In aanmerking nemende dat:

1. Partijen zijn een overeenkomst aangegaan, hierna te noemen de “Overeenkomst”, waarvan deze Verwerkersovereenkomst een bijlage is.
2. Ter uitvoering van de Overeenkomst verwerkt Verwerker ten behoeve van Verwerkingsverantwoordelijke Persoonsgegevens;
3. Partijen wensen zorgvuldig en in overeenstemming met de AVG en andere toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens om te gaan met de Persoonsgegevens die ter uitvoering van de Overeenkomst verwerkt (zullen) worden;
4. Partijen in deze Verwerkersovereenkomst, zoals bedoeld in artikel 28, derde lid, van de Verordening, hun afspraken over de Verwerking van Persoonsgegevens door Verwerker wensen vast te leggen;
5. Uitsluitend Verwerkingsverantwoordelijke stelt het doel van en de middelen voor de verwerking van persoonsgegevens vast en Verwerker heeft hierop geen invloed.

Verklaren te zijn overeengekomen als volgt:

Artikel 1. Begrippen

• Betrokkene: degene op wie Persoonsgegevens betrekking heeft.
• Inbreuk in verband met Persoonsgegevens: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens.
• Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon, die Verwerker in het kader van de Overeenkomst ten behoeve van Verwerkingsverantwoordelijke verwerkt.
• Verordening: Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van de Richtlijn 95/46/EG (Algemene Verordening Gegevensbescherming, ook wel AVG).
• Verwerkersovereenkomst: deze overeenkomst inclusief overwegingen en bijbehorende bijlagen.
• Verwerking: een bewerking of een geheel van bewerkingen in het kader van de Overeenkomst met betrekking tot Persoonsgegevens, of een geheel van Persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen.

Artikel 2. Voorwerp van deze Verwerkersovereenkomst

• Deze Verwerkersovereenkomst regelt de Verwerking van Persoonsgegevens door Verwerker in het kader van de Overeenkomst.
• De aard en het doel van de Verwerking, het soort Persoonsgegevens en de categorieën van Persoonsgegevens, Betrokkenen en ontvangers.
• Verwerker zal de persoonsgegevens niet voor enig ander doel Verwerken dan zoals door Verwekingsverantwoordelijke is vastgesteld.
• Verwerker heeft geen zeggenschap over het doel en de middelen voor de Verwerking van persoonsgegevens. Verwerker neemt geen zelfstandige beslissingen over de ontvangst en het gebruik van de persoonsgegevens, de verstrekking aan derden en de duur van de opslag van persoonsgegevens.
• Verwerker garandeert de toepassing van passende technische en organisatorische maatregelen, opdat de Verwerking aan de vereisten van de Verordening voldoet en de bescherming van de rechten van de Betrokkene is gewaarborgd.
• Verwerker garandeert te voldoen aan de vereisten van de toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens.
• De volgende persoonsgegevens worden mogelijk verwerkt:
  • Direct identificeerbaar
    • Naam;
    • Straat + huisnummer;
    • Postcode
    • Plaats
    • Provincie
    • Land
    • E-mailadres
    • Telefoonnummer
    • Rekeningnummer
    • Handtekening
    • Beeldmateriaal (Video/foto) van betrokkenen
  • Indirect identificeerbaar
    • Ordernummer
    • Debiteurnummer
    • IP-adres
    • Domeinnaam
    • BTW nummer
    • KVK nummer
• Beschrijving categorieën persoonsgegevens: Direct en indirect identificeerbaar.
• Beschrijving categorieën Betrokkenen: Klant(en) en Bezoeker(s).

Artikel 3. Inwerkingtreding en duur

• Deze Verwerkersovereenkomst treedt in werking op het moment waarop deze door Partijen is ondertekend.
• Deze Verwerkersovereenkomst eindigt nadat en voor zover Verwerker alle Persoonsgegevens overeenkomstig artikel 8 van de ze overeenkomst heeft gewist of terugbezorgd.
• Geen van Partijen kan deze Verwerkersovereenkomst tussentijds opzeggen.

Artikel 4. Omvang verwerkingsbevoegdheid Verwerker

• Verwerker zal bij de Verwerking van persoonsgegevens in het kader van de in artikel 2 genoemde werkzaamheden, handelen in overeenstemming met de toepasselijke wet- en regelgeving betreffende de Verwerking van persoonsgegevens. De Verwerker zal alle redelijke instructies van Verwerkingsverantwoordelijke opvolgen, behoudens afwijkende wettelijke verplichtingen. Indien deze afwijkende wettelijke verplichtingen er zijn wordt de Verantwoordelijke hiervan, voorafgaand aan de Verwerking, schriftelijk op de hoogte gebracht door de Verwerker.
• Indien Verwerker op grond van een wettelijk voorschrift Persoonsgegevens dient te verstrekken, informeert hij Verwerkingsverantwoordelijke onmiddellijk, en zo mogelijk voorafgaand aan de verstrekking.
• De Verwerker heeft geen zeggenschap over de ter beschikking gestelde persoonsgegevens. Zo neemt hij geen beslissingen over ontvangst en gebruik van de gegevens, de verstrekking aan derden en de duur van de opslag van gegevens. De zeggenschap over de persoonsgegevens verstrekt onder deze Verwerkersovereenkomst komt nimmer bij de Verwerker te berusten.
• De Verwerker zal te allen tijde op eerste verzoek van Verwerkingsverantwoordelijke ter beschikking gestelde persoonsgegevens met betrekking tot deze Verwerkersovereenkomst ter hand stellen.
• De Verwerker stelt de Verwerkingsverantwoordelijke te allen tijde in staat om binnen de wettelijke termijnen te voldoen aan de verplichtingen op grond van de Verordening, meer in het bijzonder de rechten van Betrokkenen, zoals, maar niet beperkt tot een verzoek om inzage, verbetering, aanvulling, verwijdering of afscherming van persoonsgegevens en het uitvoeren van een gehonoreerd aangetekend verzet.
• De Verwerker werkt op verzoek van Verwerkingsverantwoordelijke te allen tijde mee aan een gegevensbeschermingseffectbeoordeling(PIA).
• De verplichtingen van de Verwerker die uit deze Verwerkersovereenkomst voortvloeien, gelden ook voor degenen die persoonsgegevens verwerken onder het gezag van Verwerker.

Artikel 5. Beveiliging van de Verwerking

• Verwerkingsverantwoordelijke en Verwerker treffen passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen, opdat de Verwerking aan de vereisten van de Verordening en andere toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens voldoet en de bescherming van de rechten van Betrokkenen is gewaarborgd. Verwerker treft hiertoe tenminste de technische en organisatorische maatregelen die zijn opgenomen in bijlage 2.
• Partijen erkennen dat het waarborgen van een passend beveiligingsniveau voortdurend kan dwingen tot het treffen van aanvullende beveiligingsmaatregelen. Verwerker waarborgt een op het risico afgestemd beveiligingsniveau.
• Indien en voor zover Verwerkingsverantwoordelijke daarom uitdrukkelijk schriftelijk verzoekt, zal Verwerker aanvullende maatregelen treffen met het oog op de beveiliging van de Persoonsgegevens.
• Verwerker Verwerkt Persoonsgegevens niet buiten de Europese Unie, tenzij hij daarvoor uitdrukkelijk schriftelijk toestemming heeft verkregen van Verwerkingsverantwoordelijke en behoudens afwijkende wettelijke verplichtingen.
• Verwerker informeert Verwerkingsverantwoordelijke zonder onredelijke vertraging zodra hij kennis heeft genomen van onrechtmatige Verwerkingen van Persoonsgegevens of inbreuken op beveiligingsmaatregelen zoals genoemd in het eerste en tweede lid.
• Verwerker verleent Verwerkingsverantwoordelijke bijstand bij het doen nakomen van de verplichtingen uit hoofde van de artikelen 32 tot en met 36 van de Verordening.

Artikel 6. Subverwerker, doorgifte persoonsgegevens

• Verwerker is slechts gerechtigd de uitvoering van de werkzaamheden geheel of ten dele uit te besteden aan derden na voorafgaande, duidelijk gespecificeerde, schriftelijke toestemming van de Verwerkingsverantwoordelijke.
• Wanneer Verwerker een andere Verwerker inschakelt om ten behoeve van Verwerkingsverantwoordelijke verwerkingsactiviteiten te verrichten, worden aan deze andere Verwerker bij een overeenkomst dezelfde verplichtingen inzake gegevensbescherming opgelegd als die welke in deze Verwerkersovereenkomst zijn opgenomen.
• Verwerker houdt een actueel register bij van de door hem ingeschakelde subverwerker waarin de identiteit, vestigingsplaats en een beschrijving van de werkzaamheden van de subverwerker is opgenomen, alsmede eventuele door de Verwerkingsverantwoordelijke gestelde aanvullende voorwaarden.

Artikel 7. Meldplicht datalekken en beveiligingsincidenten

• Zodra Verwerker een beveiligingsincident en/of datalek detecteert of redelijkerwijs vermoedt dat een beveiligingsincident en/of datalek zich heeft voorgedaan, zal Verwerker hierover de (vervangende) contactpersoon van Verwerkingsverantwoordelijke, zoals aangegeven en via de telefoonnummers genoemd in bijlage 3, onmiddellijk, en in ieder geval binnen 48 uur na detectie of vermoeden van een beveiligingsincident en/of datalek, rechtstreeks telefonisch informeren. Tevens zal Verwerker onmiddellijk, doch in ieder geval eveneens binnen 48 uur na detectie of vermoeden van een beveiligingsincident en/of datalek, per email, het beveiligingsincident en/of datalek melden en/of bevestigen aan Verwerkingsverantwoordelijke, alsmede de details van het beveiligingsincident en/of datalek verstrekken. Mocht Verwerker Verwerkingsverantwoordelijke niet onmiddellijk en rechtstreeks  bereiken, dan zal Verwerker alle redelijke inspanning doen om Verwerkingsverantwoordelijke alsnog rechtstreeks te contacteren.
• Onder beveiligingslek en /of datalek wordt onder andere, maar niet limitatief, verstaan: een inbreuk op de beveiliging van persoonsgegevens die leidt tot een aanzienlijke kans op nadelige gevolgen, dan wel nadelige gevolgen heeft, voor de bescherming van persoonsgegevens.
• Indien de wet- en/of regelgeving dit vereist zal Verwerker meewerken aan het informeren van de ter zake relevante autoriteiten en eventueel Betrokkenen.
• De meldplicht behelst in ieder geval het melden van het feit dat er een lek is geweest, alsmede:
• wat de (vermeende) oorzaak is van het lek;
• wat het (vooralsnog bekende en/of te verwachten) gevolg is;
• wat de (voorgestelde) oplossing is;
• wat de reeds ondernomen maatregelen zijn.
• Verwerker informeert Verwerkingsverantwoordelijke ook na een melding op grond van het eerste lid over ontwikkelingen betreffende de Inbreuk in verband met Persoonsgegevens.
• Partijen dragen elk de door henzelf in verband met de melding aan de bevoegde toezichthoudende autoriteit en Betrokkene te maken kosten.

Artikel 8. Terugbezorgen of wissen Persoonsgegevens

Na afloop van de Overeenkomst draagt Verwerker, naar gelang de keuze van Verwerkingsverantwoordelijke, zorg voor het terugbezorgen aan Verwerkingsverantwoordelijke of het wissen van alle Persoonsgegevens. Verwerker verwijdert kopieën, behoudens afwijkende wettelijke voorschriften.

Artikel 9. Informatieverplichting en audit

• Wederpartij stelt alle informatie ter beschikking die nodig is om aan te tonen dat de verplichtingen uit deze Verwerkersovereenkomst zijn en worden nagekomen.
• Wederpartij verleent alle benodigde medewerking aan audits.

Artikel 10 Aansprakelijkheid

• Indien de Verwerker tekortschiet in de nakoming van de verplichting uit deze Verwerkersovereenkomst kan Verwerkingsverantwoordelijke hem in gebreke stellen. Verwerker is echter onmiddellijk in gebreke als de nakoming van desbetreffende verplichting anders dan door overmacht binnen de overeengekomen termijn, reeds blijvend onmogelijk is. Ingebrekestelling geschiedt schriftelijk, waarbij aan de Verwerker een redelijke termijn wordt gegund om alsnog haar verplichtingen na te komen. Deze termijn is een fatale termijn. Indien nakoming binnen deze termijn uitblijft, is Verwerker in verzuim.
• Verwerker is aansprakelijk op grond van het bepaalde in artikel 82 van de Verordening, voor schade of nadeel voortvloeiende uit het niet nakomen van deze Verwerkersovereenkomst, daaronder begrepen wanneer bij de verwerking niet wordt voldaan aan de specifiek tot verwerkingsgerichte verplichtingen van de AVG, of buiten de rechtmatige instructies van Verwerkingsverantwoordelijke is gehandeld.
• Verwerker vrijwaart Verwerkingsverantwoordelijke voor schade of nadeel voor zover ontstaan door werkzaamheid van de Verwerker.
• Indien Verwerker de in artikel 7 lid 1 van deze Verwerkersovereenkomst neergelegde verplichting niet of niet-tijdig nakomt en de toezichthouder de Verwerkingsverantwoordelijke dientengevolge een bestuurlijke boete oplegt, is Verwerker aansprakelijk en zal Verwerkingsverantwoordelijke een contractuele boete ter hoogte van hetzelfde bedrag opleggen aan Verwerker. Deze boete is niet vatbaar voor verrekening en opschorting en laat de rechten van Verwerkingsverantwoordelijke op nakoming en schadevergoeding onverlet.

Artikel 11. Rechtskeuze 

• Op deze Verwerkersovereenkomst is uitsluitend Nederlands recht van toepassing.
• Alle eventuele geschillen die betrekking hebben op deze overeenkomst of die uit deze overeenkomst voortkomen, zullen in eerste aanleg worden beslecht door uitsluitend de bevoegde rechter in het arrondissement waarin Verwerkingsverantwoordelijke ten tijde van het sluiten van deze overeenkomst is gevestigd.

---