Artikel 1 Definities
Termen die overeenkomen met termen in artikel 4 Algemene Verordening Gegevensbescherming hebben de artikel 4 Algemene Verordening Gegevensbescherming bedoelde betekenis. De volgende woorden of begrippen in deze Verwerkingsvoorwaarden hebben de navolgende betekenis:
- Overeenkomst: het contract tussen Verwerker en Verwerkingsverantwoordelijke tot levering van een product en/of dienst door Verwerker, waaronder ook begrepen de toepasselijke algemene voorwaarden van Verwerker;
1.2. Verwerkingsvoorwaarden: deze verwerkingsvoorwaarden
1.3. Algemene Verordening Gegevensbescherming: Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van de Richtlijn 95/46/EG.
1.4. Subverwerker: een andere verwerker die door de Verwerker in dienst wordt genomen, krachtens artikel 28, tweede lid en vierde lid, van de Algemene Verordening Gegevensbescherming.
Artikel 2 Toepasselijkheid privacy voorwaarden verwerkingsvoorwaarden
2.1. Deze verwerkingsvoorwaarden zijn van toepassing op en maken deel uit van de Overeenkomst tussen partijen, voor zover Opdrachtnemer daarbij Persoonsgegevens verwerkt ten behoeve van Opdrachtgever en waarbij Opdrachtnemer als verwerker wordt aangemerkt in de zin van artikel 4 aanhef en onder 8 Algemene Verordening Gegevensbescherming.
Artikel 3 Doeleinden van de verwerking
3.1. Verwerker
verbindt zich alleen onder de voorwaarden van de Overeenkomst en deze Verwerkingsvoorwaarden
in opdracht van Verwerkingsverantwoordelijke Persoonsgegevens te verwerken.
Verwerking zal uitsluitend plaatsvinden in het kader van de producten en
diensten die Verwerker aan Verwerkingsverantwoordelijke levert binnen het kader
van de Overeenkomst tussen partijen en op basis van instructies van
Verwerkingsverantwoordelijke. De categorieën en doeleinden van de verwerking
van de Persoonsgegevens zijn nader omschreven in Annex 1
3.2. Verwerker zal de Persoonsgegevens niet voor een ander doel verwerken dan voor de overeengekomen of bepaalde doeleinden als vermeld in artikel 3.1 van deze Verwerkingsvoorwaarden en Annex 1 tenzij daarop op basis van een wettelijke plicht tot verplicht is of Verwerkingsverantwoordelijke daarmee instemt. Indien Verwerkingsverantwoordelijke andere doeleinden heeft voor de verwerking dan als bedoeld in artikel 3.1. en Annex 1, dan zal Verwerkingsverantwoordelijke Verwerker daarvan onverwijld op de hoogte stellen en zo mogelijk voorafgaand aan de verwerking.
Artikel 4 Duur
4.1. Deze Verwerkingsvoorwaarden
zijn van toepassing op de Overeenkomst zolang als de Overeenkomst duurt en partijen
kunnen de rechten en verplichtingen uit deze Verwerkingsvoorwaarden niet tussentijds
beëindigen. Artikelen die gezien hun aard bestemd zijn om na het einde van de Overeenkomst
van toepassing te blijven, blijven onverminderd van kracht na beëindiging van
de Overeenkomst.
4.2. De Verwerkersvoorwaarden
zijn niet langer van toepassing zodra Verwerker alle Persoonsgegevens die zij
ten behoeve van Verwerkingsverantwoordelijke heeft verwerkt, heeft gewist of
terugbezorgd aan Verwerkingsverantwoordelijke overeenkomstig artikel 13.
Artikel 5 Omvang verwerkersbevoegdheid Verwerker
5.1. Verwerker verwerkt Persoonsgegevens uitsluitend op basis van schriftelijke instructies van de Verwerkingsverantwoordelijke, tenzij zij op basis van een wettelijk voorschrift (Unierechtelijke of lidstaatrechtelijke bepaling) tot verwerking verplicht is. In dat laatste geval stelt Verwerker Verwerkingsverantwoordelijke in kennis van het betreffende wettelijk voorschrift, tenzij dat wettelijk voorschrift dan wel de aanverwante wetgeving om gewichtige redenen van algemeen belang deze kennisgeving verbiedt.
5.2. Verwerker stelt de
Verwerkingsverantwoordelijke onmiddellijk op de hoogte zodra naar haar mening
een instructie in strijd is met een wettelijk voorschrift.
5.3. Verwerker zal
Verwerkingsverantwoordelijke op eerste verzoek informeren over de door haar
genomen maatregelen met betrekking tot haar verplichtingen onder deze Verwerkingsvoorwaarden.
5.4. Verwerker zal jegens
derden geheimhouding betrachten met betrekking tot alle Persoonsgegevens die
zij van Verwerkingsverantwoordelijke ontvangt of ten behoeve van
Verwerkingsverantwoordelijke verzamelt. Verwerker zal een zelfde geheimhoudingsverplichting
opleggen aan haar medewerkers, dan wel aan personen die werkzaam zijn voor
Verwerker en toegang hebben tot de Persoonsgegevens.
5.5. Zonder voorafgaande schriftelijke toestemming van Verwerkingsverantwoordelijke zal Verwerker geen Subverwerker inschakelen. Wanneer Verwerker een Subverwerker inschakelt om ten behoeve van Verwerkingsverantwoordelijke Persoonsgegevens te verwerken, worden aan deze Subverwerker bij een overeenkomst dezelfde verplichtingen inzake gegevensbescherming opgelegd als in die in deze Verwerkingsvoorwaarden voor Verwerker zijn opgenomen. Verwerkingsverantwoordelijke stemt er reeds nu mee in dat Verwerker o.a. voor de ICT-, Cloud en telecom diensten subwerkers inschakelt die dezelfde garanties geeft voor de beveiliging van de verwerking van Persoonsgegevens als Verwerker doet. Verwerker zal Verwerkingsverantwoordelijke op verzoek informeren over welke Subverwerker(s) zij daarbij inschakelt. Indien en zodra Verwerker na aanvang van de toepasselijkheid van deze Verwerkingsvoorwaarden Subverwerker(s) toevoegt of vervangt, zal zij Verwerkingsverantwoordelijke voorafgaand aan het inschakelen van die nieuwe Subverwerker(s) op de hoogte te stellen waarna zij het recht hebben om binnen 14 dagen daar bezwaar te maken. Indien Verwerkingsverantwoordelijke binnen deze termijn geen bezwaar maakt, wordt zij geacht akkoord te zijn met inschakelen van deze nieuwe Subverwerker(s) en mag Verwerker deze inschakelen. Als Verwerkingsverantwoordelijke binnen voormelde termijn van 14 dagen wel bezwaar maakt, treden partijen in overleg om een redelijke oplossing te onderzoeken.
5.6. Verwerker zal Verwerkingsverantwoordelijke bijstand verlenen bij het doen nakomen van de verplichtingen uit hoofde van artikel 32 tot en met 36 van de Verordening, waarmee rekening wordt gehouden met de aard van de verwerking en de aan Verwerker ter beschikking staande informatie.
Artikel 6 Doorgifte van Persoonsgegevens
- Verwerker zal de
Persoonsgegevens, behoudens het bepaalde in artikel 5.4 en 5.5 niet delen met
of verstrekken aan derden, tenzij Verwerker daartoe voorafgaande, schriftelijke
toestemming of opdracht heeft verkregen van Verwerkingsverantwoordelijke of op
grond van een dwingendrechtelijke regelgeving daartoe verplicht is. Indien
Verwerker op grond van dwingendrechtelijke regelgeving verplicht is om de
Persoonsgegevens te delen met of te verstrekken aan derden, dan zal Verwerker
de Verwerkingsverantwoordelijke hierover schriftelijk informeren, tenzij dit
niet is toegestaan onder de genoemde regelgeving.
6.2. Verwerker mag op grond van schriftelijke instructie van de Verwerkingsverantwoordelijke Persoonsgegevens verwerken in landen binnen de Europese Unie, alsmede de landen Liechtenstein, IJsland en Noorwegen. Verwerker zal alleen Persoonsgegevens verwerken in een ander land met schriftelijke toestemming van Verwerkingsverantwoordelijke en met inachtneming van de artikel 45 tot en met 49 van de Algemene Verordening Gegevensbescherming. In geval van doorgifte van Persoonsgegevens naar een ander land zal Verwerker aan Verwerkingsverantwoordelijke melden om welk(e) land(en) of het gaat.
Artikel 7 Verantwoordelijkheid voor Persoonsgegevens
7.1. Verwerker is alleen verantwoordelijk voor de Verwerking van de Persoonsgegevens onder deze Verwerkingsvoorwaarden overeenkomstig de instructies van Verwerkingsverantwoordelijke en onder de uitdrukkelijke (eind-)verantwoordelijkheid van Verwerkingsverantwoordelijke. Voor de overige verwerking van Persoonsgegevens door Verwerkingsverantwoordelijke, waaronder in ieder geval begrepen, maar niet beperkt tot, de verzameling van de persoonsgegevens door de Verwerkingsverantwoordelijke, verwerking voor doeleinden die niet door Verwerkingsverantwoordelijke aan Verwerker zijn gemeld, verwerking door derden en/of voor andere doeleinden, is Verwerker uitdrukkelijk niet verantwoordelijk. De verantwoordelijkheid voor de (bescherming van de) Persoonsgegevens die met gebruikmaking van door Verwerker geleverde producten en/of diensten door de Verwerker worden verwerkt, ligt geheel bij de Verwerkingsverantwoordelijke.
7.2. De Verwerkingsverantwoordelijke zal voldoen aan haar specifieke verplichtingen onder de Wet bescherming persoonsgegevens en toepasselijke vergelijkbare en opvolgende regelgeving met betrekking tot de bescherming van persoonsgegevens in het kader van de uitvoering van de Overeenkomst, met inbegrip van de Algemene Verordening Gegevensbescherming. De Verwerkingsverantwoordelijke zal op verzoek van Verwerker meewerken aan (rechts-)handeling(en) die nodig zijn voor Verwerker om aan de regelgeving als bedoeld in voorgaande volzin te voldoen, waaronder maar niet beperkt tot het sluiten van een verwerkersovereenkomst als dat op grond van deze regelgeving nodig is.
7.3. Verwerkingsverantwoordelijke garandeert dat de inhoud, het gebruik en de opdracht tot de Verwerkingen van de Persoonsgegevens zoals bedoeld in deze Verwerkingsvoorwaarden, niet onrechtmatig is en geen inbreuk maken op enig recht van derden.
7.4. Verwerkingsverantwoordelijke vrijwaart Verwerker tegen elke rechtsvordering van derden, uit welke hoofde dan ook, in verband met de uitvoering van de Verwerkingsvoorwaarden en/of de diensten die Verwerker levert, tenzij Verwerkingsverantwoordelijke bewijst dat de feiten die aan de aanspraak ten grondslag liggen aan de Verwerker toegerekend moeten worden én sprake is van opzet of grove nalatigheid van Verwerker.
7.5. Indien Verwerker ten behoeve van Verwerkingsverantwoordelijke Persoonsgegevens verwerkt van personen jonger dan 16 jaar, dan draagt Verwerkingsverantwoordelijke er zorg voor dat zij, indien daarvoor toestemming is vereist op grond van de Verordening, de Verwerkers-verantwoordelijke daarvoor toestemming heeft verkregen van de wettelijke vertegenwoordiger. Verwerkingsverantwoordelijke is hier zelf voor verantwoordelijk.
Artikel 8 Beveiliging
8.1. Verwerker en Verwerkingsverantwoordelijke treffen passende technische en organisatorische maatregelen voor de beveiliging van Persoonsgegevens als bedoeld in artikel 32 van de Algemene Verordening Gegevensbescherming. Daarbij dienen de Verwerkers-verantwoordelijke en de Verwerker rekening te houden met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van Betrokkenen, behoudens voor zover partijen uitdrukkelijke en concrete maatregelen zijn overeengekomen. In Annex 2 zijn de huidige beveiligingsmaatregelen opgenomen. Verwerkingsverantwoordelijke stemt ermee in en verklaart dat Verwerker hiermee voldoende beveiligingsmaatregelen heeft genomen.
8.2. De Verwerkingsverantwoordelijke stelt enkel Persoonsgegevens aan de Verwerker ter beschikking voor verwerking, indien Verwerkingsverantwoordelijke zich ervan heeft verzekerd dat de vereiste beveiligingsmaatregelen zijn getroffen.
Artikel 9 Meldplicht
9.1. Zodra Verwerker kennis heeft genomen van een inbreuk in verband met Persoonsgegevens van verwerkingen die in strijd en/of (een risico op) een beveiligings- en/of datalek, zal Verwerker de Verwerkingsverantwoordelijke onverwijld, en waar mogelijk binnen achtenveertig uur nadat het Datalek ter kennis van Verwerker is gekomen, informeren. De Verwerkingsverantwoordelijke beoordeelt of zij de Autoriteit Persoonsgegevens en de Betrokkene(n) zal informeren en staat voor die keuze in.
9.2. Verwerker zal, naast het informeren van de Verwerkingsverantwoordelijke bij een inbreuk in verband met Persoonsgegevens, de Verwerkingsverantwoordelijke bijstaan bij het nakomen van diens verplichting op het gebied van de meldplicht datalekken.
9.3. Het bepaalde in dit artikel laat onverlet de verplichting van de Verwerkingsverantwoordelijke om zelf ook technische en organisatorische maatregelen te treffen om de persoonsgegevens tegen verlies of enige vorm van onrechtmatige verwerking.
Artikel 10 Afhandeling / bijstand verzoeken van Betrokkenen
10.1. Verwerker verleent, voor zover mogelijk en rekening houdend met de aard van de Verwerking door middel van passende technische en organisatorische maatregelen bijstand aan Verwerkingsverantwoordelijke bij het vervullen van dienst plicht om verzoeken van de in hoofdstuk III van de Verordening vastgelegde rechten van de Betrokkene(n) te beantwoorden.
10.2. Indien een Betrokkene een verzoek tot inzage, aanpassing of verwijdering of enig ander verzoek in het kader van rechten op grond van hoofdstuk III van de Algemene Verordening Gegevensbescherming richt aan Verwerker, zal Verwerker dat verzoek doorsturen aan Verwerkingsverantwoordelijke en zal Verwerkingsverantwoordelijke dat verzoek verder afhandelen. Verwerker mag de Betrokkene daarvan op de hoogte stellen.
10.3. De kosten die gepaard gaan met het voldoen aan de verplichtingen vermeld in artikel 10.1. en 10.2. komen voor rekening van Verwerkingsverantwoordelijke.
Artikel 11 Audit
11.1. Verwerker stelt Verwerkingsverantwoordelijke desgewenst in de gelegenheid om de naleving door Verwerker van de in deze Verwerkingsvoorwaarden genoemde verplichtingen te doen controleren door de Verwerkingsverantwoordelijke zelf, dan wel door (onafhankelijke) auditors of een door de Verwerkingsverantwoordelijke gemachtigde controleur. Verwerker zal Verwerkingsverantwoordelijke alle gegevens en informatie verstrekken die deze redelijkerwijs nodig heeft voor de audit. De kosten voor het laten uitvoeren van audits zijn voor rekening van Verwerkingsverantwoordelijke. Verwerkingsverantwoordelijke mag maximaal één audit per jaar uitvoeren of bij een concreet vermoeden van Inbreuk in verband met Persoonsgegevens. De bevindingen naar aanleiding van een uitgevoerde audit zullen door partijen in onderling overleg worden beoordeeld. Als uit de audit blijkt dat Verwerker niet volledig voldoet aan zijn verplichtingen, zal Verwerker de door de controle aangetoonde tekortkomingen onmiddellijk en op zijn eigen kosten beëindigen.
Artikel 12 Aansprakelijkheid
12.2. Verwerker is slechts aansprakelijk voor de schade of het nadeel voor zover dit is ontstaan door het niet naleven van de verplichtingen uit hoofde van de Algemene Verordening Gegevensbescherming of deze Verwerkingsvoorwaarden. De totale aansprakelijkheid van Verwerker als gevolg van een aan Verwerker toe te rekenen tekortkoming in de nakoming van de verplichtingen uit deze Verwerkingsvoorwaarden is beperkt tot het totaal van vergoedingen (exclusief BTW) dat Verwerker heeft ontvangen van Verwerkingsverantwoordelijke, met een maximum van € 5.000,- (vijfduizend euro), waarbij een reeks van samenhangende gebeurtenissen geldt als één gebeurtenis.
12.3. Daarnaast komen partijen overeen dat:
(i) Verwerker jegens Verwerkingsverantwoordelijke niet aansprakelijk is voor:
(a) enige schade van Verwerkingsverantwoordelijke als gevolg van de niet-naleving door Verwerkingsverantwoordelijke van enige verplichting uit hoofde van de Algemene Verordening Gegevensbescherming, waaronder in ieder geval, doch daartoe niet beperkt, de wettelijke voorschriften inzake de Verwerking, de Persoonsgegevensbeveiliging, Datalekken, gegevensbescherming en certificering, en/of
(b) enige boete die Verwerkingsverantwoordelijke uit hoofde van de Algemene Verordening Gegevensbescherming wordt opgelegd, waaronder in ieder geval, doch niet beperkt tot boetes ten gevolge van het niet-naleven door Verwerkingsverantwoordelijke van de wettelijke voorschriften inzake de Verwerking, de Persoonsgegevensbeveiliging, Datalekken, gegevensbescherming en certificering, en
(ii) Verwerkingsverantwoordelijke Verwerker vrijwaart voor claims van derden in verband met enige schade van (een) derde(n) en/of enige aan (een) derde(n) (daaronder Betrokkenen begrepen) opgelegde boete uit hoofde van niet-naleving van wettelijke verplichtingen uit de Algemene Verordening Gegevensbescherming wordt opgelegd, waaronder in ieder geval, doch niet beperkt tot schade en/of boetes ten gevolge van het niet-naleven door Verwerkingsverantwoordelijke van de wettelijke voorschriften inzake de Verwerking, de Persoonsgegevensbeveiliging, Datalekken, gegevensbescherming en certificering.
Artikel 13 Terugbezorgen of wissen Persoonsgegevens
13.1. Na afloop van de Overeenkomst, zal Verwerker in opdracht van en naar keuze van de Verwerkingsverantwoordelijke zorgdragen voor het terugbezorgen van de Persoonsgegevens naar Verwerkingsverantwoordelijke of de Persoonsgegevens wissen. Verwerker verwijdert kopieën, behoudens afwijkende wettelijke voorschriften.
13.2. Verwerkingsverantwoordelijke dient haar keuze als bedoeld in artikel 12.1. binnen 14 dagen na afloop van de Overeenkomst schriftelijk aan Verwerker te hebben medegedeeld, bij gebreke waarvan Verwerker de betreffende Persoonsgegevens mag wissen.
Artikel 14 Overig
14.1. De rechten en verplichtingen uit deze Verwerkersvoorwaarden zullen door Verwerker niet aan derden worden overgedragen zonder de voorafgaande schriftelijke toestemming van Verwerkingsverantwoordelijke.
14.2. Verwerkingsverantwoordelijke mag niet zonder toestemming van Verwerker (de rechten en verplichtingen van) deze Verwerkingsvoorwaarden overdragen.
14.3. Indien één of meer bepalingen van deze Overeenkomst niet rechtsgeldig blijk(en)(t) te zijn, zullen deze Verwerkingsvoorwaarden voor het overige van kracht blijven. Partijen zullen over de bepalingen welke niet rechtsgeldig zijn overleg plegen, teneinde een vervangende regeling te treffen die wel rechtsgeldig is en zoveel mogelijk aansluit bij de strekking van de te vervangen regeling.
ANNEX 1 Persoonsgegevens en doeleinden PERSOONSGEGEVENS EN DOELEINDEN |
GEGEVENSPERSOONSGEGEVENS EN DOELEINDEN
De Verantwoordelijke Verwerkingsverantwoordelijke laat de Verwerker de volgende Persoonsgegevens door Verwerker verwerken in het kader van de opdracht, waaronder maar niet uitsluitend, kunnen vallen personeelsadministratie, loonadministratie, financiële verslaglegging:
(1) Naam (initialen, achternaam)
(2) Telefoonnummer
(3) E-mailadres
(4) Geboortedatum
(5) Woonplaats
(6) Gegevens ID-bewijs (in verband met de Wwft en Wifd)
(7) Financiële gegevens, zowel zakelijk als privé
(8) NAW-gegevens en BSN van personeelsleden van Verwerkingsverantwoordelijke
De werkzaamheden waarvoor bovengenoemde Persoonsgegevens mogen worden verwerkt, uitsluitend indien noodzakelijk, zijn in ieder geval:
(1) De werkzaamheden, te beschouwen als de primaire dienstverlening, in het kader waarvan Verwerkingsverantwoordelijke een opdracht heeft verstrekt aan Verwerker;
(2) Het onderhoud, waaronder updates en releases van het door Verwerker dan wel Subverwerker aan Verwerkingsverantwoordelijke ter beschikking gestelde systeem;
(3) Het gegevens- en technische beheer, ook door een Subverwerker;
(4) De hosting, ook door een Subverwerker.
ANNEX 2 BEVEILIGINGSMAATREGELEN |
BEVEILIGINGSMAATREGELEN
De Verwerker heeft in ieder geval de volgende beveiligingsmaatregelen
getroffen:
• Back-up- en herstelprocedures
• Beveiliging van netwerkverbindingen
• Bevoegdheden zijn toegewezen aan een beperkt aantal personen dat met de uitvoering van de verwerking is belast
• Geheimhoudingsverklaringen in arbeidscontracten
• Indringeralarm
• Logische toegangscontrole door middel van wachtwoorden en/of persoonlijke toegangscodes
• Logging en controle van toegang tot de Persoonsgegevens
• Subverwerkersovereenkomsten met derden
• Veilige wijze voor het opslaan van bestande met Persoonsgegevens
Versie 24 mei 2018