Verwerkersovereenkomst

Download deze Verwerkersovereenkomst

Deze Verwerkersovereenkomst maakt – evenals de algemene voorwaarden – integraal onderdeel uit van alle aanbiedingen, offertes en overeenkomsten die Helden Van . Nu BV, verzendt dan wel aangaat met haar klanten. Helden Van.Nu BV is statutair gevestigd te Haarlem en is ingeschreven bij de Kamer van Koophandel te Amsterdam onder nummer 34264245 . Helden Van . Nu BV is bereikbaar op nummer 088 40 88 400 en haar bezoekadres is Binnenweg 14, 2132CT  Hoofddorp.

In het kader van deze Verwerkersovereenkomst wordt Helden Van . Nu BV aangemerkt als “Verwerker” en de wederpartij (klant) als “Verwerkingsverantwoordelijke”.

Overwegingen

  1. Verantwoordelijke wil gebruik maken van diensten van Verwerken en daartoe zijn of wensen Verwerker en Verantwoordelijke een overeenkomst (‘Overeenkomst’) aan te gaan. Uit de Overeenkomst vloeit voort dat Verwerker diensten levert aan Verantwoordelijke. Voor de dienstverlening is het noodzakelijk dat Verwerker in opdracht van Verantwoordelijke Persoonsgegevens Verwerkt. In Bijlage 1 zijn de aard van de persoonsgegevens en de categorieën betrokkenen nader gespecificeerd.
  2. In overeenstemming met de AVG zijn Partijen verplicht om in een Verwerkersovereenkomst nadere afspraken te maken over de Verwerkingen die plaatsvinden.
  3. Partijen wensen in deze Verwerkersovereenkomst de afspraken over de Verwerking van Persoonsgegevens in het kader van de diensten vast te leggen.

Artikel 1 Definities

  • Onderstaande begrippen worden geïnterpreteerd volgens de AVG.
AVG Algemene Verordening Gegevens-bescherming (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 over de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en over het vrije verkeer van die gegevens (en tot intrekking van Richtlijn 95/46/EG).
Betrokkene Een geïdentificeerde of identificeerbare natuurlijke persoon wiens persoonsgegevens worden verwerkt (artikel 4 sub 1 AVG).
Datalek Een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot verstuurde, opgeslagen of op andere wijze verwerkte gegevens.
EU Standaard Contract Door de EU opgestelde standaard contract bepalingen voor de overdracht van Persoonsgegevens naar verwerkers gevestigd in derde landen (artikel 46, lid 2, sub c en d AVG).
Informatieverzoek Informatieverzoek van een Betrokkene over de verwerking van Persoonsgegevens door Verwerker.
Overeenkomst De tussen partijen gesloten overeenkomst voor de in Bijlage 1 genoemde en door Verwerker geleverde diensten.
Personeel De natuurlijke persoon die werkzaam is bij, of voor, een van de Partijen.
Persoonsgegeven Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon in de zin van artikel 4 onder 1 AVG.
Register Register als bedoeld in artikel 30 AVG waarin de verwerkingen worden bijgehouden met onder meer een beschrijving van de gebruikte systemen, een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen die zijn geïmplementeerd, categorieën Persoonsgegevens en betrokkenen, bewaartermijnen en contactgegevens.
Sub-verwerker Iedere niet-ondergeschikte derde partij die door Verwerker is ingeschakeld bij de verwerking van Persoonsgegevens. Dit gaat niet om Personeel.
Telecommunicatiewet of Tw Wet van 19 oktober 1998, houdende regels inzake de telecommunicatie.
Verwerkings-verantwoordelijke Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens bepaalt.
Verwerker Helden Van . Nu B.V.
Verwerking Een bewerking (of een geheel van bewerkingen) over persoonsgegevens (of een geheel van persoonsgegevens), al dan niet uitgevoerd via geautomatiseerde procedés. Bijvoorbeeld het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden, of op andere wijze ter beschikking stellen, afstemmen of combineren, afschermen, wissen of vernietigen van gegevens.
Verwerkersovereenkomst Deze Overeenkomst.

Artikel 2 Verplichtingen Verwerker

2.1 Verwerker zal zich bij de uitvoering van zijn verplichtingen uit de Verwerkersovereenkomst houden aan alle relevante wet- en regelgeving.

2.2 Verwerker zal de Persoonsgegevens zoals genoemd in Bijlage 1 alleen in overeenstemming met de instructies van Verwerkingsverantwoordelijke neergelegd in deze Verwerkersovereenkomst Verwerken en niet verder dan in Bijlage 1 bepaald, , tenzij bij wet anders is bepaald, en slechts voor zover nodig voor de uitvoering van zijn verplichtingen uit de Overeenkomst. In geen geval zal Verwerker de Persoonsgegevens aanwenden voor eigen doeleinden of deze (laten) exploiteren.

2.3 Verwerker zal een register bijhouden van de verwerkingsactiviteiten die Verwerker namens Verwerkingsverantwoordelijke uitvoert.

Artikel 3 Verplichtingen Verantwoordelijke

3.1 Verantwoordelijke is ten aanzien van de Verwerking van Persoonsgegevens krachtens deze Verwerkersovereenkomst de ‘Verwerkingsverantwoordelijke’ zoals omschreven in artikel 4 lid 7 AVG.

3.2 Verantwoordelijke staat ervoor in dat de Verwerking (inclusief de verzameling en de doorgifte naar Verwerker) van Persoonsgegevens overeenkomstig de Verwerkersovereenkomst in overeenstemming is met de AVG en andere, van toepassing zijnde wetgeving inzake gegevensbescherming.

3.3 Verantwoordelijke garandeert dat de inhoud, het gebruik en de opdracht tot de Verwerkingen van de persoonsgegevens zoals bedoeld in deze Verwerkersovereenkomst, niet onrechtmatig is en geen inbreuk maakt op enig recht van derden. Verantwoordelijke vrijwaart Verwerker tegen alle aanspraken of claims die hiermee verband houden.

Artikel 4 Beveiliging Persoonsgegevens

4.1 Verwerker zal conform Bijlage 2 passende technische en organisatorische maatregelen implementeren ter bescherming van de Persoonsgegevens tegen i) vernietiging, ii) verlies, iii) vervalsing, iv) niet toegelaten verspreiding en/of toegang tot, dan wel v) enige andere vorm van onrechtmatige verwerking (‘Datalek’) die zij voor Verwerkingsverantwoordelijke zal Verwerken.

4.2 Deze maatregelen zullen, rekening houdend met de stand van de techniek en de kosten van de implementatie en uitvoering van de maatregelen, zorgen voor een adequaat niveau van bescherming, rekening houdend met de bij de Verwerking betrokken risico’s en de aard van de te beveiligen gegevens.

4.3 Verwerkingsverantwoordelijke heeft zich goed geïnformeerd over de beveiligingsmaatregelen zoals genoemd in dit artikel en bevestigt dat deze maatregelen een beveiligingsniveau hebben dat past bij de aard van de Persoonsgegevens en de risico’s van de Verwerking.

Artikel 5. Meldplicht datalekken

5.1 Nadat Verwerker een Datalek heeft ontdekt of daarover door zijn sub-verwerker is geïnformeerd stelt Verwerker de Verwerkingsverantwoordelijke zo spoedig mogelijk, uiterlijk binnen 1 werkdag. Daarnaast treft in het geval van een Datalek Verwerker onverwijld herstelmaatregelen.

Verwerker zal per email het volgende vermelden:

  • welke persoonsgegevens het betreft en wie door de inbreuk is getroffen;
  • de aard van de inbreuk;
  • de aanbevolen maatregelen; en
  • de geconstateerde en vermoedelijke gevolgen van de inbreuk, voor zover Verwerker hier kennis van heeft.

5.2 Verwerker zal medewerking verlenen aan het onderzoek rondom het Datalek en zal voldoende informatie en ondersteuning verschaffen in relatie tot alle onderzoeken daartoe. De kosten die Verwerker in dat kader maakt kan Verwerker doorberekenen aan Verwerkingsverantwoordelijke.

Artikel 6 Controle op de beveiligingsmaatregelen

6.1 Verantwoordelijke is gerechtigd naleving van de hiervoor onder artikel 4 genoemde beveiligingsmaatregelen in verband met de Verwerkingsactiviteiten die onder deze Verwerkersovereenkomst vallen, te (laten) onderzoeken (het ‘Onderzoek’). Op verzoek zal Verwerker Verantwoordelijke in staat stellen om de Verwerkingen te (laten) controleren op een door Partijen in gezamenlijk overleg nader te bepalen tijdstip. Verwerker zal in alle redelijkheid haar medewerking verlenen aan een dergelijk Onderzoek.

6.2 Verantwoordelijke kan besluiten een onderzoeksinstantie het Onderzoek te laten uitvoeren. De onderzoeksinstantie dient, naar het redelijk oordeel van Verantwoordelijke, neutraal en deskundig te zijn. Verantwoordelijke ziet erop toe dat de onderzoeksinstantie van haar bevindingen tegenover derden tot geheimhouding verplicht is.

6.3 Verantwoordelijke zal alle kosten, vergoedingen en onkosten in verband met het Onderzoek betalen, met inbegrip van redelijke door Verwerker gemaakte interne kosten.

6.4 Indien naar aanleiding van het Onderzoek in redelijkheid gegeven verzoeken tot aanpassing van het beveiligingsbeleid of –maatregelen worden gevraagd, zal de Verwerker deze binnen 6 maanden implementeren.

6.5 Verantwoordelijke zal Verwerker een exemplaar van het rapport van het Onderzoek verstrekken.

6.6 De Autoriteit Persoonsgegevens mag, naast Verantwoordelijke, toezien op de naleving van de beveiligingsmaatregelen. Verwerker zal de Autoriteit Persoonsgegevens in staat stellen de Verwerkingen te (laten) controleren.

Artikel 7 Personeel en geheimhouding

7.1 Verwerker zal ervoor zorgen dat bij de uitvoering van de Verwerkersovereenkomst alleen zijn geautoriseerde Personeel en door hem ingeschakelde geautoriseerde derden toegang krijgen tot Persoonsgegevens.

7.2 Elke Partij bevestigt dat zij bekend is met de toepasselijke regelgeving inzake gegevensbescherming en verzekert dat zij haar Personeel, dat bij de uitvoering van de werkzaamheden betrokken is,  instrueert over de relevante bepalingen over gegevensbescherming en hen verplicht tot geheimhouding met betrekking tot persoonsgegevens.

Artikel 8 Inschakeling derden en Sub-verwerkers

8.1 Indien Verwerker de verplichtingen uit hoofde van deze Verwerkersovereenkomst aan derden uitbesteedt, zal Verwerker Verwerkingsverantwoordelijke daarover voorafgaand toestemming vragen. Verwerker zal de benodigde maatregelen treffen om ervoor te zorgen dat de Sub-verwerkers dezelfde verplichtingen hebben als die waaraan Verwerker uit hoofde van de Verwerkersovereenkomst en de wet jegens Verwerkingsverantwoordelijke moet voldoen. Verwerker blijft verantwoordelijk voor het handelen of nalaten van de subverwerkers.

8.2 Indien ten tijde van het aangaan van deze Verwerkersovereenkomst bekend is dat Verwerker conform dit artikel de verplichtingen uit hoofde van deze Verwerkersovereenkomst aan een of meerdere Sub-verwerkers uitbesteedt, worden deze Sub-verwerkers vermeld in Bijlage 1. Daarmee geeft Verwerkingsverantwoordelijke aan Verwerker toestemming om deze Sub-verwerkers in te schakelen.

Artikel 9 Doorgifte Persoonsgegevens buiten de EER

9.1 Verwerker geeft geen Persoonsgegevens door aan, en Verwerkt Persoonsgegevens niet in, een land buiten de EER, tenzij:

  • Verwerkingsverantwoordelijke voorafgaand aan de doorgifte toestemming daartoe heeft gegeven;
  • Verwerkingsverantwoordelijke voorafgaand aan de doorgifte is geïnformeerd over de Verwerking buiten de EER en daartegen binnen een redelijke termijn geen bezwaar heeft gemaakt; of
  • de doorgifte is toegestaan op basis van een andere grondslag onder de AVG.

Artikel 10 Verzoeken van Betrokkenen

10.1 Betrokkenen hebben op grond van de AVG recht op inzage, correctie, verwijdering en afscherming van hun Persoonsgegevens. Verwerker zal redelijke bijstand verlenen zodat Verwerkingsverantwoordelijke kan voldoen aan zijn wettelijke verplichtingen als Betrokkene haar rechten uitoefent op grond van de AVG, zoals ook bij een klacht of een informatieverzoek. De kosten die Verwerker in dat kader maakt zal Verwerker doorberekenen aan Verwerkingsverantwoordelijke.

Artikel 11 Aansprakelijkheid en vrijwaring

11.1 Partijen zijn ieder verantwoordelijk en aansprakelijk voor hun eigen handelen. Een beperking van aansprakelijkheid is niet mogelijk in geval van opzet of grove schuld.

11.2 Verwerkingsverantwoordelijke staat er voor in dat de Verwerking van Persoonsgegevens op basis van deze Verwerkersovereenkomst rechtmatig is en geen inbreuk maakt op de rechten van Betrokkenen.

11.3 Indien Verwerkingsverantwoordelijke niet in overeenstemming handelt met de AVG, de Tw en / of andere wet- en regelgeving, zal zij  Verwerker vrijwaren voor  eventuele aanspraken van derden als gevolg van deze nalatigheid, zoals boetes en schade.

11.4 Verwerker is slechts aansprakelijk voor de schade die door de Verwerking is veroorzaakt wanneer bij de Verwerking door Verwerker niet is voldaan aan de specifiek tot Verwerker gerichte verplichtingen uit de AVG of als buiten, dan wel in strijd met, de rechtmatige instructies van Verwerkingsverantwoordelijke is gehandeld.

11.5 De in de Overeenkomst en de daarbij behorende Algemene Leveringsvoorwaarden overeengekomen beperking van aansprakelijkheid van Verwerker, is van kracht op de verplichtingen zoals opgenomen in deze Verwerkersovereenkomst. Indien en voor zover de Algemene Leveringsvoorwaarden geen deel uitmaken van de Overeenkomst, is de aansprakelijkheid van Verwerker voor zaakschade beperkt tot een maximum van 25.000 euro  per gebeurtenis (waarbij een reeks van samenhangende gebeurtenissen geldt als één gebeurtenis), en is gevolgschade, waaronder mede begrepen gederfde winst, reputatieschade, gemiste besparingen, verlies van gegevens, schade door bedrijfsstagnatie en leegloop van personeel, aan derden verschuldigde boetes en vergoedingen en verminderde goodwill te allen tijde uitgesloten.

Artikel 12 Duur en beëindiging verwerkersovereenkomst

12.1 De looptijd van deze Verwerkersovereenkomst zal dezelfde looptijd hebben als de Overeenkomst. Indien de verleende diensten na de beëindiging van de Overeenkomst moeten worden voortgezet, dan zijn de bepalingen van de Verwerkersovereenkomst blijvend van kracht op deze verdere levering van diensten voor de gehele duur van de feitelijke samenwerking.

12.2 Na beëindiging van de Overeenkomst zal Verwerker voor zover mogelijk alle relevante documenten die zij heeft ontvangen, alle Verwerkingen en opgeleverde gebruiksresultaten,  databestanden en back-ups welke betrekking hebben op de contractuele relatie binnen 30 dagen na afloop van de Overeenkomst vernietigen op een manier die voldoet aan de eisen die worden gesteld aan gegevensbescherming.

Artikel 13 Contactgegevens

13.1 Meldingen die worden gedaan op grond van deze Verwerkersovereenkomst worden gericht aan de in Bijlage 1 opgenomen Personeel van Verwerkingsverantwoordelijke tijdens de duur van deze Verwerkersovereenkomst schriftelijk bekendgemaakte Personeel van Verwerkingsverantwoordelijke.

Artikel 14 Slotbepalingen

14.1 Deze Verwerkersovereenkomst vervangt alle eerdere Bewerkersovereenkomsten tussen Partijen.

14.2 De overwegingen maken onderdeel uit van deze Verwerkersovereenkomst.

14.3 Indien één of meer bepalingen van deze Verwerkersovereenkomst niet rechtsgeldig blijkt te zijn, zal de Verwerkersovereenkomst voor het overige van kracht blijven. Partijen zullen over de bepalingen welke niet rechtsgeldig zijn overleg plegen, teneinde een vervangende regeling te treffen die wel rechtsgeldig is en zoveel mogelijk aansluit bij de strekking van de te vervangen regeling.

14.4 In alle gevallen waarin deze Verwerkersovereenkomst niet voorziet beslissen Partijen in onderling overleg.

14.5 Op deze Verwerkersovereenkomst is Nederlands recht van toepassing.

14.6 Geschillen over of in verband met deze Verwerkersovereenkomst zullen uitsluitend worden voorgelegd aan de bevoegde Nederlandse rechter.

© Helden Van . Nu, Hoofddorp 25 mei 2018


Bijlage 1: Specificatie verwerkingen

Korte omschrijving diensten

Helden Van Nu levert Internet diensten bestaande uit doch niet beperkt tot de onderdelen Internet toegang, telefonie, Website en email onder eigen naam, Betaalverkeer/pin, clouddiensten en -opslag en Camerabewaking

Verwerkingsactiviteiten

Verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, doorzenden, verspreiden, beschikbaar stellen, samenbrengen, met elkaar in verband brengen, afschermen, uitwissen en vernietigen van gegevens, anonimiseren, aggregeren, versleutelen.

Betrokken categorieën persoonsgegevens

‘Gewone’ gegevens

  • NAW-gegevens, email adres, telefoonnummer, IBAN

‘Gevoelige’ of ‘bijzondere’ gegevens

  • Niet van toepassing. Er worden o.a. geen gegevens ten aanzien van godsdienst/levensovertuiging, ras, politieke-, seksuele voorkeur, medische/ biometrische/genetische gegevens, strafrechtelijk verleden verwerkt.

Verkeersgegevens (gegevens uit een dienst)

  • Telefoonnummer beller, telefoonnummer gebelde, IP-adres, URL, device ID’s, bezochte sites, bekeken programma’s, gebruikte Apps
  • Locatiegegevens in verschillende vormen
  • MAC adressen
  • Communicatie content
  • inhoud van gesprekken, SMS, e-mail etc.

Doeleinden van de verwerking

  • Zakelijke dienstverlening aan klanten

Categorieën betrokkenen

  • Een identificeerbare natuurlijke persoon wiens persoonsgegevens worden verwerkt, bijvoorbeeld, maar niet beperkt tot de klant, de eindgebruiker, automatiseerder of werknemer van een klant

Afgesproken bewaartermijnen

  • 1 jaar na afloop van de Overeenkomst

In deze paragraaf vind je per dienst een overzicht van de gegevens die worden verwerkt. Een toelichting per kolom:

  1. Type dienst: voor welke dienst gegevens worden gebruikt. De kolom ‘Algemeen’ bevat gegevens die voor meerdere diensten worden gebruikt of die niet voor een dienst worden verwerkt.
  2. Type gegevens: welke gegevens worden verwerkt.
  3. Bewaartermijnen: hoe lang de gegevens worden bewaard.
  4. Verantwoordelijke: wie verantwoordelijk is voor de gegevens. Met ‘opdrachtgevende partij’ wordt de organisatie bedoeld aan wie wij onze diensten leveren en via wie wij jouw gegevens hebben ontvangen.
  5. Grond voor verwerking: op welke wettelijke basis de gegevens worden gebruikt.
Type dienst Type gegevens Bewaartermijnen Verantwoordelijke Grond voor verwerking
Algemeen Adres waar de diensten worden geleverd. Zes maanden na einde dienstverlening Opdrachtgevende partij Uitvoering overeenkomst
Bedrijfsnaam voor facturatie. Zeven jaar Opdrachtgevende partij Wettelijke verplichting
Verkeersinformatie e-mails, telefonie en internet in het kader van een wettelijke aftapverplichting of informatieverzoek. Zes maanden Helden Van Nu Wettelijke verplichting
Informatie aangeleverd door gebruiker voor supportvragen. Drie jaar Helden Van Nu Uitvoering overeenkomst
Gespreksopnames als je ons belt. 90 dagen Helden Van Nu Gerechtvaardigd belang. Helden Van Nu gebruikt deze gesprekken om haar supportmedewerkers te trainen en als bewijs van gemaakte afspraken.
Internetverbinding ServiceId verbinding, LineId en publiek IP-adres(sen). Tot einde dienstverlening Opdrachtgevende partij Uitvoering overeenkomst
VoIP-telefonie IP-adres en MAC-adres toestel, naam en telefoonnummer contacten. Tot einde dienstverlening Opdrachtgevende partij Uitvoering overeenkomst
Mobiele telefonie Simkaartnummer, toestelnummer (IMEI), grensovergang-berichten en bundelnotificaties. Tot einde dienstverlening Opdrachtgevende partij Uitvoering overeenkomst
VoIP en mobiel Gebruikgegevens: met wie, waar, wanneer en hoeveel is gebeld. Zes maanden Helden Van Nu Uitvoering overeenkomst
Geluidsopnames van jouw gesprekken indien je deze functionaliteit afneemt. Afhankelijk van de afgenomen deinstverlening door de gebruiker Opdrachtgevende partij Uitvoering overeenkomst
247 Alarm Contactgegevens sleutelhouders. Tot einde dienstverlening Opdrachtgevende partij Uitvoering overeenkomst
Website en smartphone applicaties Bezoekstatistieken, functionele en statistische cookies. Eén jaar Helden Van Nu Gerechtvaardigd belang. Helden Van Nu gebruikt deze gegevens voor het verbeteren van haar websites en applicaties, om te kijken welke functionaliteiten of artikelen populair zijn en ter versterking van de beveiliging.

Subverwerkers

Verwerker heeft met haar subverwerkers subverwerkersovereekomsten gesloten:

  • The Feedback Company B.V., ook handelend onder de naam Feedback Company, gevestigd en kantoorhoudend te (3521 AL) Utrecht, aan het Jaarbeursplein 6.
  • Make Marketing Magic B.V., gevestigd en kantoorhoudende te Amsterdam aan de Vliegtuigstraat 6G
  • ROUTIT B.V., een besloten vennootschap met beperkte aansprakelijkheid,gevestigd te Ede en kantoorhoudende te (6716BX) Ede aan het adres Maxwellstraat 51

Bijlage 2: Omschrijving nadere beveiligingsmaatregelen

  • Er is een informatiebeveiligingsbeleid opgesteld. In het beleid zijn regels opgenomen over de omgang met Persoonsgegevens. Medewerkers zijn op de hoogte van de inhoud van dit beleid.
  • Er is een procedure ingesteld over de omgang met en de afhandeling van Datalekken.
  • Er wordt dagelijks een back-up gemaakt van de servers om beschadiging of verlies van (Persoons)gegevens te voorkomen.
  • Medewerkers van Verwerker maken gebruik van sterke wachtwoorden (minimaal 8 tekens, inclusief minimaal één nummer en één speciaal karakter zoals !@#$%^&()*).
  • Alle interne systemen zijn beveiligd met firewalls en/of IP filtering
  • Waar mogelijk is antivirus en antimalware software geïnstalleerd en actief.
  • Er is een procedure ingesteld om applicaties up-to-date te houden.
  • Er geldt een retentiebeleid waarin de bewaartermijnen van (Persoons)gegevens zijn opgenomen. Waar mogelijk is het verwijderen van (Persoons)gegevens geautomatiseerd.