Verwerkersovereenkomst

Partijen:

1. De afnemer van aangeboden diensten van De ICT Expert B.V.;

Hierna: “Verwerkingsverantwoordelijke” 

en

2. De ICT Expert B.V., geregistreerd bij de Kamer van Koophandel onder nummer 73355127 kantoorhoudende te Apeldoorn (7323 AM) aan de Kanaal Noord 350, hierbij vertegenwoordigd door de heer Maarten van der Heide, hierna ook te noemen: “De ICT Expert B.V.’’ of “Verwerker”.

Overwegingen:

1. Verwerkingsverantwoordelijke en De ICT Expert B.V. zijn een overeenkomst aangegaan voor de verlening van diensten als waarbij De ICT Expert B.V in opdracht van Verwerkingsverantwoordelijke Persoonsgegevens verwerkt waarvoor Verwerkingsverantwoordelijke verantwoordelijke is.
2. Verwerkingsverantwoordelijke en De ICT Expert B.V wensen in deze overeenkomst de wederzijdse rechten en verplichtingen voor de Verwerking van Persoonsgegevens door De ICT Expert B.V vast te leggen overeenkomstig de relevante wet- en regelgeving.

1. Partijen zijn het volgende overeengekomen:

1.1       De in deze overeenkomst gebruikte woorden of formuleringen hebben de volgende betekenis, tenzij de AVG of de Uitvoeringswet AVG anders bepaalt:

a                      Betrokkene: degene op wie (een) Persoonsgegeven(s) betrekking heeft/hebben;

b          Hoofdovereenkomst: de overeenkomst(en) levering en installatie van goederen bij/voor Verwerkingsverantwoordelijke, waarbij Verwerkingsverantwoordelijke aan De ICT Expert B.V opdracht heeft gegeven om Verwerkingen te verrichten;

c          Overeenkomst: deze verwerkersovereenkomst;

d          Persoonsgegevens: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon dat De ICT Expert B.V. op grond van de Hoofdovereenkomst Verwerkt of dient te Verwerken;

e          Verwerken/verwerking: alle handelingen of reeks handelingen uitgevoerd op Persoonsgegevens, al dan niet door geautomatiseerde middelen, zoals verzamelen, vastleggen, structureren, opslaan, aanpassen of wijzigen, ophalen, raadplegen, gebruiken, bekendmaken door overdracht, verspreiding of anderszins beschikbaar maken, afstemmen of combineren, blokkeren, wissen of vernietigen.

f           AVG: Algemene Verordening Gegevensbescherming (Verordening van de Europese Unie 2016/679 van 27 april 2016).

2. Toepasselijkheid

2.1       Tenzij Partijen schriftelijk anders zijn overeengekomen, zijn de bepalingen van deze Overeenkomst van toepassing op iedere Verwerking door De ICT Expert B.V. op grond van de Hoofdovereenkomst tussen Verwerkingsverantwoordelijke en De ICT Expert B.V. De afspraken in deze overeenkomst hebben voorrang boven alle bepalingen in reeds gesloten overeenkomsten, waaronder de Hoofdovereenkomst.

3. Verwerking door De ICT Expert B.V.

3.1       De ICT Expert B.V. neemt de bescherming van Persoonsgegevens serieus en zal daarom zoveel als voor haar naar redelijkheid mogelijk zorgdragen voor de naleving van de voorwaarden die op grond van de AVG, de Uitvoeringswet AVG en andere relevante wet- en regelgeving worden gesteld aan het verwerken van Persoonsgegevens.

3.2       De ICT Expert B.V. zal uitsluitend persoonsgegevens verwerken voor zover dat noodzakelijk is om aan haar verplichtingen uit de Hoofdovereenkomst te voldoen.

3.3       De ICT Expert B.V. verwerkt de Persoonsgegevens slechts in opdracht en volgens de instructies van Verwerkingsverantwoordelijke en met het doel als bepaald in deze overeenkomst en de Hoofdovereenkomst. De ICT Expert B.V. zal geen zelfstandige beslissing nemen over het gebruik en de duur van de opslag van de Persoonsgegevens. De ICT Expert B.V. zal Persoonsgegevens bovendien niet met een ander doel dan de uitvoering van de Hoofdovereenkomst laten verwerken door derden. Op de in dit artikel genoemde uitgangspunten wordt alleen afgeweken als de (Nederlandse) wet of autoriteiten daartoe verplichten.

3.4       Om uitvoering aan de overeenkomst te kunnen geven zal De ICT Expert B.V. de in bijlage 1 opgesomde persoonsgegevens moeten verwerken.

3.5       De ICT Expert B.V. zal de Persoonsgegevens bewaren voor de duur als opgenomen in bijlage 2.

3.6       De Persoonsgegevens waartoe De ICT Expert B.V. op grond van de Hoofdovereenkomst toegang heeft, worden met de grootste zorg behandeld. Om de veiligheid van de Persoonsgegevens zoveel mogelijk te kunnen waarborgen, verschaft De ICT Expert B.V. enkel toegang tot de Persoonsgegevens aan haar werknemers voor zover dat nodig is voor het verrichten van de diensten op grond van de Hoofdovereenkomst. De ICT Expert B.V. en de aan haar verbonden personen betrachten uiteraard geheimhouding ten aanzien van de onder deze Overeenkomst verwerkte Persoonsgegevens.

3.7       Het is mogelijk dat De ICT Expert B.V. op grond van een bevel van een gerechtelijke of bestuurlijke instantie gehouden is om Persoonsgegevens aan een derde te verstrekken. In dat geval zal De ICT Expert B.V. Verwerkingsverantwoordelijke binnen 7 werkdagen na ontvangst van een dergelijk bevel en voordat door De ICT Expert B.V. op het bevel is gehandeld, daarvan in kennis stellen om Verwerkingsverantwoordelijke in staat te stellen tegen het dwangmiddel bezwaar of beroep aan te tekenen. De verantwoordelijkheid om rechtsmiddelen tegen een dergelijk bevel aan te wenden ligt uitdrukkelijk bij Verwerkingsverantwoordelijke. Als de betreffende wetgeving op grond waarvan het bevel is gegeven, kennisgeving van Verwerkingsverantwoordelijke door De ICT Expert B.V. op grond van gewichtige redenen van algemeen belang verbiedt, vindt kennisgeving niet plaats.

3.8       Indien De ICT Expert B.V. van oordeel is dat op grond van een wettelijke verplichting Persoonsgegevens ter beschikking moeten worden gesteld aan een daartoe bevoegde instantie, stelt De ICT Expert B.V. Verwerkingsverantwoordelijke daarvan schriftelijk in kennis, waarna, op verzoek van Verwerkingsverantwoordelijke, eventueel ook de betreffende wettelijke verplichting wordt benoemd en relevante informatie zal worden verstrekt. De kennisgeving vindt niet plaats als de betreffende wetgeving kennisgeving op grond van gewichtige redenen van algemeen belang verbiedt.

3.9       De ICT Expert B.V. zal Verwerkingsverantwoordelijke in kennis stellen van alle verzoeken met betrekking tot inzage in de Persoonsgegevens die rechtstreeks van een Betrokkene zijn ontvangen.

3.10     De ICT Expert B.V. maakt voor haar dienstverlening gebruik van diensten van derden die daardoor kunnen worden aangemerkt als sub-verwerker. Bij de selectie van deze partijen hanteert De ICT Expert B.V. de hoogste standaarden met betrekking tot de verwerking van Persoonsgegevens. De door De ICT Expert B.V. gehanteerde normen zien onder andere op het bieden van afdoende garanties met betrekking tot het toepassen van passende technische en organisatorische maatregelen door de sub-verwerker zodat de verwerking aan de wettelijke verplichtingen voldoet en de bescherming van de rechten van de Betrokkenen worden gewaarborgd. Op verzoek zal De ICT Expert B.V. de gegevens van de sub-verwerkers verschaffen. Verwerkingsverantwoordelijke geeft algemene toestemming voor het inschakelen van sub-verwerkers.

3.11     Verwerkingsverantwoordelijke gaat hierbij akkoord met en geeft toestemming in algemene zin, als bedoeld in lid 2 van artikel 28 AVG, voor toekomstige uitbreidingen c.q. wijzigingen van het personeelsbestand bij De ICT Expert B.V. en het laten verrichten van Verwerkingen door andere c.q. nieuwe medewerkers van De ICT Expert B.V.

4. Meldplicht datalekken

4.1       De ICT Expert B.V. zal Verwerkingsverantwoordelijke, nadat De ICT Expert B.V. ervan kennis heeft gekregen, in kennis stellen van iedere inbreuk op de beveiliging (van welke aard dan ook) die (mede) betrekking heeft of kan hebben op de verwerking van Persoonsgegevens. De ICT Expert B.V. zal Verwerkingsverantwoordelijke, indien mogelijk, inlichten over (i) de aard van de inbreuk; (ii) de (mogelijk) getroffen Persoonsgegevens; (iii) de vastgestelde en verwachte gevolgen van de inbreuk voor de verwerking van Persoonsgegevens en de daarbij betrokken personen; en (iv) de maatregelen die De ICT Expert B.V. heeft getroffen en zal treffen om de negatieve gevolgen van de inbreuk te beperken.

4.2       Ter bevordering van de dienstverlening door De ICT Expert B.V. en de beveiliging van Persoonsgegevens is Verwerkingsverantwoordelijke verplicht De ICT Expert B.V. zo snel mogelijk, doch binnen 24 uur, te informeren over ieder lek van Persoonsgegevens waarvan zij kennis heeft genomen. Verwerkingsverantwoordelijke is aansprakelijk en vrijwaart De ICT Expert B.V. voor alle schade die ontstaat of is ontstaan door nalatigheid van Verwerkingsverantwoordelijke omtrent deze verplichting.

4.3       De verantwoordelijkheid voor het melden van een datalek bij de autoriteiten en/of bij Betrokkenen berust te allen tijde bij Verwerkingsverantwoordelijke.

5. Beveiligingsmaatregelen en inspectie

5.1       Om ervoor te zorgen dat de Persoonsgegevens zoveel mogelijk worden beschermd neemt De ICT Expert B.V. maatregelen om Persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking. Indien door Verwerkingsverantwoordelijke aanvullende maatregelen worden gewenst, kan in overleg met De ICT Expert B.V. worden bekeken of de gewenste maatregelen mogelijk en/of doeltreffend zijn en tegen welke kosten de aanvullende maatregelen kunnen worden aangeboden. Mocht een van de beveiligingsmaatregelen van De ICT Expert B.V. worden gewijzigd, dan wordt dit onderdeel van het door De ICT Expert B.V. gevoerde beleid ten aanzien van de bescherming van de in opdracht van Verwerkingsverantwoordelijke verwerkte persoonsgegevens, welke op verzoek aan Verwerkingsverantwoordelijke kan wordt verstrekt. De ICT Expert B.V. treft hiertoe tenminste de volgende technische en organisatorische maatregelen:
1. Datacenters: Juridisch gescheiden Datacenters die minimaal voldoen aan alle veiligheidseisen in kader van AVG. Beide zijn ISO27000 gecertificeerd.
2. Continuïteitsregeling: Bij een calamiteit bij De ICT Expert B.V. worden de Diensten naadloos overgenomen door een samenwerkingspartner.
3. Back-up: Van het ICT portaal wordt minimaal 1 keer per dag een back-up gemaakt. Deze back-up blijft minimaal 10 dagen bewaard in het datacenter. Dagelijks wordt er minimaal één back-up naar een secundair datacenter verplaatst. Deze off-site back-ups worden minimaal 6 maanden bewaard. Dit noemt men ook wel “retentie”.
4. Firewall: Dubbel uitgeruste (redundant) firewalls om het interne netwerk van Verwerker van het Internet te scheiden, waarmee al het verkeer naar binnen en naar buiten gescand en waar nodig geblokkeerd wordt.
5. Antivirussoftware: Niet alleen in de datacenters van Verwerker, maar ook op alle endpoints, zoals: (cloud) werkplekken en remote desktops.
6. Spam- en malwarefiltering: op alle binnenkomende en uitgaande e-mail.
7. Netwerk: Gescheiden netwerken voor Opdrachtgevers, managementomgeving en verschillende andere onderdelen van de infrastructuur. Deze netwerken zijn fysiek van elkaar gescheiden of gescheiden door gebruik te maken van VLANs.
8. Datacommunicatie: Alle verbindingen naar het datacenter zijn versleuteld met certificaten met up-to-date algoritmes.
9. Toegang: Voor toegang van accounts met verhoogde rechten is minimaal zogenaamde two-factor authenticatie verplicht.

5.2       De ICT Expert B.V. heeft vertrouwen in de genomen beveiligingsmaatregelen en biedt Verwerkingsverantwoordelijke de mogelijkheid om de naleving van de beveiligingsmaatregelen door De ICT Expert B.V. te inspecteren of te laten inspecteren door een neutrale en deskundige onderzoeksinstantie. Uiteraard wordt aan het onderzoek wel de voorwaarde gesteld dat geheimhouding van Persoonsgegevens en van de bevindingen van het onderzoek tegenover derden wordt gegarandeerd. De ICT Expert B.V. kan vanzelfsprekend geen inspecties laten verrichten bij sub-verwerkers. Omtrent het gedeelte van de beveiliging waarvoor sub-verwerkers verantwoordelijk zijn, kan De ICT Expert B.V op verzoek van Verwerkingsverantwoordelijke, het gegevensbeschermingsbeleid en de eventuele certificaten van sub-verwerkers verstrekken.

5.3       Omdat de in artikel 5.2 bedoelde inspecties belastend zijn voor de bedrijfsvoering van De ICT Expert B.V. komen partijen overeen dat deze inspecties alleen plaatsvinden nadat Verwerkingsverantwoordelijke de bij De ICT Expert B.V. aanwezige soortgelijke inspectierapportages heeft opgevraagd en beoordeeld en voldoende zwaarwegende, redelijke argumenten aanbrengt die een door Verwerkingsverantwoordelijke geïnitieerde inspectie alsnog rechtvaardigen. Een inspectie is gerechtvaardigd indien de bij De ICT Expert B.V. aanwezige soortgelijke inspectierapportages geen of onvoldoende uitsluitsel geven over het naleven van deze Overeenkomst door De ICT Expert B.V. De door Verwerkingsverantwoordelijke geïnitieerde inspectie vindt twee weken na voorafgaande aankondiging door Verwerkingsverantwoordelijke, en maximaal eens per jaar plaats.

5.4       Alle kosten, vergoedingen en onkosten in verband met de inspectie, met inbegrip van personeelskosten en overige interne kosten, zoals winstderving, die De ICT Expert B.V. moet maken ter ondersteuning van de inspectie komen voor rekening van Verwerkingsverantwoordelijke.

5.5       Verwerkingsverantwoordelijke zal De ICT Expert B.V. direct na ontvangst een exemplaar van het rapport van de Inspectie verstrekken.

6. Verplichtingen Verwerkingsverantwoordelijke

6.1       Verwerkingsverantwoordelijke gaat ermee akkoord en staat ervoor in dat de verschaffing van de Persoonsgegevens overeenkomstig deze overeenkomst in overeenstemming is met de AVG, de Uitvoeringswet AVG en overige relevante wet- en regelgeving. Verwerkingsverantwoordelijke is zelf verantwoordelijk voor het toezicht hierop, middels de haar toekomende maatregelen.

7. Aansprakelijkheid

7.1       Alle verwerkingen vinden plaats onder verantwoordelijkheid van de Verwerkingsverantwoordelijke. De ICT Expert B.V. is niet aansprakelijk voor schade, tenzij de schade het gevolg is van opzet of bewuste roekeloosheid aan de zijde van De ICT Expert B.V. In het geval De ICT Expert B.V. aansprakelijk is jegens Verwerkingsverantwoordelijke of Betrokkene is deze aansprakelijkheid beperkt tot het bedrag dat door de verzekeraar van De ICT Expert B.V. wordt uitgekeerd. Als de verzekeraar van De ICT Expert B.V. niet tot uitkeren overgaat, is de aansprakelijkheid van De ICT Expert B.V. beperkt tot een bedrag ter hoogte van 15% van het factuurbedrag over de afgelopen zes maanden. Aansprakelijkheid van De ICT Expert B.V. vanwege gevolgschade, waaronder maar niet beperkt tot: omzet- of winstderving en reputatieschade, is uitgesloten.

7.2       Verwerkingsverantwoordelijke is gehouden om De ICT Expert B.V. zo spoedig mogelijk, doch binnen 72 uur nadat Verwerkingsverantwoordelijke dit heeft geconstateerd/ontdekt of redelijkerwijs had kunnen constateren/ontdekken te informeren over iedere vermeende aanspraak op De ICT Expert B.V. Na de informatieverschaffing zal De ICT Expert B.V. de schade, indien De ICT Expert B.V. van mening is hiervoor aansprakelijk te zijn, kosteloos naar redelijkheid beperken en herstellen. Pas wanneer deze remedie geen uitkomst biedt om de schade effectief te verhelpen, heeft Verwerkingsverantwoordelijke recht op vergoeding van de door haar geleden schade. Wanneer Verwerkingsverantwoordelijke De ICT Expert B.V. omtrent de schade/aansprakelijkheid te laat heeft geïnformeerd, vervalt het recht op enige remedie. De bewijslast dat de schade aan De ICT Expert B.V. is toe te rekenen, ligt bij Verwerkingsverantwoordelijke.

8. Beëindiging

8.1       De Overeenkomst is voor onbepaalde tijd aangegaan en eindigt op het moment dat de Hoofdovereenkomst eindigt.

8.2       Tenzij partijen schriftelijk anders overeenkomen, zal De ICT Expert B.V. in geval van beëindiging van de Overeenkomst – voor zover mogelijk – alle aan haar ter beschikking gestelde Persoonsgegevens binnen een termijn van 4 weken aan Verwerkingsverantwoordelijke retourneren en alle digitale kopieën van Persoonsgegevens vernietigen. Indien naar het oordeel van De ICT Expert B.V. een wettelijke verplichting het geheel of gedeeltelijk retourneren of vernietigen van de Persoonsgegevens door De ICT Expert B.V. verbiedt of beperkt, zal zij Verwerkingsverantwoordelijke schriftelijk informeren over de toepasselijke wet- en regelgeving. 

9. Overdracht rechten en plichten

9.1       Vanwege de vertrouwelijke aard van de dienstverlening zullen partijen de rechten en verplichtingen uit deze overeenkomst niet zonder schriftelijke toestemming van de andere partij aan derden overdragen.

10. Deelbaarheid

10.1     Indien één of meer bepalingen van deze Overeenkomst niet rechtsgeldig blijkt te zijn, zal de Overeenkomst voor het overige van kracht blijven. Partijen zullen over de bepalingen die niet rechtsgeldig blijken te zijn overleg plegen, teneinde een vervangende regeling te treffen die wel rechtsgeldig is en zoveel mogelijk aansluit bij de strekking van de te vervangen regeling.

10.2     Indien de Europese Commissie en/of de Autoriteit Persoonsgegevens, of diens rechtsopvolgers, zou besluiten om standaardcontractbepalingen vast te stellen als bedoeld in artikel 28 lid 7 en 8 AVG, zullen deze standaardcontractbepalingen tussen partijen gelden vanaf het moment dat ze in werking treden. Indien de bepalingen afwijken van de relevante bepalingen uit de Overeenkomst, dan zullen ze daarvoor in de plaats treden.

11. Toepasselijk recht en geschillen

11.1     Nederlands recht is van toepassing op deze Overeenkomst.

11.2     Alle geschillen voortvloeiende uit of samenhangende met deze Overeenkomst zullen uitsluitend worden voorgelegd aan de bevoegde rechter van het arrondissement waarin De ICT Expert B.V. haar hoofdvestigingsplaats heeft.

Bijlage 1: Specificatie persoonsgegevens en betrokkenen

Persoonsgegevens

De ICT Expert B.V. zal in het kader van de Overeenkomst, de volgende (bijzondere) persoonsgegevens verwerken in opdracht van Verwerkingsverantwoordelijke:

• NAW-gegevens,
• Telefoonnummer,
• Emailadres,
• Klantnummer,
• Bestelhistorie,
• Overige relevante door de betrokkene gedeelde gegevens.

Van de categorieën betrokkenen:

• Medewerkers van Verwerkingsverantwoordelijke,
• Opdrachtgevers/Leveranciers van Verwerkingsverantwoordelijke (leveranciers),
• Overige betrokkenen verbonden aan Verwerkingsverantwoordelijke.

Verwerkingsverantwoordelijke staat ervoor in dat voor de verwerking van de in deze bijlage omschreven persoonsgegevens een geldige grond als bedoeld in artikel 6 AVG aanwezig is en vrijwaart De ICT Expert B.V. voor iedere aansprakelijkheid dienaangaande. Daarnaast staat de Verwerkingsverantwoordelijke ervoor in dat de in deze bijlage beschreven persoonsgegevens en categorieën betrokkenen volledig en correct zijn, en vrijwaart De ICT Expert B.V. voor enige aanspraken die resulteren uit gebreken en een incorrecte weergave door Verwerkingsverantwoordelijke.

Bijlage 2: Bewaartermijn persoonsgegevens

De ICT Expert B.V. zal de Persoonsgegevens bewaren conform onderstaand overzicht.