Verwerkersovereenkomst

versie 2.0 | 12 januari 2021

De ondergetekende

Volledige bedrijfsnaam:

 

Adres + huisnummer:

 

Woonplaats:

 

Postcode:

 

Rechtsgeldig vertegenwoordigd door:

 

Hierna te noemen:

Klant


EN

De besloten vennootschap met beperkte aansprakelijkheid “Drawbridge54 B.V.”, handelend onder de handelsnaam “Drawbridge54” en “DB54”, gevestigd te Zaagmolen 2, 3962GA, Wijk bij Duurstede, te dezen vertegenwoordigd door de heer G.J.C. de Steur, hierna te noemen: “DB54”.

hierna individueel te noemen “Partij” en gezamenlijk te noemen “Partijen”

Overwegende dat:

  1. DB54 aan Klant de DB54 Tool set levert zoals vastgelegd in de Verwerkersovereenkomst;
  2. Bij het leveren van de DB54 Tool set DB54 persoonsgegevens van Klant verwerkt;
  3. Partijen ingevolge de Algemene Verordening Gegevensbescherming verplicht zijn een verwerkersovereenkomst te sluiten als er door Partijen persoonsgegevens verwerkt worden;
  4. Klant ingevolge de hiervoor genoemde wetgeving aangemerkt wordt als Verwerkingsverantwoordelijke en DB54 als Verwerker;
  5. Partijen derhalve deze verwerkersovereenkomst sluiten (hierna te noemen: “Verwerkersovereenkomst”).

Komen het volgende overeen:

  • Scope en doelbinding
    • Onderwerp van deze Verwerkersovereenkomst is het maken van afspraken over het verwerken van persoonsgegevens zoals bedoeld in artikel 28 lid 3 van de Algemene Verordening Gegevensbescherming (AVG).
    • Op basis van de vigerende wet- en regelgeving en in het kader van het verwerken van persoonsgegevens onderscheiden en erkennen Partijen respectievelijk de volgende rollen (inclusief de daarbij behorende verantwoordelijkheden): de Klant is Verwerkingsverantwoordelijke, DB54 wordt beschouwd als Verwerker, een eventueel door DB54 ingeschakelde derde die persoonsgegevens verwerkt is Sub-Verwerker.
    • DB54 verwerkt persoonsgegevens in het kader van de uitvoering van de overeengekomen werkzaamheden en diensten zoals vastgelegd in de Overeenkomst, de persoonsgegevens slechts in opdracht en op instructies van Klant en conform de verwerkingsdoelen zoals door hem vastgesteld en beschreven staan in.

      Bijlage 1. Indien de instructies niet opgevolgd kunnen worden binnen de kaders van de in de Overeenkomst overeengekomen werkzaamheden en diensten, treden Partijen in overleg over de (financiële) gevolgen van de uitvoeringen en opvolgen van de gewenste instructies. DB54 zal Klant op de hoogte stellen indien een door Klant gegeven instructie volgens DB54 in strijd is met de vigerende wet- en regelgeving ter zake het verwerken van persoonsgegevens. Indien de Overeenkomst zodanig wordt uitgebreid dat Bijlage 1 aanpassing behoeft, komen Partijen een addendum overeen om Bijlage 1 te actualiseren.

    • DB54 zal in het kader van de uitvoering van de overeengekomen werkzaamheden en diensten zoals vastgelegd in de Overeenkomst de persoonsgegevens alleen ten behoeve van Klant verwerken, waarbij het DB54 niet is toegestaan de persoonsgegevens van Klant voor eigen doeleinden, anders dan overeengekomen, te verwerken en/of aan derden te verstrekken.
    • DB54 stelt ten behoeve van de verwerkingen van persoonsgegevens aan Klant de overeengekomen ICT-middelen en/of programmatuur ter beschikking, welke middelen en/of programmatuur door Klant te gebruiken zijn voor de door hem gestelde doelen. DB54 is derhalve een passieve verwerker, in dier voege dat DB54 in het geheel niet de verwerkingsdoelen en -middelen bepaalt. In Bijlage 1 zijn de doelen voor verwerking aangegeven, het is de verantwoordelijkheid van Klant om ervoor te zorgen dat zij de hiervoor bedoelde ICT-middelen zodanig inzet of gebruikt, dat de persoonsgegevens conform de toepasselijke privacywetgeving en vooraf gestelde gerechtvaardigde doelen verwerkt worden.
    • Indien en voor zover Klant krachtens een wet of een (intern) regelement gehouden is om een inspraak- en medezeggenschapsorgaan te betrekken bij de implementatie van de dienst, dan zorgt zij ervoor dat de betreffende organen of personen worden geïnformeerd over het doel en middelen van de SaaS-dienst en worden geconsulteerd voor zover van belang in dit kader.
  • Geheimhouding
    • Ieder der Partijen zal alle redelijkerwijs te nemen maatregelen treffen teneinde de geheimhouding van vertrouwelijke informatie te waarborgen voor zover zulks mogelijk is in verband met de uitvoering van de Overeenkomst.
    • De van Klant verkregen gegevens en door DB54 te verwerken persoonsgegevens zullen door DB54 niet aan derden worden verstrekt, tenzij er door de Klant schriftelijk toestemming is verleend, of tenzij het voor de uitvoering van de overeengekomen werkzaamheden en diensten, de nakoming van een wettelijke verplichting, een verzoek van een autoriteit, of gerechtelijke uitspraak noodzakelijk is.
    • DB54 draagt er zorg voor dat de gegevens aan personeel van Partijen alleen op need-to-know basis worden verstrekt, en dat alleen het personeel dat belast is met het uitvoeren van de overeengekomen werkzaamheden of diensten toegang heeft tot de (de verwerking van) persoonsgegevens.
  • Technische en organisatorische maatregelen
    • Partijen dragen zorg voor de correcte naleving van de toepasselijke wet- en regelgeving, waaronder in ieder geval begrepen wet- en regelgeving op het gebied van de bescherming van persoonsgegevens, zoals de Algemene Verordening Gegevensbescherming en de Wet bescherming persoonsgegevens.
    • DB54 legt passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau waarbij de risico’s die de verwerking en de aard van de te beschermen gegevens met zich meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen. Deze maatregelen betreffen onder andere:
      two-factor authenticatie voor Gebruiker;
      b. SSL-verbinding met Gebruiker (encryptie in transit);
      c. inzet ISO 27001 gecertificeerd hostingbedrijf;
      d. logische scheiding van opgeslagen gegevens van Klant;
      e. one-way encrypted wachtwoorden van Gebruiker.
    • Klant legt voor het gedeelte waarvoor zij verantwoordelijk is passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau waarbij rekening gehouden is met de risico’s die de verwerking en de aard van de te beschermen gegevens met zich meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen. Het gaat dan bijvoorbeeld om: (i) bedrijfsprocessen die voldoen aan de relevante wetgeving ter zake het verwerken van persoonsgegevens; (ii) autorisatiemodellen waarbij personeel dat niets of maar beperkt met bepaalde gegevens te maken heeft, geen dan wel gereguleerde toegang heeft tot die gegevens (iii); beveiliging van werkstations; (iv) een adequaat wachtwoord- en toegangsbeleid. Tevens dient Klant er zorg voor te dragen dat zij een adequaat beleid voert ter zake gebruik van (privé) gebruik van de eigen systemen, internet en e-mail, waarbij is bepaald dat bij het gebruik van applicaties persoonsgegevens gelogd kunnen worden.
    • Klant informeert voor aanvang van de overeengekomen werkzaamheden DB54 over de door hem getroffen technische en organisatorische maatregelen zoals bedoeld in vorengenoemd artikellid. Het is de verantwoordelijkheid van Klant om DB54 tijdig te verwittigen van nieuw of aangepast beleid ten aanzien van de technische en organisatorische maatregelen die hij krachtens wet- en regelgeving en verkeersopvattingen behoort te nemen.
    • Klant beoordeelt zelf in hoeverre een gegevensbeschermingseffectbeoordeling (PIA) zoals bedoeld in artikel 35 AVG nodig is. Indien DB54 naar eigen inzicht meent dat in een concreet geval een PIA behoort te worden uitgevoerd, dan brengt DB54 Klant hiervan op de hoogte en verzoekt Klant een PIA uit te voeren.  
    • Indien Klant in het kader van het verwerken van persoonsgegevens een gegevensbeschermingseffectbeoordeling (PIA) heeft uitgevoerd, dan verstrekt Klant voor aanvang van overeengekomen werkzaamheden of levering van overeengekomen diensten aan DB54 een afschrift van de resultaten en de eventueel te nemen of genomen maatregelen.
    • Klant is gerechtigd om gedurende de looptijd van de Verwerkersovereenkomst de hiervoor genoemde maatregelen door een onafhankelijke deskundige te laten toetsen door middel van een audit, onder de voorwaarden dat: (i) de audit door Klant tijdig wordt aangekondigd; (ii) de kosten (inclusief kosten onafhankelijke derde zoals hiervoor bedoeld en de kosten voor het vrijmaken van één of meerdere medewerkers van DB54 welke de auditor ondersteunen tegen het uurtarief voor de desbetreffende medewerker(s)) voor de audit gedragen worden door Klant; en (iii) het resultaat van de audit besproken wordt met DB54.
    • Voordat Klant overgaat tot een audit raadpleegt en beoordeelt hij eerst de bij DB54 aanwezige rapportages en als Klant daarna nog van oordeel is dat de geraadpleegde rapportages onvoldoende zijn, dan geeft hij in het verzoek de redenen en argumenten aan die volgens hem alsnog een audit rechtvaardigen. Een audit zoals hier bedoeld kan slechts worden uitgevoerd onder de cumulatieve voorwaarden zoals genoemd in het vorengenoemde artikellid.
  • Derden
    • DB54 mag in het kader van de Overeenkomst gebruik maken van een Sub-Verwerker. Klant geeft hierbij bij voorbaat algemene toestemming voor het inschakelen van Sub-Vewerkers. De lijst van sub-verwerkers is bij deze Verwerkersoverenkomst in Bijlage 2 Deze lijst kan door DB54 naar eigen inzicht en oordeel worden uitgebreid. Mocht DB54 de lijst uitbreiden met nieuwe Sub-Verwerkers dan wordt Klant hiervan tijdig op de hoogte gesteld, waarbij Klant in de gelegenheid wordt gesteld om bezwaar te maken tegen de beoogde nieuwe Sub-Verwerkers.
    • Indien en voor zover het in voorgaand lid bedoeld bezwaar redelijk en gerond is, zullen DB54 en Klant zoeken naar redelijke oplossingen om de bezwaren weg te nemen en aan de wensen tegemoet te komen. Mochten Klant en DB54 niet tot een werkbare oplossing kunnen komen, dan is de Klant met inachtneming van een opzegtermijn van 30 (dertig) dagen gerechtigd de Verwerkersovereenkomst en de overeenkomsten die hieraan gelieerd zijn en/of verband houden (zoals de Overeenkomst) te beëindigen.
    • Het is DB54 niet toegestaan zonder toestemming van Klant de persoonsgegevens naar een land buiten de E.U. / E.E.R. door te geven. Dit geldt niet voor doorgifte aan de sub-verwerkers zoals vastgelegd in Bijlage 2.
    • DB54 sluit indien en voor zover mogelijk met de hiervoor bedoelde Sub-Verwerkers sub-verwerkersovereenkomsten af.
    • DB54 kan niet voor elke Sub-Verwerker garanderen dat DB54 door de Sub-Verwerker op de hoogte wordt gesteld over wijzigingen ter zake sub-sub-verwerkers.
  • Datalekken en rechten van betrokkenen
    • Indien DB54 vermoedt, of te weten is gekomen, dat de persoonsgegevens van Klant gecompromitteerd zijn (security breach of een datalek), of zijn geweest, meldt DB54 dit onmiddellijk aan Klant. Naar aanleiding daarvan beoordeelt Klant of zij de betrokkenen zal informeren en/of het incident zal melden aan de door de wet aangewezen toezichthouder. Klant is en blijft altijd zelf verantwoordelijk voor een eventuele wettelijke verplichting daartoe. Niettemin verleent DB54 voor zover noodzakelijk medewerking om te kunnen voldoen aan de op Klant rustende wettelijke verplichtingen.
    • In het geval een betrokkene een verzoek omtrent inzage, correctie of verwijdering richt aan DB54, of enig ander recht die hem toekomt wenst uit te oefenen, zal DB54 het verzoek doorsturen naar Klant, en zal Klant het verzoek verder afhandelen. DB54 stelt de betrokkene daarvan op de hoogte. Voor zover niet in strijd met enige wettelijke bepaling zal desverzocht DB54 medewerking verlenen aan Klant bij de behandeling en afhandeling van het verzoek.
    • Op eerste verzoek van Klant: (i) verstrekt DB54 door Klant gevraagde informatie ter zake het verwerken van de persoonsgegevens van Klant; en (ii) werkt DB54 met Klant mee indien en voor zover dit nodig is om de verplichtingen van Klant onder de vigerende wet- en regelgeving ter zake het verwerken van persoonsgegevens na te komen. Tweede zin van artikel 3 is van overeenkomstige toepassing.
  • Overige bepalingen
    • Klant garandeert dat de inhoud, het gebruik en de opdracht tot de verwerkingen van de persoonsgegevens zoals bedoeld in deze Verwerkersovereenkomst, niet onrechtmatig is en geen inbreuk maken op enig recht van derden. Klant vrijwaart DB54 tegen alle aanspraken en claims die hiermee verband houden.
    • Deze Verwerkersovereenkomst duurt voort zolang DB54 werkzaamheden en/of diensten voor Klant verricht. Na afloop vernietigt DB54 de persoonsgegevens van Klant, of indien Klant daarom verzoekt, levert zij de persoonsgegevens aan Klant aan, alvorens de persoonsgegevens te vernietigen. DB54 levert op eerste verzoek van Klant een verklaring dat de persoonsgegevens vernietigd zijn.
    • Klant is zelf verantwoordelijk voor de wijze waarop hij de gegevens aan DB54 aanlevert. Het is derhalve zijn verantwoordelijkheid om te controleren of de wijze waarop de gegevens worden aangeleverd aan DB54 voldoet aan de relevante wetgeving en/of (interne compliancy) reglementen. Hierbij houdt Klant rekening met de geldende richtlijnen van DB54 voor aanlevering van gegevens. Als de aanlevering door Klant niet past binnen de richtlijnen die DB54 hiervoor hanteert, heeft DB54 het recht om de gewenste wijze van aanlevering te weigeren en/of een aanlevering te verlangen die conform de richtlijnen van DB54 is. Klant vrijwaart DB54 voor alle aanspraken en/of schade indien en voor zover de gegevens niet zijn aangeleverd in overeenstemming met de relevantie regelgeving en/of (interne compliancy) reglementen aan DB54.
    • Op deze Verwerkersovereenkomst is Nederlands recht van toepassing. Geschillen voortvloeiende uit deze Verwerkersovereenkomst worden voorgelegd aan de bevoegde rechter.
    • Deze Verwerkersovereenkomst geldt als een addendum op de Overeenkomst. Derhalve kan deze Verwerkersovereenkomst niet los worden gezien van de Overeenkomst. Bij tegenstrijdigheid tussen hetgeen in deze Verwerkersovereenkomst is bepaald, en de Overeenkomst, prevaleert hetgeen is bepaald in deze Verwerkersovereenkomst.

Aldus overeengekomen en in tweevoud vastgelegd.

DrawBridge54 B.V.

Wijk bij Duurstede

Datum: ________

De heer G.J.C. de Steur

 

Datum: ________

 

Bijlage 1 | Te verwerken persoonsgegevens en doel van verwerking

 

Categorie

Gegevens

Doel

Gebruikers

Naam Gebruiker

Ter identificatie binnen DB54 Tool set. Zodat andere Gebruikers de desbetreffende Gebruiker herkennen.

E-mailadres Gebruiker

Inloggen.

Wachtwoord

Inloggen.

 

Bijlage 2 | Sub-verwerkers

 

Onderneming

Activiteit

Binnen of buiten E.U. / E.E.R.

Instrument ten grondslag aan doorgifte indien buiten E.U. / E.E.R.

Strato B.V.

Hosting

Binnen E.U.

n.v.t.