Ga naar de inhoud

Definities:

  • Algemene voorwaarden: hierbij gaat het om de algemene voorwaarden van verwerkingsverantwoordelijke. Deze maken onlosmakelijk deel uit van de overeenkomst.
  • AVG: de EU verordening 2016/679 van het Europees Parlement, en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46/EG (algemene verordening gegevensbescherming);
  • Betrokkene: degene op wie de persoonsgegevens betrekking hebben;
  • Diensten: de diensten uit te voeren door verwerker zoals overeengekomen in de overeenkomst tussen verwerker en verwerkingsverantwoordelijke;
    onderliggende overeenkomst: de overeenkomst waarbij de verwerkingsverantwoordelijke aan de verwerker opdracht heeft gegeven om verwerkingen van persoonsgegevens te verrichten;
  • Overeenkomst: de onderhavige verwerkersovereenkomst zoals opgesteld en getekend door betrokken partijen;
  • Persoonsgegevens: alle relevante informatie over een identificeerbare of geïdentificeerde natuurlijke persoon, die verwerker op grond van de onderliggende overeenkomst verwerkt (of dient te verwerken voor het uitvoeren van de diensten);
  • Privacywetgeving: de toepasselijke wet- en regelgeving met betrekking tot verwerking en bescherming van persoonsgegevens, waaronder (maar niet beperkt tot), AVG en de Uitvoeringswet AVG;
  • Toezichthouder: de Autoriteit Persoonsgegevens;
  • Uitvoeringswet AVG: regels ter Uitvoering van de EU Verordening 2016/679 van het Europees Parlement, en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46/EG (Algemene Verordening Gegevensbescherming); PbEU 2016, L 119, Uitvoeringswet Algemene verordening gegevensbescherming;
  • Verwerkingsverantwoordelijke: Marketingkraam gevestigd aan de Bernadottelaan 13, 3527 GA te Utrecht, geregistreerd in het Handelsregister van de Kamer van Koophandel onder nummer 83844201, die alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt als gedefinieerd definieert in artikel 4 lid 7 van de EU Verordening 2016/679 van het Europees Parlement, en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (Algemene Verordening Gegevensbescherming).
  • Verwerker:Marketingkraam gevestigd aan de Bernadottelaan 13, 3527 GA te Utrecht, geregistreerd in het Handelsregister van de Kamer van Koophandel onder nummer 83844201, die ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt als gedefinieerd in artikel 4 lid 8 van de EU Verordening 2016/679 van het Europees Parlement, en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (Algemene verordening gegevensbescherming).
  • Verwerken/verwerking: alle handelingen, of reeks handelingen, uitgevoerd op persoonsgegevens of een geheel van persoonsgegevens, al dan niet via procedés die geautomatiseerd zijn, denk hierbij aan het verzamelen, ordenen, vastleggen, structureren, opslaan, bijwerken of wijzigen, raadplegen, opvragen, gebruiken, verstrekken door middel van doorverzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van persoonsgegevens;
  • Verwerkersovereenkomst: een verwerkersovereenkomst regelt de verantwoordelijkheden bij de verwerking van persoonsgegevens als een organisatie voor de verwerking een derde partij.

Nemen in aanmerking dat:

  1. Verwerkingsverantwoordelijke en verwerker deze overeenkomst zijn aangegaan om afspraken vast te leggen over de verwerking van persoonsgegevens, in overeenstemming met de toepasselijke Privacywetgeving.
  2. Deze overeenkomst ziet toe op het verrichten van diensten zoals overeengekomen in de overeenkomst.
  3. Deze overeenkomst heeft ertoe geleidt dat verwerker in opdracht van verwerkingsverantwoordelijke ‘persoonsgegevens’ verwerkt.

Komen overeen:

Artikel 1 – Toepasselijkheid

1.1. Tenzij partijen schriftelijk anders overeengekomen zijn, zijn alle bepalingen van deze overeenkomst van toepassing op iedere verwerking die door verwerker geschiedt op grond van de onderliggende overeenkomst.
1.2. De bepalingen uit de onderliggende overeenkomst zijn onverkort van toepassing op de verwerkersovereenkomst. De bepalingen uit de verwerkersovereenkomst prevaleren de  bepalingen uit de algemene voorwaarden die toegespitst zijn op de verwerking van persoonsgegevens.

Artikel 2 – Duur

2.1. Deze Overeenkomst vangt aan op de datum waarop de Onderliggende Overeenkomst is ondertekend door Partijen.
2.2. De Overeenkomst duurt voort voor dezelfde termijn als waarvoor de Onderliggende Overeenkomst is aangegaan en de Persoonsgegevens door de Verwerker verwerkt worden ter uitvoering hiervan, ofwel tot het moment waarop de Verwerker alle Persoonsgegevens permanent heeft gewist.
2.3. Na afloop van de verwerkingsdiensten wist de Verwerker, en indien van toepassing alle sub-verwerkers en personen die bij Verwerker in dienst zijn, alle Persoonsgegevens, tenzij opslag van de Persoonsgegevens wettelijk verplicht is.
2.4. Geen der Partijen kan de Overeenkomst tussentijds opzeggen.
2.5. In het geval dat de Onderliggende Overeenkomst wordt beëindigd, zal deze Overeenkomst eindigen op hetzelfde moment en zullen de Persoonsgegevens worden gewist door de Verwerker.
2.6. Na afloop zullen bepalingen die betrekking hebben op situaties die zich na beëindiging van de Overeenkomst kunnen voordoen, van toepassing blijven.

Artikel 3 – Verwerking door Verwerker

3.1. Verwerker verwerkt Persoonsgegevens ten behoeve van de Verwerkingsverantwoordelijke. Dit gebeurt overeenkomstig de schriftelijke instructie van de Verwerkingsverantwoordelijke onder diens verantwoordelijkheid. Dit gebeurt op de wijze die is vastgelegd in de Onderliggende Overeenkomst.
3.2. Verwerker verwerkt Persoonsgegevens in opdracht van de Verwerkingsverantwoordelijke, behoudens afwijkende wettelijke verplichtingen. Verwerker mag Persoonsgegevens wel in geanonimiseerde vorm gebruiken voor statistische doeleinden.
3.3. De Verwerkingsverantwoordelijke garandeert dat de opdracht tot verwerking van de genoemde Persoonsgegevens in overeenstemming is met alle toepasselijke wet- en regelgeving.
3.4. De Verwerkingsverantwoordelijke vrijwaart Verwerker tegen alle aanspraken van derden welke op enigerlei wijze voortvloeien uit het niet naleven van deze garantie.
3.5. Verwerkingsverantwoordelijke is verantwoordelijk voor de verwerking van de Persoonsgegevens in het kader van de Overeenkomst, alsmede van Persoonsgegevens die middels verdere verwerking van gegevens zijn ontstaan.
3.6. Voor nakoming van deze Overeenkomst, stelt Verwerker op verzoek van Verwerkingsverantwoordelijke alle informatie ter beschikking die nodig is om nakoming van de in deze Overeenkomst neergelegde verplichtingen aan te tonen.
3.7. Indien Verwerker Persoonsgegevens wil Verwerken buiten de Europese Economische Ruimte (EER), dient hier voorafgaand schriftelijke toestemming gegeven te worden van de Verwerkingsverantwoordelijke.
3.8. Verwerkingsverantwoordelijke zal ervoor zorgen dat Verwerker adequaat geïnformeerd wordt over (wettelijke) bewaartermijnen die van toepassing zijn op de Verwerking van Persoonsgegevens voor Verwerker. Uiteraard zal Verwerker niet langer Verwerken dan toegestaan is volgens die bewaartermijnen.

Artikel 4 – Verstrekking Persoonsgegevens aan derden

4.1. Verwerker zal geen Persoonsgegevens verstrekken aan een derde, of ter beschikking stellen. Dit, tenzij op grond van uitdrukkelijke en schriftelijke opdracht van de Verwerkingsverantwoordelijk of op een bevel van een gerechtelijke of bestuurlijke instantie deze toestemming is gegeven ofwel dit verplicht is. In het laatste geval zal Verwerker de Verwerkingsverantwoordelijke in kennis stellen van het bevel. Verwerkingsverantwoordelijke heeft de keuze om tegen een dergelijk bevel een beschikbaar rechtsmiddel in te stellen.
4.2. Indien de Verwerker van oordeel is dat er op grond van een wettelijke verplichting Persoonsgegevens ter beschikking gesteld dienen te worden, zal Verwerker de Verwerkingsverantwoordelijke, voorafgaand aan de verwerking daarvan in kennis stellen.

Artikel 5 – Verzoeken van Betrokkenen

5.1. De Verwerker stelt Verwerkingsverantwoordelijke in kennis van alle verzoeken die rechtstreeks van Betrokkenen zijn ontvangen, met betrekking tot de rechten van Betrokkenen op grond van geldende en toepasselijke Privacywetgeving: verzoeken tot inzage, rectificatie, wissing, beperking van de verwerking of overdracht van de Persoonsgegevens. Verwerkingsverantwoordelijke is verantwoordelijk voor de beantwoording en afhandeling van dergelijke verzoeken.

Artikel 6 – Medewerking Verwerker

6.1. Bij het nakomen van verplichtingen zal Verwerker de Verwerkingsverantwoordelijke medewerking verlenen met betrekking tot de volgende punten:
a) Verzoeken van Betrokkenen met betrekking tot de uitoefening van rechten van betrokkenen op grond van toepasselijke Privacywetgeving.
b) Het raadplegen van de Toezichthouder, voorafgaand aan verwerking die een hoog risico met zich meebrengt.
c) Passende, technische en organisatorische maatregelen te nemen om een op het risico afgestemd beveiligingsniveau te kunnen waarborgen.
d) Het melden van datalekken aan Toezichthouder en de Betrokkenen.
e) Het uitvoeren van een gegevensbeschermingseffectbeoordeling (GEB).
6.2. Verwerker is gerechtigd de kosten die gemoeid zijn met de medewerking bij Verwerkingsverantwoordelijke in rekening te brengen.

Artikel 7 – Sub-Verwerkers

7.1. Het is Verwerker toegestaan om derden en/of onderaannemers (sub-verwerkers) in te schakelen bij het uitvoeren van de Overeenkomst en Diensten van Verwerker. Indien een sub-verwerker ingeschakeld wordt om ten behoeve van de Verwerkingsverantwoordelijke verwerkingsactiviteiten te verrichten (specifiek of niet), zal Verwerker aan deze sub-verwerker bij overeenkomst minstens dezelfde verplichtingen met betrekking tot verwerking en bescherming van persoonsgegevens opleggen zoals de verplichtingen die zijn opgenomen in deze Overeenkomst.
7.2. Indien de Verwerker een sub-verwerker in wenst te schakelen, dient Verwerker voor iedere sub-verwerker voorafgaande schriftelijke toestemming te krijgen van Verwerkingsverantwoordelijke.
7.3. De Verwerker draagt er zorg voor dat de sub-verwerker voldoet aan de verplichtingen voor verwerker krachtens deze Overeenkomst en de toepasselijke wet- en regelgeving omtrent gegevensbescherming.
7.4. De Verwerker blijft te allen tijde verantwoordelijk en aansprakelijk voor de niet-nakoming van de verplichtingen van de sub-verwerkers en voor de uitvoering van de verwerking door de sub-verwerkers.

Artikel 8 – Geheimhouding

8.1. Verwerker zal de Persoonsgegevens en andere informatie die verkregen is van de Verwerkingsverantwoordelijke strikt geheimhouden. Hierbij wordt minstens eenzelfde mate van zorg in acht genomen, die Verwerker ten aanzien van de bescherming van eigen informatie in acht neemt. Verwerker zal de Persoonsgegevens die verkregen zijn van de Verwerkingsverantwoordelijke niet openbaar maken, verstrekken, distribueren of op andere wijze bekend maken aan andere personen dan haar werknemers die van de Persoonsgegevens of andere informatie verkregen van de Verwerkingsverantwoordelijke kennis dienen te (kunnen) nemen voor hun werkzaamheden voor de Verwerker. Verwerker legt het in deze Overeenkomst bepaalde, waaronder met name de geheimhouding ten aanzien van de Persoonsgegevens, ook aan haar werknemers op.

Artikel 9 – Meldplicht datalekken

9.1.Verwerker zal Verwerkingsverantwoordelijke onverwijld (in ieder geval uiterlijk binnen 48 uur nadat Verwerker kennis ervan heeft gekregen) in kennis stellen van iedere inbreuk op de beveiliging die betrekking heeft, of kan hebben op de Verwerking van Persoonsgegevens, tenzij het niet waarschijnlijk is dat de inbreuk een risico inhoudt voor de rechten en vrijheden van Betrokkene.
9.2. Verwerker zal, voor zover redelijk, Verwerkingsverantwoordelijke medewerking verlenen, informatie verstrekken en zal Verwerkingsverantwoordelijke ondersteunen in het uitvoeren van haar wettelijke plichten ten aanzien van het geconstateerde incident bij meldingen aan Betrokkenen en/of autoriteiten.
9.3. Verwerker zal de benodigde maatregelen treffen om (eventuele) schade van een inbreuk op de beveiliging te beperken.
9.4. Verwerker is nooit gehouden tot het melden van een inbreuk in verband met persoonsgegevens bij de Toezichthouder en/of de betrokkene.

Artikel 10 – Beveiligingsmaatregelen en inspectie

10.1. Verwerker zal, conform de in artikel 32 AVG vermelde passende technische en organisatorische maatregelen treffen om persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking, gelet op de huidige stand van de techniek, de uitvoeringskosten, alsook gelet op de aard, de omvang, context en verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico’s die verwerking van de persoonsgegevens door Verwerker met zich meebrengen voor de rechten en vrijheden van de betrokkenen.
10.2. Verwerker zal de Verwerkingsverantwoordelijke informeren indien een van de beveiligingsmaatregelen worden gewijzigd.
10.3. Verwerker staat het toe dat Verwerkingsverantwoordelijke de naleving van beveiligingsmaatregelen door Verwerker inspecteert of dat op verzoek van Verwerkingsverantwoordelijke de gegevensverwerkingsfaciliteiten van Verwerker door een door Verwerkingsverantwoordelijke aan te wijzen onderzoeksinstantie worden geïnspecteerd in verband met de verwerkingsactiviteiten die onder deze overeenkomst vallen (‘de Inspectie’). De Inspectie wordt uitgevoerd door een onderzoeksinstantie, die naar het redelijk oordeel van Verwerkingsverantwoordelijke neutraal en deskundig is. Verwerkingsverantwoordelijke draagt zorg ervoor dat de onderzoeksinstantie verplicht is tot geheimhouding van haar bevindingen tegenover derden.
10.4. Verwerkingsverantwoordelijke zal alle kosten, vergoedingen en onkosten in verband met de Inspectie betalen, met inbegrip van redelijke door Verwerker gemaakte kosten.

Artikel 11 – Niet naleving en beëindiging

11.1. De Verwerkingsverantwoordelijke is gerechtigd de Overeenkomst te beëindigen in het geval van voortdurende of fundamentele schending van de verplichtingen uit hoofde van deze Overeenkomst of wet- en regelgeving door de Verwerker.
11.2. In het geval dat de Verwerker in strijd is met toepasselijke wet- en regelgeving omtrent gegevensbescherming de doeleinden en middelen van de verwerking bepaalt, wordt de Verwerker als Verwerkingsverantwoordelijke beschouwd met betrekking tot die verwerking, onverminderd artikelen 82, 83 en 84 AVG.
11.3. Indien de Verwerker niet kan voldoen of verwacht niet te kunnen voldoen aan zijn verplichtingen uit hoofde van deze Overeenkomst, brengt hij de Verwerkingsverantwoordelijke hiervan zo snel mogelijk, schriftelijk, op de hoogte. Onverminderd de bepalingen in toepasselijke wet- en regelgeving omtrent gegevensbescherming, kan de Verwerkingsverantwoordelijke de opdracht geven aan Verwerker om de uitvoering van de verwerking op te schorten totdat de Verwerker aan zijn verplichtingen voldoet. Indien de Verwerker niet binnen een redelijke termijn de werkzaamheden kan hervatten, heeft de Verwerkersverantwoordelijke het recht deze Overeenkomst te beëindigen.
11.4. De Verwerkingsverantwoordelijke kan Verwerker aansprakelijk stellen voor schade voortkomend uit het toerekenbaar niet-nakomen of schenden van bepalingen uit deze Overeenkomst of toepasselijke wet- en regelgeving omtrent gegevensbescherming door Verwerker.

Artikel 12 – Toepasselijk recht

12.1. Op deze Overeenkomst is het Nederlands recht van toepassing.
12.2. Indien de wet- en regelgeving omtrent gegevensbescherming wijzigt, zullen Partijen de Overeenkomst aanpassen om te blijven voldoen aan de verplichtingen.

Artikel 13 – Ontvangst Overeenkomst

13.1. Verwerker verklaart een versie van deze Overeenkomst te hebben ontvangen.