Verwerkersovereenkomst

Doors International BV heeft gekozen voor een collectieve verwerkersovereenkomst. Word of ben je onze opdrachtgever en kun je je vinden in onderstaande? Dan hoef je geen aparte verwerkersovereenkomst af te sluiten met Doors International BV.

Deze verwerkersovereenkomst is van toepassing op alle vormen van verwerking van persoonsgegevens die Doors International BV, ingeschreven bij de Kamer van Koophandel onder nummer 17142065, (hierna: verwerker) uitvoert ten behoeve van een wederpartij aan wie zij diensten of producten levert (hierna: verwerkingsverantwoordelijke).
overwegende, dat:

  • Verwerker een ICT- & Online Marketing dienstverlener is die diensten levert zoals maar niet beperkt tot webdesign, bouw en onderhoud van websites, versturen van nieuwsbrieven in naam van verwerkingsverantwoordelijke, plaatsen van berichten op social media kanalen van verwerkingsverantwoordelijke, diverse andere online marketing ondersteuning, registreren van domeinnamen en hosting en opslag van bestanden (backups);
  • Verwerkingsverantwoordelijke gebruik wil maken van de diensten van verwerker, waarbij verwerker ten behoeve van verwerkingsverantwoordelijke bepaalde persoonsgegevens zal verwerken;
  • Verwerkingsverantwoordelijke wordt aangemerkt als verwerkingsverantwoordelijke in de zin van de privacywetgeving, of in voorkomende gevallen als verwerker in de zin van de privacywetgeving, in welk geval de verwerker de rol van subverwerker vervult;
  • Partijen, mede gelet op het vereiste uit de privacywetgeving, hun rechten en plichten schriftelijk wensen vast te leggen in deze verwerkersovereenkomst (hierna: Verwerkersovereenkomst);
    -Waar in deze Verwerkersovereenkomst termen uit de Algemene Verordening Gegevensbescherming (AVG) worden genoemd, hiermee de corresponderende termen uit de AVG worden bedoeld;

Artikel 1. Het verwerken en gebruik van persoonsgegevens

1.1. Verwerker verbindt zich onder de voorwaarden uit deze verwerkersovereenkomst in opdracht van verwerkingsverantwoordelijke persoonsgegevens te verwerken. Verwerking zal uitsluitend plaatsvinden in het kader van de uitvoering van de overeenkomst, plus die doeleinden die daarmee redelijkerwijs samenhangen of die met nadere instemming worden bepaald. De verwerkingsverantwoordelijke bepaalt het doel van de verwerking en welke persoonsgegevens die hij hiervoor laat verwerken.
1.2. Verwerker zal in het kader van de overeenkomst persoonsgegevens verwerken, die bij het gebruik van onze diensten worden opgeslagen, waaronder bijvoorbeeld en niet uitsluitend worden verstaan: (i) NAW-gegevens, (ii) emailadressen of (iii) andere persoonsgebonden informatie. De categorie betrokkenen betreft de klanten van verwerkingsverantwoordelijke.
1.3. Verwerkingsverantwoordelijke garandeert dat er in zijn opdracht geen verwerking van bijzondere persoonsgegevens zal plaatsvinden. Indien er wel bijzondere persoonsgegevens worden verwerkt, meldt verwerkingsverantwoordelijke dat vooraf bij verwerker en zullen partijen nadere afspraken overeenkomen voor wat betreft de verwerking van de bijzondere persoonsgegevens.
1.4. Verwerker heeft géén zeggenschap over het doel en de middelen voor de verwerking van persoonsgegevens waarbij verwerking de primaire opdracht is. Verwerker neemt géén zelfstandige beslissingen over ontvangst en gebruik van de persoonsgegevens, de verstrekking aan derden en de duur van de opslag.
1.5 Verwerker zal de persoonsgegevens niet voor enig ander doel verwerken dan zoals door verwerkingsverantwoordelijke is vastgesteld. Verwerkingsverantwoordelijke zal verwerker op de hoogte stellen van de verwerkingsdoeleinden voor zover deze niet reeds in deze verwerkersovereenkomst zijn genoemd.
1.6 Verwerkingsverantwoordelijke staat ervoor in dat hij vanaf 25 mei 2018 een register zal bijhouden met betrekking tot de onder de Overeenkomst uitgevoerde gegevensverwerkingen. Verwerkingsverantwoordelijke vrijwaart verwerker van alle aanspraken en claims die verband houden met het niet of niet-juist naleven van deze registerplicht.
1.7 De in opdracht van verwerkingsverantwoordelijke te verwerken persoonsgegevens blijven eigendom van verwerkingsverantwoordelijke en/of de betreffende betrokkenen.

Artikel 2. Verdeling van verantwoordelijkheid

2.1. De toegestane verwerkingen zullen onder controle van verwerker worden uitgevoerd binnen een (semi)geautomatiseerde omgeving.
2.2. Verwerker is louter verantwoordelijk voor de verwerking van de persoonsgegevens onder deze verwerkersovereenkomst, overeenkomstig de schriftelijke instructies van verwerkingsverantwoordelijke en onder uitdrukkelijke (eind) verantwoordelijkheid van verwerkingsverantwoordelijke.
2.3. Voor de overige verwerkingen van persoonsgegevens, waaronder in ieder geval begrepen (maar niet beperkt tot) de verzameling van de persoonsgegevens door de verwerkingsverantwoordelijke, verwerkingen voor doeleinden die niet door verwerkingsverantwoordelijke aan verwerker zijn gemeld en/of verwerkingen door derden die zijn ingeschakeld door de verwerkingsverantwoordelijke, is verwerker uitdrukkelijk niet verantwoordelijk. De verantwoordelijkheid voor deze verwerkingen rust bij de verwerkingsverantwoordelijke.
2.4. Verwerkingsverantwoordelijke garandeert dat de inhoud, het gebruik en de opdracht tot de verwerkingen van de persoonsgegevens zoals bedoeld in de verwerkersovereenkomst, niet onrechtmatig zijn en geen inbreuk maken op enig recht van derden, en vrijwaart verwerker tegen alle aanspraken en claims die hiermee verband houden.
2.5. In het geval dat voor een nieuwe verwerking onder deze verwerkersovereenkomst een gegevensbeschermingseffectbeoordeling of voorafgaande raadpleging van de toezichthouder verplicht is, zal verwerker, voor zover dat binnen haar macht ligt, hieraan meewerken. Verwerker kan hiervoor redelijke kosten in rekening brengen bij verwerkingsverantwoordelijke.
2.6. Verwerker zal, indien wettelijk verplicht en noodzakelijk, meewerken aan een eventueel onderzoek door de Autoriteit Persoonsgegevens naar een verwerking onder deze verwerkersovereenkomst. Verwerker kan hiervoor redelijke kosten in rekening brengen bij verwerkingsverantwoordelijke.
2.7. De verplichtingen van verwerker die uit deze verwerkersovereenkomst voortvloeien, gelden ook voor degenen die persoonsgegevens verwerken onder het gezag van verwerker, waaronder in ieder geval de werknemers van verwerker worden verstaan.

Artikel 3. Beveiliging

3.1. Verwerker zal zich inspannen passende technische en organisatorische maatregelen te nemen met betrekking tot de te verrichten verwerkingen van persoonsgegevens, tegen verlies of tegen enige vorm van onrechtmatige verwerking (zoals onbevoegde kennisname, aantasting, wijziging of verstrekking van persoonsgegevens). Verwerker staat er niet voor in dat de beveiliging onder alle omstandigheden doeltreffend is.
3.2 De verwerkingsverantwoordelijke informeert de verwerker omtrent de wettelijke betrouwbaarheidseisen die op de verwerking van toepassing zijn aan de hand van de mogelijke gevolgen voor de betrokkenen, zoals in geval van verlies, corruptie of onrechtmatige verwerking en verstrekt daartoe alle benodigde informatie zodat de verwerker hieraan kan voldoen.
3.3 Indien de verwerkingsverantwoordelijke een hoger beveiligingsniveau wenst dan wettelijk verplicht, kan de verwerker hiervoor de redelijke kosten separaat in rekening brengen aan de verwerkingsverantwoordelijke.
3.4 Indien de verwerkingsverantwoordelijke een beoordeling wenst uit te voeren van een beoogde verwerkingsactiviteit, verleent de verwerker alle redelijke medewerking om deze beoordeling in overeenstemming met de geldende wet- en regelgeving uit te voeren.
3.5 De verwerker verleent eveneens alle redelijke medewerking aan een voorafgaande raadpleging van de Autoriteit Persoonsgegevens.
3.6 Partijen hebben concrete afspraken gemaakt omtrent de voor de uitvoering van deze overeenkomst noodzakelijke technische en organisatorische beveiligingsmaatregelen, welke de verwerkingsverantwoordelijke op dit moment passend acht.
3.7 Verwerkingsverantwoordelijke stelt enkel persoonsgegevens aan verwerker ter beschikking voor verwerking, indien zij zich ervan heeft verzekerd dat de vereiste beveiligingsmaatregelen zijn getroffen.

Artikel 4. Inschakelen van subverwerkers

4.1. Verwerkingsverantwoordelijke geeft verwerker hierbij toestemming om bij de verwerking van persoonsgegevens op grond van deze Verwerkersovereenkomst, gebruik te maken van onderaannemers (subverwerkers), met inachtneming van de daarvoor toepasselijke privacywetgeving. Verwerker zal verwerkingsverantwoordelijke op verzoek informeren welke subverwerkers hij inschakelt.
4.2. Indien Verwerker het voornemen heeft om nieuwe subverwerkers in te schakelen voor het verwerken van persoonsgegevens, dan zal verwerker verwerkingsverantwoordelijke hierover vooraf informeren. Verwerkingsverantwoordelijke heeft vervolgens twee weken de tijd om schriftelijk bezwaar te maken tegen het voornemen van Verwerker. Wanneer verwerkingsverantwoordelijke bezwaar maakt tegen een door verwerker nieuw in te schakelen subverwerker, zullen partijen onderling in overleg treden om tot een oplossing te komen. Indien partijen geen overeenstemming kunnen bereiken over het voornemen van verwerker om de subverwerker in te schakelen, dan is verwerker gerechtigd om de betreffende subverwerker in te schakelen en is verwerkingsverantwoordelijke gerechtigd om de overeenkomst op te zeggen tegen de datum waarop de nieuwe subverwerker ingeschakeld wordt.
4.3. Indien verwerkingsverantwoordelijke geen bezwaar maakt binnen de genoemde termijn van twee weken, dan wordt verwerkingsverantwoordelijke geacht met het inschakelen van de nieuwe subverwerker in te stemmen.
4.4 De verwerker is verantwoordelijk en aansprakelijk voor de handelingen van door hem ingeschakelde sub-verwerkers.
4.5. Verwerker zorgt er in ieder geval voor dat subverwerkers schriftelijk vergelijkbare plichten op zich nemen als tussen verwerkingsverantwoordelijke en verwerker zijn overeengekomen.

Artikel 5. Doorgifte van persoonsgegevens

5.1. Verwerker mag de persoonsgegevens verwerken in landen binnen de EER. Daarnaast mag Verwerker de persoonsgegevens doorgeven naar landen buiten de EER, mits aan de daarvoor geldende wettelijke vereisten is voldaan.
5.2. Verwerker zal verwerkingsverantwoordelijke op diens verzoek melden naar welk land of welke landen de persoonsgegevens worden doorgegeven.

Artikel 6. Audit

6.1 De verwerkingsverantwoordelijke heeft het recht om jaarlijks op eigen kosten een audit te laten uitvoeren ter controle op de naleving van deze overeenkomst door een onafhankelijke EPD-auditor die aan geheimhouding is gebonden en is ingeschreven in het NOREA-register.
6.2 De verwerker zal aan de in lid 6.1 genoemde audit alle redelijke medewerking verlenen, zoals het verlenen van toegang tot de databases en het ter beschikking stellen van alle relevante informatie.
6.3 De verwerker voert de aanbevelingen die uit de audit zijn gekomen in overleg met de verwerkingsverantwoordelijke zo spoedig mogelijk uit.
6.4 Indien de aanpassingen als gevolg van lid 6.3 voortkomen uit gewijzigde inzichten of wetgeving, dan zijn de redelijke kosten voor deze aanpassingen voor de verwerkingsverantwoordelijke.
6.5 Indien de aanpassingen als gevolg van lid 3 voortkomen uit een tekortkoming in de nakoming van de overeengekomen beveiligingseisen, dan zijn deze kosten voor de verwerker.
6.6 Indien de Autoriteit Persoonsgegevens of een andere bevoegde autoriteit een onderzoek wenst uit te voeren, verleent de verwerker daartoe alle redelijke medewerking en stelt hij de verwerkingsverantwoordelijke hieromtrent zo snel mogelijk van op de hoogte.

Artikel 7. Datalek

7.1 Indien zich een datalek als bedoeld in artikel 4 sub 12 AVG voordoet informeert de verwerker de verwerkingsverantwoordelijke hieromtrent op de wijze zoals verder omschreven in artikel 8.
7.2 In geval van een datalek treft de verwerker alle redelijke noodzakelijke maatregelen om de gevolgen hiervan te beperken en een nieuw lek te voorkomen.
7.3 De verwerker verleent de verwerkingsverantwoordelijke alle medewerking die noodzakelijk is om de omvang en gevolgen van het datalek te kunnen beoordelen en te kunnen voldoen aan de eventuele meldplicht datalekken richting de Autoriteit Persoonsgegevens alsook aan de informatieplicht richting betrokkenen.
7.4 Partijen hebben hun afspraken over de te volgen procedure in geval van een datalek vastgelegd in een procedure meldplicht datalekken, zoals omschreven in artikel 8. Deze procedure kan worden aangepast indien de stand van de techniek dit verlangt of de regelgeving omtrent de meldplicht datalekken wijzigt.

Artikel 8. Meldplicht bij datalekken

Indien zich een datalek voordoet geldt de volgende procedure:
8.1 De verwerker registreert alle beveiligingsincidenten op een manier die inzichtelijk is voor de verwerkingsverantwoordelijke.
8.2 Deze registratie omvat ten minste de volgende gegevens:

  • een omschrijving van het incident;
  • het aantal personen dat (bij benadering) getroffen is door het incident;
  • de groep(en) personen getroffen door het incident;
  • de datum en het tijdstip van het incident;
  • de aard van de inbreuk;
  • het type gegevens dat is getroffen;
  • de mogelijke gevolgen van de betrokkenen;
  • de technische en organisatorische maatregelen die zijn getroffen naar aanleiding van het incident;
  • op welke wijze de gelekte gegevens beveiligd zijn;
  • of de gegevens gehasht zijn, ontoegankelijk zijn gemaakt of op afstand kunnen worden gewist c.q. zijn gewist;
  • en of er en zo ja welke gegevens van personen in andere EU-landen zijn getroffen door het datalek

8.3 In het geval van een inbreuk in verband met persoonsgegevens zal verwerker de verwerkingsverantwoordelijke daarover binnen 72 uur informeren. Verwerker spant zich naar beste kunnen in om ervoor te zorgen dat de verstrekte informatie volledig, correct en accuraat is.
8.4 De verwerker houdt zich de eerste 24 uur nadat hij de verwerkingsverantwoordelijke heeft geïnformeerd omtrent een datalek, continu beschikbaar voor overleg met de verwerkingsverantwoordelijke c.q. eventuele door de verwerkingsverantwoordelijke aangewezen experts.
8.5 De verwerkingsverantwoordelijke overlegt met de verwerker om te kunnen beoordelen of het incident dient te worden gemeld bij de Autoriteit Persoonsgegevens.
8.6 De verwerkingsverantwoordelijke informeert de verwerker voorafgaand, wanneer hij besluit het lek te melden bij de Autoriteit Persoonsgegevens
8.7 De verwerker verleent de verwerkingsverantwoordelijke alle noodzakelijke medewerking zodat deze laatste met inachtneming van de wettelijke vereisten een melding datalek kan doen bij de Autoriteit Persoonsgegevens.
8.8. de verwerker verleent alle medewerking aan de verwerkingsverantwoordelijke om de getroffen personen conform artikel 34 AVG te kunnen informeren omtrent het datalek.

Artikel 9. Afhandeling verzoeken van betrokkenen

9.1 Ieder verzoek tot inzage, rectificatie, gegevenswissing, beperking van de verwerking, overdraagbaarheid van gegevens of bezwaar zoals bedoeld in artikelen 15 tot en met 21 AVG dat de verwerker bereikt, stuurt hij onverwijld door aan de verwerkingsverantwoordelijke.
9.2 De verwerker verleent de verwerkingsverantwoordelijke alle redelijke medewerking zodat laatstgenoemde binnen de wettelijke termijnen kan voldoen aan een verzoek zoals bedoeld in lid 9.1.
9.3 De verwerkingsverantwoordelijke zal de redelijke kosten die een dergelijke medewerking met zich meebrengt aan de verwerker vergoeden.

Artikel 10. Geheimhouding en vertrouwelijkheid

10.1. Op alle persoonsgegevens die verwerker van verwerkingsverantwoordelijke ontvangt en/of zelf verzamelt in het kader van deze verwerkersovereenkomst, rust een geheimhoudingsplicht jegens derden.
10.2. Deze geheimhoudingsplicht is niet van toepassing voor zover verwerkingsverantwoordelijke uitdrukkelijke toestemming heeft gegeven om de informatie aan derden te verschaffen, indien het verstrekken van de informatie aan derden logischerwijs noodzakelijk is gezien de aard van de verstrekte opdracht en de uitvoering van deze verwerkersovereenkomst, of indien er een wettelijke verplichting bestaat om de informatie aan een derde te verstrekken.
10.3 De verwerker zal dezelfde geheimhoudingsplicht opleggen aan diens personeel c.q. hiervoor ingeschakelde personen of sub-verwerkers.

Artikel 11. Duur, beëindiging en gevolgen van beëindiging

11.1. Deze verwerkersovereenkomst komt tot stand doordat verwerkingsverantwoordelijke deze (al dan niet digitaal) aanvaardt en zal voortduren voor de duur van de overeenkomst en bij gebreke daarvan voor de duur van de (verdere) samenwerking.
11.2. Partijen verlenen hun volledige medewerking om deze verwerkersovereenkomst aan te passen en geschikt te maken voor eventuele nieuwe of veranderde privacywetgeving.
11.3. Deze overeenkomst eindigt pas nadat de onderliggende opdracht is beëindigd én de verwerker alle aan hem verstrekte persoonsgegevens heeft overgedragen aan de verwerkingsverantwoordelijke of aan een door verwerkingsverantwoordelijke voorafgaand schriftelijk aangewezen derde, alsook alle achtergebleven gegevens bij de verwerker en diens eventuele sub-verwerkers zijn vernietigd.
11.4. In plaats van het overdragen van de gegevens kan de verwerkingsverantwoordelijke de verwerker ook verzoeken om de gegevens te vernietigen.
11.5. Vernietiging van de gegevens zoals bedoeld in lid 11.4 kan pas plaatsvinden nadat de verwerkingsverantwoordelijke hiervoor voorafgaande schriftelijke toestemming heeft gegeven.
11.6. De bepalingen van artikel 10 (Geheimhouding en vertrouwelijkheid) blijven echter onverminderd van kracht.

Artikel 12. Aansprakelijkheid en vrijwaring

12.1 De verwerker is niet verantwoordelijk voor schade als gevolg van schendingen van enige wet- of regelgeving door de verwerkingsverantwoordelijke.
12.2 De verwerkingsverantwoordelijke vrijwaart de verwerker voor aanspraken van derden en door verwerker gemaakte kosten als gevolg van een schending zoals bedoeld in lid 12.1.
12.3 De verwerkingsverantwoordelijke is niet verantwoordelijk voor schade als gevolg van schendingen van enige wet- of regelgeving door de verwerker.
12.4 De verwerker vrijwaart de verwerkingsverantwoordelijke voor aanspraken van derden en door verantwoordelijke gemaakte kosten als gevolg van een schending zoals bedoeld in lid 12.3.
12.5 De andere partij, is in een geval als bedoeld in lid 12.1 of 12.3, gerechtigd de hoofdovereenkomst met onmiddellijke ingang op te zeggen.

Artikel 13. Gevolgen van nietigheid of vernietigbaarheid

13.1 Indien een deel van de overeenkomst nietig of vernietigbaar is, dan tast dit de overige bepalingen in de overeenkomst niet aan. Een bepaling die nietig of vernietigbaar is, wordt in dat geval vervangen door een bepaling die het dichtst in de buurt komt van wat partijen bij het sluiten van de overeenkomst op dat punt voor ogen hadden.

Artikel 14. Toepasselijk recht en bevoegde rechter

14.1 Op deze overeenkomst is Nederlands recht van toepassing.
14.2 Alle eventuele geschillen die ontstaan naar aanleiding van deze overeenkomst en die niet in der minne kunnen worden opgelost worden voorgelegd aan de bevoegde rechter in het arrondissement van de vestigingsplaats van de verwerker.