Verwerkers​overeenkomst​

In normale mensentaal

1. Algemeen

1.1

Deze Verwerkersovereenkomst is van toepassing op alle Financieel voorstellen waarbij Doublesmart B.V., statutair gevestigd te Gouda (hierna: Leverancier), in opdracht van haar klanten mogelijk persoonsgegevens verwerkt in de zin van de Algemene verordening gegevensbescherming (AVG). ​

1.2

Onder Opdrachtgever wordt verstaan: iedere natuurlijke persoon of rechtspersoon die met Leverancier een Financieel voorstel sluit. ​

1.3

Door het aangaan van een Dienstverleningsovereenkomst met Leverancier verklaart Opdrachtgever kennis te hebben genomen van en akkoord te gaan met deze Verwerkersovereenkomst.

2. Definities

De in deze overeenkomst met een beginhoofdletter aangeduide begrippen hebben de betekenis die daaraan in dit artikel wordt toegekend. ​

AVG: de Algemene verordening gegevensbescherming. ​

Betrokkene: de natuurlijke persoon op wie een Persoonsgegeven betrekking heeft. ​

Bijlage: een bijlage bij de Overeenkomst, die daarvan onlosmakelijk deel uitmaakt. ​

Datalek: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens.

Financieel voorstel: de overeenkomst tussen Opdrachtgever en Leverancier inzake de dienstverlening welke is getekend door de Opdrachtgever.

Persoonsgegevens: elk gegeven betreffende een natuurlijk persoon die daardoor direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van één of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die persoon.

Privacy Impact Assessment (PIA): een voorafgaand aan een verwerking uit te voeren onderzoek waaruit het effect van een beoogde verwerkingsactiviteit op de bescherming van persoonsgegevens wordt beoordeeld.

Verwerken/ Verwerking: een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.

Verwerkingsverantwoordelijke: de partij die het doel van en de middelen voor de Verwerking van de Persoonsgegevens vaststelt.

3. Voorwerp van de verwerking

3.1

Leverancier zal de Persoonsgegevens ten behoeve van Opdrachtgever Verwerken onder de voorwaarden van deze Overeenkomst. In Bijlage 1 bij deze Overeenkomst zijn de duur, de aard en het doel van de Verwerkingen, de middelen voor de Verwerkingen, het soort te Verwerken Persoonsgegevens, de categorieën van betrokkenen en de duur van de opslag van de Persoonsgegevens beschreven.

In Bijlage 2 zijn de beveiligingsmaatregelen en overige voorwaarden voor de Verwerking beschreven. Partijen zullen de Bijlagen indien nodig gedurende de looptijd van de Overeenkomst steeds aanpassen. ​

3.2

Partijen stellen vast dat de te Verwerken Persoonsgegevens voor zover deze direct of (indirect) betrekking hebben op ras of etnische afkomst, levensovertuiging, gezondheid, seksueel leven, lidmaatschap van een vakvereniging en/of gegevens in verband met strafrechtelijke vervolging van de (potentiële) Opdrachtgever en/medewerkers van Opdrachtgever, mogelijk bijzondere gegevens zijn in de zin van de geldende Privacywetgeving. Opdrachtgever garandeert dat hij deze gegevens in overeenstemming met de bepalingen van de toepasselijke privacywet- en regelgeving heeft verkregen en Verwerkt.

4. Uitvoering verwerking ​

4.1

Leverancier en Opdrachtgever zullen de Persoonsgegevens op behoorlijke en zorgvuldige wijze, in overeenstemming met de toepasselijke wet- en regelgeving Verwerken. ​

4.2

Opdrachtgever is verantwoordelijk voor het vaststellen van het doel en de middelen van de Verwerking van de Persoonsgegevens en is jegens Betrokkene aansprakelijk voor de schade die wordt geleden als gevolg van een inbreuk op de in lid 1 genoemde verplichtingen, onverminderd de verplichtingen van Leverancier op grond van de Dienstverleningsovereenkomst en deze Overeenkomst.​

4.3

Behoudens wettelijke verplichtingen, zal Leverancier de Persoonsgegevens uitsluitend Verwerken voor zover dit noodzakelijk is voor de uitvoering van zijn verplichtingen op grond van de Dienstverleningsovereenkomst en/of volgens de schriftelijke instructies van Opdrachtgever. Leverancier zal Opdrachtgever informeren als de betreffende instructies naar zijn mening in strijd zijn met de Privacywetgeving.​

4.4

Leverancier zal de Persoonsgegevens niet wijzigen zonder opdracht daartoe van Opdrachtgever. Opdrachtgever garandeert dat de Persoonsgegevens correct, ter zake dienend en niet bovenmatig zijn in het licht van de doeleinden waarvoor de Persoonsgegevens (verder) worden Verwerkt.

4.5

Opdrachtgever is verantwoordelijk voor het informeren van de Betrokkenen en het waarborgen van de rechten die Betrokkenen op basis van de toepasselijke privacywet- en regelgeving kunnen uitoefenen, en voor de communicatie met Betrokkenen. Leverancier zal alle medewerking verlenen aan Opdrachtgever om (i) Betrokkenen inzage te geven in hun Persoonsgegevens, (ii) Persoonsgegevens op verzoek van Betrokkenen te verwijderen of corrigeren, (iii) aan te tonen dat Persoonsgegevens na een verzoek daartoe van een Betrokkene verwijderd of gecorrigeerd zijn, (iv) Betrokkenen de mogelijkheid te bieden Persoonsgegevens aan een andere verwerkingsverantwoordelijke over te dragen. Opdrachtgever zal de kosten die Leverancier redelijkerwijs moet maken om aan haar verplichtingen in dit artikellid te voldoen, vergoeden.

4.6

Wanneer Opdrachtgever op basis van de geldende Privacywetgeving verplicht is een PIA uit te voeren, zal Leverancier hieraan desgevraagd zijn medewerking verlenen. Indien uit de PIA blijkt dat Opdrachtgever voorafgaand aan de verwerking de Autoriteit Persoonsgegevens over de verwerking dient te raadplegen, verleent Leverancier hieraan desgevraagd zijn medewerking verlenen.

5. Subverwerkers

5.1

Leverancier blijft jegens Opdrachtgever en Betrokkene(n) volledig verantwoordelijk en aansprakelijk voor de handelingen van de derde(n). ​

5.2

Ingeval als gevolg van de overdracht de Verwerking buiten de Europese Economische Ruimte plaatsvindt, is overdracht c.q. inschakeling slechts mogelijk na verkregen toestemming van Opdrachtgever. Opdrachtgever zal zijn toestemming niet op onredelijke gronden onthouden.

Leverancier zal met de derde ten aanzien van de Verwerking dezelfde afspraken maken als die in deze Overeenkomst zijn vastgelegd. Leverancier zal Opdrachtgever informeren als zij Persoonsgegevens buiten de Europese Economische Ruimte Verwerkt en zal volledige medewerking verlenen aan de maatregelen die Opdrachtgever alsdan moet nemen om te voldoen aan de Privacywetgeving.

6. Beveiliging van de verwerking en datalekken

6.1

Leverancier zal de technische en organisatorische beveiligingsmaatregelen – die voldoen aan de geldende privacywet- en regelgeving, stand der techniek en de kosten van de implementatie maatregelen – treffen die nodig zijn om de beschikbaarheid, integriteit en vertrouwelijkheid van Persoonsgegevens te waarborgen en te beveiligen tegen verlies of onrechtmatige Verwerking. Deze maatregelen zullen steeds zijn beschreven in Bijlage 2 en zullen voldoen aan de daarvoor geldende algemeen geaccepteerde beveiligingsstandaarden. ​

6.2

Ingeval Opdrachtgever aanvullende beveiligingsmaatregelen vereist, die verder gaan dan de maatregelen die voldoen aan de geldende privacywet- en regelgeving, stand der techniek en de kosten van de implementatie maatregelen, zullen Partijen overleggen over de haalbaarheid en financiële gevolgen daarvan. Uitgangspunt daarbij is dat Opdrachtgever de extra kosten vergoedt tenzij de extra maatregelen door een grotere groep klanten van Leverancier gebruikt en vergoed worden. ​

6.3

Leverancier zal alle eventuele beveiligingsincidenten steeds rapporteren aan Opdrachtgever. In de rapportage vermeldt Leverancier welk incident heeft plaatsgevonden, welke mogelijke gevolgen het incident voor de (toegang tot) de betreffende Persoonsgegevens heeft gehad en welke maatregelen zijn of worden genomen om het incident te beëindigen en in de toekomst te voorkomen. ​

6.4

In het geval van een ontdekking van een Datalek zal Leverancier onverwijld maar uiterlijk binnen 24 uur na de ontdekking rapporteren aan Opdrachtgever, inclusief de in de Privacywetgeving vermelde noodzakelijk informatie. Leverancier zal zijn medewerking verlenen aan Opdrachtgever om dit Datalek te melden bij de Autoriteit Persoonsgegevens en​ in voorkomend geval- bij de Betrokkenen. Leverancier zal de kosten in verband met de melding van het Datalek volledig vergoede. Leverancier zal waar nodig ook meewerken aan het adequaat informeren van de Betrokkenen over het beveiligingsincident.

7. Geheimhouding ​

7.1

Leverancier zal de Persoonsgegevens geheimhouden. Ingeval dit niet contractueel is overeengekomen met personen in dienst van dan wel werkzaam ten behoeve van Leverancier, zal Leverancier een geheimhoudingsverplichting opleggen aan die personen met betrekking tot de Persoonsgegevens waarvan zij kennis kunnen nemen. ​

7.2

Leverancier zal de Persoonsgegevens op geen enkele wijze openbaar maken of aan derden ter beschikking stellen, tenzij Opdrachtgever hiervoor voorafgaande toestemming heeft verleend of wanneer een wettelijk voorschrift Leverancier verplicht om de Persoonsgegevens te verstrekken.

8. Audits

8.1

Leverancier stelt Opdrachtgever in staat om de naleving door Leverancier van de in deze Overeenkomst genoemde verplichtingen te doen controleren door de Opdrachtgever of een door de Opdrachtgever gemachtigde controleur, op kosten van Opdrachtgever. De controleur zal daarbij geen vertrouwelijke gegevens van Leverancier gebruiken en inzien en zal de werkprocessen van Leverancier niet verstoren. Als uit de controle blijkt dat Leverancier niet volledig voldoet aan haar verplichtingen, zal Leverancier de door de controle aangetoonde tekortkomingen zo spoedig als redelijkerwijs mogelijk beëindigen.

8.2

Leverancier zal Opdrachtgever of een door de Opdrachtgever gemachtigde controleur alle gegevens en informatie verstrekken die deze redelijkerwijs nodig heeft voor de controle.

9. Wijzigingen

9.1

Partijen zullen in geval van wijzigingen in door Leverancier en/of Opdrachtgever uit te voeren werkzaamheden uit hoofde van de Dienstverleningsovereenkomst die mogelijk gevolgen hebben voor de Verwerkingen, steeds met elkaar overleggen over de mogelijk noodzakelijke wijzigingen in deze Overeenkomst, waaronder uitdrukkelijk begrepen wijzigingen in de technische en organisatorische maatregelen als bedoeld in artikel 4 van deze Overeenkomst. ​

9.2

Opdrachtgever kan aanvullende, schriftelijke instructies geven of de in deze Overeenkomst bedoelde bestaande instructies aanpassen, in verband met wijzigingen of regels in de toepasselijke privacywet- en regelgeving. Opdrachtgever zal de kosten vergoeden die Leverancier redelijkerwijs moet maken om de in dit artikellid genoemde instructies uit te voeren.

10. Looptijd en Beëindiging

10.1

Deze Overeenkomst is van toepassing zolang Leverancier de Persoonsgegevens in verband met de Dienstverleningsovereenkomst Verwerkt. ​

10.2

Indien en zodra de samenwerking eindigt, zal Leverancier de documenten, computerschijven en andere gegevensdragers met daarop de Persoonsgegevens en eventuele kopieën daarvan desgewenst verwijderen of aan Opdrachtgever retourneren. Voor zover de Persoonsgegevens zijn opgenomen in een computersysteem of in een andere vorm waardoor deze redelijkerwijs niet kunnen worden teruggegeven, zal Leverancier een kopie van de Persoonsgegevens aan Opdrachtgever verstrekken. ​

10.3

Als Leverancier een wettelijke verplichting heeft om de Persoonsgegevens en/of documenten, computerschijven en andere gegevensdragers met daarop de Persoonsgegevens te bewaren voor een bepaalde periode, zal Leverancier de documenten, computerschijven en andere gegevensdragers met daarop de Persoonsgegevens gedurende de betreffende wettelijke periode bewaren. ​

10.4

Na beëindiging van deze Overeenkomst blijven de bepalingen, die naar hun aard bestemd zijn om ook nadien van​ kracht te blijven, waaronder begrepen de geheimhoudingsverplichting en de vrijwaring, onverminderd van kracht.

11. Aansprakelijkheid

Onverminderd de aansprakelijkheid op grond van de Dienstverleningsovereenkomst, is Leverancier aansprakelijk voor de schade van Opdrachtgever en/of Betrokkenen die is ontstaan als gevolg van tekortkomingen in de handelingen die Leverancier in het kader van de uitvoering van deze Overeenkomst dient te verrichten wanneer Leverancier bij de verwerking niet heeft voldaan aan de specifiek tot verwerkers gerichte verplichtingen van de Privacywetgeving of de Leverancier buiten of in strijd met de rechtmatige instructies van Opdrachtgever heeft gehandeld.

12. Toepasselijk recht

Op de door DoubleSmart B.V. met toepassing van deze voorwaarden af te sluiten overeenkomsten is steeds het Nederlandse recht van toepassing, ook indien aan een verbintenis geheel of gedeeltelijk in het buitenland uitvoering wordt gegeven of als de bij de rechtsbetrekking betrokken partij aldaar woonplaats heeft.

13. Geschillen

13.1

In geval van geschillen die voortkomen of verband houden met deze Overeenkomst zullen partijen proberen deze in eerste instantie op te lossen met behulp van een door beide partijen onafhankelijke mediator. ​

13.2

Blijkt het onmogelijk een dergelijk geschil op te lossen met behulp van mediation, dan zal het geschil worden voorgelegd aan de bevoegde rechter in het arrondissement waar DoubleSmart B.V. is gevestigd.