Verwerkersovereenkomst

Laatste update: 26 november 2024

  • Definities
  • Toepasselijkheid
  • Duur van overeenkomst
  • Voorwerp verwerkersovereenkomst
  • Verwerken/gebruik persoonsgegevens
  • Geheimhouding
  • Beveiliging
  • Audit
  • Datalekken
  • Procedure meldplicht datalekken
  • Verzoeken van betrokkenen
  • Subverwerkers
  • Toegang tot persoonsgegevens
  • Aansprakelijkheid en vrijwaring
  • Beëindiging overeenkomst
  • Gevolgen van nietigheid
  • Toepasselijk recht

1. Definities

1.1 Opdrachtgevers, van Beehive Digital Marketing, hierna te noemen ‘verantwoordelijke’.

1.2 Opdrachtnemer, Beehive Digital Marketing, hierna te noemen ‘verwerker’.

2. Toepasselijkheid

2.1 Partijen zijn een overeenkomst aangegaan waarbij de verwerker gegevens en persoonsgegevens van de verantwoordelijke verwerkt.

2.2 Partijen zijn op basis van artikel 28 lid 3 AVG verplicht om afspraken te maken omtrent het waarborgen van de privacy van de persoonsgegevens. Deze worden vastgelegd in de verwerkersovereenkomst.

2.3 Partijen zullen, indien noodzakelijk, benodigde informatie aan elkaar verstrekken om zodoende de privacy- en regelgeving te kunnen naleven.

2.4 De bepalingen van de verwerkersovereenkomst gaan voor alle andere afspraken die tussen beide partijen zijn gemaakt. Immers gaat dit over de verwerking van persoonsgegevens.

3. Duur van de verwerkersovereenkomst

3.1 De overeenkomst treedt in werking zodra beide partijen deze ondertekenen. De overeenkomst eindigt wanneer de verwerker alle persoonsgegevens heeft gewist.

3.2 Deze verwerkersovereenkomst kan tussentijds niet worden opgezegd.

3.3 Zoals omschreven in artikel 6 blijven de afspraken ook na afloop van deze verwerkersovereenkomst van kracht.

4. Voorwerp van de verwerkersovereenkomst

4.1 De verantwoordelijke heeft voor de uitvoering van de opdracht aan de verwerker een opgave verstrekt van de volgende gegevens:
– De aard en het doel van overeengekomen verwerking
– Categorieën van persoonsgegevens die worden verwerkt
– Categorieën van betrokkenen
– Tot slot de categorieën van ontvangers en gebruikers van persoonsgegevens

4.2 De genoemde gegevens in lid 1 kunnen worden aangehecht als bijlage van de verwerkersovereenkomst.

5. Verwerken en gebruik van persoonsgegevens

5.1 De verantwoordelijk kiest het doel van de verwerking en kiest welke persoonsgegevens hiervoor gebruikt worden.

5.2 De verantwoordelijke geeft daarvoor schriftelijke instructies per mail aan de verwerker.

5.3 Verwerker gebruikt de verkregen persoonsgegevens alleen voor de doeleinden waarvoor dit bedoeld is.

5.4 Indien de verantwoordelijke opdracht geeft om de persoonsgegevens te verwerken op een manier die de wetgever niet toestaat zal de verantwoordelijk overleggen met de verwerker hoe beide partijen tot een oplossing kunnen komen.

5.5 De verwerker heeft zelf ook een verantwoordelijkheid om ervoor te zorgen dat gegevens niet in strijd zijn met de wet.

5.6 De verwerker zal persoonsgegevens niet aan derde partijen verstrekken, mits dit gebeurt in opdracht van de verantwoordelijke of indien de verwerker moet voldoen aan een wettelijke verplichting.

6. Geheimhouding

6.1 De verwerker zorgt voor maatregelen om geheimhouding van de persoonsgegevens van de verantwoordelijke te waarborgen.

6.2 Persoonsgegevens kunnen wel door verwerker worden verstrekt aan derde partijen indien dit wettelijk verplicht is.

6.3 De verwerker heeft een geheimhoudingsplicht en zal dat ook opleggen aan personeel en eventuele subverwerkers.

6.4 Bij overtreding van dit artikel kan de verwerker een boete van 0 euro per overtreding eisen.

7. Beveiliging

7.1 Zowel de verantwoordelijke als de verwerker zullen allebei de nodige technische en organisatorische maatregelen treffen zodat het beveiligingsniveau goed op elkaar afgestemd is.

7.2 In het geval van wettelijke betrouwbaarheidseisen informeert de verantwoordelijke de verwerker die op toepassing zijn aan de hand van de mogelijke gevolgen voor de betrokken, zoals in het geval van verlies, corruptie of onmatige verwerking.

7.3 Indien de verantwoordelijke een hoger beveiligingsniveau dan wettelijk is benodigd kan dat tegen redelijke kosten. Daarvoor wordt de verantwoordelijke gefactureerd door de verwerker.

7.4 De verwerker neemt de nodige beveiligingsmaatregelen en houdt hierbij rekening met techniek, uitvoeringskosten, omvang, context, verwerkingsdoeleinden en kan eventuele andere risico’s conform artikel 28 lid 3 sub f AVG.

7.5 De verwerker dient medewerking te verlenen aan de verantwoordelijke indien de verwerker inzage wil op zijn of haar persoonsgegevens, zolang de verwerker eisen stelt binnen de kaders van de wet.

7.6 Ook zal de verwerker medewerking verlenen aan de Autoriteit Persoonsgegevens (AP) indien daarom wordt gevraagd door deze instantie.

7.7 Partijen maken concrete afspraken omtrent de uitvoering van de verwerkersovereenkomst en nemen hierbij de noodzakelijke technische en organisatorische beveiligingsmaatregelen.

7.8 Afspraken bevatten ten minste de volgende onderwerpen: de betrouwbaarheidseisen, het overeengekomen beveiligingsniveau, maatregelen welke worden getroffen door de verwerker, maatregelen ter bescherming van persoonsgegevens en de te nemen maatregelen in het geval van zwakke plekken of incidenten.

7.9 Partijen zullen lid 7 en 8 aanpassen indien dat nodig blijkt.

7.10 De afspraken worden als bijlage aan de verwerkersovereenkomst gehecht.

8. Audit

8.1 De verantwoordelijke kan eenmaal per jaar, op eigen kosten, een audit uitvoeren ter controle van deze verwerkersovereenkomst.

8.2 De verwerker dient medewerking te verlenen aan de audit, zoals vermeld in lid 1, zoals toegang geven tot de database of toegang geven tot andere relevante informatie.

8.3 Aanbevelingen die uit een audit voortkomen worden zo snel mogelijk uitgevoerd.

8.4 De redelijke kosten voor de aanpassing van de audit zijn voor de verantwoordelijke.

8.5 De kosten zijn voor de verwerker indien er een tekortkoming is geweest in de nakoming van de overeengekomen beveiligingseisen.

8.6 Indien de Autoriteit Persoonsgegevens (AP) een onderzoek wil uitvoeren verleent de verwerker zijn medewerking en wordt de verantwoordelijke hiervan op de hoogte gesteld voor zover dat mogelijk is.

9. Datalekken

9.1 Indien zich er een datalek voordoet, zoals bedoeld in artikel 4 sub 12 AVG, zal de verwerker de verantwoordelijke daarvan op de hoogte stellen.

9.2 Indien zich er een datalek voordoet zal de verwerker alle redelijke noodzakelijke maatregelen treffen om de gevolgen daarvan zoveel mogelijk te beperken. Met deze maatregelen moeten nieuwe lekken zoveel mogelijk voorkomen worden.

9.3 De verwerker verleent de verantwoordelijke alle medewerking om de omvang en de gevolgen van een eventueel datalek te kunnen beoordelen. Indien er een melding moet worden gemaakt bij de Autoriteit Persoonsgegevens zal de verantwoordelijke daarvan op de hoogte worden gebracht.

9.4 Partijen leggen de procedure in het geval van een datalek vast, zoals omschreven in artikel 9 van deze verwerkersovereenkomst. De procedure kan worden aangepast indien dat nodig blijkt.

9.5 Indien de verwerker het nalaat om een datalek tijdig te melden is de verwerker een direct opeisbare boete van 0 euro verschuldigd aan de verantwoordelijke. Dat bedrag kan per 2 procent per uur worden verhoogd indien de melding te laat geschiedt.

10. Procedure meldplicht datalekken

Indien zich er onverhoopt een datalek voordoet zal de volgende procedure gelden:

10.1 De verwerker zal alle beveiligingsincidenten registreren.

10.2 De registratie omvat minimaal het aantal personen dat er zijn getroffen, het tijdstip van het incident, het type gegevens dat is getroffen, welke mogelijke gevolgen er zijn en welke maatregelen er getroffen zijn.

10.3 De verantwoordelijke overlegt met de verwerker indien het incident gemeld moet worden bij de Autoriteit Persoonsgegevens.

10.4 De verantwoordelijke informeert de verwerker voorafgaand of dit gemeld wordt bij de Autoriteit Persoonsgegevens.

10.5 De verwerker verleent de noodzakelijke medewerking, met inachtneming van de wetgeving, om een melding te kunnen doen bij de Autoriteit Persoonsgegevens.

10.6 De verwerker verleent alle medewerking om te kunnen voldoen aan artikel 34 AVG om de getroffen personen te kunnen informeren over het datalek.

11. Verzoeken van betrokkenen

11.1 Elk verzoek tot inzage, rectificatie, het wissen van gegevens, beperking van de verwerking, overdraagbaarheid van (persoons)gegevens of bezwaar zoals bedoeld in artikel 15 t/m 21 AVG dat de verwerker bereikt wordt doorgestuurd naar de verantwoordelijke.

11.2 De verwerker verleent de verantwoordelijke alle noodzakelijke medewerking zodat er binnen de wettelijke termijnen kan worden voldaan aan eisen zoals vermeld in lid 1.

11.3 De verantwoordelijke zal de redelijke kosten voor de benodigde medewerking vergoeden aan de verwerker indien dat nodig blijkt.

12. Subverwerkers

12.1 De verwerker deelt persoonsgegevens met de volgende subverwerkers: Leeman & Kuiper BV, Ritsema Administratie En Belastingadvies Bv, Apple Inc. te Cupertino en Google LLC te Mountain View. Persoonsgegevens worden niet gedeeld met derden mits daar toestemming voor gegeven is voor verantwoordelijke.

12.2 De verwerker is zowel verantwoordelijk als aansprakelijk voor de afhandeling van de in lid 1 genoemde subverwerkers.

12.3 Indien een verwerker een sub-verwerker inschakelt is de verwerker verplicht te bedingen dat deze sub-verwerker de opgelegde verplichtingen nakomt. Ook met hen is een verwerkersovereenkomst gesloten.

12.4 Indien de verwerker zonder toestemming een sub-verwerker inschakelt, zoals bedoeld in lid 1, is de verwerker een boete verschuldigd van 0 euro aan de verantwoordelijke.

13. Toegang tot persoonsgegevens

De verwerker zorgt ervoor dat de verantwoordelijke te allen tijde toegang heeft tot de nodige persoonsgegevens.

14. Aansprakelijkheid en vrijwaring

14.1 De verwerker kan niet aansprakelijk worden gesteld als gevolg van schade vanwege schendingen van de verantwoordelijke.

14.2 De verantwoordelijke vrijwaart de verwerker van een schending, zoals vermeld in lid 1.

14.3 De verantwoordelijke kan niet aansprakelijk worden gesteld voor schade als gevolg van de schendingen van wet- en regelgeving door de verwerker.

14.4 De verwerker vrijwaart de aanspraken door derde partijen en eventuele gemaakte kosten, zoals vermeld in lid 3.

14.5 De andere partij, in dit geval vermeld in lid 1 en lid 3, zijn gerechtigd de verwerkersovereenkomst op te zeggen.

15. Beëindiging verwerkersovereenkomst

14.1 De verwerkersovereenkomst eindigt wanneer de onderliggende opdracht is beëindigd en wanneer de verwerker de persoonsgegevens heeft overgedragen aan de verantwoordelijke. Achtergebleven gegevens worden in dat geval vernietigd.

14.2 De verantwoordelijke kan een verzoek indienen bij de verwerker om de persoonsgegevens te leveren in bepaald bestandsformaat, tegen een redelijke vergoeding van de kosten.

14.3 In plaats van overdraging van de gegevens kan de verantwoordelijke ook verzoeken aan de verwerker om de gegevens te vernietigen.

14.4 Vernietiging van de gegevens, zoals bedoeld in lid 3, kan pas plaatsvinden nadat de verantwoordelijke daarvoor toestemming heeft gegeven (schriftelijk).

14.5. De bepalingen van artikel 6 blijven van kracht.

Artikel 16. Gevolgen van nietigheid en/of vernietigbaarheid

Indien een gedeelte van de overeenkomst nietig dan wel vernietigbaar is zal dit de overige onderdelen van de verwerkersovereenkomst niet aantasten. Bepalingen die nietig of vernietigbaar zijn worden vervangen door een bepaling die hierbij in de buurt komt.

Artikel 17. Toepasselijk recht en de bevoegde rechter

17.1 Op deze overeenkomst is Nederlands recht van toepassing.

17.2 Eventuele geschillen, welke ontstaan naar aanleiding van deze verwerkersovereenkomst, en die niet gezamenlijke kunnen worden opgelost worden voorgelegd vaan de bevoegde rechter in Amsterdam.