Verwerkersovereenkomst

Om te voldoen aan de eisen die door de Algemene Verordening Gegevensbescherming worden
gesteld aan de verwerking van persoonsgegevens heeft Rolocon een verwerkersovereenkomst
opgesteld met betrekking tot die diensten die door Rolocon worden verricht waarbij persoonsgegevens
worden verwerkt.

 

Artikel 1. Definities van gebruikte termen

AVG: Algemene Verordening Gegevensbescherming
Algemene Voorwaarden: de Algemene Voorwaarden van Rolocon.
Rolocon: het bedrijf Rolocon., gevestigd te Nieuw-Lekkerland en ingeschreven bij de
Kamer van Koophandel onder KvK 70762384.
Verwerkingsverantwoordelijke/Opdrachtgever: is de (rechts)persoon die het doel en de
middelen voor de verwerking vaststelt. Waar in deze Verwerkersovereenkomst
Verwerkingsverantwoordelijke staat kan ook
Opdrachtgever worden gelezen en vice versa.
Verwerker: is de (rechts)persoon die van de verwerkingsverantwoordelijke/
opdrachtgever de opdracht krijgt om persoonsgegevens te verwerken.
Sub-verwerker: is de (rechts)persoon die ten behoeve van Rolocon persoonsgegevens
verwerkt.
Betrokkenen: personen van wie persoonsgegevens worden verwerkt
Overeenkomst: iedere overeenkomst tussen Rolocon en Opdrachtgever op grond waarvan
Rolocon Diensten levert aan Opdrachtgever. De Verwerkersovereenkomst
is een integraal onderdeel van de Overeenkomst.
Verwerkersovereenkomst: een Verwerkingsverantwoordelijke/Opdrachtgever en een
Verwerker zijn binnen de AVG verplicht om een verwerkersovereenkomst
met elkaar aan te gaan. Bij het tot stand komen van een
Overeenkomst zoals bedoeld in onze Algemene Voorwaarden komt
tevens de Verwerkersovereenkomst tot stand. De Verwerkersovereenkomst
is een integraal onderdeel van de Overeenkomst.
Verwerkersovereenkomsten welke niet door Rolocon zijn opgesteld
worden door Rolocon niet erkend en kunnen nimmer onderdeel zijn van
de Overeenkomst.

Artikel 2. Het doel van de verwerking

2.1 Verwerker zal in opdracht en onder verantwoordelijkheid van de Opdrachtgever
uitsluitend die gegevens verwerken die noodzakelijk zijn voor het juist uitvoeren van de
Overeenkomst en niet voor een ander doel gebruiken dan waarvoor zij deze heeft
verkregen, zelfs niet wanneer deze in een zodanige vorm is gebracht zodat deze niet tot
betrokkenen herleidbaar is.

Artikel 3. Overzicht van persoonsgegevens die worden verwerkt

3.1 Voor een juiste uitvoering van de Overeenkomst worden in ieder geval de volgende
persoonsgegevens verwerkt;
– NAW-gegevens
– e-mail adressen
– Bedrijfsgegevens (o.a. BTW-identificatienummers)
– IP-adressen
– overige mogelijke categorieën van niet bijzondere persoonsgegevens

Artikel 4. Doorgifte van persoonsgegevens

4.1 Verwerker mag de persoonsgegevens verwerken in landen binnen de Europese Unie.
Doorgifte naar landen buiten de Europese Unie is verboden.
4.2 Verwerker zal de Opdrachtgever op haar verzoek mede delen om welk land of welke
landen binnen de Europese Unie het gaat.

Artikel 5. Verdeling van verantwoordelijkheid

5.1 De toegestane verwerkingen zullen door medewerkers van Verwerker worden
uitgevoerd binnen een geautomatiseerde omgeving.
5.2 De Verwerker is alleen verantwoordelijk voor de verwerking van de persoonsgegevens
onder deze Verwerkersovereenkomst, overeenkomstig de instructies van de
Opdrachtgever.
5.3 De Opdrachtgever garandeert dat de inhoud, het gebruik en de opdracht tot de
verwerkingen van de persoonsgegevens zoals bedoeld in de Overeenkomst, niet
onrechtmatig is en geen inbreuk maken op enig recht van derden.

Artikel 6. Beveiliging

6.1 De verwerker zal zich inspannen voldoende technische en organisatorische maatregelen
te nemen met betrekking tot de te verrichten verwerkingen van persoonsgegevens,
tegen verlies of tegen enige vorm van onrechtmatige verwerking (zoals onbevoegde
kennisname, aantasting, wijziging of verstrekking van de persoonsgegevens).
6.2 De verwerker heeft in ieder geval de volgende maatregelen genomen:
– encryptie (versleuteling) van digitale bestanden met persoonsgegevens
– beveiliging van netwerkverbindingen via Secure Socket Layer (SSL) technologie
– een beveiligd intern netwerk
– back-up systeem op geografisch gescheiden plaatsen
– meerdere back-ups per dag
– dubbele uitvoering van interne systemen
6.3 Alleen personen die door de Verwerker hiertoe zijn gemachtigd hebben toegang tot de
persoonsgegevens. Hiernaast zijn deze personen uit hoofde van een wettelijke
verplichting gehouden tot geheimhouding. Deze geheimhoudingsplicht is niet van
toepassing voor zover de Opdrachtgever uitdrukkelijke toestemming heeft gegeven om
de informatie aan derden te verschaffen, indien het verstrekken van de informatie aan
derden logischerwijs noodzakelijk is gezien de aard van de verstrekte opdracht en de
uitvoering van deze Overeenkomst, of indien er een wettelijke verplichting bestaat om
de informatie aan een derde te verstrekken.
6.4 De omschreven beveiligingsmaatregelen bieden volgens de Opdrachtgever een afdoende
beveiligingsniveau.

Artikel 7. Meldplicht

7.1 De Opdrachtgever is te allen tijde verantwoordelijk voor het melden van een
beveiligingslek en/of datalek aan de toezichthouder en/of betrokkenen. Om de
Opdrachtgever in staat te stellen aan deze wettelijke plicht te voldoen, stelt de
Verwerker de Opdrachtgever binnen een redelijke termijn op de hoogte van een
beveiligingslek en/of datalek.
7.2 De meldplicht behelst in ieder geval het melden van het feit dat er een lek is geweest.
Daarnaast behelst de meldplicht:
– wat de (vermeende) oorzaak is van het lek
– wat het (vooralsnog bekende en/of te verwachten) gevolg is
– wat de (voorgestelde) oplossing is
– wie geïnformeerd is

Artikel 8. Afhandeling verzoeken van betrokkenen

8.1 In het geval een Betrokkene een verzoek richt aan de Verwerker met betrekking tot zijn
in Hoofdstuk III AVG vastgestelde rechten zal de Verwerker het verzoek doorsturen aan
de Opdrachtgever. De Opdrachtgever zal het verzoek verder afhandelen, waarbij de
Verwerker de Opdrachtgever, binnen zijn organisatorische en technische mogelijkheden,
zo goed mogelijk zal bijstaan. De Verwerker mag de Betrokkene daarvan op de hoogte
stellen.

Artikel 9. Data Protection Impact Assesment (DPIA) en Audit

9.1 De Opdrachtgever heeft het recht om een DPIA of Audit te laten uitvoeren door een
onafhankelijke derde die aan geheimhouding is gebonden ter controle van naleving van
alle punten uit de Verwerkersovereenkomst.
9.2 De audit mag plaatsvinden bij een concreet vermoeden van misbruik van
persoonsgegevens.
9.3 Verwerker zal aan de DPIA/Audit meewerken en alle redelijkerwijs relevante
informatie, inclusief ondersteunende gegevens zoals systeemlogs, en medewerkers zo
tijdig mogelijk ter beschikking stellen.
9.4 De bevindingen naar aanleiding van de uitgevoerde DPIA/Audit zullen door beide
partijen in onderling overleg worden beoordeeld en, naar aanleiding daarvan, al dan niet
worden doorgevoerd door één of beide partijen.
9.5 De kosten van een DPIA en/of Audit worden door de Opdrachtgever gedragen.

Artikel 10. Sub-verwerkers

10.1 Het is de Verwerker toegestaan om in het kader van de Overeenkomst gebruik te
maken van een Sub-verwerker. De Verwerker zal aan een Sub-verwerker eenzelfde
eisen en verplichtingen stellen als welke uit hoofde van deze Verwerkersovereenkomst
geldt voor de Verwerker.

Artikel 11. Aansprakelijkheid

11.1 Rolocon is in het kader van de totstandkoming, nakoming of uitvoering van de
Verwerkersovereenkomst niet aansprakelijk voor schadevergoeding, ongeacht de grond
waarop een actie tot schadevergoeding zou worden gebaseerd, behoudens in de gevallen
hieronder genoemd, en ten hoogste tot de daarbij vermelde limieten.
11.2 De totale aansprakelijkheid van Rolocon voor schade geleden door Opdrachtgever als
gevolg van een toerekenbare tekortkoming in de nakoming door Rolocon van zijn
verplichtingen onder de Verwerkersovereenkomst, daaronder uitdrukkelijk ook
begrepen iedere tekortkoming in de nakoming van een met Opdrachtgever
overeengekomen garantieverplichting, dan wel door een onrechtmatig handelen van
Rolocon, diens werknemers of door hem ingeschakelde derden, is per gebeurtenis dan
wel een reeks van samenhangende gebeurtenissen beperkt tot een bedrag gelijk aan het
totaal van de vergoedingen (exclusief BTW) die Opdrachtgever onder de Overeenkomst
verschuldigd zal raken.
11.3 De aansprakelijkheid van de Verwerker voor indirecte schade is uitgesloten.
Onder indirecte schade wordt verstaan alle schade die geen directe schade is en
daarmee in ieder geval, maar niet beperkt tot, gevolgschade, gederfde winst, gemiste
besparingen, verminderde goodwill, schade door bedrijfsstagnatie, schade door het niet
bepalen van marketingdoeleinden, schade verband houdende met het gebruik van door
Opdrachtgever voorgeschreven gegevens of databestanden, of verlies, verminking of
vernietiging van gegevens of databestanden.
11.4 Tenzij nakoming door de Verwerker blijvend onmogelijk is, ontstaat de
aansprakelijkheid van de Verwerker wegens toerekenbare tekortkoming in de nakoming
van de Verwerkersovereenkomst slechts indien de Opdrachtgever de Verwerker
onverwijld schriftelijk in gebreke stelt, waarbij een redelijke termijn voor de zuivering
van de tekortkoming wordt gesteld, en de Verwerker ook na die termijn toerekenbaar
blijft tekortschieten in de nakoming van haar verplichtingen. De ingebrekestelling dient
een zo volledig en gedetailleerd mogelijke omschrijving van de tekortkoming te
bevatten, opdat Bewerker in de gelegenheid wordt gesteld adequaat te reageren.
11.5 Iedere vordering tot schadevergoeding door de Opdrachtgever tegen de Verwerker die
niet gespecificeerd en expliciet is gemeld, vervalt door het enkele verloop van twaalf
(12) maanden na het ontstaan van de vordering.
11.6 De Opdrachtgever vrijwaart Rolocon tegen elke rechtsvordering van derden indien die
vordering, in welke vorm dan ook, verband houdt met de verwerking van persoonsgegevens
alsmede tegen eventueel aan Opdrachtgever toerekenbare opgelegde boetes
door de Autoriteit Persoonsgegevens of andere toezichthoudende instanties.

Artikel 12. Duur en beëindiging

12.1 Deze Verwerkersovereenkomst is aangegaan voor de duur zoals bepaald in de
Overeenkomst. Bij beëindiging van de Overeenkomst eindigt ook de Verwerkersovereenkomst
en vice versa.
12.2 Zodra de Overeenkomst, om welke reden en op welke wijze dan ook, is beëindigd, heeft
de Opdrachtgever 30 dagen de tijd om de verstrekte persoonsgegevens op te vragen.
12.3 De Verwerker zal al die persoonsgegevens bewaren zoals volgt uit de fiscale
bewaarplicht. Deze wettelijke verplichting houdt in dat bron-, afgeleide- en vaste
gegevens minimaal 7 jaar moeten worden bewaard. Persoonsgegevens die niet onder
deze kwalificatie vallen zullen na 30 dagen van de servers en systemen van de
Verwerker worden verwijderd.

Artikel 13. Toepasselijk recht en geschillenbeslechting

13.1 De (Verwerkers)Overeenkomst en de uitvoering daarvan worden beheerst door
Nederlands recht.
13.2 Alle geschillen, welke tussen de Verwerker en Opdrachtgever mochten ontstaan in
verband met de (Verwerkers)Overeenkomst, zullen worden voorgelegd aan de bevoegde
rechter voor het arrondissement waarin de Verwerker gevestigd is.

nl Dutch
X