Verwerkersvoorwaarden

Versie 1.00

Verwerkersverantwoordelijke: De partij die persoonsgegevens verwerkt en voor die verwerking het doel en de middelen bepaalt.

Verwerker: ZooEasy, een besloten vennootschap met beperkte aansprakelijkheid, statutair gevestigd te Drachten, kantoorhoudende te Drachten aan de Hanebalken 227, 9205CL, rechtsgeldig vertegenwoordigd door: Erik Reudink, hierna: ‘’verwerker’’;

overwegen het volgende:

  • Verwerker verzorgt in opdracht van Verwerkingsverantwoordelijke de dierenadministratie. Verwerkingsverantwoordelijke stelt voor de verwerking van de persoonsgegevens doel en middelen vast.
  • Verwerker zal in dat kader persoonsgegevens opslaan en bewaren voor Verantwoordelijke gedurende de wettelijke bewaartermijn.
  • Hierbij is sprake van verwerking van persoonsgegevens zoals bedoeld in de Algemene Verordening Gegevensbescherming (hierna: “AVG”).
  • Het doel en de middelen van de verwerking zijn door Verwerkingsverantwoordelijke aangewezen en zijn tezamen met de afspraken tussen Partijen over de beveiliging van de persoonsgegevens in deze overeenkomst (hierna: de ‘Verwerkersovereenkomst’) vastgelegd.

ZIJN ALS VOLGT OVEREENGEKOMEN:

1. Doeleinden van de verwerking

1.1. Verwerker verzorgt in opdracht van Verwerkingsverantwoordelijke de dierenadministratie. Het gaat daarbij om (bijzondere) persoonsgegevens van Verwerkingsverantwoordelijke, zoals:

– NAW-gegevens;
– emailadressen;
– telefoonnummers.

1.2. Verwerking vindt uitsluitend plaats in het kader van de Opdrachtovereenkomst en ten behoeve van het in deze Verwerkersovereenkomst vastgelegde doeleinden.

1.3. Verwerking door Verwerker vindt plaats binnen een geautomatiseerde omgeving.

1.4. Verwerker is en wordt geen eigenaar van de te verwerken persoonsgegevens.

2. Verplichtingen Verwerker en Verwerkingsverantwoordelijke

2.1. Verwerker is verplicht om:

  • zich aan de toepasselijke wet- en regelgeving, waaronder de AVG, te houden;
  • geen persoonsgegevens aan derden te verstrekken en geen inzage aan betrokkenen te geven zonder dat hij daarvoor voorafgaande schriftelijke toestemming heeft van Verwerkingsverantwoordelijke (bijlage II);
  • Verwerkingsverantwoordelijke te informeren over alle door Verwerker genomen maatregelen (met betrekking tot de verplichtingen uit de Verwerkersovereenkomst) indien en zodra Verwerkingsverantwoordelijke daarom vraagt;
  • Verwerkingsverantwoordelijke alle mogelijke ondersteuning te bieden bij het nakomen van de verplichtingen met het oog op verzoeken rondom de rechten van betrokkenen;
  • gegevens niet langer dan noodzakelijk te bewaren.

2.2. Verwerkingsverantwoordelijke garandeert dat de verwerking van persoonsgegevens rechtmatig is.

3. Locatie van de gegevensverwerking

3.1. Verwerker verwerkt de door Verwerkingsverantwoordelijke verkregen persoonsgegevens in Nederland of een ander land/andere landen binnen de Europese Unie. Verwerker kan alleen gegevens overbrengen naar/verwerken in landen die niet tot de Europese Unie behoren, als daarvoor voorafgaand schriftelijke toestemming van Verwerkingsverantwoordelijke is verkregen.

3.2. Indien Verwerker gegevens overbrengt naar/verwerkt in landen die niet tot de Europese Unie behoren zal hij Verwerkingsverantwoordelijke melden om welk land/landen het gaat.

4. Beveiligingsmaatregelen en inspectie

4.1. Verwerker neemt passende technische en organisatorische maatregelen om de Persoonsgegevens te beveiligen tegen verlies of enige andere vorm van onrechtmatige verwerking. Deze maatregelen garanderen een passend beveiligingsniveau, rekening houdend met:

  • de stand van de techniek;
  • de kosten van de tenuitvoerlegging van de maatregelen;
  • de risico’s die de verwerking met zich meebrengt;
  • de aard van de te beschermen persoonsgegevens.

4.2. De door Verwerker genomen technische en organisatorische maatregelen zoals bedoeld in het vorige lid zijn beschreven in de aangehechte bijlage I.

4.3. Verwerker informeert Verwerkingsverantwoordelijke als een van de beveiligingsmaatregelen wijzigt.

4.4. Verwerker staat onder de voorwaarden genoemd in artikel 4.5 toe dat Verantwoordelijke (of een door Verantwoordelijk aangewezen onderzoeksinstantie) de naleving van de beveiligingsmaatregelen door Verwerker inspecteert. Bedoelde inspectie houdt uitsluitend verband met de verwerkingsactiviteiten die onder de Verwerkersovereenkomst vallen.

4.5. Als Verwerkingsverantwoordelijke een inspectie als bedoeld in het vorige lid wil houden, dan is hij daarbij gebonden aan de volgende voorwaarden:

  • de inspectie vindt uitsluitend plaats als Verwerker, na daartoe strekkend verzoek van Verwerkingsverantwoordelijke, geen of onvoldoende uitsluitsel geeft over het naleven van de beveiligingsmaatregelen door Verwerker;
  • de inspectie vindt ten hoogste 1 maal per jaar plaats;
  • Verwerkingsverantwoordelijke stelt Verwerker minimaal 2 weken voorafgaand aan de inspectie (schriftelijk) op de hoogte van zijn voornemen een inspectie uit te (laten) voeren;
  • de inspectie wordt uitgevoerd door een onafhankelijke ICT-deskundige die aan geheimhouding is gebonden;
  • de inspectie vindt plaats op werkdagen/tijdens kantoortijden;

Verwerker en Verwerkingsverantwoordelijke maken in goed onderling overleg (nadere) afspraken over de datum, het tijdstip en/of de duur van de inspectie. Verwerker zal aan het uitvoeren van een inspectie alle medewerking verlenen die redelijkerwijs nodig is.

4.6. Indien er aan de in dit artikel bedoelde inspectie kosten zijn verbonden voor Verwerker en/of Verwerkingsverantwoordelijke, komen deze kosten voor rekening van Verwerkingsverantwoordelijke.

5. Geheimhouding

5.1. Verwerker is verplicht om alle persoonsgegevens die hij van Verwerkingsverantwoordelijke ontvangt geheim te houden, behalve als hij schriftelijke toestemming heeft van de Verwerkingsverantwoordelijke om de persoonsgegevens te verstrekken of als hij wettelijk verplicht is tot het verstrekken daarvan.

5.2. Verwerker zal medewerkers en derden die door hem worden ingeschakeld bij de verwerking van de persoonsgegevens een schriftelijke geheimhoudingsverklaring laten ondertekenen.

6. Inschakelen van derden en onderaannemers

Verwerker kan, met behoud van volledige aansprakelijkheid voor de naleving van de verplichtingen uit de onderhavige overeenkomst, in het kader van de uitvoering van deze Verwerkersovereenkomst derde(n)/onderaannemer(s) inschakelen, mits Verwerker:

a. Middels een schriftelijke overeenkomst met de derde borgt dat de betreffende derde zich eveneens richt naar de instructies van Verwerkingsverantwoordelijke; en
b. Middels een schriftelijke overeenkomst met de derde borgt dat alle verplichtingen die op grond van deze overeenkomst rusten op Verwerker mede komen te rusten op deze derde;
c. Toestemming Verwerkingsverantwoordelijke heeft gekregen.

7. Incident response

7.1. Op het moment dat Verwerker kennis krijgt van een inbreuk op art. art. 33 AVG en/of enig ander incident ten aanzien van de beveiliging van de persoonsgegevens die hij in het kader van de Overeenkomst verwerkt zal hij:

  • Verwerkingsverantwoordelijke daarvan onmiddellijk op de hoogte stellen;
  • aan Verwerkingsverantwoordelijke zo snel mogelijk alle informatie verstrekken over:
    • de aard van de inbreuk;
    • de (mogelijk) getroffen persoonsgegevens;
    • en de vastgestelde/te verwachten gevolgen van de inbreuk voor de verwerking van de persoonsgegevens en/of de betrokkene(n);
  • alle redelijke maatregelen nemen om (verdere) schending van de AVG te voorkomen/beperken.

7.2. Verwerker zal naar beste kunnen een logboek bijhouden van de incidenten als bedoeld in het vorige artikel en de maatregelen die in vervolg op dergelijke incidenten zijn genomen, waarin zij op verzoek van de Verwerkingsverantwoordelijke zo snel als mogelijk inzage zal verlenen.

7.3. Verwerker is er van op de hoogte dat Verwerkingsverantwoordelijke onder omstandigheden wettelijk verplicht is om een inbreuk op de beveiliging van de persoonsgegevens die Verwerker verwerkt, aan betrokkene(n) of aan de bevoegde autoriteit te melden. Ook kan Verwerkingsverantwoordelijke de verplichting hebben om mee te werken aan een onderzoek door de bevoegde autoriteit en in het kader daarvan de verplichting hebben om informatie te verstrekken. Het voldoen aan de hiervoor bedoelde verplichtingen beschouwt Verwerker niet als tekortkoming in de nakoming van de Verwerkersovereenkomst of de Opdrachtovereenkomst door Verwerkingsverantwoordelijke of als onrechtmatig handelen.

7.4 Verwerkingsverantwoordelijke beslist of er sprake is van een beveiligingsincident dat gemeld moet worden aan betrokkene(n) of aan de bevoegde autoriteit. Als Verwerkingsverantwoordelijke besluit dat er een melding moet worden gedaan, zal Verwerkingsverantwoordelijke hiervoor zorgen. Partijen kunnen hier incidenteel andere afspraken over maken. Deze afspraken dienen schriftelijk te worden vastgelegd.

7.5 Verwerker treft alle maatregelen die nodig zijn om de (eventuele) schade te beperken en Verwerkingsverantwoordelijke te ondersteunen bij de in dit artikel bedoelde melding(en) aan betrokkene(n) en/of de bevoegde autoriteit of bij een onderzoek door deze autoriteit.

8 Aansprakelijkheid

8.1 Verwerkingsverantwoordelijke is aansprakelijk voor de schade die ontstaat bij een inbreuk op de beveiliging van de persoonsgegevens of enig ander incident ten aanzien van de beveiliging van de persoonsgegevens, tenzij in rechte komt vast te staan dat Verwerker toerekenbaar tekort geschoten is.

8.2 Verwerker en Verwerkingsverantwoordelijke verplichten zich jegens elkaar om zich gedurende de (looptijd van) de Verwerkersovereenkomst adequaat te verzekeren en verzekerd te houden voor aansprakelijkheid conform dit artikel.

9 Duur en beëindiging van de Verwerkersovereenkomst

9.1 De Verwerkersovereenkomst komt tot stand door ondertekening van Partijen. De bepalingen die in de Opdrachtovereenkomst zijn vermeld omtrent beëindiging zijn ook van toepassing op de Verwerkersovereenkomst. De Verwerkersovereenkomst eindigt in ieder geval op het moment dat de Opdrachtovereenkomst eindigt.

9.2 Verwerker zorgt ervoor dat alle aan haar ter beschikking gestelde persoonsgegevens zo spoedig mogelijk na beëindiging van de Verwerkersovereenkomst geretourneerd worden aan/ter beschikking worden gesteld van de Verwerkingsverantwoordelijke. Eventuele digitale kopieën van persoonsgegevens zal Verwerker onmiddellijk na beëindiging van de Verwerkersovereenkomst vernietigen. Als Verwerkingsverantwoordelijke voorafgaand aan de beëindiging van de Verwerkersovereenkomst andersluidende schriftelijke opdrachten aan Verwerker geeft, zal Verwerker die opdrachten opvolgen. Verwerker zal van het retourneren/ter beschikking stellen/vernietigen schriftelijk mededeling doen aan Verwerkingsverantwoordelijke.

Als Verwerker meent dat hij een zelfstandige wettelijke verplichting heeft, die het geheel of gedeeltelijk retourneren/vernietigen van de persoonsgegevens verbiedt, zal hij hierover zo spoedig mogelijk schriftelijk contact opnemen met Verwerkingsverantwoordelijke. Verwerker zal Verwerkingsverantwoordelijke daarbij alle informatie verstrekken, die redelijkerwijs nodig is om te beoordelen of vernietiging kan plaatsvinden en onder welke voorwaarden. Verwerkingsverantwoordelijke zal zijn reactie (schriftelijk) aan Verwerker kenbaar maken. Als de persoonsgegevens naar het redelijk oordeel van Verwerkingsverantwoordelijke geheel/gedeeltelijk door Verwerker vernietigd mogen worden, zal Verwerker daar alsnog zo snel mogelijk toe over gaan. Als Verwerkingsverantwoordelijke van oordeel is dat de persoonsgegevens niet vernietigd mogen worden, garandeert Verwerker dat zij de persoonsgegevens niet (verder) zal verwerken, behalve ter voldoening van een wettelijke verplichting of na schriftelijke opdracht van Verwerkingsverantwoordelijke.

10 Overige bepalingen

10.1 Indien en voor zover de Verwerkersovereenkomst en de Opdrachtovereenkomst en/of de op de Opdrachtovereenkomst van toepassing zijnde algemene voorwaarden van elkaar afwijken en/of in strijd zijn met elkaar, gaat het bepaalde in de Verwerkersovereenkomst voor.

10.2 Indien één of meer bepalingen van de Verwerkersovereenkomst niet rechtsgeldig blijk(t)(en) te zijn, zal de Verwerkersovereenkomst voor het overige van kracht blijven. Partijen zullen overleg plegen over de bepalingen die niet rechtsgeldig zijn, met het doel een vervangende regeling te treffen die wel rechtsgeldig is. Hierbij zal zoveel mogelijk aansluiting worden gezocht bij de strekking van de te vervangen regeling.

10.3 Wijzigingen in de door Verwerker te verrichten diensten en/of het doel van de verwerking dienen door partijen (vooraf) schriftelijk te worden overeengekomen.

10.4 Tenzij partijen schriftelijk anders zijn overeengekomen, zijn de bepalingen uit de Opdrachtovereenkomst onverkort van toepassing op de Verwerkersovereenkomst.

10.5 Indien op grond van een dwingende wetswijziging de beveiligingsmaatregelen gewijzigd dienen te worden en Verwerker schriftelijk aangeeft daarmee niet in te stemmen, dan is Verwerkingsverantwoordelijke gerechtigd deze Verwerkersovereenkomst en de bijbehorende overeenkomst met betrekking tot de op te zeggen tegen de datum waarop de wetswijziging in werking treedt.

11 Toepasselijk recht en geschillenbeslechting

Op de Verwerkersovereenkomst is Nederlands recht van toepassing. Eventuele geschillen worden voorgelegd aan de bevoegde rechter.