Dienstenovereenkomst addendum AVG

 

Opdrachtgever, hierna te noemen verwerkingsverantwoordelijke

Verwerkingsverantwoordelijke en Verwerker worden afzonderlijk tevens genoemd “Partij” of gezamenlijk “Partijen

 

OVERWEGENDE DAT:

  1. Verwerkingsverantwoordelijke aan Verwerker de opdracht heeft verstrekt zoals beschreven in de hoofdovereenkomst (hierna: “de Dienst”);
  2. Verwerkingsverantwoordelijke in het kader van de uitvoering van de Dienst aan verwerker direct of indirect gegevens zal verstrekken die privacygevoelig zijn;
  3. De te verwerken gegevens van Verwerkingsverantwoordelijke onder meer persoonsgegevens bevatten in de zin van de Algemene Verordening Gegevensbescherming-EU 2016/679 (hierna “AVG”);
  4. Verwerkingsverantwoordelijke zich kwalificeert als verwerkingsverantwoordelijke in de zin van de AVG;
  5. Verwerker zich kwalificeert als verwerker in de zin van de AVG omdat Verwerker ten behoeve van en in opdracht van Verwerkingsverantwoordelijke persoonsgegevens verwerkt, zonder aan diens rechtstreeks gezag onderworpen te zijn en Verwerkingsverantwoordelijke het doel en de middelen voor de verwerking van persoonsgegevens vaststelt;
  6. De AVG aan Verwerkingsverantwoordelijke de plicht oplegt om ervoor zorg te dragen dat Verwerker voldoende waarborgen biedt ten aanzien van de technische en organisatorische beveiligingsmaatregelen met betrekking tot de te verrichten verwerkingen;
  7. Dat Verwerkingsverantwoordelijke en Verwerker groot belang hechten aan de bescherming van de rechten en vrijheden van natuurlijke personen die voortvloeien uit de verwerking van persoonsgegevens;
  8. Verwerkingsverantwoordelijke en Verwerker in aanvulling op de reeds tussen Partijen gesloten overeenkomsten middels deze Overeenkomst een verwerkingsovereenkomst zoals bedoeld in Artikel 28 lid 3 AVG wensen te sluiten.

 

VERKLAREN TE ZIJN OVEREENGEKOMEN ALS VOLGT:

Definities

Afgeleide gegevens
Geanonimiseerde of gepseudonimiseerde Persoonsgegevens, dan wel anderszins van Persoonsgegevens afgeleide gegevens.

 

Betrokkene
Degene op wie een Persoonsgegeven betrekking heeft.

 

Overeenkomst
Verwerkingsovereenkomst in de zin van artikel 14 lid 5 WBP en Artikel 28 lid 3 AVG welke de WPB met ingang van 25 mei 2018 vervangt tussen Verwerkingsverantwoordelijke enerzijds en Verwerker anderzijds.

 

Persoonsgegeven(s)
Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon.

 

Artikel 2 Doel verwerking Persoonsgegevens

  1. Verwerker zal de door haar te verwerken Persoonsgegevens uitsluitend verwerken voor zover dat nodig is voor de dienstverlening in het kader van de Dienst en zoals omschreven in de hoofdovereenkomst. Het is de Verwerker uitdrukkelijk niet toegestaan Persoonsgegevens of Afgeleide Gegevens voor eigen doeleinden te gebruiken. 
  2. Verwerker verwerkt de Persoonsgegevens ten behoeve van de Verwerkingsverantwoordelijke, overeenkomstig de instructies en onder de verantwoordelijkheid van Verwerkings- verantwoordelijke. Verwerker heeft geen zeggenschap over het doel en de middelen voor de verwerking van Persoonsgegevens.

 

Artikel 3 Beveiligingsmaatregelen

  1. Verwerker zal passende technische en organisatorische maatregelen nemen om de Persoonsgegevens te beveiligen tegen verlies, of enige vorm van onrechtmatige verwerking. Verwerker zal zich daartoe houden aan het binnen Verwerker geldende (standaard) niveau van beveiliging. Deze maatregelen garanderen, rekening houdend met de stand der techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico’s die de verwerking en de aard van de te beschermen gegevens met zich meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van Persoonsgegevens te voorkomen. In bijlage A zijn de beveiligingsmaatregelen beschreven die de verwerker in ieder geval zal toepassen.
  2. Verwerker stelt Verwerkingsverantwoordelijke steeds in de gelegenheid te controleren dat de verwerking van Persoonsgegevens plaatsvindt zoals overeengekomen in deze Overeenkomst en de beveiligingsprotocollen van Verwerker.
  3. De Verwerker stelt de Verwerkingsverantwoordelijke onverwijld in kennis van een inbreuk op de beveiliging, bedoeld in artikel 3.1, die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van Persoonsgegevens en verleent Verwerkingsverantwoordelijke voorts alle medewerking in de afhandeling van een dergelijke inbreuk, waaronder mede verstaan, doch niet beperkt tot de (medewerking bij) de melding van een inbreuk bij de Autoriteit Persoonsgegevens en (voor zover vereist) het inlichten van Betrokkenen.
  4. Voor zover Verwerker na de beëindiging nog beschikt over Persoonsgegevens van Verwerkingsverantwoordelijke, zal zij deze op zo kort mogelijke termijn vernietigen, dan wel – in overleg met Verwerkingsverantwoordelijke – aan Verwerkingsverantwoordelijke te retourneren, tenzij Verwerker op grond van geldende wet- en regelgeving gehouden is de Persoonsgegevens te bewaren.
  5. Partijen kunnen aanvullende afspraken maken ten aanzien van het beschermingsniveau van de Persoonsgegevens in een bijlage bij deze Overeenkomst. Deze bijlage zal bindend zijn na ondertekening door Partijen.

 

Artikel 4 Doorgifte gegevens naar derde landen

  1. Het is Verwerker toegestaan gegevens te verwerken in andere landen binnen de EER/ EU. Onder verwerking wordt mede begrepen de opslag van gegevens in deze landen dan wel het gebruik van middelen voor verwerking anders dan voor de loutere doorvoer van gegevens.
  2. Het is Verwerker niet toegestaan gegevens te verwerken in landen buiten de EER/ EU. Onder verwerking wordt mede begrepen de opslag van gegevens in deze landen dan wel het gebruik van middelen voor de verwerking anders dan voor de loutere doorvoer van gegevens.

 

Artikel 5 Inschakelen sub-verwerkers

  1. Verwerker besteedt de verwerkingsactiviteiten die hij overeenkomstig de bepalingen namens de Verwerkingsverantwoordelijke uitvoert, niet uit aan een derde (hierna: “Sub-verwerker”) zonder de voorafgaande schriftelijke toestemming van de Verwerkingsverantwoordelijke.
  2. Indien de Verwerker met toestemming van de Verwerkingsverantwoordelijke zijn verplichtingen uit hoofde van de bepalingen uitbesteedt, dient hij met de Sub-verwerker een schriftelijk contract te sluiten waarbij aan de Sub-verwerker minimaal dezelfde verplichtingen worden opgelegd als die waaraan Verwerker uit hoofde van deze Overeenkomst moet voldoen.
  3. Indien de Sub-verwerker niet voldoet aan zijn verplichtingen tot gegevensbescherming uit hoofde van dat schriftelijke contract, blijft Verwerker jegens de Verwerkingsverantwoordelijke volledig aansprakelijk voor de uitvoering van de verplichtingen van de Verwerker uit hoofde van dat contract.
  4. Verwerker vrijwaart verwerkingsverantwoordelijke voor alle aanspraken van derden, daaronder begrepen Betrokkenen, die jegens verwerkersverantwoordelijke mochten worden ingesteld wegens een aan verwerker of door haar ingeschakelde Ketenleverancier, toe te rekenen schending van de AVG of andere op de Verwerking van de Bedrijfsinformatie toepasselijke regelgeving.

 

Artikel 6 Inzageverzoeken

  1. De verwerker stelt de verwerkingsverantwoordelijke te allen tijde in staat om binnen de wettelijke termijnen te voldoen aan de verplichtingen op grond van de GDPR, meer in het bijzonder de rechten van betrokkenen, zoals, maar niet beperkt tot een verzoek om inzage, verbetering, aanvulling, verwijdering of afscherming van persoonsgegevens en het uitvoeren van een gehonoreerd aangetekend verzet.
  2. De verwerker stuurt elk inzageverzoek van betrokkenen onverwijld door aan de contactpersoon van verwerkingsverantwoordelijke.

 

Artikel 7 Geheimhouding

  1. Verwerker en haar medewerkers inclusief freelancers en andere derden is verplicht tot geheimhouding van de Persoonsgegevens die zij bij de uitvoering van de Dienst ontvangt, een en ander behoudens voor zover een wettelijk voorschrift Verwerker tot mededelen verplicht en behoudens de gegevensverstrekking die plaatsvindt in dienst van de Verwerkingsverantwoordelijke. Deze verplichting zal na beëindiging van deze Overeenkomst en/of andere tussen Partijen geldende overeenkomsten voor onbepaalde tijd voortduren.

 

Artikel 8 Kosten toezicht AP bij Verwerker

  1. Kosten voortvloeiend uit onderzoeken of audits van de Autoriteit Persoonsgegevens of een andere toezichthouder met betrekking tot Persoonsgegevens, zullen worden gedragen door Verwerker. Onder deze kosten worden mede verstaan, doch deze zijn niet beperkt tot kosten voor het treffen van (aanvullende) technische en organisatorische beveiligingsmaatregelen in overeenstemming met artikel 3 en rekening houdend met eventuele aanwijzingen van de Autoriteit Persoonsgegevens.
  2. Kosten voortvloeiend uit het opvragen van Persoonsgegevens of inbeslagnemingen door justitiële autoriteiten komen voor rekening van Verwerker.

 

Artikel 9 Audits door verwerkingsverantwoordelijke

  1. Verwerkingsverantwoordelijke heeft het recht om audits uit te voeren ter controle van naleving van de beveiligingseisen, misbruik van Persoonsgegevens door medewerkers van de Verwerker, en alles dat daar direct verband mee houdt.
  2. Deze audit vindt verplicht periodiek plaats (een maal per twee jaar) om vast te stellen dat verwerker voldoet aan het bepaalde met betrekking tot de bescherming en beveiliging van de bedrijfsinformatie en vertrouwelijke gegevens zoals omschreven in de hoofd overeenkomst en verwerkingsovereenkomst. 
  3. Verwerker zal aan de audit meewerken en alle voor de audit redelijkerwijs relevante informatie, inclusief ondersteunende gegevens zoals systeemlogs, en medewerkers zo tijdig mogelijk ter beschikking stellen.
  4. De bevindingen naar aanleiding van de uitgevoerde audit zullen door Partijen in onderling overleg worden beoordeeld en, naar aanleiding daarvan, al dan niet worden doorgevoerd door één van de Partijen of door beide Partijen gezamenlijk. Wanneer tijdens een audit wordt vastgesteld dat verwerker niet aan het bepaalde in de hoofdovereenkomst en de verwerkingsovereenkomst voldoet, zal verwerker alle redelijkerwijs noodzakelijke maatregelen nemen om te zorgen dat zij hieraan alsnog voldoet.
  5. De kosten voor de audit worden gedragen door Verwerkingsverantwoordelijke, tenzij uit de controle blijkt dat de verwerker tekort is geschoten in de nakoming van zijn verplichting(en) uit wettelijke bepalingen of uit deze verwerkingsovereenkomst of de hoofd overeenkomst.

 

Artikel 11 Aansprakelijkheid

  1. Indien een der Partijen tekortschiet in de nakoming van haar verplichtingen uit deze verwerkingsovereenkomst kan de andere Partij haar in gebreke stellen, tenzij nakoming blijvend onmogelijk is. Partijen komen met elkaar een termijn overeen waarbinnen de geconstateerde tekortkoming kan worden hersteld. Indien het niet lukt om met elkaar een termijn overeen te komen, kunnen zij besluiten tot een alternatieve wijze van geschillenbeslechting conform artikel 11.1 om een redelijke termijn vast te stellen. De ingebrekestelling geschiedt schriftelijk, waarbij aan de andere Partij een redelijke termijn wordt gegund om alsnog haar verplichtingen na te komen. Deze termijn is een fatale termijn. Indien nakoming binnen deze termijn uitblijft, is de Partij in verzuim.
  2. Indien een Partij in verzuim is, kan de andere Partij ter aansporing om alsnog tot nakoming over te gaan deze Partij een boete opleggen van ten hoogste €1.000,- per dag tot een maximum van het totaalbedrag dat jaarlijks wordt gefactureerd door verwerker aan verwerkersverantwoordelijke in het kader van de Hoofdovereenkomst. 
  3. Indien nakoming blijvend onmogelijk is, is de andere Partij gehouden de schade als gevolg van de toerekenbare tekortkoming te vergoeden.
  4. Een Partij is aansprakelijk voor directe schade en gevolgschade voortvloeiende uit het niet-nakomen van of in strijd handelen met de bij of krachtens de Wet bescherming persoonsgegevens gegeven voorschriften en/of het niet-nakomen van of in strijd handelen met het in deze Bewerkersovereenkomst bepaalde, alsook voor directe schade en gevolgschade voortvloeiende uit aansprakelijkheid voor onrechtmatige daad, dan wel voortvloeiende uit aansprakelijkheid uit hoofde van welke wettelijke verbintenis of verbintenis die voortvloeit uit de wet dan ook jegens een Partij in verband met het bepaalde in deze Bewerkersovereenkomst. 
  5. Onder gevolgschade wordt gerekend gederfde winst, gemiste inkomsten en reputatieschade. Partijen verplichten zich een aansprakelijkheidsverzekering af te sluiten voor de risico’s die voortvloeien uit de uitvoering van deze Bewerkersovereenkomst.