verwerkers overeenkomst
Deze Verwerkersovereenkomst maakt – evenals de algemene voorwaarden – integraal onderdeel uit van iedere overeenkomst in zake diensten tussen Bulldata.nl, gevestigd in Oldenzaal en ingeschreven bij de Kamer van Koophandel te Enschede (hierna: “Bulldata.nl”) en haar wederpartij. In het kader van deze Verwerkersovereenkomst wordt Bulldata.nl aangemerkt als “Verwerker” en de wederpartij (klant) als “Verwerkingsverantwoordelijke”.
Overwegingen
Verwerkingsverantwoordelijke (u) en Verwerker (Bulldata.nl) zijn een overeenkomst aangegaan voor het laten beheren van uw social media accounts, en of andere online uitingen waar u (met een contactformulier) en/of en beheren van een Google Adwords, Facebook Ads, Instagram Ads, Linkedin Ads advertentie campagne’s door Bulldata.nl laat beheren.
Bij een advertentie met een formulier kan dit formulier gebruikt worden door bezoekers van een website, advertentie van Verwerkingsverantwoordelijke om gegevens achter te laten.
Verwerkingsverantwoordelijke bepaalt welke velden het formulier weergeeft en welke gegevens de bezoeker achterlaat. Deze gegevens worden verzonden aan het e-mailadres van Verwerkingsverantwoordelijke zoals ingesteld in het beheersysteem en opgeslagen in het betreffende beheersysteem (WordPress, CMS).
Verwerkingsverantwoordelijke bepaalt of haar website wel of geen SSL-certificaat bevat. Deze kan Verwerkingsverantwoordelijke door Verwerker tegen betaling laten installeren.
Verwerkingsverantwoordelijke en Verwerker wensen in deze overeenkomst de wederzijdse rechten en verplichtingen voor de Verwerking van Persoonsgegevens door Verwerker vast te leggen overeenkomstig de Algemene Verordening Gegevensbescherming (verder: AVG).
Verwerker zal de persoonsgegevens verwerken voor de door Verwerkingsverantwoordelijke bepaalde doelen en met de overeengekomen middelen.
Op Verwerkingsverantwoordelijke ingevolge artikel 24 AVG de verplichting rust passende technische en organisatorische beveiligingsmaatregelen ten uitvoer te leggen tegen verlies of tegen enige vorm van onrechtmatige verwerking van de Persoonsgegevens;
Op Verwerkingsverantwoordelijke rust ingevolge artikel 28 lid 1 AVG door inschakeling van Verwerker ter verwerking van de Persoonsgegevens ten behoeve van Verwerkingsverantwoordelijke, tevens de verplichting zorg te dragen dat Verwerker voldoende waarborgen biedt ten aanzien van technische en organisatorische beveiligingsmaatregelen ter bescherming van de Persoonsgegevens tegen verlies of tegen enige vorm van onrechtmatige verwerking;
Op Verwerkingsverantwoordelijke rust ingevolge artikel 33 en 34 AVG een verplichting tot het melden van inbreuken op de beveiliging zoals bedoeld in artikel 4 sub 12 AVG (hierna: Datalekken) aan de Autoriteit Persoonsgegevens (hierna: de AP) en aan de ‘betrokkene’ in de zin van de AVG (hierna: Betrokkene).
Partijen conform artikel 28 lid 3 AV G, al hun afspraken omtrent de verwerking van Persoonsgegevens door Verwerker en het melden van Datalekken wensen vast te leggen in deze Overeenkomst.
Artikel 1 Definities:
1.1 De in deze overeenkomst gebruikte woorden of formuleringen hebben de volgende betekenis:
a) Betrokkene: degene op wie een Persoonsgegeven betrekking heeft;
b) Data lek: een inbreuk op de beveiliging, bedoeld in artikel 4 sub 12 AVG die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens;
c) Onderliggende Overeenkomst: de overeenkomst waarbij Verwerkingsverantwoordelijke aan Verwerker opdracht heeft gegeven om Verwerkingen te verrichten;
d) Overeenkomst: deze Verwerkersovereenkomst;
e) Persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon
f) Verwerken/verwerking: alle handelingen of reeks handelingen uitgevoerd op Persoonsgegevens, al dan niet door geautomatiseerde middelen, zoals verzamelen, vastleggen, structureren, opslaan, aanpassen of wijzigen, ophalen, raadplegen, gebruiken, bekendmaken door overdracht, verspreiding of anderszins beschikbaar maken, afstemmen of combineren, blokkeren, wissen of vernietigen.
Artikel 2 Algemeen
2.1 Verwerker verwerkt de Persoonsgegevens voor Verwerkingsverantwoordelijke overeenkomstig schriftelijk overeengekomen instructies van Verwerker en onder de uitdrukkelijke verantwoordelijkheid van Verwerkingsverantwoordelijke en op de wijze vastgelegd in de Onderliggende Overeenkomst.
2.2 Verwerkingsverantwoordelijke is met betrekking tot de Persoonsgegevens ‘Verwerkingsverantwoordelijke’ en Verwerker ‘Verwerker’ in de zin van de AVG. Verwerkingsverantwoordelijke gaat ermee akkoord en staat ervoor in dat de verwerking van de Persoonsgegevens overeenkomstig de Verwerkersovereenkomst in overeenstemming is met de AVG.
2.3 Verwerkingsverantwoordelijke heeft de zeggenschap over de verwerking van de Persoonsgegevens en heeft het doel en de middelen voor de verwerking van de Persoonsgegevens vastgesteld.
2.4 Verwerker heeft geen zeggenschap over het doel en de middelen voor de verwerking van de Persoonsgegevens en neemt derhalve geen beslissingen over onder meer het gebruik van de Persoonsgegevens, de vertrekking aan derden en de duur van de opslag van de Persoonsgegevens. De zeggenschap over de Persoonsgegevens komt nimmer bij Verwerker te rusten.
2.5 Partijen verplichten zich over en weer conform de AVG te handelen. 2.6 Indien Verwerker van oordeel is dat zij op grond van een wettelijke verplichting Persoonsgegevens ter beschikking dient te stellen aan een daartoe bevoegde instantie zal zij daar niet toe overgaan, dan na overleg met en goedkeuring van Verwerkingsverantwoordelijke. Zij zal Verwerkingsverantwoordelijke zo spoedig mogelijk schriftelijk in kennis stellen van de wettelijke verplichting en daarbij alle relevante informatie verstrekken die Verwerkingsverantwoordelijke redelijkerwijs nodig heeft om de benodigde maatregelen te treffen om te bepalen of verstrekking kan plaatsvinden en, zo ja, onder welke voorwaarden.
2.7 Verwerker dient Verwerkingsverantwoordelijke in kennis te stellen van alle verzoeken met betrekking tot inzage in de Persoonsgegevens die rechtstreeks van een Betrokkene zijn ontvangen. Verwerker geeft aan een dergelijk verzoek alleen gevolg indien Verwerkingsverantwoordelijke Verwerker daartoe schriftelijk opdracht heeft gegeven.
2.8 Verwerker mag niet zonder schriftelijke toestemming de verwerking door een sub verwerker laten uitvoeren. Indien Verwerker een sub verwerker inschakelt is Verwerker verantwoordelijk voor het handelen van deze derde.
2.9 Verwerkingsverantwoordelijke instrueert Verwerker om van de volgende dienstverleners (verder: Sub verwerkers) gebruik te maken, en daarbij de volgende gegevens te verwerken, voor de volgende doeleinden:
• (Google): Voor het versturen beheren van projecten (websites, Adwords) en klantcontact.
• Naam, adres, postcode, plaats, e-mail, telefoonnummer.
• Wefact: Voor het aanmaken en het automatisch versturen van de facturen en aanmaningen en bijhouden boekhouding
• Naam, adres, postcode, plaats, e-mail, telefoonnummer.
• Mijndomein: Voor het vastleggen van domeinen en web hosting + e-mailadressen
• Naam, adres, postcode, plaats, e-mailadressen, telefoonnummer en domeinnaam.
• Adwords: Voor het opbouwen en weergeven van de advertentiecampagne van verwerkingsverantwoordelijke
• Naam, adres, postcode, plaats, e-mail, telefoon, btw-nummer, IBAN-nummer, BIC/SWIFT, domeinnaam.
2.10 Verwerker zal de gegevens verwerken in overeenstemming met artikel 28 AVG en de overeenkomstig 32 AVG vereiste maatregelen.
2.11 Verwerker zal met Sub verwerkers overeenkomen dat zij passende technische en organisatorische maatregelen treffen overeenkomstig artikel 28 lid 3 artikel 32 lid 3 van de AVG.
2.12 Verwerker zal de persoonsgegevens niet voor enig ander doel verwerken dan zoals door Verwerkingsverantwoordelijke is vastgesteld. Verwerkingsverantwoordelijke zal Verwerker op de hoogte stellen van de verwerkingsdoeleinden voor zover deze niet reeds in de Verwerkersovereenkomst zijn genoemd.
2.13 Verwerkingsverantwoordelijke staat ervoor in dat voor de verwerking een adequate wettelijke grondslag aanwezig is.
2.14 Verwerkingsverantwoordelijke garandeert dat de inhoud, het gebruik en de opdracht tot de verwerkingen zoals bedoeld in deze Overeenkomst, niet onrechtmatig is en geen inbreuk maken op enig recht van derden. Verwerkingsverantwoordelijke vrijwaart Verwerker tegen alle aanspraken en claims die hiermee verband houden.
Artikel 3 Beveiliging
3.1 Verwerker treft passende technische en organisatorische beveiligingsmaatregelen om de Persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico’s die de verwerking en de aard van de te beschermen gegevens met zich meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking te voorkomen.
3.2 Verwerker implementeert de beveiligingsmaatregelen zoals omschreven in artikel 32 AVG, en treft hierbij de volgende maatregelen:
a) de pseudonimisering en versleuteling van persoonsgegevens;
b) het vermogen om op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen en diensten te garanderen;
c) het vermogen om bij een fysiek of technisch incident de beschikbaarheid van en de toegang tot de persoonsgegevens tijdig te herstellen;
d) een procedure voor het op gezette tijdstippen testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging van de verwerking. Partijen zullen in onderling overleg deze maatregelen jaarlijks actualiseren aan de stand der techniek.
3.3 Indien ondanks de beveiligingsmaatregelen een ongeautoriseerde verwerking van persoonsgegevens plaatsvindt, rust de bewijslast bij de Verwerkingsverantwoordelijke dat Verwerker niet adequaat heeft gehandeld.
3.4 De beveiligingsmaatregelen bieden, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging van de beveiligingsmaatregelen een passend beveiligingsniveau, gelet op de risico’s die de verwerking en de aard van de Persoonsgegevens met zich mee brengen.
3.5 Verwerker zal zich ervoor inspannen dat de beveiligingsmaatregelen voldoen aan een niveau dat, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging van de beveiligingsmaatregelen, ten minste gebruikelijk is in de branche gezien de door Verwerker geboden dienstverlening.
3.6 Verwerker staat in voor de doeltreffendheid van de beveiligingsmaatregelen.
3.7 Verwerkingsverantwoordelijke heeft het recht toe te zien op de naleving van Verwerker van de in deze Overeenkomst overeengekomen beveiligingsmaatregelen, conform de afspraken die hierover zijn gemaakt.
3.8 Indien Verwerkingsverantwoordelijke of Verwerker van oordeel is dat er een wijziging in de door Verwerker te treffen beveiligingsmaatregelen noodzakelijk is om een passend beveiligingsniveau te bieden, dan treden Verwerkingsverantwoordelijke en Verwerker in overleg over de door Verwerkingsverantwoordelijke gewenste wijziging in de beveiligingsmaatregelen.
Artikel 4 Beveiligingsincidenten en Datalekken
4.1 Verwerkingsverantwoordelijke is ten aanzien van de Verwerking van Persoonsgegevens krachtens deze Overeenkomst de ‘Verwerkingsverantwoordelijke’ zoals omschreven in artikel 4 sub 7 AVG.
4.2 Verwerkingsverantwoordelijke heeft de verplichting tot het melden van Datalekken bij de AP, en in bepaalde gevallen, de Betrokkene op grond van artikel 34 en artikel 34 AVG.
4.3 In het geval van een beveiligingslek en/of een data lek zal Verwerker Verwerkingsverantwoordelijke binnen 24 uur daarover informeren, naar aanleiding waarvan Verwerkingsverantwoordelijke beoordeelt of zij de betrokkenen zal informeren of niet. Verwerkingsverantwoordelijke is en blijft verantwoordelijk voor een eventuele wettelijke verplichting daartoe.
4.4 Verwerker dient Verwerkingsverantwoordelijke onverwijld nadat Verwerker ervan kennis heeft gekregen, in kennis te stellen van iedere inbreuk op de beveiliging (van welke aard dan ook) die (mede) betrekking heeft of kan hebben op de verwerking van Persoonsgegevens, en zal Verwerker in ieder geval informatie verstrekken over het volgende: (i) de aard van de inbreuk; (ii) de (mogelijk) getroffen Persoonsgegevens; (iii) de vastgestelde en verwachte gevolgen van de inbreuk voor de verwerking van de Persoonsgegevens en de daarbij betrokken personen; en (iv) de maatregelen die Verwerker heeft getroffen en zal treffen om de negatieve gevolgen van de inbreuk te beperken. Verwerker erkent dat Verwerkingsverantwoordelijke onder omstandigheden wettelijk verplicht is om een inbreuk op de beveiliging (van welke aard dan ook) die (mede) betrekking heeft of kan hebben op de Persoonsgegevens die Verwerker verwerkt, aan betrokkenen en/of autoriteiten te melden. Een dergelijke melding door Verwerkingsverantwoordelijke zal nimmer als tekortkoming in de nakoming van deze Overeenkomst of Onderliggende Overeenkomst of anderszins als onrechtmatige handeling worden beschouwd. Verwerker zal alle maatregelen treffen die nodig zijn om de (mogelijke) schade te beperken en Verwerkingsverantwoordelijke ondersteunen bij meldingen aan betrokkenen en/of autoriteiten.
4.5 Melding van Datalekken, zoals bedoeld in artikel 33 AVG, valt onder de verantwoordelijkheid van de Verwerkingsverantwoordelijke.
4.6 Verwerker zal alle medewerking verlenen aan de noodzakelijke informatievoorziening aan Verwerkingsverantwoordelijke in het kader van de door Verwerker gemelde beveiligingsincidenten aan Verwerkingsverantwoordelijke.
4.7 Verwerkingsverantwoordelijke vrijwaart Verwerker tegen elke rechtsvordering van een derde, uit welke hoofde dan ook, in verband met de Persoonsgegevens en de uitvoering van de Overeenkomst.
Artikel 5 Geheimhouding
5.1 Alle medewerkers van Verwerkings verantwoordelijke en alle medewerkers van Verwerker zijn verplicht tot geheimhouding van de Persoonsgegevens waarvan zij kennisnemen.
5.2 Het bepaalde in het eerste lid van dit artikel geldt niet indien en voor zover verstrekking van de desbetreffende Persoonsgegevens aan een derde noodzakelijk is ingevolgde een rechterlijke uitspraak, een wettelijk voorschrift of op basis van een bevoegd gegeven bevel van een overheidsinstantie.
5.3 Alle door Verwerker aan Verwerkings verantwoordelijke verstrekte toegangs-en/of identificatiecodes, certificaten, informatie omtrent toegangs-en/of wachtwoordenbeleid en alle door Verwerker aan Verwerkingsverantwoordelijke verstrekte informatie die invulling geeft aan technische en organisatorische beveiligingsmaatregelen zijn vertrouwelijk. Partijen zien erop toe dat medewerkers de verplichtingen uit dit artikel naleven.
Artikel 6 Looptijd en beëindiging
6.1 Deze Overeenkomst treedt in werking op de datum van ontvangst van het inschrijfformulier, bericht, apps, e-mail en of telefoon gesprek en of laatste contact van deze Overeenkomst door Partijen voor onbepaalde tijd.
6.2 Deze Overeenkomst eindigt van rechtswege bij beëindiging van de Onderliggende Overeenkomst en kan niet los van de Onderliggende Overeenkomst worden opgezegd.
6.3 Verwerker zal, in geval van beëindiging van deze Overeenkomst, alle onder zich zijnde en van Verwerkingsverantwoordelijke ontvangen Persoonsgegevens, retourneren aan Verwerkingsverantwoordelijke of, indien door Partijen overeengekomen, vernietigen en aan Verwerkingsverantwoordelijke verklaren dat zij dit heeft uitgevoerd. Indien naar het redelijk oordeel van Verwerker een zelfstandige wettelijke verplichting van Verwerker het geheel of gedeeltelijk retourneren of vernietigen van de Persoonsgegevens door Verwerker verbiedt of beperkt zal zij Verwerkingsverantwoordelijke zo spoedig mogelijk schriftelijk in kennis stellen van de wettelijke verplichting en daarbij alle relevante informatie verstrekken die Verwerkingsverantwoordelijke redelijkerwijs nodig heeft om te bepalen of vernietiging kan plaatsvinden en zo ja, onder welke voorwaarden. Indien naar het redelijk oordeel van Verwerkingsverantwoordelijke de wettelijke verplichting (gedeeltelijke) vernietiging van de Persoonsgegevens door Verwerker toelaat zal Verwerker daartoe op verzoek van Verwerkingsverantwoordelijke onverwijld overgaan. Is Verwerkingsverantwoordelijke van oordeel dat vernietiging niet mag plaatsvinden, dan zal zij Verwerker daarvan schriftelijk op de hoogte stellen. Verwerker garandeert in dat geval de vertrouwelijkheid van de Persoonsgegevens jegens Verwerkingsverantwoordelijke en zal de Persoonsgegevens niet Verwerken behalve ter voldoening aan haar bovenbedoelde wettelijke verplichting of na schriftelijke opdracht van Verwerkingsverantwoordelijke.
Artikel 7 Overig
7.1 In het geval dat een betrokkene een verzoek omtrent inzage, correctie, dataportabiliteit of verwijdering richt aan Verwerkingsverantwoordelijke, zal Verwerker Verwerkingsverantwoordelijke assisteren bij het voldoen aan die verzoeken indien Verwerkingsverantwoordelijke daarom verzoekt.
7.2 Indien Verwerkingsverantwoordelijke Verwerker verzoekt om hulp bij andere verplichtingen dan genoemd in artikel 7.1, zoals (niet-limitatief) het melden van een data lek (in de zin van artikel 34 AVG) of een gegevensbeschermingseffect beoordeling (in de zin van art. 35 AVG), zal Verwerker Verwerkingsverantwoordelijke daarbij assisteren indien Verwerkingsverantwoordelijke Verwerker daartoe verzoekt.
7.3 Deze Overeenkomst vormt een integraal onderdeel van de Onderliggende Overeenkomst. Alle rechten en verplichtingen uit de Onderliggende Overeenkomst, waaronder aansprakelijkheid, zijn derhalve ook van toepassing op deze Overeenkomst.
7.4 Deze Overeenkomst en de rechten en verplichtingen uit deze Overeenkomst kunnen door Verwerker niet aan derden worden overgedragen zonder de voorafgaande schriftelijke toestemming van Verwerkingsverantwoordelijke.
7.5 Naargelang de keuze van Verwerkingsverantwoordelijke, zal Verwerker na afloop van de verwerkingsdiensten: alle persoonsgegevens wissen of deze aan de Verwerkingsverantwoordelijke terugbezorgen en bestaande kopieën verwijderen, tenzij opslag van de persoonsgegevens Unierechtelijk of lidstaatrechtelijk is verplicht.
7.6 Verwerker zal alle informatie ter beschikking stellen die nodig is om de nakoming van de in artikel 28 AVG neerlegde verplichtingen aan te tonen en audits, waaronder inspecties door de Verwerkingsverantwoordelijke of een door de Verwerkingsverantwoordelijke gemachtigde controleur mogelijk maken en indien gewenst eraan bijdragen.
7.7 Indien één of meer bepalingen van deze Overeenkomst niet rechtsgeldig blijkt te zijn, zal de Overeenkomst voor het overige van kracht blijven. Partijen zullen over de bepalingen welke niet rechtsgeldig zijn overleg plegen, teneinde een vervangende regeling te treffen die wel rechtsgeldig is en zoveel mogelijk aansluit bij de strekking van de te vervangen regeling.
7.8 Nederlands recht is van toepassing op deze Overeenkomst. Alle geschillen voortvloeiende uit of samenhangende met deze Overeenkomst zullen uitsluitend worden voorgelegd aan de bevoegde rechter te Den Haag. Indien wetswijzigingen of andere omstandigheden daartoe aanleiding geven, zullen Partijen in gezamenlijk overleg deze Overeenkomst aanpassen conform de dan aanstaande geldende wetgeving.