Verwerkersovereenkomst

Algemene voorwaarden

Versie AV2024-1.0

Verwerkersovereenkomst

Partijen:
1. Jimani, hierna te noemen "Verwerker"; 
en 
2. Afnemer hierna te noemen "Verwerkingsverantwoordelijke";

Verwerker
en Verwerkingsverantwoordelijke hierna gezamenlijk ook te noemen: "Partijen" 
In aanmerking nemende dat:
- Verwerkingsverantwoordelijke opdracht heeft gegeven aan Verwerker om de persoonsgegevens van zijn/haaronderneming te verwerken in het kader van de hoofdovereenkomst welke onlosmakelijk deel uitmaakt van deze verwerkersovereenkomst;
- Verwerkingsverantwoordelijke de doeleinden en middelen aanwijst en waarvoor de hierin genoemde voorwaarden gelden;
- Verwerker bereid is de verwerkingen te verrichten en tevens bereid is verplichtingen omtrent beveiliging en andere aspecten van de Algemene VerordeningGegevensbescherming (“AVG”) na te komen, voor zover dit binnen haar macht ligt;
- Verwerker de persoonsgegevens niet voor eigen doeleinden verwerkt;
- Verwerkingsverantwoordelijke aangemerkt kan worden als verwerkingsverantwoordelijke in de zin van artikel 4 lid 7 AVG;
- Verwerker aangemerkt kan worden als verwerker in de zin van artikel 4 lid 8 AVG;
- Waar in deze overeenkomst gesproken wordt over Persoonsgegevens, hiermee persoonsgegevens inde zin van artikel 4 lid 1 AVG bedoeld worden;
- Partijen, mede gelet op het vereiste uit artikel 28 lid 3 AVG, hun rechten en plicht en schriftelijk wensen vast te leggen door middel van deze Verwerkersovereenkomst (hierna (“Verwerkersovereenkomst”).

Partijen zijn als volgt overeengekomen:
Artikel 1 - Doel van de verwerking
1. Verwerker verbindt zich onder de voorwaarden van deze Verwerkersovereenkomst in opdracht van Verwerkingsverantwoordelijke Persoonsgegevens te verwerken. Verwerking zal uitsluitend plaatsvinden in het kader van de uitvoering van de overeenkomst van opdracht en deze Verwerkersovereenkomst in de zin van artikel 28 lid 3 AVG.

2. Het is Verwerker verboden om de Persoonsgegevens voor een ander doel te verwerken dan het doel dat door Verwerkingsverantwoordelijke is vastgesteld. Het doel van de verwerking is het verlenen van de door Verwerkingsverantwoordelijke gevraagde diensten zoals omschreven en vastgelegd in de Hoofdovereenkomst. Hiertoe wordende volgende werkzaamheden verricht: het beschikbaar stellen van een platform t.b.v. van de werkzaamheden van afnemer en andere aanverwante werkzaamheden.

3. De categorie van betrokkenen waarvan de Persoonsgegevens verzameld worden betreft de klantgegevens, inloggegevens, medewerker-gegevens van Afnemer en/of andere personen c.q. relaties van Verwerkingsverantwoordelijke waarmee Verwerker in contact komt indien zij Persoonsgegevens verwerkt ten behoeve vanVerwerkingsverantwoordelijke.

4. De categorie persoonsgegevens die verwerkt worden zijn: persoonsgegevens, medewerker- gegevens van Afnemer.

5. Verwerker zal de persoonsgegevens niet voor enig ander doel verwerken dan zoals door Verwerkingsverantwoordelijke is vastgesteld. Verwerkingsverantwoordelijke zal Verwerker op de hoogte stellen van de verwerkingsdoeleinden voor zover deze niet reeds in deze Verwerkersovereenkomst zijn genoemd.

6. Verwerker heeft zeggenschap over de middelen voor de verwerking en opslag van de persoonsgegevens. Verwerkingsverantwoordelijke is verantwoordelijk voor het vaststellen van het doel van de verwerking en dient dit duidelijk vast te leggen.

7. De verwerking zal zowel handmatig als (semi)automatisch plaatsvinden.

8. De in opdracht van Verwerkingsverantwoordelijke te verwerken persoonsgegevens blijven eigendom van Verwerkingsverantwoordelijke en/of de betreffende betrokkenen.

Artikel 2 - Duur van de overeenkomst
1. Deze overeenkomst vangt aan na goedkeuring van de overeenkomst en is aangegaan voor de duur van de hoofdovereenkomst.

2. Deze overeenkomst kan niet tussentijds opgezegd worden.

3. Wijzigingen in deze overeenkomst ten gevolge van veranderingen in de eventueel aanwezige onderliggende overeenkomst van opdracht, wet- of regelgeving of andere relevante omstandigheden zijn slechts rechtsgeldig indien deze na overleg en met uitdrukkelijke toestemming van partijen aan de Verwerkersovereenkomst wordt gevoegd.

4. Deze overeenkomsteindigt van rechtswege indien de Hoofdovereenkomst eindigt.

5. Zodra de overeenkomst, om welke reden en op welke wijze dan ook, is beëindigd, zalVerwerker – naar keuze van Verwerkingsverantwoordelijke – alle Persoonsgegevens die bij haar aanwezig zijn in originele of kopie vorm retourneren aan Verwerkingsverantwoordelijke en/of deze originele Persoonsgegevens en eventuele kopieën daarvan verwijderen en/of vernietigen binnen een termijn van maximaal28 dagen. Eventuele kosten hiervan komen voor rekening van Verwerkingsverantwoordelijke.

6. De bepalingen in zakede geheimhouding, aansprakelijkheid en geschillenbeslechting blijven nabeëindiging van deze overeenkomst onverminderd van kracht.

Artikel 3 - Verplichtingen Verwerker
1. Verwerker is verplicht om zich te houden aan de voorwaarden die op grond van geldende wet-en regelgeving, in het bijzonder de AVG en de Uitvoeringswet AVG, gesteld worden aan de verwerking vanPersoonsgegevens.

2. Het is Verwerker verboden om haar eigen database(s) en/of bestanden te verrijken met enige(persoons)gegevens van de database(s) van Verwerkingsverantwoordelijke, behoudens het geval dat Verwerker tijdelijke database(s) en/of bestanden dientaan te maken ten behoeve van een goede verwerking van de Persoonsgegevens. De tijdelijke bestanden worden direct verwijderd vanaf het moment dat deze tijdelijke bestanden niet langer nodig zijn voor de verwerking.

3. Verwerker zal Verwerkingsverantwoordelijke op diens eerste verzoek informeren over de doorhaar genomen maatregelen ter zake haar verplichtingen op grond van deze Verwerkersovereenkomst.

4. Indien Verwerkingsverantwoordelijke instructies met betrekking tot de verwerking van Persoonsgegevens aan Verwerker geeft, dient Verwerker deze instructies op te volgen indien dit noodzakelijk is voor een juiste verwerking behoudens het geval dat deze instructies in strijd zijn met wet- en regelgeving en eventuele van toepassing zijnde beroeps- en gedragsregels. Enkel Verwerkingsverantwoordelijke is bevoegd haar uitsluitende oordeel hierover te geven.

5. Alle verplichtingen die rusten op Verwerker, gelden ook voor de personen die onder het gezag vanVerwerker (na uitdrukkelijke toestemming van Verwerkingsverantwoordelijke)Persoonsgegevens verwerken, waaronder verstaan medewerkers en ingeschakelde derden van Verwerker.

6. Verwerker is ervoor verantwoordelijk dat alleen medewerkers en/of derden toegang hebben tot de persoonsgegevens waarvoor de toegang noodzakelijk is voor de uitvoering van de overeenkomst. De medewerkers en/of derden werken onder verantwoordelijkheid van Verwerker.

7.Verwerkingsverantwoordelijke heeft geen beperkt toegang tot de Persoonsgegevens bij Verwerker. Verwerker is verplicht haar medewerking te verlenen op verzoekvan Verwerkingsverantwoordelijke met betrekking tot inzage.

8. Deze overeenkomst is niet overdraagbaar, tenzij uitdrukkelijk anders overeengekomen.

Artikel 4 - Doorgifte van persoonsgegevens
1. Behoudens schriftelijke toestemming van Verwerkingsverantwoordelijke zal Verwerker geen Persoonsgegevens, welke door of namens Verwerker of een door haar ingeschakelde sub-verwerker wordt verwerkt, in verband met het uitvoeren van de Overeenkomst, laten overbrengen naar of toegankelijk (laten) maken vanuit landen of internationale organisaties waarvan de Europese Commissie nog niet heeft besloten dat deze een passend beschermingsniveau waarborgen in overeenstemming met de van toepassing zijnde privacyregelgeving. Artikel 44 tot en met 50 van de AVG worden te allen tijde nageleefd. Verwerker verschaft op eerste verzoekvan Verwerkingsverantwoordelijke inzicht in de locatie(s) waarop de verwerkingplaatsvindt.

2. Verwerker zal zorgvuldig omgaan met de persoonsgegevens van Verwerkingsverantwoordelijke.

Artikel 5 - Verantwoordelijkheid Verwerker
1. Verwerker zal voor Verwerkingsverantwoordelijke in het kader van deze overeenkomst de werkzaamheden verrichten zoals benoemd in artikel 1.2 van deze overeenkomst alsmede overige werkzaamheden zoals neergelegd in de Hoofdovereenkomst.

2. Verwerker is verantwoordelijk voor de verwerking van de Persoonsgegevens onder deze Verwerkersovereenkomst, overeenkomstig de instructies van Verwerkingsverantwoordelijke. Voor de overige verwerkingen van Persoonsgegevens, waaronder in ieder geval begrepen, maar niet beperkt tot, de verzameling van de Persoonsgegevens door de Verwerkingsverantwoordelijke, verwerkingen voor doeleinden die niet door Verwerkingsverantwoordelijke aanVerwerker zijn gemeld, verwerkingen door derden en/of voor andere doeleinden, is Verwerker eveneens verantwoordelijk.

Artikel 6 - Derden
De werkzaamheden vanVerwerker kunnen slechts uitbesteed worden aan derden na uitdrukkelijke voorafgaande toestemming van Verwerkingsverantwoordelijke. Verwerker staat in voor deze derde(n) en is zelf verantwoordelijk en schadeplichtig voor alle schade die door toedoen van derde(n) is ontstaan bij Verwerkingsverantwoordelijke. Alle verplichtingen uit deze overeenkomst zijn eveneens van toepassing op deze derde(n), de (sub-verwerker).

Artikel 7 - BeveiligingsmaatregelenPersoonsgegevens

1. Verwerker spant zich in om voldoende en passende organisatorische en technische maatregelen te nemen tegen elke vorm van onrechtmatige verwerking met betrekking tot de door haar te verrichten verwerkingen van de Persoonsgegevens.

2. Het beveiligingsniveau van de maatregelen dient tenminste te voldoen aan een niveau dat niet onredelijk is in het kader van de daaraan verbonden kosten, gevoeligheid van de betreffende Persoonsgegevens alsmede de stand van de techniek en risico’s. Verwerker staat er niet voor in dat de door haar genomen beveiligingsmaatregelen te allen tijde, onder alle omstandigheden doel treffen dzijn. In overleg kunnen partijen andere aanvullende of nadere beveiligingsmaatregelen nemen.

3. Verwerker heeft een eigen verantwoordelijkheid om zichzelf en/of haar medewerkers en in te schakelen derden op de hoogte te stellen van alle protocollen, het (beveiligings)beleid en andere instructies die een veilige verwerking mogelijk maken en bevorderen.

4. Verwerker is verantwoordelijk en aansprakelijk voor haar deel van de verwerking.

5. Indien er sprake is van een inbreuk in de beveiliging van de Persoonsgegevens, welke schade kan veroorzaken of nadelige gevolgen kan hebben voor de bescherming van dePersoonsgegevens dient Verwerker, Verwerkingsverantwoordelijke hierover onmiddellijk, althans zonder onredelijke vertraging, doch binnen 24 uur nadat Verwerker hiervan redelijkerwijs op de hoogte had kunnen zijn, te informeren. Verwerkingsverantwoordelijke zal vervolgens de Autoriteit Persoonsgegevens binnen 48 uur en eventuele betrokkenen zo spoedig mogelijk informeren over de inbreuk.

6. Ingevolge demeldplicht van Verwerker, dient de melding van een inbreuk te bestaan uit tenminste de volgende componenten:
- de aard van de inbreuk in verband met persoonsgegevens, waar mogelijk onder vermelding van de categorieën van betrokkenen en persoonsgegevens in kwestie en, bijbenadering, het aantal betrokkenen en persoonsgegevens registers in kwestie;
- de naam ende contactgegevens van de functionaris voor gegevensbescherming of een andercontactpunt waar meer informatie kan worden verkregen;
- de waarschijnlijke gevolgen van de inbreuk in verband met persoonsgegevens;
- de maatregelen die de Verwerker heeft voorgesteld of genomen om de inbreuk in verband met persoonsgegevens aan te pakken, waaronder, in voorkomend geval, de maatregelen ter beperking van de eventuele nadelige gevolgen daarvan.

7. Verwerkingsverantwoordelijke dient een register van alle inbreuken bij te houden conform artikel 33 lid 5 AVG.

8. Indien een inbreuk op de beveiliging van de Persoonsgegevens heeft plaatsgevonden bij Verwerker, isVerwerker verplicht om op eigen kosten passende maatregelen te treffen ter voorkoming van toekomstige incidenten en/of inbreuken.

Artikel 8 - Geheimhouding
Verwerker en diens medewerkers alsmede de door Verwerker ingeschakelde derde(n), zijn verplicht tot geheimhouding van alle door deze overeenkomst verkregen persoonsgegevens, gevoelige informatie en/of bedrijfsgegevens. De geheimhoudingsplicht geldt niet indien Verwerkingsverantwoordelijke uitdrukkelijke en schriftelijke toestemming heeft gegeven aan Verwerker om deze gegevens en informatie te delen met derde(n),of een wettelijke verplichting bestaat om de gegevens en informatie aan eenderde te verstrekken. Na afloop van deze overeenkomst blijven partijen verplicht om zich aan deze geheimhoudings verplichting te houden.

Artikel 9 - Rechten van betrokkenen
1. Ingeval Verwerker eenverzoek tot inzage ontvangt van een betrokkene of een daartoe bevoegdeinstantie, zal Verwerker dit verzoek zo spoedig mogelijk, doch uiterlijk binnen5 werkdagen afhandelen. Indien het niet mogelijk is om het verzoek zelf af te handelen, wordt het verzoek binnen 5 werkdagen doorgestuurd aan Verwerkingsverantwoordelijke. Verwerker dient indien hiertoe gevraagd,medewerking te verlenen aan de uitvoering van het verzoek. De kosten dieVerwerker dient te maken ten behoeve van de medewerking komen voor rekening van Verwerkingsverantwoordelijke.

2. Het bepaalde in artikel 9.1 is van overeenkomstige toepassing indien een betrokkene andere rechten wil doen gelden zoals zijn/haar recht op rectificatie, gegevens wissing, recht op beperking van de verwerking, recht op overdraagbaarheid van gegevens, recht van bezwaar en rechten ingeval van geautomatiseerde individuele besluitvorming, zoals neergelegd in afdelingen 3 en 4 van de AlgemeneVerordening Gegevensbescherming.

Artikel 10 - Aansprakelijkheid
1. Verwerker is verantwoordelijk voor de verwerking van de Persoonsgegevens en staat ervoor in dat de verwerking rechtmatig is en geen inbreuk maakt op rechten van betrokkenen. Verwerker is slechts aansprakelijk voor schade ten gevolge van het handelen en/of nalaten, of niet naleven van wet- en regelgeving door Verwerker.

2. Verwerker is slechtsaansprakelijk tot maximaal éénmaal de waarde van de opdracht. Alle gevolg schade is uitdrukkelijk uitgesloten van aansprakelijkheid van Verwerker.

3. Onverminderd het bepaalde in dit artikel, is Verwerker aansprakelijk voor de schade die door de verwerking is veroorzaakt wanneer bij deze verwerking niet is voldaan aan specifiek tot de Verwerker gerichte verplichtingen van de AVG of indien in strijd met de rechtmatige instructies van Verwerkingsverantwoordelijke is gehandeld.

4. Verwerker is niet aansprakelijk voor de schade indien zij kan aantonen dat zij op geen enkele wijze verantwoordelijk is voor het schadeveroorzakende feit.

Artikel 11 - Vrijwaring
1. Verwerkingsverantwoordelijke vrijwaart Verwerker voor aanspraken, boetes en/of dwangsommen van of namens de Autoriteit Persoonsgegevens en/of andere autoriteiten, waarbij vast is komen te staan dat de overtredingen onder de verantwoordelijkheid van Verwerkingsverantwoordelijke vallen.

2. Verwerker kan de opgelegde boetes en/of dwangsommen verhalen op Verwerkingsverantwoordelijke indien en voor zover Verwerker verantwoordelijk gehouden kan worden voor deovertredingen van Verwerkingsverantwoordelijke.

Artikel 12 - Geschillenbeslechting
1. Op deze overeenkomst is Nederlands recht van toepassing.

2. Alle geschillen die ontstaan tussen partijen die voortvloeien uit of verband houden of betrekking hebben op deze Verwerkersovereenkomst worden beslecht door de bevoegde rechtervan de vestigingsplaats van Verwerker.‍