Verwerkersovereenkomst (eenzijdig) / Data Processing Agreement (one-sided)

 

  1. Algemeen
  • AVG: de Algemene Verordening Gegevensbescherming (verordening (EU) 2016/679) inclusief de uitvoeringswet van deze verordening
  • Betrokkene: degene op wie de Persoonsgegevens betrekking hebben, zoals bedoeld in artikel 4 lid 1 AVG.
  • Inbreuk in verband met Persoonsgegevens: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens als bedoeld in artikel 4 lid 12 AVG.
  • Hoofdovereenkomst: de tussen Verwerkingsverantwoordelijke en Verwerker gesloten hoofdovereenkomst(en), inclusief bijlagen, waarop deze Verwerkersovereenkomst betrekking heeft.
  • Medewerkers: Personen die werkzaam zijn bij Verwerkingingsverantwoordelijke of bij Verwerker, ofwel in dienstbetrekking dan wel tijdelijk ingehuurd.
  • Ontvanger: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan, al dan niet een derde, aan wie/waaraan de Persoonsgegevens worden verstrekt.
  • Partijen: Verwerkingsverantwoordelijke en Verwerker.
  • Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (de Betrokkene) die in het kader van de Hoofdovereenkomst worden verwerkt zoals bedoeld in artikel 4 lid 1 AVG; als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.
  • Subverwerker: een andere verwerker die door de Verwerker wordt ingeschakeld om ten behoeve van een Verwerkerkingsverantwoordelijke Persoonsgegevens te Verwerken.
  • Verwerker: de natuurlijke persoon of rechtspersoon, een overheidsorganisatie, een dienst of een ander orgaan die/dat ten behoeve van de Verwerkingsverantwoordelijke Persoonsgegevens verwerkt zoals bedoeld in artikel 4 lid 8 AVG.
  • Verwerken/Verwerking: een bewerking of een geheel van bewerkingen met betrekking tot Persoonsgegevens of een geheel van Persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens zoals bedoeld in artikel 4 lid 2
  • Verwerkingsverantwoordelijke: de natuurlijke persoon of rechtspersoon, een overheidsorganisatie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, met doel van en de middelen voor de Verwerking van Persoonsgegevens vaststelt zoals bedoeld in artikel 4 lid 7 AVG.
  • Verwerkersovereenkomst: deze Verwerkersovereenkomst voor het vastleggen van de afspraken zoals bedoeld in artikel 28 lid 3 AVG.
  1. Toepasselijkheid
  • Deze Verwerkersovereenkomst heeft betrekking op de Verwerking van Persoonsgegevens door Verwerker in opdracht van de Verwerkingsverantwoordelijke in het kader van de uitvoering van de Hoofdovereenkomst.
  • De aard en het doel van de Verwerking, het soort Persoonsgegevens en de categorieën van Persoonsgegevens zijn in bijlage 1
  • Verwerker garandeert te voldoen aan de vereisten van de toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens.
  1. Duur en beëindiging
  • Deze Verwerkersovereenkomst is geldig zolang Verwerker de opdracht heeft van de Verwerkingsverantwoordelijke om Persoonsgegevens te verwerken op grond van de uitvoering van de Hoofdovereenkomst.
  • De Verwerkersovereenkomst eindigt op het moment dat de Hoofdovereenkomst eindigt.
  • Geen van Partijen kan deze Verwerkersovereenkomst los van de Hoofdovereenkomst tussentijds opzeggen.
  • Verplichtingen welke naar hun aard bestemd zijn om ook na beëindiging van deze Verwerkersovereenkomst voort te duren, blijven na beëindiging van deze Verwerkersovereenkomst gelden. Tot deze bepalingen behoren bijvoorbeeld die welke voortvloeien uit de bepalingen betreffende geheimhouding, aansprakelijkheid, geschillenbeslechting en toepasselijk recht. 
  1. Verwerking
  • Verwerker Verwerkt de Persoonsgegevens uitsluitend in opdracht en op basis van schriftelijke instructies van Verwerkingsverantwoordelijke behoudens afwijkende wettelijke voorschriften die op Verwerker van toepassing zijn. Verwerker Verwerkt de Persoonsgegevens niet langer of uitgebreider dan noodzakelijk voor de uitvoering van de Hoofdovereenkomst.
  • Indien een instructie als bedoeld in het eerste lid van dit artikel naar het oordeel van Verwerker in strijd is met een wettelijk voorschrift inzake gegevensbescherming, stelt hij Verwerkingsverantwoordelijke daarvan voorafgaand aan de Verwerking in kennis, tenzij een wettelijk voorschrift deze kennisgeving verbiedt.
  • Indien Verwerker op grond van een wettelijk voorschrift Persoonsgegevens dient te verstrekken, informeert hij Verwerkingsverantwoordelijke onmiddellijk, en zo mogelijk voorafgaand aan de verstrekking.
  • Verwerker zorgt ervoor dat alleen zijn Medewerkers toegang hebben tot de Persoonsgegevens. De uitzondering hierop is het inschakelen van Subverwerkers conform het bepaalde in artikel 11 van deze Verwerkersovereenkomst. Verwerker beperkt de toegang tot Medewerkers voor wie de toegang noodzakelijk is voor hun werkzaamheden, waarbij de toegang beperkt is tot Persoonsgegevens die deze Medewerkers nodig hebben voor hun werkzaamheden. Verwerker zorgt er bovendien voor dat de Medewerkers die toegang hebben tot de Persoonsgegevens een juiste en volledige instructie hebben gekregen over de omgang met Persoonsgegevens en dat zij bekend zijn met de verantwoordelijkheden en wettelijke verplichtingen.
  • Verwerkingsverantwoordelijke is wettelijk verplicht de vigerende wet- en regelgeving op het gebied van privacy na te leven. In het bijzonder dient Verwerkingsverantwoordelijke vast te stellen of er sprake is van een rechtmatige grondslag voor het Verwerken van de Persoonsgegevens. Verwerker zorgt ervoor dat hij voldoet aan de op hem als Verwerker van toepassing zijnde regelgeving op het gebied van de Verwerking van Persoonsgegevens en de afspraken die zijn gemaakt in deze Verwerkersovereenkomst.
  • De Verwerking vindt plaats onder verantwoordelijkheid van Verwerkingsverantwoordelijke. Verwerker heeft geen zeggenschap over het doel en de middelen van de Verwerking en neemt geen beslissingen over zaken als het gebruik van Persoonsgegevens, de bewaartermijn van de voor Verwerkingsverantwoordelijke verwerkte Persoonsgegevens en het verstrekken van Persoonsgegevens aan derden. Verwerkingsverantwoordelijke moet ervoor zorgen dat hij het doel en de middelen van de Verwerking van de Persoonsgegevens duidelijk heeft vastgesteld.
  1. Beveiliging
  • Verwerker heeft de beveiligingsmaatregelen genomen die zijn genoemd in de bijlage 2 die bij deze Verwerkersovereenkomst hoort. Bij het nemen van de beveiligingsmaatregelen is rekening gehouden met de te mitigeren risico’s, de stand van de techniek en de kosten van de beveiligingsmaatregelen. Deze beveiligingsmaatregelen omvatten in ieder geval:
    1. de encryptie/pseudonimisering (versleuteling) van Persoonsgegevens;
    2. het vermogen om op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen en diensten te garanderen;
    3. het vermogen om bij een fysiek of technisch incident de beschikbaarheid van en de toegang tot de Persoonsgegevens tijdig te herstellen;
    4. een procedure voor het op gezette tijdstippen testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging van Verwerking.
  • Verwerkingsverantwoordelijke heeft zich goed geïnformeerd over de beveiligingsmaatregelen die Verwerker heeft genomen en is van mening dat deze maatregelen een beveiligingsniveau hebben dat past bij de aard van de Persoonsgegevens en de omvang, context, doeleinden en risico’s van de Verwerking.
  • Partijen erkennen dat het waarborgen van een passend beveiligingsniveau voortdurend kan dwingen tot het treffen van aanvullende beveiligingsmaatregelen. Verwerker waarborgt een op het actuele risico afgestemd beveiligingsniveau. Verwerker zal Verwerkingsverantwoordelijke informeren als een van de beveiligingsmaatregelen substantieel wijzigt.
  • Verwerker biedt passende waarborgen voor de toepassing van de technische en organisatorische beveiligingsmaatregelen met betrekking tot de te verrichten Verwerkingen. Indien Verwerkingsverantwoordelijke de wijze waarop Verwerker de beveiligingsmaatregelen naleeft wil laten inspecteren, dan kan Verwerkingsverantwoordelijke hiertoe een verzoek aan Verwerker doen. Verwerker en Verwerkingsverantwoordelijke zullen hierover gezamenlijk afspraken maken. De kosten van een inspectie zijn voor rekening van Verwerkingsverantwoordelijke. Verwerkingsverantwoordelijke stelt aan Verwerker een kopie van het inspectierapport ter beschikking.
  • Verwerker zal, tenzij hij hiervoor uitdrukkelijke voorafgaande schriftelijke toestemming heeft verkregen van Verwerkingsverantwoordelijke, geen Persoonsgegevens Verwerken of laten Verwerken door hemzelf of door derden in landen buiten de Europese Unie (“EU”).
  1. Geheimhouding
  • Op alle Persoonsgegevens die Verwerker van Verwerkingsverantwoordelijke ontvangt en/of zelf verzamelt of dient te verzamelen met het doel deze te Verwerken overeenkomstig het in de Hoofdovereenkomst daartoe bepaalde, rust een geheimhoudingsplicht jegens derden.
  • Verwerker zal de Persoonsgegevens niet voor een ander doel gebruiken dan waarvoor hij deze heeft verkregen, zelfs niet wanneer deze in een zodanige vorm is gebracht zodat deze niet tot Verwerkingsverantwoordelijke of natuurlijke personen, zoals de Betrokkene, herleidbaar is.
  • Verwerker waarborgt dat de tot het Verwerken van de Persoonsgegevens gemachtigde personen zich ertoe hebben verbonden vertrouwelijkheid in acht te nemen, of door een passende wettelijke verplichting van vertrouwelijkheid zijn gebonden.
  • De geheimhoudingsplicht is niet van toepassing voor zover Verwerkingsverantwoordelijke of de Betrokkene zelf uitdrukkelijk toestemming heeft gegeven om de Persoonsgegevens aan een derde te verstrekken of indien en voor zover er een wettelijke verplichting bestaat om informatie aan een derde te verstrekken.
  • Indien Verwerker van de diensten van Subverwerkers gebruik maakt, zorgt hij er onvoorwaardelijk voor dat de Subverwerkers dezelfde geheimhoudingsplicht als tussen Partijen is overeengekomen schriftelijk zal aanvaarden en deze geheimhoudingsplicht ook strikt zal naleven.
  1. Overdraagbaarheid
  • Het is voor partijen tenzij zij dat gezamenlijk overeenkomen en schriftelijk afspreken, niet toegestaan om deze Verwerkersovereenkomst en de rechten en de plichten die samenhangen met deze Verwerkersovereenkomst over te dragen aan een ander.
  1. Aansprakelijkheid
  • Verwerkingsverantwoordelijke staat er voor in dat de Verwerking van Persoonsgegevens op basis van deze Verwerkersovereenkomst niet onrechtmatig is en geen inbreuk maakt op de rechten van Betrokkene(n).
  • Verwerker is niet aansprakelijk voor schade die het gevolg is van het door Verwerkingsverantwoordelijke niet naleven van de AVG of andere wet- of regelgeving.
  • De in de Hoofdovereenkomst en daarbij behorende algemene voorwaarden overeengekomen beperking van de aansprakelijkheid van Verwerker is van kracht op de verplichtingen zoals opgenomen in deze Verwerkersovereenkomst.
  1. Meewerkingsverplichtingen
  • De AVG en overige (privacy)wetgeving kent aan de Betrokkene bepaalde rechten toe. Verwerker zal zijn volledige en tijdige medewerking verlenen aan Verwerkingsverantwoordelijke bij de nakoming van de op Verwerkingsverantwoordelijke rustende verplichtingen jegens de Betrokkene.
  • Een door Verwerker ontvangen klacht of een verzoek van een Betrokkene met betrekking tot Verwerking van Persoonsgegevens wordt door Verwerker zonder uitstel doorgestuurd naar Verwerkingsverantwoordelijke.
  • Op het eerste daartoe strekkende verzoek van Verwerkingsverantwoordelijke zal Verwerker aan Verwerkingsverantwoordelijke alle relevante informatie verstrekken betreffende de aspecten van de door hem verrichte Verwerking van Persoonsgegevens zodat Verwerkingsverantwoordelijke, mede aan de hand van die informatie, aan kan tonen dat hij de toepasselijke (privacy) wetgeving naleeft.
  • Verwerker zal voorts op eerste verzoek van Verwerkingsverantwoordelijke alle noodzakelijke bijstand verlenen bij de nakoming van de op grond van de toepasselijke privacywetgeving op Verwerkingsverantwoordelijke rustende wettelijke verplichtingen (zoals bijvoorbeeld het uitvoeren van een privacy impact assessment). Verwerker kan aan Verwerkingsverantwoordelijke kosten in rekening brengen voor de bijstand die in het kader van dergelijke verzoeken is verleend. 
  1. Inbreuk in verband met Persoonsgegevens
  • Verwerker informeert Verwerkingsverantwoordelijke zonder onredelijke vertraging, zodra hij kennis heeft genomen van een Inbreuk in verband met Persoonsgegevens, overeenkomstig de afspraken zoals vastgelegd in bijlage 3. Verwerker streeft ernaar de Verwerkingsverantwoordelijke binnen 48 uur op de hoogte te stellen nadat de Verwerker de Inbreuk in verband met Persoonsgegevens heeft ontdekt of zo snel mogelijk nadat Verwerker daarover is geïnformeerd door een Subverwerker.
  • Verwerker informeert Verwerkingsverantwoordelijke ook over de ontwikkelingen betreffende de door Verwerker gemelde Inbreuk in verband met Persoonsgegevens.
  • De melding van een Inbreuk in verband met Persoonsgegevens aan de Autoriteit Persoonsgegevens en (eventueel) Betrokkene(n) is altijd de eigen verantwoordelijkheid van een Verwerkingsverantwoordelijke.
  • Het (bij)houden van een register van Inbreuken in verband met Persoonsgegeven is altijd een eigen verantwoordelijkheid van een Verwerkingsverantwoordelijke.  
  1. Inschakeling van Subverwerkers
  • Verwerker zal zijn activiteiten die bestaan uit het Verwerken van Persoonsgegevens niet uitbesteden aan een subverwerker zonder voorafgaande schriftelijke toestemming van Verwerkingsverantwoordelijke.
  • Voor zover Verwerkingsverantwoordelijke instemt met de inschakeling van een subverwerker, zal Verwerker aan deze subverwerker dezelfde of strengere verplichtingen opleggen als voor hemzelf uit deze Verwerkersovereenkomst en de wet voortvloeien. Verwerker zal deze afspraken schriftelijk vastleggen en zal toezien op de naleving daarvan door de Subverwerker. Verwerker zal Verwerkingsverantwoordelijke op verzoek afschrift verstrekken van de met de Subverwerker gesloten overeenkomst(en).
  • Ondanks de toestemming van Verwerkingsverantwoordelijke voor het inschakelen van een subverwerker die in opdracht van de Verwerker (gedeeltelijk) gegevens verwerkt, blijft Verwerker volledig aansprakelijk jegens Verwerkingsverantwoordelijke voor de gevolgen van het uitbesteden van werkzaamheden aan een subverwerker. De toestemming van Verwerkingsverantwoordelijke voor het uitbesteden van werkzaamheden aan een subverwerker laat onverlet dat voor de inzet van subverwerker in een land buiten de EU toestemming vereist is in overeenstemming met artikel 5 van deze Verwerkersovereenkomst.
  1. Informatieverplichting en audits
  • Verwerker stelt alle informatie ter beschikking die nodig is om aan te tonen dat de verplichtingen uit deze Verwerkersovereenkomst zijn en worden nagekomen.
  • Verwerker stelt de Verwerkingsverantwoordelijke alle informatie ter beschikking die nodig is om:
    1. de nakoming van de in deze Verwerkersovereenkomst neergelegde verplichtingen waaronder de verplichtingen als opgesomd in artikel 5.1 t/m 5.3 van deze Verwerkersovereenkomst aan te tonen;
    2. audits mogelijk te maken, waaronder inspecties, door de Verwerkingsverantwoordelijke of een door de Verwerkingsverantwoordelijke gemachtigde controleur. 
  1. Terugbezorgen of wissen
  • Na afloop van de Verwerkersovereenkomst draagt Verwerker, naar gelang de keuze van Verwerkingsverantwoordelijke, zorg voor het terugbezorgen aan Verwerkingsverantwoordelijke of het wissen van alle Persoonsgegevens. Verwerker verwijdert kopieën, behoudens afwijkende wettelijke voorschriften.
  1. Toepasselijk recht en bevoegde rechter
  • Op de Verwerkersovereenkomst is Nederlands recht van toepassing.
  • Geschillen over de inhoud en uitvoering van de Verwerkersovereenkomst zullen worden beslecht door de rechter binnen het arrondissement waar de Verwerkingsverantwoordelijke is gevestigd.

 

 

 

Bijlage 1. Verwerking van Persoonsgegevens

AARD VAN DE VERWERKING EN SOORT PERSOONSGEGEVENS

De Verwerkingsverantwoordelijke laat de Verwerker onder andere de volgende Gegevens door Verwerkingsverantwoordelijke verwerken in het kader van de uitvoering van alle werkzaamheden waartoe opdracht is gegeven, of die door de Verwerker uit anderen hoofde worden verricht. Het voorgaande geldt in de ruimste zin van het woord en omvat in ieder geval de werkzaamheden zoals vermeld in de opdrachtbevestiging(en);

  • Naam (voorletters, tussenvoegsels, achternaam)
  • Adres, Postcode, Woonplaats, Land;
  • Telefoonnummer(s);
  • E-mailadres;
  • Geboortedatum, geboorteplaats en geslacht;
  • Burgerlijke staat;
  • Gegevens ID-bewijs (in verband met de Wwft)
  • Bankrekeningnummer(s);
  • Kentekengegevens voertuigen;
  • Salarisgegevens;
  • BSN-nummers;
  • NAW-gegevens en BSN van personeelsleden van Verwerkingsverantwoordelijke

De werkzaamheden waarvoor bovengenoemde Gegevens mogen worden verwerkt, uitsluitend indien noodzakelijk, zijn in ieder geval:

  • De werkzaamheden, te beschouwen als de primaire dienstverlening, in het kader waarvan Verwerkingsverantwoordelijke een opdracht heeft verstrekt aan Verwerker;
  • Het onderhoud, waaronder updates en releases van het door Verwerker dan wel Sub verwerker aan Verwerkingsverantwoordelijke ter beschikking gestelde systeem;

 

 

Bijlage 2: Passende technische en organisatorische maatregelen

TECHNISCHE EN ORGANISATORISCHE BEVEILINGSMAATREGELEN

Verwerker verklaart onder andere de volgende technische en/of organisatorische maatregelen te hebben getroffen om te kunnen voldoen aan hetgeen is bepaald in artikel 5 van deze Overeenkomst.


Technische beveiligingsmaatregelen:

  • Up-to-date fire wall;
  • Up-to-date anti-virus software;
  • Adequate back-up and recovery procedure;
  • Dubbele autorisaties bij toegang tot systeem en applicatie;
  • Unieke inlogcode en wachtwoord (die we regelmatig aanpassen);
  • Versleutelde e-mailverkeer;
  • Versleutelde omgeving voor bestanden overdracht;
  • Accurate beveiliging medewerkerstelefoon;
  • Geen gebruik meer maken van onbeveiligde externe harde schijven;
  • Geen gebruik meer van USB-Sticks;
  • Geen documenten op laptop opslaan.

Organisatorische beveiligingsmaatregelen

  • Wij hanteren een Clean desk policy;
  • Alle medewerkers tekenen een geheimhoudingsovereenkomst;
  • Medewerkers hebben alleen toegang tot applicatie die noodzakelijk is voor uitvoering werkzaamheden;
  • Locken van desktop en laptop bij inactiviteit;
  • Laptop niet onbemand achterlaten;
  • Laptop nooit achterlaten in de auto;
  • We testen en evalueren onze beveiligingsmaatregelen regelmatig;
  • Oude documenten, data en hardware op veilige manier vernietigen.

 

 

Bijlage 3: Afspraken betreffende Inbreuk in verband met Persoonsgegevens

INBREUK PERSOONSGEGEVENS

In geval van een door Verwerker geconstateerde inbreuk op de beveiliging van Persoonsgegevens of van een verlies of aantasting van Persoonsgegevens zal Verwerker Verwerkingsverantwoordelijke hiervan binnen 48 (achtenveertig) uur na de ontdekking op de hoogte stellen door middel van het verzenden van een e-mail naar het bekende e-mailadres van de Verwerkingsverantwoordelijke.

In deze e-mail dient Verwerker in ieder geval aan te geven dat sprake is geweest van een Inbreuk in verband met Persoonsgegeven, wat de (vermeende) oorzaak is daarvan het de Inbreuk in verband met Persoonsgegevens, wat het (vooralsnog bekende en/of te verwachten) gevolg is, wat de (voorgestelde) oplossing is en wie reeds geïnformeerd is.

 

  1. General
  • Controller: the natural person or legal person, public authority, agency or other body which, alone or jointly with others, determines the purposes of and means for the Processing of Personal data as referred to in article 4 section 7 GDPR.
  • Data subject: the natural person to whom the Personal data relate, as referred to in article 4 section 1 GDPR.
  • Employees: Natural persons working for the Controller or the Processor, whether based on an employment contract or hired on a temporary basis.
  • GDPR: the General Data Protection Regulation (Regulation (EU) 2016/679), including the implementation Act of this regulation.
  • Main agreement: the main agreement/agreements between the Controller and the Processor, including appendixes, which is/are governed by this Processing Agreement.
  • Parties: Controller and Processor.
  • Personal data: any information relating to an identified or identifiable natural person (‘data subject’) that is processed in the context of the Main agreement as referred to in article 4 section 1 GDPR; an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person.
  • Personal data breach: a breach of security leading to the accidental or unlawful destruction, loss, alteration, unauthorised disclosure of, or access to, personal data transmitted, stored or otherwise processed as referred to in article 4 section 12 GDPR.
  • Processing: any operation or set of operations which is performed on Personal data or on sets of Personal data, whether or not by automated means, such as collection, recording, organisation, structuring, storage, adaptation or alteration, retrieval, consultation, use, disclosure by transmission, dissemination or otherwise making available, alignment or combination, restriction, erasure or destruction as referred to in article 4 section 2 GDPR.
  • Processor contract: The Processor contract in which the agreements as referred to in article 28 section 3 GDPR are laid down.
  • Processor: a natural or legal person, public authority, agency or other body which processes Personal data on behalf of the Controller as referred to in article 4 section 8 GDPR.
  • Recipient: a natural person or legal person, a public authority, agency or another body, to which the personal data are disclosed, whether a third party or not.
  • Sub-Processor: a different processor who is appointed by the Processor to process Personal data for the benefit of a Controller.
  1. Applicability
  • This Processor Contract is related to the Processing of Personal data by the Processor on the instructions of the Controller in the context of the performance of the Main agreement.
  • The nature and purpose of the Processing, the type of Personal data and the categories of Personal data have been set out in appendix 1.
  • The Processor guarantees that it meets the requirements of applicable rules and regulations on the Processing of Personal data.
  1. Duration and Termination
  • This Processor Contract will enter into effect in the context of the performance of the Main agreement.
  • The Processor Contract will end when the Main agreement ends.
  • Neither Party has the right to terminate this Processor Contract early without termination of the Main agreement.
  • Obligations which by their nature are intended to continue even after termination of this Processor Contract will continue to exist after termination of this Processor Contract. This applies, inter alia, to stipulations arising from provisions on secrecy, liability, dispute resolution and applicable law.
  1. Processing
  • The Processor will Process the Personal data exclusively as ordered by and based on written instructions of the Controller, except where otherwise provided by laws that apply to the Processor. The Processor will Process the Personal data no longer or more extensively than is necessary for the performance of the Main agreement.
  • If, in the view of the Processor, an instruction as referred to under the first section of this article is contrary to any statutory regulation on data protection, it will notify the Controller thereof beforehand, unless a statutory provision prohibits such notification.
  • If, based on a statutory provision, the Processor is obliged to provide Personal data, it will notify the Controller thereof immediately, if possible prior to the provision.
  • The Processor will ensure that only its Employees have access to the Personal data. The only exception is the appointment of Sub-Processors in conformity with the provisions under article 11 of this Processor Contract. The Processor limits the access of Employees to those for whom access is essential in the performance of their tasks, in which case access is limited to those Personal data said employees need for the performance of their tasks. The Processor will also ensure that the Employees who have access to the Personal data have received a correct and full instruction on the handling of Personal data and that they are aware of the responsibilities and legal requirements.
  • The Controller is legally obliged to observe prevailing laws and regulations pertaining to privacy. The Controller must in particular verify whether there is question of a legal basis for the Processing of Personal data. The Processor will ensure that it meets all applicable rules and regulations relating to the Processing of Personal data, plus the agreements laid down in this Processor Contract.
  • Processing will take place under the responsibility of the Controller. The Processor does not have any power to decide on the purpose of and means for the Processing and cannot take decisions on matters such as the use of the Personal data, the retention period of the Personal data processed for the Controller and the provision of the Personal data to third parties. The Controller must ensure that the purpose of and means for the Processing of the Personal data are clearly defined.
  1. Security
  • The Processor has taken the security measures included in appendix 2, which appendix forms part of this Processor Contract. The risks to be mitigated, the state of the art and the costs of security measures have been taken into consideration when defining the security measures. The security measures will in any case include:
    1. encryption/pseudonymization (encoding) of Personal data;
    2. the ability to guarantee permanently the confidentiality, integrity, availability and resilience of processing systems and services;
    3. the ability to recover quickly the availability of and access to the Personal data in the event of a physical or technical incident;
    4. a procedure for the periodical testing, assessment and evaluation of the efficacy of the technical and organisational security measures of Processing.
  • The Controller is well informed about the security measures taken by the Processor and believes that these measures guarantee an adequate security level in view of the nature of the Personal data and the size, context, purpose and risks involved in Processing.
  • The Parties acknowledge that ensuring an adequate security level means that it may continually be necessary to take additional security measures. The Processor will guarantee a security level that matches the actual risks. The Processor will notify the Controller if one of the security measures undergoes a substantial change.
  • The Processor offers suitable warranties for the implementation of technical and organisational security measures relating to the Processing. If the Controller wishes to inspect or have inspected the compliance by the Processor with the security measures, then the Controller can file a request to that end to the Processor. The Processor and the Controller will make mutual arrangements in this respect. The costs of an inspection must be paid by the Controller. The Controller will make a copy of the inspection report available to the Processor.
  • Unless with the express written prior permission by the Controller, the Processor will not Process Personal data or have Personal data processed by itself or by third parties in countries outside the European Union (“EU”).
  1. Confidentiality
  • All Personal data received by the Processor from the Controller and/or collected by the Processor itself and/or that the Processor is asked to collect for the purpose of Processing it in conformity with the provisions in the Main agreement, is subject to a duty of confidentiality vis-à-vis third parties.
  • The Processor will not use the Personal data for any other purpose than for which it was received, not even if this data was provided in a form that guarantees that it cannot be traced back to the Controller or any natural person, such as the Data subject.
  • The Processor ensures that the individuals who are authorised to Process the Personal data have undertaken to observe confidentiality, or are bound to observe confidentiality pursuant to a relevant statutory obligation.
  • The obligation to observe confidentiality is not applicable in so far as the Controller or the Data subject himself/herself has given express permission to transfer the Personal data to a third party or if and in so far as a legal obligation exists to provide information to a third party.
  • If the Processor makes use of the services of a Sub-Processor, it will unconditionally ensure that the Sub-Processor accepts in writing the same obligation to observe confidentiality as has been agreed between the Parties and that it will strictly comply with this obligation to observe confidentiality.
  1. Transferability
  • Unless mutually agreed and laid down in writing, the Parties do not have the right to transfer this Processor Contract and the rights and obligations under this Processor Contract to a third party.
  1. Liability
  • The Controller guarantees that the Processing of Personal data under this Processor Contract is not unlawful and does not infringe the rights of Data subjects.
  • The Processor is not liable for damage resulting from the Controller’s non-observance of the GDPR or any other rules or regulations.
  • The limitation of the liability of the Processor as agreed in the Main agreement with accompanying general terms and conditions applies to all obligations under this Processor Contract.
  1. Obligation to Lend Assistance
  • The GDPR and other (privacy) laws assign certain rights to Data subjects. The Processor will lend full and timely assistance to the Controller in the observance of the obligations the Controller has towards Data subjects.
  • The Processor will immediately forward to the Controller all complaints received from and all requests made by Data subjects relating to the Processing of Personal data.
  • Upon the Controller’s first request, the Processor will provide to the Controller all relevant information on aspects relating to the Processing of Personal data as performed by it, in such a way that the Controller, partly based on that information, can prove that it meets applicable (privacy) laws.
  • The Processor will furthermore lend all necessary assistance, upon the Controller’s first request, in the observance of legal obligations on the part of the Controller pursuant to applicable privacy laws (including, for example, the performance of a privacy impact assessment). The Processor will have the right to charge the Controller for the assistance provided by it in the context of such requests.
  1. Personal Data Breach
  • The Processor will notify the Controller without unreasonable delay once it has discovered a Personal data breach, in conformity with the agreements as laid down in appendix 3. The Processor will make efforts to notify the Controller thereof within 48 hours after having discovered the Personal data breach and as soon as possible after the Processor was informed about this by a Sub-Processor.
  • The Processor will also notify the Controller about any developments relating to the Personal data breach as reported by it.
  • The reporting of a Personal data breach to the Data Protection Authority (DPA) and, if relevant, to Data subjects is at all times the sole responsibility of the Controller.
  • Keeping a register of Personal data breaches is at all times the sole responsibility of the Controller.
  1. Appointment of Sub-Processors
  • The Processor will not outsource its activities relating to the Processing of Personal data to a sub-processor without the prior written permission of the Controller.
  • In so far as the Controller agrees to the appointment of a sub-processor, the Processor will subject this sub-processor to the same or stricter obligations as those that apply to the Processor pursuant to this Processor Contract and the law. The Processor will lay down these obligations in writing and will ensure the compliance thereof by that Sub-Processor. If so requested, the Processor will provide to the Controller a copy of the contract/contracts entered into with the Sub-Processor.
  • In spite of the permission given by the Controller for contracting a sub-processor that (partly) Processes data on the instructions of the Processor, the Processor will remain fully liable towards the Controller for the consequences of outsourcing work to a sub-processor. The permission of the Controller for the outsourcing of work to a sub-processor does not affect the fact that the appointment of sub-processors in a country outside the EU requires the permission as referred to under article 5 of this Processor Contract.
  1. Duty of Disclosure and Audits
  • The Processor will make available all information needed to prove that the obligations under this Processor Contract are and have been met.
  • The Processor will make available to the Controller all information needed to:
    1. prove the observance of the obligations laid down in this Processor Contract, including the obligations as mentioned under articles 1 up to and including 5.3 of this Processor Contract;
    2. make audits possible, including inspections performed by the Controller or by an inspector authorised by the Controller.
  1. Return or Deletion
  • Once this Processor Contract ends, the Processor, at the option of the Controller, will ensure the deletion or the return to the Controller of all Personal data. The Processor will delete copies, with due observance of applicable legal provisions.
  1. Applicable Law and Competent Court
  • The Processor Contract is governed by Dutch law.
  • Disputes on the contents and execution of this Processor Contract will be settled by the Court in the district where the Controller has its registered office.

Appendix 1. Processing of Personal data

NATURE OF THE PROCESSING AND OTHER PERSONAL DATA

The processing responsible let the Processor among other things the following data by Processing process responsible in the framework of the implementation of all activities, or other by the processor be carried out. The foregoing applies in the broadest sense of the word and includes in any case the work as stated in the engagement letter (s);

  • name (initials, inserts, last name)
  • address, Post code, city, country;
  • telephone number (s);
  • e-mail address;
  • date of birth, place of birth and sex;
  • marital status;
  • Data ID proof (in connection with the Wwft)
  • bank account number (s);
  • Registration information vehicles;
  • Payroll information;
  • BSN-numbers;
  • Name and address details and BSN Processing staff responsible

The activities for which the above data may be processed, only if necessary, are in any case:

  • the work which must be considered as the primary service, under which Processing has provided to a responsible command Processor;
  • maintenance, including updates and releases of the Processor or Sub processor processing system made available responsible;

Appendix 2: Appropriate Technical and Organisational Measures

TECHNICAL AND ORGANISATIONAL SECURITY MEASURES

Processor explains among other things the following technical and/or organisational measures have taken to enable it to comply with the provisions in article 5 of this agreement;

 

Technical protection measures:

  • Up to date fire wall;
  • Up to date anti-virus software;
  • appropriate back-up and recovery procedure;
  • Double authorizations for access to system and application;
  • Unique login code and password (which we regularly adjust);
  • Encrypted email traffic;
  • Encrypted environment for files transfer;
  • Accurate security employees phone;
  • no longer use unprotected external hard drives;
  • no longer uses USB-Sticks;
  • No documents save on laptop

Organisational security measures

  • We use a Clean desk policy;
  • all employees sign a confidentiality agreement
  • employees only have access to application necessary for implementation activities;
  • Locking it from desktop and laptop when idle;
  • Laptop does not leave unattended;
  • Laptop never leave in the car;
  • We test and evaluate our security measures regularly;
  • old documents, data and hardware on safe way.

Appendix 3: Agreements on Personal Data Breach

 

INFRINGEMENT OF PERSONAL DATA

If the Processor discovers a breach of the security of Personal data or a loss of or interference with Personal data, the Processor will notify the Controller thereof within 48 (forty-eight) hours after the discovery, by means of an e-mail sent email to the known email address of the processing responsible

 

In this e-mail, the Processor must in any case indicate that there has been question of a Personal data breach, what the (presumed) cause of that Personal data breach is, what the (known and/or expected) consequences are, what the (suggested) solution is and which parties have been informed so far.