Algemene verordering gegevensbescherming (AVG)
Verwerkersovereenkomst
De ondergetekenden:
1. Bedrijfsnaam ……………………………………………………………
kantoorhoudende en gevestigd te …………………………………….
Straatnaam + huisnummer …………………………………………..
Postcode …………………………………………
Vertegenwoordigd door ………………………………..
(tekeningsbevoegde)
(hierna te noemen “Opdrachtgever”), en,
2. de besloten vennootschap Invorderingsbedrijf B.V. en/of C.M. Zakelijk B.V., gevestigd en kantoorhoudende te (2514 AA) ‘s-Gravenhage aan de Koninginnegracht 14 C, ingeschreven in het Handelsregister onder nummer 56170394 en hierbij rechtsgeldig vertegenwoordigd door (naam) (hierna te noemen “Opdrachtnemer”)
Gezamenlijk hierna ook te noemen “Partijen”,
In overweging nemende dat:
● Opdrachtnemer aan Opdrachtgever de Dienst aanbiedt en in die hoedanigheid persoonsgegevens van klanten van Opdrachtgever opslaat;
● Opdrachtnemer in het kader van haar dienstverlening (bijzondere) persoonsgegevens van klanten van Opdrachtgever verzamelt en deze met behulp van de applicatie verwerkt;
● voor zover opdrachtnemer persoonsgegevens verwerkt ten behoeve van opdrachtgever in het kader van de Overeenkomst, opdrachtgever krachtens artikel 4, onderdeel 7 en onderdeel 8, van de Verordening kwalificeert als verwerkingsverantwoordelijke voor de Verwerking van persoonsgegevens en opdrachtnemer als verwerker;
● Partijen in deze Verwerkersovereenkomst, zoals bedoeld in artikel 28, derde lid, van de Verordening, hun afspraken over de Verwerking van Persoonsgegevens door Wederpartij wensen vast te leggen, die van toepassing zijn op hun relatie in verband met de (verwerking van persoonsgegevens in het kader van) genoemde activiteiten in opdracht van en ten behoeve van Opdrachtgever.
Verklaren als volgt te zijn overeengekomen:
Artikel 1 Definities
1.1 In deze Verwerkersovereenkomst hebben de volgende begrippen, steeds met een hoofdletter geschreven, de volgende betekenis ongeacht of deze in meervoud of
enkelvoud worden gebruikt:
a. Algemene Voorwaarden: de algemene voorwaarden van opdrachtnemer, welke onlosmakelijk deel uitmaakt van de Overeenkomst;
b. Overeenkomst: de tussen opdrachtgever en opdrachtnemer gesloten overeenkomst ten aanzien van het gebruik van de Dienst van de Opdrachtnemer door de Opdrachtgever;
c. Verwerkersovereenkomst: de onderhavige overeenkomst inclusief bijbehorende bijlagen, welke deel uitmaakt van de Overeenkomst;
d. Bijlage: aanhangsel bij de Verwerkersovereenkomst, dat onlosmakelijk deel uitmaakt van de Verwerkersovereenkomst;
e. Persoonsgegevens: alle gegevens die direct of indirect herleidbaar zijn tot een
natuurlijk persoon als bedoeld in artikel 4 aanhef en 1 AVG;
f. Verwerken: een bewerking of een geheel van bewerkingen in het kader van de Overeenkomst met betrekking tot Persoonsgegevens, of een geheel van Persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen. Het verwerken van Persoonsgegevens als bedoeld in artikel 4 aanhef en onder 2 AVG.
g. Verordening: Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van de Richtlijn 95/46/EG (algemene verordening gegevensbescherming).
1.2 Voor zover begrippen welke met een hoofdletter worden geschreven hierboven niet
worden gedefinieerd, is de betreffende definitie in de Overeenkomst en/of Algemene
Voorwaarden opgenomen.
1.3 De bepalingen uit de Overeenkomst zijn onverkort van toepassing op de
Verwerkersovereenkomst. Voor zover er in de Algemene Voorwaarden bepalingen omtrent
de verwerking van persoonsgegevens zijn opgenomen, prevaleren de bepalingen uit deze
Verwerkerssovereenkomst.
Artikel 2 Voorwerp van deze Verwerkersovereenkomst
2.1 Deze Verwerkersovereenkomst regelt de Verwerking van Persoonsgegevens door Opdrachtnemer in het kader van de Overeenkomst.
2.2 Opdrachtnemer verbindt zich in het kader van deze Verwerkersovereenkomst in opdracht
van opdrachtgever persoonsgegevens te Verwerken. Opdrachtgever en opdrachtnemer hebben onderhavige Verwerkersovereenkomst gesloten met betrekking tot uitvoering van de
Overeenkomst. Een overzicht van het soort Persoonsgegevens, de categorieën van
betrokkenen en doelen waarvoor de Verwerking van Persoonsgegevens plaatsvindt,
is opgenomen in Bijlage 1
2.3 Opdrachtgever garandeert dat de opdracht tot Verwerking van die persoonsgegevens in overeenstemming is met alle toepasselijke wet- en regelgeving. Opdrachtgever vrijwaart Opdrachtnemer tegen alle aanspraken van derden welke op enigerlei wijze voortvloeien uit het niet naleven van deze garantie.
2.4 Opdrachtgever is verantwoordelijk voor de verwerking van de persoonsgegevens in het kader van de Overeenkomst, alsmede van Persoonsgegevens die door verdere verwerking van gegevens zijn ontstaan.
2.5 Opdrachtnemer verbindt zich uitsluitend persoonsgegevens te verwerken ten behoeve van de in
deze Verwerkersovereenkomst en/of de Overeenkomst genoemde activiteiten. Opdrachtnemer
mag de persoonsgegevens wel in geanonimiseerde vorm gebruiken voor statistische
doeleinden. Opdrachtnemer garandeert dat zij, zonder uitdrukkelijke en schriftelijke toestemming
van Opdrachtgever, op geen enkele wijze gebruik zal maken van de persoonsgegevens die onder deze Verwerkersovereenkomst en/of Overeenkomst worden verwerkt, tenzij een op de Opdrachtnemer van toepassing zijnde wettelijke bepaling hem tot verwerking verplicht. In dat geval stelt de Opdrachtnemer de Opdrachtgever, voorafgaand aan de Verwerking, in kennis van dat wettelijk voorschrift, tenzij die wetgeving deze kennisgeving om gewichtige redenen van algemeen belang verbiedt
Artikel 3 Technische en organisatorische maatregelen
3.1. Opdrachtnemer zal passende technische en organisatorische maatregelen ten uitvoer (laten)
leggen om Persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van
onrechtmatige Verwerking en zo een op het risico afgestemd beveiligingsniveau te
waarborgen. Deze maatregelen zullen, rekening houdend met de stand der techniek en de
kosten van de tenuitvoerlegging, een passend beveiligingsniveau garanderen, gelet op de
risico’s die de verwerking en de aard van de te beschermen gegevens met zich
meebrengen. Opdrachtnemer zal in ieder geval maatregelen nemen om persoonsgegevens te
beveiligen tegen vernietiging, hetzij per ongeluk hetzij onrechtmatig, tegen toevallig en
opzettelijk verlies, vervalsing, niet toegelaten verspreiding of toegang, dan wel tegen enige
andere vorm van onrechtmatige verwerking.
3.2. De door Opdrachtnemer genomen technische en organisatorische maatregelen staan beschreven
in bijlage 2. Opdrachtgever erkent kennis te hebben genomen van de betreffende maatregelen en door ondertekening van deze Verwerkersovereenkomst gaat Opdrachtgever akkoord met de door Opdrachtnemer genomen maatregelen.
3.3 Indien en voor zover Opdrachtgever daarom uitdrukkelijk schriftelijk verzoekt, zal Opdrachtnemer aanvullende maatregelen treffen met het oog op de beveiliging van de Persoonsgegevens.
3.4 Opdrachtnemer verwerkt Persoonsgegevens niet buiten de Europese Unie, tenzij hij daarvoor uitdrukkelijk schriftelijk toestemming heeft verkregen van Opdrachtgever en behoudens afwijkende wettelijke verplichtingen en met inachtneming van de daarvoor geldende wettelijke verplichtingen, waarbij Opdrachtnemer Opdrachtgever vooraf zal informeren of de betreffende doorgifte of na voorafgaande schriftelijke toestemming van Opdrachtgever, welke toestemming niet op onredelijke gronden zal worden geweigerd.
3.5 Opdrachtnemer zal Opdrachtgever, voor zover redelijkerwijs mogelijk, bijstand
verlenen bij het doen nakomen van diens plicht onder de AVG om passende technische en
organisatorische maatregelen te treffen om een op het risico afgestemd beveiligingsniveau
te waarborgen.
Artikel 4 Vertrouwelijkheid – Geheimhouding door Personeel van Opdrachtnemer
4.1 Opdrachtnemer zal al haar medewerkers, die betrokken zijn bij de uitvoering van de
Overeenkomst, een geheimhoudingsverklaring – al dan niet opgenomen in de
arbeidsovereenkomst met die medewerkers – laten tekenen waarin in ieder geval is
opgenomen dat deze medewerkers geheimhouding moeten betrachten ten aanzien van de
Persoonsgegevens. Opdrachtnemer neemt zodanige maatregelen, zoals beveiliging van gegevensdragers, teneinde te garanderen dat deze geheimhoudingsplicht wordt nagekomen.
Artikel 5 Inschakeling derden (sub verwerker)
5.1. Het is Opdrachtnemer toegestaan om in het kader van deze Verwerkersovereenkomst en de
Overeenkomst gebruik te maken van derden en/of onderaannemers (“Sub verwerkers”),
zoals opgenomen in de Bijlage. Indien Opdrachtnemer andere Sub verwerker wenst in te schakelen, zal Opdrachtnemer de Opdrachtgever inlichten over de beoogde veranderingen en de Opdrachtgever de mogelijkheid bieden om tegen deze veranderingen bezwaar te maken.
5.2. Opdrachtnemer verplicht iedere Sub verwerker contractueel minimaal dezelfde verplichtingen inzake gegevensbescherming op te leggen zoals bepaald in deze Verwerkersovereenkomst, waaronder met name de geheimhoudingsverplichtingen, meldingsverplichtingen en beveiligingsmaatregelen.
Artikel 6 Aansprakelijkheid
6.1 Artikel 14 van de Algemene Voorwaarden inzake de beperking van aansprakelijkheid, zijn van
overeenkomstige toepassing.
6.2 Onverminderd artikel 6.1 van deze Verwerkersovereenkomst, is opdrachtnemer slechts
aansprakelijk voor de schade die door Verwerking is veroorzaakt wanneer bij deze verwerking niet is voldaan aan specifiek tot opdrachtnemer gerichte verplichtingen van de AVG, buiten dan wel in strijd met de rechtmatige instructies van opdrachtgever is gehandeld of wanneer opdrachtnemer toerekenbaar tekort is geschoten in de nakoming van de Verwerkersovereenkomst.
Artikel 7 Inbreuk in verband met persoonsgegevens
7.1 Indien opdrachtnemer kennis krijgt van een inbreuk in verband met persoonsgegevens zoals
gedefinieerd in de AVG en/of enig ander incident ten aanzien van de beveiliging van Persoonsgegevens, zal zij i) Opdrachtgever daarvan binnen 1 week op de hoogte stellen, tenzij het niet waarschijnlijk is dat de inbreuk een risico inhoudt voor de rechten en vrijheden van natuurlijke personen en ii) alle redelijke maatregelen nemen om (verdere) schending van de AVG te voorkomen of te beperken. Opdrachtgever erkent dat Opdrachtnemer in dat kader derden kan inschakelen zonder Opdrachtgever daarover voorafgaand in te lichten.
7.2 Opdrachtnemer zal, voor zover redelijk, haar medewerking verlenen aan Opdrachtgever en Opdrachtgever ondersteunen in het uitvoeren van haar wettelijke verplichtingen ten aanzien van het geconstateerde incident. Opdrachtnemer zal voor zover redelijk Opdrachtgever ondersteunen bij de op Opdrachtgever rustende meldplicht ten aanzien van de inbreuk in verband met persoonsgegevens bij de Autoriteit Persoonsgegevens en/of de betrokkene, zoals bedoeld in artikelen 33, lid 3, en 34, lid 1, AVG. Opdrachtnemer is nimmer gehouden tot het melden van een inbreuk in verband met persoonsgegevens bij de Autoriteit Persoonsgegevens en/of de betrokkene.
7.3 Opdrachtnemer is nimmer aansprakelijk voor de (correcte en/of tijdige uitvoering van de) op
opdrachtgever rustende meldplicht zoals bedoeld in artikelen 33 en 34 AVG.
7.4 De Opdrachtnemer documenteert alle inbreuken in verband met Persoonsgegevens als bedoeld in artikel 7.1 van deze Verwerkersovereenkomst, met inbegrip van de feiten omtrent de inbreuk in verband met Persoonsgegevens, de gevolgen daarvan en de genomen corrigerende maatregelen. Deze documentatie verstrekt de Opdrachtnemer uitsluitend aan de Opdrachtgever in geval van een verzoek van de toezichthoudende autoriteit aan de Opdrachtgever, als bedoeld in artikel 33 lid 5 AVG.
Artikel 8 Bijstand aan opdrachtgever
8.1. Opdrachtnemer zal opdrachtgever, voor zover redelijkerwijs mogelijk, bijstand
verlenen bij het vervullen van diens plicht onder de AVG om verzoeken om uitoefening van
de rechten van een betrokkene te beantwoorden, in het bijzonder het recht op inzage (art.
15 AVG), rectificatie (art. 16 AVG), gegevenswissing (art. 17 AVG), beperking (art. 18 AVG),
overdraagbaarheid (art. 20 AVG) en het recht van bezwaar (art. 21 en 22 AVG). Opdrachtnemer
zal een klacht of een verzoek van een betrokkene met betrekking tot de Verwerking van
Persoonsgegevens binnen 1 maand doorsturen naar de opdrachtgever, die verantwoordelijk is voor de afhandeling van het verzoek. Opdrachtnemer is gerechtigd de eventuele kosten die gemoeid zijn met de medewerking, in rekening te brengen bij opdrachtgever.
8.2. Opdrachtnemer zal Opdrachtgever, voor zover redelijkerwijs mogelijk, bijstand verlenen bij het doen nakomen van diens plicht onder de AVG om een gegevensbeschermingseffectbeoordeling (art. 35 en 36 AVG) uit te voeren. Opdrachtnemer is gerechtigd de eventuele kosten die hiermee gemoeid zijn, in rekening te brengen bij de Opdrachtgever.
8.3. Opdrachtnemer zal de opdrachtgever alle informatie ter beschikking stellen die
nodig is om aan te tonen dat Opdrachtnemer voldoet aan haar verplichtingen onder de AVG.
Voorts zal Opdrachtnemer op verzoek van Opdrachtgever audits, waaronder inspecties, door Opdrachtgever of een door Opdrachtgever gemachtigde controleur mogelijk maken en eraan bijdragen. Opdrachtnemer is gerechtigd de eventuele kosten die hiermee gemoeid zijn, in rekening te brengen bij Opdrachtgever, tenzij uit een dergelijke controle blijkt dat sprake is van aantoonbaar ernstige verwijtbare nalatigheid aan de zijde van Opdrachtnemer met betrekking tot het doorvoeren van de in bijlage 2 van de Verwerkersovereenkomst overeengekomen beveiligingsmaatregelen.
Artikel 9 Beëindiging
9.1 De Verwerkersovereenkomst eindigt op het moment dat de Overeenkomst eindigt, tenzij
na beëindiging van de Overeenkomst, om wat voor reden dan ook, Opdrachtnemer nog steeds
Persoonsgegevens Verwerkt of onder zich heeft, in welk geval de Verwerkersovereenkomst van toepassing is zolang Opdrachtnemer Persoonsgegevens Verwerkt. Onverminderd de specifieke bepalingen uit de Overeenkomst, zal de Opdrachtnemer op eerste verzoek van de Opdrachtgever alle Persoonsgegevens wissen of deze aan hem terugbezorgen, en bestaande kopieën verwijderen, tenzij Opdrachtnemer wettelijk verplicht is de Persoonsgegevens op te slaan. Opdrachtnemer zal Opdrachtgever een schriftelijke bevestiging sturen zodra de Persoonsgegevens op verzoek van Opdrachtgever zijn vernietigd.
Artikel 10 Wijzigingen en bewaartermijnen
10.1 Opdrachtnemer is te allen tijde gerechtigd deze Verwerkersovereenkomst te wijzigen en/of aan
te vullen indien dit noodzakelijk is om te voldoen aan (toekomstige) wet- en regelgeving.
Wijzigingen van ondergeschikt belang, zoals kennelijke verschrijvingen, evidente omissies
en overige wijzigingen van vergelijkbare aard, kunnen te allen tijde worden doorgevoerd
zonder dat Opdrachtgever om een akkoord zal worden gevraagd en zonder dat Opdrachtgever gerechtigd is de Overeenkomst / Verwerkersovereenkomst te beëindigen. De meest actuele Verwerkersovereenkomst zal op de website van Opdrachtnemer, zowel op de website als na het inlogscherm, te vinden zijn.
10.2 Opdrachtgever zal Opdrachtnemer adequaat informeren over (wettelijke) bewaartermijnen die van toepassing zijn op de Verwerking van Persoonsgegevens voor Opdrachtnemer. Opdrachtnemer zal de Persoonsgegevens niet langer Verwerken dan overeenkomstig deze bewaartermijnen.
10.4 De verplichtingen uit deze Verwerkersovereenkomst die naar hun aard bestemd zijn om
beëindiging te overleven, blijven ook na beëindiging van deze Verwerkersovereenkomst van
kracht.
Handtekening door tekeningsbevoegde,
naam………………………………………………………………………………………………………
Bijlage 1
Diensten van Opdrachtnemer:
Opdrachtnemer stelt aan Opdrachtgever online diensten beschikbaar, bestaande uit het online portaal van opdrachtnemer. De diensten die door Opdrachtnemer worden geleverd zijn beschreven in de Overeenkomst en de Algemene Voorwaarden.
De verwerkersovereenkomst vindt plaats voor de volgende doelen:
Om de online totaaloplossing te bieden, bestaande uit:
• Relatiebeheer
• Sales
• Overige commerciële doeleinden
• Financiële administratie
• Projectadministratie
• Agenda
• Taken
• Correspondentie
• Urenregistratie
• Dossierbeheer
• Facturatie
• Boekhouding
• Gerechtelijke procedures
• Invorderingsactiviteiten
De verwerking vindt ook plaats om de software systemen te implementeren en onderhouden.
De verwerking heeft betrekking op de volgende categorieën van betrokkenen:
• Contactgegevens per gebruiker (naam, e-mailadres, wachtwoord, rol, adresgegevens, telefoonnummer):
• Gegevens die Opdrachtgever verstrekt aan Opdrachtnemer voor de verwerkingsdoeleinden (“Klantgegevens”);
Opdrachtnemer zal de volgende soort Persoonsgegevens verwerken:
– Gegevens betreffende Opdrachtgever
– Door opdrachtgever verstrekte gegevens ten behoeve van de invorderingsactiviteiten
Bijlage 2 Specificatie van beveiliging
Om de beveiligingsstandaarden op hoog niveau in stand te houden maakt de opdrachtnemer gebruik van de volgende zaken. Opdrachtnemer zal opdrachtgever informeren indien de hierna beschreven beveiligingsmaatregen worden gewijzigd:
Fysieke beveiligingsmaatregelen
• Alle persoonsgegevens worden opgeslagen op servers van de leveranciers van de opdrachtnemer, welke zijn gecertificeerd.
• Slechts geselecteerde medewerkers van Opdrachtnemer beschikken over toegangscodes.
• Door werknemers ondertekende geheimhoudingsverklaringen.
Technische beveiligingsmaatregelen
• De toegang tot de databases is beperkt tot een specifieke IP-reeks en kan enkel benaderd
• worden door medewerkers van de opdrachtnemer.
• De server van de Opdrachtnemer met de persoonsgegevens kan niet van buitenaf worden benaderd. Uitgezonderd de eerder genoemde medewerkers.
• Alle informatie die wordt beheerd door de Opdrachtnemer is beveiligd met een beveiligde modem
• Alle webservices van de Opdrachtnemer zijn beveiligd met SSL certificaten.
• De Back Office webservices zijn beveiligd met het EV SSL-certificaat (dit biedt het hoogste niveau van beveiliging voor authenticatie).
Bijlage Leveranciers en Sub Opdrachtnemers
– Softwareleveranciers
– Gerechtsdeurwaarders
– Advocaten