(Bijlage) Verwerkingsovereenkomst

Definities:

  • AVG: de Algemene Verordening Gegevensbescherming (verordening (EU) 2016/679) inclusief de uitvoeringswet van deze verordening
  • Betrokkene: degene op wie de Persoonsgegevens betrekking hebben, zoals bedoeld in artikel 4 lid 1 AVG.
  • Inbreuk in verband met Persoonsgegevens: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens als bedoeld in artikel 4 lid 12 AVG.
  • Hoofdovereenkomst: de tussen Verwerkingsverantwoordelijke en Verwerker gesloten overeenkomst(en), inclusief mogelijke bijlagen, met betrekking tot hosting diensten en/of domeinnaam registraties aangeboden door Verwerker, waarop deze Verwerkersovereenkomst betrekking heeft.
  • Medewerkers: Personen die werkzaam zijn bij Verwerkingingsverantwoordelijke of bij Verwerker, ofwel in dienstbetrekking dan wel tijdelijk ingehuurd.
  • Ontvanger: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan, al dan niet een derde, aan wie/waaraan de Persoonsgegevens worden verstrekt.
  • Partijen: Verwerkingsverantwoordelijke en Verwerker.
  • Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (de Betrokkene) die in het kader van de Hoofdovereenkomst worden verwerkt zoals bedoeld in artikel 4 lid 1 AVG; als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.
  • Verwerkingsverantwoordelijke: Klant, de natuurlijke persoon of rechtspersoon, een overheidsorganisatie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de Verwerking van Persoonsgegevens vaststelt zoals bedoeld in artikel 4 lid 7 AVG.
  • Verwerker: Your-webhost die als (rechts)persoon ten behoeve van de Verwerkingsverantwoordelijke Persoonsgegevens verwerkt zoals bedoeld in artikel 4 lid 8 AVG.
  • Subverwerker: een andere verwerker die door de Verwerker wordt ingeschakeld om ten behoeve van een Verwerkerkingsverantwoordelijke Persoonsgegevens te Verwerken.
  • Verwerken/Verwerking: een bewerking of een geheel van bewerkingen met betrekking tot Persoonsgegevens of een geheel van Persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens zoals bedoeld in artikel 4 lid 2 AVG.
  • Verwerkersovereenkomst: deze Verwerkersovereenkomst voor het vastleggen van de afspraken zoals bedoeld in artikel 28 lid 3 AVG.
1. Toepasselijkheid:

  • Deze Verwerkersovereenkomst heeft betrekking op de Verwerking van Persoonsgegevens door Verwerker in opdracht van de Verwerkingsverantwoordelijke in het kader van de uitvoering van de Hoofdovereenkomst.
    De aard en het doel van de Verwerking, het soort Persoonsgegevens, de categorieën van Persoonsgegevens, de Betrokkenen en Ontvangers die door Verwerkingsverantwoordelijke wordern verwerkt zijn bij Verwerker niet bekend en Verwerker heeft hierop geen invloed.
  • Verwerker garandeert te voldoen aan de vereisten van de toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens.
2. Duur en beëindiging:

  • De Verwerkersovereenkomst eindigt op het moment dat de Hoofdovereenkomst tussen beide partijen eindigt.
  • Geen van Partijen kan deze Verwerkersovereenkomst los van de Hoofdovereenkomst tussentijds opzeggen.
  • Verplichtingen welke naar hun aard bestemd zijn om ook na beëindiging van deze Verwerkersovereenkomst voort te duren, blijven na beëindiging van deze Verwerkersovereenkomst gelden. Tot deze bepalingen behoren bijvoorbeeld die welke voortvloeien uit de bepalingen betreffende geheimhouding, aansprakelijkheid, geschillenbeslechting en toepasselijk recht.
  • Dertig (30) dagen na beëindiging of ontbinding van de Hoofdovereenkomst zal de Verwerker de aanwezige data en Persoonsgegevens op haar servers en back-up systemen verwijderen. De Verwerker kan hiervan afwijken ten aanzien van bepaalde Persoonsgegevens wanneer er sprake is van een wettelijke bewaartermijn (waaronder onder andere de ficale bewaarplicht) of wanneer er noodzaak is voor Verwerker om nakoming van verbintenissen aan Verwerkingsverantwoordelijke te bewijzen.
3. Verplichtingen:

  • Indien Verwerker op grond van een wettelijk voorschrift Persoonsgegevens dient te verstrekken, informeert hij Verwerkingsverantwoordelijke onmiddellijk, en zo mogelijk voorafgaand aan de verstrekking.
  • Verwerker zorgt ervoor dat alleen zijn Medewerkers toegang hebben tot de Persoonsgegevens. De uitzondering hierop is het inschakelen van Subbewerkers conform het bepaalde in artikel 9 van deze Verwerkersovereenkomst. Verwerker beperkt de toegang tot Medewerkers voor wie de toegang noodzakelijk is voor hun werkzaamheden, waarbij de toegang beperkt is tot Persoonsgegevens die deze Medewerkers nodig hebben voor hun werkzaamheden. Verwerker zorgt er bovendien voor dat de Medewerkers die toegang hebben tot de Persoonsgegevens een juiste en volledige instructie hebben gekregen over de omgang met Persoonsgegevens en dat zij bekend zijn met de verantwoordelijkheden en wettelijke verplichtingen.
  • Verwerkingsverantwoordelijke is wettelijk verplicht de vigerende wet- en regelgeving op het gebied van privacy na te leven. In het bijzonder dient Verwerkingsverantwoordelijke vast te stellen of er sprake is van een rechtmatige grondslag voor het Verwerken van de Persoonsgegevens. Verwerker zorgt ervoor dat hij voldoet aan de op hem als Verwerker van toepassing zijnde regelgeving op het gebied van de Verwerking van Persoonsgegevens en de afspraken die zijn gemaakt in deze Verwerkersovereenkomst.
  • De Verwerking vindt plaats onder verantwoordelijkheid van Verwerkingsverantwoordelijke. Verwerker heeft geen zeggenschap over het doel en de middelen van de Verwerking en neemt geen beslissingen over zaken als het gebruik van Persoonsgegevens, de bewaartermijn van de voor Verwerkingsverantwoordelijke verwerkte Persoonsgegevens en het verstrekken van Persoonsgegevens aan derden. Verwerkingsverantwoordelijke moet ervoor zorgen dat hij het doel en de middelen van de Verwerking van de Persoonsgegevens duidelijk heeft vastgesteld.
4. Beveiliging:

  • Verwerker heeft technische en organisatorishe beveiligingsmaatregelen genomen om servers of andere opslagmedia te veveiligen tegen onrechtmatige Verwerking en onrechtmatige toegang door derden.
  • Verwerker biedt passende waarborgen voor de toepassing van de technische en organisatorische beveiligingsmaatregelen met betrekking tot de te verrichten Verwerkingen.
  • Bij het nemen van de beveiligingsmaatregelen is rekening gehouden met de te mitigeren risico's, de stand van de techniek en de kosten van de beveiligingsmaatregelen. Deze beveiligingsmaatregelen omvatten in ieder geval:
    • het vermogen om op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen en diensten te garanderen;
    • het vermogen om bij een fysiek of technisch incident de beschikbaarheid van en de toegang tot de Persoonsgegevens tijdig te herstellen;
    • een procedure voor het op gezette tijdstippen testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging van Verwerking.
  • Verwerkingsverantwoordelijke heeft zich goed geïnformeerd over de beveiligingsmaatregelen die Verwerker heeft genomen en is van mening dat deze maatregelen een beveiligingsniveau hebben dat past bij de aard van de Persoonsgegevens en de omvang, context, doeleinden en risico's van de Verwerking.
  • Partijen erkennen dat het waarborgen van een passend beveiligingsniveau voortdurend kan dwingen tot het treffen van aanvullende beveiligingsmaatregelen. Verwerker waarborgt een op het actuele risico afgestemd beveiligingsniveau.
  • Indien Verwerkingsverantwoordelijke de wijze waarop Verwerker de beveiligingsmaatregelen naleeft wil laten inspecteren, dan kan Verwerkingsverantwoordelijke hiertoe een verzoek aan Verwerker doen. Verwerker en Verwerkingsverantwoordelijke zullen hierover gezamenlijk afspraken maken. De kosten van een inspectie zijn voor rekening van Verwerkingsverantwoordelijke. Verwerkingsverantwoordelijke stelt aan Verwerker een kopie van het inspectierapport ter beschikking.
  • Verwerkingsverantwoordelijke is zelf verantwoordelijk voor het nemen van passende beveiligingsmaatregelen voor de technische en organisatorische beveiligingsmaatregelen ten opzichte van de door hem gebruikte scripts, software, applicaties en voor het installeren van updates van deze.
  • Verwerker zal, tenzij hij hiervoor uitdrukkelijke voorafgaande schriftelijke toestemming heeft verkregen van Verwerkingsverantwoordelijke, geen Persoonsgegevens Verwerken of laten Verwerken door hemzelf of door derden in landen buiten de Europese Unie (EU). Voor domeinregistraties kan het echter noodzakelijk zijn om bepaalde persoonsgegevens door te geven aan landen buiten de Europese Unie. De dan te verstreken Persoonsgegevens worden beperkt tot die welke noodzakelijk zijn om de registratie van een domein mogelijk te maken.
5. Geheimhouding:

  • Op alle Persoonsgegevens die Verwerker van Verwerkingsverantwoordelijke ontvangt en/of zelf verzamelt of dient te verzamelen met het doel deze te Verwerken overeenkomstig het in de Hoofdovereenkomst daartoe bepaalde, rust een geheimhoudingsplicht jegens derden.
  • Verwerker zal de Persoonsgegevens niet voor een ander doel gebruiken dan waarvoor hij deze heeft verkregen, zelfs niet wanneer deze in een zodanige vorm is gebracht zodat deze niet tot Verwerkingsverantwoordelijke of natuurlijke personen, zoals de Betrokkene, herleidbaar is.
  • Verwerker waarborgt dat de tot het Verwerken van de Persoonsgegevens gemachtigde personen zich ertoe hebben verbonden vertrouwelijkheid in acht te nemen, of door een passende wettelijke verplichting van vertrouwelijkheid zijn gebonden.
  • De geheimhoudingsplicht is niet van toepassing voor zover Verwerkingsverantwoordelijke of de Betrokkene zelf uitdrukkelijk toestemming heeft gegeven om de Persoonsgegevens aan een derde te verstrekken of indien en voor zover er een wettelijke verplichting bestaat om informatie aan een derde te verstrekken.
  • Indien Verwerker van de diensten van Subverwerkers gebruik maakt, zorgt hij er onvoorwaardelijk voor dat de Subverwerkers dezelfde geheimhoudingsplicht als tussen Partijen is overeengekomen schriftelijk zal aanvaarden en deze geheimhoudingsplicht ook strikt zal naleven.
6. Aansprakelijkheid:

  • Verwerkingsverantwoordelijke staat ervoor in dat de Verwerking van Persoonsgegevens op basis van deze Verwerkersovereenkomst niet onrechtmatig is en geen inbreuk maakt op de rechten van Betrokkene(n).
  • Verwerker is niet aansprakelijk voor schade die het gevolg is van het door Verwerkingsverantwoordelijke niet naleven van de AVG of andere wet- of regelgeving.
  • Verwerker is aansprakelijk voor boetes en schade die Verwerkingsverantwoordelijke lijdt als gevolg van het niet-nakomen van of het in strijd handelen met de Wet bescherming persoonsgegevens door Verwerker.
  • De in de Hoofdovereenkomst en daarbij behorende algemene voorwaarden overeengekomen beperking van de aansprakelijkheid van Verwerker is van kracht op de verplichtingen zoals opgenomen in deze Verwerkersovereenkomst.
  • Indien Verwerkingsverantwoordelijke van mening is dat Verwerker tekortschiet in de nakoming van de verplichtingen uit deze Verwerkersovereenkomst, kan de Verwerkingsverantwoordelijke Verwerker schriftelijk in gebreke stellen en aangeeft dat Verwerkingsverantwoordelijke binnen een redelijke termijn alsnog zal moeten voldoen aan de verplichtingen uit deze Verwerkersovereenkomst.
  • Verwerker kan niet aansprakelijk worden gesteld voor directe schade die geleden is door Verwerkingsverantwoordelijke als gevolg van een tekortkoming in de naleving van deze verwerkingsovereenkomst door Verwerker. Voor zover de aansprakelijkheid van Verwerker omtrent deze niet kan worden uitgesloten kan de maximum aansprakelijkheid van Verwerker het bedrag bedragen dat betaald werd door de Verwerkingsverantwoordelijke voor de diensten die de schade veroorzaakten, in de laatste 3 (drie) maanden voorafgaand gaan aan de datum van het incident (een reeks van incidenten wordt gezien als één incident).

    Onder directe schade wordt onder andere verstaan:
    • de aan stoffelijke zaken toegebrachte schade (materiële schade)
    • kosten die Verwerkingsverantwoordelijke heeft gemaakt om Verwerker er toe te bewegen de Verwerkingsovereenkomst na te leven
    • kosten die Verwerkingsverantwoordelijke heeft gemaakt om de omvang en oorzaak van geleden schade zoals bedoeld in dit artikel vast te stellen
    • kosten die Verwerkingsverantwoordelijke heeft gemaakt voor beperken of voorkomen van directe schade zoals bedoeld in dit artikel
  • Verwerker kan niet aansprakelijk worden gesteld voor indirecte schade die geleden is door Verwerkingsverantwoordelijke als gevolg van een tekortkoming in de naleving van deze verwerkingsovereenkomst door Verwerker. Onder indirecte schade wordt bedoeld alle schade die geen directe schade is zoals, maar niet beperkt tot, schade door bedrijfsstagnatie, verminderde winst, goodwill schade of schade door verlies van data of beschadigde data bestanden.
  • In het geval van schending van de verwerkingsovereenkomst kan door Verwerker acties genomen worden zonder voorafgaande melding aan Verwerkingsverantwoordelijke en kunnen producten en/of diensten (tijdelijk) op niet actief gezet worden.
  • De in artikel 6 bedoelde uitsluitingen en beperkingen komen te vervallen wanneer of voor zover de geleden schade het gevolg is van opzet of vergaande nalatigheid van Verwerker.
7. Meewerkingsverplichtingen:

  • De AVG en overige (privacy)wetgeving kent aan de Betrokkene bepaalde rechten toe. Verwerker zal zijn volledige en tijdige medewerking verlenen aan Verwerkingsverantwoordelijke bij de nakoming van de op Verwerkingsverantwoordelijke rustende verplichtingen jegens de Betrokkene.
  • Een door Verwerker ontvangen klacht of een verzoek van een Betrokkene met betrekking tot Verwerking van Persoonsgegevens wordt door Verwerker zonder uitstel doorgestuurd naar Verwerkingsverantwoordelijke.
  • Op het eerste daartoe strekkende verzoek van Verwerkingsverantwoordelijke zal Verwerker aan Verwerkingsverantwoordelijke alle relevante informatie verstrekken betreffende de aspecten van de door hem verrichte Verwerking van Persoonsgegevens zodat Verwerkingsverantwoordelijke, mede aan de hand van die informatie, aan kan tonen dat hij de toepasselijke (privacy) wetgeving naleeft.
  • Verwerker zal voorts op eerste verzoek van Verwerkingsverantwoordelijke alle noodzakelijke bijstand verlenen bij de nakoming van de op grond van de toepasselijke privacywetgeving op Verwerkingsverantwoordelijke rustende wettelijke verplichtingen (zoals bijvoorbeeld het uitvoeren van een privacy impact assessment). Verwerker kan aan Verwerkingsverantwoordelijke kosten in rekening brengen voor de bijstand die in het kader van dergelijke verzoeken is verleend.
8. Inbreuk in verband met Persoonsgegevens:

  • Verwerker informeert Verwerkingsverantwoordelijke zonder onredelijke vertraging, zodra hij kennis heeft genomen van een Inbreuk in verband met Persoonsgegevens, overeenkomstig de afspraken zoals vastgelegd in bijlage 3. Verwerker streeft ernaar de Verwerkingsverantwoordelijke binnen 48 uur op de hoogte te stellen nadat de Verwerker de Inbreuk in verband met Persoonsgegevens heeft ontdekt of zo snel mogelijk nadat Verwerker daarover is geïnformeerd door een Subverwerker.
  • Verwerker informeert Verwerkingsverantwoordelijke ook over de ontwikkelingen betreffende de door Verwerker gemelde Inbreuk in verband met Persoonsgegevens.
  • De melding van een Inbreuk in verband met Persoonsgegevens aan de Autoriteit Persoonsgegevens en (eventueel) Betrokkene(n) is altijd de eigen verantwoordelijkheid van een Verwerkingsverantwoordelijke.
  • Het (bij)houden van een register van Inbreuken in verband met Persoonsgegeven is altijd een eigen verantwoordelijkheid van een Verwerkingsverantwoordelijke.
9. Inschakeling van Subverwerkers

  • Verwerker kan de uitvoering van activiteiten die bestaan uit het Verwerken van Persoonsgegevens uitbesteden aan een Subverwerker.
  • Verwerker blijft in deze altijd het aanspreekpunt en verantwoordelijk voor het naleven van deze Verwerkersovereenkomst.
  • Verwerker zal aan de Subverwerker dezelfde of strengere verplichtingen opleggen als voor hemzelf uit deze Verwerkersovereenkomst en de wet voortvloeien.
    Verwerker zal deze afspraken schriftelijk vastleggen en zal toezien op de naleving daarvan door de Subverwerker.
  • Verwerker is volledig aansprakelijk jegens Verwerkingsverantwoordelijke voor de gevolgen van het uitbesteden van werkzaamheden aan een Subverwerker.
  • Bij de registratie van een TLD (Top Level Domain) kan het zijn dat Persoonsgegevens worden opgenomen in een WHOIS database welke publiek beschikbaar is. Verwerker kan in deze niet instaan voor de beveiliging van deze gegevens. Op verzoek van Verwerkingsverantwoordelijke kan domain privacy geactiveerd worden of kunnen de gegevens van Verwerker aan domeinen worden gekoppeld.
10. Informatieverplichting en audits

  • Verwerker stelt alle informatie ter beschikking die nodig is om aan te tonen dat de verplichtingen uit deze Verwerkersovereenkomst zijn en worden nagekomen.
  • Wanneer Verwerker volgens Verwerkingsverantwoordelijke tekortschiet in het nakomen van deze Verwerkersovereenkomst heeft de Verwerkingsverantwoordelijke het recht om een audit ui te (laten) voeren. De kosten van de audit zijn voor rekening van de Verwerkingsverantwoordelijke.
  • Verwerker zal volledige medewerking geven aan een audit die wordt uitgevoerd in opdracht van Verwerkingsverantwoordelijke.
  • Verwerker en Verwerkingsverantwoordelijke zullen de uitkomst van de autit onderling overleggen.
11. Toepasselijk recht en bevoegde rechter

  • Op deze Verwerkersovereenkomst is Nederlands recht van toepassing.
  • Geschillen over de inhoud en uitvoering van de Verwerkersovereenkomst zullen worden beslecht door de rechter binnen het arrondissement waar de Verwerkingsverantwoordelijke is gevestigd.