VERWERKERSOVEREENKOMST DOCUMENTENBOX VOOR ZAKELIJKE GEBRUIKERS
U bent als zakelijk geregistreerde gebruiker in deze overeenkomst verantwoordelijk (“de Verwerkingsverantwoordelijke”) voor de persoonsgegevens. Nessos B.V., gevestigd te Bunnik en in het kader van deze overeenkomst handelend onder de naam “documentenbox” is in de overeenkomst verwerker (“de Verwerker”) van de persoonsgegevens.
Hierna zullen beide partijen als Verwerkingsverantwoordelijke of Verwerker worden aangeduid. in aanmerking nemende dat:
- Verwerkingsverantwoordelijke de beschikking heeft over persoonsgegevens van diverse betrokkenen, zoals bedoeld in artikel 4 sub 1 van de Algemene Verordening Gegevensbescherming (hierna: “AVG”);
- Verwerkingsverantwoordelijke ten behoeve van de uitvoering van de overeenkomst(en) die met Verwerker is/zijn gesloten (hierna: “Overeenkomst(en)”) persoonsgegevens wil laten verwerken door Verwerker, teneinde het verwerken van deze (persoons)gegevens. Het betreft alle persoonsgegevens die Verwerkingsverantwoordelijke door Verwerker laat verwerken;
- Verwerkingsverantwoordelijke aangemerkt kan worden als Verwerkingsverantwoordelijke in de zin van artikel 4 sub 7 van de AVG;
- Verwerker aangemerkt kan worden als Verwerker in de zin van artikel 4 sub 8 AVG;
- Partijen, mede gelet op het vereiste uit artikel 28 lid 3 AVG hun rechten en plichten schriftelijk wensen vast te leggen middels deze Verwerkersovereenkomst (hierna: “Verwerkersovereenkomst”).
zijn als volgt overeengekomen:
Artikel 1. Doeleinden
1. Verwerker verbindt zich onder de voorwaarden van deze Verwerkersovereenkomst in opdracht van Verwerkingsverantwoordelijke persoonsgegevens te verwerken. Verwerking zal uitsluitend plaatsvinden in het kader van de opslag, en distributie van documenten conform bovenliggende Opdracht tussen Verwerkingsverantwoordelijke en Verwerker, plus die doeleinden die daarmee redelijkerwijs samenhangen of die met nadere instemming worden bepaald.
2. Verwerker heeft geen zeggenschap over het doel en de middelen voor de verwerking van persoonsgegevens. Verwerker neemt geen zelfstandige beslissingen over de ontvangst en het gebruik van de persoonsgegevens, de verstrekking aan derden en de duur van de opslag van persoonsgegevens.
3. De in opdracht van Verwerkingsverantwoordelijke te verwerken persoonsgegevens blijven eigendom van Verwerkingsverantwoordelijke en/of de betreffende betrokkenen.
Artikel 2. Verplichtingen Verwerker
1. Ten aanzien van de in artikel 1 genoemde verwerkingen zal Verwerker zorg dragen voor de naleving van de toepasselijke wet- en regelgeving, waaronder in ieder geval begrepen de wet- en regelgeving op het gebied van de bescherming van persoonsgegevens, zoals de AVG.
2. Verwerker zal Verwerkingsverantwoordelijke, op diens verzoek daartoe, informeren over de door haar genomen maatregelen aangaande haar verplichtingen onder deze Verwerkersovereenkomst.
3. De verplichtingen van de Verwerker die uit deze Verwerkersovereenkomst voortvloeien, gelden ook voor degenen die persoonsgegevens verwerken onder het gezag van Verwerker, waaronder begrepen maar niet beperkt tot werknemers, in de ruimste zin van het woord.
Artikel 3. Doorgifte van persoonsgegevens
1. Verwerker mag de persoonsgegevens verwerken in landen binnen de Europese Economische Ruimte. Doorgifte naar landen buiten de Europese Economische Ruimte is toegestaan, mits voldaan wordt aan Artikel 44 e.v. van de AVG (GDPR).
2. Voor het doorgeven van persoonsgegevens naar landen buiten de Europese Unie stelt de Verordening dat dit alleen mag als het door de Verordening geboden beschermingsniveau niet wordt ondermijnd. Dit is het geval als het land buiten de Europese Unie een adequaat niveau van gegevensbescherming kent.
3. Verwerker zal Verwerkingsverantwoordelijke, indien zij daarom expliciet verzoekt, melden in welk land of landen de persoonsgegevens worden verwerkt. Bij aangaan van deze Overeenkomst geldt dat de gegevens in Nederland en in Duitsland verwerkt worden.
Artikel 4. Verdeling van verantwoordelijkheid
1. Verwerker is louter verantwoordelijk voor de verwerking van de persoonsgegevens onder deze Verwerkersovereenkomst, overeenkomstig de instructies van Verwerkingsverantwoordelijke en onder de uitdrukkelijke (eind)verantwoordelijkheid van Verwerkingsverantwoordelijke. Voor de overige verwerkingen van persoonsgegevens, waaronder in ieder geval begrepen maar niet beperkt tot de verzameling van de persoonsgegevens door de Verwerkingsverantwoordelijke, verwerkingen voor doeleinden die niet door Verwerkingsverantwoordelijke aan Verwerker zijn gemeld, verwerkingen door derden en/of voor andere doeleinden, is Verwerker uitdrukkelijk niet verantwoordelijk.
2. Partijen zullen in hun respectievelijke rol van verwerkingsverantwoordelijke en verwerker de voor hen geldende verplichtingen uit de AVG nakomen. Verwerkingsverantwoordelijke zal Verwerker vrijwaren voor alle aanspraken van derden die het gevolg zijn van een schending van één of meer verplichtingen uit de AVG die gelden voor een verwerkingsverantwoordelijke. Verwerker zal Verwerkingsverantwoordelijke vrijwaren voor alle aanspraken van derden die het gevolg zijn van een schending van één of meer verplichtingen uit de AVG die gelden voor een verwerker.
3. Verwerkingsverantwoordelijke garandeert dat de inhoud, het gebruik en de opdracht tot de verwerkingen van de persoonsgegevens zoals bedoeld in de Verwerkersovereenkomst, niet onrechtmatig is en geen inbreuk maken op enig recht van derden, en vrijwaart Verwerker tegen alle aanspraken en claims die hiermee verband houden.
Artikel 5. Inschakelen van derden of onderaannemers
1. Verwerkingsverantwoordelijke geeft Verwerker hierbij toestemming om bij de verwerking van persoonsgegevens gebruik te maken van derden (sub-verwerkers) die in het kader van deze Verwerkersovereenkomst persoonsgegevens verwerken, met inachtneming van de toepasselijke privacywetgeving.
2. Op eerste verzoek van Verwerkingsverantwoordelijke verstrekt Verwerker aan Verwerkingsverantwoordelijke een lijst met namen van ingeschakelde derden die persoonsgegevens verwerken in het kader van deze Verwerkersovereenkomst. Op basis hiervan kan Verwerkingsverantwoordelijke op redelijke gronden bezwaar aantekenen tegen het inschakelen van deze derden. In dat geval treden partijen in overleg om tot een werkbare oplossing te komen.
3. Verwerker zorgt ervoor dat deze derden schriftelijk dezelfde plichten op zich nemen als tussen Verwerkingsverantwoordelijke en Verwerker is overeengekomen.
4. Bij het aangaan van deze Overeenkomst is de volgende subverwerker betrokken in de dienstverlening van verwerker:
d.Velop AG, Schildarpstrasse 6-8, 48712 Gescher, Duitsland
Artikel 6. Beveiliging en audit
1. Verwerker zal passende technische en organisatorische maatregelen nemen met betrekking tot de te verrichten verwerkingen van persoonsgegevens, tegen verlies of tegen enige vorm van onrechtmatige verwerking (zoals onbevoegde kennisname, aantasting, wijziging of verstrekking van de persoonsgegevens). De wijze van beveiliging is echter mede afhankelijk van de diensten die door Verwerkingsverantwoordelijke zijn afgenomen zoals omschreven in de Overeenkomst. Op verzoek van Verwerkingsverantwoordelijke overlegt Verwerker een overzicht van de genomen maatregelen, naar alle redelijkheid en voor zover relevant voor de dienstverlening en/of informatievergaring van Verwerkingsverantwoordelijke. Verwerker kan er, gezien de snelheid waarmee de techniek zich dagelijks ontwikkelt, niet voor instaan dat de beveiliging onder alle omstandigheden doeltreffend is.
2. Verwerkingsverantwoordelijke stelt enkel persoonsgegevens aan Verwerker ter beschikking voor verwerking, indien zij zich ervan heeft verzekerd dat de passende beveiligingsmaatregelen zijn getroffen.
3. Verwerker zal Verwerkingsverantwoordelijke ondersteunen bij de uitvoering van een Privacy Impact Assessment (hierna: ‘PIA’) of een voorafgaande raadpleging van de toezichthouder, mocht dit wettelijk verplicht zijn.
4. Verwerkingsverantwoordelijke heeft het recht om een audit uit te laten voeren door een onafhankelijke auditor die aan geheimhouding is gebonden, ter controle van naleving van de afspraken uit deze Verwerkersovereenkomst omtrent de beveiliging van de persoonsgegevens die Verwerker ten behoeve van Verwerkingsverantwoordelijke verwerkt.
5. Verwerkingsverantwoordelijke zal de wens voor het uitvoeren van de audit vooraf, met inachtneming van een termijn van minimaal vier weken, aankondigen aan Verwerker. Verwerker zal vervolgens een beschikbare datum, die niet later dan vier weken na de aankondiging van Verwerkingsverantwoordelijke plaatsvindt, voor de uitvoering van de audit doorgeven aan Verwerkingsverantwoordelijke.
6. De audit zal zodanig worden uitgevoerd dat de bedrijfsvoering van Verwerker zo min mogelijk wordt verstoord.
7. De bevindingen naar aanleiding van de uitgevoerde audit zullen door Partijen in onderling overleg worden beoordeeld en, naar aanleiding daarvan, voor zover dat redelijk is in het kader van de uitvoering van de Overeenkomst al dan niet worden doorgevoerd door één van de Partijen of door beide Partijen gezamenlijk. Partijen zullen de uitkomsten en bevindingen van de audit vertrouwelijk behandelen.
8. De kosten voor de audit zoals omschreven in lid 1 worden gedragen door Verwerkingsverantwoordelijke. Tevens worden de kosten voor de inzet van de Compliance Officers van Verwerker gedurende de audit gedragen door Verwerkingsverantwoordelijke. Indien uit de controle blijkt dat Verwerker materieel tekortschiet in de nakoming van deze Verwerkersovereenkomst, komen de redelijke kosten voor rekening van Verwerker.
Artikel 7. Afhandeling verzoeken van betrokkenen
1. In het geval dat een betrokkene een verzoek tot uitoefening van zijn/haar wettelijke rechten,
zoals opgenomen in de AVG, richt aan Verwerker, zal Verwerker dit verzoek doorsturen aan
Verwerkingsverantwoordelijke.
2. Verwerkingsverantwoordelijke zal het verzoek vervolgens verder zelfstandig afhandelen. Indien blijkt dat de Verwerkingsverantwoordelijke hulp benodigd heeft van de Verwerker voor de uitvoering van een verzoek van een betrokkene, dan kan de Verwerker hiervoor kosten in rekening brengen.
Artikel 8. Meldplicht
1. In het geval dat Verwerker een inbreuk in verband met persoonsgegevens, zoals bedoeld in de AVG, zal Verwerker zich naar beste kunnen inspannen om Verwerkingsverantwoordelijke daarover zo spoedig mogelijk te informeren, doch uiterlijk binnen 48 uur nadat Verwerker kennisneemt van de inbreuk, naar aanleiding waarvan Verwerkingsverantwoordelijke beoordeelt of zij de toezichthouder en/of de betrokkenen zal informeren of niet. Verwerkingsverantwoordelijke is en blijft verantwoordelijk voor een eventuele wettelijke verplichtingen daartoe.
2. De meldplicht behelst in ieder geval het melden van het feit dat er een lek is geweest, alsmede, voor zover bekend bij Verwerker:
wat de (vermeende) oorzaak is van het lek;
- wat het (vooralsnog bekende en/of te verwachten) gevolg is;
- het aantal gegevens die zijn gelekt;
- de datum waarop het lek heeft plaatsgevonden (indien geen exacte datum bekend is: de
- periode waarbinnen het lek heeft plaatsgevonden);
- de datum en het tijdstip waarop het lek bekend is geworden bij Verwerker of bij een door
- hem ingeschakelde derde/onderaannemer;
- of de gegevens versleuteld, gehasht of op een andere manier onbegrijpelijk of ontoegankelijk
- zijn gemaakt voor onbevoegden;
- wat de voorgenomen en/of reeds ondernomen maatregelen zijn om het lek te dichten en om
- de gevolgen van het lek te beperken.
3. Een melding door Verwerker aan Verwerkingsverantwoordelijke moet alleen worden gedaan als de gebeurtenis zich daadwerkelijk voorgedaan heeft. Verwerkingsverantwoordelijke is en blijft
zelfstandig verantwoordelijk voor een eventuele melding richting de toezichthouder en/of de betrokkenen.
4. Indien de wet- en/of regelgeving dit vereist zal Verwerker, tegen vergoeding van de kosten die zij daarvoor maakt, meewerken aan het informeren van de ter zake relevante autoriteiten en eventueel betrokkenen.
Artikel 9. Geheimhouding en vertrouwelijkheid
1. Op alle persoonsgegevens die Verwerker van Verwerkingsverantwoordelijke ontvangt in het kader van deze Verwerkersovereenkomst, rust een geheimhoudingsplicht jegens derden. Deze geheimhoudingsplicht blijft ook gelden na beëindiging van deze overeenkomst.
2. Deze geheimhoudingsplicht is niet van toepassing voor zover Verwerkingsverantwoordelijke uitdrukkelijke toestemming heeft gegeven om de informatie aan derden te verschaffen, indien het verstrekken van de informatie aan derden logischerwijs noodzakelijk is gezien de aard van de verstrekte opdracht en de uitvoering van deze Verwerkersovereenkomst of indien er een wettelijke verplichting bestaat om de informatie aan een derde te verstrekken.
Artikel 10. Duur en beëindiging
1. Deze Verwerkersovereenkomst is aangegaan voor de duur zoals bepaald in de Overeenkomst, en bij gebreke daarvan voor de duur van de samenwerking.
2. De Verwerkersovereenkomst kan tussentijds niet worden opgezegd.
3. Partijen mogen deze Verwerkersovereenkomst alleen wijzigen met wederzijdse instemming.
4. Zodra deze Verwerkersovereenkomst, om welke reden en op welke wijze dan ook, is beëindigd, zal Verwerkingsverantwoordelijke alle persoonsgegevens die Verwerker in bezit heeft zo snel mogelijk verwijderen en/of vernietigen door verwijderen van zijn account, tenzij Partijen anders zijn overeengekomen. Het documentenplatform van Verwerker biedt hier functionaliteit voor waarbij na opdracht alle gegevens na uiterlijk 48 uur vernietigd zullen worden.
Artikel 11. Overige bepalingen
1. De Verwerkersovereenkomst en de uitvoering daarvan worden beheerst door Nederlands recht.
2. Indien één of meer bepalingen van de Verwerkersovereenkomst niet rechtsgeldig blijkt te zijn, zal de Verwerkersovereenkomst voor het overige van kracht blijven. Partijen overleggen alsdan over de bepalingen welke niet rechtsgeldig zijn, teneinde een vervangende regeling te treffen die wel rechtsgeldig is en zoveel mogelijk aansluit bij de strekking van de te vervangen regeling.
3. Indien de privacywetgeving wijzigt, zullen partijen meewerken deze Verwerkersovereenkomst aan te passen teneinde aan deze wetgeving te kunnen (blijven) voldoen.
4. Partijen komen uitdrukkelijk overeen dat ten aanzien van aansprakelijkheid de normale wettelijke regeling geldt.
