Verwerkersovereenkomst
D2P Web B.V.
D2P Web B.V.
De Slof 30 A
5107 RJ DONGEN
Classificatie : IX3
Versie : 2.5
2
Inleiding
In het kader van de Europese wetgeving de Algemene Verordening Gegevensbescherming (AVG) die
vanaf 25 mei 2018 van kracht is, heeft D2P Web B.V. in haar hoedanigheid als internetdienstverlener
op het gebied van internetdiensten de rol van ‘Verwerker’. De Opdrachtgever heeft de rol van
‘Verwerkingsverantwoordelijke’.
Overwegingen
a. Verwerker levert diensten aan Verwerkingsverantwoordelijke of zal die leveren.
b. Verwerker en Verwerkingsverantwoordelijke zijn voor deze diensten een Overeenkomst
overeengekomen, waarin de inhoud van de verplichtingen over en weer zijn vastgelegd.
c. Verwerker zal bij het uitvoeren van de Overeenkomst persoonsgegevens beheren en verwerken
waarvoor Verwerkingsverantwoordelijke verantwoordelijk is in de zin van de Algemene
Verordening Gegevensbescherming en waarvoor Verwerker de Verwerker is in de zin van de AVG.
d. Verwerkingsverantwoordelijke zal persoonsgegevens aan Verwerker verstrekken, althans
Verwerker zal deze persoonsgegevens onder verantwoordelijkheid van
Verwerkingsverantwoordelijke verkrijgen.
e. Partijen willen, gelet op de AVG, de voorwaarden van het beheer en de verwerking van deze
persoonsgegevens vastleggen.
f. In het kader van de Verwerkersovereenkomst geldt als het “ver‐ of bewerken van
persoonsgegevens”: elke handeling waarbij feitelijke macht of invloed, al dan niet via een
computersysteem, wordt uitgeoefend over persoonsgegevens, waaronder:
‐ verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen en/ of
gebruiken;
‐ de opslag en het beheer van databestanden;
‐ verstrekken door middel van doorzending;
‐ verspreiding of enige andere vorm van terbeschikkingstelling;
‐ het afschermen van gegevens;
‐ uitwissen of vernietigen van gegevens
3
Artikel 1 Definities
AP: Autoriteit Persoonsgegevens
AVG: Algemene Verordening Gegevensbescherming
Betrokkene: degene op wie een Persoonsgegeven betrekking heeft
Incident: een beveiligingsincident waarbij Persoonsgegevens verloren
zijn gegaan, of waarbij onrechtmatige verwerking van
Persoonsgegevens redelijkerwijs niet uit te sluiten is.
Opdracht: alle dienstverlening van Verwerker aan
Verwerkingsverantwoordelijke en iedere andere vorm van
samenwerking waarbij Verwerker persoonsgegevens
verwerkt waarvoor Verwerkingsverantwoordelijke
verantwoordelijk is in de zin van de AVG, ongeacht het
rechtskarakter van de Overeenkomst waaronder dat
geschiedt.
Overeenkomst: de Overeenkomst tussen Leverancier en Opdrachtgever
omvat de Orderbevestiging, de Dienstbeschrijving, de
Algemene Voorwaarden en de eventuele
Raamovereenkomst, die gezamenlijk de volledige weergave
van de rechten en verplichtingen van partijen bevatten.
Persoonsgegevens: elke gegeven betreffende een geïdentificeerd of
identificeerbare natuurlijke persoon.
Verwerker: de partij die verwerkingen in opdracht uitvoert, zijnde
D2P Web B.V.
Verwerkingsverantwoordelijke: de partij die het doel en de middelen van een verwerking
bepaalt (zijnde de Opdrachtgever).
Artikel 2 Onderwerp
2.1 Verwerker en Verwerkingsverantwoordelijke zullen handelen conform de AVT (regelgeving ter
vervanging van de Wet bescherming persoonsgegevens) en zijn beiden op de hoogte van de
verplichtingen met betrekking tot het verwerken van dergelijke gegevens als neergelegd in deze
regelgevingen in de beleidsregels inzake de Meldplicht datalekken.
2.2 Verwerkingsverantwoordelijke heeft en houdt volledige zeggenschap over de Persoonsgegevens.
2.3 Verwerker verwerkt de Persoonsgegevens op behoorlijke en zorgvuldige wijze.
2.4 Verwerker verwerkt de Persoonsgegevens uitsluitend voor de Opdracht en conform de instructies
van Verwerkingsverantwoordelijke, in overeenstemming met de door Verwerkingsverantwoordelijke
bepaalde doeleinden en middelen en met inachtneming van de door Verwerkingsverantwoordelijke
vastgestelde bewaartermijnen.
4
2.5 Verwerker zal onder geen omstandigheid de Persoonsgegevens verder verwerken dan hiervoor
bepaald. Verwerker zal, bijvoorbeeld, de Persoonsgegevens niet voor eigen doeleinden of die van
derden verwerken noch de Persoonsgegevens aan derden verstrekken.
2.6 Het voorgaande lid vindt geen toepassing in de gevallen waarin verstrekking noodzakelijk is op
basis van een wettelijke plicht dan wel bevel van een gerechtelijke of bestuurlijke instantie.
Verwerkingsverantwoordelijke zal alsdan van een voorgenomen verstrekking op voorhand worden
geïnformeerd teneinde hem in de gelegenheid te stellen een rechtsmiddel in te stellen en/of andere
maatregelen te treffen.
2.7 Verwerkingsverantwoordelijke garandeert dat voor de verwerking door Verwerker een wettelijke
grondslag aanwezig is, dat de verwerking voor zover noodzakelijk is aangemeld bij de AP, en dat zijn
instructies aan Verwerker leiden tot een verwerking door Verwerker die in overeenstemming is met
de in artikel 2.1 genoemde regelgeving. Verwerkingsverantwoordelijke vrijwaart Verwerker voor
aanspraken van derden die verband houden met onrechtmatige verwerking van Persoonsgegevens
c.q. schending van de van toepassing zijnde wetgeving door Verwerkingsverantwoordelijke
betreffende de verwerking van Persoonsgegevens.
2.8 Verwerkingsverantwoordelijke deelt eventuele wijzigingen in wet‐ en regelgeving ter zake de
verwerking van Persoonsgegevens en de (gewijzigde/nieuwe) voorwaarden die daaraan worden
gesteld aan Verwerker mee en draagt zorg voor gewijzigde instructies en aanwijzingen ter zake.
Artikel 3 Beveiligingsmaatregelen
3.1 Verwerker neemt passende technische en organisatorische maatregelen om de
Persoonsgegevens adequaat te beveiligen en beveiligd te houden tegen verlies of enige vorm van
onzorgvuldig, ondeskundig of onrechtmatige gebruik of verwerking, waarbij rekening wordt
gehouden met de stand van de techniek en de aard van de Persoonsgegevens.
3.2 Verwerker zorgt ervoor dat het personeel dat betrokken is bij beheer en/of verwerking van
Persoonsgegevens, de in de Verwerkersovereenkomst opgenomen verplichtingen van Verwerker
kent en verplicht is die na te komen.
3.3 Indien Verwerker tekortschiet in het nemen van passende technische en organisatorische
beveiligingsmaatregelen en vervolgens – na per aangetekend schrijven gedetailleerd in kennis te zijn
gesteld van de gewenste maatregelen door Verwerkingsverantwoordelijke – Verwerker nalaat
binnen een door Verwerkingsverantwoordelijke gestelde redelijke termijn de gewenste maatregelen
te treffen, dan is Verwerkingsverantwoordelijke gerechtigd, onverminderd diens overige rechten uit
de Verwerkersovereenkomst en/of uit de wet, deze maatregelen op kosten van
Verwerkingsverantwoordelijke door een derde bij Verwerker uit te laten voeren indien dit de
(commerciële) belangen van Verwerker niet onredelijk schaadt. Alsdan zal de Verwerker aan het
uitvoeren van de maatregelen diens medewerking verlenen voor zover dit redelijkerwijs van
Verwerker kan worden verlangd.
3.4 Verwerker zal Verwerkingsverantwoordelijke onmiddellijk – doch uiterlijk binnen 24 uur –
gedetailleerd op de hoogte stellen van ieder Incident. Verwerker zal Verwerkingsverantwoordelijke
zowel schriftelijk als mondeling op de hoogte brengen. Wijzigingen in contactgegevens van
Verwerkingsverantwoordelijke worden door de Verwerkingsverantwoordelijke per brief en/of per
e‐mail aan Verwerker medegedeeld.
5
3.5 Verwerkingsverantwoordelijke is verplicht om een aangemeld Incident in behandeling te nemen
en te beoordelen. In het geval zich een Incident voordoet zal Verwerker de
Verwerkingsverantwoordelijke doorlopend op de hoogte houden van eventuele nieuwe
ontwikkelingen rond het Incident, en van de maatregelen die de Verwerker treft om aan zijn kant de
gevolgen van het Incident te beperken en herhaling te voorkomen. Redelijke aanwijzingen van de
Verwerkingsverantwoordelijke (al dan niet tot stand gekomen mede op aanwijzen van de AP), zullen
door de Verwerker worden opgevolgd.
3.6 Verwerkingsverantwoordelijke kwalificeert een Incident, doet de eventuele melding daarvan bij
de AP en/of Betrokkene(n) en is het aanspreekpunt in de opeenvolgende correspondentie met de AP
en/of Betrokkene(n). De Verwerker verleent medewerking aan de eventuele melding en
opeenvolgende correspondentie, onder meer door te voldoen aan datgene wat is bepaald in artikel
3.5.
Artikel 4 Inschakeling derden
4.1 Verwerker is niet gerechtigd bij de verwerking van de Persoonsgegevens een derde in te
schakelen zonder voorafgaande schriftelijke toestemming van Verwerkingsverantwoordelijke. Indien
de derde tenminste dezelfde verplichtingen op zich neemt als opgenomen voor Verwerker in de
Verwerkersovereenkomst dan zal Verwerkingsverantwoordelijke diens toestemming niet onthouden
op onredelijke gronden. Verwerkingsverantwoordelijke kan aan diens toestemming nadere
voorwaarden ter zake de verwerking van persoonsgegevens verbinden die door Verwerker
vervolgens aan de derde moeten worden opgelegd.
4.2 Indien de derde die Verwerker wil inschakelen buiten de EU gevestigd, garandeert Verwerker,
onverminderd het voorgaande lid, dat deze derde een passend niveau van bescherming en veiligheid
van persoonsgegevens waarborgt in de zin van de AVG en overlegt Verwerker daarvan bewijs aan
Verwerkingsverantwoordelijke.
4.3 Verwerker blijft in de verhouding tussen partijen altijd aanspreekpunt en volledig
verantwoordelijk en aansprakelijk voor de naleving van de bepalingen uit de
Verwerkersovereenkomst, inclusief de naleving van de nadere voorwaarden als bedoeld in het
voorgaande lid.
Artikel 5 Geheimhoudingsplicht
5.1 Verwerker houdt de Persoonsgegevens geheim, tenzij deze voor een opdracht benodigd zijn om
bij derden te gebruiken, zoals het registeren van domeinnamen.
5.2 Verwerker zorgt dat zijn personeel gebonden is aan de in dit artikel opgenomen
geheimhoudingsplicht en dat Verwerker van die gebondenheid schriftelijk bewijs bezit.
5.3 Verwerker zal Verwerkingsverantwoordelijke onmiddellijk op de hoogte stellen van ieder verzoek
tot kennisneming, verstrekking of andere vorm van opvragen en mededeling van de
Persoonsgegevens indien het gehoor geven aan het betreffende verzoek in strijd is met dit artikel
opgenomen geheimhoudingsplicht.
6
Artikel 6 Vernietiging en back‐up
6.1 Verwerker stelt de Persoonsgegevens die voor Verwerkingsverantwoordelijke worden verwerkt
uit hoofde van de Opdracht, op eerste verzoek van Verwerkingsverantwoordelijke, doch uiterlijk
binnen tien werkdagen na het einde van de Overeenkomst of het einde van de Opdracht, ter
beschikking aan Verwerkingsverantwoordelijke in een voor Verwerker gebruikelijk bestandsformaat.
Verwerker is op grond van de Verwerkersovereenkomst niet gehouden tot conversie of migratie van
gegevens. De kosten verband houdende met een ter beschikking stelling van deze gegevens indien
niet verband houdende met het einde van de Opdracht, worden door Verwerkingsverantwoordelijke
gedragen.
6.2 Verwerker is verplicht alle Persoonsgegevens op eerste verzoek van
Verwerkingsverantwoordelijke volledig en onherroepelijk te verwijderen.
6.3 Indien na het einde van de Overeenkomst vast staat dat Verwerkingsverantwoordelijke alle
Persoonsgegevens in bezit heeft, verwijdert Verwerker alle Persoonsgegevens volledig en
onherroepelijk binnen veertien dagen nadat door partijen is vastgesteld dat
Verwerkingsverantwoordelijke de Persoonsgegevens bezit.
6.4 Verwerker kan afwijken van het in beide voorgaande leden bepaalde, voor zover ten aanzien van
Persoonsgegevens een wettelijke bewaartermijn en/of andere wettelijke plicht zou gelden en/of
voor zover dat noodzakelijks is om tegenover Verwerkingsverantwoordelijke nakoming van zijn
verbintenissen te bewijzen.
Artikel 7 Recht van inzage, correctie en verzet van Betrokkene
7.1 Verwerker draagt ervoor zorg dat Betrokkene al zijn rechten uit de in artikel 2.1 opgenomen
regelgeving kan uitoefenen. De kosten voor het voldoen aan verzoeken van Betrokkene worden door
Verwerkingsverantwoordelijke gedragen.
7.2 Verwerker zal verder op eerste verzoek van Verwerkingsverantwoordelijke zo spoedig mogelijk,
doch uiterlijk binnen vijf werkdagen nadat daartoe een verzoek is gedaan, overgaan tot:
a. het schriftelijk verstrekken van alle benodigde informatie die
Verwerkingsverantwoordelijke nodig mocht hebben met betrekking tot het recht van inzage,
correctie en verzet van Betrokkene;
b. het verbeteren, aanvullen, verwijderen of afschermen van Persoonsgegevens.
7.3 De verzoeken van Betrokkene gedaan direct aan de Verwerker worden eerst aan
Verwerkingsverantwoordelijke doorgeleid. Verwerker kan daarvan mededeling doen aan de
Betrokkene.
7
Artikel 8 Aansprakelijkheid
8.1 Verwerker is aansprakelijk voor‐ en vrijwaart Verwerkingsverantwoordelijke voor schade als
gevolg van een verzuim van de Verwerker aangaande zijn verplichtingen opgenomen in de
Verwerkersovereenkomst (waaronder inbegrepen een overtreding van de op de Verwerker uit
hoofde van de AVG rustende verplichtingen), waarbij de aansprakelijkheid / vrijwaring beperkt is tot:
Een bedrag maximaal gelijk aan het ter zake de Overeenkomst door Verwerker in de maand
waarin het verzuim is ontstaan aan Verwerkingsverantwoordelijke gefactureerde bedrag.
8.2 Enige uitsluiting van aansprakelijkheid geldt niet voor gevallen waarin sprake is van schade als
gevolg van opzet dan wel van bewuste roekeloosheid van Verwerker en/of diens medewerkers.
Artikel 9 Controle
9.1 Verwerkingsverantwoordelijke heeft het recht de naleving van de bepalingen van de
Verwerkersovereenkomst ten hoogste eenmaal per jaar te controleren.
Verwerkingsverantwoordelijke kan dat na toestemming van Verwerker daartoe zelf uitvoeren.
9.2 Verwerkeringsverantwoordelijke draagt de kosten van controle. Indien uit de controle blijkt dat
Verwerker materieel tekortschiet in de nakoming van de Verwerkersovereenkomst, dan komen de
redelijke, voldoende gespecificeerde, en direct met het onderzoek verband houdende kosten (met
uitzondering van de kosten van het personeel van Verwerkingsverantwoordelijke) voor rekening van
Verwerker, onverminderd de overige rechten van Verwerkingsverantwoordelijke. Indien Verwerker
tekortschiet doch de tekortkomingen zijn niet materieel, dan zal Verwerker die tekortkomingen op zo
kort mogelijke termijn naar eigen inzicht en inschatting verhelpen.
9.3 Een controle mag de bedrijfsactiviteiten van Verwerker niet onnodig verstoren.
9.4 Verwerkingsverantwoordelijke zal de controle minimaal tien dagen voor aanvang schriftelijk
aankondigen aan Verwerker, voorzien van een omschrijving op welke onderdelen de controle ziet,
welke personen de controle uitvoeren, en het controleproces.
9.5 Indien Verwerker zelf de naleving van de Verwerkersovereenkomst laat controleren door een
onafhankelijke daartoe gecertificeerde partij, verstrekt Verwerker daarvan de eindresultaten aan
Verwerkingsverantwoordelijke.
8
Artikel 10 Overig
10.1 Wijzingen in deze Verwerkersovereenkomst (zijnde versie 3.0 d.d. februari 2018) zullen één
maand voorafgaande de wijziging(en) gecommuniceerd worden aan Opdrachtnemer.
10.2 De Verwerkersovereenkomst duurt zolang de Opdracht duurt. De bepalingen van de
Verwerkersovereenkomst blijven gelden voor zover nodig voor de afwikkeling van de
Verwerkersovereenkomst en voor zover die bedoeld zijn het einde van de Verwerkersovereenkomst
te overleven. Tot die laatste categorie bepalingen behoren onder meer, zonder daartoe te zijn
beperkt, de bepalingen omtrent geheimhouding en geschillen.
10.3 Verwerker is niet gerechtigd de nakoming van zijn verplichtingen uit de
Verwerkersovereenkomst op te schorten, te verrekenen of afhankelijk te stellen van enige actie of
verklaring van Verwerkingsverantwoordelijke. Verzuim van Verwerkingsverantwoordelijke bij de
Opdracht of vernietiging van de Overeenkomst op basis waarvan de Opdracht wordt uitgevoerd, kan
op geen enkele manier leiden tot het niet nakomen van de verplichtingen van Verwerker onder de
Verwerkersovereenkomst.
10.4 De Verwerkersovereenkomst prevaleert boven alle overige Overeenkomsten tussen
Verwerkingsverantwoordelijke en Verwerker voor zover en indien in deze Overeenkomst bepalingen
zijn opgenomen ter zake de verwerking van Persoonsgegevens.
10.5 Op de Verwerkersovereenkomst is uitsluitend Nederlands recht van toepassing.
10.6 Partijen zullen hun geschillen verband houdende met de Verwerkersovereenkomst uitsluitend
voorleggen aan de Nederlandse rechter. De bevoegde Nederlandse rechter is de rechter van het
arrondissement waarin Verwerkingsverantwoordelijke is gevestigd.
Dongen, april 2018
D2P Web B.V.