Verwerkersovereenkomst

PARTIJEN:

1. Bedrijfsnaam, statutair gevestigd en kantoorhoudende te Vestigingsplaats. aan Vestigingsadres, vertegenwoordigd door Voornaam, Achternaam en hierna te noemen “Verwerkingsverantwoordelijke”

en

2. de besloten vennootschap PDE Practicom B.V., handelend onder de naam Radar360, statutair gevestigd te Rijswijk en kantoorhoudende te (2514 BB) 's-Gravenhage, aan de Dr. Kuyperstraat 14, vertegenwoordigd door J.L.C. Joppe, en hierna te noemen “Verwerker”.

OVERWEGINGEN:

I. Verwerkingsverantwoordelijke heeft met Verwerker een overeenkomst gesloten tot het leveren van SAAS diensten of zal een dergelijke overeenkomst sluiten. Deze overeenkomst wordt hierna als “de Hoofdovereenkomst” aangeduid.

II. Verwerker zal bij het uitvoeren van de Hoofdovereenkomst gegevens verwerken waarvoor Verwerkingsverantwoordelijke verantwoordelijk is en blijft. Tot die gegevens behoren persoonsgegevens in de zin van de Algemene Verordening Gegevensbescherming (EU 2016/679), hierna de “AVG”.

III. Partijen willen, gelet op het bepaalde in artikel 28 lid 3 AVG, de voorwaarden van de verwerking van de persoonsgegevens in deze overeenkomst vastleggen.

OVEREENKOMST:

1 Toepassingsgebied

1.1 Deze overeenkomst is van toepassing voor zover bij het leveren van de diensten onder de Hoofdovereenkomst persoonsgegevens worden verwerkt zoals opgenomen in Bijlage 1.

1.2 De verwerkingen van Bijlage 1 worden hierna “de Verwerkingen” genoemd. De persoonsgegevens die daarbij worden verwerkt worden hierna “de Persoonsgegevens” genoemd.

1.3 Met betrekking tot de Verwerkingen is Verwerkingsverantwoordelijke de verwerkingsverantwoordelijke en Verwerker de verwerker.

1.4 Alle begrippen in deze overeenkomst hebben de betekenis die daar in de AVG aan wordt gegeven.

1.5 Indien meer en andere persoonsgegevens in opdracht van Verwerkingsverantwoordelijke worden verwerkt of indien anders wordt verwerkt dan in dit artikel omschreven, geldt deze overeenkomst zoveel mogelijk ook voor die verwerkingen.

1.6 De bijlagen maken onderdeel uit van deze overeenkomst. Het gaat om:
Bijlage 1 de Verwerkingen, de Persoonsgegevens en de bewaartermijnen;
Bijlage 2 de subverwerkers en/of categorieën subverwerkers die Verwerkingsverantwoordelijke goedkeurt.

2 Onderwerp

2.1 Verwerkingsverantwoordelijke heeft en houdt volledige zeggenschap over de Persoonsgegevens.

2.2 De Verwerkingen geschieden uitsluitend in het kader van de Hoofdovereenkomst. Verwerker verwerkt Persoonsgegevens niet anders dan in de Hoofdovereenkomst voorzien. Met name gebruikt de Verwerker de Persoonsgegevens niet voor eigen doeleinden.

2.3 Verwerker verricht de Verwerkingen op behoorlijke en zorgvuldige wijze.

3 Beveiligingsmaatregelen

3.1 Verwerker neemt alle technische en organisatorische beveiligingsmaatregelen die op grond van de AVG en in het bijzonder op grond van artikel 32 AVG van haar worden geëist.

3.2 Verwerker draagt ervoor zorg dat personen, niet beperkt tot werknemers, die bij Verwerker deelnemen aan de Verwerkingen zijn gebonden aan een geheimhoudingsverplichting ter zake van de Persoonsgegevens.

4 Datalekken & Privacy Impact Assessment

4.1 Verwerker zal Verwerkingsverantwoordelijke op de hoogte stellen van iedere “inbreuk in verband met persoonsgegevens” als bedoeld in artikel 4 sub 12 AVG. Zo’n inbreuk wordt hierna: “Datalek” genoemd.

4.2 Verwerker verschaft Verwerkingsverantwoordelijke tijdig alle informatie die hij bezit en die nodig is om aan de verplichtingen uit artikel 33 AVG te voldoen. Verwerker verschaft de betreffende informatie overigens zo snel mogelijk in een door Verwerker te bepalen gangbaar formaat.

4.3 Verwerker brengt de Verwerkingsverantwoordelijke onverwijld op de hoogte over een Datalek indien het Verwerker duidelijk is dat dat Datalek waarschijnlijk een risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Datalekken waarbij duidelijk is dat die geen risico inhouden voor de rechten en vrijheden van natuurlijke personen kan Verwerker ook onverwijld melden maar ook op een later tijdstip mits dit zonder onredelijke vertraging gebeurt. Indien er ruimte is voor twijfel omtrent de vraag of het al dan niet waarschijnlijk is dat een Datalek een risico inhoudt voor de rechten en vrijheden van natuurlijke personen, meldt Verwerker het Datalek altijd onverwijld aan de Verwerkingsverantwoordelijke.

4.4 Het is uitsluitend aan Verwerkingsverantwoordelijke te bepalen of een bij Verwerker geconstateerd Datalek wordt gemeld aan de Autoriteit Persoonsgegevens en/of aan betreffende betrokkenen.

4.5 Verwerker verleent de Verwerkingsverantwoordelijke, voor zover redelijkerwijs mogelijk en rekening houdend met de aard van de verwerkingen en de stand van de techniek, bijstand bij het voldoen aan de verplichtingen uit artikel 35 en 36 AVG.

5 Inschakelen derden voor Verwerker en data-overdracht 

5.1 Als onderdeel van het leveren van diensten aan verwerkingsverantwoordelijke conform de dienstenovereenkomsten en deze overeenkomst, zal verwerker derden (subverwerkers) inschakelen bij de uitvoering van deze overeenkomst en verwerkingsverantwoordelijke geeft algemene toestemming voor het mogen inschakelen van voornoemde subverwerkers door verwerker. Deze subverwerkers kunnen bedrijven binnen de Visma groep zijn of externe derde partijen. Alle subverwerkers met toegang tot persoonsgegevens zijn opgenomen in BIjlage 2. Verwerker ziet erop toe dat subverwerkers akkoord gaan met het accepteren van de verantwoordelijkheden en daarmee corresponderende verplichtingen zoals neergelegd in deze Overeenkomst.

5.2 Een overzicht van de huidige subverwerkers met toegang tot Persoonsgegevens is beschikbaar in het Visma Trust Centre en raadpleegbaar via: https://www.visma.com/trust-centre/product-search/. De verwerker kan andere in de EU/EER gevestigde bedrijven van de Visma-groep als subverwerker inschakelen zonder dat het Visma-bedrijf is opgenomen in de lijst van Trust Center en zonder voorafgaande goedkeuring of kennisgeving aan de verwerkingsverantwoordelijke. Dit gebeurt gewoonlijk ten behoeve van o.a. ontwikkeling en ondersteuningsactiviteiten. Verwerkingsverantwoordelijke mag gedetailleerdere informatie over subverwerkers bij verwerker opvragen. 

5.3 Indien de subverwerkers buiten de EU of de EER zijn gevestigd, machtigt verwerkingsverantwoordelijke Verwerker om namens verwerkingsverantwoordelijke voor de doorgifte van persoonsgegevens buiten de EU/EER te zorgen voor passende rechtsgronden door het aangaan van EU-Standard Contractual Clauses (SCC’s). 

5.4 De verwerkingsverantwoordelijke wordt vooraf in kennis gesteld van elke wijziging van subverwerkers die Persoonsgegevens verwerken. Indien de verwerkingsverantwoordelijke bezwaar maakt tegen een nieuwe subverwerker binnen 30 dagen na de kennisgeving, beoordelen de verwerker en de verwerkingsverantwoordelijke de documentatie over de beveiligingsmaatregelen van de subverwerker, teneinde de naleving van de toepasselijke privacywetgeving te waarborgen. Indien de verwerkingsverantwoordelijke blijvend bezwaren heeft en daarvoor redelijke gronden heeft, kan de verwerkingsverantwoordelijke zich niet tegen het gebruik van een dergelijke subverwerker verzetten (met name gezien de aard van online standaardsoftware), maar kan de verwerkingsverantwoordelijke de dienstenovereenkomst opzeggen.

6 Geheimhoudingsplicht

6.1 Verwerker houdt de Persoonsgegevens geheim. Verwerker draagt ervoor zorg dat de Persoonsgegevens niet direct of indirect ter beschikking komen van derden. Onder derden wordt ook het personeel van Verwerker begrepen voor zover het niet noodzakelijk is dat zij kennis nemen van de Persoonsgegevens. Dit gebod geldt niet indien in deze overeenkomst anders is bepaald en/of voor zover een wettelijk voorschrift of vonnis tot enige bekendmaking verplicht.

6.2 Verwerker zal Verwerkingsverantwoordelijke op de hoogte stellen van ieder verzoek van een ander dan de betrokkenen tot kennisneming, verstrekking of andere vorm van opvragen en mededeling van de Persoonsgegevens in strijd met de in dit artikel opgenomen geheimhoudingsplicht tenzij de wet dat verbiedt.

7 Bewaartermijnen en wissen/vernietigen

7.1 Verwerkingsverantwoordelijke is verantwoordelijk voor het bepalen van de bewaartermijnen met betrekking tot de Persoonsgegevens.

7.2 Verwerker zal de Persoonsgegevens binnen dertig dagen na het einde van de Hoofdovereenkomst wissen of, naar keuze van de Verwerkingsverantwoordelijke, aan deze overdragen, tenzij de Persoonsgegevens langer bewaard moeten worden, zoals in het kader van (wettelijke) verplichtingen van Verwerker, dan wel indien Verwerkingsverantwoordelijke verzoekt Persoonsgegevens langer te bewaren en Verwerker en Verwerkingsverantwoordelijke over de kosten en overige voorwaarden van dat langere bewaren overeenstemming bereiken, dit laatste onverminderd de verantwoordelijkheid van Verwerkingsverantwoordelijke de wettelijke bewaartermijnen in acht te nemen. Een eventuele overdracht aan de Verwerkingsverantwoordelijke geschiedt op kosten van de Verwerkingsverantwoordelijke.

7.3 Verwerker zal op verzoek van Verwerkingsverantwoordelijke verklaren dat het wissen in het voorgaande lid bedoeld heeft plaatsgevonden. Verwerkingsverantwoordelijke kan op eigen kosten een controle laten uitvoeren of dat inderdaad is gebeurd. Artikel 10 van deze overeenkomst is van toepassing op die controle. Verwerker zal voor zover nodig alle subverwerkers die betrokken zijn bij de verwerking van de Persoonsgegevens op de hoogte stellen van een beëindiging van de Hoofdovereenkomst en zal hen instrueren te handelen zoals hierin bepaald is.

8 Rechten van betrokkenen

8.1 Indien Verwerkingsverantwoordelijke zelf toegang heeft tot de Persoonsgegevens voldoet hij zelf aan alle verzoeken van de betrokkenen met betrekking tot de Persoonsgegevens. Verwerker zal eventueel door Verwerker ontvangen verzoeken onverwijld aan Verwerkingsverantwoordelijke doorgeven.

8.2 Alleen voor zover het in het voorgaande lid bedoelde niet mogelijk is, zal Verwerker zijn volledige en tijdige medewerking verlenen aan Verwerkingsverantwoordelijke om:
(i) na goedkeuring van en in opdracht van Verwerkingsverantwoordelijke betrokkenen toegang te laten krijgen tot de hun betreffende Persoonsgegevens,
(ii) Persoonsgegevens te verwijderen of te corrigeren,
(iii) aan te tonen dat Persoonsgegevens verwijderd of gecorrigeerd zijn indien zij incorrect zijn (of, ingeval Verwerkingsverantwoordelijke het er niet mee eens is dat de Persoonsgegevens incorrect zijn, het feit vast te leggen dat de betrokkene zijn Persoonsgegevens als incorrect beschouwt)
(iv) de betreffende Persoonsgegevens aan Verwerkingsverantwoordelijke dan wel aan een door de Verwerkingsverantwoordelijke aangewezen derde te verstrekken in een gestructureerde, gangbare en machineleesbare vorm en
(v) Verwerkingsverantwoordelijke anderszins in de gelegenheid te stellen om aan zijn verplichtingen onder de AVG of aan andere toepasselijke wetgeving op het gebied van verwerking van de Persoonsgegevens te voldoen.

8.3 De kosten van en eisen aan de in het voorgaande lid genoemde medewerking stellen partijen gezamenlijk vast. Zonder een afspraak daaromtrent zijn de kosten voor de Verwerkingsverantwoordelijke.

9 Aansprakelijkheid

9.1 Verwerkingsverantwoordelijke draagt, onder meer, de verantwoordelijkheid en is uit dien hoofde volledig aansprakelijk voor (het gestelde doel van) de Verwerkingen, het gebruik en de inhoud van de Persoonsgegevens, de verstrekking aan derden, de duur van de opslag van de Persoonsgegevens, de wijze van verwerking en de daartoe gehanteerde middelen.

9.2 Verwerker is jegens Verwerkingsverantwoordelijke ten hoogste aansprakelijk zoals bepaald in de Hoofdovereenkomst waarbij in het geval van samenloop van aansprakelijkheid onder deze overeenkomst en onder de Hoofdovereenkomst, de gebeurtenis die tot enige aansprakelijkheid van Verwerker aanleiding geeft slechts een keer in aanmerking wordt genomen.

10 Controle

10.1 Verwerkingsverantwoordelijke heeft het recht de naleving van de bepalingen van deze overeenkomst eenmaal per jaar op eigen kosten te controleren of deze te laten controleren door een onafhankelijke registeraccountant of registerinformaticus.

10.2 Verwerker stelt de Verwerkingsverantwoordelijke alle informatie ter beschikking die nodig is om aan te tonen dat wordt voldaan aan de verplichtingen in artikel 28 AVG. Indien de door de Verantwoordelijke ingeschakelde derde een instructie geeft die naar mening van de Verwerker inbreuk oplevert op de AVG dan stelt de Verwerker de Verantwoordelijke daarvan onmiddellijk in kennis.

10.3 Het onderzoek van Verwerkingsverantwoordelijke zal zich altijd beperken tot de systemen, ruimte en middelen van Verwerker die voor de Verwerkingen worden gebruikt. Verwerkingsverantwoordelijke zal de bij de controle gevonden informatie geheim houden en alleen gebruiken om de naleving door Verwerker van de verplichtingen uit deze overeenkomst te controleren en de informatie of delen daarvan zo snel als kan wissen.

11 Overige bepalingen

11.1 Wijzigingen van deze overeenkomst zijn uitsluitend geldig indien deze tussen partijen schriftelijk zijn overeengekomen.

11.2 Partijen zullen deze overeenkomst aanpassen aan gewijzigde of aangevulde regelgeving, aanvullende instructies van de relevante autoriteiten en voortschrijdend inzicht in de toepassing van de AVG (bijvoorbeeld door, maar niet beperkt tot, jurisprudentie of rapporten), de introductie van standaardbepalingen en/of andere gebeurtenissen of inzichten die een dergelijke aanpassing nodig maken.

11.3 Deze overeenkomst duurt zolang de Hoofdovereenkomst duurt. De bepalingen van deze overeenkomst blijven gelden voor zover nodig voor de afwikkeling van deze overeenkomst en voor zover die bedoeld zijn het einde van deze overeenkomst te overleven. Tot die laatste categorie bepalingen behoren onder meer, zonder daartoe te zijn beperkt, de bepalingen omtrent geheimhouding en geschillen.

11.4 Deze overeenkomst prevaleert boven alle overige overeenkomsten tussen Verwerkingsverantwoordelijke en Verwerker.

11.5 Op deze overeenkomst is uitsluitend Nederlands recht van toepassing.

11.6 Partijen zullen hun geschillen verband houdende met deze overeenkomst uitsluitend voorleggen aan de rechtbank die conform de Hoofdovereenkomst bevoegd is en bij gebreke van een dergelijke afspraak in de Hoofdovereenkomst aan de rechtbank binnen wiens gebied de hoofdvestiging van Verwerker in Nederland is gelegen.

Bijlage 1

Verwerkingen van persoonsgegevens

Deze bijlage is onderdeel van de verwerkersovereenkomst.

I. Partijen verwachten de volgende (soorten) Persoonsgegevens te verwerken:

• NAW gegevens, contactgegevens zoals (mobiele) telefoonnummers en e-mailadressen
• BSN nummers en andere fiscale nummers
• fiscale gegevens
• geboortedatum en geboorteplaats
• bankrekening nummers en andere financiële gegevens
• functie
• overige privacy gevoelige informatie die o.a. kunnen voorkomen in notities, taken en opmerkingen
• alle documenten en bestanden die door Verwerkingsverantwoordelijke in het systeem wordt geplaatst
• salarisgegevens
• toegangsinformatie voor koppeling met externe applicaties

De categorieën van betrokkenen zijn:

• klanten van Verwerkingsverantwoordelijke
• medewerkers van Verwerkingsverantwoordelijke
• relaties van Verwerkingsverantwoordelijke
• prospects van Verwerkingsverantwoordelijke
• betrokken relaties van klanten van Verwerkingsverantwoordelijke zoals betrokken belastingdiensten, kamer van koophandels, notarissen, advocaten, IT partijen, etc.

II. De doeleinden van en de middelen voor de verwerking:

De persoonsgegevens worden verwerkt met als doel de in de Hoofdovereenkomst vastgelegde diensten te verlenen.

De persoonsgegevens worden verwerkt met door Verwerker ontwikkelde software.

III. De verantwoordelijke bepaalt zelf hoe lang de gegevens in het systeem staan en wist deze zelf wanneer deze niet meer nodig zijn of om andere reden gewist moeten worden. Zie artikel 7 voor de geldende bewaartermijn na afloop van de hoofdovereenkomst.

Bijlage 2
Subverwerkers/categorieën van subverwerkers

Voor Akkoord
Naam bedrijf:
Naam klant:
Datum:
Emailadres: