Verwerkersovereenkomst


Om te voldoen aan de eisen die door de Algemene Verordening Gegevensbescherming worden gesteld aan de verwerking van persoonsgegevens heeft PVL een verwerkersovereenkomst opgesteld met betrekking tot die diensten die door PVL worden verricht waarbij persoonsgegevens worden verwerkt.

Artikel 1 Definities
In deze verwerkersovereenkomst worden de volgende definities gehanteerd, zowel in enkelvoud als meervoud.
AVG: Algemene Verordening Gegevensbescherming.
Algemene Voorwaarden: de Algemene Voorwaarden van PVL.
PVL: het bedrijf PVL, gevestigd te Ermelo en ingeschreven bij de Kamer van Koophandel onder dossiernummer 72392134.
Verwerkingsverantwoordelijke/Opdrachtgever: is de (rechts)persoon die het doel en de middelen voor de verwerking vaststelt. Waar in deze Verwerkersovereenkomst Verwerkingsverantwoordelijke staat kan ook Opdrachtgever worden gelezen en vice versa.
Verwerker: is de (rechts)persoon die van de verwerkingsverantwoordelijke/ opdrachtgever de opdracht krijgt om persoonsgegevens te verwerken.
Sub-verwerker: is de (rechts)persoon die ten behoeve van PVL persoonsgegevens verwerkt.
Betrokkenen: personen van wie persoonsgegevens worden verwerkt.
Overeenkomst: Iedere overeenkomst tussen PVL en Opdrachtgever op grond waarvan PVL Diensten levert aan Opdrachtgever. De Verwerkersovereenkomst is een integraal onderdeel van de Overeenkomst.
Verwerkersovereenkomst: Een Verwerkingsverantwoordelijke/Opdrachtgever en een Verwerker zijn binnen de AVG verplicht om een verwerkersovereenkomst met elkaar aan te gaan. Bij het tot stand komen van een Overeenkomst zoals bedoeld in onze Algemene Voorwaarden komt tevens de Verwerkersovereenkomst tot stand. De Verwerkers- overeenkomst is een integraal onderdeel van de Overeenkomst. Verwerkersovereenkomsten welke niet door PVL zijn opgesteld worden door PVL niet erkend en kunnen nimmer onderdeel zijn van de Overeenkomst.

Artikel 2 Het doel van de verwerking
2.1 Verwerker zal in opdracht en onder verantwoordelijkheid van de Opdrachtgever uitsluitend die gegevens verwerken die noodzakelijk zijn voor het juist uitvoeren van de Overeenkomst en niet voor een ander doel gebruiken dan waarvoor zij deze heeft verkregen, zelfs niet wanneer deze in een zodanige vorm is gebracht zodat deze niet tot betrokkenen herleidbaar is.
Opdrachtgever.

Artikel 3 Overzicht van persoonsgegevens die worden verwerkt
3.1 Voor een juiste uitvoering van de Overeenkomst worden in ieder geval de volgende persoonsgegevens verwerkt;
- NAW-gegevens
- e-mail adressen
- Bedrijfsgegevens (o.a. BTW-identificatienummers)
- IP-adressen
- overige mogelijke categorieën van niet bijzondere persoonsgegevens

Artikel 4 Doorgifte van persoonsgegevens
4.1 Verwerker mag de persoonsgegevens verwerken in landen binnen de Europese Unie. Doorgifte naar landen buiten de Europese Unie is verboden.
4.2 Verwerker zal de Opdrachtgever op haar verzoek mede delen om welk land of welke landen binnen de Europese Unie het gaat.

Artikel 5 Verdeling van verantwoordelijkheid
5.1 De toegestane verwerkingen zullen door medewerkers van Verwerker worden uitgevoerd binnen een geautomatiseerde omgeving.
5.2 De Verwerker is alleen verantwoordelijk voor de verwerking van de persoonsgegevens onder deze Verwerkersovereenkomst, overeenkomstig de instructies van de Opdrachtgever.
5.3 De Opdrachtgever garandeert dat de inhoud, het gebruik en de opdracht tot de verwerkingen van de persoonsgegevens zoals bedoeld in de Overeenkomst, niet onrechtmatig is en geen inbreuk maken op enig recht van derden.

Artikel 6 Beveiliging
6.1 De verwerker zal zich inspannen voldoende technische en organisatorische maatregelen te nemen met betrekking tot de te verrichten verwerkingen van persoonsgegevens, tegen verlies of tegen enige vorm van onrechtmatige verwerking (zoals onbevoegde kennisname, aantasting, wijziging of verstrekking van de persoonsgegevens).
6.2 De verwerker heeft in ieder geval de volgende maatregelen genomen:
- encryptie (versleuteling) van digitale bestanden met persoonsgegevens
- beveiliging van netwerkverbindingen via Secure Socket Layer (SSL) technologie - een beveiligd intern netwerk
- back-up systeem op geografisch gescheiden plaatsen
- meerdere back-ups per dag
- dubbele uitvoering van interne systemen
6.3 Alleen personen die door de Verwerker hiertoe zijn gemachtigd hebben toegang tot de persoonsgegevens. Hiernaast zijn deze personen uit hoofde van een wettelijke verplichting gehouden tot geheimhouding. Deze geheimhoudingsplicht is niet van toepassing voor zover de Opdrachtgever uitdrukkelijke toestemming heeft gegeven om de informatie aan derden te verschaffen, indien het verstrekken van de informatie aan derden logischerwijs noodzakelijk is gezien de aard van de verstrekte opdracht en de uitvoering van deze Overeenkomst, of indien er een wettelijke verplichting bestaat om de informatie aan een derde te verstrekken.
6.4 De omschreven beveiligingsmaatregelen bieden volgens de Opdrachtgever een afdoende beveiligingsniveau.

Artikel 7 Meldplicht
7.1 De Opdrachtgever is te allen tijde verantwoordelijk voor het melden van een beveiligingslek en/of datalek aan de toezichthouder en/of betrokkenen. Om de Opdrachtgever in staat te stellen aan deze wettelijke plicht te voldoen, stelt de Verwerker de Opdrachtgever binnen een redelijke termijn op de hoogte van een beveiligingslek en/of datalek.
7.2 De meldplicht behelst in ieder geval het melden van het feit dat er een lek is geweest. Daarnaast behelst de meldplicht:
- wat de (vermeende) oorzaak is van het lek
- wat het (vooralsnog bekende en/of te verwachten) gevolg is - wat de (voorgestelde) oplossing is
- wie geïnformeerd is

Artikel 8 Afhandeling verzoeken van betrokkenen
8.1 In het geval een Betrokkene een verzoek richt aan de Verwerker met betrekking tot zijn in Hoofdstuk III AVG vastgestelde rechten zal de Verwerker het verzoek doorsturen aan de Opdrachtgever. De Opdrachtgever zal het verzoek verder afhandelen, waarbij de Verwerker de Opdrachtgever, binnen zijn organisatorische en technische mogelijkheden, zo goed mogelijk zal bijstaan. De Verwerker mag de Betrokkene daarvan op de hoogte stellen.

Artikel 9 Data Protection Impact Assesment (DPIA) en Audit
9.1 De Opdrachtgever heeft het recht om een DPIA of Audit te laten uitvoeren door een onafhankelijke derde die aan geheimhouding is gebonden ter controle van naleving van alle punten uit de Verwerkersovereenkomst.
9.2 De audit mag plaatsvinden bij een concreet vermoeden van misbruik van persoonsgegevens.
9.3 Verwerker zal aan de DPIA/Audit meewerken en alle redelijkerwijs relevante informatie, inclusief ondersteunende gegevens zoals systeemlogs, en medewerkers zo tijdig mogelijk ter beschikking stellen.
9.4 De bevindingen naar aanleiding van de uitgevoerde DPIA/Audit zullen door beide partijen in onderling overleg worden beoordeeld en, naar aanleiding daarvan, al dan niet worden doorgevoerd door één of beide partijen.
9.5 De kosten van een DPIA en/of Audit worden door de Opdrachtgever gedragen.

Artikel 10 Sub-verwerkers
10.1 Het is de Verwerker toegestaan om in het kader van de Overeenkomst gebruik te maken van een Sub-verwerker. De Verwerker zal aan een Sub-verwerker eenzelfde eisen en verplichtingen stellen als welke uit hoofde van deze Verwerkersovereenkomst geldt voor de Verwerker.

Artikel 11 Aansprakelijkheid
11.1 PVL is in het kader van de totstandkoming, nakoming of uitvoering van de Verwerkersovereenkomst niet aansprakelijk voor schadevergoeding, ongeacht de grond waarop een actie tot schadevergoeding zou worden gebaseerd, behoudens in de gevallen hieronder genoemd, en ten hoogste tot de daarbij vermelde limieten.
11.2 De totale aansprakelijkheid van PVL voor schade geleden door Opdrachtgever als gevolg van een toerekenbare tekortkoming in de nakoming door PVL van zijn verplichtingen onder de Verwerkersovereenkomst, daaronder uitdrukkelijk ook begrepen iedere tekortkoming in de nakoming van een met Opdrachtgever overeengekomen garantieverplichting, dan wel door een onrechtmatig handelen van PVL, diens werknemers of door hem ingeschakelde derden, is per gebeurtenis dan wel een reeks van samenhangende gebeurtenissen beperkt tot een bedrag gelijk aan het totaal van de vergoedingen (exclusief BTW) die Opdrachtgever onder de Overeenkomst verschuldigd zal raken.
11.3 De aansprakelijkheid van de Verwerker voor indirecte schade is uitgesloten. Onder indirecte schade wordt verstaan alle schade die geen directe schade is en daarmee in ieder geval, maar niet beperkt tot, gevolgschade, gederfde winst, gemiste besparingen, verminderde goodwill, schade door bedrijfsstagnatie, schade door het niet bepalen van marketingdoeleinden, schade verband houdende met het gebruik van door Opdrachtgever voorgeschreven gegevens of databestanden, of verlies, verminking of vernietiging van gegevens of databestanden.
11.4 Tenzij nakoming door de Verwerker blijvend onmogelijk is, ontstaat de aansprakelijkheid van de Verwerker wegens toerekenbare tekortkoming in de nakoming van de Verwerkersovereenkomst slechts indien de Opdrachtgever de Verwerker onverwijld schriftelijk in gebreke stelt, waarbij een redelijke termijn voor de zuivering van de tekortkoming wordt gesteld, en de Verwerker ook na die termijn toerekenbaar blijft tekortschieten in de nakoming van haar verplichtingen. De ingebrekestelling dient een zo volledig en gedetailleerd mogelijke omschrijving van de tekortkoming te bevatten, opdat Bewerker in de gelegenheid wordt gesteld adequaat te reageren.
11.5 Iedere vordering tot schadevergoeding door de Opdrachtgever tegen de Verwerker die niet gespecificeerd en expliciet is gemeld, vervalt door het enkele verloop van twaalf (12) maanden na het ontstaan van de vordering.
11.6 De Opdrachtgever vrijwaart PVL tegen elke rechtsvordering van derden indien die vordering, in welke vorm dan ook, verband houdt met de verwerking van persoons- gegevens alsmede tegen eventueel aan Opdrachtgever toerekenbare opgelegde boetes door de Autoriteit Persoonsgegevens of andere toezichthoudende instanties.

Artikel 12 Duur en beëindiging
12.1 Deze Verwerkersovereenkomst is aangegaan voor de duur zoals bepaald in de Overeenkomst. Bij beëindiging van de Overeenkomst eindigt ook de Verwerkers- overeenkomst en vice versa.
12.2 Zodra de Overeenkomst, om welke reden en op welke wijze dan ook, is beëindigd, heeft de Opdrachtgever 30 dagen de tijd om de verstrekte persoonsgegevens op te vragen.
12.3 De Verwerker zal al die persoonsgegevens bewaren zoals volgt uit de fiscale bewaarplicht. Deze wettelijke verplichting houdt in dat bron-, afgeleide- en vaste gegevens minimaal 7 jaar moeten worden bewaard. Persoonsgegevens die niet onder deze kwalificatie vallen zullen na 30 dagen van de servers en systemen van de Verwerker worden verwijderd.

Artikel 13 Toepasselijk recht en geschillenbeslechting
13.1 De (Verwerkers)Overeenkomst en de uitvoering daarvan worden beheerst door Nederlands recht.
13.2 Alle geschillen, welke tussen de Verwerker en Opdrachtgever mochten ontstaan in verband met de (Verwerkers)Overeenkomst, zullen worden voorgelegd aan de bevoegde rechter voor het arrondissement waarin de Verwerker gevestigd is.