Verwerkersovereenkomst

  • Wanneer wij in deze verwerkersovereenkomst ‘jij’, ‘je’ of ‘jou(w)’ leest, bedoelen we jou als klant van het online platform en/of de diensten van Notifica B.V en die met ons een overeenkomst tot gebruik van Notifica heeft gesloten, hierna te noemen: “Verwerkingsverantwoordelijke”,
  • Notifica B.V., besloten vennootschap met beperkte aansprakelijkheid, gevestigd te Nijmegen, kantoorhoudende te (6541 TV) Nijmegen aan de Industrieweg 103, hierbij rechtsgeldig vertegenwoordigd door Mark Haring, in de functie van directeur, hierna te noemen: “Verwerker”,
  • Gezamenlijk hierna ook te noemen “Partijen”,

 

Overwegende dat:

  • Verwerkingsverantwoordelijke gebruik wil maken van de diensten van Verwerker;
  • Partijen hiertoe een overeenkomst hebben getekend ten aanzien van de door Verwerker beschikbaar gestelde online omgeving voor Power BI (hierna: “Overeenkomst”);
  • Verwerker in het kader van de betreffende Overeenkomst persoonsgegevens (hierna: “Persoonsgegevens”) in de zin van de Algemene verordening gegevensbescherming (hierna: “AVG”) zal verwerken ten behoeve van Verwerkingsverantwoordelijke;
  • Partijen – mede ter uitvoering van het bepaalde in artikel 28 lid 3 AVG – in de onderhavige aanvullende overeenkomst (hierna: “Verwerkersovereenkomst”) een aantal voorwaarden wensen vast te leggen die van toepassing zijn op hun relatie in verband met de genoemde activiteiten in opdracht van en ten behoeve van Verwerkingsverantwoordelijke;
  • De in de onderhavige overeenkomst gehanteerde begrippen “Verwerker”, “Verwerkingsverantwoordelijke”, “Persoonsgegevens”, “verwerken” en “verwerking” in overeenstemming zijn met de van toepassing zijnde definities zoals gehanteerd in artikel 4 AVG.

 

Verklaren te zijn overeengekomen als volgt:

 

Artikel 1            Onderwerp van de Verwerkersovereenkomst

  1. Verwerkingsverantwoordelijke is verantwoordelijk voor de verwerking van de Persoonsgegevens in het kader van uitvoering van de Overeenkomst. Verwerker heeft geen zelfstandige zeggenschap over de Persoonsgegevens.
  2. Verwerker verwerkt Persoonsgegevens slechts in opdracht van Verwerkingsverantwoordelijke in het kader van de uitvoering van de Overeenkomst, in overeenstemming met de door Verwerkingsverantwoordelijke bepaalde doeleinden en middelen en de bewaartermijnen zoals beschreven in Bijlage 1, alsmede in overeenstemming met eventuele overige door Verwerkingsverantwoordelijke verstrekte schriftelijke instructies, tenzij een wettelijke voorschrift Verwerker tot verwerking verplicht, in welk geval Verwerker Verwerkingsverantwoordelijke, voorafgaand aan de verwerking, in kennis stelt van dat wettelijk voorschrift, tenzij die wetgeving deze kennisgeving om gewichtige redenen van algemeen belang verbiedt.
  3. Verwerker verbindt zich om de Persoonsgegevens zorgvuldig te verwerken, alsmede in overeenstemming met de toepasselijke wet- en regelgeving waaronder – maar niet beperkt tot – de AVG, en geen inbreuk te maken op enig recht van derden. Verwerker verwerkt de Persoonsgegevens niet verder dan in dit artikel 1 is bepaald. In geen geval zal Verwerker de Persoonsgegevens aanwenden voor eigen doeleinden of deze (laten) exploiteren.
  4. Verwerker stelt Verwerkingsverantwoordelijke onmiddellijk in kennis indien Verwerker van mening is dat een instructie in strijd is met de AVG of andere toepasselijke wetgeving.

 

Artikel 2            Technische en organisatorische voorzieningen (beveiliging)

  1. Verwerker zal passende technische en organisatorische maatregelen ten uitvoer leggen om de Persoonsgegevens te beveiligen tegen een inbreuk op de beveiliging. Deze maatregelen zullen, rekening houdend met de stand der techniek en de kosten van de tenuitvoerlegging, mede gelet op het bepaalde in artikel 32 AVG, een passend beveiligingsniveau garanderen, gelet op de risico’s die de verwerking en de aard van de te beschermen gegevens met zich meebrengen.
  2. Verwerker zal de door hem te nemen technische en organisatorische maatregelen schriftelijk vastleggen en dit overzicht aan Verwerkingsverantwoordelijke verstrekken, welk overzicht Verwerker zal herzien indien dit nodig is om deze in lijn te brengen met de stand van de techniek.
  3. Verwerker zal iedere inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens (hierna: “Datalek”)[, alsmede ieder redelijk vermoeden dat een Datalek plaatsvindt of heeft plaatsgevonden,] onverwijld – maar uiterlijk binnen 48 uur – nadat het Datalek ter kennis van Verwerker is gekomen, mededelen aan Verwerkingsverantwoordelijke waarna Verwerker de instructies van Verwerkingsverantwoordelijke steeds onverwijld zal opvolgen.
  4. In het geval van een Datalek treft Verwerker onverwijld herstelmaatregelen en verstrekt Verwerker Verwerkingsverantwoordelijke, op diens verzoek, onverwijld alle noodzakelijke informatie en medewerking om de Verwerkingsverantwoordelijke in staat te stellen zo spoedig mogelijk de oorzaak, de omvang en de gevolgen van het Datalek vast te stellen.
  5. Verwerker zal een adequate verzekering afsluiten voor de eventuele schade die kan ontstaan door een Datalek, tenzij het Datalek plaatsvindt als gevolg van verwerking van Persoonsgegevens door subverwerkers, voor welke subverwerkers de Verwerkingsverantwoordelijke toestemming heeft gegeven en de Verwerker geen invloed heeft op deze Gegevens.

 

Artikel 3            Inschakeling derden

  1. Verwerker besteedt verwerkingsactiviteiten die voortvloeien uit de Overeenkomst niet uit aan derden, tenzij Verwerkingsverantwoordelijke daarvoor voorafgaande schriftelijke toestemming heeft gegeven.
  2. Verwerker zal met eventuele derden als bedoeld in lid 1 (subverwerkers) een subverwerkersovereenkomst sluiten welke verplichtingen oplegt die ten minste gelijkwaardig zijn aan de verplichtingen van deze Verwerkersovereenkomst. Verwerker blijft te allen tijde verantwoordelijk voor het handelen of nalaten van de subverwerkers.

 

Artikel 4            Doorgifte naar derde landen

  1. Het is Verwerker niet toegestaan de Persoonsgegevens door te geven en/of op te (laten) slaan in landen buiten de Europese Economische Ruimte (EER), tenzij Verwerker hiervoor uitdrukkelijke schriftelijke toestemming van Verwerkingsverantwoordelijke heeft en dit op grond van (Europese) toepasselijke wet- en regelgeving op het gebied van bescherming van persoonsgegevens is toegestaan, bijvoorbeeld omdat het betreffende land een passend beschermingsniveau biedt, met inachtneming van de overige bepalingen van de Verwerkersovereenkomst.
  2. Indien doorgifte naar Verwerker of een derde partij in een land zonder passend beschermingsniveau plaatsvindt met toestemming van de Verwerkingsverantwoordelijke, dan zal op deze doorgifte een ongewijzigd modelcontract, goedgekeurd door de Europese Commissie (hierna: “EC Modelcontract”) van toepassing zijn, dat zal zijn ondertekend door Verwerker en bijgesloten bij de Verwerkersovereenkomst als Bijlage. Verwerker garandeert dat alle subverwerkers die met toestemming van Verwerkingsverantwoordelijke worden ingeschakeld, het EC Modelcontract mede zullen ondertekenen.

 

Artikel 5            Bijstand verlenen

  1. Verwerker zal, rekening houdend met de aard van de verwerking, Verwerkingsverantwoordelijke door middel van passende technische en organisatorische maatregelen, voor zover mogelijk, bijstand verlenen die noodzakelijk is voor Verwerkingsverantwoordelijke om te kunnen voldoen aan verzoeken van betrokkenen van wie Persoonsgegevens worden verwerkt als bedoeld in Hoofdstuk III van de AVG alsmede aan verzoeken van de bevoegde toezichthouder van Verwerkingsverantwoordelijke.
  2. Verwerker zal, rekening houdend met de aard van de verwerking en de hem ter beschikking staande informatie, Verwerkingsverantwoordelijke bijstand verlenen bij het doen nakomen van de verplichtingen uit hoofde van de artikelen 32 tot en met 34 AVG.

 

Artikel 6            Vertrouwelijkheid

  1. Verwerker, alsmede alle medewerkers die handelen onder het gezag van Verwerker en toegang hebben tot de Persoonsgegevens, zullen de Persoonsgegevens waarvan zij kennisnemen geheimhouden, tenzij een wettelijk voorschrift hen tot mededeling verplicht, in welk geval Verwerker Verwerkingsverantwoordelijke voorafgaand aan de mededeling zal informeren.
  2. Verwerker zal al zijn medewerkers die betrokken zijn bij de uitvoering van de Overeenkomst onderworpen aan geheimhouding, zoals door middel van laten ondertekenen van een geheimhoudingsverklaring. Verwerker neemt alle redelijke maatregelen die nodig zijn om te garanderen dat deze geheimhoudingsplicht wordt nagekomen.
  3. Verwerker verschaft enkel toegang tot Persoonsgegevens aan zijn medewerkers voor zover dit nodig is voor de uitvoering van de Overeenkomst en de Verwerkersovereenkomst. Verwerker verschaft enkel toegang aan zijn medewerkers tot slechts de noodzakelijke Persoonsgegevens voor slechts de noodzakelijke verwerkingen.

 

Artikel 7            Verstrekking en verwijdering

  1. Na beëindiging van de Overeenkomst, op welke grond of welke wijze dan ook, zal Verwerker, naargelang de keuze van de Verwerkingsverantwoordelijke, alle Persoonsgegevens wissen of deze aan Verwerkingsverantwoordelijke terugbezorgen in een technisch formaat dat Verwerkingsverantwoordelijke wenst, en bestaande kopieën verwijderen, tenzij de opslag van Persoonsgegevens op grond van geldende regelgeving verplicht is.

 

Artikel 8           Aansprakelijkheid

  1. Verwerker is (zelfstandig) aansprakelijk en vrijwaart Verwerkingsverantwoordelijke voor alle schade voortvloeiende uit het niet-nakomen van de Verwerkersovereenkomst alsmede verband houdende met een overtreding door Verwerker van geldende (Europese) toepasselijke wet- en regelgeving op het gebied van bescherming van persoonsgegevens, waaronder tevens begrepen de Telecommunicatiewet, onverminderd enige aansprakelijkheid op grond van andere regels, waaronder mede begrepen – maar niet beperkt tot – boetes van toezichthouders.
  2. [In geval van overtreding van een van de bepalingen van de Verwerkersovereenkomst, is Verwerker een boete verschuldigd van EUR 20.000 per overtreding vermeerderd met een boete van 15% van voornoemd bedrag voor elke week of gedeelte daarvan dat de overtreding voortduurt, zonder dat hiervoor een aanmaning of een voorafgaande verklaring nodig is. Deze boete is niet vatbaar voor verrekening en opschorting en laat het recht van Verwerkingsverantwoordelijke op nakoming en schadevergoeding onverlet.]
  3. Het eventuele schadebedrag bedraagt in geen geval nooit meer dan de contractwaarde tot het moment van de ontdekking door de Verwerker van het Datalek.

 

Artikel 9            Verantwoording, controle en toezicht

  1. Verwerker rapporteert jaarlijks over de opzet en werking van het stelsel van maatregelen en procedures, gericht op de naleving van de Verwerkersovereenkomst.
  2. Verwerker is gehouden op verzoek van Verwerkingsverantwoordelijke alle informatie aan Verwerkingsverantwoordelijke te verstrekken die nodig is om de naleving van wat Partijen zijn overeengekomen aan te tonen.
  3. Verwerkingsverantwoordelijke is gerechtigd de maatregelen en de naleving van de op Verwerker rustende verplichtingen te controleren. Verwerker is gehouden op verzoek van Verwerkingsverantwoordelijke audits, waaronder inspecties, door Verwerkingsverantwoordelijke dan wel door Verwerkingsverantwoordelijke aan te wijzen (externe) deskundigen mogelijk te maken in haar adequate, overzichtelijke en afzonderlijk bij te houden administratie, automatiseringssystemen, verwerkingsorganisatie en alle verdere relevante bescheiden in het kader van de uitvoering van de Verwerkersovereenkomst en de Overeenkomst, zodat Verwerkingsverantwoordelijke in staat is om de naleving van wat Partijen zijn overeengekomen adequaat te (doen) toetsen. Tevens zal Verwerker toegang verschaffen aan de toezichthouders van Verwerkingsverantwoordelijke in het kader van de uitoefening van hun wettelijke taken.
  4. Verwerkingsverantwoordelijke zal derden, die betrokken zijn bij inzage- en/of controlewerkzaamheden als bedoeld in het vorige lid, terzake een geheimhoudingsverklaring laten tekenen.
  5. De uitkomsten van het in het derde lid genoemde controles zullen zowel aan Verwerker als aan Verwerkingsverantwoordelijke in schriftelijke vorm worden opgeleverd.
  6. Verwerkingsverantwoordelijke draagt de kosten voor controle als bedoeld in leden 2 en 3 van dit artikel met uitzondering van de kosten van het personeel van Verwerker dat de controle begeleidt. Deze laatste kosten komen voor rekening van Verwerker. Indien uit de controle blijkt dat Verwerker tekortgeschoten is in de nakoming van enige verplichting op grond van de Verwerkersovereenkomst, herstelt Verwerker de tekortkomingen onmiddellijk.

 

Artikel 10         Overige bepalingen

  1. In geval van strijdigheid van (een of meer bepalingen uit) de Verwerkersovereenkomst met (een of meer bepalingen uit) andere overeenkomsten tussen Verwerkingsverantwoordelijke en Verwerker, prevaleert de Verwerkersovereenkomst.
  2. Deze Verwerkersovereenkomst heeft een looptijd gelijk aan de Overeenkomst en kan niet tussentijds worden beëindigd. Artikelen die gezien hun aard, onder meer in het kader van de afwikkeling van deze Verwerkersovereenkomst, bestemd zijn om na het einde van de Verwerkersovereenkomst van toepassing te blijven, waaronder artikel 6 (Vertrouwelijkheid), artikel 7 (Verstrekking en verwijdering) en artikel 10 lid 7 en 8, blijven onverminderd van kracht na beëindiging van de Verwerkersovereenkomst.
  3. Wijziging van de Verwerkersovereenkomst is slechts mogelijk door schriftelijke overeenstemming tussen Partijen.
  4. In het geval enige bepaling van de Verwerkersovereenkomst nietig wordt verklaard of vernietigd wordt of blijkt dat een wijziging in (een bepaling van) de Verwerkersovereenkomst wegens gewijzigde omstandigheden noodzakelijk is voor naleving van de toepasselijke wet- en regelgeving op het gebied van bescherming van persoonsgegevens, zullen de overige bepalingen onverminderd van kracht blijven. Partijen zullen dan een nieuwe bepaling vaststellen ter vervanging van de nietige/vernietigde bepaling dan wel de Verwerkersovereenkomst zodanig wijzigen om deze in lijn te brengen met de toepasselijke wet- en regelgeving op het gebied van bescherming van persoonsgegevens, waarbij zoveel mogelijk de strekking van de nietige/vernietigde bepaling in acht zal worden genomen.
  5. Enig beroep van Verwerker op opschorting, verrekening of enige andere vorm van het afhankelijk stellen van nakoming door Verwerker van prestaties van Verwerkingsverantwoordelijke, is niet toegestaan.
  6. De overwegingen maken onderdeel uit van deze Verwerkersovereenkomst.
  7. Op de Verwerkersovereenkomst is Nederlands recht van toepassing.
  8. Geschillen tussen Verwerkingsverantwoordelijke en Verwerker worden uitsluitend voorgelegd aan de bevoegde rechter in het arrondissement van rechtbank Gelderland.

 

Namens Notifica B.V. ;

Mark Haring                           

           

Namens Verwerkingsverantwoordelijke; 

Digitaal ondertekend bij het afsluiten van de overeenkomst

Bijlage 1

Overzicht van de gegevensverwerkingen waarop deze Verwerkersovereenkomst betrekking heeft:

 

Klanten:

  • Bedrijfsnaam;
  • KvK-nummer;
  • Voor- en achternaam;
  • Adresgegevens;
  • Postcode;
  • Woonplaats;
  • Functie contactpersoon;
  • Telefoonnummer(s);
  • E-mailadres(sen);
  • Onderliggende specificaties van afgenomen diensten/ verbindingen/software (licenties)
  • IP-adres(sen)
  • MAC-adres(sen)
  • Gekoppelde hard- en software (licenties)
  • Inloggegevens en handelingen binnen service omgevingen
  • Inloggegevens en handelingen binnen de afgenomen diensten
  • Inloggegevens ten behoeve van gekoppelde inlogsystemen

 

 

Eindgebruikers (zoals medewerkers van klanten):

  • Locatiegegevens
  • Financiële gegevens, waaronder banksaldo;
  • Aantal gereden kilometers per medewerker per bedrijf(sonderdeel).

 

Leveranciers en daaraan gerelateerde derden:

  • Voor- en achternaam inclusief tussenvoegsel(s) (indien van toepassing);
  • Aanhef;
  • Adresgegevens;
  • Postcode;
  • Woonplaats;
  • Telefoonnummer(s);
  • Emailadres(sen);
  • Onderliggende communicatie;