1 april 2023
Verwerkersovereenkomst
Deze verwerkersovereenkomst is van toepassing op alle vormen van verwerking van persoonsgegevens die Surver B.V., ingeschreven bij de Kamer van Koophandel onder nummer 90020294, (hierna: Verwerker) uitvoert ten behoeve van een wederpartij aan wie zij diensten levert (hierna: Verwerkingsverantwoordelijke).
1. Doeleinden van verwerking
1.1 Verwerker verbindt zich onder de voorwaarden van deze Verwerkersovereenkomst in opdracht van Verwerkingsverantwoordelijke persoonsgegevens te verwerken. Verwerking zal uitsluitend plaatsvinden in het kader van het afhandelen van bestellingen en betalingen voor producten of diensten van Verwerkingsverantwoordelijke, het opslaan van gegevens van Verwerkingsverantwoordelijke, beheer van financiële administratie van Verwerkingsverantwoordelijke, het aanbieden en beheren van het online klantenportaal van Verwerker voor Verwerkingsverantwoordelijke, het op de hoogte te brengen van wijzigingen, verlengingen, mogelijk relevante nieuwe producten en werkzaamheden die van invloed zijn op producten, het onderhouden van telefonisch contact en contact via support tickets met zowel Verwerkingsverantwoordelijke alsmede haar klanten, voor afhandeling van klachten en verlening van service, het verrichten van Public Relations- en marketingactiviteiten voor Verwerkingsverantwoordelijke, het verzenden van nieuwsbrieven of e-mails in opdracht van Verwerkingsverantwoordelijke, beheer van de klantenadministratie van Verwerkingsverantwoordelijke, plus die doeleinden die daarmee redelijkerwijs samenhangen of die met nadere instemming worden bepaald.
1.2. De persoonsgegevens die door Verwerker in het kader van de werkzaamheden als bedoeld in het vorige lid worden verwerkt en de categorieën van de betrokkenen van wie deze afkomstig zijn, zijn opgenomen in Bijlage 1. Verwerker zal de persoonsgegevens niet voor enig ander doel verwerken dan zoals door Verwerkingsverantwoordelijke is vastgesteld. Verwerkingsverantwoordelijke zal Verwerker op de hoogte stellen van de verwerkingsdoeleinden voor zover deze niet reeds in deze Verwerkersovereenkomst zijn genoemd.
1.3. De in opdracht van Verwerkingsverantwoordelijke te Verwerken persoonsgegevens blijven eigendom van Verwerkingsverantwoordelijke en/of de betreffende betrokkenen.
1.4. Verwerkingsverantwoordelijke staat er voor in dat de verwerking van persoonsgegevens onder één van de vrijstellingen onder de AVG valt, en dat er aldus geen melding bij de AP is vereist.
2. Verplichtingen Verwerker
2.1. Ten aanzien van de in artikel 1 genoemde verwerkingen zal Verwerker zorgdragen voor de naleving van de voorwaarden die, op grond van de AVG, worden gesteld aan het verwerken van persoonsgegevens.
2.2. Verwerker zal Verwerkingsverantwoordelijke, op diens eerste verzoek daartoe, informeren over de door haar genomen maatregelen aangaande haar verplichtingen onder deze Verwerkersovereenkomst.
2.3. De verplichtingen van de Verwerker die uit deze Verwerkersovereenkomst voortvloeien, gelden ook voor degenen die persoonsgegevens verwerken onder het gezag van Verwerker, waaronder begrepen maar niet beperkt tot werknemers, in de ruimste zin van het woord.
2.4. De Verwerker zal de Verwerkingsverantwoordelijke onmiddellijk in kennis stellen indien naar zijn mening een instructie van de Verwerkingsverantwoordelijke in strijd is met de in lid 1 bedoelde wetgeving.
2.5. Verwerker zal, voor zover dat binnen haar macht ligt, bijstand verlenen aan Verwerkingsverantwoordelijke ten behoeve van het uitvoeren van gegevensbeschermingseffectbeoordelingen (PIA’s).
3. Verplichtingen Verwerkingsverantwoordelijke
3.1. Verwerkingsverantwoordelijke draagt zorg voor correct en veilig gebruik van de hosting diensten en is zelf verantwoordelijk voor implementatie van beveiligingspatches en beveiligingsupgrades voor geïnstalleerde of geplaatste code binnen de hostingaccounts en/of -diensten tenzij anders overeengekomen.
3.2. De verwerkingsveranwoordelijke behelst in ieder geval het correct en veilig gebruik van de afgenomen diensten, waaronder:
– Het toepassen van een geldig SSL certificaat en verbinding op de betreffende domeinen, websites, webshops en overige code;
– Het verbinden van email via SSL;
– Implementatie van beveiligingspatches en beveiligingsupgrades op code;
– Het up-to-date houden van account inhoudelijke code, waaronder website, CMS, CRM software of andere code.
4. Doorgifte van persoonsgegevens
4.1. Verwerker mag zonder voorafgaande schriftelijke toestemming de persoonsgegevens verwerken in landen binnen de Europese Unie. Inclusief de volgende landen: Verenigd Koninkrijk, Noorwegen, IJsland en Zwitserland.
4.2. Doorgifte naar landen buiten de Europese Unie is niet toegestaan zonder voorafgaande schriftelijke toestemming van Verantwoordelijke.
5. Verdeling van verantwoordelijkheid
5.1. De toegestane verwerkingen zullen door medewerkers van Verwerker worden uitgevoerd binnen een geautomatiseerde omgeving.
5.2. Verwerker is louter verantwoordelijk voor de verwerking van de persoonsgegevens onder deze Verwerkersovereenkomst, overeenkomstig de instructies van Verwerkingsverantwoordelijke en onder de uitdrukkelijke (eind-)verantwoordelijkheid van Verwerkingsverantwoordelijke. Voor de overige verwerkingen van persoonsgegevens, waaronder in ieder geval begrepen, maar niet beperkt tot, de verzameling van de persoonsgegevens door de Verwerkingsverantwoordelijke, verwerkingen voor doeleinden die niet door Verwerkingsverantwoordelijke aan Verwerker zijn gemeld, verwerkingen door derden en/of voor andere doeleinden, is Verwerker uitdrukkelijk niet verantwoordelijk.
5.3. Verwerkingsverantwoordelijke garandeert dat de inhoud, het gebruik en de opdracht tot de verwerkingen van de persoonsgegevens zoals bedoeld in deze verwerkersovereenkomst niet onrechtmatig zijn en geen inbreuk maken op enig recht van derden.
6. Inschakelen van derden of onderaannemers
6.1. Verwerker mag in het kader van de Verwerkersovereenkomst gebruik maken van een derde, zonder voorafgaande toestemming van Verwerkingsverantwoordelijke, onder de voorwaarde dat Verwerkingsverantwoordelijke, uitsluitend in het geval dat daar gegronde redenen voor zijn, het inschakelen van de derde kan verbieden.
6.2. Verwerker zorgt er onvoorwaardelijk voor dat deze derden schriftelijk dezelfde plichten op zich nemen als tussen Verantwoordelijke en Verwerkingsverantwoordelijke is overeengekomen.
6.3. Verwerker staat in voor een correcte naleving van de plichten uit deze Verwerkersovereenkomst door deze derden en is bij fouten van deze derden zelf aansprakelijk voor alle schade alsof zij zelf de fout(en) heeft begaan.
7. Beveiliging
7.1. Verwerker zal zich inspannen, ten aanzien van haar infrastructuur en door haar ingeschakelde derden waarmee of via welke persoonsgegevens verwerkt kunnen worden, voldoende en passende technische en organisatorische maatregelen te nemen met betrekking tot de te verrichten verwerkingen van persoonsgegevens, tegen verlies of tegen enige vorm van onrechtmatige verwerking (zoals onbevoegde kennisname, aantasting, wijziging of verstrekking van de persoonsgegevens).
7.2. Verwerker heeft in ieder geval de volgende maatregelen genomen:
– Encryptie (versleuteling) van digitale bestanden met persoonsgegevens;
– Beveiliging van netwerkverbindingen via Secure Sockets Layer (SSL) technologie;
– Het toepassen van updates en veiligheid-patches voor kwetsbaarheden op zowel infrastructuur als besturingssysteem niveau, met als doel een zo veilig mogelijke softwarematige en hardwarematige dienstverlening te bieden. Uitvoer van patching waar van toepassing en ter bevordering van veiligheid wordt uitgevoerd binnen 72 uur na oplevering van beschikbare updates.
7.3. Verwerker is verantwoordelijk voor de naleving van de door Partijen afgesproken, en door Verwerker te nemen, maatregelen.
8. Meldplicht
8.1. In het geval van een beveiligingslek en/of een datalek (waaronder wordt verstaan: een inbreuk op de beveiliging van persoonsgegevens die leidt tot een aanzienlijke kans op nadelige gevolgen, dan wel nadelige gevolgen heeft, voor de bescherming van persoonsgegevens) zal Verwerker, zich naar beste kunnen inspannen om Verantwoordelijke daarover onmiddellijk, maar in ieder geval binnen 48 uur na ontdekking ervan, te informeren. Verwerker spant zich naar beste kunnen in om de verstrekte informatie volledig, correct en accuraat te maken. De meldplicht geldt ongeachte de impact van het lek.
8.2. Indien de wet- en/of regelgeving dit vereist zal Verwerker meewerken aan het informeren van de terzake relevante autoriteiten en eventueel betrokkenen. Verantwoordelijke is verantwoordelijk voor het melden naar de relevante autoriteiten.
8.3. De meldplicht behelst in ieder geval het melden van het feit dat er een lek is geweest, alsmede:
– Wat de (vermeende) oorzaak is van het lek;
– Wat is het (vooralsnog bekende en/of te verwachten) gevolg;
– Wat is de (voorgestelde) oplossing;
– Wat de reeds ondernomen maatregelen zijn.
9. Afhandeling verzoeken van betrokkenen
10. Geheimhouding en vertrouwelijkheid
10.1. Op alle persoonsgegevens die Verwerker van Verwerkingsverantwoordelijke ontvangt en/of zelf verzamelt in het kader van deze Verwerkersovereenkomst, rust een geheimhoudingsplicht jegens derden. Verwerker zal deze informatie niet voor een ander doel gebruiken dan waarvoor zij deze heeft verkregen, zelfs niet wanneer deze in een zodanige vorm is gebracht zodat deze niet tot betrokkenen herleidbaar is.
10.2. Deze geheimhoudingsplicht is niet van toepassing voor zover Verwerkingsverantwoordelijke uitdrukkelijke toestemming heeft gegeven om de informatie aan derden te verschaffen, indien het verstrekken van de informatie aan derden logischerwijs noodzakelijk is gezien de aard van de verstrekte opdracht en de uitvoering van deze Verwerkersovereenkomst, of indien er een wettelijke verplichting bestaat om de informatie aan een derde te verstrekken.
11. Audit
11.1. Verwerkingsverantwoordelijke heef het recht om audits uit te laten voeren door een onafhankelijke Register EDP Auditor die aan geheimhouding is gebonden ter controle van naleving van de afspraken in deze Verwerkersovereenkomst.
11.2. Deze audit zal ten hoogste eenmaal per jaar plaatsvinden en vindt uitsluitend plaats bij een concreet en gegrond vermoeden van misbruik van persoonsgegevens door Verwerker, en pas nadat Verwerkingsverantwoordelijke de bij Verwerker aanwezige soortgelijke rapportages heef opgevraagd, beoordeeld en redelijke argumenten aanbrengt die een door Verwerkingsverantwoordelijke geïnitieerde audit alsnog rechtvaardigen. Een dergelijke audit wordt gerechtvaardigd wanneer de bij Verwerker aanwezige soortgelijke rapportages geen of onvoldoende uitsluitsel geven over het naleven van deze Verwerkersovereenkomst door Verwerker.
11.3. Deze audit vindt twee weken na voorafgaande aankondiging door Verwerkingsverantwoordelijke plaats, zonder vertrouwelijke gegevens van Verwerker te gebruiken en in te zien en zonder de werkprocessen van Verwerker onnodig te verstoren.
11.4. Verwerker zal aan de audit meewerken en alle voor de audit redelijkerwijs relevante informatie, inclusief ondersteunende gegevens zoals systeemlogs, en medewerkers zo tijdig mogelijk en binnen een redelijke termijn, waarbij een termijn van maximaal vier weken redelijk is tenzij een spoedeisend belang zich hiertegen verzet, ter beschikking stellen.
11.5. De bevindingen naar aanleiding van de uitgevoerde audit zullen door Partijen in onderling overleg worden beoordeeld en, naar aanleiding daarvan, al dan niet worden doorgevoerd door één van de Partijen of door beide Partijen gezamenlijk.
11.6. De redelijke kosten voor de audit worden door de Verantwoordelijke gedragen, met dien verstande dat de kosten voor de in te huren derde altijd door Verantwoordelijke zullen worden gedragen.
12. Aansprakelijkheid en boetebepalingen
12.1. De aansprakelijkheid van Verwerker voor schade als gevolg van een toerekenbare tekortkoming in de nakoming van de Verwerkersovereenkomst, dan wel uit onrechtmatige daad of anderszins, is uitgesloten. Voor zover voornoemde aansprakelijkheid niet kan worden uitgesloten is deze per gebeurtenis (een reeks opeenvolgende gebeurtenissen geldt als één gebeurtenis) beperkt tot de vergoeding van directe schade, tot maximaal het bedrag van de door Verwerker ontvangen vergoedingen voor de werkzaamheden onder deze Verwerkersovereenkomst over de maand voorafgaande aan de schadeveroorzakende gebeurtenis. De aansprakelijkheid van Verwerker voor directe schade zal in totaal nooit meer bedragen dan € 50,00.
12.2. Onder directe schade wordt uitsluitend verstaan alle schade bestaande uit:
– Schade direct toegebracht aan stoffelijke zaken (“zaakschade”);
– Redelijke en aantoonbare kosten om de Verwerker ertoe te manen de Verwerkersovereenkomst (weer) deugdelijk na te komen;
– Redelijke kosten ter vaststelling van de oorzaak en de omvang van de schade voor zover betrekking hebbende op de directe schade zoals hier bedoeld is;
– Redelijke en aantoonbare kosten die Verwerkingsverantwoordelijke heeft gemaakt ter voorkoming of beperking van de directe schade zoals in dit artikel bedoeld.
12.3. Verwerker is niet aansprakelijk voor schade die ontstaat uit geïnstalleerde code, CRM systemen of andere software welke geïnstalleerd is in het hosting account, server of overig gerelateerde dienst. Onder CRM systemen vallen onder andere WordPress, Joomla, Prestashop, Magento of Drupal.
12.4. Voor cloud-diensten of additionele services waarvan Verwerker geen server- of infrastructuur-beheer doet, maar enkel fungeert als wederverkoper, facilitator of gebruiker, is aansprakelijkheid uitgesloten. Onder cloud-diensten vallen onder andere Microsoft Office 365 email, Google G Suite email, Dropbox, Boxcryptor en Acronis backup. Onder additionele services vallen onder andere CloudFlare, SpamExperts, SSL Certificate Authorities en Let’s Encrypt.
12.5. De aansprakelijkheid van Verwerker voor indirecte schade is uitgesloten. Onder indirecte schade wordt verstaan alle schade die geen directe schade is en daarmee in ieder geval, maar niet beperkt tot, gevolgschade, gederfde winst, gemiste besparingen, verminderde goodwill, schade door bedrijfsstagnatie, schade door het niet bepalen van marketingdoeleinden, schade verband houdende met het gebruik van door Verwerkingsverantwoordelijke voorgeschreven gegevens of databestanden, of verlies, verminking of vernietiging van gegevens of databestanden.
12.6. De in dit artikel bedoelde uitsluitingen en beperkingen komen te vervallen indien en voor zover de schade het gevolg is van opzet of bewuste roekeloosheid van Verwerker of haar bedrijfsleiding.
12.7. Tenzij nakoming door Verwerker blijvend onmogelijk is, ontstaat de aansprakelijkheid van Verwerker wegens toerekenbare tekortkoming in de nakoming van de Overeenkomst slechts indien Verwerkingsverantwoordelijke de Verwerker onverwijld schriftelijk in gebreke stelt, waarbij een redelijke termijn voor de zuivering van de tekortkoming wordt gesteld, en Verwerker ook na die termijn toerekenbaar blijft tekortschieten in de nakoming van haar verplichtingen. De ingebrekestelling dient een zo volledig en gedetailleerd mogelijke omschrijving van de tekortkoming te bevatten, opdat Verwerker in de gelegenheid wordt gesteld adequaat te reageren.
12.8. Iedere vordering tot schadevergoeding door Verwerkingsverantwoordelijke tegen Verwerker die niet gespecificeerd en expliciet is gemeld, vervalt door het enkele verloop van twaalf (12) maanden na het ontstaan van de vordering.
12.9. Verwerker zal zich gedurende de Verwerkersovereenkomst adequaat verzekerd hebben en houden voor aansprakelijkheid conform dit artikel.
12.10. In het geval van schending van de Verwerkersovereenkomst zal Verwerker een direct opeisbare boete van
€ 50,00 per overtreding en € 50,00 per dag dat de schending voortduurt verbeuren aan Verwerkingsverantwoordelijke.
13. Duur en beëindiging
13.1. Deze Verwerkersovereenkomst komt tot stand door ondertekening van Partijen en op de datum van de laatste ondertekening.
13.2. Deze Verwerkersovereenkomst is aangegaan voor de duur zoals bepaald in de hoofdovereenkomst tussen Partijen en bij gebreke daarvan in ieder geval voor de duur van de samenwerking.
13.3. Zodra de Verwerkersovereenkomst, om welke reden en op welke wijze dan ook, is beëindigd, zal Verwerker – op verzoek van Verwerkingsverantwoordelijke – alle persoonsgegevens die bij haar aanwezig zijn verwijderen en/of vernietigen.
13.4. Verwerker is gerechtigd deze overeenkomst van tijd tot tijd te herzien. Zij zal minimaal drie maanden van tevoren mededeling doen van de wijzigingen aan Verwerkingsverantwoordelijke. Verwerkingsverantwoordelijke mag opzeggen tegen het einde van deze drie maanden indien zij niet akkoord kan gaan met de wijzigingen.
14. Toepasselijk recht en geschillenbeslechting
14.1. De Verwerkersovereenkomst en de uitvoering daarvan worden beheerst door Nederlands recht.
14.2. Alle geschillen, welke tussen Partijen mochten ontstaan in verband met de Verwerkersovereenkomst, zullen worden voorgelegd aan de bevoegde rechter in het arrondissement waar Verwerker is gevestigd.
14.3. In geval van strijdigheid van verschillende documenten of de bijlagen daarvan, geldt de volgende rangorde:
– de Overeenkomst;
– de Algemene Voorwaarden;
– deze Verwerkersovereenkomst;
– de Service Level Agreement;
– eventuele aanvullende voorwaarden.
Bijlage 1: Specificatie persoonsgegevens en betrokkenen
Persoonsgegevens
Verwerker zal in het kader van artikel 1.1 van de Verwerkersovereenkomst, waar van toepassing, de volgende (bijzondere) persoonsgegevens verwerken in opdracht van Verwerkingsverantwoordelijke:
- Naam
- Bedrijfsnaam
- Adres, postcode, woonplaats, land
- E-mailadressen
- Telefoonnummers
- Betaalwijze, financiële gegevens en bankrekening gegevens
- Overige informatie gerelateerd aan de diensten die je bij ons afneemt.
- IP-adressen
Van de categorieën betrokkenen:
- Personeel
- Klanten
Verwerkingsverantwoordelijke staat ervoor in dat de in deze Bijlage 1 omschreven persoonsgegevens en categorieën betrokkenen volledig en correct zijn, en vrijwaart Verwerker voor enige gebreken en aanspraken die resulteren uit een incorrecte weergave door Verwerkingsverantwoordelijke.
Inzage in de gegevens
Via het Surver klantenpaneel kun je inzien welke gegevens wij van jou bewaren en kun je ook wijzigingen doorgeven. Ook kun je ons mailen via info@surver.nl mocht je willen weten welke gegevens wij van je opslaan.