Verwerkersovereenkomst

VERWERKERSOVEREENKOMST

Deze Verwerkersovereenkomst is van toepassing op alle vormen van verwerking van persoonsgegevens die, Incito ICT en Telecom B.V. (hierna te noemen Verwerker) gevestigd te 2352CZ te Leiderdorp, uitvoert ten behoeve van een wederpartij aan wie zij diensten en/of producten levert. Deze Verwerkersovereenkomst maakt integraal onderdeel uit van de afspraken tussen Partijen zoals overeengekomen in de Overeenkomst.

 

 

ARTIKEL 1. DEFINITIES

De begrippen die in deze Verwerkersovereenkomst worden gehanteerd, dan wel enkelvoud of meervoud, en aanvangen met een hoofdletter hebben de betekenis als beschreven in de bijgevoegde Definitielijst.

 

ARTIKEL 2. TOEPASSELIJKHEID

Deze Verwerkersovereenkomst is een onlosmakelijk onderdeel van de Overeenkomst. Indien de Verwerkersovereenkomst strijdig is met de Overeenkomst, prevaleert de Verwerkersovereenkomst boven de Overeenkomst.

 

ARTIKEL 3. VERPLICHTINGEN VERWERKER

3.1 Verwerker zal zich bij de uitvoering van zijn verplichtingen uit de Verwerkersovereenkomst houden aan alle relevante wet- en regelgeving.

3.2 Verwerker zal de Persoonsgegevens zoals genoemd in Bijlage 1 alleen in overeenstemming met de instructies van Verwerkingsverantwoordelijke neergelegd in deze Verwerkersovereenkomst Verwerken, tenzij bij wet anders is bepaald, en slechts voor zover nodig voor de uitvoering van zijn verplichtingen uit de Overeenkomst.

3.3 Verwerker zal een register bijhouden van de verwerkingsactiviteiten die Verwerker namens Verwerkingsverantwoordelijke uitvoert.

 

ARTIKEL 4. VERPLICHTINGEN VERANTWOORDELIJKE

4.1 Verantwoordelijke is ten aanzien van de Verwerking van Persoonsgegevens krachtens deze Verwerkersovereenkomst de ‘Verwerkingsverantwoordelijke’ zoals omschreven in artikel 4 lid 7 AVG.

4.2 Verantwoordelijke staat ervoor in dat de Verwerking (inclusief de verzameling en de doorgifte naar Verwerker) van Persoonsgegevens overeenkomstig de Verwerkersovereenkomst in overeenstemming is met de AVG en andere, van toepassing zijnde wetgeving inzake gegevensbescherming.

4.3 Verantwoordelijke garandeert dat de inhoud, het gebruik en de opdracht tot de Verwerkingen van de persoonsgegevens zoals bedoeld in deze Verwerkersovereenkomst, niet onrechtmatig is en geen inbreuk maakt op enig recht van derden. Verantwoordelijke vrijwaart Verwerker tegen alle aanspraken of claims die hiermee verband houden.

 

ARTIKEL 5. BEVEILIGING PERSOONSGEGEVENS

5.1 Verwerker zal conform Bijlage 2 passende technische en organisatorische maatregelen implementeren ter bescherming van de Persoonsgegevens die zij voor Verwerkingsverantwoordelijke zal Verwerken.

5.2 Deze maatregelen zullen, rekening houdend met de stand van de techniek en de kosten van de implementatie en uitvoering van de maatregelen, zorgen voor een adequaat niveau van bescherming, rekening houdend met de bij de Verwerking betrokken risico’s en de aard van de te beveiligen gegevens.

5.3 Verwerkingsverantwoordelijke heeft zich goed geïnformeerd over de beveiligingsmaatregelen zoals genoemd in dit artikel en bevestigt dat deze maatregelen een beveiligingsniveau hebben dat past bij de aard van de Persoonsgegevens en de risico’s van de Verwerking.

 

ARTIKEL 6. MELDPLICHT DATALEKKEN

6.1 Nadat Verwerker een Datalek heeft ontdekt of daarover door zijn sub-verwerker is geïnformeerd stelt Verwerker de Verwerkingsverantwoordelijke zo spoedig mogelijk, uiterlijk binnen 36 uur, in kennis daarvan via de contactgegevens zoals beschreven in Bijlage 1. Verwerker zal per e-mail het volgende vermelden:

a. Welke persoonsgegevens het betreft en wie door de inbreuk is getroffen;
b. De aard van de inbreuk;
c. De aanbevolen maatregelen; en
d. De geconstateerde en vermoedelijke gevolgen van de inbreuk, voor zover Verwerker hier kennis van heeft.

6.2 Verwerker zal medewerking verlenen aan het onderzoek rondom het Datalek en zal voldoende informatie en ondersteuning verschaffen in relatie tot alle onderzoeken daartoe. De kosten die Verwerker in dat kader maakt kan Verwerker doorberekenen aan Verwerkingsverantwoordelijke.

 

ARTIKEL 7. CONTROLE OP DE BEVEILIGINGSMAATREGELEN

7.1 Verantwoordelijke is gerechtigd naleving van de hiervoor onder artikel 5 genoemde beveiligingsmaatregelen in verband met de Verwerkingsactiviteiten die onder deze Verwerkersovereenkomst vallen, te (laten) onderzoeken (het ‘Onderzoek’). Op verzoek zal Verwerker Verantwoordelijke in staat stellen om de Verwerkingen te (laten) controleren op een door Partijen in gezamenlijk overleg nader te bepalen tijdstip. Verwerker zal in alle redelijkheid haar medewerking verlenen aan een dergelijk Onderzoek.

7.2 Het onderzoek kan niet vaker dan eenmaal per jaar bij Verwerker worden uitgevoerd.

7.3 Verantwoordelijke kan besluiten een onderzoeksinstantie het Onderzoek te laten uitvoeren. De onderzoeksinstantie dient, naar het redelijk oordeel van Verantwoordelijke, neutraal en deskundig te zijn. Verantwoordelijke ziet erop toe dat de onderzoeksinstantie van haar bevindingen tegenover derden tot geheimhouding verplicht is.

7.4 Verantwoordelijke zal alle kosten, vergoedingen en onkosten in verband met het Onderzoek betalen, met inbegrip van redelijke door Verwerker gemaakte interne kosten.

7.5 Indien naar aanleiding van het Onderzoek in redelijkheid gegeven verzoeken tot aanpassing van het beveiligingsbeleid of -maatregelen worden gevraagd, zal de Verwerker deze binnen uiterlijk 6 maanden implementeren.

7.6 Verantwoordelijke zal Verwerker een exemplaat van het rapport van het Onderzoek verstrekken.

7.7 De autoriteit Persoonsgegevens mag, naast Verantwoordelijke, toezien op de naleving van de beveiligingsmaatregelen. Verwerker zal de Autoriteit Persoonsgegevens in staat stellen de Verwerkingen te (laten) controleren.

 

ARTIKEL 8. PERSONEEL EN GEHEMIHOUDING

8.1 Verwerker zal ervoor zorgen dat bij de uitvoering van de Verwerkersovereenkomst alleen zijn geautoriseerde Personeel en door hem ingeschakelde geautoriseerde derden toegang krijgen tot Persoonsgegevens.

8.2 Elke Partij bevestigt dat zij bekend is met de toepasselijke regelgeving inzake gegevensbescherming en verzekert dat zij haart Personeel, dat bij de uitvoering van de werkzaamheden betrokken is, instrueert over de relevante bepalingen over de gegevensbescherming en hen verplicht tot geheimhouding met betrekking tot persoonsgegevens.

 

ARTIKEL 9. INSCHAKELING DERDEN EN SUB-VERWERKERS

9.1 Indien Verwerker de verplichtingen uit hoofde van deze Verwerkersovereenkomst aan derden uitbesteedt, zal Verwerker Verwerkingsverantwoordelijke daarover voorafgaand toestemming vragen. Verwerker zal de benodigde maatregelen treffen om ervoor te zorgen dat de Sub-verwerkers dezelfde verplichtingen hebben als die waaraan Verwerker uit hoofde van de Verwerkersovereenkomst en de wet jegens Verwerkingsverantwoordelijke moet voldoen.

9.2 Indien ten tijde van het aangaan van deze Verwerkersovereenkomst bekend is dat Verwerker conform dit artikel de verplichtingen uit hoofde van deze Verwerkersovereenkomst aan een of meerdere Sub-verwerkers uitbesteed, worden deze Sub-verwerkers vermeld in Bijlage 1. Daarmee geeft verwerkingsverantwoordelijke aan Verwerking toestemming om deze Sub-verwerkers in te schakelen.


ARTIKEL 10. DOORGIFTE PERSOONSGEGEVENS BUITEN DE EER

10.1 Verwerker geeft geen Persoonsgegevens door aan, en Verwerkt Persoonsgegevens niet in, een land buiten de EER, tenzij:

a. Verwerkingsverantwoordelijke voorafgaand aan de doorgifte toestemming daartoe heeft gegeven;
b. Verwerkingsverantwoordelijke voorafgaand aan de doorgifte is geïnformeerd over de Verwerking buiten de EER en daartegen binnen een redelijke termijn geen bezwaar heeft gemaakt; of
c. De doorgifte is toegestaan op basis van een andere grondslag onder de Wbp of de AVG.

 

ARTIKEL 11. VERZOEKEN VAN BETROKKENEN

11.1 Betrokkenen hebben op grond van de AVG recht op inzage, correctie, verwijdering en afscherming van hun Persoonsgegevens. Verwerker zal redelijke bijstand verlenen zodat Verwerkingsverantwoordelijke kan voldoen aan zijn wettelijke verplichtingen als Betrokkene haar rechten uitoefent op grond van de AVG, zoals ook bij een klacht of een informatieverzoek. De kosten die Verwerker in dat kader maakt zal Verwerker doorberekenen aan Verwerkingsverantwoordelijke.

 

ARTIKEL 12. AANSPRAKELIJKHEID EN VRIJWARING

12.1 Partijen zijn ieder verantwoordelijk en aansprakelijk voor hun eigen handelen.

12.2 Verwerkingsverantwoordelijke staat er voor in dat de Verwerking van Persoonsgegevens op basis van deze Verwerkersovereenkomst rechtmatig is en geen inbreuk maakt op de rechten van Betrokkenen.

12.3 Gevolgschade, waaronder mede begrepen gederfde winst, reputatieschade, gemiste besparingen, verlies van gegevens, schade door bedrijfsstagnatie en leegloop van personaal, aan derden verschuldigde boetes en vergoedingen en verminderde goodwill zijn ten alle tijden uitgesloten.

 

ARTIKEL 13. DUUR EN BEËINDIGING VERWERKERSVEREENKOMST

13.1 De looptijd van deze Verwerkersovereenkomst zal dezelfde looptijd hebben als de Overeenkomst. Indien de verleende diensten na de beëindiging van de Overeenkomst moeten worden voortgezet, dan zijn de bepalingen van de Verwerkersovereenkomst blijvend van kracht op deze verdere levering van diensten voor de gehele duur van de feitelijke samenwerking.

13.2 Na beëindiging van de Overeenkomst zal Verwerker voor zover mogelijk alle relevante documenten die zij heeft ontvangen aan Verwerkingsverantwoordelijke overdragen. Daarnaast zal Verwerker, na instemming van Verwerkingsverantwoordelijke, alle Verwerkingen en opgeleverde gebruiksresultaten, databestanden en back-ups welke betrekking hebben op de contractuele relatie vernietigen op een manier die voldoet aan de eisen die worden gesteld aan gegevensbescherming.

 

ARTIKEL 14. CONTACTGEGEVENS

14.1 Meldingen die worden gedaan op grond van deze Verwerkersovereenkomst worden gericht aan de in Bijlage 1 opgenomen Personeel van Verwerkingsverantwoordelijke of, indien relevant, aan een andere door Verwerkingsverantwoordelijke tijdens de duur van deze Verwerkersovereenkomst schriftelijk bekendgemaakte Personeel van Verwerkingsverantwoordelijke.

 

ARTIKEL 15. SLOTBEPALINGEN

15.1 Deze Verwerkersovereenkomst vervangt alle eerdere Bewerkersovereenkomsten tussen Partijen.

15.2 De overwegingen maken onderdeel uit van deze Verwerkersovereenkomst.

15.3 Indien één of meer bepalingen van deze Verwerkersovereenkomst niet rechtsgeldig blijkt te zijn, zal de Verwerkersovereenkomst voor het overige van kracht blijven. Partijen zullen over de bepalingen welke niet rechtsgeldig zijn overleg plegen, teneinde een vervangende regeling te treffen die wel rechtsgeldig is en zoveel mogelijk aansluit bij de strekking van de te vervangen regelening.

15.4 In alle gevallen waarin deze Verwerkersovereenkomst niet voorziet beslissen Partijen in onderling overleg.

15.5 Op deze Verwerkersovereenkomst is Nederlands recht van toepassing.

15.6 Geschillen over of in verband met deze Verwerkersovereenkomst zullen uitsluitend worden voorgelegd aan de bevoegde Nederlandse rechter.

 

 

DEFINITIES

AVG
Algemene Verordening Gegevensbescherming (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 over de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens over het vrije verkeer van die gegevens (en tot intrekking van Richtlijn 95/46/EG).

Betrokkenen
Een geïdentificeerde of identificeerbare natuurlijke persoon wiens persoonsgegevens worden verwerkt (artikel 4 sub 1 AVG).

Datalek
Een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde toegang tot verstuurde, opgeslagen of op andere wijze verwerkte gegevens.

EU Standaard Contract
Door de EU opgestelde standaard contract bepalingen voor de overdracht van Persoonsgegevens naar verwerkers gevestigd in derde landen (artikel 46, lid 2, sub c en d AVG).

Informatieverzoek
Informatieverzoek van een Betrokkene over de verwerking van Persoonsgegevens door Verwerker.

Overeenkomst
De in Bijlage 1 vermelde Overeenkomst(en) over de levering van Producten en/of diensten.

Partijen
Betrokken organisaties welke een klant-leverancier dan wel partner-leverancier verhouding hebben of op andere manier betrokken is bij totstandkoming van deze Overeenkomst.

Personeel
De natuurlijke persoon die werkzaam is bij, of voor, een van de Partijen.

Persoonsgegevens
Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon in de zin van artikel 4 onder 1 AVG.

Privacy Officer
Een functionaris zoals bedoeld in artikel 37 – 39 AVG, die Verwerkingsverantwoordelijke of Verwerker en het Personeel deskundig informeert, opleidt en adviseert over gegevensbescherming, gegevenseffectbeoordelingen en samenwerkingen et de toezichthoudende autoriteit.

Register
Register als bedoeld in artikel 30 AVG waarin de verwerkingen worden bijgehouden met onder meer een beschrijving van de gebruikte systemen, een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen die zijn geïmplementeerd, categorieën Persoonsgegevens en betrokkenen, bewaartermijnen en contactgegevens.

Sub-verwerker
Iedere niet-ondergeschikte derde partij die door Verwerker is ingeschakeld van Persoonsgegevens. Dit gaat niet om Personeel.

Telecommunicatiewet of Tw
Wet van 29 oktober 1998, houdende regels inzake de telecommunicatie.

Verwerkingsverantwoordelijke
Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens bepaalt.

Verwerker
Een natuurlijke persoon of rechtspersoon, een overheidsinstantie of een dienst die Persoonsgegevens verwerkt ten behoeve van de Verwerkingsverantwoordelijke.

Verwerking
Een bewerking (of een geheel van bewerkingen) over persoonsgegevens (of een geheel van persoonsgegevens), al dan niet uitgevoerd via geautomatiseerde procedés. Bijvoorbeeld het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken, door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, afstemmen of combineren, afschermen, wissen of vernietigen van gegevens.

Verwerkersovereenkomst
Deze overeenkomst

Wet bescherming Persoonsgegevens of Wbp
Wet van 6 juli 2000, houdende regels inzake de bescherming van persoonsgegevens.

 

 

BIJLAGE 1: SPECIFICATIE VERWERKINGEN

 

VERWERKINGSACTIVITEITEN

Verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, doorzenden, verspreiden, beschikbaar stellen, samenbrengen, met elkaar in verband brengen, afschermen, uitwissen en vernietigen van gegevens, anonimiseren, aggregeren, versleutelen.

BETROKKEN PERSOONSGEGEVENS
‘GEWONE’ GEGEVENS

NAW gegevens
Telefoonnummer
BSN nummer

‘GEVOELIGE’ OF ‘BIJZONDERE’ GEGEVENS

Biometrische/genetische gegevens

VERKEERSGEGEVENS (UIT EEN DIENST)

Telefoonnummers
IP Adressen
Bankgegevens
Login gegevens
URL’s (middels monitoring services)
Device ID’s (middels monitoring services)
Bezochte sites (middels monitoring services)
Gebruikte applicaties (middels monitoring services)
Inhoud van gesprekken (middels gespreksopnames)
Inhoud van e-mail (middels hosted services)
Overige gegevens om aan verwerkingsdoelen te voldoen.

VERWERKINGSDOELEN

Verwerker verwerkt persoonsgegevens van relaties en klanten met de volgende doelen:

Afleveren en verwerken van goederen en diensten;
Afhandelen van betalingen;
Verwerking van kortingen, conform de vereisten van fabrikanten;
Verzenden van onze nieuwsbrief;
Bellen of e-mailen indien dit nodig is om onze dienstverlening uit te kunnen voeren;
Informeren over wijzigingen van onze diensten en producten
Voldoen aan wettelijke verplichtingen.

BEWAARTERMIJNEN

Verwerker bewaart persoonsgegevens van klanten. Er is geen limiet aan de duur van de bewaarperiode van deze persoonsgegevens.

 

GOED GEKEURDE SUBVERWERKERS

Alle partners van Verwerker om aan de verwerkingsdoelen te voldoen.

 

 

BIJLAGE 2: OMSCHRIJVING NADERE BEVEILIGINGSMAATREGELEN

Onderstaande concrete beveiligingsmaatregelen worden door Verwerker proactief getroffen.

- Er is een informatiebeveiligingsbeleid opgesteld. In het beleid zijn regels opgenomen over de omgang met Persoonsgegevens. Personeel is op de hoogte van de inhoud van dit beleid.
- Er is een procedure ingesteld over de omgang met, en de afhandeling van, Datalekken
- Er wordt dagelijks een back-up gemaakt van de servers van Verwerker om beschadiging of verlies van (Persoons)gegevens te voorkomen.
- Personeel van Verwerker maken gebruik van sterke wachtwoorden (minimaal 8 tekens, inclusief minimaal één nummer en één speciaal karakter en gebruiken niet hetzelfde wachtwoord voor verschillende systemen. Bij voorkeur wordt gebruik gemaakt van een wachtwoord manager.
- Er is een bedrijfscontinuïteitsplan opgesteld om de continuïteit van de dienstverlening bij uitval van systemen te waarborgen.
- Waar mogelijk is antivirus en antimalware software geïnstalleerd en actief.
- Er is een procedure ingesteld om applicaties up-to-date te houden.
- Er geldt een retentiebeleid waarin de bewaartermijnen van (Persoons)gegevens zijn opgenomen.