− ClusterSupport B.V., leverancier van SaaS-diensten, gevestigd aan de …….. te …….. met Kamer van Koophandel nummer ……….. en rechtsgeldig vertegenwoordigd door [Naam Vertegenwoordiger], (hierna: “Verwerker”);
en
− [Relatienaam], gebruiker van Software-as-a-Service (SaaS) diensten van ClusterSupport met een gebruiksovereenkomst waarop vermeld staat het [Relatienummer/debiteurnummer], gevestigd op het adres [Adres], met Kamer van Koophandel nummer [KvK-nummer] en rechtsgeldig vertegenwoordigd door [Naam persoon], (hierna: “Verantwoordelijke”);
Rol definities conform definities Algemene Verordening Gegevensbescherming (AVG)
Drie situaties worden onderscheiden waarvoor deze overeenkomst geldt:
1.1 Verwerker verbindt zich onder de voorwaarden van deze Verwerkersovereenkomst (hierna: Verwerkersovereenkomst) in opdracht van Verantwoordelijke persoonsgegevens te verwerken, ten behoeve van de uitvoering van Software-as-a-Service diensten door Verwerker voor Verantwoordelijke conform de contracten die partijen hiervoor hebben afgesloten. Verwerking zal uitsluitend plaatsvinden in het kader van het bewaren van administraties en alle bijbehorende gegevens, plus die doeleinden die daarmee redelijkerwijs samenhangen of die met nadere instemming worden bepaald.
1.2 Verwerker zal de persoonsgegevens niet voor enig ander doel verwerken dan binnen de functionele mogelijkheden die de softwarediensten van Verwerker mogelijk maken en die Verantwoordelijke bekend zijn. Verantwoordelijke zal Verwerker op de hoogte stellen van de verwerkingsdoeleinden voor zover deze niet reeds in deze Verwerkersovereenkomst zijn genoemd of uit de functionaliteit van de software blijkt.
1.3 De in opdracht van Verantwoordelijke te verwerken persoonsgegevens blijven eigendom van Verantwoordelijke en/of de betreffende betrokkenen.
1.4 Verantwoordelijke staat ervoor in dat de verwerking van persoonsgegevens onder één van de vrijstellingen onder de Algemene Verordening Gegevensbescherming (hierna: AVG) valt, en dat er aldus geen melding bij de Autoriteit Persoonsgegevens is vereist.
2.1 Ten aanzien van de in artikel 1 genoemde verwerkingen zal Verwerker zorg dragen voor de naleving van de toepasselijke wet- en regelgeving, waaronder in ieder geval begrepen de wet- en regelgeving op het gebied van de bescherming van persoonsgegevens, zoals de Wet bescherming persoonsgegevens en diens opvolger, de AVG.
2.2 Verwerker zal Verantwoordelijke, op diens eerste verzoek daartoe, informeren over de door haar genomen maatregelen aangaande haar verplichtingen onder deze Verwerkersovereenkomst.
2.3 De verplichtingen van de Verwerker die uit deze Verwerkersovereenkomst voortvloeien, gelden ook voor degenen die persoonsgegevens verwerken onder het gezag van Verwerker, waaronder begrepen maar niet beperkt tot werknemers, in de ruimste zin van het woord.
3.1 Verwerker mag de persoonsgegevens verwerken in landen binnen de Europese Unie. Doorgifte naar landen buiten de Europese Unie is verboden.
3.2 Verwerker zal Verantwoordelijke melden om welk land of welke landen het gaat als dit ook buiten Nederland geschiedt.
4.1 De toegestane verwerkingen zullen door de software en/of de medewerkers van Verwerker worden uitgevoerd binnen een geautomatiseerde omgeving.
4.2 Verwerker is louter verantwoordelijk voor de verwerking van de persoonsgegevens onder deze Verwerkersovereenkomst, overeenkomstig de instructies van Verantwoordelijke en onder de uitdrukkelijke (eind-)verantwoordelijkheid van Verantwoordelijke. Voor de overige verwerkingen van persoonsgegevens, waaronder in ieder geval begrepen, maar niet beperkt tot, de verzameling van de persoonsgegevens door de Verantwoordelijke, verwerkingen voor doeleinden die niet door Verantwoordelijke aan Verwerker zijn gemeld, verwerkingen door derden en/of voor andere doeleinden, is Verwerker uitdrukkelijk niet verantwoordelijk.
4.3 Verantwoordelijke garandeert dat de inhoud, het gebruik en de opdracht tot de verwerkingen van de persoonsgegevens zoals bedoeld in deze Verwerkersovereenkomst, niet onrechtmatig is en geen inbreuk maken op enig recht van derden.
5.1 Verwerker zal zich inspannen voldoende technische en organisatorische maatregelen te nemen met betrekking tot de te verrichten verwerkingen van persoonsgegevens, tegen verlies of tegen enige vorm van onrechtmatige verwerking (zoals onbevoegde kennisname, aantasting, wijziging of verstrekking van de persoonsgegevens).
5.2 Verwerker staat er niet voor in dat de beveiliging onder alle omstandigheden doeltreffend is. Indien een uitdrukkelijk omschreven beveiliging in de Verwerkersovereenkomst ontbreekt, zal Verwerker zich inspannen de beveiliging te laten voldoen aan een niveau dat, gelet op de stand van de techniek, de gevoeligheid van de persoonsgegevens en de aan het treffen van de beveiliging verbonden kosten, niet onredelijk is.
5.3 Verantwoordelijke stelt enkel persoonsgegevens aan Verwerker ter beschikking voor verwerking, indien zij zich ervan heeft verzekerd dat de vereiste beveiligingsmaatregelen zijn getroffen. Verantwoordelijke is verantwoordelijk voor de naleving van de door Partijen afgesproken maatregelen.
6.1 Verantwoordelijke is te allen tijde verantwoordelijk voor het melden van een beveiligingslek en/of datalek (waaronder wordt verstaan: een inbreuk op de beveiliging van persoonsgegevens die leidt tot een kans op nadelige gevolgen, dan wel nadelige gevolgen heeft, voor de bescherming van persoonsgegevens) aan de toezichthouder en/of betrokkenen. Om Verantwoordelijke in staat te stellen aan deze wettelijke plicht te voldoen, stelt Verwerker de Verantwoordelijke onverwijld op de hoogte van een beveiligingslek en/of het datalek.
6.2 Een melding moet alleen bij gebeurtenissen met grote impact worden gedaan, en alleen als de gebeurtenis zich daadwerkelijk voorgedaan heeft.
6.3 De meldplicht behelst in ieder geval het melden van het feit dat er een lek is geweest. Daarnaast behelst de meldplicht:
7.1 In het geval dat een betrokkene een verzoek tot inzage, zoals bedoeld in artikel 15 AVG, of rectificatie, aanvulling, wijziging of afscherming, zoals bedoeld in artikel 16 AVG, richt aan Verwerker, zal Verwerker het verzoek doorsturen aan Verantwoordelijke, en zal Verantwoordelijke het verzoek verder afhandelen. Verwerker mag de betrokkene daarvan op de hoogte stellen.
8.1 Op alle persoonsgegevens die Verwerker van Verantwoordelijke ontvangt en/of zelf verzamelt in het kader van deze Verwerkersovereenkomst, rust een geheimhoudingsplicht jegens derden. Verwerker zal deze informatie niet voor een ander doel gebruiken dan waarvoor zij deze heeft verkregen, zelfs niet wanneer deze in een zodanige vorm is gebracht zodat deze niet tot betrokkenen herleidbaar is.
8.2 Deze geheimhoudingsplicht is niet van toepassing voor zover Verantwoordelijke uitdrukkelijke toestemming heeft gegeven om de informatie aan derden te verschaffen, indien het verstrekken van de informatie aan derden logischerwijs noodzakelijk is gezien de aard van de verstrekte opdracht en de uitvoering van deze Verwerkersovereenkomst, of indien er een wettelijke verplichting bestaat om de informatie aan een derde te verstrekken.
9.1 Verantwoordelijke heeft het recht om audits uit te laten voeren door een onafhankelijke derde die aan geheimhouding is gebonden ter controle van naleving van alle punten uit de Verwerkersovereenkomst, en alles dat daar direct verband mee houdt.
9.2 Deze audit mag plaatsvinden bij een concreet vermoeden van misbruik van persoonsgegevens.
9.3 Verwerker zal aan de audit meewerken en alle voor de audit redelijkerwijs relevante informatie, inclusief ondersteunende gegevens zoals systeemlogs, en medewerkers zo tijdig mogelijk ter beschikking stellen.
9.4 De bevindingen naar aanleiding van de uitgevoerde audit zullen door Partijen in onderling overleg worden beoordeeld en, naar aanleiding daarvan, al dan niet worden doorgevoerd door één van de Partijen of door beide Partijen gezamenlijk
9.5 De kosten van een jaarlijks uit te voeren audit op de dienstverlening van Verwerker worden door Verwerker gedragen. Toetsing op de naleving van de relevante AVG-bepalingen op de dienstverlening van Verwerker vormen vast onderdeel van het normenkader Zeker-Online aan de hand waarvan deze ISAE3402 type II audit wordt uitgevoerd.
9.6 De kosten van een separate AVG Audit worden door Verantwoordelijke en/of Betrokkene gedragen als deze hierom verzoekt.
10.1 Deze Verwerkersovereenkomst komt tot stand door ondertekening van Partijen en op de datum van de laatste ondertekening.
10.2 Deze Verwerkersovereenkomst is aangegaan voor de duur zoals bepaald in de lopende gebruikersovereenkomst tussen Partijen en bij gebreke daarvan in ieder geval voor de duur van de samenwerking.
10.3 Zodra de lopende gebruikersovereenkomst, om welke reden en op welke wijze dan ook, is beëindigd, zal Verwerker alle persoonsgegevens die bij haar aanwezig zijn in digitale en/of kopievorm verwijderen en voor zover in originele vorm aanwezig, retourneren aan Verantwoordelijke, en daarna deze en eventuele kopieën daarvan verwijderen en/of vernietigen, zulks rekening houdende met eventuele bewaartermijnen zoals bepaald in de Algemene Leverings Voorwaarden van Verwerker en wettelijke bepalingen hieromtrent.
10.4 Deze Verwerkersovereenkomst kan tussentijds niet worden opgezegd tenzij de lopende gebruikersovereenkomst wordt beëindigd. In dat geval vervalt ook deze Verwerkersovereenkomst vanaf het moment dat alle gegevens die bij Verwerker in beheer zijn, conform de leveringsvoorwaarden zijn verwijderd.
10.5 Partijen mogen deze Verwerkersovereenkomst alleen wijzigen met wederzijdse schriftelijk bevestigde instemming. Het wijzigen van de tekst t.o.v. het digitaal getekende originele pdf-bestand van deze overeenkomst maakt de overeenkomst ongeldig.
11.1 De Verwerkersovereenkomst en de uitvoering daarvan worden beheerst door Nederlands recht.
11.2 Alle geschillen, welke tussen Partijen mochten ontstaan in verband met de Verwerkersovereenkomst, zullen worden voorgelegd aan de bevoegde rechter voor het arrondissement waarin Verwerker gevestigd is.