Onze verwerkersovereenkomst

Versie: Maart 2018

DEFINITIES

 

OVERWEGENDE

  1. Dat de Verwerkingsverantwoordelijke op grond van artikel 28 en 32 AVG verplicht is een Verwerkersovereenkomst met Verwerker aan te gaan en er zorg voor te dragen dat Verwerker voldoende waarborgen biedt ten aanzien van de technische en organisatorische beveiligingsmaatregelen met betrekking tot de te verrichten verwerkingen.
  2. Dat Verwerker verklaart passende technische en organisatorische maatregelen getroffen te hebben om (persoons)gegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico’s die de verwerking en de aard van te beschermen gegevens met zich meebrengen.

 

KOMEN ALS VOLGT OVEREEN:

 

ARTIKEL 1. TOTSTANDKOMING, DUUR EN BEËINDIGING

  1. Deze Verwerkersovereenkomst vangt aan op het moment van ondertekening ervan.
  2. Deze Verwerkersovereenkomst is onderdeel van de Dienst en zal gelden gedurende de looptijd van de licentie tot de Dienst.
  3. Indien de licentie tot de Dienst eindigt, eindigt tevens deze Verwerkersovereenkomst van rechtswege. Partijen kunnen de Verwerkersovereenkomst niet los van de licentie tot de Dienst beëindigen.
  4. Bij beëindiging of ontbinding van de licentie tot de Dienst, verplichten Partijen zich te blijven houden aan het bepaalde in de Verwerkersovereenkomst met betrekking tot geheimhouding, aansprakelijkheid, vrijwaring en alle overige bepalingen die naar hun aard bestemd zijn om ook na beëindiging of ontbinding voort te duren.
  5. Deze Verwerkersovereenkomst is onderdeel van de Dienst die Verwerker aan Verwerkingsverantwoordelijke levert en noodzakelijk voor de uitvoering daarvan. Verwerkingsverantwoordelijke zal zorgen voor tijdige, correcte en volledige ondertekening van deze Verwerkersovereenkomst door een bevoegd persoon. Verwerkingsverantwoordelijke vrijwaart Verwerker voor enige aanspraken, boetes of schade die voortvloeit uit onjuiste, onvolledige of niet-tijdige ondertekening van deze Verwerkersovereenkomst.

 

ARTIKEL 2. UITVOERING VERWERKING

  1. Verwerker zal bij de uitvoering van de Opdracht op zorgvuldige, behoorlijke en transparante wijze met de persoonsgegevens omgaan en de persoonsgegevens enkel verwerken in opdracht van Verwerkingsverantwoordelijke, overeenkomstig diens schriftelijke instructies, in het kader van de uitvoering van de Dienst.
  2. Verwerker zal de persoonsgegevens verwerken in overeenstemming met deze Verwerkersovereenkomst en de toepasselijke wet- en regelgeving op het gebied van bescherming van persoonsgegevens, waaronder de voorschriften van de AVG.
  3. De door Verwerker te verwerken persoonsgegevens en de daarop van toepassing zijnde verwerkingsdoeleinden, waar deze Verwerkersovereenkomst betrekking op heeft worden nader omschreven in bijlage 2. Verwerker zal de persoonsgegevens niet voor enig ander doel verwerken, behoudens expliciete schriftelijke instructies van Verwerkingsverantwoordelijke of afwijkende wettelijke verplichtingen.

 

ARTIKEL 3. VERPLICHTINGEN VERWERKER

  1. Verwerker verwerkt de gegevens ten behoeve van Verwerkingsverantwoordelijke, in overeenstemming met diens schriftelijke instructies.
  2. De zeggenschap over de persoonsgegevens ter beschikking gesteld onder deze Verwerkersovereenkomst berust nimmer bij de Verwerker. Verwerker neemt geen beslissingen over ontvangst en gebruik van de gegevens, de duur van de opslag van gegevens en de verstrekking aan derden.
  3. De verplichtingen van Verwerker die uit deze Verwerkersovereenkomst voortvloeien, gelden ook voor degenen die persoonsgegevens verwerken onder het gezag van Verwerker, waaronder begrepen, maar niet beperkt tot, personeelsleden. Verwerker staat er verder voor in dat personen en gecontracteerde partijen die handelen onder zijn gezag, waaronder personeelsleden, de persoonsgegevens alleen op rechtmatige wijze en in overeenstemming met deze Verwerkersovereenkomst en de AVG zullen verwerken.
  4. Verwerker verleent aan Verwerkingsverantwoordelijke alle nodige bijstand en medewerking bij het doen nakomen van de op Partijen rustende verplichtingen op grond van de AVG en andere toepasselijke wet- en regelgeving. Verwerker verleent Verwerkingsverantwoordelijke in ieder geval bijstand met betrekking tot de beveiliging van Persoonsgegevens, het uitvoeren van controles en audits, het uitvoeren van een gegevensbeschermingseffectbeoordeling, voorafgaande raadpleging van de Toezichthouder, het voldoen aan verzoeken van de Toezichthouder of een andere overheidsinstantie, het voldoen aan verzoeken van Betrokkenen en het melden van een Datalek.
  5. Verwerker zal op verzoek van Verwerkingsverantwoordelijke informatie aan Verwerkingsverantwoordelijke geven over de genomen (beveiligings)maatregelen om aan de verplichtingen op grond van de AVG, deze Verwerkersovereenkomst en de overige instructies van Verwerkingsverantwoordelijke te voldoen.
  6. Wanneer Verwerkingsverantwoordelijke een verzoek krijgt van een Betrokkene die zijn of haar bijzondere rechten wenst uit te oefenen, zoals maar niet beperkt tot, een verzoek om inzage, verbetering, aanvulling, verwijdering of afscherming van persoonsgegevens en bezwaar maken tegen de verwerking van de persoonsgegevens en een verzoek tot overdraagbaarheid van de eigen persoonsgegevens, zal Verwerker binnen 14 dagen aan Verwerkingsverantwoordelijke een reactie sturen en binnen een termijn van 30 dagen haar medewerking verlenen aan het verzoek.
  7. Wanneer een Betrokkene aan Verwerker een verzoek, als vermeld in bovengenoemd lid doet, verwijst Verwerker dit verzoek door aan Verwerkingsverantwoordelijke en zal Verwerkingsverantwoordelijke dit behandelen. Verwerker mag Betrokkene van de verwijzing op de hoogte stellen.

 

ARTIKEL 4. VERPLICHTINGEN VERWERKINGSVERANTWOORDELIJKE

  1. Verwerkingsverantwoordelijke zal zich bij de verwerking van persoonsgegevens houden aan de toepasselijke wet- en regelgeving.
  2. Bij tekortkomingen van de Verwerkingsverantwoordelijke ten aanzien van het voldoen aan de toepasselijke wet- en regelgeving, vrijwaart Verwerkingsverantwoordelijke Verwerker voor door Verwerker geleden en of te lijden schade.

 

ARTIKEL 5. SUBVERWERKERS

  1. Verwerker is slechts gerechtigd om de uitvoering van de werkzaamheden geheel of deels uit te besteden aan derden als Subverwerkers, niet werkend onder het gezag van Verwerker, nadat voorafgaand schriftelijke toestemming is gegeven door de Verwerkingsverantwoordelijke. Verwerkingsverantwoordelijke kan aan deze schriftelijke toestemming voorwaarden verbinden, op het gebied van geheimhouden en ter naleving van de overige verplichtingen uit deze Verwerkersovereenkomst. Toestemming van Verwerkingsverantwoordelijke kan ook betrekking hebben op een categorie van Subverwerkers.
  2. Verwerker blijft, in de gevallen dat werkzaamheden deels of geheel worden uitbesteed aan derden, te allen tijde het aanspreekpunt en verantwoordelijk voor de naleving van de bepalingen uit deze Verwerkersovereenkomst. Verwerker garandeert bovendien dat deze Subverwerkers schriftelijk minimaal dezelfde verplichtingen op zich nemen als overeengekomen tussen Verwerker en Verwerkingsverantwoordelijke. Ook zal Verwerker Verwerkingsverantwoordelijke, op diens verzoek, inzage verschaffen in de overeenkomsten met Subverwerkers waarin deze verplichtingen zijn opgenomen.
  3. Verwerkingsverantwoordelijke geeft bij dezen algemene toestemming voor het inschakelen van Subverwerkers en/of categorieën van Subverwerkers door Verwerker.
  4. Verwerker zal Verwerkingsverantwoordelijke uiterlijk schriftelijk inlichten, uiterlijk 7 dagen voorafgaand aan een beoogde toevoeging, vervanging of wijziging van Subverwerker(s), waarbij de Verwerkingsverantwoordelijke de mogelijkheid wordt geboden tegen deze veranderingen bezwaar te maken. In geval van bezwaar treden Partijen in onderhandeling over een oplossing.
  5. Verwerker verstrekt aan Verwerkingsverantwoordelijke op diens verzoek een overzicht van de door Verwerker ingeschakelde Subverwerkers.

 

ARTIKEL 6. DOORGIFTE

  1. Verwerker zal de persoonsgegevens enkel (laten) verwerken in landen binnen de Europese Economische Ruimte (EER). Doorgifte naar andere landen is alleen toegestaan na voorafgaande schriftelijke toestemming van Verwerkingsverantwoordelijke en conform de toepasselijke wet- en regelgeving.
  2. Verwerkingsverantwoordelijke heeft schriftelijke toestemming gegeven voor de doorgiften vermeld in bijlage 2.
  3. Verwerkingsverantwoordelijke kan Verwerker alleen toestemming verlenen voor een doorgifte van Persoonsgegevens aan derde landen of internationale organisaties indien er ten aanzien van het derde land of de internationale organisatie een adequaatheidsbesluit is genomen, er passende waarborgen zijn getroffen of er voldaan is aan een van de voorwaarden uit artikel 49 lid 1 AVG.

 

ARTIKEL 7. BEVEILIGING EN CONTROLE

  1. Verwerker zal passende technische en organisatorische maatregelen nemen, in stand houden en indien nodig aanpassen om de persoonsgegevens te beveiligen tegen verlies en onrechtmatige verwerkingen.
  2. Deze maatregelen garanderen een passend beveiligingsniveau, waarbij rekening wordt gehouden met de stand van de techniek, de kosten van de tenuitvoerlegging en waarbij wordt gelet op de risico’s die de verwerking en de aard van te beschermen gegevens met zich meebrengen. De maatregelen zijn er ook op gericht om onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen. Een overzicht van deze maatregelen en het beleid daarover is opgenomen in bijlage 2.
  3. De Verwerkingsverantwoordelijke is, na voorafgaande schriftelijke melding, gerechtigd die maatregelen te treffen die noodzakelijk zijn om te onderzoeken of de Verwerker adequate technische en organisatorische maatregelen heeft getroffen. Verwerker is zal daarbij toegang verlenen aan de Verwerkingsverantwoordelijke of de onder geheimhouding controlerende instantie, die in opdracht van Verwerkingsverantwoordelijke controleert. Verwerker zal haar medewerking te verlenen aan uitvoering van de controle, waaronder het ter beschikking stellen van relevante informatie. De kosten van de controle worden gedragen door Verwerkingsverantwoordelijke. Verwerker licht de Verwerkingsverantwoordelijke onmiddellijk in, als naar mening van Verwerker, een instructie van Verwerkingsverantwoordelijke of de controlerende instantie inbreuk oplevert op de AVG en/of de andere toepasselijke wet- en regelgeving.
  4. Als tijdens een controle wordt vastgesteld dat Verwerker niet voldoet aan het bepaalde in de Verwerkersovereenkomst, de AVG en/of andere toepasselijke wet- en regelgeving met betrekking tot de verwerking van persoonsgegevens, zullen Partijen in overleg treden over een oplossing.

 

ARTIKEL 8. MELDPLICHT DATALEKKEN EN BEVEILIGINGSINCIDENTEN

  1. Verwerker zal in geval van ontdekking van een mogelijk Datalek Verwerkingsverantwoordelijke, zo snel mogelijk en in ieder geval uiterlijk binnen 24 uur na ontdekking, informeren over alle (vermoedelijke) inbreuken op de beveiliging alsmede andere incidenten die op grond van wetgeving moeten worden gemeld aan Toezichthouder of Betrokkenen. Verwerker heeft vervolgens de verplichting om de gevolgen van dergelijke inbreuken en incidenten zo snel mogelijk ongedaan te maken, dan wel te beperken.
  2. Verwerker zal tevens, op verzoek van Verwerkingsverantwoordelijke, alle inlichtingen verschaffen die Verwerkingsverantwoordelijke noodzakelijk acht om het incident te kunnen beoordelen. Indien Verwerker een Datalek en/of beveiligingsincident ontdekt, verstrekt Verwerker informatie, die gelijk is aan de informatie die aan de Toezichthouder moet worden verstrekt.
  3. Na de melding van een Datalek aan Verwerkingsverantwoordelijke, zal Verwerker Verwerkingsverantwoordelijke op de hoogte houden van nieuwe ontwikkelingen met betrekking tot het Datalek en de maatregelen getroffen door Verwerker om de omvang van het Datalek te beperken en te beëindigen en om een soortgelijk incident in de toekomst te voorkomen.
  4. De Verwerkingsverantwoordelijke beoordeelt of de in lid 1 van dit artikel benoemde inbreuk op de beveiliging een risico inhoudt voor de rechten en vrijheden van natuurlijke personen, in de zin van artikel 33 lid 1 en artikel 34 lid 1 AVG.
  5. De Verwerkingsverantwoordelijke besluit conform artikel 33 en 34 AVG of zij de inbreuk onverwijld aan de Toezichthouder zal melden en/of de Betrokkene(n) onverwijld zal informeren. Verwerker laat het doen van meldingen aan de Toezichthouder en het informeren van Betrokkene(n) over aan Verwerkingsverantwoordelijke.
  6. Waar nodig, zal Verwerker zijn volle medewerking verlenen op de kortst mogelijke termijn aan Verwerkingsverantwoordelijke voor het adequaat informeren van de Betrokkene(n) en of de Toezichthouder over dergelijke inbreuken van de beveiliging.

 

ARTIKEL 9. GEHEIMHOUDING

  1. Op alle persoonsgegevens die Verwerker op basis van deze Verwerkersovereenkomst ontvangt, rust een geheimhoudingsplicht jegens derden. Alle personen in dienst van dan wel werkzaam ten behoeve van Verwerker, onder het gezag van Verwerker, alsmede Verwerker zelf, zijn verplicht tot geheimhouding van de persoonsgegevens. De medewerkers van Verwerker tekenen hiertoe een geheimhoudingsverklaring.
  2. Verwerker zal de persoonsgegevens niet zonder toestemming van Verwerkingsverantwoordelijke aan derden verstrekken, kopiëren, of anderszins verveelvoudigen of openbaar maken.
  3. Als Verwerker een verzoek van een derde ontvangt om inzage in de persoonsgegevens te verstrekken op grond van een vermeende (wettelijke) verplichting dan zal hij Verwerkingsverantwoordelijke daarover eerst schriftelijk informeren alvorens hij die derde inzage in de persoonsgegevens verschaft, zodat Verwerkingsverantwoordelijke kan beoordelen of het verzoek van die derde gegrond is.

 

ARTIKEL 10. TERUGGAVE PERSOONSGEGEVENS EN BEWAARTERMIJNEN

  1. De persoonsgegevens die Verwerker verwerkt conform de Verwerkersovereenkomst, zullen op verzoek van Verwerkingsverantwoordelijke vernietigd worden na verstrijken van de overeengekomen, dan wel na het verstrijken van een wettelijke bewaartermijn.
  2. Bij beëindiging of ontbinding van de Overeenkomst, zal Verwerker Verwerkingsverantwoordelijke gedurende 2 maanden in de gelegenheid stellen om alle gegevens, waaronder persoonsgegevens, die op basis van deze Verwerkersovereenkomst bij Verwerker en of de informatiesystemen van Verwerker aanwezig zijn te verplaatsen naar een andere locatie. Verwerker is gerechtigd de daarvoor gemaakte kosten in rekening te brengen bij de Verwerkingsverantwoordelijke.
  3. Na 2 maanden na beëindiging of ontbinding van de Overeenkomst, zal Verwerker alle gegevens, waaronder persoonsgegevens, die bij haar uit hoofde van de Verwerkersovereenkomst aanwezig zijn (inclusief alle eventuele kopieën daarvan) verwijderen of vernietigen.

 

ARTIKEL 11. AANSPRAKELIJKHEID

  1. Verwerkingsverantwoordelijke is gerechtigd om Verwerker aansprakelijk te stellen als Verwerker de nadere instructies van Verwerkingsverantwoordelijke en de verplichtingen uit deze Verwerkersovereenkomst niet nakomt en wanneer Verwerker de AVG of andere toepasselijke wet- en regelgeving op het gebied van privacy en bescherming van persoonsgegevens niet naleeft.
  2. Verwerker is aansprakelijk voor de schade die voortvloeit uit het niet nakomen van de AVG of andere toepasselijke wet- en regelgeving en de bepalingen uit deze Verwerkersovereenkomst, voor zover deze schade is ontstaan door de uitvoer van werkzaamheden door Verwerker, maar nimmer voor een bedrag hoger dan het abonnementsbedrag op basis van deze Verwerkersovereenkomst over de laatste zes maanden voorafgaand aan de schadeveroorzakende gebeurtenis. Deze beperking van de aansprakelijkheid komt te vervallen indien en voor zover de schade het gevolg is van opzet of grove schuld van Verwerker.
  3. Verwerker is niet aansprakelijk voor indirecte schade, waaronder mede begrepen stagnatie in de geregelde gang van zaken in de onderneming, gederfde winst, gemiste besparingen en gevolgschade, geleden door de Verwerkingsverantwoordelijke verband houdend met, dan wel veroorzaakt door de uitvoering van de werkzaamheden ten behoeve van deze Verwerkersovereenkomst door Verwerker.
  4. Verwerker vrijwaart Verwerkingsverantwoordelijke tegen aanspraken van Betrokkenen of andere derden, voor zover die aanspraken betrekking hebben op de verwerking van persoonsgegevens en alle andere werkzaamheden die Verwerker uit hoofde van deze Verwerkersovereenkomst voor Verwerkingsverantwoordelijke vervult of heeft vervuld, als dit het gevolg is van onrechtmatig of nalatig handelen aan de zijde van Verwerker.

 

ARTIKEL 12. SLOTBEPALINGEN

  1. Nederlands recht is exclusief van toepassing op deze Verwerkersovereenkomst. Geschillen zullen worden voorgelegd aan de bevoegde rechter in het arrondissement Midden-Nederland.
  2. Afwijking van deze Verwerkersovereenkomst is slechts geldig wanneer partijen dit schriftelijk overeenkomen.
  3. Wanneer een deel van deze Verwerkersovereenkomst nietig of vernietigbaar is, blijft de Verwerkersovereenkomst overigens in stand. Partijen verplichten zich tot redelijkheid overleg om te komen tot vervangende bepaling die zoveel mogelijk de inhoud van de nietige of vernietigbare bepaling volgt.

 

 


 

BIJLAGE 1 – Overzicht beveiligingsmaatregelen

 

Omschrijving van de door Verwerker getroffen beveiligingsmaatregelen:


 

BIJLAGE 2 – Overzicht verwerkingen van persoonsgegevens en verwerkingsdoeleinden
Van toepassing bij: Horeko Planning of Horeko Hospitality met Horeko Planning

 

 

Omschrijving van werkzaamheden en doelen voor verwerking:
Personeelsadministratie in de Horeko applicaties. De gegevens worden verwerkt om Verwerkingsverantwoordelijke een centrale plek te bieden voor diens personeelsadministratie.

 

Categorieën van betrokkenen:
Medewerkers van Verwerkingsverantwoordelijke

 

Categorieën van persoonsgegevens:
Voor- en achternaam
E-mailadres
Adresgegevens
Telefoonnummer
BSN-nummer en legitimatiebewijs
Contract(gegevens)
Pasfoto
Vingerafdruk

 

Bewaartermijnen van de persoonsgegevens (of de criteria om die vast te stellen):
Gegevens blijven bewaard in onze applicatie zolang Verwerkingsverantwoordelijke actief (betalend) klant bij Horeko BVBA is. Medewerkers van Verwerkingsverantwoordelijke die uit dienst gaan blijven in het systeem bewaart om aan de bewaarplicht van gewerkte uren te kunnen blijven voldoen. Zodra een Verwerkingsverantwoordelijke niet langer klant bij Horeko BVBA is, wordt de desbetreffende klantdatabase verwijderd.

 

 

Doorgifte

Verwerkingsverantwoordelijke geeft Verwerker toestemming voor de volgende doorgifte aan derde landen en/of internationale organisaties:

 

Beschrijving doorgifte Ontvanger van de Persoonsgegevens Passende waarborgen
Verwerker heeft een eigen ontwikkelteam buiten de EER. Dit team heeft enkel toegang tot de geanonimiseerde databases op een testserver, waarbij de data altijd op de testserver in Nederland blijft. In hoge uitzonderingen staat er een niet anonieme database op de testserver en is er sprake van doorgifte. Dit vindt enkel plaats na goedkeuring van leidinggevenden in Nederland. Dedicated ontwikkelteam van Horeko BVBA, Macedonië. Voor deze doorgifte zijn passende waarborgen genomen, middels een modelcontract voor doorgifte, zonder aanvullingen of wijzigingen, namelijk het Besluit van de Commissie van 5 februari 2010 (2010/87/EU).

 

 

BIJLAGE 2 – Overzicht verwerkingen van persoonsgegevens en verwerkingsdoeleinden
Van toepassing bij: Horeko Hospitality

 

Omschrijving van werkzaamheden en doelen voor verwerking:
HACCP registratie in de Horeko applicaties. De gegevens worden verwerkt om Verwerkingsverantwoordelijke te ondersteunen bij het voldoen aan de verplichte HACCP-wetgeving en het controleren op uitvoering van verplichte taken.

 

Categorieën van betrokkenen:
Medewerkers van Verwerkingsverantwoordelijke

 

Categorieën van persoonsgegevens:
Voor- en achternaam
E-mailadres
Adresgegevens
Telefoonnummer

 

Bewaartermijnen van de persoonsgegevens (of de criteria om die vast te stellen):
Gegevens blijven bewaard in onze applicatie zolang Verwerkingsverantwoordelijke actief (betalend) klant bij Horeko BVBA is. Medewerkers van Verwerkingsverantwoordelijke die uit dienst gaan blijven in het systeem bewaart om aan de bewaarplicht van gewerkte uren te kunnen blijven voldoen. Zodra een Verwerkingsverantwoordelijke niet langer klant bij Horeko BVBA is, wordt de desbetreffende klantdatabase verwijderd.

 

 

Doorgifte

Verwerkingsverantwoordelijke geeft Verwerker toestemming voor de volgende doorgifte aan derde landen en/of internationale organisaties:

 

Beschrijving doorgifte Ontvanger van de Persoonsgegevens Passende waarborgen
Verwerker heeft een eigen ontwikkelteam buiten de EER. Dit team heeft enkel toegang tot de geanonimiseerde databases op een testserver, waarbij de data altijd op de testserver in Nederland blijft. In hoge uitzonderingen staat er een niet anonieme database op de testserver en is er sprake van doorgifte. Dit vindt enkel plaats na goedkeuring van leidinggevenden in Nederland. Dedicated ontwikkelteam van Horeko BVBA, Macedonië. Voor deze doorgifte zijn passende waarborgen genomen, middels een modelcontract voor doorgifte, zonder aanvullingen of wijzigingen, namelijk het Besluit van de Commissie van 5 februari 2010 (2010/87/EU).