Verwerkersovereenkomst

Deze verwerkersovereenkomst maakt integraal onderdeel uit van de overeenkomsten tussen de Afnemer en i3D.net. i3D.net is de Verwerker van de persoonsgegevens en Afnemer is Verwerkingsverantwoordelijke voor de persoonsgegevens.


1. Doeleinden van verwerking

1.1 Verwerker verbindt zich onder de voorwaarden van deze Verwerkersovereenkomst in opdracht van Verwerkingsverantwoordelijke persoonsgegevens te verwerken. Verwerking zal uitsluitend plaatsvinden in het kader van het in de 'cloud' opslaan van gegevens van Verwerkingsverantwoordelijke, de bijbehorende onlinediensten, colocatie, plus die doeleinden die daarmee redelijkerwijs samenhangen of die met nadere instemming worden bepaald.
1.2 Verwerkingsverantwoordelijke bepaalt zelf welke soorten persoonsgegevens zij door Verwerker laat verwerken en derhalve ook op welke (categorieën van) betrokkenen de persoonsgegevens betrekking hebben; Verwerker oefent hier geen invloed op uit. Het betreft in ieder geval persoonsgegevens van klanten van Verwerkingsverantwoordelijke, en medewerkers van Verwerkingsverantwoordelijke, die door Afnemer bij Verwerker worden opgeslagen. Verwerker zal de persoonsgegevens niet voor enig ander doel verwerken dan zoals door Verwerkingsverantwoordelijke is vastgesteld. Verwerkingsverantwoordelijke zal Verwerker op de hoogte stellen van de verwerkingsdoeleinden voor zover deze niet reeds in deze Verwerkersovereenkomst zijn genoemd.
1.3 De in opdracht van Verwerkingsverantwoordelijke te Verwerken persoonsgegevens blijven eigendom van Verwerkingsverantwoordelijke en/of de betreffende betrokkenen.


2. Verplichtingen Verwerker

2.1 Ten aanzien van de in artikel 1 genoemde verwerkingen zal Verwerker zorg dragen voor de naleving van de toepasselijke wet- en regelgeving, waaronder in ieder geval begrepen de wet- en regelgeving op het gebied van de bescherming van persoonsgegevens, zoals de Algemene Verordening Gegevensbescherming.
2.2 Verwerker zal Verwerkingsverantwoordelijke, op diens eerste verzoek daartoe, informeren over de door haar genomen maatregelen aangaande haar verplichtingen onder deze Verwerkersovereenkomst.
2.3 De verplichtingen van de Verwerker die uit deze Verwerkersovereenkomst voortvloeien, gelden ook voor degenen die persoonsgegevens verwerken onder het gezag van Verwerker, waaronder begrepen maar niet beperkt tot werknemers, in de ruimste zin van het woord.
2.4 De Verwerker zal de Verwerkingsverantwoordelijke in kennis stellen indien naar zijn mening een instructie van de Verwerkingsverantwoordelijke in strijd is met de in lid 1 bedoelde wetgeving.


3. Doorgifte van persoonsgegevens

3.1 Verwerker mag de persoonsgegevens verwerken in landen binnen de Europese Unie. Daarnaast mag Verwerker de persoonsgegevens ook doorgeven naar een land buiten de Europese Unie, mits Verwerker zorg draagt voor een passend beschermingsniveau en ze voldoet aan de overige verplichtingen die op haar rusten op grond van deze Verwerkersovereenkomst en de Algemene Verordening Gegevensbescherming.
3.2 Verwerker zal op verzoek van Verwerkingsverantwoordelijke melden om welk land of welke landen het gaat.
3.3 In het bijzonder zal Verwerker bij het bepalen van een passend beschermingsniveau rekening houden met de duur van de voorgenomen verwerking, het land van herkomst en het land van eindbestemming, de algemene en sectoriële rechtsregels die in het betreffende land gelden, alsmede de regels van het beroepsleven en de veiligheidsmaatregelen die in die landen worden nageleefd.


4. Verdeling van verantwoordelijkheid

Een melding wordt bij voorkeur pas gedaan nadat aannemelijk is dat de melder en de inhoudsaanbieder niet tot overeenstemming (kunnen) komen. De melder is verantwoordelijk voor het doen van juiste en volledige meldingen.
4.1 Verwerker stelt ten behoeve van de verwerkingen ICT-middelen ter beschikking die door Verwerkingsverantwoordelijke te gebruiken zijn voor de hierboven genoemde doelen. Verwerker verricht zelf alleen op basis van aparte afspraken verwerkingen.
4.2 Verwerker is louter verantwoordelijk voor de verwerking van de persoonsgegevens onder deze Verwerkersovereenkomst, overeenkomstig de instructies van Verwerkingsverantwoordelijke en onder de uitdrukkelijke (eind-)verantwoordelijkheid van Verwerkingsverantwoordelijke. Voor de overige verwerkingen van persoonsgegevens, waaronder in ieder geval begrepen, maar niet beperkt tot, de verzameling van de persoonsgegevens door de Verwerkingsverantwoordelijke, verwerkingen voor doeleinden die niet door Verwerkingsverantwoordelijke aan Verwerker zijn gemeld, verwerkingen door derden en/of voor andere doeleinden, is Verwerker uitdrukkelijk niet verantwoordelijk.:
4.3 Verwerkingsverantwoordelijke garandeert dat de inhoud, het gebruik en de opdracht tot de verwerkingen van de persoonsgegevens zoals bedoeld in de Overeenkomst, niet onrechtmatig is en geen inbreuk maken op enig recht van derden.


5. Inschakelen van derden of onderaannemers (subverwerkers)

5.1 Verwerker maakt gebruik van de derden, welke op aanvraag beschikbaar zijn en waarvoor Verwerkingsverantwoordelijke hierbij toestemming geeft. In geval van nieuwe derden, zal Verwerker Verwerkingsverantwoordelijke daarover in kennis stellen. In het geval dat Verwerkingsverantwoordelijke gegronde bezwaren heeft tegen het inschakelen van de derde dient er in onderling overleg worden gezocht naar een passende oplossing. Indien partijen niet tot een passende oplossing kunnen komen, mag de Verwerkingsverantwoordelijk de Overeenkomst opzeggen wanneer het gebruik van een specifieke gemelde derde onaanvaardbaar voor haar is.
5.2 Verwerker zorgt er in ieder geval voor dat deze derden schriftelijk soortgelijke plichten op zich nemen als tussen Verwerkingsverantwoordelijke en Verwerker zijn overeengekomen.
5.3 Verwerker staat in voor een correcte naleving van de plichten uit deze Verwerkersovereenkomst door deze derden en is bij fouten van deze derden zelf aansprakelijk voor alle schade alsof zij zelf de fout(en) heeft begaan.


6. Beveiliging

6.1 Verwerker zal zich inspannen voldoende technische en organisatorische maatregelen te nemen met betrekking tot de te verrichten verwerkingen van persoonsgegevens, tegen verlies of tegen enige vorm van onrechtmatige verwerking (zoals onbevoegde kennisname, aantasting, wijziging of verstrekking van de persoonsgegevens).
6.2 Verwerker staat er niet voor in dat de beveiliging onder alle omstandigheden doeltreffend is. Indien een uitdrukkelijk omschreven beveiliging in de Overeenkomst ontbreekt, zal Verwerker zich inspannen de beveiliging te laten voldoen aan een niveau dat, gelet op de stand van de techniek, de gevoeligheid van de persoonsgegevens en de aan het treffen van de beveiliging verbonden kosten, niet onredelijk is.


7. Meldplicht

7.1 Verwerkingsverantwoordelijke is te allen tijde verantwoordelijk voor het melden van een datalek (waaronder wordt verstaan: een inbreuk op de beveiliging van persoonsgegevens die leidt tot een kans op nadelige gevolgen, dan wel nadelige gevolgen heeft, voor de bescherming van persoonsgegevens) aan de toezichthouder en/of betrokkenen. Om Verwerkingsverantwoordelijke in staat te stellen aan deze wettelijke plicht te voldoen, stelt Verwerker de Verwerkingsverantwoordelijke onverwijld op de hoogte van een datalek nadat zij dat heeft ontdekt en dat betrekking heeft op de persoonsgegevens die ten behoeve van Verwerkingsverantwoordelijke door Verwerker worden verwerkt.
7.2 De meldplicht behelst in ieder geval het melden van het feit dat er een lek is geweest. Daarnaast behelst de meldplicht:
•    wat de (vermeende) oorzaak is van het lek;
•    wat de (vermeende) oorzaak is van het lek;
•    wat de (voorgestelde) oplossing is.


8. Afhandeling verzoeken van betrokkenen

In het geval dat een betrokkene op grond van de wet een verzoek tot inzage, verbetering, aanvulling, wijziging, afscherming, gegevenswissing of dataportabiliteit richt aan Verwerker, zal Verwerker het verzoek doorsturen aan Verwerkingsverantwoordelijke, en zal Verwerkingsverantwoordelijke het verzoek verder afhandelen. Verwerker mag de betrokkene daarvan op de hoogte stellen.


9. Geheimhouding en vertrouwelijkheid

9.1 Op alle persoonsgegevens die Verwerker van Verwerkingsverantwoordelijke ontvangt en/of zelf verzamelt in het kader van deze Verwerkersovereenkomst, rust een geheimhoudingsplicht jegens derden. Verwerker zal deze informatie niet voor een ander doel gebruiken dan waarvoor zij deze heeft verkregen.
9.2 Deze geheimhoudingsplicht is niet van toepassing voor zover Verwerkingsverantwoordelijke uitdrukkelijke toestemming heeft gegeven om de informatie aan derden te verschaffen, indien het verstrekken van de informatie aan derden logischerwijs noodzakelijk is gezien de aard van de verstrekte opdracht en de uitvoering van deze Verwerkersovereenkomst, of indien er een wettelijke verplichting bestaat om de informatie aan een derde te verstrekken.


10. Audit

10.1 Verwerkingsverantwoordelijke heeft het recht om een audit bij Verwerker uit te laten voeren door een onafhankelijke Register EDP Auditor die aan geheimhouding is gebonden, ter controle van naleving van de afspraken uit deze Verwerkersovereenkomst omtrent de beveiliging van de persoonsgegevens die Verwerker ten behoeve van Verwerkingsverantwoordelijke verwerkt.
10.2 Deze audit vindt uitsluitend plaatst bij een concreet en gegrond vermoeden van misbruik van persoonsgegevens, en pas nadat Verwerkingsverantwoordelijke de bij Verwerker aanwezige soortgelijke rapportages heeft opgevraagd, beoordeeld en redelijke argumenten aanbrengt die een door Verwerkingsverantwoordelijke geïnitieerde audit alsnog rechtvaardigen. Een dergelijke audit wordt gerechtvaardigd wanneer de bij Verwerker aanwezige soortgelijke rapportages geen of onvoldoende uitsluitsel geven over het naleven van deze Verwerkersovereenkomst door Verwerker. Verwerkingsverantwoordelijke zal de audit vooraf, met inachtneming van een termijn van minimaal twee weken, aankondigen aan Verwerker.
10.3 De bevindingen naar aanleiding van de uitgevoerde audit zullen door Partijen in onderling overleg worden beoordeeld en, naar aanleiding daarvan, al dan niet worden doorgevoerd door een van de Partijen of door beide Partijen gezamenlijk.
10.4 Voor zover mogelijk en redelijk verleent Verwerker medewerking aan Veerwerkingsverantwoordelijke bij de uitvoering van een gegevensbeschermingseffectbeoordeling.
10.5 De kosten voor de audit zoals omschreven in lid 1 en 4 worden gedragen door Verwerkingsverantwoordelijke.


11. Duur en beëindiging

11.1 Deze Verwerkersovereenkomst komt tot stand door ondertekening van Partijen en op de datum van de laatste ondertekening.
11.2 Deze Verwerkersovereenkomst is aangegaan voor de duur zoals bepaald in de Overeenkomst tussen Partijen en bij gebreke daarvan in ieder geval voor de duur van de samenwerking.
11.3 Bij beëindiging van de dienstverlening door Verwerker, is Verwerkingsverantwoordelijke zelf verantwoordelijk voor het tijdig kopiëren, exporteren of anderszins retourneren van de persoonsgegevens die Verwerker ten behoeve van Verwerkingsverantwoordelijke verwerkt. Na het einde de looptijd van de Overeenkomst zal Verwerker de (persoons)gegevens van Verwerkingsverantwoordelijke verwijderen dan wel vernietigen.
11.4 Verwerker is gerechtigd deze overeenkomst van tijd tot tijd te herzien. Zij zal minimaal drie (3) maanden van tevoren mededeling doen van de wijzigingen aan Verwerkingsverantwoordelijke. Verwerkingsverantwoordelijke mag de Overeenkomst bezwaar maken tegen het einde van deze drie (3) maanden indien zij niet akkoord kan gaan met de wijzigingen. Indien Verwerker binnen deze periode geen bezwaarschrift ontvangt, worden de wijzigingen geacht door Verwerkingsverantwoordelijke te zijn geaccordeerd.


12. Toepasselijk recht en geschillenbeslechting

12.1 De Verwerkersovereenkomst en de uitvoering daarvan worden beheerst door Nederlands recht.
12.2 Alle geschillen, welke tussen Partijen mochten ontstaan in verband met de Verwerkersovereenkomst, zullen worden voorgelegd aan de bevoegde rechter te Rotterdam.

Download Verwerkersovereenkomst