Verwerkersovereenkomst

Verwerkersovereenkomst ICK- Informatiesystemen

Deze verwerkersovereenkomst is van toepassing op alle vormen van verwerking van persoonsgegevens die ICK- Informatiesystemen, ingeschreven bij de Kamer van Koophandel onder nummer 17174008, (hierna genoemd: Verwerker) uitvoert ten behoeve van een wederpartij aan wie zij haar software en diensten levert (hierna genoemd: Verwerkingsverantwoordelijke). Waar in deze Verwerkersovereenkomst gerefereerd wordt aan bepalingen uit de Wbp, zullen per 25 mei 2018 de corresponderende bepalingen uit de Algemene Verordening Gegevensbescherming worden bedoeld.

Artikel 1. Begrippen

In deze Verwerkersovereenkomst wordt een aantal begrippen met een beginhoofdletter gebruikt. Aan deze begrippen komt de betekenis toe die hieraan wordt gegeven in artikel 1 van de Algemene Rijksvoorwaarden voor het verstrekken van opdrachten tot het verrichten van Diensten 2016 (ARVODI-2016). In afwijking daarvan of in aanvulling daarop wordt onder de volgende begrippen in deze Verwerkersovereenkomst verstaan:

1.1 Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon die inwoner is van de EU, die Verwerkingsverantwoordelijke in het kader van de Overeenkomst ten behoeve van Verwerker verwerkt.

1.2 Betrokkene: degene op wie een Persoonsgegeven betrekking heeft.

1.3 Inbreuk in verband met Persoonsgegevens: een inbreuk die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens.

1.4 Verordening: Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van de Richtlijn 95/46/EG (algemene verordening gegevensbescherming).

1.5 Algemene Voorwaarden: de Algemene Voorwaarden van de Verwerker.

1.6 Overeenkomst: de overeenkomst of overeenkomsten tussen Verwerker en Verwerkingsverantwoordelijke inclusief de daarbij geldende Algemene Voorwaarden van Verwerker.

1.7 Verwerkersovereenkomst: deze overeenkomst inclusief overwegingen en bijbehorende bijlagen.

1.8 Verwerking: een bewerking of een geheel van bewerkingen in het kader van de Overeenkomst met betrekking tot Persoonsgegevens, of een geheel van Persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen.


Artikel 2. Voorwerp van deze Verwerkersovereenkomst

2.1 Deze Verwerkersovereenkomst regelt de Verwerking van Persoonsgegevens door Verwerker in het kader van de Overeenkomst.

2.2 Verwerker garandeert de toepassing van passende technische en organisatorische maatregelen, opdat de Verwerking aan de vereisten van de Verordening voldoet en de bescherming van de rechten van de Betrokkene zijn gewaarborgd.

2.3 Verwerker garandeert te voldoen aan de vereisten van de toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens.

2.4 De betreffende gegevens die verwerkt worden door Verwerker op verzoek van Verwerkingsverantwoordelijke zijn op te maken uit de Overeenkomst dan wel de offerte dan wel Algemene Voorwaarden dan wel de handleiding(en) behorend bij de afgenomen dienst(en).


Artikel 3. Doeleinden van verwerking

3.1 Verwerker verbindt zich onder de voorwaarden van deze Verwerkersovereenkomst in opdracht van Verwerkingsverantwoordelijke Persoonsgegevens te verwerken. Verwerking zal uitsluitend plaatsvinden in het kader van het geautomatiseerd afhandelen van order-, financiële-, management-, support- en logistieke processen plus die doeleinden die daarmee redelijkerwijs samenhangen of die met nadere instemming worden bepaald.

3.2 Verwerker zal de persoonsgegevens niet voor enig ander doel verwerken dan zoals door Verwerkingsverantwoordelijke is vastgesteld. Verwerkingsverantwoordelijke zal Verwerker op de hoogte stellen van de verwerkingsdoeleinden voor zover deze niet reeds duidelijk zijn uit deze Verwerkersovereenkomst en/of de stukken zoals in artikel 2.4 zijn genoemd.

3.3 De Persoonsgegevens die door Verwerker in het kader van de werkzaamheden als bedoeld in het vorige lid worden verwerkt en de categorieën van de betrokkenen van wie deze afkomstig zijn, zijn opgenomen in de bijlage.

3.4 De in opdracht van Verwerkingsverantwoordelijke te verwerken Persoonsgegevens blijven eigendom van Verwerkingsverantwoordelijke en/of de betreffende betrokkenen.

Artikel 4. Verplichtingen en verwerkingsbevoegdheid Verwerker

4.1 De verplichtingen van de Verwerker die uit deze Verwerkersovereenkomst voortvloeien, gelden ook voor degenen die persoonsgegevens verwerken onder het gezag van Verwerker, waaronder begrepen maar niet beperkt tot werknemers, in de ruimste zin van het woord.

4.2 Indien een instructie van Verwerkingsverantwoordelijke naar het oordeel van Verwerker in strijd is met een wettelijk voorschrift inzake gegevensbescherming, stelt hij Verwerkingsverantwoordelijke daarvan voorafgaand aan de Verwerking in kennis, tenzij een wettelijk voorschrift deze kennisgeving verbiedt.

4.3 Verwerker zal, voor zover dat binnen haar macht ligt, bijstand verlenen aan Verwerkingsverantwoordelijke ten behoeve van het uitvoeren van gegevensbescherming-effectbeoordelingen (DPIA’s) waarbij eventuele kosten en uren zullen worden doorberekend aan de Verwerkingsverantwoordelijke tegen het thans geldende uurtarief.

4.4 Indien Verwerker op grond van een wettelijk voorschrift Persoonsgegevens dient te verstrekken, informeert hij Verwerkingsverantwoordelijke onmiddellijk, en zo mogelijk voorafgaand aan de verstrekking.

4.5 Verwerker heeft geen zeggenschap over het doel van en de middelen voor de Verwerking van Persoonsgegevens.

4.6 Verwerker verwerkt de Persoonsgegevens uitsluitend in opdracht en op basis van de gesloten overeenkomst(en) met Verwerkingsverantwoordelijke behoudens afwijkende wettelijke voorschriften die op Verwerker van toepassing zijn.

4.7 Verwerker mag de Persoonsgegevens alleen verwerken in alle landen binnen de Europese Unie.

4.8 Verwerkingsverantwoordelijke moet zelf zorg dragen voor de privacy rechten van Betrokken omtrent de gebruikte Persoonsgegevens, zorgt ervoor dat hij een goede privacyverklaring heeft opgesteld en deze communiceert en verder aan alle Wettelijke verplichtingen voldoet.

Artikel 5. Verdeling van verantwoordelijkheid

5.1 Verwerker is louter verantwoordelijk voor de verwerking van de Persoonsgegevens onder deze Verwerkersovereenkomst, overeenkomstig de gesloten Overeenkomst(en) met de Verwerkingsverantwoordelijke en onder de uitdrukkelijke (eind-)verantwoordelijkheid van Verwerkingsverantwoordelijke.

5.2 Voor de overige verwerkingen van Persoonsgegevens, waaronder in ieder geval begrepen, maar niet beperkt tot, de verzameling van de persoonsgegevens door de Verwerkingsverantwoordelijke, verwerkingen voor doeleinden die niet door Verwerkingsverantwoordelijke aan Verwerker zijn gemeld, verwerkingen door derden en/of voor andere doeleinden, is Verwerker uitdrukkelijk niet verantwoordelijk.

5.3 Verwerkingsverantwoordelijke garandeert dat de inhoud, het gebruik en de opdracht tot de verwerkingen van de persoonsgegevens zoals bedoeld in deze Verwerkersovereenkomst niet onrechtmatig zijn en geen inbreuk maken op enig recht van derden.

Artikel 6. Sub verwerker

Wanneer Verwerkingsverantwoordelijke een andere verwerker inschakelt om ten behoeve van Verwerker verwerkingsactiviteiten te verrichten, worden aan deze andere verwerker bij een overeenkomst dezelfde verplichtingen inzake gegevensbescherming opgelegd als die welke in deze Verwerkersovereenkomst zijn opgenomen. Verwerkingsverantwoordelijke hoeft hiervoor niet aparte toestemming te vragen of Verwerkingsverantwoordelijke hierover in te lichten. Verwerker staat in voor een correcte naleving van de plichten uit deze Verwerkersovereenkomst door deze derden en is bij fouten van deze derden zelf aansprakelijk voor alle schade alsof zij zelf de fout(en) heeft begaan.

Artikel 7. Beveiliging

7.1 Verwerker zal zich inspannen voldoende technische en organisatorische maatregelen te nemen met betrekking tot het veilig verwerken van de Persoonsgegevens alsmede tegen verlies of tegen enige vorm van onrechtmatige verwerking (zoals onbevoegde kennisname, aantasting, wijziging of verstrekking van de Persoonsgegevens).

7.2 Verwerker staat er niet voor in dat de beveiliging onder alle omstandigheden doeltreffend is. Indien een uitdrukkelijk omschreven beveiliging in de Verwerkersovereenkomst ontbreekt, zal Verwerker zich inspannen de beveiliging te laten voldoen aan een niveau dat, gelet op de stand van de techniek, de gevoeligheid van de persoonsgegevens en de aan het treffen van de beveiliging verbonden kosten, niet onredelijk is.

7.3 Verwerkingsverantwoordelijke stelt enkel persoonsgegevens aan Verwerker ter beschikking voor verwerking, indien zij zich ervan heeft verzekerd dat de vereiste beveiligingsmaatregelen zijn getroffen. Verwerkingsverantwoordelijke is verantwoordelijk voor de naleving van de door Partijen afgesproken maatregelen.

Artikel 8. Meldplicht

8.1 Verwerkingsverantwoordelijke is te allen tijde verantwoordelijk voor het melden van een inbreuk op de beveiliging van persoonsgegevens die leidt tot een kans op nadelige gevolgen, dan wel nadelige gevolgen heeft, voor de bescherming van persoonsgegevens aan de toezichthouder en/of betrokkenen. Om Verwerkingsverantwoordelijke in staat te stellen aan deze wettelijke plicht te voldoen, stelt Verwerker de Verwerkingsverantwoordelijke binnen een redelijke termijn na het kennis nemen door Verwerker van de inbreuk op de hoogte.

8.2 Een melding moet alleen bij gebeurtenissen met grote impact worden gedaan, en alleen als de gebeurtenis zich daadwerkelijk heeft voorgedaan.

8.3 De meldplicht behelst in ieder geval het melden van het feit dat er een lek is geweest. Daarnaast behelst de meldplicht:

  • de aard van de inbreuk in verband met Persoonsgegevens, waar mogelijk onder vermelding van de categorieën van betrokkenen en Persoonsgegevens in kwestie en, bij benadering, het aantal betrokkenen en persoonsgegevensregisters in kwestie;
  • de naam en de contactgegevens van de functionaris voor gegevensbescherming of een ander contactpunt waar meer informatie kan worden verkregen;
  • de waarschijnlijke gevolgen van de inbreuk in verband met persoonsgegevens;
  • de maatregelen die de Verwerker heeft voorgesteld of genomen om de inbreuk in verband met Persoonsgegevens aan te pakken, waaronder, in voorkomend geval, de maatregelen ter beperking van de eventuele nadelige gevolgen daarvan.

8.4 Partijen dragen elk de door henzelf in verband met de melding aan de bevoegde toezichthoudende autoriteit en Betrokkene te maken kosten.

Artikel 9. Afhandeling verzoeken van betrokkenen

9.1 In het geval dat een betrokkene een verzoek tot uitoefening van zijn/haar wettelijke rechten richt aan Verwerker, zal Verwerker het verzoek van de betrokkene zelf afhandelen, en de Verwerkingsverantwoordelijke van de afhandeling op de hoogte stellen.

9.2 Verwerker zal de kosten voor de afhandeling van alle verzoeken doorbelasten aan Verwerkingsverantwoordelijke tegen het thans geldende uurtarief.

Artikel 10. Geheimhouding en vertrouwelijkheid

10.1 Op alle Persoonsgegevens die Verwerker van Verwerkingsverantwoordelijke ontvangt en/of zelf verzamelt in het kader van deze Verwerkersovereenkomst, rust een geheimhoudingsplicht jegens derden. Verwerker zal deze informatie niet voor een ander doel gebruiken dan waarvoor zij deze heeft verkregen, zelfs niet wanneer deze in een zodanige vorm is gebracht zodat deze niet tot betrokkenen herleidbaar is.

10.2 Deze geheimhoudingsplicht is niet van toepassing voor zover Verwerkingsverantwoordelijke uitdrukkelijke toestemming heeft gegeven om de informatie aan derden te verschaffen, indien het verstrekken van de informatie aan derden logischerwijs noodzakelijk is gezien de aard van de verstrekte opdracht en de uitvoering van deze Verwerkersovereenkomst, of indien er een wettelijke verplichting bestaat om de informatie aan een derde te verstrekken.

10.3 Verwerkingsverantwoordelijke toont op verzoek van Verwerker aan dat zijn personeel zich ertoe heeft verbonden vertrouwelijkheid in acht te nemen dan wel een geheimhoudingsplicht hebben.

Artikel 11. Audit

11.1 Verwerkingsverantwoordelijke heeft bij een concreet vermoeden van misbruik van Persoonsgegevens het recht om audits uit te laten voeren door een onafhankelijke derde die aan geheimhouding is gebonden ter controle van naleving van de algemene regels rond verwerking van Persoonsgegevens.

11.2 Verwerker zal aan de audit meewerken en alle voor de audit redelijkerwijs relevante informatie inclusief ondersteunende gegevens zoals systeemlogs binnen een redelijke termijn ter beschikking stellen.

11.3 Eventuele aanbevelingen naar aanleiding van de uitgevoerde audit zullen door Partijen in onderling overleg worden beoordeeld en in overleg al dan niet worden doorgevoerd door één van de Partijen of door beide Partijen gezamenlijk.

11.4 De kosten van de Audit worden gedragen door Verwerkingsverantwoordelijke. Onder deze kosten vallen ook alle kosten voor het inzetten van personeel van Verwerker om aan deze audit mee te werken tegen het thans geldende uurtarief.

Artikel 12. Aansprakelijkheid

De aansprakelijkheid van Verwerker voor schade als gevolg van een toerekenbare tekortkoming in de nakoming van de Verwerkersovereenkomst, dan wel uit onrechtmatige daad of anderszins, is uitgesloten. Voor zover voornoemde aansprakelijkheid niet kan worden uitgesloten geldt artikel 15 uit de door Verwerker gehanteerde en door Verwerkingsverantwoordelijke geaccepteerde Algemene Voorwaarden.

Artikel 13. Duur en beëindiging

13.1 Deze Verwerkersovereenkomst komt tot stand door het digitaal of schriftelijk akkoord gaan met offertes door Verwerkingsverantwoordelijke ofwel bij het starten van het leveren van diensten aan haar.

13.2 Deze Verwerkersovereenkomst is aangegaan voor de duur zoals bepaald in de Overeenkomst tussen Partijen. Bij gebreke van een duidelijke einddatum in ieder geval voor de duur van het gebruik van de dienstverlening van Verwerker.

13.3 Zodra de Verwerkersovereenkomst, om welke reden en op welke wijze dan ook, is beëindigd, zal Verwerker alle Persoonsgegevens die bij haar aanwezig zijn en eventuele kopieën daarvan verwijderen tenzij de Verwerker wettelijk verplicht is deze gegevens te bewaren

13.4 Verwerker is gerechtigd deze Verwerkersovereenkomst van tijd tot tijd te herzien met inachtneming van de in onze algemene voorwaarden gestelde termijn voor wijzigingen.

Artikel 14. Toepasselijk recht en geschillenbeslechting

14.1 Op deze Verwerkersovereenkomst zijn onze Algemene Voorwaarden van toepassing.

14.2 De Verwerkersovereenkomst en de uitvoering daarvan worden beheerst door Nederlands recht.

14.3 Alle geschillen, welke tussen Partijen mochten ontstaan in verband met de Verwerkersovereenkomst, zullen worden voorgelegd aan de bevoegde rechter voor het arrondissement waarin Verwerker is gevestigd.

 

Bijlage 1: Specificatie persoonsgegevens en betrokkenen

Persoonsgegevens

Verwerker zal de volgende (bijzondere) Persoonsgegevens mogelijk verwerken in opdracht van

Verwerkingsverantwoordelijke:

  • NAW-gegevens
  • Telefoon- en of faxnummers
  • BIC, SWIFT en of IBAN-nummers
  • Geboortedata
  • Geslacht
  • Nationaliteit
  • BSN-nummers
  • Incasso machtiging gegevens
  • E-mailadres
  • Orders, financiële data en tickets waar mogelijk Persoonsgegevens in staan (bijvoorbeeld in een opmerkingen veld).

Categorieën Betrokkenen

Verwerker zal van de volgende categorieën betrokkenen mogelijk Persoonsgegevens verwerken in opdracht van Verwerkingsverantwoordelijke:

  • Personeel van Verwerkingsverantwoordelijke
  • Prospects van Verwerkingsverantwoordelijke
  • Leveranciers van Verwerkingsverantwoordelijke
  • Klanten van Verwerkingsverantwoordelijke

Categorieën Ontvangers

Verwerker zal aan de volgende categorieën ontvangers mogelijk Persoonsgegevens doorsturen in opdracht van

Verwerkingsverantwoordelijke:

  • Administratieve leveranciers van Verantwoordelijke
  • Logistieke leveranciers van Verantwoordelijke
  • CRM-leveranciers van Verantwoordelijke
  • Support desk leveranciers van Verantwoordelijke

Verwerkingsverantwoordelijke staat ervoor in dat de in deze Bijlage 1 omschreven persoonsgegevens en categorieën betrokkenen volledig en correct zijn, en vrijwaart Verwerker voor enige gebreken en aanspraken die resulteren uit een incorrecte weergave door Verwerkingsverantwoordelijke.