Verwerkersovereenkomst The webdesign (onderdeel van Printbazar)
Deze Verwerkersovereenkomst maakt – evenals de algemene voorwaarden – integraal onderdeel uit van iedere overeenkomst in zake diensten tussen The webdesign, gevestigd in Amsterdam en ingeschreven bij de Kamer van Koophandel onder nummer: 57557667 (hierna: “Printbazar”) en haar wederpartij. In het kader van deze Verwerkersovereenkomst wordt Printbazar aangemerkt als “Verwerker” en de wederpartij(klant) als “Verwerkingsverantwoordelijke”.
Overwegingen
Verwerkingsverantwoordelijke (u) en Verwerker (Printbazar) zijn een overeenkomst aangegaan voor het laten bouwen van een website (met een contactformulier).
Bij een website met formulier kan dit formulier gebruikt worden door bezoekers van de website van Verwerkingsverantwoordelijke om gegevens achter te laten.
Verwerkingsverantwoordelijke bepaalt welke velden het formulier weergeeft en welke gegevens de bezoeker van haar website achterlaat. Deze gegevens worden verzonden aan het e-mailadres van Verwerkingsverantwoordelijke zoals ingesteld in het website beheersysteem en opgeslagen in het website beheersysteem (cms).
Verwerkingsverantwoordelijke bepaalt of haar website wel of geen ssl-certificaat bevat. Deze kan Verwerkingsverantwoordelijke door Verwerker tegen betaling laten installeren.
Verwerkingsverantwoordelijke en Verwerker wensen in deze overeenkomst de wederzijdse rechten en verplichtingen voor de Verwerking van Persoonsgegevens door Verwerker vast te leggen overeenkomstig de Algemene Verordening Gegevensbescherming (verder: AVG).
Verwerker zal de persoonsgegevens verwerken voor de door Verwerkingsverantwoordelijke bepaalde doelen en met de overeengekomen middelen.
Op Verwerkingsverantwoordelijke ingevolge artikel 24 AVG de verplichting rust passende technische en organisatorische beveiligingsmaatregelen ten uitvoer te leggen tegen verlies of tegen enige vorm van onrechtmatige verwerking van de Persoonsgegevens;
Op Verwerkingsverantwoordelijke rust ingevolge artikel 28 lid 1 AVG door inschakeling van Verwerker ter verwerking van de Persoonsgegevens ten behoeve van Verwerkingsverantwoordelijke, tevens de verplichting zorg te dragen dat Verwerker voldoende waarborgen biedt ten aanzien van technische en organisatorische beveiligingsmaatregelen ter bescherming van de Persoonsgegevens tegen verlies of tegen enige vorm van onrechtmatige verwerking;
Op Verwerkingsverantwoordelijke rust ingevolge artikel 33 en 34 AVG een verplichting tot het melden van inbreuken op de beveiliging zoals bedoeld in artikel 4 sub 12 AVG (hierna: Datalekken) aan de Autoriteit Persoonsgegevens (hierna: de AP) en aan de ‘betrokkene’ in de zin van de AVG (hierna: Betrokkene).
Partijen conform artikel 28 lid 3 AV G, al hun afspraken omtrent de verwerking van Persoonsgegevens door Verwerker en het melden van Datalekken wensen vast te leggen in deze Overeenkomst.
Artikel 1 Definities:
1.1 De in deze overeenkomst gebruikte woorden of formuleringen hebben de volgende betekenis:
a) Betrokkene: degene op wie een Persoonsgegeven betrekking heeft;
b) Datalek: een inbreuk op de beveiliging, bedoeld in artikel 4 sub 12 AVG die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens;
c) Onderliggende Overeenkomst: de overeenkomst waarbij Verwerkingsverantwoordelijke aan Verwerker opdracht heeft gegeven om Verwerkingen te verrichten;
d) Overeenkomst: deze Verwerkersovereenkomst;
e) Persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon
f) Verwerken/verwerking: alle handelingen of reeks handelingen uitgevoerd op Persoonsgegevens, al dan niet door geautomatiseerde middelen, zoals verzamelen, vastleggen, structureren, opslaan, aanpassen of wijzigen, ophalen, raadplegen, gebruiken, bekendmaken door overdracht, verspreiding of anderszins beschikbaar maken, afstemmen of combineren, blokkeren, wissen of vernietigen.
Artikel 2 Algemeen
2.1 Verwerker verwerkt de Persoonsgegevens voor Verwerkingsverantwoordelijke overeenkomstig schriftelijk overeengekomen instructies van Verwerker en onder de uitdrukkelijke verantwoordelijkheid van Verwerkingsverantwoordelijke en op de wijze vastgelegd in de Onderliggende Overeenkomst.
2.2 Verwerkingsverantwoordelijke is met betrekking tot de Persoonsgegevens ‘Verwerkingsverantwoordelijke’ en Verwerker ‘Verwerker’ in de zin van de AVG. Verwerkingsverantwoordelijke gaat ermee akkoord en staat er voor in dat de verwerking van de Persoonsgegevens overeenkomstig de Verwerkersovereenkomst in overeenstemming is met de AVG.
2.3 Verwerkingsverantwoordelijke heeft de zeggenschap over de verwerking van de Persoonsgegevens en heeft het doel en de middelen voor de verwerking van de Persoonsgegevens vastgesteld.
2.4 Verwerker heeft geen zeggenschap over het doel en de middelen voor de verwerking van de Persoonsgegevens en neemt derhalve geen beslissingen over onder meer het gebruik van de Persoonsgegevens, de vertrekking aan derden en de duur van de opslag van de Persoonsgegevens. De zeggenschap over de Persoonsgegevens komt nimmer bij Verwerker te rusten.
2.5 Partijen verplichten zich over en weer conform de AVG te handelen.
2.6 Indien Verwerker van oordeel is dat zij op grond van een wettelijke verplichting Persoonsgegevens ter beschikking dient te stellen aan een daartoe bevoegde instantie zal zij daar niet toe overgaan, dan na overleg met en goedkeuring van Verwerkingsverantwoordelijke. Zij zal Verwerkingsverantwoordelijke zo spoedig mogelijk
schriftelijk in kennis stellen van de wettelijke verplichting en daarbij alle relevante informatie verstrekken die Verwerkingsverantwoordelijke redelijkerwijs nodig heeft om de benodigde maatregelen te treffen om te bepalen of verstrekking kan plaatsvinden en, zo ja, onder welke voorwaarden.
2.7 Verwerker dient Verwerkingsverantwoordelijke in kennis te stellen van alle verzoeken met betrekking tot inzage in de Persoonsgegevens die rechtstreeks van een Betrokkene zijn ontvangen. Verwerker geeft aan een dergelijk verzoek alleen gevolg indien Verwerkingsverantwoordelijke Verwerker daartoe schriftelijk opdracht heeft gegeven.
2.8 Verwerker mag niet zonder schriftelijke toestemming de verwerking door een subverwerker laten uitvoeren . Indien Verwerker een subverwerker inschakelt is Verwerker verantwoordelijk voor het handelen van deze derde.
2.9 Verwerkingsverantwoordelijke instrueert Verwerker om van de volgende dienstverleners (verder: Subverwerkers) gebruik te maken, en daarbij de volgende gegevens te verwerken, voor de volgende doeleinden:
Aniwebdesigns:Voor het versturen beheren van projecten (websites), hostinggegevens, domeinnaam, inloggegevens CMS
Sisow:Voor het afhandelen van betalingen binnen onze webshops. E-mailadres, naam, betalingsgegevens zoals bedrag, betaalmethode en boekingsdatum, NAW gegevensaam, bedrijfsnaam, telefoonnummer, e-mailadres, rekeningnummer, KvK-nummer, btw-nummer.
Protagonist:Voor de domeinen en hosted e-mail. NAW gegevens, bedrijfsnaam, telefoonnummer, e-mailadres, gebruikersnaam van de registratie, registratie- en verloopdatum, verhuiscode, DNS instellingen, geregistreerde e-mailadressen, mailbox statistieken over logins, aantal verzonden berichten en gegevensverbruik, mailbox forward e-mailadres, wijzigingsgeschiedenis van instellingen.
Versio:Voor de domeinen en hosted e-mail. NAW gegevens, bedrijfsnaam, telefoonnummer, e-mailadres, gebruikersnaam van de registratie, registratie- en verloopdatum, verhuiscode, DNS instellingen, geregistreerde e-mailadressen, mailbox statistieken over logins, aantal verzonden berichten en gegevensverbruik, mailbox forward e-mailadres, wijzigingsgeschiedenis van instellingen.
KPN:Voor de telefonie. Telefoonnummer, gespreksdatum, gespreksduur, gespreksopname.
Snel start:Voor de boekhouding en facturatie. NAW gegevens, naam, bedrijfsnaam, telefoonnummer, e-mailadres, rekeningnummer, KvK-nummer, btw-nummer, mandaatnummer bij automatisch incasso.
Twilio:Voor sms-communicatie. Telefoonnummer, sms-geschiedenis.
Google Docs:Voor documenten, spreadsheets, presentaties en formulieren in cloud opslag. NAW gegevens, telefoonnummer, e-mail-adres, bedrijfsnaam, KvK-nummer, hostinggegevens, domeinnaam, contractduur, inloggegevens CMS.
Twak chat:Voor soepele chat communicatie via de website op alle apparaten. Naam, e-mailadres, IP-adres en locatie, bezoekgeschiedenis, site bereikt via URL,
chatgeschiedenis, besturingssysteem/type apparaat, browserinformatie, afgeleide statistieken zoals chat ratings, duur van gesprekken en chatconversie.
Incassopoort:Voor het beheer van incassotrajecten. NAW gegevens, bedrijfsnaam, telefoonnummer, e-mailadres, rekeningnummer, betaalstatus, KvK-nummer, btw-nummer, correspondentie.
2.10 Verwerker zal de gegevens verwerken in overeenstemming met artikel 28 AVG en de overeenkomstig 32 AVG vereiste maatregelen.
2.11 Verwerker zal met Subverwerkers overeenkomen dat zij passende technische en organisatorische maatregelen treffen overeenkomstig artikel 28 lid 3 artikel 32 lid 3 van de AVG.
2.12 Verwerker zal de persoonsgegevens niet voor enig ander doel verwerken dan zoals door Verwerkingsverantwoordelijke is vastgesteld. Verwerkingsverantwoordelijke zal Verwerker op de hoogte stellen van de verwerkingsdoeleinden voor zover deze niet reeds in de Verwerkersovereenkomst zijn genoemd.
2.13 Verwerkingsverantwoordelijke staat ervoor in dat voor de verwerking een adequate wettelijke grondslag aanwezig is.
2.14 Verwerkingsverantwoordelijke garandeert dat de inhoud, het gebruik en de opdracht tot de verwerkingen zoals bedoeld in deze Overeenkomst, niet onrechtmatig is en geen inbreuk maken op enig recht van derden. Verwerkingsverantwoordelijke vrijwaart Verwerker tegen alle aanspraken en claims die hiermee verband houden.
Artikel 3 Beveiliging
3.1 Verwerker treft passende technische en organisatorische beveiligingsmaatregelen om de Persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico’s die de verwerking en de aard van de te beschermen gegevens met zich meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking te voorkomen.
3.2 Indien ondanks de beveiligingsmaatregelen een ongeautoriseerde verwerking van persoonsgegevens plaatsvindt, rust de bewijslast bij de Verwerkingsverantwoordelijke dat Verwerker niet adequaat heeft gehandeld.
3.3 De beveiligingsmaatregelen bieden, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging van de beveiligingsmaatregelen een passend beveiligingsniveau, gelet op de risico’s die de verwerking en de aard van de Persoonsgegevens met zich mee brengen.
3.4 Verwerker zal zich ervoor inspannen dat de beveiligingsmaatregelen voldoen aan een niveau dat, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging van de beveiligingsmaatregelen, ten minste gebruikelijk is in de branche gezien de door Verwerker geboden dienstverlening.
3.5 Verwerker staat in voor de doeltreffendheid van de beveiligingsmaatregelen.
3.6 Indien Verwerkingsverantwoordelijke of Verwerker van oordeel is dat er een wijziging in de door Verwerker te treffen beveiligingsmaatregelen noodzakelijk is om een passend beveiligingsniveau te bieden, dan treden Verwerkingsverantwoordelijke en Verwerker in overleg over de door Verwerkingsverantwoordelijke gewenste wijziging in de beveiligingsmaatregelen.
Artikel 4 Beveiligingsincidenten en Datalekken
4.1 Verwerkingsverantwoordelijke is ten aanzien van de Verwerking van Persoonsgegevens krachtens deze Overeenkomst de ‘Verwerkingsverantwoordelijke’ zoals omschreven in artikel 4 sub 7 AVG.
4.2 Verwerkingsverantwoordelijke heeft de verplichting tot het melden van Datalekken bij de AP, en in bepaalde gevallen, de Betrokkene op grond van artikel 34 en artikel 34 AVG.
4.3 In het geval van een beveiligingslek en/of een Datalek zal Verwerker Verwerkingsverantwoordelijke binnen de wettelijk gestelde termijn daarover informeren, naar aanleiding waarvan Verwerkingsverantwoordelijke beoordeelt of zij de betrokkenen zal informeren of niet. Verwerkingsverantwoordelijke is en blijft verantwoordelijk voor een eventuele wettelijke verplichting daartoe.
4.4 Verwerker dient Verwerkingsverantwoordelijke onverwijld nadat Verwerker ervan kennis heeft gekregen, in kennis te stellen van iedere inbreuk op de beveiliging (van welke aard dan ook) die (mede) betrekking heeft of kan hebben op de verwerking van Persoonsgegevens, en zal Verwerker in ieder geval informatie verstrekken over het volgende: (i) de aard van de inbreuk; (ii) de (mogelijk) getroffen Persoonsgegevens; (iii) de vastgestelde en verwachte gevolgen van de inbreuk voor de verwerking van de Persoonsgegevens en de daarbij betrokken personen; en (iv) de maatregelen die Verwerker heeft getroffen en zal treffen om de negatieve gevolgen van de inbreuk te beperken.
4.5 Melding van Datalekken, zoals bedoeld in artikel 33 AVG, valt onder de verantwoordelijkheid van de Verwerkingsverantwoordelijke.
4.6 Verwerker zal alle medewerking verlenen aan de noodzakelijke informatievoorziening aan Verwerkingsverantwoordelijke in het kader van de door Verwerker gemelde beveiligingsincidenten aan Verwerkingsverantwoordelijke.
4.7 Verwerkingsverantwoordelijke vrijwaart Verwerker tegen elke rechtsvordering van een derde, uit welke hoofde dan ook, in verband met de Persoonsgegevens en de uitvoering van de Overeenkomst.
Artikel 5 Geheimhouding
5.1 Alle medewerkers van Verwerkingsverantwoordelijke en alle medewerkers van Verwerker zijn verplicht tot geheimhouding van de Persoonsgegevens waarvan zij kennis nemen.
5.2 Het bepaalde in het eerste lid van dit artikel geldt niet indien en voor zover verstrekking van de desbetreffende Persoonsgegevens aan een derde noodzakelijk is ingevolgde een rechterlijke uitspraak, een wettelijk voorschrift of op basis van een bevoegd gegeven bevel van een overheidsinstantie.
5.3 Alle door Verwerker aan Verwerkingsverantwoordelijke verstrekte toegangs-en/of identificatiecodes, certificaten, informatie omtrent toegangs-en/of wachtwoordenbeleid en alle door Verwerker aan Verwerkingsverantwoordelijke verstrekte informatie die invulling geeft aan technische en organisatorische beveiligingsmaatregelen zijn vertrouwelijk. Partijen zien er op toe dat medewerkers de verplichtingen uit dit artikel naleven.
Artikel 6 Looptijd en beëindiging
6.1 Deze Overeenkomst treedt in werking op de datum van laatste ondertekening van deze Overeenkomst door Partijen en wordt gesloten voor onbepaalde tijd.
6.2 Deze Overeenkomst eindigt van rechtswege bij beëindiging van de Onderliggende Overeenkomst en kan niet los van de Onderliggende Overeenkomst worden opgezegd.
6.3 Verwerker zal, in geval van beëindiging van deze Overeenkomst, alle onder zich zijnde en van Verwerkingsverantwoordelijke ontvangen Persoonsgegevens, retourneren aan Verwerkingsverantwoordelijke of, indien door Partijen overeengekomen, binnen de gestelde bewaartermijn vernietigen. Indien naar het redelijk oordeel van Verwerker een zelfstandige wettelijke verplichting van Verwerker het geheel of gedeeltelijk retourneren of vernietigen van de Persoonsgegevens door Verwerker verbiedt of beperkt zal zij Verwerkingsverantwoordelijke zo spoedig mogelijk schriftelijk in kennis stellen van de wettelijke verplichting en daarbij alle relevante informatie verstrekken die Verwerkingsverantwoordelijke redelijkerwijs nodig heeft om te bepalen of vernietiging kan plaatsvinden en, zo ja, onder welke voorwaarden. Indien naar het redelijk oordeel van Verwerkingsverantwoordelijke de wettelijke verplichting (gedeeltelijke) vernietiging van de Persoonsgegevens door Verwerker toelaat zal Verwerker daartoe op verzoek van Verwerkingsverantwoordelijke onverwijld overgaan. Is Verwerkingsverantwoordelijke van oordeel dat vernietiging niet mag plaatsvinden, dan zal zij Verwerker daarvan schriftelijk op de hoogte stellen. Verwerker garandeert in dat geval de vertrouwelijkheid van de Persoonsgegevens jegens Verwerkingsverantwoordelijke en zal de Persoonsgegevens niet Verwerken behalve ter voldoening aan haar bovenbedoelde wettelijke verplichting of na schriftelijke opdracht van Verwerkingsverantwoordelijke.
Artikel 7 Overig
7.1 In het geval dat een betrokkene een verzoek omtrent inzage, correctie, dataportabiliteit of verwijdering richt aan Verwerkingsverantwoordelijke, zal Verwerker Verwerkingsverantwoordelijke assisteren bij het voldoen aan die verzoeken indien Verwerkingsverantwoordelijke daarom verzoekt.
7.2 Indien Verwerkingsverantwoordelijke Verwerker verzoekt om hulp bij andere verplichtingen dan genoemd in artikel 7.1, zoals (niet-limitatief) het melden van een datalek (in de zin van artikel 34 AVG) of een gegevensbeschermingseffect beoordeling (in de zin van art. 35 AVG), zal Verwerker Verwerkingsverantwoordelijke daarbij assisteren indien Verwerkingsverantwoordelijke Verwerker daartoe verzoekt.
7.3 Deze Overeenkomst vormt een integraal onderdeel van de Onderliggende Overeenkomst. Alle rechten en verplichtingen uit de Onderliggende Overeenkomst, waaronder aansprakelijkheid, zijn derhalve ook van toepassing op deze Overeenkomst.
7.4 Deze Overeenkomst en de rechten en verplichtingen uit deze Overeenkomst kunnen door Verwerker niet aan derden worden overgedragen zonder de voorafgaande schriftelijke toestemming van Verwerkingsverantwoordelijke.
7.5 Verwerker zal alle informatie ter beschikking stellen die nodig is om de nakoming van de in artikel 28 AVG neerlegde verplichtingen aan te tonen en audits, waaronder inspecties door de Verwerkingsverantwoordelijke of een door de Verwerkingsverantwoordelijke gemachtigde controleur mogelijk maken en indien gewenst eraan bijdragen.
7.6 Indien één of meer bepalingen van deze Overeenkomst niet rechtsgeldig blijkt te zijn, zal de Overeenkomst voor het overige van kracht blijven. Partijen zullen over de bepalingen welke niet rechtsgeldig zijn overleg plegen, teneinde een vervangende regeling te treffen die wel rechtsgeldig is en zoveel mogelijk aansluit bij de strekking van de te vervangen regeling.
7.7 Nederlands recht is van toepassing op deze Overeenkomst. Alle geschillen voortvloeiende uit of samenhangende met deze Overeenkomst zullen uitsluitend worden voorgelegd aan de bevoegde rechter te Amsterdam.
Indien wetswijzigingen of andere omstandigheden daartoe aanleiding geven, zullen Partijen in gezamenlijk overleg deze Overeenkomst aanpassen conform de dan aanstaande geldende wetgeving.