Verwerkersovereenkomst voor Persoonsgegevens
Verwerker
Redhead Technology BV gevestigd te Rijswijk en kantoorhoudende te Rijswijk aan het adres Verrijn Stuartlaan 21, 2288 EK te dezen rechtsgeldig vertegenwoordigd door de directeur RCJ Roodbol, hierna te noemen "Verwerker"
en
Verantwoordelijke
FOCUS Design and Construct VOF, gevestigd te Rijswijk en kantoorhoudende te Rijswijk aan het adres Steenplaetsstraat 6, 2288 AA met KVK-nummer: 71388974 te dezen rechtsgeldig vertegenwoordigd door Dhr. Emrah Bingol, hierna te noemen “Verantwoordelijke”
Verantwoordelijke en Verwerker worden hierna samen ook aangeduid als “Partijen” en individueel ook als een “Partij”
ACHTERGROND:
A. Verantwoordelijke gebruikt bepaalde persoonsgegevens over bepaalde personen. Om welke persoonsgegevens (de "Gegevens") het gaat, en om welke (categorieën) personen van wie de Gegevens zijn, staat omschreven in Bijlage 1. De personen om wiens Gegevens het gaat worden hierna de “Betrokkenen” genoemd.
B. De Gegevens zijn aan te merken als persoonsgegevens zoals bedoeld in de Wet bescherming persoonsgegevens, die op 25 mei 2018 wordt vervangen door de Algemene Verordening Gegevensbescherming (Verordening EU 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming), hierna: de “AVG”. Met de “Wet” wordt, tot 24 mei 2018 de Wet bescherming persoonsgegevens bedoeld, en vanaf 25 mei 2018 de AVG.
C. Verantwoordelijke is aan te merken als “verantwoordelijke” voor de Gegevens in de zin van de Wet. Daarom moet Verantwoordelijke er voor zorgen dat de Wet wordt nageleefd wanneer personen of externe bedrijven in opdracht van Verantwoordelijke met de Gegevens "handelingen/verwerkingen" verrichten. Onder “handelingen/verwerkingen” vallen alle handelingen met de Gegevens, waaronder het verzamelen, vastleggen, opslaan, inzien, verwijderen, doorgeven, ordenen, wijzigen, gebruiken, verspreiden, combineren en afschermen. Omdat Verwerker handelingen met de Gegevens verricht in opdracht van Verantwoordelijke is Verwerker aan te merken als “Verwerker” (of “verwerker”) van de Gegevens zoals bedoeld in de Wet.
D. Verwerker verleent specifiek voor de Verantwoordelijke de volgende dienst(en): Zakelijk Internet en/of Telefonie. Dit wordt hierna de “Dienst” genoemd. Het doel van de verwerking van de Gegevens door de Verwerker is om het de Verwerker mogelijk te maken de Dienst te verlenen.
E. Om de Dienst te verlenen zal Verwerker de in Bijlage 1 omschreven handelingen verrichten met de Gegevens.
F. Verantwoordelijke is op grond van de Wet verplicht een Verwerkersovereenkomst te sluiten met Verwerkers. Daarvoor is deze overeenkomst bedoeld. Deze overeenkomst wordt hierna de “Verwerkersovereenkomst” genoemd.
KOMEN OVEREEN ALS VOLGT:
Artikel 1: Algemeen
1. Verwerker staat er voor in dat het met betrekking tot de Gegevens passende technische en organisatorische maatregelen toepast zodat Verwerker aan de vereisten van Wet voldoet en de bescherming van de rechten van de Betrokkenen waarborgt.
2. Vanaf 25 mei 2018 geldt dat, als de Verwerker is aangesloten op een officieel goedgekeurde gedragscode of een officiële certificering heeft, dit door de Verwerker kan worden gebruikt om aan te tonen dat aan de hiervoor genoemde garantie is voldaan.
3. Verwerker zal verder die maatregelen nemen die nodig zijn om te zorgen dat het aan de verplichtingen op grond van deze Verwerkersovereenkomst voldoet.
4. Verwerker benoemt een persoon binnen diens organisatie die zal toezien op naleving van de verplichtingen op grond van deze Verwerkersovereenkomst en geeft deze naam aan Verantwoordelijke door.
Artikel 2: Alleen handelingen verrichten in opdracht van Verantwoordelijke
1. Verwerker mag alleen handelingen verrichten met de Gegevens op schriftelijke instructie van Verantwoordelijke.
2. Het voorgaande betekent onder andere dat Verwerker:
a. uitsluitend voor het uitvoeren van de Dienst handelingen met de Gegevens mag verrichten;
b. uitsluitend de handelingen mag verrichten zoals omschreven in Bijlage 1 en eventuele overige handelingen mag verrichten zoals door Verantwoordelijke schriftelijk aangegeven;
c. de Gegevens nooit voor eigen doeleinden mag gebruiken, en dus geen zelfstandige beslissingen mag nemen over wat er met de Gegevens gebeurt, zoals de Gegevens doorgeven aan een derde partij (anders dan een toegestane Sub-Verwerker), tenzij Verwerker daar wettelijk toe is verplicht. Als Verwerker wel dergelijke zelfstandige beslissingen zou nemen (behalve op basis van de wettelijke plicht), wordt de Verwerker verantwoordelijke in de zin van de Wet en moet het voldoen aan alle verplichtingen uit de Wet;
d. er voor zorg draagt dat alle personen (hierna: “Medewerkers”) ook uitsluitend de in Bijlage 1 omschreven handelingen met de Gegevens verrichten;
e. de Gegevens ook voor het overige uitsluitend overeenkomstig deze Verwerkersovereenkomst mag verwerken.
3. De Verwerker mag uitsluitend buiten de schriftelijke instructies van Verantwoordelijke handelingen verrichten met de Gegevens als Verwerker dit moet op grond van een op Europees recht gebaseerde wettelijke verplichting. Als op Verwerker een dergelijke wettelijke verplichting rust, informeert Verwerker de Verantwoordelijke daarover voordat de Verwerker de specifieke wettelijk verplichte handeling uitvoert. Dit, tenzij de betreffende wetgeving het de Verwerker verbiedt om de Verantwoordelijke te infomeren om gewichtige redenen van algemeen belang. In het geval dat Verwerker door een overheidsinstantie of een andere soort derde verplicht wordt om inzage te geven in de Gegevens of deze ter beschikking te stellen, geldt daarnaast het bepaalde in artikel 10 lid 3 van deze Verwerkersovereenkomst.
Artikel 3: Beschikbaarheid van de Gegevens
1. Om te zorgen dat Verantwoordelijke altijd kan beschikken over de Gegevens zal Verwerker de door Verantwoordelijke opgevraagde Gegevens uiterlijk de volgende werkdag aan Verantwoordelijke ter beschikking stellen op een door Verantwoordelijke aangegeven manier. Indien en zolang de Verantwoordelijke op afstand toegang heeft tot alle Gegevens en deze ook op afstand kan opvragen, geldt de hiervoor genoemde verplichting niet.
2. Om te zorgen voor continue beschikbaarheid van de Gegevens garandeert Verwerker dat er voldoende uitwijkmogelijkheden zijn voor het geval dat zich storingen voor doen in de faciliteiten met behulp waarvan de Gegevens worden opgeslagen, daaronder ook begrepen stroomvoorzieningen.
3. Verwerker bewaart de Gegevens in een format waardoor zij in hun geheel kunnen worden overgedragen aan Verantwoordelijke, zodra deze daar om verzoekt.
Artikel 4: Meewerken met Verantwoordelijke
1. Partijen onderkennen dat Verantwoordelijke in voldoende mate controle over de Gegevens moet hebben om te voldoen aan diens verplichtingen op grond van de Wet. Voor dit doel zal Verwerker:
a. rekening houdend met de aard van de handelingen met de Gegevens, voor zover mogelijk, met de Verantwoordelijke meewerken door middel van passende technische en organisatorische maatregelen, bij het vervullen van diens plicht om verzoeken van Betrokkenen te beantwoorden;
b. rekening houdend met de aard van de handelingen en de voor Verwerker beschikbare informatie, de Verantwoordelijke assisteren bij het nakomen van de verplichtingen tot beveiliging van de Gegevens, het voldoen aan de verplichting tot het melden van Incidenten zoals genoemd in artikel 7 (Beveiligingsincidenten melden), het uitvoeren van privacy impact assessments (PIA's) en het vooraf raadplegen van de privacy-toezichthouder (de Autoriteit Persoonsgegevens) wanneer dat nodig is;
c. voor het overige de redelijkerwijs door Verantwoordelijke verzochte medewerking verlenen zodat Verantwoordelijke aan diens verplichtingen op grond van de Wet kan voldoen.
2. Als de medewerking op grond van dit artikel aanzienlijk meer werkzaamheden omvat dan gebruikelijk is in het kader van het verlenen van de Dienst, heeft Verwerker het recht een redelijke vergoeding voor de medewerking te verlangen op basis van de op dat moment bij Verwerker geldende (uur)tarieven. Verwerker zal Verantwoordelijke vooraf op de hoogte brengen wanneer het een dergelijke vergoeding in rekening brengt.
Artikel 5: Informeren Verantwoordelijke
1. In het algemeen zal Verwerker Verantwoordelijke informeren over feiten en omstandigheden die relevant zijn in verband met de verwerking van de Gegevens. Dit om er voor te zorgen dat Verantwoordelijke als verantwoordelijke inzicht heeft in de verwerking van de Gegevens door Verwerker.
2. In ieder geval zal Verwerker Verantwoordelijke op de hoogte brengen van, en daarbij de nodige informatie verstrekken over:
a. ieder Incident zoals genoemd in artikel 7 (Beveiligingsincidenten melden);
b. ieder aan de Verwerker gericht verzoek van een Betrokkene met betrekking tot diens Gegevens;
c. iedere belangrijke wijziging in de dienstverlening van Verwerker die van invloed is op de verwerking van de Gegevens;
d. iedere beslaglegging op de servers of andere apparatuur waar de Gegevens op staan die in eigendom zijn van de Verwerker of waar Verwerker kennis van heeft;
e. alle informatie die nodig is om de nakoming van de verplichtingen uit hoofde van deze Verwerkersovereenkomst aan te tonen;
f. het bestaan van omstandigheden waardoor er een reële kans bestaat dat Verwerker, dan wel een Sub-Verwerker, failliet zal worden verklaard of surseance van betaling moet aanvragen.
Artikel 6: Beveiligingsmaatregelen
1. Verwerker staat er voor in dat het, rekening houdend met de stand van de techniek, de beveiligingskosten, de aard, de omvang, de context en de doeleinden van de handelingen die de Verwerker met de Gegevens verricht en de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de Betrokkenen, toepasselijke technische en organisatorische maatregelen heeft genomen om een op risico afgestemd beveiligingsniveau van de Gegevens te waarborgen. Bij de beoordeling van het passende beveiligingsniveau wordt met name rekening gehouden met de verwerkingsrisico's, vooral als gevolg van de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte Gegevens, ofwel per ongeluk ofwel onrechtmatig.
2. De beveiligingsmaatregelen zijn verder uitgewerkt in Bijlage 2, en moeten, waar passend, in ieder geval de volgende maatregelen omvatten:
a. de pseudonimisering en versleuteling van de Gegevens;
b. het vermogen om op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de Dienst te garanderen;
c. het vermogen om bij een fysiek of technisch incident de beschikbaarheid van en de toegang tot de Gegevens tijdig te herstellen;
d. een procedure voor het op gezette tijdstippen testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging van de Gegevens;
e. technische voorzieningen om te zorgen dat de Gegevens worden afgescheiden van andere bij de Verwerker opgeslagen gegevens.
3. Waar Verwerker voor het uitvoeren van de Dienst toegang heeft tot de Gegevens, zal Verwerker binnen diens organisatie maatregelen treffen om er voor te zorgen dat alleen Medewerkers toegang krijgen tot de Gegevens die daar noodzakelijkerwijs toegang toe moeten krijgen. In Bijlage 2, onderdeel 3, staat omschreven welke groepen Medewerkers toegang hebben tot welke Gegevens.
Artikel 7: Beveiligingsincidenten melden
1. In het geval dat zich aan de zijde van Verwerker en/of een Sub-Verwerker een (beveiligings)incident voordoet dat betrekking heeft op de Gegevens en dat per ongeluk of op onrechtmatige wijze leidt tot, of kan leiden tot, de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van, of de ongeoorloofde toegang tot de Gegevens, bijvoorbeeld (i) waardoor (er een risico bestaat dat) een onbevoegde derde toegang en/of de beschikking krijgt over de Gegevens, (ii) dan wel waardoor de Gegevens zijn, of kunnen worden gewijzigd en/of aangetast door een onbevoegde, (iii) dan wel waardoor de Gegevens verloren zijn gegaan zonder dat er een (complete) back-up is van die Gegevens (hierna: een “Incident”), zal Verwerker zonder onredelijke vertraging en uiterlijk de volgende werkdag aan Verantwoordelijke melding maken van dit feit.
2. Verwerker doet de melding aan de persoon of afdeling die Verantwoordelijke daartoe heeft aangewezen, en bij gebreke daarvan, aan de gebruikelijke contactpersoon bij Verantwoordelijke. De melding wordt bij voorkeur per e-mail gedaan maar als het om zeer spoedeisende of ernstige Incidenten gaat zal Verwerker de melding telefonisch doen en daarna de overige informatie over het Incident per e-mail toezenden.
3. Na de eerste melding houdt Verwerker Verantwoordelijke continue op de hoogte van de ontwikkelingen rond het Incident. Tevens overlegt Verwerker op verzoek van Verantwoordelijke over de acties die moeten worden ondernomen in verband met het Incident.
4. Bij de melding zal Verwerker de volgende beschikbare informatie verstrekken:
a. een omschrijving van het Incident, waaronder de oorzaak van het Incident, de betreffende (categorieën) Gegevens, de aard van de Gegevens, de aard van het Incident, de omvang van het Incident, de (geschatte) hoeveelheid Gegevens waar het om gaat;
b. de (waarschijnlijke) gevolgen die het Incident heeft voor Verantwoordelijke en de Betrokkenen;
c. welke maatregelen zijn genomen om de gevolgen van het Incident te beperken en/of de maatregelen die nog moeten worden genomen om de gevolgen te beperken en het tijdspad waarbinnen die maatregelen worden uitgevoerd;
d. als de Verwerker een functionaris gegevensbescherming (FG) heeft, de naam en contactgegevens van de FG, en anders die van een andere contactpersoon bij Verwerker;
e. alle overige informatie over het Incident waar Verantwoordelijke om verzoekt en/of die relevant is voor Verantwoordelijke om te weten als verantwoordelijke voor de Gegevens.
Als het niet mogelijk is om deze informatie in één keer te geven, dan kan dat ook in stappen worden gedaan.
5. Verwerker neemt alle benodigde maatregelen om de gevolgen van het Incident (verder) te beperken. Verwerker doet dit eigener beweging en zoals verzocht door Verantwoordelijke, mits die verzoeken voor Verwerker te realiseren zijn met het oog op de kosten en de technische haalbaarheid. Verwerker houdt Verantwoordelijke continue op de hoogte van de genomen maatregelen.
6. Verwerker zal op eigen kosten de door Verantwoordelijke verzochte medewerking verlenen en alle benodigde en verzochte informatie verstrekken in verband met het melden van het Incident aan de toezichthouder (de Autoriteit Persoonsgegevens) en/of de Betrokkenen. Verwerker zal het Incident niet eigener beweging melden bij de Autoriteit Persoonsgegevens.
7. Nadat zich een Incident heeft voorgedaan zal Verwerker die maatregelen nemen die nodig zijn om te zorgen voor betere beveiliging van de Gegevens. Verwerker houdt Verantwoordelijke op de hoogte van de genomen maatregelen.
8. Verwerker houdt een register bij met alle Incidenten die zich hebben voorgedaan en verstrekt Verantwoordelijke een kopie van het register op diens verzoek en in ieder geval bij het eindigen van deze Verwerkersovereenkomst. Zolang Verwerker de persoonsgegevens verwerkt voor Verantwoordelijke bewaart Verwerker de informatie in het register.
Artikel 8: Eigen verplichtingen Verwerker
1. Op grond van de Wet bescherming persoonsgegevens heeft de Verwerker de zelfstandige verplichting om de Gegevens geheim te houden, uitsluitend handelingen met Gegevens verrichten in opdracht van Verantwoordelijke, er voor zorg te dragen dat Medewerkers ook uitsluitend handelingen met de Gegevens verrichten in opdracht van de Verantwoordelijke en de Gegevens passend te beveiligen.
2. Vanaf 25 mei 2018 heeft Verwerker op grond van de Wet meer zelfstandige verplichtingen. Het gaat daarbij met name om de volgende verplichtingen:
a. de verplichting om een register bij te houden van alle categorieën van verwerkingsactiviteiten die Verwerker ten behoeve van verantwoordelijken verricht, daaronder dus ook de in Bijlage 1 omschreven handelingen die Verwerker verricht, dit als Verwerker meer dan 250 personen in dienst heeft, of als waarschijnlijk is dat de verwerking van de Gegevens een risico inhoudt voor de rechten en vrijheden van de Betrokkenen, het gebruik van de Gegevens niet incidenteel is, of het bijzondere categorieën van Gegevens betreft (artikel 30 AVG);
b. het hiervoor genoemde register op verzoek aan de Autoriteit Persoonsgegevens verstrekken (artikel 30 lid 4 AVG);
c. meewerken met verzoeken van de Autoriteit Persoonsgegevens (artikel 31 AVG);
d. (beveiligings)incidenten te melden aan Verantwoordelijke (artikel 33 lid 2 AVG);
e. een functionaris gegevensbescherming (FG) benoemen, in ieder geval als er sprake is van regelmatige en stelselmatige observatie op grote schaal van betrokkenen en/of er sprake is van grootschalige verwerking van bijzondere categorieën van persoonsgegevens (artikel 37 AVG);
f. de Gegevens niet (laten) doorgeven naar een land buiten de Europese Economische Ruimte (EER) waar geen passend niveau voor bescherming van persoonsgegevens is, tenzij dat is toegestaan op grond van de Wet (artikel 44 AVG), zie ook artikel 12 van deze Verwerkersovereenkomst.
3. Verwerker verklaart aan de hiervoor genoemde verplichtingen te zullen voldoen.
Artikel 9: Controle Verwerkersovereenkomst
1. Verwerker zal op verzoek van Verantwoordelijke die informatie verstrekken die Verantwoordelijke nodig heeft om na te gaan of Verwerker aan diens verplichtingen uit hoofde van deze Verwerkersovereenkomst en/of de Wet voldoet. De informatie zal worden verstrekt voor zover dit betrekking heeft op de naleving van deze Verwerkersovereenkomst en/of de Wet.
2. Verwerker zal Verantwoordelijke in ieder geval de volgende informatie verstrekken:
a. informatie over de procedures bij Verwerker om te zorgen dat de Medewerkers die handelingen verrichten met de Gegevens de verplichtingen in deze Verwerkersovereenkomst en in de Wet naleven;
b. informatie over de beveiligingsprocedures en de naleving daarvan door Verwerker;
c. informatie over de geheimhoudingsverklaringen die worden getekend door de Medewerkers (als zij niet een wettelijke geheimhoudingsplicht hebben);
d. eventuele uitgevoerde third party audits en de resultaten daarvan, waarbij Verwerker eventuele vertrouwelijke informatie mag verwijderen.
3. Verwerker zal Verantwoordelijke onder de hieronder in dit artikel genoemde voorwaarden voor het uitvoeren van audits toegang verlenen tot diens terreinen, IT-systemen, administratie en interne documentatie zodat Verantwoordelijke na kan gaan of Verwerker aan diens verplichtingen uit hoofde van deze Verwerkersovereenkomst en/of de Wet voldoet. De toegang zal worden verleend voor zover dit betrekking heeft op de naleving van deze Verwerkersovereenkomst en/of de Wet.
4. Verantwoordelijke mag een derde partij aanwijzen om de audit uit te voeren. Op verzoek van Verwerker zal Verantwoordelijke er voor zorgen dat deze derde partij hetgeen hij in het kader van de audit verneemt geheim houdt in die zin dat hij het niet aan derden verstrekt tenzij daar een wettelijke verplichting toe bestaat.
5. Verantwoordelijke zal niet vaker dan één keer per kalenderjaar om een audit vragen, tenzij het gerechtvaardigd vermoeden bestaat dat Verwerker in de tussentijd niet aan diens (beveiligings)verplichtingen voldoet, bijvoorbeeld bij een Incident zoals omschreven in artikel 7 (Incidenten); in dat geval mag Verantwoordelijke een audit uitvoeren indien zij dat noodzakelijk acht.
6. Verantwoordelijke zal Verwerker vooraf op de hoogte brengen van de audit en Verwerker een redelijke termijn gunnen om zich op de audit voor te bereiden. Bij een audit naar aanleiding van een Incident zal deze "redelijke termijn" korter zijn dan bij een reguliere audit.
7. Als een instructie van de Verantwoordelijke naar de mening van Verwerker tot gevolg heeft dat de Wet wordt overtreden stelt de Verwerker de Verantwoordelijke daar onmiddellijk van op de hoogte.
8. Als uit de audit blijkt dat Verwerker niet aan diens verplichtingen op grond van deze Verwerkersovereenkomst voldoet, zal Verwerker op eigen kosten meewerken aan de door Verantwoordelijke verzochte maatregelen om alsnog aan die verplichtingen te voldoen. Daarbij wordt geen afbreuk gedaan aan de overige rechten die Verantwoordelijke heeft op grond van deze Verwerkersovereenkomst of op grond van de wet, zoals het ontbinden van deze Verwerkersovereenkomst.
Artikel 10: Geheimhouding
1. Verwerker zal geheimhouding in acht nemen met betrekking tot de Gegevens en de Gegevens niet doorgeven aan, of beschikbaar maken voor enige derde, tenzij dit uitdrukkelijk is toegestaan op grond van deze Verwerkersovereenkomst of op grond van een op Europees recht gebaseerde wettelijke verplichting.
2. Verwerker zal er voor zorgen dat de Medewerkers gebonden zijn aan geheimhouding van de Gegevens. Dit geldt niet voor Medewerkers die een wettelijke, beroepsmatige geheimhoudingsplicht hebben, zij zijn op grond van de wet verplicht de Gegevens geheim te houden.
3. In het geval dat Verwerker door een overheidsinstantie of een andere soort derde op basis van een op Europees recht gebaseerde wettelijke verplichting verplicht wordt om inzage te geven in de Gegevens of deze ter beschikking te stellen, en daarbij niet wordt verboden de Verantwoordelijke daarover te informeren, zal Verwerker dit zo spoedig mogelijk aan Verantwoordelijke laten weten zodat Verantwoordelijke stappen kan ondernemen om dergelijke inzage en/of terbeschikkingstelling te voorkomen. Als het niet mogelijk blijkt dergelijke stappen te nemen zal Verwerker alleen die Gegevens ter beschikking stellen waartoe het op grond van de wet verplicht is. Verwerker staat er voor in dat het geen inzage zal geven in Gegevens of Gegevens zal verstrekken aan enige overheidsinstantie of andere soort derde (Sub-Verwerkers daarvan uitgezonderd) als daartoe geen op Europees recht gebaseerde wettelijke verplichting bestaat.
Artikel 11: Sub-Verwerkers
1. Verwerker mag de handelingen met de Gegevens uitsluitend uitbesteden aan de onderaannemers (“Sub-Verwerkers”) die genoemd staan in Bijlage 3. Externe Medewerkers die niet in dienst zijn bij de Verwerker zijn ook aan te merken als Sub-Verwerkers.
2. Verwerker staat er voor in dat alle Sub-Verwerkers:
a. garanderen dat zij met betrekking tot de Gegevens passende technische en organisatorische maatregelen toepassen zodat aan de vereisten van de Wet wordt voldaan en de bescherming van de rechten van de betrokkene is gewaarborgd;
b. zich er schriftelijk toe verbinden om de verplichtingen van de Verwerker uit hoofde van deze Verwerkersovereenkomst, voor zover betrekking hebbende op de aan de Sub-Verwerker uitbesteedde handelingen met de Gegevens, na te komen.
3. Verwerker mag alleen met voorafgaande schriftelijke toestemming van Verantwoordelijke een Sub-Verwerker vervangen of toevoegen. Verantwoordelijke zal diens toestemming redelijkerwijs niet onthouden als de Sub-Verwerker de Gegevens opslaat binnen de Europese Economische Ruimte en als is voldaan aan de in lid 2 van dit artikel genoemde eisen. Voor het inhuren en vervangen van externe Medewerkers geeft Verantwoordelijke algemene toestemming.
4. Verwerker blijft te allen tijde verantwoordelijk voor het handelen en/of nalaten van de Sub-Verwerkers.
5. Verwerker is er ook verantwoordelijk voor om de Sub-Verwerkers al dan niet op verzoek van de Verantwoordelijke te dwingen de in deze Verwerkersovereenkomst vastgelegde verplichtingen na te komen. Hieronder valt, zonder beperking, het naleven van de medewerkings- en informatieverplichtingen, het overdragen van de Gegevens aan Verantwoordelijke, het niet doorgeven naar buiten de EER behoudens voor zover toegestaan op grond van deze Verwerkersovereenkomst.
6. Als een Sub-Verwerker die over de Gegevens beschikt surseance van betaling heeft aangevraagd of het faillissement van een Sub-Verwerker is aangevraagd, zal Verwerker er alles binnen diens vermogen aan doen om de Gegevens van de Sub-Verwerker, en diens sub-Verwerkers, terug te krijgen en er voor te zorgen dat de Sub-Verwerker op verzoek van de Verantwoordelijke de Gegevens vernietigt.
Artikel 12: Geen doorgifte naar buiten de Europese Economische Ruimte (EER)
1. In Bijlage 4 staat vermeld in welk(e) land(en) Verwerker en/of de Sub-Verwerker de Gegevens opslaat.
2. De Gegevens mogen worden doorgegeven naar Sub-Verwerkers of servers van Verwerker die zich bevinden in landen binnen de Europese Economische Ruimte (“EER”). Op grond van de Wet geldt in principe een verbod om Gegevens door te geven naar een land buiten de EER waar geen “passend privacy-beschermingsniveau is”. In Bijlage 4 staat meer informatie over de landen waar wel een passend beschermingsniveau is, daar mogen de Gegevens dus naar worden doorgegeven.
3. Het is Verwerker niet toegestaan de Gegevens door te geven naar een land buiten de EER waar geen passend beschermingsniveau is zonder (i) voorafgaande schriftelijke toestemming van Verantwoordelijke te verkrijgen en, als die toestemming eenmaal is gegeven, (ii) zonder dat er sprake is van een grond die doorgifte mogelijk maakt. In Bijlage 4 staan voorbeelden van dergelijk gronden.
Artikel 13: Duur en beëindiging
1. Deze Verwerkersovereenkomst, en het verrichten van handelingen met de Gegevens door de Verwerker, duurt voort zolang de Gegevens in het kader van de Dienst door Verwerker worden verwerkt.
2. Deze Verwerkersovereenkomst eindigt wanneer de hoofdovereenkomst eindigt op basis waarvan de Dienst wordt verleend. Voor zover in die hoofdovereenkomst niet (volledig) wordt bepaald hoe de overeenkomst eindigt, geldt het bepaalde in dit artikel (waar van toepassing aanvullend op de hoofdovereenkomst).
3. Zonder afbreuk te doen aan het recht van een Partij om deze Verwerkersovereenkomst op grond van de wet te beëindigen, kan een Partij deze Verwerkersovereenkomst naar keuze opzeggen dan wel ontbinden, zonder gehouden te zijn tot schadevergoeding, wanneer:
a. De andere Partij surseance van betaling aanvraagt, dan wel dit aan de andere Partij wordt verleend;
b. Het faillissement van de andere Partij wordt aangevraagd dan wel dit wordt uitgesproken;
c. De andere Partij diens bedrijfsvoering of activiteiten (nagenoeg) geheel staakt.
4. Zonder afbreuk te doen aan het recht van Verantwoordelijke om deze Verwerkersovereenkomst op grond van de wet te beëindigen, kan Verantwoordelijke deze Verwerkersovereenkomst naar keuze opzeggen, dan wel ontbinden, zonder gehouden te zijn tot enige vorm van schadevergoeding, in het geval dat:
a. blijkt (bijvoorbeeld uit een audit) dat Verwerker niet aan diens verplichtingen op grond van deze Verwerkersovereenkomst en/of de Wet voldoet;
b. een Sub-Verwerker, ook niet na aanmaning daartoe, diens verplichtingen niet nakomt en Verwerker het verrichten van de handelingen met de Gegevens door Sub-Verwerker niet op verzoek van Verantwoordelijke wil staken;
c. Verantwoordelijke een goede grond heeft om aan te nemen dat de Verwerker niet aan diens verplichtingen op grond van deze Verwerkersovereenkomst zal kunnen voldoen;
d. Verantwoordelijke een wijziging wenst van deze Verwerkersovereenkomst die niet is ingegeven door een wijziging in de Wet en/of andere op de verwerking van de Gegevens toepasselijke wet en/of regelgeving en Verwerker weigert daar aan mee te werken, dit met inachtneming van het bepaalde in artikel 15 lid 3;
e. Verwerker een wijziging voorstelt van deze Verwerkersovereenkomst waar Verantwoordelijke niet mee akkoord gaat en Verwerker aangeeft de wijziging toch te willen doorvoeren;
f. de beslissende zeggenschap in de onderneming van Verwerker wordt overgenomen door een derde partij.
Artikel 14: Exit
1. Bij of na het eindigen van de relatie tussen Verantwoordelijke en Verwerker zal Verwerker op verzoek van Verantwoordelijke op eigen kosten meewerken aan het overdragen van de Gegevens aan Verantwoordelijke, dan wel aan een door Verantwoordelijke aangewezen derde, binnen 30 dagen na het eindigen van de relatie. Dit overdragen kan ook gebeuren door Verantwoordelijke de volledige toegang te geven tot alle Gegevens zodat Verantwoordelijke, dan wel een door Verantwoordelijke aangewezen derde, deze kan downloaden. Deze toegang zal gedurende een periode van minimaal 60 dagen na het eindigen van de relatie worden verleend.
2. Om er voor te zorgen dat Verantwoordelijke de Gegevens kan blijven gebruiken na overdracht daarvan, zal Verwerker de Gegevens in een gangbaar en bruikbaar format opslaan en ook als zodanig overdragen aan Verantwoordelijke, dan wel daar als zodanig aan Verantwoordelijke dan wel een door Verantwoordelijke aangewezen derde toegang tot geven.
3. Nadat alle Gegevens overeenkomstig lid 1 zijn overgedragen zal Verwerker deze op verzoek van Verantwoordelijke volledig verwijderen (en het ertoe leiden dat alle Sub-Verwerkers de Gegevens ook verwijderen), tenzij er een wettelijke plicht is die Verwerker ertoe verplicht de Gegevens te behouden. In dat geval zal Verwerker de Gegevens indien mogelijk anonimiseren zodat het niet meer mogelijk is de Betrokkenen weer te identificeren. Wanneer het niet mogelijk is om (bepaal)de Gegevens te anonimiseren, blijft de geheimhoudingsbepaling zoals genoemd in artikel 10 onverkort op de Gegevens van toepassing. In ieder geval zal Verwerker de Gegevens verwijderen zodra er op de Verwerker geen wettelijke plicht meer rust om ze te behouden.
Artikel 15: Periodieke evaluatie en aanpassing Verwerkersovereenkomst
1. Partijen zullen periodiek de uitvoering van deze Verwerkersovereenkomst, waaronder de beveiligingsmaatregelen evalueren om te bezien of de feitelijke situatie en de afspraken nog actueel zijn of moeten worden ge-update.
2. In het geval dat zich wijzigingen voordoen in de Wet en/of andere op de verwerking van de Gegevens toepasselijke wet en/of regelgeving, zal Verwerker op verzoek van Verantwoordelijke in overleg treden teneinde deze Verwerkersovereenkomst aan te passen om het in overeenstemming te brengen met die wijzigingen. Verwerker zal gehouden zijn de door de Verantwoordelijke verzochte, wettelijk verplichte, wijzigingen te accepteren.
3. In het geval dat zich andere wijzigingen voordoen die betrekking hebben op de verwerking van de Gegevens en van invloed zijn op de uitvoering van deze Verwerkersovereenkomst, zullen Partijen in overleg treden over het aanpassen van deze Verwerkersovereenkomst in overeenstemming met dergelijke wijzigingen. Partijen zullen zich er voor inspannen om binnen een (1) maand de wijzigingen te hebben doorgevoerd.
4. Verwerker is gerechtigd redelijke voorwaarden, zoals betaling van een redelijke vergoeding, te stellen in verband met de in het vorige lid genoemde wijzigingen van deze Verwerkersovereenkomst.
Artikel 16: Aansprakelijkheid
1. De Betrokkenen kunnen de Verwerker rechtstreeks aanspreken op het niet-nakomen van diens verplichtingen op grond van de Wet. De Verwerker kan ook een boete opgelegd krijgen van de Autoriteit Persoonsgegevens bij het niet-nakomen van diens verplichtingen op grond van de Wet.
2. Ten aanzien van de overige aansprakelijkheid tussen Partijen geldt hetgeen daarover is overeengekomen in de hoofdovereenkomst op grond waarvan de Dienst wordt verleend. Bij gebreke daarvan gelden de wettelijke bepalingen omtrent aansprakelijkheid, met dien verstande dat de aansprakelijkheid van Verwerker beperkt is tot "directe schade" en in alle gevallen niet van toepassing is bij de vermissing of verminking van data.
Artikel 17: Algemene bepalingen
1. Als enige bepaling uit deze Verwerkersovereenkomst nietig, vernietigbaar of anderszins ongeldig of niet bindend mocht zijn, heeft dit geen gevolgen voor de rechtsgeldigheid van de overige bepalingen. De getroffen bepaling zal geacht te zijn vervangen door een bepaling die wel rechtsgeldig is en de bedoelingen van Partijen zo nauw mogelijk zijn benadert.
2. In geval van tegenstrijdigheid tussen de hoofdovereenkomst op grond waarvan de Dienst wordt verleend en deze Verwerkersovereenkomst, hebben de bepalingen van deze Verwerkersovereenkomst voorrang voor zover het gaat om bepalingen betreffende het verwerken van Gegevens. Bij overige tegenstrijdige bepalingen gaan die van de hoofdovereenkomst voor.
3. In geval van tegenstrijdigheid tussen deze Verwerkersovereenkomst en een Bijlage, gaat het bepaalde in de Verwerkersovereenkomst voor, tenzij Partijen uitdrukkelijk anders overeenkomen.
4. De overwegingen en Bijlagen maken integraal onderdeel uit van deze Verwerkersovereenkomst.
Artikel 18: Toepasselijk recht, geschillen
1. Op deze Verwerkersovereenkomst, de verwerking van de Gegevens en alle eventuele daaruit voortvloeiende geschillen is Nederlands recht van toepassing.
2. Ten aanzien van tussen Partijen gerezen geschillen geldt hetgeen daarover is bepaald in de hoofdovereenkomst op basis waarvan de Dienst wordt verleend. In het geval dat daar niets over is bepaald geldt het volgende. Partijen zullen zich er voor inspannen om een gerezen geschil over deze Verwerkersovereenkomst in der minne te regelen. In het geval dat deze inspanning niet tot een oplossing leidt is de rechter in het arrondissement van de vestigingsplaats van Verantwoordelijke bevoegd om van een geschil tussen hen kennis te nemen.
_________________________________________________________________
Bijlagen
Bijlage 1: Gegevens
Bijlage 2: Beveiligingsmaatregelen
Bijlage 3: Overzicht van Sub-Verwerkers
Bijlage 4: Doorgifte naar buiten de Europese Economische Ruimte
_________________________________________________________________
Aldus ondertekend
Datum: 04/05/2023
Verwerker
Redhead Technology BV
Dhr. RCJ Roodbol
Verantwoordelijke
FOCUS Design and Construct VOF
Dhr. Emrah Bingol
Wij verzoeken u in de vakken hieronder eventuele gegevens aan te vullen en digitaal uw handtekening te plaatsen:
Client Information
Signed on Wed Apr 05 2023 11:05:59 GMT+0200 (Midden-Europese zomertijd)
IP Address: 213.34.143.3