wezenlijke verplichting op grond van deze Verwerkersovereenkomst die – indien het verzuim niet al van rechtswege is ingetreden – niet binnen een redelijke termijn van dertig (30) dagen na een ingebrekestelling door de tekortschietende Partij is gezuiverd
Artikel 16. Bewaartermijnen, teruggave en vernietiging van Persoonsgegevens
16.1 Verwerker bewaart de Persoonsgegevens niet langer dan strikt noodzakelijk, waaronder begrepen de wettelijke bewaartermijnen of een eventueel tussen Partijen gemaakte afspraak over bewaartermijnen zoals vastgelegd in Bijlage A. In geen geval bewaart Verwerker de Persoonsgegevens langer dan tot het einde van deze Verwerkersovereenkomst. Verwerkingsverantwoordelijke bepaalt of en zo ja hoe lang gegevens bewaard moeten blijven.
16.2 Bij beëindiging van de Verwerkersovereenkomst, of indien van toepassing aan het einde van de overeengekomen bewaartermijnen, of op schriftelijk verzoek van Verwerkingsverantwoordelijke zal Verwerker, tegen redelijke kosten, naar keuze van Verwerkingsverantwoordelijke, de Persoonsgegevens onherroepelijk (doen) vernietigen of teruggeven aan Verwerkingsverantwoordelijke. Op verzoek van Verwerkingsverantwoordelijke verstrekt Verwerker bewijs van het feit dat de gegevens onherroepelijk zijn vernietigd of verwijderd. Eventuele teruggave van de gegevens zal in een algemeen gangbaar, gestructureerd en gedocumenteerd gegevensformaat langs elektronische weg plaatsvinden. Indien teruggave, onherroepelijke vernietiging of verwijdering niet mogelijk is, stelt Verwerker Verwerkingsverantwoordelijke daarvan onmiddellijk op de hoogte. In dat geval garandeert Verwerker dat hij de Persoonsgegevens vertrouwelijk zal behandelen en niet langer zal verwerken.
Artikel 17. Vertrouwelijkheid
17.1 Indien vertrouwelijkheid van gegevens niet in de Hoofdovereenkomst of elders is geregeld, geldt dat Partijen alle (Persoons)gegevens en overige informatie waarvan zij het vertrouwelijk karakter kennen of redelijkerwijs kunnen vermoeden en die hen in het kader van de uitvoering van de Hoofdovereenkomst of Verwerkersovereenkomst ter kennis of beschikking komen, geheim houden en op geen enkele wijze verder intern of extern bekendmaken en/of aan derden verstrekken, behalve voor zover:
– Bekendmaking en/of verstrekking van die (Persoons)gegevens en overige informatie in het kader van de uitvoering van de Overeenkomst noodzakelijk is;
– Enig dwingendrechtelijk wettelijk voorschrift of rechterlijke uitspraak partijen tot bekendmaking en/of verstrekking van die (Persoons)gegevens of overige informatie verplicht, waarbij partijen eerst de andere Partij hiervan op de hoogte stellen;
– Bekendmaking en/of verstrekking van die (Persoons)gegevens en overige informatie geschiedt met voorafgaande schriftelijke toestemming van de andere Partij; dan wel
– Het informatie betreft die al rechtmatig openbaar was op een andere wijze dan door het handelen of nalaten van een der Partijen.
17.2 Verwerker waarborgt dat betrokken Medewerkers en SubVerwerkers een geheimhoudingsovereenkomst hebben getekend en geeft Verwerkingsverantwoordelijke op verzoek inzage in deze geheimhoudingsovereenkomst.
17.3 Partijen verlenen op verzoek van de andere Partij hun medewerking aan het uitoefenen van toezicht door of namens de andere Partij op de bewaring en het gebruik van vertrouwelijke (Persoons)gegevens en overige informatie door de andere Partij.
17.4 Partijen stellen alle (Persoons)gegevens en overige informatie die zij in het kader van de uitvoering van de Hoofdovereenkomst onder zich hebben, inclusief eventueel daarvan gemaakte kopiëen, op eerste verzoek aan de andere Partij ter beschikking.
Artikel 18. Slotbepalingen
18.1 De overwegingen maken onderdeel uit van deze Verwerkersovereenkomst.
18.2 In het geval van strijdigheid tussen de bepalingen uit deze Verwerkersovereenkomst en bepalingen uit de Hoofdovereenkomst zullen de bepalingen van de Verwerkersovereenkomst leidend zijn, met uitzondering van data, niet zijnde persoonsgegevens, indien dit nadrukkelijk anders is bepaald in de Hoofdovereenkomst.
18.3 In geval van nietigheid c.q. vernietigbaarheid van een of meer bepalingen uit deze Verwerkersovereenkomst, blijven de overige bepalingen onverkort van kracht.
18.4 In alle gevallen waarin deze Verwerkersovereenkomst niet voorziet beslissen partijen in onderling overleg.
Artikel 19. Toepasselijk recht en geschilbeslechting
19.1 Op deze Verwerkersovereenkomst is Nederlands recht van toepassing.
19.2 Partijen zullen zich inspannen conflicten in onderling overleg op te lossen. Hierbij is inbegrepen de mogelijkheid het geschil te beëindigen door een in onderling overleg vast te stellen mediation of arbitrage.
19.3 Alle geschillen, welke tussen Partijen mochten ontstaan in verband met de Verwerkersovereenkomst, zullen worden voorgelegd aan de bevoegde rechter in de plaats waar Verwerkingsverantwoordelijke gevestigd is.
Bijlage A: Specificatie verwerking Persoonsgegevens
Risicoklasse I persoonsgegevens (basis)
Tabel 1: Verwerking persoonsgegevens is van toepassing op de volgende producten en diensten van Verwerker:
2.1 Deze Verwerkersovereenkomst heeft betrekking op de verwerking van Persoonsgegevens door Verwerker in opdracht van de Verwerkingsverantwoordelijke in het kader van de uitvoering van de Hoofdovereenkomst.
2.2 Deze Verwerkersovereenkomst maakt onverbrekelijk deel uit van de Hoofdovereenkomst. Voor zover het bepaalde in de Verwerkersovereenkomst strijdig is met het bepaalde in de Hoofdovereenkomst, prevaleert het bepaalde in de Verwerkersovereenkomst
Artikel 3. Rechten en plichten van Verwerker
3.1 Verwerking door Verwerker vindt uitsluitend op schriftelijke instructies van Verwerkingsverantwoordelijke plaats gedurende de looptijd van de Hoofdovereenkomst of voor zover noodzakelijk voor de uitvoering van de Hoofdovereenkomst. Verwerker mag de Persoonsgegevens niet ten eigen nutte, ten nutte van derden, en/of voor eigen dan wel reclamedoeleinden c.q. andere doeleinden verwerken, behoudens op hem rustende afwijkende dwingendrechtelijke verplichtingen. Verwerker stelt Verwerkingsverantwoordelijke onmiddellijk op de hoogte indien naar zijn oordeel instructies in strijd zijn met de toepasselijke wetgeving met betrekking tot de verwerking van Persoonsgegevens.
3.2 Verwerker zal de Persoonsgegevens verwerken op behóorlijke en zorgvuldige wijze en in overeenstemming met de AVG en andere toepasselijke wet- en regelgeving betreffende de verwerking van Persoonsgegevens, zoals de Gedragscode van de Data & Insights Network. Verwerker zal in dat kader ten minste een register van verwerkingen aanleggen als bedoeld in artikel 30 AVG en Verwerkingsverantwoordelijke op eerste verzoek een kopie van dat register verstrekken.
3.3 Voor de uitvoering van de Hoofdovereenkomst kunnen uitsluitend de categorieën Persoonsgegevens worden verwerkt die in Bijlage A zijn gespecificeerd.
3.4 Verwerker zal Persoonsgegevens die haar in het kader van de Hoofdovereenkomst ter beschikking zijn gesteld niet langer bewaren dan noodzakelijk is voor de uitvoering van deze Hoofdovereenkomst of om een op hem rustende wettelijke verplichting na te komen. In Bijlage A staat gespecificeerd hoe lang Persoonsgegevens worden bewaard.
3.5 Verwerker is verplicht Verwerkingsverantwoordelijke onmiddellijk te informeren over toekomstige wijzigingen in de uitvoering van de Verwerkersovereenkomst als ook de Hoofdovereenkomst, zodat Verwerkingsverantwoordelijke kan toezien op de naleving van afspraken met Verwerker. Hieronder wordt mede begrepen de inschakeling van (nieuwe) SubVerwerkers, onverminderd het bepaalde in artikel 4 (Inzet van SubVerwerkers) en artikel 13 (Wijziging).
3.6 Op het eerste daartoe strekkende verzoek van Verwerkingsverantwoordelijke zal Verwerker aan Verwerkingsverantwoordelijke alle relevante informatie verstrekken betreffende de aspecten van de door hem verrichte verwerking van Persoonsgegevens zodat Verwerkingsverantwoordelijke, mede aan de hand van die informatie, aan kan tonen dat zij de toepasselijke (privacy) wetgeving naleeft.
3.7 Onverminderd het bepaalde in het eerste lid van dit artikel 3, is het Verwerker toegestaan om Persoonsgegevens te verwerken indien een wettelijk voorschrift (waaronder begrepen daarop gebaseerde rechterlijke of bestuurlijke bevelen) hem tot een verwerking verplicht. In dat geval stelt de Verwerker voorafgaand aan de verwerking Verwerkingsverantwoordelijke in kennis van de beoogde verwerking en het wettelijk voorschrift, tenzij die wetgeving deze kennisgeving om gewichtige redenen van algemeen belang verbiedt. Verwerker zal Verwerkingsverantwoordelijke, waar mogelijk, in staat stellen zich te verweren tegen deze verplichte verwerking en ook overigens de verplichte verwerking beperken tot het strikt noodzakelijke.
3.8 Indien de dienstverlening door Verwerker de verwerking van gezondheidsgegevens of andere bijzondere Persoonsgegevens impliceert, garandeert Verwerker dat hij niet in strijd met de wetgeving zal handelen.
Artikel 4. Inzet van SubVerwerkers
4.1 Wij kunnen andere Verwerkers (SubVerwerkers) inschakelen voor het uitvoeren van bepaalde werkzaamheden die voortvloeien uit de Onderliggende opdracht, bijvoorbeeld als deze SubVerwerkers over specialistische kennis of middelen beschikken waarover wij niet beschikken. Als het inschakelen van SubVerwerkers tot gevolg heeft dat deze Persoonsgegevens gaan verwerken, dan dient SubVerwerker minimaal hetzelfde niveau van gegevensbescherming te bieden als overeengekomen in deze overeenkomst, welke schriftelijk wordt vastgelegd.
4.2 De Verwerkingsverantwoordelijke verleent de Verwerker algemene toestemming voor het inschakelen van SubVerwerkers voor de verwerking van persoonsgegevens zoals opgenomen in de lijst van SubVerwerkers in Bijlage A.
4.3 Indien nieuwe SubVerwerkers worden ingeschakeld, of er treden wijzigingen op, dan dient Verwerker de Verwerkingsverantwoordelijke vooraf op de hoogte te stellen. De Verwerkingsverantwoordelijke heeft het recht om bezwaar te maken tegen de inzet van de voorgestelde SubVerwerker. Indien de Verwerkingsverantwoordelijke bezwaar maakt op redelijke gronden, zullen partijen in overleg treden om een passende oplossing te vinden.
4.4 Op verzoek van Verwerkingsverantwoordelijke stelt de Verwerker de schriftelijke gemaakte afspraken tussen Verwerker en SubVerwerker ter beschikking.
4.5 De door Verwerkingsverantwoordelijke gegeven toestemming laat onverlet de verantwoordelijkheid en aansprakelijkheid van Verwerker voor de nakoming van de Verwerkersovereenkomst.
Artikel 5. Beveiliging
5.1 Verwerker zal passende technische en organisatorische maatregelen nemen om Persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging daarvan, een passend beveiligingsniveau gelet op de risico's die de Verwerking en de aard van de te beschermen Persoonsgegevens meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere Verwerking te voorkomen. Verwerker legt de maatregelen schriftelijk vast en draagt er zorg voor dat de beveiliging zoals bedoeld in dit artikellid voldoet aan de beveiligingseisen op grond van de AVG.
5.2 Verwerker werkt aantoonbaar in overeenstemming met ISO27001 en ISO27701 en heeft een passend, geschreven informatiebeveiligings- en privacybeleid geïmplementeerd voor de verwerking van Persoonsgegevens, waarin in ieder geval de onder 1 genoemde maatregelen uiteen zijn gezet. Verwerker zal Verwerkingsverantwoordelijke desgevraagd onverwijld schriftelijk informatie verstrekken met betrekking tot (de organisatie van) de beveiliging van Persoonsgegevens
Artikel 6. Meldplicht en Incidenten
6.1 In het geval van een Incident – inbegrepen een Datalek en/of Beveiligingsinbreuk – zal Verwerker de Verwerkingsverantwoordelijke direct, zonder onnodige vertraging, na eerste ontdekking, informeren.
6.2 Verwerker zal alle redelijkerwijs benodigde maatregelen treffen om (verdere) onbevoegde kennisneming, wijziging, en verstrekking dan wel anderszins onrechtmatige verwerking te voorkomen of te beperken en een schending van beveiligingsmaatregelen, schending van de geheimhoudingsplicht of verder verlies van vertrouwelijke gegevens te beëindigen en in de toekomst te voorkomen, onverminderd enig recht van Verwerkingsverantwoordelijke op schadevergoeding of andere maatregelen. Deze bepaling is van toepassing op Incidenten bij de Verwerker en haar eventuele SubVerwerkers.
6.3 De informatieplicht van Verwerker behelst in ieder geval de in de Bijlage B beschreven gegevens voor zover toepasselijk. Verwerker garandeert dat de verstrekte informatie volledig, correct en accuraat is.
6.4 Verwerker zal Verwerkingsverantwoordelijke te allen tijde haar medewerking verlenen en zal de instructies van Verwerkingsverantwoordelijke opvolgen en stelt Verwerkingsverantwoordelijke in staat een deugdelijk onderzoek te verrichten naar het Incident, een correcte respons te formuleren en passende vervolgstappen te nemen ten aanzien van het Incident, waaronder begrepen het informeren van de Autoriteit Persoonsgegevens (AP) en/of de Betrokkene zoals bepaald in artikel 6.6.
6.5 Het is Verwerker niet toegestaan informatie te verstrekken over Incidenten aan Betrokkene(n) of andere derde partijen, behoudens voor zover Verwerker daartoe wettelijk verplicht is of Partijen anderszins zijn overeengekomen.
6.6 Verwerker maakt schriftelijke afspraken met SubVerwerkers over het melden van Incidenten aan Verwerker, die de Verwerker en Verwerkingsverantwoordelijke in staat stellen verplichtingen in het geval van een Incident na te leven. In deze afspraken moet in ieder geval de verplichting worden opgenomen dat de SubVerwerker de Verwerker direct na de eerste ontdekking zal informeren over een Incident – inbegrepen een Datalek en/of Beveiligingsinbreuk – en op verzoek van Verwerkingsverantwoordelijke zal meewerken aan het informeren van de bevoegde autoriteiten en Betrokkene(n).
Artikel 7. Audit
7.1 Verwerkingsverantwoordelijke heeft het recht om steeds wanneer daar aanleiding toe is de naleving van deze Verwerkersovereenkomst en de wettelijke bepalingen die op de verwerking van de persoonsgegevens van toepassing zijn, te laten controleren door middel van een audit uit te voeren door een IT auditor.
7.2 Deze audits mogen echter niet vaker dan één keer per kalenderjaar plaatsvinden, tenzij er redelijke gronden zijn om aan te nemen dat de Verwerker de verplichtingen uit deze overeenkomst of de toepasselijke wetgeving niet naleeft.
7.3 In het kader van het in lid 1 van dit artikel bepaalde zal Verwerker onder meer:
a) de benodigde ruimte(s) en gegevens toegankelijk maken en/of ter beschikking stellen alsmede alle medewerking te verlenen opdat de controle kan worden uitgevoerd;
b) Verwerkingsverantwoordelijke proactief informeren over relevante wijzigingen in haar organisatie of prestaties;
c) in geval van de goedgekeurde inschakeling van derde(n), met deze derde(n) overeenkomen dat Verwerkingsverantwoordelijke gerechtigd is de in het eerste lid van dit artikel bedoelde controle ook uit te oefenen bij deze derde(n).
7.4 Verwerkingsverantwoordelijke en/of de door haar ingeschakelde auditor zal de bij de controle gevonden informatie geheimhouden en alleen gebruiken om naleving door Verwerker van de verplichtingen uit deze Verwerkersovereenkomst en de AVG te controleren.
7.5 De kosten voor het inzetten van een eventuele auditor en/of eigen personeel van Verwerkingsverantwoordelijke zijn voor rekening van Verwerkingsverantwoordelijke, tenzij uit de audit volgt dat Verwerker een of meerdere verplichtingen onder deze Verwerkersovereenkomst of de AVG niet nakomt. Verwerker draagt zelf de eventuele eigen kosten die verband houden met de audit.
7.6 Wanneer bij de controle onregelmatigheden worden aangetroffen zal Verwerker binnen redelijke termijn een verbeterplan opstellen en afstemmen met Verwerkingsverantwoordelijke. Voor zover Verwerkingsverantwoordelijke direct aanbevelingen doet aan Verwerker voortvloeiende uit de controle, garandeert Verwerker deze binnen de door Verwerkingsverantwoordelijke te bepalen redelijke termijn uit te voeren.
Artikel 8. Gegevensbeschermingseffectbeoordeling (GEB/DPIA)
8.1 De Verwerker zal de Verwerkingsverantwoordelijke ondersteunen bij het uitvoeren van een Gegevensbeschermingseffectbeoordeling (GEB) wanneer een type verwerking waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Dit omvat, maar is niet beperkt tot, het verstrekken van de benodigde informatie en het faciliteren van audits.
8.2 De Verwerker zal, op verzoek van de Verwerkingsverantwoordelijke, samenwerken en de nodige ondersteuning bieden bij de uitvoering van de GEB. Dit omvat het verstrekken van relevante documentatie en het beantwoorden van vragen die voortvloeien uit de beoordeling.
8.3 De Verwerker verklaart dat hij beschikt over bestaande documentatie met betrekking tot de gegevensbeschermingseffectbeoordeling (GEB) en andere relevante gegevensbeschermings-maatregelen. Indien de Verwerkingsverantwoordelijke aanvullende informatie of documentatie wenst die verder gaat dan de reeds beschikbare documentatie, kan de Verwerker voor het verstrekken van deze extra informatie kosten in rekening brengen.
8.4 De Verwerker zal de Verwerkingsverantwoordelijke vooraf informeren over de geschatte kosten voor het verstrekken van de aanvullende informatie. De Verwerker zal pas beginnen met het verzamelen en verstrekken van de aanvullende informatie na schriftelijke goedkeuring van de Verwerkingsverantwoordelijke.
8.5 Indien uit de GEB blijkt dat de verwerking een hoog risico inhoudt dat niet kan worden beperkt door passende maatregelen, zal de Verwerker de Verwerkingsverantwoordelijke ondersteunen bij het raadplegen van de toezichthoudende autoriteit, zoals vereist door artikel 36 van de AVG.
8.6 De Verwerker zal alle documentatie met betrekking tot de GEB bewaren en beschikbaar stellen aan de Verwerkingsverantwoordelijke en de toezichthoudende autoriteit op verzoek.
Artikel 9. Internationaal verkeer
9.1 Verwerker garandeert dat iedere verwerking van Persoonsgegevens welke door of namens Verwerker met inbegrip van de door haar ingeschakelde SubVerwerkers wordt verricht in verband met het uitvoeren van de Overeenkomst binnen de Europese Economische Ruimte (EER) plaats zal vinden of naar of vanuit landen die een passend beschermingsniveau waarborgen in overeenstemming met de van toepassing zijnde privacyregelgeving. Zonder de voorafgaande schriftelijke toestemming van Verwerkingsverantwoordelijke mag Verwerker derhalve geen Persoonsgegevens doorgeven naar of opslaan in een land buiten de EER of Persoonsgegevens toegankelijk maken vanuit een niet-EER land, tenzij dit land een passend beschermingsniveau heeft. Aan deze toestemming kan Verwerkingsverantwoordelijke voorwaarden verbinden, waaronder maar niet beperkt tot de verplichting voor Verwerker om aan te tonen dat voldaan is aan de wettelijke vereisten ten aanzien van gegevensverkeer met landen buiten de EER.
9.2 Indien de technische karakteristieken van een transmissiemedium een dergelijke garantie onmogelijk maken, zal de transmissie van gegevens uitsluitend versleuteld plaatsvinden waarbij voor de versleuteling geavanceerde (zijnde minstens zo geavanceerd als in de markt gebruikelijk) technieken zullen worden gebruikt. Verwerker verschaft voorafgaand aan het sluiten van de Verwerkersovereenkomst inzicht in de locatie(s) waarop de Verwerking plaatsvindt.
Artikel 10. Opsporingsverzoeken
10.1 Indien Verwerker een verzoek of een bevel van een Nederlandse of buitenlandse toezichthouder, overheidsinstantie of een opsporings-, strafvorderings- of nationale veiligheidsinstantie ontvangt om (inzage in) Persoonsgegevens te verschaffen, dan zal Verwerker de Verwerkingsverantwoordelijke onverwijld informeren. Bij de behandeling van het verzoek of bevel zal Verwerker alle instructies van Verwerkingsverantwoordelijke acht nemen (waaronder de instructie om de behandeling van het verzoek of bevel geheel of gedeeltelijk aan Verwerkingsverantwoordelijke over te laten) en alle redelijkerwijs benodigde medewerking verlenen aan Verwerkingsverantwoordelijke.
10.2 Indien het Verwerker op grond van het verzoek of bevel is verboden om te voldoen aan zijn verplichtingen op grond van het bovenstaande, dan zal Verwerker de redelijke belangen van Verwerkingsverantwoordelijke behartigen. Verwerker zal daartoe in ieder geval:
– Juridisch laten toetsen in hoeverre Verwerker wettelijk verplicht is om aan het verzoek of bevel te voldoen; en het Verwerker daadwerkelijk is verboden om aan haar verplichtingen jegens Verwerkingsverantwoordelijke op grond van het bovenstaande te voldoen;
– Alleen aan het verzoek of bevel meewerken indien zij hiertoe wettelijk verplicht is en waar mogelijk (in rechte) bezwaar maken tegen het verzoek of bevel of het verbod om Verwerkingsverantwoordelijk hierover te informeren of haar instructies op te volgen;
– Niet meer of andere Persoonsgegevens verstrekken dan strikt noodzakelijk om aan het verzoek of bevel te voldoen.
Artikel 11. Rechten van Betrokkenen
11.1 Verwerker zal haar volledige medewerking verlenen opdat Verwerkingsverantwoordelijke kan voldoen aan zijn wettelijke verplichtingen in het geval dat een Betrokkene zijn rechten uitoefent op grond van de AVG of andere toepasselijke regelgeving betreffende de verwerking van Persoonsgegevens. Een Betrokkene heeft op grond van de AVG de volgende rechten:
– Het recht op inzage, correctie en verwijdering van Persoonsgegevens;
– Het recht op vergetelheid;
– Het recht op dataportabiliteit;
– Het recht op beperking van de verwerking;
– Het recht om bezwaar te maken tegen de gegevensverwerking.
11.2 Indien een Betrokkene met betrekking tot de uitvoering van zijn rechten onder de AVG direct contact opneemt met Verwerker, dan gaat Verwerker hier – behoudens uitdrukkelijke andersluidende instructie van Verwerkingsverantwoordelijke – in eerste instantie niet (inhoudelijk) op in, maar bericht hij dit onverwijld aan Verwerkingsverantwoordelijke met een verzoek om nadere instructies.
11.3 Als Verwerker de Dienst rechtstreeks aanbiedt aan Betrokkene van wie Persoonsgegevens worden verwerkt, is Verwerker verplicht om, uitsluitend op verzoek van Verwerkingsverantwoordelijke, op een makkelijk toegankelijke en permanent beschikbare manier de Betrokkene te informeren middels een 'privacy statement' die het volgende omvat:
– De naam en het adres van Verwerkingsverantwoordelijke en Verwerker;
– De doeleinden waarvoor Persoonsgegevens worden verwerkt;
– De rechtsgrond(en) voor de verwerking van Persoonsgegevens;
– De categorieën Persoonsgegevens die Verwerker verwerkt;
– Beveiliging van de Persoonsgegevens;
– De derden aan wie Persoonsgegevens toegankelijk worden gemaakt;
– De landen waarnaar Persoonsgegevens worden overgedragen;
– Bewaartermijn;
– De rechten van Betrokkene;
– Indien aangesteld: taken en contactgegevens FG.
Artikel 12. Vrijwaring
Opdrachtgever vrijwaart Verwerker voor alle aanspraken, behoudens opzet en/of grove schuld door Verwerker, bij schending van het gestelde bij of krachtens wet- en regelgeving aangaande gegevensbescherming of de uitvoering van deze overeenkomst. Indien Verwerker een SubVerwerker heeft ingeschakeld, dan is Verwerker volledig aansprakelijk voor het nakomen van alle verplichtingen door deze SubVerwerker, maar niet voor SubVerwerkers waarvan de Opdrachtgever de Verwerker verplicht heeft om mee samen te werken, voor de werkzaamheden besloten in de opdracht van deze overeenkomst.
Artikel 13. Maatregelen toezichthouder
Indien de toezichthouder in het kader van haar taak als handhaver een maatregel of boete oplegt aan Verwerkingsverantwoordelijke en indien de oorzaak voor het opleggen van de maatregel of boete te wijten is aan het niet nakomen van de in de Verwerkersovereenkomst gemaakte afspraken door Verwerker, dan kan Verwerkingsverantwoordelijke alle kosten voor deze maatregel of boete verhalen op Verwerker. Tevens heeft Verwerkingsverantwoordelijke het recht om de Hoofdovereenkomst en deze Verwerkersovereenkomst in bovengenoemde situatie met onmiddellijke ingang te ontbinden zonder dat de Verwerker aanspraak kan maken op enige vorm van schadevergoeding.
Artikel 14. Wijziging
14.1 In overeenstemming met de transparantie- en verantwoordingsplicht zoals vastgelegd in artikel 5 en 28 van de AVG stelt de Verwerker de Verwerkingsverantwoordelijke op de hoogte van wijzigingen in de Verwerkersovereenkomst, inbegrepen de toevoeging of vervanging van SubVerwerkers. Hiertoe stelt de Verwerker een aanmeldingsformulier beschikbaar waarop de Verwerkingsverantwoordelijke diens contactgegevens kan invullen, zodat de Verwerker wijzigingen in de Verwerkersovereenkomst kan communiceren.
14.2 Indien een wijziging in de te verwerken Persoonsgegevens of een risicoanalyse van de verwerking van Persoonsgegevens daartoe aanleiding geeft treden partijen op eerste verzoek van Verwerkingsverantwoordelijke in overleg over het aanpassen van de gemaakte afspraken binnen de Verwerkersovereenkomst.
14.3 De nieuw te maken afspraken dienen voorafgaand aan de toepassing daarvan schriftelijk te zijn vastgelegd en deel uit te maken van de Verwerkersovereenkomst.
14.4 De wijzigingen kunnen nooit tot gevolg hebben dat Verwerkingsverantwoordelijke niet kan voldoen aan de AVG en overige relevante wet- en regelgeving met betrekking tot Persoonsgegevens.
Artikel 15. Duur en beëindiging
15.1 De duur van de Verwerkersovereenkomst wordt in eerste instantie aangegaan voor de duur van twee (2) jaar.
15.2 Deze Verwerkersovereenkomst wordt zonder opzegging automatisch voor opvolgende periodes van twee (2) jaar verlengd.
15.3 De Verwerkersovereenkomst is niet los van de Hoofdovereenkomst te beëindigen.
15.4 Beëindiging van de Hoofdovereenkomst, op welke grond dan ook (opzegging/ontbinding), heeft tot gevolg dat de Verwerkersovereenkomst eveneens op dezelfde grond beëindigd wordt (en vice versa), tenzij Partijen in voorkomend geval anders overeenkomen.
15.5 Deze Verwerkersovereenkomst kan door een van de partijen worden opgezegd met inachtneming van een opzegtermijn van drie (3) maanden voorafgaand aan het einde van de initiële termijn of enige verlenging daarvan.
15.6 Partijen hebben het recht deze Verwerkersovereenkomst geheel of gedeeltelijk met onmiddellijke ingang te ontbinden in het geval de andere Partij surseance van betaling of faillissement aanvraagt of dit aan haar wordt verleend en van een toerekenbare tekortkoming in de nakoming van een wezenlijke verplichting op grond van deze Verwerkersovereenkomst die – indien het verzuim niet al van rechtswege is ingetreden – niet binnen een redelijke termijn van dertig (30) dagen na een ingebrekestelling door de tekortschietende Partij is gezuiverd
Artikel 16. Bewaartermijnen, teruggave en vernietiging van Persoonsgegevens
16.1 Verwerker bewaart de Persoonsgegevens niet langer dan strikt noodzakelijk, waaronder begrepen de wettelijke bewaartermijnen of een eventueel tussen Partijen gemaakte afspraak over bewaartermijnen zoals vastgelegd in Bijlage A. In geen geval bewaart Verwerker de Persoonsgegevens langer dan tot het einde van deze Verwerkersovereenkomst. Verwerkingsverantwoordelijke bepaalt of en zo ja hoe lang gegevens bewaard moeten blijven.
16.2 Bij beëindiging van de Verwerkersovereenkomst, of indien van toepassing aan het einde van de overeengekomen bewaartermijnen, of op schriftelijk verzoek van Verwerkingsverantwoordelijke zal Verwerker, tegen redelijke kosten, naar keuze van Verwerkingsverantwoordelijke, de Persoonsgegevens onherroepelijk (doen) vernietigen of teruggeven aan Verwerkingsverantwoordelijke. Op verzoek van Verwerkingsverantwoordelijke verstrekt Verwerker bewijs van het feit dat de gegevens onherroepelijk zijn vernietigd of verwijderd. Eventuele teruggave van de gegevens zal in een algemeen gangbaar, gestructureerd en gedocumenteerd gegevensformaat langs elektronische weg plaatsvinden. Indien teruggave, onherroepelijke vernietiging of verwijdering niet mogelijk is, stelt Verwerker Verwerkingsverantwoordelijke daarvan onmiddellijk op de hoogte. In dat geval garandeert Verwerker dat hij de Persoonsgegevens vertrouwelijk zal behandelen en niet langer zal verwerken.
Artikel 17. Vertrouwelijkheid
17.1 Indien vertrouwelijkheid van gegevens niet in de Hoofdovereenkomst of elders is geregeld, geldt dat Partijen alle (Persoons)gegevens en overige informatie waarvan zij het vertrouwelijk karakter kennen of redelijkerwijs kunnen vermoeden en die hen in het kader van de uitvoering van de Hoofdovereenkomst of Verwerkersovereenkomst ter kennis of beschikking komen, geheim houden en op geen enkele wijze verder intern of extern bekendmaken en/of aan derden verstrekken, behalve voor zover:
– Bekendmaking en/of verstrekking van die (Persoons)gegevens en overige informatie in het kader van de uitvoering van de Overeenkomst noodzakelijk is;
– Enig dwingendrechtelijk wettelijk voorschrift of rechterlijke uitspraak partijen tot bekendmaking en/of verstrekking van die (Persoons)gegevens of overige informatie verplicht, waarbij partijen eerst de andere Partij hiervan op de hoogte stellen;
– Bekendmaking en/of verstrekking van die (Persoons)gegevens en overige informatie geschiedt met voorafgaande schriftelijke toestemming van de andere Partij; dan wel
– Het informatie betreft die al rechtmatig openbaar was op een andere wijze dan door het handelen of nalaten van een der Partijen.
17.2 Verwerker waarborgt dat betrokken Medewerkers en SubVerwerkers een geheimhoudingsovereenkomst hebben getekend en geeft Verwerkingsverantwoordelijke op verzoek inzage in deze geheimhoudingsovereenkomst.
17.3 Partijen verlenen op verzoek van de andere Partij hun medewerking aan het uitoefenen van toezicht door of namens de andere Partij op de bewaring en het gebruik van vertrouwelijke (Persoons)gegevens en overige informatie door de andere Partij.
17.4 Partijen stellen alle (Persoons)gegevens en overige informatie die zij in het kader van de uitvoering van de Hoofdovereenkomst onder zich hebben, inclusief eventueel daarvan gemaakte kopiëen, op eerste verzoek aan de andere Partij ter beschikking.
Artikel 18. Slotbepalingen
18.1 De overwegingen maken onderdeel uit van deze Verwerkersovereenkomst.
18.2 In het geval van strijdigheid tussen de bepalingen uit deze Verwerkersovereenkomst en bepalingen uit de Hoofdovereenkomst zullen de bepalingen van de Verwerkersovereenkomst leidend zijn, met uitzondering van data, niet zijnde persoonsgegevens, indien dit nadrukkelijk anders is bepaald in de Hoofdovereenkomst.
18.3 In geval van nietigheid c.q. vernietigbaarheid van een of meer bepalingen uit deze Verwerkersovereenkomst, blijven de overige bepalingen onverkort van kracht.
18.4 In alle gevallen waarin deze Verwerkersovereenkomst niet voorziet beslissen partijen in onderling overleg.
Artikel 19. Toepasselijk recht en geschilbeslechting
19.1 Op deze Verwerkersovereenkomst is Nederlands recht van toepassing.
19.2 Partijen zullen zich inspannen conflicten in onderling overleg op te lossen. Hierbij is inbegrepen de mogelijkheid het geschil te beëindigen door een in onderling overleg vast te stellen mediation of arbitrage.
19.3 Alle geschillen, welke tussen Partijen mochten ontstaan in verband met de Verwerkersovereenkomst, zullen worden voorgelegd aan de bevoegde rechter in de plaats waar Verwerkingsverantwoordelijke gevestigd is.
Bijlage A: Specificatie verwerking Persoonsgegevens
Risicoklasse I persoonsgegevens (basis)
Tabel 1: Verwerking persoonsgegevens is van toepassing op de volgende producten en diensten van Verwerker:
Bijlage B: Informatie bij een Datalek, Beveiligingsinbreuk en Incident
Bijlage B: Informatie bij een Datalek, Beveiligingsinbreuk en Incident
Als Verwerker de Verwerkingsverantwoordelijke moet informeren op grond van artikel 6, zal zij de volgende gegevens verschaffen:
Contactinformatie en incident details
– Contactgegevens melder (naam, functie, e-mailadres en telefoonnummer);
– Gegevens over het Datalek, Beveiligingsinbreuk of Incident;
– Een samenvatting van het Datalek, Beveiligingsinbreuk of Incident waarbij de inbreuk op de beveiliging van Persoonsgegevens zich (mogelijk) heeft voorgedaan;
– Omschrijving van de (mogelijk) getroffen Persoonsgegevens;
– Omschrijving van hoeveel personen de Persoonsgegevens zijn betrokken bij het Datalek, Beveiligingsinbreuk of Incident;
– Wanneer het Datalek, Beveiligingsinbreuk of Incident plaatsvond;
– De gevolgen die het Datalek, Beveiligingsinbreuk of Incident kan hebben voor de persoonlijke levenssfeer van Betrokkenen.
Vervolgacties
– Welke technische en organisatorische maatregelen heeft uw organisatie getroffen om de inbreuk aan te pakken en om verdere inbreuken te voorkomen?
Technische beschermingsmaatregelen
– Zijn de Persoonsgegevens versleuteld, gehasht of op een andere manier onbegrijpelijk of ontoegankelijk gemaakt voor onbevoegden?
– Als de Persoonsgegevens geheel of deels onbegrijpelijk of ontoegankelijk zijn gemaakt, op welke manier is dit dan gebeurd?
Internationale aspecten
– Heeft de inbreuk betrekking op personen in andere EU-landen?
Als Verwerker de Verwerkingsverantwoordelijke moet informeren op grond van artikel 6, zal zij de volgende gegevens verschaffen:
Contactinformatie en incident details
– Contactgegevens melder (naam, functie, e-mailadres en telefoonnummer);
– Gegevens over het Datalek, Beveiligingsinbreuk of Incident;
– Een samenvatting van het Datalek, Beveiligingsinbreuk of Incident waarbij de inbreuk op de beveiliging van Persoonsgegevens zich (mogelijk) heeft voorgedaan;
– Omschrijving van de (mogelijk) getroffen Persoonsgegevens;
– Omschrijving van hoeveel personen de Persoonsgegevens zijn betrokken bij het Datalek, Beveiligingsinbreuk of Incident;
– Wanneer het Datalek, Beveiligingsinbreuk of Incident plaatsvond;
– De gevolgen die het Datalek, Beveiligingsinbreuk of Incident kan hebben voor de persoonlijke levenssfeer van Betrokkenen.
Vervolgacties
– Welke technische en organisatorische maatregelen heeft uw organisatie getroffen om de inbreuk aan te pakken en om verdere inbreuken te voorkomen?
Technische beschermingsmaatregelen
– Zijn de Persoonsgegevens versleuteld, gehasht of op een andere manier onbegrijpelijk of ontoegankelijk gemaakt voor onbevoegden?
– Als de Persoonsgegevens geheel of deels onbegrijpelijk of ontoegankelijk zijn gemaakt, op welke manier is dit dan gebeurd?
Internationale aspecten
– Heeft de inbreuk betrekking op personen in andere EU-landen?