Verwerkersovereenkomst

Gemaakt op 2 April, 2022Informatie • in 11 minuten gelezen

Verwerkersovereenkomst

Versie 23 mei 2024

Deze verwerkersovereenkomst vormt een essentieel onderdeel van de overeenkomsten tussen jou (de wederpartij) en mijnQRcode | Prompt Media. mijnQRcode neemt de rol aan van de verwerker (hierna te noemen de 'Verwerker') van de persoonsgegevens en de wederpartij neemt de rol aan van de verwerker (hierna te noemen de 'Verwerker') van de persoonsgegevens hierna individueel te noemen een 'Partij' en gezamenlijk te noemen 'Partijen'.

Overwegende dat:

  • Verwerker beschikt over persoonsgegevens van verschillende klanten of klanten van klanten (hierna te noemen “Betrokkenen”);
  • De Verwerkingsverantwoordelijke maakt gebruik van het door de Verwerker aangeboden onlineprogramma voor het creëren van QR-codes en barcodes;
  • Verwerker mag Persoonsgegevens verwerken ten behoeve van de Verantwoordelijke, zoals uiteengezet in de Hoofdovereenkomst, door gebruik te maken van het door Verwerker aangeboden onlineprogramma voor het creëren van QR-codes en barcodes;
  • Verwerker is bereid te voldoen aan de verplichtingen betreffende beveiliging en andere aspecten van de Wet bescherming persoonsgegevens (Wbp), voor zover dit binnen haar macht ligt;
  • Partijen, mede gelet op het vereiste ex artikel 14 lid 5 Wbp, hun rechten en verplichtingen schriftelijk wensen vast te leggen door middel van deze Verwerkersovereenkomst (hierna: Verwerkersovereenkomst);
  • De bewerker kan bij de uitvoering van de hoofdovereenkomst worden aangemerkt als bewerker in de zin van artikel 1 sub e Wbp;
  • De bewerker wordt aangemerkt als verantwoordelijke in de zin van artikel 1, onder d, van de Wbp;
  • In deze verwerkersovereenkomst wordt verstaan onder 'persoonsgegevens' zoals omschreven in artikel 1 sub a WBP.
  • Daar waar in deze verwerkersovereenkomst wordt verwezen naar begrippen uit de WBP of Algemene Verordening Gegevensbescherming (AVG), wordt bedoeld te verwijzen naar de overeenkomstige begrippen uit de WBP of AVG;
  • In het geval dat er in deze Verwerkersovereenkomst wordt verwezen naar de WBP, dient u er rekening mee te houden dat dit vanaf 25 mei 2018 verwijst naar de overeenkomstige bepalingen uit de AVG;
  • De verwerker bij de uitvoering van de hoofdovereenkomst kan worden aangemerkt als een verwerker in de zin van artikel 1 sub e van de Wbp.

komen overeen:

Artikel 1: Doeleinden van de verwerking

1.1 De Verwerker verbindt zich ten behoeve van de Verwerkingsverantwoordelijke persoonsgegevens te verwerken onder de voorwaarden van deze Verwerkersovereenkomst. Deze verwerking zal plaatsvinden in overeenstemming met de voorwaarden van deze Verwerkersovereenkomst en de doeleinden zoals vastgelegd in de Hoofdovereenkomst. Zie bijlage 1A van deze Verwerkersovereenkomst voor details over de betrokken categorieën van betrokkenen en persoonsgegevens. De Verwerkingsverantwoordelijke zal de Verwerker schriftelijk in kennis stellen van de beoogde verwerkingsdoeleinden, indien deze doeleinden niet expliciet zijn gespecificeerd in deze Verwerkersovereenkomst.

1.2 De Verwerker heeft geen zeggenschap over de doeleinden en middelen van de verwerking van persoonsgegevens. De Verwerker neemt geen zelfstandige beslissingen over de ontvangst en het gebruik van persoonsgegevens, de verstrekking aan derden of de duur van de opslag van persoonsgegevens.

1.3 Vanaf 25 mei 2018, wanneer de AVG in werking treedt, houdt de Verwerker een register bij van de verwerkingen die onder deze Verwerkersovereenkomst vallen. De Verwerkingsverantwoordelijke vrijwaart de Verwerker voor alle claims en vorderingen die verband houden met het niet naar behoren nakomen van deze registerverplichting.

Artikel 2: Verdeling van verantwoordelijkheid

2.1 Partijen dragen zorg voor de naleving van de toepasselijke privacywet- en regelgeving.

2.2 De toegestane verwerkingen zullen door de Verwerker worden uitgevoerd binnen een (semi-)geautomatiseerde omgeving.

2.3 De Verwerker is uitsluitend verantwoordelijk voor de verwerking van persoonsgegevens onder deze Verwerkersovereenkomst, conform de instructies van de Verwerker en onder de uitdrukkelijke (eind)verantwoordelijkheid van de Verwerker. Voor alle overige verwerkingen van persoonsgegevens, waaronder maar niet beperkt tot het verzamelen van persoonsgegevens door de Verwerkingsverantwoordelijke, verwerkingen voor doeleinden die niet door de Verwerkingsverantwoordelijke aan de Verwerker zijn meegedeeld, verwerkingen door derden en/of andere doeleinden, is de Verwerker niet verantwoordelijk.De verantwoordelijkheid voor deze verwerkingen berust uitsluitend bij de Verwerker.

2.4 De Verwerker garandeert dat de inhoud, het gebruik en de opdracht tot verwerking van persoonsgegevens, zoals bedoeld in deze Verwerkersovereenkomst, rechtmatig is en geen inbreuk maakt op rechten van derden.

Artikel 3: Verplichtingen Verwerker

3.1 De Verwerker is verplicht ten aanzien van de in artikel 1 geschetste verwerking zorg te dragen voor de naleving van de gestelde voorwaarden voor de verwerking van persoonsgegevens op grond van de Wbp en AVG.

3.2 De Verwerker is verplicht om op eerste verzoek van de Verwerkingsverantwoordelijke en binnen een redelijke termijn de Verwerkingsverantwoordelijke op de hoogte te stellen van de maatregelen die zijn getroffen in overeenstemming met zijn verplichtingen onder deze Verwerkersovereenkomst.

3.3 De Verwerker stelt de Verwerkingsverantwoordelijke op de hoogte indien een instructie van de Verwerkingsverantwoordelijke naar zijn mening in strijd is met relevante privacywet- en regelgeving.

3.4 Verwerker verleent de nodige medewerking aan Verwerkingsverantwoordelijke indien een gegevensbeschermingseffectbeoordeling, of voorafgaande raadpleging van de toezichthouder, noodzakelijk zou zijn in het kader van de verwerking.

3.5 De verplichtingen van Verwerker die voortvloeien uit deze Verwerkersovereenkomst gelden ook voor degenen die persoonsgegevens verwerken onder het gezag van Verwerker, waaronder begrepen maar niet beperkt tot werknemers, in de ruimste zin van het woord.

Artikel 4: Doorgifte van persoonsgegevens

4.1 Verwerker verwerkt persoonsgegevens in landen binnen de Europese Unie (EU). Daarnaast geeft verwerker, indien van toepassing, toestemming om persoonsgegevens te verwerken in landen buiten de Europese Unie, met inachtneming van de relevante wet- en regelgeving.

4.2 Op eerste verzoek van verwerker zal verwerker aan verwerker meedelen om welk land of welke landen het gaat.

Artikel 5: Inschakeling derden of subverwerkers

5.1 De Verwerkingsverantwoordelijke verleent hierbij toestemming aan de Verwerker om derden (subverwerkers) in te schakelen bij de verwerking, met inachtneming van de toepasselijke privacywetgeving.

5.2 De Verwerker informeert de Verwerkingsverantwoordelijke zo spoedig mogelijk over de door hem ingeschakelde subverwerkers en de Verwerkingsverantwoordelijke behoudt zich het recht voor om bezwaar te maken tegen de inschakeling van de subverwerker. Dit bezwaar dient binnen twee weken schriftelijk en met argumenten te worden onderbouwd.Indien de Verwerkingsverantwoordelijke bezwaar maakt tegen een door de Verwerker in te schakelen subverwerker, treden Partijen in onderling overleg om tot een oplossing te komen.

5.3 De Verwerker draagt er in ieder geval zorg voor dat subverwerkers schriftelijk ten minste dezelfde taken op zich nemen als tussen de Verwerkingsverantwoordelijke en de Verwerker zijn overeengekomen. De Verwerker staat in voor de correcte nakoming van de plichten door deze subverwerkers en is bij fouten van deze subverwerkers zelf jegens de Verwerker aansprakelijk voor eventuele schade als ware zij zelf de fout(en) begaan.

Artikel 6: Beveiliging

6.1 De Verwerker zal zich inspannen om passende technische en organisatorische maatregelen te nemen om de persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking (zoals onbevoegde kennisneming, aantasting, wijziging of verstrekking van persoonsgegevens).Hiertoe heeft de Verwerker de beveiligingsmaatregelen genomen die zijn opgenomen in Bijlage 1B.

6.2 De Verwerker neemt alle redelijke maatregelen om ervoor te zorgen dat de beveiligingsmaatregelen voldoen aan een niveau dat in overeenstemming is met de stand van de techniek, de gevoeligheid van de persoonsgegevens en de kosten die gepaard gaan met het doorvoeren van de beveiliging.

6.3 De Verwerkingsverantwoordelijke stelt persoonsgegevens slechts voor verwerking ter beschikking aan de Verwerker indien hij zich ervan heeft vergewist dat de vereiste beveiligingsmaatregelen zijn getroffen.De Verwerker is verantwoordelijk voor de naleving van de door Partijen overeengekomen maatregelen.

Artikel 7: Meldplicht datalekken

7.1 In geval van een beveiligingslek en/of datalek (waaronder wordt verstaan: een inbreuk op de beveiliging van persoonsgegevens die leidt tot een aanzienlijke kans op ernstige gevolgen, dan wel ernstige nadelige gevolgen heeft, voor de bescherming van persoonsgegevens, zoals bedoeld in artikel 34a van de Wet bescherming persoonsgegevens (Wbp)). In een dergelijk geval zal de Verwerker zich inspannen om de Verwerkingsautoriteit onverwijld of uiterlijk binnen 48 uur te informeren. De Verwerkingsverantwoordelijke beslist of hij de toezichthoudende autoriteiten en/of betrokkenen al dan niet informeert.De Verwerker draagt er zorg voor dat de verstrekte informatie volledig, juist en nauwkeurig is.Let op: de meldplicht geldt alleen als het lek zich daadwerkelijk heeft voorgedaan.

7.2 De Verwerker draagt zorg voor de naleving van eventuele (wettelijke) meldplichten en zal, indien de wet- en/of regelgeving daartoe verplicht, meewerken aan het informeren van de relevante autoriteiten en eventuele betrokkenen.

7.3 De meldplicht omvat het volgende:

  • Het melden van het ontstaan van een datalek;
  • Het identificeren van de vermoedelijke oorzaak van het datalek;
  • de mogelijke gevolgen van het datalek schetsen
  • een oplossing voorstellen om het datalek aan te pakken
  • Contactgegevens geven voor follow-up vragen;
  • specificeren wie op de hoogte is gebracht, zoals de betrokkene, de verantwoordelijke voor de verwerking of de toezichthouder.

Artikel 8: Behandeling van verzoeken van betrokkenen

8.1 Indien een betrokkene een verzoek met betrekking tot zijn persoonsgegevens indient bij de Verwerker, stuurt de Verwerker het verzoek door naar zichzelf. De Verwerker kan vervolgens de betrokkene hiervan op de hoogte stellen. De Verwerker verleent de nodige medewerking aan de behandeling van het verzoek. Indien blijkt dat de Verwerkingsverantwoordelijke hulp nodig heeft van de Verwerker bij het voldoen aan een verzoek van een betrokkene, kan de Verwerker hiervoor kosten in rekening brengen.

Artikel 9: Geheimhouding en vertrouwelijkheid

9.1 Op alle Persoonsgegevens die Verwerker van Verantwoordelijke ontvangt en/of zelf verzamelt in het kader van deze Verwerkersovereenkomst, rust een geheimhoudingsplicht jegens derden. Verwerker zal deze gegevens niet gebruiken voor een ander doel dan waarvoor ze zijn verkregen, tenzij ze in een zodanige vorm zijn dat ze niet herleidbaar zijn tot de betrokkenen.

9.2 Deze geheimhoudingsplicht geldt niet

  • indien de Verwerker uitdrukkelijk heeft ingestemd met de verstrekking van de informatie aan derden;
  • of indien de verstrekking van de gegevens aan derden logischerwijs noodzakelijk is voor de uitvoering van de Hoofdovereenkomst of deze Verwerkersovereenkomst;
  • en indien er een wettelijke verplichting bestaat om de informatie aan een derde te verstrekken.

Artikel 10: Audit

10.1 Verwerker heeft het recht een audit uit te (laten) voeren door een ter zake kundige, onafhankelijke en aan geheimhouding gebonden derde ter controle van de naleving van alle punten van deze Verwerkersovereenkomst en al hetgeen daarmee rechtstreeks verband houdt.

10.2 Een dergelijke audit zal slechts plaatsvinden nadat de Verwerker deze heeft aangevraagd, geverifieerd en voorzien van redelijke argumenten ter verantwoording van een niet reeds door de Verwerker geïnitieerde audit. Een dergelijke audit is gerechtvaardigd indien de gelijkaardige auditrapporten waarover de Verwerker beschikt, geen uitsluitsel geven of onvoldoende zijn wat betreft de naleving van deze Verwerkersovereenkomst door de Verwerker. De door Verwerker geïnitieerde audit zal plaatsvinden twee weken na voorafgaande melding door Verwerker en niet vaker dan eenmaal per kalenderjaar.

10.3 Verwerker zal medewerking verlenen aan de audit en alle voor de audit redelijkerwijs relevante informatie, waaronder ondersteunende gegevens zoals systeemlogs, en medewerkers zo spoedig mogelijk en binnen een redelijke termijn, waarbij een termijn van maximaal twee weken redelijk is, ter beschikking stellen, tenzij een spoedeisend belang zich daartegen verzet.

10.4 De resultaten van de audit worden door partijen in onderling overleg geëvalueerd. Naar aanleiding hiervan kunnen al dan niet door één van de partijen of door beide partijen gezamenlijk wijzigingen in de beveiliging worden aangebracht.

10.5 Alle kosten van de audit komen voor rekening van Verwerker, inclusief de door Verwerker gemaakte (interne) kosten, met dien verstande dat de kosten van de in te schakelen derde steeds voor rekening van Verwerker komen.

Artikel 11: Aansprakelijkheid

11.1 De aansprakelijkheid van partijen voor schade als gevolg van een toerekenbare tekortkoming in de nakoming van deze Verwerkersovereenkomst, uit onrechtmatige daad of anderszins, is beperkt tot het bedrag van de laatste door Verwerker betaalde factuur.

11.2 Voorwaarde voor het ontstaan van enig recht op schadevergoeding is steeds dat Verwerker de schade zo spoedig mogelijk na het bekend worden daarvan schriftelijk per aangetekend schrijven meldt aan Verwerker. Iedere vordering tot schadevergoeding door de Verwerker vervalt drie maanden nadat de Verwerker met de schade bekend is geworden.

11.3 Verwerker is uitdrukkelijk niet aansprakelijk voor schade die Verantwoordelijke lijdt als gevolg van een boete opgelegd door een nationale toezichthoudende autoriteit, waaronder de Autoriteit Persoonsgegevens, onder meer in verband met wettelijke meldplichten.

Artikel 12: Duur en beëindiging

12.1 Deze Verwerkersovereenkomst treedt in werking door aanvaarding van deze Overeenkomst bij het plaatsen van een Opdracht.

12.2 Deze Verwerkersovereenkomst wordt aangegaan voor de duur zoals vermeld in de hoofdovereenkomst tussen partijen, en bij het ontbreken van een dergelijke overeenkomst, voor de duur van de samenwerking.

12.3 Bij beëindiging van de Verwerkersovereenkomst, om welke reden en op welke wijze dan ook, zal de Verwerker de Verwerkingsverantwoordelijke in de gelegenheid stellen om alle in haar bezit zijnde Persoonsgegevens in originele vorm of in de vorm van een kopie in een Excel-, CSV- of Pdf-bestand te downloaden of te exporteren naar de Verwerker en deze en alle kopieën daarvan vervolgens te verwijderen en/of te vernietigen.

12.4 Partijen kunnen deze Verwerkersovereenkomst slechts met wederzijdse schriftelijke instemming wijzigen.

Artikel 13: Overige bepalingen

13.1 Op de Verwerkersovereenkomst en de uitvoering daarvan is Nederlands recht van toepassing.

13.2 Alle geschillen die naar aanleiding van de Verwerkersovereenkomst tussen partijen mochten ontstaan, zullen worden voorgelegd aan de bevoegde rechter in het arrondissement waar de Verwerker is gevestigd.

13.3 De door de Verwerker gedane registraties en metingen leveren dwingend bewijs op, behoudens tegenbewijs door de Verwerker.

13.4 In geval van tegenstrijdigheid tussen verschillende documenten of hun bijlagen, geldt de volgende rangorde:

  • de Hoofdovereenkomst
  • de Algemene Voorwaarden
  • deze Verwerkersovereenkomst;
  • eventuele Aanvullende Voorwaarden.

Bijlage 1A: Specificatie van Persoonsgegevens en Betrokkenen

Verwerker zal in het kader van de Hoofdovereenkomst ten behoeve van Verwerker de volgende (bijzondere) persoonsgegevens verwerken:Verwerker zal ten behoeve van Verwerker de volgende soorten persoonsgegevens verwerken:

  • NAW-gegevens;
  • Contactgegevens;
  • Geslacht;
  • IP-adres;
  • Betalingsgegevens;
  • Inloggegevens.

De categorieën betrokkenen zijn

  • (potentiële) klanten;
  • leveranciers;
  • werknemers.

De Verwerker garandeert dat de in deze Bijlage 1 van de Verwerkersovereenkomst beschreven persoonsgegevens en categorieën van betrokkenen volledig en juist zijn en vrijwaart de Verwerker voor alle tekortkomingen en aanspraken die voortvloeien uit een onjuiste weergave door de Verwerker.

Bijlage 1B: Beveiligingsmaatregelen

Verwerker heeft de volgende beveiligingsmaatregelen geïmplementeerd:

  • Logische toegangscontrole met behulp van sterke wachtwoorden;
  • IP-beperkingen ter bescherming van de toegang tot de database en bestanden bij Verwerker;
  • Encryptie (versleuteling) van persoonsgegevens die zijn opgeslagen in de database;
  • Organisatorische maatregelen voor toegangsbeveiliging;
  • Beveiliging van netwerkverbindingen met behulp van Transport Layer Security (TLS) technologie;
  • Vertrouwelijkheidsverplichtingen van werknemers en derden.