Skip to main content

Verwerkersovereenkomst

Download Verwerkersovereenkomst.pdf
De ondergetekenden:
  1. Afdeling Online gevestigd te Helmond, kantoorhoudende aan de 2e Haagstraat 40, hierbij rechtsgeldig vertegenwoordigd door Jaap Schepers, directeur, hierna te noemen: ‘Verwerker’,
  2. De opdrachtgever hierna te noemen: ‘Verwerkingsverantwoordelijke’,

Gezamenlijk hierna ook te noemen ‘Partijen’,

Overwegende dat:

  • Verwerkingsverantwoordelijke gebruik wil maken van de diensten van Verwerker ten behoeve van de online marketingactiviteiten en / of webappplicatie(s) in beheer bij Verwerker.
  • Partijen hiertoe op een separate overeenkomst hebben getekend ten aanzien van de door Verwerker te verrichten dienst.
  • Verwerker in het kader van de Overeenkomst persoonsgegevens (hierna: ‘Persoonsgegevens’) in de zin van de Wet bescherming persoonsgegevens (hierna: ‘Wbp’) en de Algemene Verordening Gegevensbescherming (hierna: ‘AVG’) zal verwerken ten behoeve van Verwerkingsverantwoordelijke.
  • Partijen – mede ter uitvoering van het bepaalde in artikel 14 lid 2 Wbp en artikel 28 lid 3 AVG – in de onderhavige aanvullende overeenkomst (hierna: ‘Verwerkersovereenkomst’) een aantal voorwaarden wensen vast te leggen die van toepassing zijn op hun relatie in verband met de genoemde activiteiten in opdracht van en ten behoeve van Verwerkingsverantwoordelijke;
  • De in de onderhavige overeenkomst gehanteerde definities van ‘Verwerker’ (‘bewerker’ in de Wbp), ‘Verwerkingsverantwoordelijke’ (‘verantwoordelijke’ in de Wbp), ‘persoonsgegevens’, ‘verwerken’ en ‘verwerking’ in overeenstemming zijn met van toepassing zijnde definities zoals gehanteerd in artikel 1 van de Wbp en artikel 4 AVG;
  • Partijen zich ervan bewust zijn dat tot 25 mei 2018 de Wbp van toepassing is op deze Verwerkersovereenkomst en vanaf 25 mei 2018 de AVG en de intentie hebben met de onderhavige Verwerkersovereenkomst aan de toepasselijke wetgeving te voldoen.

Verklaren te zijn overeengekomen als volgt:

Artikel 1 Onderwerp van de Verwerkersovereenkomst

  1. Verwerkingsverantwoordelijke is verantwoordelijk voor de verwerking van de Persoonsgegevens in het kader van uitvoering van de Overeenkomst. Verwerker heeft geen zelfstandige zeggenschap over de Persoonsgegevens.
  2. De Verwerker verwerkt Persoonsgegevens slechts in opdracht van de Verwerkingsverantwoordelijke in het kader van de uitvoering van de Overeenkomst, in overeenstemming met de door Verwerkingsverantwoordelijke bepaalde doeleinden en middelen en de bewaartermijnen zoals beschreven in Bijlage 1, alsmede in overeenstemming met eventuele overige door de Verwerkingsverantwoordelijke verstrekte schriftelijke instructies, tenzij een op Verwerker van toepassing zijnde Unierechtelijke of lidstaatrechtelijke bepaling Verwerker tot verwerking verplicht, in welk geval stelt Verwerker Verwerkingsverantwoordelijke, voorafgaand aan de verwerking, in kennis van dat wettelijk voorschrift, tenzij die wetgeving deze kennisgeving om gewichtige redenen van algemeen belang verbiedt.
  3. Verwerkingsverantwoordelijke garandeert dat zijn instructies aan Verwerker leiden tot een verwerking door Verwerker die in overeenstemming zal zijn met toepasselijke regelgeving en geen inbreuk zal maken op enig recht van derden.

Artikel 2 Technische en organisatorische voorzieningen (beveiliging)

  1. Verwerkingsverantwoordelijke stelt enkel Persoonsgegevens aan Verwerker ter beschikking voor verwerking, indien Verwerkingsverantwoordelijke zich ervan heeft verzekerd dat de vereiste beveiligingsmaatregelen zijn getroffen, welke mede gelet op het bepaalde in artikel 32 AVG een passend beschermingsniveau garanderen, gelet op de stand van de techniek en de kosten van de tenuitvoerlegging, gelet op de risico’s die de verwerking en de aard van de te beschermen gegevens met zich meebrengen, van welke beveiligingsmaatregelen een overzicht is opgenomen in Bijlage 2.
  2. Verwerkingsverantwoordelijke is gerechtigd de maatregelen en de naleving van de op Verwerker rustende verplichtingen te controleren. Alle kosten, vergoedingen en onkosten in verband met een inspectie komen voor rekening van de verwerkingsverantwoordelijke.
  3. In geval Verwerker kennis heeft genomen van een inbreuk op de beveiliging zoals omschreven in artikel 34a Wbp en/of artikel 4 lid 12 AVG (hierna: “Datalek”), zal Verwerker Verwerkingsverantwoordelijke zo spoedig mogelijk, en waar mogelijk binnen 24 (vierentwintig) uur nadat het Datalek ter kennis van Verwerker is gekomen, schriftelijk informeren.
  4. Verwerker dient verwerkingsverantwoordelijke in ieder geval informatie te verschaffen over het volgende: (i) de aard van de inbreuk, waar mogelijk onder vermelding van categorieën van betrokkenen in kwestie en, bij benadering, het aantal betrokkenen in kwestie; (ii) de (mogelijk) getroffen persoonsgegevens en, bij benadering, het aantal getroffen persoonsgegevens in kwestie; (iv) de maatregelen die verwerker heeft getroffen en zal treffen om de inbreuk aan te pakken, waaronder in voorkomend geval de maatregelen ter beperking van de eventuele negatieve gevolgen van de inbreuk.
  5. Verwerker erkent dat verwerkingsverantwoordelijke onder omstandigheden wettelijk verplicht is om een inbreuk op de beveiliging van welke aard ook die (mede) betrekking heeft of kan hebben op de persoonsgegevens die verwerker verwerkt, aan betrokkenen of autoriteiten te melden. Een dergelijke melding door verwerkingsverantwoordelijke zal nimmer als tekortkoming in de nakoming van deze overeenkomst of onderliggende overeenkomst of anderszins als onrechtmatige handeling worden beschouwd.
  6. Indien zich, ondanks het feit dat Verwerker maatregelen zoals afgestemd met Verwerkingsverantwoordelijke heeft doorgevoerd, een Datalek voordoet, kan Verwerkingsverantwoordelijke Verwerker niet aansprakelijk houden voor enige door Verwerkingsverantwoordelijke als gevolg hiervan geleden schade.

Artikel 3 Inschakeling derden

  1. Verwerker besteedt de verplichtingen die voortvloeien uit de Overeenkomst niet uit aan derden, tenzij Verwerkingsverantwoordelijke daarvoor voorafgaande schriftelijke toestemming heeft gegeven.
  2. Verwerker zal eventuele subverwerkers verplichten de bepalingen van de Verwerkersovereenkomst na te leven. Verwerker maakt gebruikt van de diensten van de in bijlage 1 genoemde subverwerkers. Verwerker blijft te allen tijde verantwoordelijk voor het handelen of nalaten van de subverwerkers.

Artikel 4 Doorgifte naar derde landen/verstrekking persoonsgegevens aan derden/verzoeken van betrokkenen

  1. Het is Verwerker niet toegestaan de Persoonsgegevens door te geven en/of op te (laten) slaan in landen buiten de Europese Unie, tenzij Verwerker uitdrukkelijke schriftelijke toestemming van Verwerkingsverantwoordelijke heeft hiervoor en dit op grond van toepasselijke (Europese) privacyregelgeving toegestaan bijvoorbeeld omdat het betreffende land een passend beschermingsniveau biedt of gebruik wordt gemaakt van een daartoe bestemd ongewijzigd modelcontract, goedgekeurd door de Europese Commissie, (hierna: “EC Modelcontract”), met inachtneming van de overige bepalingen van de Verwerkersovereenkomst.
  2. Indien doorgifte naar Verwerker of een derde partij in een land zonder passend beschermingsniveau plaatsvindt met toestemming van Verwerkingsverantwoordelijke, dan zal op deze doorgifte een ongewijzigd EC Modelcontract van toepassing zijn, dan zal zijn ondertekend door Verwerker en bijgesloten bij de Verwerkersovereenkomst. Verwerker garandeert dat alle subverwerkers die met toestemming van Verwerkingsverantwoordelijke worden ingeschakeld, het EC Modelcontract mede ondertekenen.
  3. Verwerker zal geen persoonsgegevens aan een willekeurige derde verstrekken of ter beschikking stellen tenzij op grond van een uitdrukkelijke schriftelijke opdracht van verwerkingsverantwoordelijke of op bevel van een gerechtelijke of bestuurlijke instantie, op voorwaarde dat verwerker in dat geval verwerkingsverantwoordelijke binnen 24 uur na ontvangst van een dergelijk bevel daarvan in kennis stelt om verwerkingsverantwoordelijke zodoende in staat te stellen daartegen een haar ter beschikking staand rechtsmiddel in te stellen.
  4. Indien verwerker van oordeel is dat zij op grond van een wettelijke verplichting persoonsgegevens ter beschikking dient te stellen aan een daartoe bevoegde instantie zal zij daar niet toe overgaan dan na overleg met en schriftelijke goedkeuring van de verwerkingsverantwoordelijke. Verwerker zal verwerkingsverantwoordelijke zo spoedig mogelijk schriftelijk in kennis stellen van de wettelijke verplichting en daarbij alle relevante informatie verstrekken die verwerkingsverantwoordelijke redelijkerwijs nodig heeft om de benodigde maatregelen te treffen om te bepalen of verstrekking kan plaatsvinden en zo ja onder welke voorwaarden.
  5. Verwerker dient verwerkingsverantwoordelijke schriftelijk in kennis te stellen van alle verzoeken die rechtstreeks van betrokkenen zijn ontvangen met betrekking tot de rechten van betrokkenen op grond van toepasselijke Privacywetgeving, waaronder maar niet beperkt tot verzoeken tot inzage, rectificatie, wissing, beperking van de verwerking of overdracht van de persoonsgegevens. Verwerker geeft aan een dergelijk verzoek alleen gevolg indien verwerkingsverantwoordelijke verwerker daartoe uitdrukkelijk schriftelijk opdracht heeft gegeven. Verwerkingsverantwoordelijke is en blijft verantwoordelijk voor de gevolgen van haar beslissingen in dit kader. Verwerkingsverantwoordelijke vrijwaart verwerker voor eventuele claims van betrokkenen ter zake.

Artikel 5 Bijstand verlenen

  1. Verwerker zal, rekening houdend met de aard van de verwerking, Verwerkingsverantwoordelijke door middel van passende technische en organisatorische maatregelen, voor zover mogelijk, bijstand verlenen die noodzakelijk is voor Verwerkingsverantwoordelijke om te kunnen voldoen aan verzoeken van betrokkenen wiens Persoonsgegevens worden verwerkt als bedoeld in artikel 35 en 36 van de Wbp en Hoofdstuk III van de AVG alsmede verzoeken van de bevoegde toezichthouder van Verwerkingsverantwoordelijke.
  2. Verwerker zal, rekening houdend met de aard van de verwerking en de hem ter beschikking staande informatie Verwerkingsverantwoordelijke bijstand verlenen bij het doen nakomen van de verplichtingen uit hoofde van de artikelen 32 tot en met 36 AVG, waarbij Verwerker gerechtigd is in voorkomend geval aan Verwerkingsverantwoordelijke redelijke kosten in rekening te brengen.

Artikel 6 Vertrouwelijkheid

  1. Verwerker, alsmede al haar medewerkers die toegang hebben tot de Persoonsgegevens, zullen de Persoonsgegevens waarvan zij kennisnemen geheim houden, tenzij een wettelijk voorschrift hen tot mededeling verplicht.
  2. Verwerker zal al haar medewerkers die betrokken zijn bij de uitvoering van de Overeenkomst terzake een geheimhoudingsverklaring laten tekenen. Verwerker neemt alle maatregelen die nodig zijn om te garanderen dat deze geheimhoudingsplicht wordt nagekomen.

Artikel 7 Verstrekking & verwijdering

Na beëindiging van de Overeenkomst, naar gelang de keuze van Verwerkingsverantwoordelijke, wist Verwerker binnen 6 maanden alle Persoonsgegevens of bezorgt Verwerker alle Persoonsgegevens terug aan Verwerkingsverantwoordelijke, en verwijdert bestaande kopieën, tenzij opslag van Persoonsgegevens op grond van geldende regelgeving verplicht is.

Artikel 8 Aansprakelijkheid

  1. Indien Verwerker aansprakelijk is jegens Verwerkingsverantwoordelijke voor schade uit welke hoofde dan ook, onverminderd het bepaalde in artikel 2 lid 4, is Verwerker alleen aansprakelijk voor directe schade die Verwerkingsverantwoordelijke lijdt als gevolg van een aan Verwerker toerekenbare tekortkoming en/of onrechtmatige daad. De totale aansprakelijkheid onder de Overeenkomst, inclusief de Verwerkersovereenkomst, of overtreding door Verwerker en/of sub-bewerker(s) van de toepasselijke (Europese) privacyregelgeving, zal nooit meer bedragen dan €5.000.
  2. Verwerker is nooit aansprakelijk voor gevolgschade, waaronder mede begrepen zuivere vermogensschade, gederfde winst, en immateriële schade. In het bijzonder is Verwerker niet aansprakelijk voor schade in verband met en/of als gevolg van:
    1. beëindiging of wijziging van de geleverde dienst;
    2. communicatiegebreken in verband met hardware-, software-, netwerk- of andere computerproblemen;
    3. het gebruik van door Verwerkingsverantwoordelijke voorgeschreven gegevens of databestanden;
    4. verlies, verminking of vernietiging van gegevens of databestanden; en/of,
    5. ontoegankelijkheid van de dienst van Verwerker.
  3. Voor zover nakoming niet blijvend onmogelijk is, ontstaat de aansprakelijkheid van Verwerker wegens toerekenbare tekortkoming in de nakoming van de Verwerkersovereenkomst slechts indien Verwerkingsverantwoordelijke Verwerker onverwijld en deugdelijk schriftelijk in gebreke stelt, waarbij een redelijke termijn ter zuivering van de tekortkoming wordt gesteld, en Verwerker ook na die termijn toerekenbaar tekort blijft schieten in de nakoming van haar verplichtingen. De ingebrekestelling dient een zo volledig en gedetailleerd mogelijke omschrijving van de tekortkoming te bevatten, zodat Verwerker in staat is adequaat te reageren.
  4. Voorwaarde voor het ontstaan van enig recht op schadevergoeding is steeds dat Verwerkingsverantwoordelijke de schade zo spoedig mogelijk na het ontstaan daarvan schriftelijk bij Verwerker meldt. Ieder vordering tot schadevergoeding jegens Verwerker vervalt door het enkele verloop van zes (6) maanden na het ontstaan van de vordering.

Artikel 9 Controle & toezicht/Overdracht rechten en plichten

Verwerkingsverantwoordelijke is gerechtigd, op eigen kosten, de maatregelen en de naleving van de op Verwerker rustende verplichtingen te controleren, op voorwaarde dat Verwerkingsverantwoordelijke Verwerker daarvan vijf (5) werkdagen van tevoren op de hoogte stelt en op voorwaarde dat Verwerkingsverantwoordelijke bij de inspectie de redelijke aanwijzingen van Verwerker opvolgt en de inspectie de bedrijfsvoering van Verwerker niet onredelijk verstoort.

Verwerkingsverantwoordelijke is ten aanzien van de verwerking van persoonsgegevens krachtens deze overeenkomst de verwerkingsverantwoordelijke zoals omschreven in artikel 4 sub 7 AVG. Verwerkingsverantwoordelijke gaat ermee akkoord en staat ervoor in dat de verwerking van de persoonsgegevens conform deze overeenkomst in overeenstemming is met de van toepassing zijnde Privacywetgeving.

Deze overeenkomst en de rechten en verplichtingen uit deze overeenkomst kunnen door verwerker niet aan derden worden overgedragen zonder de voorafgaande schriftelijke toestemming van de verwerkingsverantwoordelijke.

Artikel 10 Overige bepalingen

  1. In geval van strijdigheid van (een of meer bepalingen uit) de Verwerkersovereenkomst met (een of meer bepalingen uit) andere overeenkomsten tussen Verwerkingsverantwoordelijke en Verwerker, prevaleert de Verwerkersovereenkomst.
  2. Deze overeenkomst heeft een looptijd gelijk aan de onderliggende Overeenkomst en kan niet tussentijds worden beëindigd. Artikelen die gezien hun aard, onder meer in het kader van de afwikkeling van de Verwerkersovereenkomst, bestemd zijn om na het einde van de Verwerkersovereenkomst van toepassing te blijven, waaronder – maar niet beperkt tot – artikel 6 (Vertrouwelijkheid), artikel 7 (Verstrekking & verwijdering) en artikel 10 lid 5 en 6, blijven onverminderd van kracht na beëindiging van de Verwerkersovereenkomst.
  3. Wijziging van de Verwerkersovereenkomst is slechts mogelijk door schriftelijke overeenstemming door Partijen.
  4. In het geval enige bepaling van de Verwerkersovereenkomst nietig wordt verklaard of vernietigd wordt of blijkt dat een wijziging in (een bepaling van) de Verwerkersovereenkomst wegens gewijzigde omstandigheden noodzakelijk is voor naleving van de toepasselijke wet- en regelgeving op het gebied van privacy, zullen de overige bepalingen onverminderd van kracht blijven. Partijen zullen dan een nieuwe bepaling vaststellen ter vervanging van de nietige/vernietigde bepaling dan wel de Verwerkersovereenkomst zodanig wijzigen om deze in lijn te brengen met de toepasselijke wet- en regelgeving op het gebied van privacy, waarbij zoveel mogelijk de strekking van de nietige/vernietigde bepaling in acht zal worden genomen.
  5. Op de Verwerkersovereenkomst is Nederlands recht van toepassing.
  6. Geschillen tussen Verwerkingsverantwoordelijke en Verwerker worden uitsluitend voorgelegd aan de bevoegde rechter in het arrondissement Rotterdam.

 

Bijlage 1

Doeleinden die met de Verwerking van gegevens door de Verwerker worden nagestreefd zijn de navolgenden:

  1. Het verrichten van online marketing werkzaamheden ter promotie en analyse van de Verwerkersverantwoordelijke. Het realiseren en onderhouden van de webapplicatie(s) in beheer bij Verwerker.
  2. Het verrichten van werkzaamheden die nodig zijn om de ontwikkeling en het testen van webapplicatie(s) te bewerkstelligen.
  3. Het tonen van de juiste content aan de gebruiker op basis van rechten & rollen.

Middelen voor de verwerking omvatten;

  1. (Web)servers (OTAP-straat).
  2. Hosting soft- en hardware.
  3. Hardware, waarmee medewerkers van de verwerker de online marketing verrichten en applicatie(s) ontwikkelen en beheren.
  4. Netwerkleverancier en hosting provider.
  5. Implementatie van software ten behoeve van performancemonitoring en (gebruikers)statistieken.

Soort persoonsgegevens van de te verwerken data;
Alle herleidbare (niet geanonimiseerde) persoonsgegevens welke in de webapplicatie(s) verwerkt worden vallen onder deze verwerkersovereenkomst

Bewaartermijnen
De gegevens blijven gedurende de levensduur van het afgesloten contract, tenzij anders overeengekomen in de hoofdovereenkomst.

Gebruik van de gegevens
De Verwerker verwerkt de gegevens alleen op verzoek van de Verwerkingsverantwoordelijke waar voor het analyseren, beheren, promoten en verder ontwikkelen van de webapplicatie.

Verstrekking aan derden
Verwerker zal geen gegevens verstrekken aan derden, tenzij ze gesommeerd worden daartoe door een bevoegde overheidsinstantie.

Subverwerkers

  • Google – Analytics, Adwords, Doubleclick, Analyze, Tag Manager, Data Studio
  • Facebook – Facebook & Instagram Community management & Adverteren
  • Linkedin – Community management & Adverteren
  • Twitter – Community management & Adverteren
  • Swydo – Rapportage
  • SE Ranking – SEO rapportage
  • Hootsuite – Social monitoring en rapportage
  • VDX Internet Services – Domeinnamen, emailboxen, SSL
  • Mailchimp – Email marketing
  • Hotjar – Ltd. Analytics

Incidenteel maakt verwerker gebruik van de diensten van freelancers / plugin ontwikkelaars voor webontwikkeling. Deze hebben echter geen of beperkte toegang tot de productieomgevingen met persoonsgegevens.

Bijlage 2

Overzicht van door de Verwerkingsverantwoordelijke verzochte beveiligingsmaatregelen

Onderstaande is een overzicht van de beveiligingsmaatregelen die de Verwerker neemt. Deze maatregelen zijn aan verandering onderhevig, maar veranderingen mogen niet leiden tot een lager niveau van de algemene beveiliging.
Beveiliging

  • Verwerker hanteert een systeem van gebruikersrechten om de toegang tot gegevens te beperken tot de medewerkers en functies die deze toegang nodig hebben. Er zijn ook processen gedefinieerd om daar op toe te zien, zoals het off-boarding proces wanneer een medewerker uit dienst gaat, waarmee wordt geborgd dat de gebruikersrechten worden ingetrokken.
  • Verwerker zal de accounts, software en applicatie(s) voorzien van een vorm van beveiliging, zowel technisch als organisatorisch en op zijn minst voldoen aan een niveau dat gelet op de stand van de techniek, de gevoeligheid van de (persoons-)gegevens en de aan de beveiliging verbonden kosten, passend en redelijk is.
  • Verwerker stelt het gebruik van versleutelde verbindingen (SSL) voor de verzending van gegevens en bestanden van en naar de webapplicatie verplicht.
  • Verwerker update de server software en de applicatie. Tevens verzorgt de verwerker de monitoring van de server en applicatie
  • Verwerker stelt het upgraden en updaten van de gebruikte software verplicht. Indien verantwoordelijke besluit niet te updaten vervalt de geldigheid van deze  overeenkomst.

Hosting
Afdeling Online maakt gebruik van hosting leveranciers met wie de volgende afspraken zijn gemaakt.

  • Back up: Gegevens en bronbestanden worden maandelijks gebackupt. Bewaartermijn backups bedraagt 3 maanden. Dit doen wij met Google Cloud Storage binnen Europa.
  • Beschikbaarheid: Het datacenter is voorzien van noodstroom voorzieningen en heeft meerdere internetverbindingen.
  • De hostingprovider draagt zorg voor de netwerkbeveiliging en de fysieke beveiliging (waaronder toegangscontrole) van de servers.