Verwerkersovereenkomst
1 september 2020
1. Doeleinden van verwerking
1.2. De persoonsgegevens die door Verwerker in het kader van de werkzaamheden als bedoeld in het vorige lid worden verwerkt en de categorieën van de betrokkenen van wie deze afkomstig zijn, zijn opgenomen in Bijlage 1. Verwerker zal de persoonsgegevens niet voor enig ander doel verwerken dan zoals door Verwerkingsverantwoordelijke is vastgesteld. Verwerkingsverantwoordelijke zal Verwerker op de hoogte stellen van de verwerkingsdoeleinden voor zover deze niet reeds in deze Verwerkersovereenkomst zijn genoemd.
1.3. De in opdracht van Verwerkingsverantwoordelijke te Verwerken persoonsgegevens blijven eigendom van Verwerkingsverantwoordelijke en/of de betreffende betrokkenen. 1.4. Verwerkingsverantwoordelijke staat er voor in dat de verwerking van persoonsgegevens onder één van de vrijstellingen onder de AVG valt, en dat er aldus geen melding bij de AP is vereist.
2. Verplichtingen Verwerker
2.2. Verwerker zal Verwerkingsverantwoordelijke, op diens eerste verzoek daartoe, informeren over de door haar genomen maatregelen aangaande haar verplichtingen onder deze Verwerkersovereenkomst.
2.3. De verplichtingen van de Verwerker die uit deze Verwerkersovereenkomst voortvloeien, gelden ook voor degenen die persoonsgegevens verwerken onder het gezag van Verwerker, waaronder begrepen maar niet beperkt tot werknemers, in de ruimste zin van het woord.
2.4. De Verwerker zal de Verwerkingsverantwoordelijke onmiddellijk in kennis stellen indien naar zijn mening een instructie van de Verwerkingsverantwoordelijke in strijd is met de in lid 1 bedoelde wetgeving.
2.5. Verwerker zal, voor zover dat binnen haar macht ligt, bijstand verlenen aan Verwerkingsverantwoordelijke ten behoeve van het uitvoeren van gegevensbeschermingseffectbeoordelingen (PIA’s).
3. Verplichtingen Verwerkingsverantwoordelijke
3.2. De verwerkingsveranwoordelijke behelst in ieder geval het correct en veilig gebruik van de afgenomen diensten, waaronder:
– Het toepassen van een geldig SSL certificaat en verbinding op de betreffende domeinen, websites, webshops en overige code;
– Het verbinden van email via SSL;
– Implementatie van beveiligingspatches en beveiligingsupgrades op code;
– Het up-to-date houden van account inhoudelijke code, waaronder website, CMS, CRM software of andere code.
4. Doorgifte van persoonsgegevens
4.2. Doorgifte naar landen buiten de Europese Unie is niet toegestaan zonder voorafgaande schriftelijke toestemming van Verantwoordelijke.
5. Verdeling van verantwoordelijkheid
5.2. Verwerker is louter verantwoordelijk voor de verwerking van de persoonsgegevens onder deze Verwerkersovereenkomst, overeenkomstig de instructies van Verwerkingsverantwoordelijke en onder de uitdrukkelijke (eind-)verantwoordelijkheid van Verwerkingsverantwoordelijke. Voor de overige verwerkingen van persoonsgegevens, waaronder in ieder geval begrepen, maar niet beperkt tot, de verzameling van de persoonsgegevens door de Verwerkingsverantwoordelijke, verwerkingen voor doeleinden die niet door Verwerkingsverantwoordelijke aan Verwerker zijn gemeld, verwerkingen door derden en/of voor andere doeleinden, is Verwerker uitdrukkelijk niet verantwoordelijk.
5.3. Verwerkingsverantwoordelijke garandeert dat de inhoud, het gebruik en de opdracht tot de verwerkingen van de persoonsgegevens zoals bedoeld in deze verwerkersovereenkomst niet onrechtmatig zijn en geen inbreuk maken op enig recht van derden.
6. Inschakelen van derden of onderaannemers
6.2. Verwerker zorgt er onvoorwaardelijk voor dat deze derden schriftelijk dezelfde plichten op zich nemen als tussen Verantwoordelijke en Verwerkingsverantwoordelijke is overeengekomen.
6.3. Verwerker staat in voor een correcte naleving van de plichten uit deze Verwerkersovereenkomst door deze derden en is bij fouten van deze derden zelf aansprakelijk voor alle schade alsof zij zelf de fout(en) heeft begaan.
7. Beveiliging
7.2. Verwerker heeft in ieder geval de volgende maatregelen genomen: – Encryptie (versleuteling) van digitale bestanden met persoonsgegevens; – Beveiliging van netwerkverbindingen via Secure Sockets Layer (SSL) technologie; – Het toepassen van updates en veiligheid-patches voor kwetsbaarheden op zowel infrastructuur als besturingssysteem niveau, met als doel een zo veilig mogelijke softwarematige en hardwarematige dienstverlening te bieden. Uitvoer van patching waar van toepassing en ter bevordering van veiligheid wordt uitgevoerd binnen 72 uur na oplevering van beschikbare updates.
7.3. Verwerker is verantwoordelijk voor de naleving van de door Partijen afgesproken, en door Verwerker te nemen, maatregelen.
8. Meldplicht
8.2. Indien de wet- en/of regelgeving dit vereist zal Verwerker meewerken aan het informeren van de terzake relevante autoriteiten en eventueel betrokkenen. Verantwoordelijke is verantwoordelijk voor het melden naar de relevante autoriteiten.
8.3. De meldplicht behelst in ieder geval het melden van het feit dat er een lek is geweest, alsmede:
– Wat de (vermeende) oorzaak is van het lek;
– Wat is het (vooralsnog bekende en/of te verwachten) gevolg;
– Wat is de (voorgestelde) oplossing;
– Wat de reeds ondernomen maatregelen zijn.
9. Afhandeling verzoeken van betrokkenen
10. Geheimhouding en vertrouwelijkheid
10.2. Deze geheimhoudingsplicht is niet van toepassing voor zover Verwerkingsverantwoordelijke uitdrukkelijke toestemming heeft gegeven om de informatie aan derden te verschaffen, indien het verstrekken van de informatie aan derden logischerwijs noodzakelijk is gezien de aard van de verstrekte opdracht en de uitvoering van deze Verwerkersovereenkomst, of indien er een wettelijke verplichting bestaat om de informatie aan een derde te verstrekken.
11. Audit
11.2. Deze audit zal ten hoogste eenmaal per jaar plaatsvinden en vindt uitsluitend plaats bij een concreet en gegrond vermoeden van misbruik van persoonsgegevens door Verwerker, en pas nadat Verwerkingsverantwoordelijke de bij Verwerker aanwezige soortgelijke rapportages heef opgevraagd, beoordeeld en redelijke argumenten aanbrengt die een door Verwerkingsverantwoordelijke geïnitieerde audit alsnog rechtvaardigen. Een dergelijke audit wordt gerechtvaardigd wanneer de bij Verwerker aanwezige soortgelijke rapportages geen of onvoldoende uitsluitsel geven over het naleven van deze Verwerkersovereenkomst door Verwerker.
11.3. Deze audit vindt twee weken na voorafgaande aankondiging door Verwerkingsverantwoordelijke plaats, zonder vertrouwelijke gegevens van Verwerker te gebruiken en in te zien en zonder de werkprocessen van Verwerker onnodig te verstoren.
11.4. Verwerker zal aan de audit meewerken en alle voor de audit redelijkerwijs relevante informatie, inclusief ondersteunende gegevens zoals systeemlogs, en medewerkers zo tijdig mogelijk en binnen een redelijke termijn, waarbij een termijn van maximaal vier weken redelijk is tenzij een spoedeisend belang zich hiertegen verzet, ter beschikking stellen.
11.5. De bevindingen naar aanleiding van de uitgevoerde audit zullen door Partijen in onderling overleg worden beoordeeld en, naar aanleiding daarvan, al dan niet worden doorgevoerd door één van de Partijen of door beide Partijen gezamenlijk.
11.6. De redelijke kosten voor de audit worden door de Verantwoordelijke gedragen, met dien verstande dat de kosten voor de in te huren derde altijd door Verantwoordelijke zullen worden gedragen.
12. Aansprakelijkheid en boetebepalingen
12.2. Onder directe schade wordt uitsluitend verstaan alle schade bestaande uit: – Schade direct toegebracht aan stoffelijke zaken (“zaakschade”); – Redelijke en aantoonbare kosten om de Verwerker ertoe te manen de Verwerkersovereenkomst (weer) deugdelijk na te komen; – Redelijke kosten ter vaststelling van de oorzaak en de omvang van de schade voor zover betrekking hebbende op de directe schade zoals hier bedoeld is; – Redelijke en aantoonbare kosten die Verwerkingsverantwoordelijke heeft gemaakt ter voorkoming of beperking van de directe schade zoals in dit artikel bedoeld.
12.3. Verwerker is niet aansprakelijk voor schade die ontstaat uit geïnstalleerde code, CRM systemen of andere software welke geïnstalleerd is in het hosting account, server of overig gerelateerde dienst. Onder CRM systemen vallen onder andere WordPress, Joomla, Prestashop, Magento of Drupal.
12.4. Voor cloud-diensten of additionele services waarvan Verwerker geen server- of infrastructuur-beheer doet, maar enkel fungeert als wederverkoper, facilitator of gebruiker, is aansprakelijkheid uitgesloten. Onder cloud-diensten vallen onder andere Microsoft Office 365 email, Google G Suite email, Dropbox, Boxcryptor en Acronis backup. Onder additionele services vallen onder andere CloudFlare, SpamExperts, SSL Certificate Authorities en Let’s Encrypt.
12.5. De aansprakelijkheid van Verwerker voor indirecte schade is uitgesloten. Onder indirecte schade wordt verstaan alle schade die geen directe schade is en daarmee in ieder geval, maar niet beperkt tot, gevolgschade, gederfde winst, gemiste besparingen, verminderde goodwill, schade door bedrijfsstagnatie, schade door het niet bepalen van marketingdoeleinden, schade verband houdende met het gebruik van door Verwerkingsverantwoordelijke voorgeschreven gegevens of databestanden, of verlies, verminking of vernietiging van gegevens of databestanden.
12.6. De in dit artikel bedoelde uitsluitingen en beperkingen komen te vervallen indien en voor zover de schade het gevolg is van opzet of bewuste roekeloosheid van Verwerker of haar bedrijfsleiding.
12.7. Tenzij nakoming door Verwerker blijvend onmogelijk is, ontstaat de aansprakelijkheid van Verwerker wegens toerekenbare tekortkoming in de nakoming van de Overeenkomst slechts indien Verwerkingsverantwoordelijke de Verwerker onverwijld schriftelijk in gebreke stelt, waarbij een redelijke termijn voor de zuivering van de tekortkoming wordt gesteld, en Verwerker ook na die termijn toerekenbaar blijft tekortschieten in de nakoming van haar verplichtingen. De ingebrekestelling dient een zo volledig en gedetailleerd mogelijke omschrijving van de tekortkoming te bevatten, opdat Verwerker in de gelegenheid wordt gesteld adequaat te reageren.
12.8. Iedere vordering tot schadevergoeding door Verwerkingsverantwoordelijke tegen Verwerker die niet gespecificeerd en expliciet is gemeld, vervalt door het enkele verloop van twaalf (12) maanden na het ontstaan van de vordering.
12.9. Verwerker zal zich gedurende de Verwerkersovereenkomst adequaat verzekerd hebben en houden voor aansprakelijkheid conform dit artikel.
12.10. In het geval van schending van de Verwerkersovereenkomst zal Verwerker een direct opeisbare boete van € 50,00 per overtreding en € 50,00 per dag dat de schending voortduurt verbeuren aan Verwerkingsverantwoordelijke.
13. Duur en beëindiging
13.2. Deze Verwerkersovereenkomst is aangegaan voor de duur zoals bepaald in de hoofdovereenkomst tussen Partijen en bij gebreke daarvan in ieder geval voor de duur van de samenwerking.
13.3. Zodra de Verwerkersovereenkomst, om welke reden en op welke wijze dan ook, is beëindigd, zal Verwerker – op verzoek van Verwerkingsverantwoordelijke – alle persoonsgegevens die bij haar aanwezig zijn verwijderen en/of vernietigen.
13.4. Verwerker is gerechtigd deze overeenkomst van tijd tot tijd te herzien. Zij zal minimaal drie maanden van tevoren mededeling doen van de wijzigingen aan Verwerkingsverantwoordelijke. Verwerkingsverantwoordelijke mag opzeggen tegen het einde van deze drie maanden indien zij niet akkoord kan gaan met de wijzigingen.
14. Toepasselijk recht en geschillenbeslechting
14.2. Alle geschillen, welke tussen Partijen mochten ontstaan in verband met de Verwerkersovereenkomst, zullen worden voorgelegd aan de bevoegde rechter in het arrondissement waar Verwerker is gevestigd.
14.3. In geval van strijdigheid van verschillende documenten of de bijlagen daarvan, geldt de volgende rangorde: – de Overeenkomst; – de Algemene Voorwaarden; – deze Verwerkersovereenkomst; – de Service Level Agreement; – eventuele aanvullende voorwaarden.
Bijlage 1: Specificatie persoonsgegevens en betrokkenen
Persoonsgegevens
Verwerker zal in het kader van artikel 1.1 van de Verwerkersovereenkomst, waar van toepassing, de volgende (bijzondere) persoonsgegevens verwerken in opdracht van Verwerkingsverantwoordelijke:
- Naam
- Bedrijfsnaam
- Adres, postcode, woonplaats, land
- E-mailadressen
- Telefoonnummers
- Betaalwijze, financiële gegevens en bankrekening gegevens
- Overige informatie gerelateerd aan de diensten die je bij ons afneemt.
- IP-adressen
Van de categorieën betrokkenen:
- Personeel
- Klanten
Verwerkingsverantwoordelijke staat ervoor in dat de in deze Bijlage 1 omschreven persoonsgegevens en categorieën betrokkenen volledig en correct zijn, en vrijwaart Verwerker voor enige gebreken en aanspraken die resulteren uit een incorrecte weergave door Verwerkingsverantwoordelijke.
Inzage in de gegevens
Via het Surver klantenpaneel kun je inzien welke gegevens wij van jou bewaren en kun je ook wijzigingen doorgeven. Ook kun je ons mailen via info@surver.nl mocht je willen weten welke gegevens wij van je opslaan.