Verwerking van persoonsgegevens


Alle met een beginhoofdletter geschreven begrippen hebben zowel in enkelvoud als in meervoud de betekenis zoals vastgelegd in de Algemene Voorwaarden. Leverancier zal echter worden aangeduid met de term “Verwerker” en Klant met de term “Verwerkingsverantwoordelijke”, onafhankelijk of Klant zelf een verwerker is richting haar klanten. Indien definities worden gebruikt die overeenkomen met de definities in de Algemene verordening gegevensbescherming (hierna: “AVG”), zullen deze definities dezelfde betekenis hebben. De inhoud van deze bijlage zal hierna worden aangeduid als “Verwerkersovereenkomst”.



Artikel 1. Doeleinden van verwerking


1.1. Verwerker verbindt zich onder de voorwaarden van deze Verwerkersovereenkomst in opdracht van Verwerkingsverantwoordelijke persoonsgegevens te verwerken. Verwerking zal uitsluitend plaatsvinden in het kader van de uitvoering van de Overeenkomst, plus die doeleinden die daarmee redelijkerwijs samenhangen of die met nadere instemming worden bepaald.

1.2. Verwerker spant zich in om, in het kader van de hiervoor bedoelde werkzaamheden, de door of via Verwerkingsverantwoordelijke ter beschikking gestelde persoonsgegevens zorgvuldig te verwerken.

1.3. Verwerker levert primair hostingdiensten. Het verwerken van persoonsgegevens is hierbij een bijkomstigheid. In beginsel zal Verwerker de persoonsgegevens namelijk niet inzien. In dit kader kan gedacht worden aan het door Verwerkingsverantwoordelijke opslaan van gegevens op systemen van Verwerker. Hierdoor verwerkt Verwerker in veel gevallen automatisch alle categorieën persoonsgegevens en alle categorieën betrokkenen die Verwerkingsverantwoordelijke via de hostingdiensten opslaat.


Artikel 2. Verplichtingen Verwerker


 2.1. Verwerker verwerkt gegevens ten behoeve van Verwerkingsverantwoordelijke voor de in artikel 1 bedoelde doeleinden. Verwerker zal de persoonsgegevens niet voor eigen doeleinden verwerken.

2.2. Verwerker zal bij de verwerking van persoonsgegevens handelen in overeenstemming met de AVG.

2.3. Verwerker stelt Verwerkingsverantwoordelijke onmiddellijk op de hoogte indien naar zijn oordeel instructies in strijd zijn met de toepasselijke wetgeving met betrekking tot de verwerking van persoonsgegevens of anderszins onredelijk zijn.

2.4. Verwerker zal, indien dit redelijkerwijs binnen zijn invloedssfeer ligt, bijstand verlenen aan Verwerkingsverantwoordelijke bij het vervullen van diens wettelijke verplichtingen. Dit betreft het verlenen van bijstand bij het vervullen van diens verplichtingen uit hoofde van de artikelen 32 tot en met 36 AVG, zoals het verlenen van bijstand bij het uitvoeren van een Data Protection Impact Assessment (“DPIA”) en een voorafgaande raadpleging bij een verwerking met een hoog risico. Verwerker mag de hiervoor gemaakte kosten in rekening brengen bij Verwerkingsverantwoordelijke.

2.5. Verwerkingsverantwoordelijke garandeert dat de inhoud, het gebruik en de opdracht tot de verwerkingen van de persoonsgegevens zoals bedoeld in de Verwerkersovereenkomst, niet onrechtmatig zijn en geen inbreuk maken op enig recht van derden, en vrijwaart Verwerker tegen alle aanspraken en claims die hiermee verband houden.


Artikel 3. Doorgifte van persoonsgegevens


3.1. Verwerker mag de persoonsgegevens verwerken in landen binnen de Europese Economische Ruimte (“EER”). Daarnaast mag Verwerker de persoonsgegevens doorgeven naar een land buiten de EER, mits dat land een passend beschermingsniveau waarborgt en Verwerker voldoet aan de overige verplichtingen die op haar rusten op grond van deze Verwerkersovereenkomst en de AVG.

3.2. Verwerker zal Verwerkingsverantwoordelijke op diens eerste verzoek melden om welk land of welke landen het gaat. Verwerker staat ervoor in dat er bij landen buiten de EER sprake is van een passend beschermingsniveau.


Artikel 4. Inschakelen van subverwerkers


4.1. Verwerker mag in het kader van de Verwerkersovereenkomst gebruik maken van subverwerkers.

4.2. De door Verwerker ingeschakelde subverwerkers ten tijde van het sluiten van deze Verwerkersovereenkomst zijn opgenomen in Bijlage 1A. Verwerkingsverantwoordelijke heeft het recht om tegen enige, nieuwe of te wijzigen subverwerker(s), schriftelijk en binnen twee weken na verzending van de berichtgeving hierover van Verwerker schriftelijk gemotiveerd bezwaar te maken. Indien Verwerkingsverantwoordelijke bezwaar maakt, zullen Partijen in overleg treden om tot een oplossing te komen.

4.3. Bijlage 1A bevat tevens de identiteit en vestigingsplaats van de reeds ingeschakelde subverwerker(s).

4.4. Verwerker zal aan de ingeschakelde subverwerkers overeenkomstige verplichtingen opleggen als tussen Verwerkingsverantwoordelijke en Verwerker zijn overeengekomen.


Artikel 5. Geheimhoudingsplicht


5.1. Verwerker is verplicht tot geheimhouding van de persoonsgegevens die door Verwerkingsverantwoordelijke aan Verwerker worden verstrekt. Verwerker draagt ervoor zorg dat de tot het verwerken van de persoonsgegevens gemachtigde personen, contractueel verplicht zijn tot geheimhouding van de persoonsgegevens waarvan hij of zij kennisneemt.


Artikel 6. Meldplicht datalekken


6.1. Verwerker stelt Verwerkingsverantwoordelijke zonder onredelijke vertraging op de hoogte van een inbreuk in verband met persoonsgegevens zoals bedoeld in artikel 4 lid 12 van de AVG (hierna: “Datalek”). Daarbij zal Verwerker redelijke maatregelen treffen om de gevolgen van het Datalek te beperken en verdere en toekomstige Datelekken te voorkomen.

6.2. Verwerker zal bijstand verlenen aan Verwerkingsverantwoordelijke, rekening houdend met de aard van de verwerking en de hem ter beschikking staande informatie, ten aanzien van (nieuwe ontwikkelingen ten aanzien van) het Datalek.

6.3. De kennisgeving aan de Verwerkingsverantwoordelijke omvat, voor zover op dat moment bekend, in ieder geval: a. de aard van het Datalek; b. de (te verwachten) gevolgen van het Datalek; c. welke categorieën persoonsgegevens zijn getroffen door het Datalek; d. of en hoe de betreffende persoonsgegevens waren beveiligd; e. de (voorgestelde) maatregelen om de gevolgen van het Datalek te beperken of verdere Datalekken te voorkomen; f. de categorieën betrokkenen; g. het (geschatte) aantal betrokkenen; en h. eventueel afwijkende contactgegevens voor de opvolging van de melding.


Artikel 7. Rechten van betrokkenen


7.1. In het geval dat een betrokkene een verzoek tot uitoefening van zijn/haar wettelijke rechten uit Hoofdstuk III van de AVG richt aan Verwerker, zal Verwerker het verzoek doorsturen aan Verwerkingsverantwoordelijke en de betrokkene hiervan op de hoogte stellen. Verwerkingsverantwoordelijke zal het verzoek vervolgens verder zelfstandig afhandelen.

7.2. In het geval dat een betrokkene een verzoek tot uitoefening van een van zijn wettelijke rechten richt aan Verwerkingsverantwoordelijke zal Verwerker, indien Verwerkingsverantwoordelijke dit verlangt, medewerking verlenen voor zover dit mogelijk en redelijk is. Verwerker mag hiervoor redelijke kosten bij Verwerkingsverantwoordelijke in rekening brengen.


Artikel 8. Beveiligingsmaatregelen


8.1. Verwerker zal zich inspannen om passende technische en organisatorische maatregelen te nemen om de persoonsgegevens welke worden verwerkt ten dienste van Verwerkingsverantwoordelijke te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking.

8.2. Verwerker zal op verzoek een overzicht van de beveiligingsmaatregelen verstrekken. Verwerker heeft in ieder geval de volgende maatregelen genomen: a. Logische toegangscontrole, gebruikmakend van wachtwoorden of keys. b. Fysieke maatregelen voor toegangsbeveiliging.

8.3. Verwerker staat er niet voor in dat de beveiliging onder alle omstandigheden doeltreffend is. Verwerker zal zich inspannen de beveiliging te laten voldoen aan een niveau dat, gelet op de stand van de techniek, de gevoeligheid van de persoonsgegevens en de aan het treffen van de beveiliging verbonden kosten, niet onredelijk is.

8.4. Verwerkingsverantwoordelijke stelt enkel persoonsgegevens aan Verwerker ter beschikking voor verwerking, indien zij zich ervan heeft verzekerd dat de vereiste beveiligingsmaatregelen zijn getroffen. Verwerkingsverantwoordelijke is verantwoordelijk voor de naleving van de door Partijen afgesproken maatregelen.


Artikel 9. Controle


9.1. Verwerkingsverantwoordelijke heeft het recht de naleving van de verplichtingen van Verwerker in deze Verwerkersovereenkomst te laten controleren. Verwerkingsverantwoordelijke kan dit maximaal eenmaal per jaar laten controleren door een onafhankelijke derde die aan geheimhouding gebonden is, ingeval sprake is van een redelijk, schriftelijk gecommuniceerd en gegrond vermoeden van overtreding van deze Verwerkersovereenkomst.

9.2. Indien er in een jaar reeds een controle door een onafhankelijke derde is uitgevoerd, kan Verwerker volstaan, in tegenstelling tot hetgeen is geregeld in het voorgaande lid, met het geven van toegang tot de relevante gedeelten van het rapport, indien er binnen datzelfde jaar wederom om een controle van naleving van de verplichtingen van Verwerker in de Verwerkersovereenkomst wordt verzocht.

9.3. Verwerker en Verwerkingsverantwoordelijke besluiten gezamenlijk over de datum, het tijdstip en de omvang van de controle.

9.4. De redelijke kosten voor het meewerken aan de controle worden door de Verwerkingsverantwoordelijke gedragen, met dien verstande dat de kosten voor de in te huren onafhankelijke derde altijd door Verwerkingsverantwoordelijke zullen worden gedragen.

9.5. De controle en de resultaten daarvan zullen door de Verwerkingsverantwoordelijke vertrouwelijk worden behandeld.


Artikel 10. Beëindiging Verwerkersovereenkomst


10.1. Bij de beëindiging van de Verwerkersovereenkomst zal Verwerker zonder onredelijke vertraging, op verzoek en kosten van Verwerkingsverantwoordelijke:

a. de persoonsgegevens zoals zich op de infrastructuur (onder beheer) van Verwerker bevinden, terugbezorgen aan Verwerkingsverantwoordelijke; of

b. de persoonsgegevens zo spoedig mogelijk wissen.



Powered by WHMCompleteSolution