VERWERKERSOVEREENKOMST (EENZIJDIG)

VERWERKERSOVEREENKOMST (EENZIJDIG)

1. Algemeen
In deze verwerkersovereenkomst wordt verstaan onder:
1.1 Algemene voorwaarden: de Algemene voorwaarden van Verwerker, die onverkort van
toepassing zijn op iedere afspraak tussen Verwerker en Verantwoordelijke en van welke Algemene
voorwaarden deze verwerkersovereenkomst onlosmakelijk deel uitmaken.
1.2 Verwerker: AVL-store BV, gevestigd aan de Zandstraat 44, 5913 TJ Venlo, tevens bereikbaar per
telefoon +31 (0)77 7777305 en e-mail info@AVL-store.eu.
1.3 Gegevens: de persoonsgegevens zoals omschreven in Annex 1.
1.4 Opdrachtgever: de natuurlijke persoon of rechtspersoon die aan Verwerker opdracht heeft
gegeven tot het verrichten van Werkzaamheden en leveren van producten, eveneens
Verantwoordelijke.
1.5 Overeenkomst: elke afspraak tussen Opdrachtgever en Verwerker tot het verrichten van
Werkzaamheden en leveren van producten door Verwerker ten behoeve van de Opdrachtgever,
conform het bepaalde in de opdrachtbevestiging.
1.6 Verantwoordelijke: de Opdrachtgever die als natuurlijk persoon of rechtspersoon aan de
Verwerker opdracht heeft gegeven tot het verrichten van Werkzaamheden en leveren van
producten.
1.7 Werkzaamheden: alle werkzaamheden en levering van producten waartoe opdracht is gegeven,
of die door Verwerker uit anderen hoofde worden verricht. Het voorgaande geldt in de ruimste zin
van het woord en omvat in ieder geval de werkzaamheden en levering van producten zoals vermeld
in de opdrachtbevestiging.
2. Toepasselijkheid verwerkersovereenkomst
2.1 Deze verwerkersovereenkomst is van toepassing op alle gegevens die in het kader van de
uitvoering van de Overeenkomst met Opdrachtgever door Verwerker worden verzameld voor
Opdrachtgever, alsmede op alle uit de Overeenkomst voor Verwerker voortvloeiende
Werkzaamheden en de in dat kader te verzamelen gegevens.
2.2 Verantwoordelijke is verantwoordelijk voor de verwerking van de Gegevens betreffende
bepaalde categorieën van betrokkenen, zoals omschreven in Annex 1.
2.3 Bij de uitvoering van de Overeenkomst verwerkt Verwerker bepaalde persoonsgegevens voor
Verantwoordelijke.
2.4 Dit is een verwerkersovereenkomst in de zin van artikel 28 lid 3 Algemene Verordening
Gegevensbescherming (AVG), waarin de rechten en verplichtingen ten aanzien van de verwerking
van de persoonsgegevens schriftelijk is geregeld, waaronder ten aanzien van de beveiliging. Deze
verwerkersovereenkomst is ten opzichte van Verantwoordelijke bindend voor Verwerker.
2.5 Deze verwerkersovereenkomst maakt, net als de Algemene voorwaarden van Verwerker,
onderdeel uit van de Overeenkomst en alle toekomstige overeenkomsten tussen partijen.
3. Reikwijdte verwerkersovereenkomst
3.1 Met het geven van de opdracht tot het verrichten van Werkzaamheden heeft Verantwoordelijke
aan Verwerker de opdracht gegeven om de Gegevens te verwerken namens de Verantwoordelijke op
de wijze zoals omschreven in Annex 1 in overeenstemming met de bepalingen van deze
verwerkersovereenkomst.
3.2 Verwerker verwerkt de Gegevens uitsluitend in overeenstemming met deze
verwerkersovereenkomst, met name met hetgeen is opgenomen in Annex 1. Verwerker bevestigt de
Gegevens niet voor andere doeleinden te verwerken.
3.3 De zeggenschap over de Gegevens komt nooit bij Verwerker te rusten.
3.4 De Verantwoordelijke kan additionele, schriftelijke instructies aan Verwerker geven vanwege
aanpassingen of wijzigingen in de van toepassing zijnde regelgeving op het gebied van bescherming
van persoonsgegevens.
3.5 Verwerker verwerkt de Gegevens enkel in de Europese Economische Ruimte.
4. Geheimhouding
4.1 Verwerker en de personen die in dienst zijn van Verwerker dan wel werkzaamheden voor hem
verrichten, voor zover deze personen toegang hebben tot persoonsgegevens, verwerken de
Gegevens slechts in opdracht van Verantwoordelijke, behoudens afwijkende wettelijke
verplichtingen.
4.2 Verwerker en de personen die in dienst zijn van Verwerker dan wel werkzaamheden voor hem
verrichten, voor zover deze personen toegang hebben tot persoonsgegevens, zijn verplicht tot
geheimhouding van de persoonsgegevens waarvan zij kennis nemen, behoudens voor zover enig
wettelijk voorschrift hen tot mededeling verplicht of uit een taak de noodzaak tot mededeling
voortvloeit.
5. Geen verdere verstrekking
5.1 Verwerker zal de gegevens niet delen met of verstrekken aan derden, tenzij Verwerker daartoe
voorafgaande, schriftelijke toestemming of opdracht heeft verkregen van Verantwoordelijke of op
grond van dwingendrechtelijke regelgeving daartoe verplicht is. Indien Verwerker op grond van
dwingendrechtelijke regelgeving verplicht is om de Gegevens te delen met of te verstrekken aan
derden, dan zal Verwerker de Verantwoordelijke hierover schriftelijk informeren, tenzij dit niet is
toegestaan.
6. Beveiligingsmaatregelen
6.1 Rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de
omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst
uiteenlopende risico’s voor de rechten en vrijheden van personen, treft Verwerker passende
technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te
waarborgen. De beveiligingsmaatregelen die thans zijn genomen, zijn in Annex 2 bepaald.
6.2 Verwerker zorgt voor maatregelen die er mede op gericht zijn onnodige verzameling en verdere
verwerking van persoonsgegevens te voorkomen.
6.3 De Gegevens worden uitsluitend opgeslagen en verwerkt binnen de Europese Economische
Ruimte.
7. Toezicht op naleving
7.1 Verwerker zal Verantwoordelijke op diens verzoek en voor diens rekening inlichtingen
verschaffen over de Verwerking van de Gegevens door Verwerker of Sub-verwerkers. Verwerker zal
de gevraagde inlichtingen zo snel mogelijk verstrekken, doch uiterlijk binnen vijf werkdagen.
7.2 Verantwoordelijke heeft eenmaal per jaar en voor eigen rekening het recht om een door
Verantwoordelijke en Verwerker gezamenlijk aan te wijzen onafhankelijke derde een inspectie te
laten uitvoeren om te verifiëren of Verwerker de verplichtingen onder de AVG en deze
verwerkersovereenkomst nakomt. Verwerker zal daaraan alle redelijkerwijs noodzakelijke
medewerking verlenen. Verwerker heeft het recht om haar kosten die gepaard gaan met de inspectie
in rekening te brengen bij Verantwoordelijke.
7.3 Verwerker zal in het kader van haar verplichting onder lid 1 van dit artikel aan Verantwoordelijke
dan wel een daartoe door Verantwoordelijke ingeschakelde derde in ieder geval:
7.3.1 alle relevante inlichtingen en documenten verstrekken;
7.3.2 toegang verlenen tot alle relevante gebouwen, informatiesystemen en Gegevens.
7.4 Verantwoordelijke en Verwerker zullen zo spoedig mogelijk na het gereedkomen van het rapport
met elkaar in overleg treden om de eventuele risico’s en tekortkomingen te adresseren. Verwerker
zal op kosten van Verantwoordelijke maatregelen nemen om de geconstateerde risico’s en
tekortkomingen op een voor Verantwoordelijke acceptabel niveau te brengen respectievelijk op te
heffen, tenzij partijen schriftelijk anders overeen zijn gekomen.
8. Datalek
8.1 Zo spoedig mogelijk nadat Verwerker kennis neemt van een incident of datalek dat (mede)
betrekking heeft of kan hebben op de Gegevens, stelt Verwerker Verantwoordelijke hiervan op de
hoogte via de bij Verwerker bekende contactgegevens van Verantwoordelijke en zal Verwerker
informatie verstrekken over: de aard van het incident of de datalek, de getroffen Gegevens, de
vastgestelde en verwachte gevolgen van het incident of datalek op de Gegevens en de maatregelen
die Verwerker heeft getroffen en zal treffen.
8.2 Verwerker zal Verantwoordelijke ondersteunen bij meldingen aan betrokkenen en/of
autoriteiten.
9. Medewerkingsplichten en rechten van betrokkenen
9.1 Verwerker zal Verantwoordelijke op verzoek medewerking verlenen in geval van een klacht,
vraag of verzoek van een betrokkene, dan wel onderzoeken of inspecties door de Autoriteit
Persoonsgegevens.
9.2 Verwerker zal Verantwoordelijke op diens verzoek en voor diens rekening bijstaan bij het
uitvoeren van een gegevensbeschermingseffectbeoordeling.
9.3 Als Verwerker rechtstreeks van een betrokkene een verzoek om inzage, correctie of verwijdering
van zijn of haar Gegevens ontvangt, informeert Verwerker Verantwoordelijke binnen twee
werkdagen over de ontvangst van het verzoek. Verwerker voert zo snel mogelijk alle instructies uit
die Verantwoordelijke schriftelijk aan Verwerker geeft als gevolg van zodanig verzoek van
betrokkene. Verwerker treft de noodzakelijke passende technische en organisatorische maatregelen
die nodig zijn om te voldoen aan dergelijke instructies van Verantwoordelijke.
9.4 Indien instructies van Verantwoordelijke aan Verwerker strijd opleveren met enige wettelijke
bepalingen omtrent gegevensbescherming, meldt Verwerker dit bij Verantwoordelijke.
10. Duur en beëindiging
10.1 Deze verwerkersovereenkomst is geldig zolang Verwerker de opdracht heeft van
Verantwoordelijke om Gegevens te verwerken op grond van de Overeenkomst tussen
Verantwoordelijke en Verwerker. Zolang door Verwerker Werkzaamheden worden verricht ten
behoeve van Verantwoordelijke is deze verwerkersovereenkomst op deze relatie van
toepassing.
10.2 Medewerkingsplicht, Geheimhouding en Toepasselijk recht en forumkeuze zullen ook na de
beëindiging of ontbinding van deze Overeenkomst voor onbepaalde tijd tussen partijen voortduren.
10.3 Voor zover Verwerker na de beëindiging van het Contract nog Persoonsgegevens zoals
ontvangen van Verwerkingsverantwoordelijke in haar bezit heeft, zal zij deze Persoonsgegevens
binnen een redelijke termijn vernietigen, dan wel – in overleg met Verwerkingsverantwoordelijke –
aan Verwerkingsverantwoordelijke retourneren, tenzij Verwerker op grond van geldende wet- of
regelgeving gehouden is de Persoonsgegevens te bewaren. Voor de interpretatie van dit artikel
wordt onder het bezitten van Persoonsgegevens onder andere, maar niet slechts, verstaan de
Persoonsgegevens die zich bevinden op gegevensdragers, door Verwerker ingehuurde of ingekochte
serverruimte, waar dan ook ter wereld, in sandboxes, op memorysticks, SSD-kaarten of andere
middelen gebruikt ter opslag of bewaring van Persoonsgegevens.
10.4 Als de Verwerker om technische redenen niet in staat is tot teruggave, vernietiging of
verwijdering van de Persoonsgegevens, of als het toepasselijk recht langere opslag van de
Persoonsgegevens voorschrijft, zal de Verwerker de Verwerkingsverantwoordelijke daarvan
onmiddellijk op de hoogte stellen. In dat geval neemt de Verwerker alle noodzakelijke maatregelen
om:
a. zo dicht mogelijk bij een volledige en blijvende teruggave, vernietiging of verwijdering van de
Persoonsgegevens te komen, en de Persoonsgegevens ongeschikt te maken voor verdere
Verwerking.
b. Het risico dat de Persoonsgegevens niet worden teruggegeven, vernietigd of verwijderd blijft bij de
Verwerker en de Verwerker blijft gebonden aan die artikelen die gezien hun aard bedoeld zijn om
ook na afloop of beëindiging van deze Verwerkersovereenkomst te blijven gelden.
10.5 De Verwerker zal alle derden die betrokken zijn bij de Verwerking van Persoonsgegevens op de
hoogte stellen van de afloop of beëindiging van deze Verwerkersovereenkomst, en garandeert dat
alle derden de Persoonsgegevens zullen vernietigen, verwijderen of teruggeven aan
Verwerkingsverantwoordelijke.
11. Nietigheid
11.1 Indien één of meerdere bepalingen uit deze verwerkersovereenkomst nietig zijn of vernietigd
worden, blijven de overige voorwaarden volledig van toepassing. Indien enige bepaling van deze
verwerkersovereenkomst niet rechtsgeldig is, zullen partijen over de inhoud van een nieuwe
bepaling onderhandelen, welke bepaling de inhoud van de oorspronkelijke bepaling
zo dicht mogelijk benaderd.
12. Toepasselijk recht en forumkeuze
12.1 Op deze verwerkersovereenkomst is Nederlands recht van toepassing.
13.2 Alle geschillen in verband met de verwerkersovereenkomst of de uitvoering daarvan worden
voorgelegd aan de bevoegde rechter in het arrondissement van rechtbank Limburg.
ANNEX 1: GEGEVENS, DOELEINDEN EN CATEGORIEËN VAN BETROKKENEN
GEGEVENS
De Verantwoordelijke laat de Verwerker de volgende Gegevens door Verwerker verwerken
in het kader van de opdracht, waaronder maar niet uitsluitend, kunnen vallen
de advisering omtrent en de levering van verlichting en audio/video-apparatuur in de ruimste zin des
woords:
(1) Naam bedrijf
(2) Naam contactpersonen (initialen, achternaam)
(3) Telefoonnummer
(4) E-mailadres
(5) Woon- c.q. vestigingsplaats (adres)
(6) Financiële gegevens
DOELEINDEN
De werkzaamheden waarvoor bovengenoemde Gegevens mogen worden verwerkt, uitsluitend
indien noodzakelijk, zijn in ieder geval:
(1) De werkzaamheden en leveringen, te beschouwen als de primaire dienstverlening, in het kader
waarvan Verantwoordelijke een opdracht heeft verstrekt aan Verwerker;
(2) Het debiteurenbeheer;
(3) Het gegevens- en technische beheer;
(4) De hosting.
CATEGORIEËN VAN BETROKKENEN
De Gegevens die verwerkt worden betreffende volgende categorieën van betrokkenen:
(1) Klanten;
(2) Werknemers van Verantwoordelijke;
(3) Contactpersonen van Verantwoordelijke.
ANNEX 2: BEVEILIGINGSMAATREGELEN
BEVELIGINGSMAATREGELEN
De Verwerker heeft in ieder geval de volgende beveiligingsmaatregelen getroffen:
• Privacy beleid en -reglement
• Continue monitoring netwerk
• Firewall
• Autorisatiebeheer voor toekennen rollen & rechten
• Backup- en herstelprocedures
• Geheimhoudingsverklaringen in arbeidscontracten/secundaire arbeidsvoorwaarden.
• Indringeralarm kantoorruimten
• Logische toegangscontrole zoals wachtwoorden, 2-factor authenticatie, tokens en/of IP-nummer
controle
• Subverwerkersovereenkomsten met derden
• Veilige wijze voor het opslaan van gegevensbestanden