Verwerkersovereenkomst HJC-Automatisering.nl
Om aan de eisen te voldoen die door de Algemene Verordening Gegevensbescherming worden gesteld
aan de verwerking van persoonsgegevens heeft HJC-Automatisering een verwerkersovereenkomst opgesteld met
betrekking tot die diensten die door HJC-Automatisering worden verricht waarbij persoons- gegevens worden
verwerkt.
Artikel 1. Definities van gebruikte termen.
AVG: Algemene Verordening Gegevensbescherming
Algemene Voorwaarden: de Algemene Voorwaarden van HJC-Automatisering
HJC-Automatisering: het bedrijf HJC-Automatisering, gevestigd te Balkbrug en ingeschreven bij de
Kamer van Koophandel onder dossiernummer 55436900
Verwerkingsverantwoordelijke/Opdrachtgever: is de (rechts)persoon die het doel en de
middelen voor de verwerking vaststelt. Waar in deze Verwerkersovereenkomst Verwerkingsverantwoordelijke staat kan ook
Opdrachtgever worden gelezen en vice versa.
Verwerker: is de (rechts)persoon die van de verwerkingsverantwoordelijke/
opdrachtgever de opdracht krijgt om persoonsgegevens te verwerken.
Sub-verwerker: is de (rechts)persoon die ten behoeve van HJC-Automatisering persoonsgegevens
verwerkt.
Betrokkenen: personen van wie persoonsgegevens worden verwerkt
Overeenkomst: iedere overeenkomst tussen HJC-Automatisering en Opdrachtgever op grond
waarvan HJC-Automatisering Diensten levert aan Opdrachtgever. De
Verwerkersovereenkomst is een integraal onderdeel van de Overeenkomst.
Verwerkersovereenkomst: een Verwerkingsverantwoordelijke/Opdrachtgever en een
Verwerker zijn binnen de AVG verplicht om een verwerkersovereenkomst met elkaar aan te gaan. Bij het tot stand komen van een
Overeenkomst zoals bedoeld in onze Algemene Voorwaarden komt
tevens de Verwerkersovereenkomst tot stand. De Verwerkersovereenkomst is een integraal onderdeel van de Overeenkomst.
Verwerkersovereenkomsten welke niet door HJC-Automatisering zijn opgesteld
worden door HJC-Automatisering niet erkend en kunnen nimmer onderdeel zijn van
de Overeenkomst.
Artikel 2. Het doel van de verwerking
2.1 Verwerker zal in opdracht en onder verantwoordelijkheid van de Opdrachtgever uitsluitend die
gegevens verwerken die noodzakelijk zijn voor het juist uitvoeren van de Overeenkomst en niet
voor een ander doel gebruiken dan waarvoor zij deze heeft verkregen, zelfs niet wanneer deze in
een zodanige vorm is gebracht zodat deze niet tot betrokkenen herleidbaar is.
Artikel 3. Overzicht van persoonsgegevens die worden verwerkt
3.1 Voor een juiste uitvoering van de Overeenkomst worden in ieder geval de volgende
persoonsgegevens verwerkt;
- NAW-gegevens
- e-mail adressen
- Bedrijfsgegevens (o.a. BTW-identificatienummers)
- IP-adressen
- overige mogelijke categorieën van niet bijzondere persoonsgegevens
Artikel 4. Doorgifte van persoonsgegevens
4.1 Verwerker mag de persoonsgegevens verwerken in landen binnen de Europese Unie. Doorgifte
naar landen buiten de Europese Unie is verboden.
4.2 Verwerker zal de Opdrachtgever op haar verzoek mede delen om welk land of welke landen
binnen de Europese Unie het gaat.
Artikel 5. Verdeling van verantwoordelijkheid
5.1 De toegestane verwerkingen zullen door medewerkers van Verwerker worden uitgevoerd binnen
een geautomatiseerde omgeving.
5.2 De Verwerker is alleen verantwoordelijk voor de verwerking van de persoonsgegevens onder
deze Verwerkersovereenkomst, overeenkomstig de instructies van de Opdrachtgever.
5.3 De Opdrachtgever garandeert dat de inhoud, het gebruik en de opdracht tot de verwerkingen
van de persoonsgegevens zoals bedoeld in de Overeenkomst, niet onrechtmatig is en geen
inbreuk maken op enig recht van derden
Artikel 6. Beveiliging
6.1 De verwerker zal zich inspannen voldoende technische en organisatorische maatregelen te
nemen met betrekking tot de te verrichten verwerkingen van persoonsgegevens, tegen verlies
of tegen enige vorm van onrechtmatige verwerking (zoals onbevoegde kennisname, aantasting,
wijziging of verstrekking van de persoonsgegevens).
6.2 De verwerker heeft in ieder geval de volgende maatregelen genomen:
- encryptie (versleuteling) van digitale bestanden met persoonsgegevens
- beveiliging van netwerkverbindingen via Secure Socket Layer (SSL) technologie
- een beveiligd intern netwerk
- back-up systeem op geografisch gescheiden plaatsen
- meerdere back-ups per dag
- dubbele uitvoering van interne systemen
6.3 Alleen personen die door de Verwerker hiertoe zijn gemachtigd hebben toegang tot de
persoonsgegevens. Hiernaast zijn deze personen uit hoofde van een wettelijke verplichting
gehouden tot geheimhouding. Deze geheimhoudingsplicht is niet van toepassing voor zover de
Opdrachtgever uitdrukkelijke toestemming heeft gegeven om de informatie aan derden te
verschaffen, indien het verstrekken van de informatie aan derden logischerwijs noodzakelijk is
gezien de aard van de verstrekte opdracht en de uitvoering van deze Overeenkomst, of indien er
een wettelijke verplichting bestaat om de informatie aan een derde te verstrekken.
6.4 De omschreven beveiligingsmaatregelen bieden volgens de Opdrachtgever een afdoende
beveiligingsniveau.
Artikel 7. Meldplicht
7.1 De Opdrachtgever is te allen tijde verantwoordelijk voor het melden van een beveiligingslek
en/of datalek aan de toezichthouder en/of betrokkenen. Om de Opdrachtgever in staat te stellen
aan deze wettelijke plicht te voldoen, stelt de Verwerker de Opdrachtgever binnen een redelijke
termijn op de hoogte van een beveiligingslek en/of datalek.
7.2 De meldplicht behelst in ieder geval het melden van het feit dat er een lek is geweest.
Daarnaast behelst de meldplicht:
- wat de (vermeende) oorzaak is van het lek
- wat het (vooralsnog bekende en/of te verwachten) gevolg is
- wat de (voorgestelde) oplossing is
- wie geïnformeerd is
Artikel 8. Afhandeling verzoeken van betrokkenen
8.1 In het geval een Betrokkene een verzoek richt aan de Verwerker met betrekking tot zijn in
Hoofdstuk III AVG vastgestelde rechten zal de Verwerker het verzoek doorsturen aan de
Opdrachtgever. De Opdrachtgever zal het verzoek verder afhandelen, waarbij de Verwerker de
Opdrachtgever, binnen zijn organisatorische en technische mogelijkheden, zo goed mogelijk zal
bijstaan. De Verwerker mag de Betrokkene daarvan op de hoogte stellen.
Artikel 9. Data Protection Impact Assesment (DPIA) en Audit
9.1 De Opdrachtgever heeft het recht om een DPIA of Audit te laten uitvoeren door een
onafhankelijke derde die aan geheimhouding is gebonden ter controle van naleving van alle
punten uit de Verwerkersovereenkomst.
9.2 De audit mag plaatsvinden bij een concreet vermoeden van misbruik van persoonsgegevens.
9.3 Verwerker zal aan de DPIA/Audit meewerken en alle redelijkerwijs relevante informatie, inclusief
ondersteunende gegevens zoals systeemlogs, en medewerkers zo tijdig mogelijk ter
beschikking stellen.
9.4 De bevindingen naar aanleiding van de uitgevoerde DPIA/Audit zullen door beide partijen in
onderling overleg worden beoordeeld en, naar aanleiding daarvan, al dan niet worden
doorgevoerd door één of beide partijen.
9.5 De kosten van een DPIA en/of Audit worden door de Opdrachtgever gedragen.
Artikel 10. Sub-verwerkers
10.1 Het is de Verwerker toegestaan om in het kader van de Overeenkomst gebruik te maken
van een Sub-verwerker. De Verwerker zal aan een Sub-verwerker eenzelfde eisen en
verplichtingen stellen als welke uit hoofde van deze Verwerkersovereenkomst geldt voor de
Verwerker.
Artikel 11. Aansprakelijkheid
11.1 HJC-Automatisering is in het kader van de totstandkoming, nakoming of uitvoering van de
Verwerkersovereenkomst niet aansprakelijk voor schadevergoeding, ongeacht de grond waarop
een actie tot schadevergoeding zou worden gebaseerd, behoudens in de gevallen hieronder
genoemd, en ten hoogste tot de daarbij vermelde limieten.
11.2 De totale aansprakelijkheid van HJC-Automatisering voor schade geleden door Opdrachtgever als gevolg van
een toerekenbare tekortkoming in de nakoming door HJC-Automatisering van zijn verplichtingen onder de
Verwerkersovereenkomst, daaronder uitdrukkelijk ook begrepen iedere tekortkoming in de
nakoming van een met Opdrachtgever overeengekomen garantieverplichting, dan wel door een
onrechtmatig handelen van HJC-Automatisering, diens werknemers of door hem ingeschakelde derden, is
per gebeurtenis dan wel een reeks van samenhangende gebeurtenissen beperkt tot een bedrag
gelijk aan het totaal van de vergoedingen (exclusief BTW) die Opdrachtgever onder de
Overeenkomst verschuldigd zal raken.
11.3 De aansprakelijkheid van de Verwerker voor indirecte schade is uitgesloten.
Onder indirecte schade wordt verstaan alle schade die geen directe schade is en daarmee in
ieder geval, maar niet beperkt tot, gevolgschade, gederfde winst, gemiste besparingen,
verminderde goodwill, schade door bedrijfsstagnatie, schade door het niet bepalen van
marketingdoeleinden, schade verband houdende met het gebruik van door Opdrachtgever
voorgeschreven gegevens of databestanden, of verlies, verminking of vernietiging van gegevens
of databestanden.
11.4 Tenzij nakoming door de Verwerker blijvend onmogelijk is, ontstaat de aansprakelijkheid
van de Verwerker wegens toerekenbare tekortkoming in de nakoming van de
Verwerkersovereenkomst slechts indien de Opdrachtgever de Verwerker onverwijld schriftelijk
in gebreke stelt, waarbij een redelijke termijn voor de zuivering van de tekortkoming wordt
gesteld, en de Verwerker ook na die termijn toerekenbaar blijft tekortschieten in de
nakoming van haar verplichtingen. De ingebrekestelling dient een zo volledig en gedetailleerd
mogelijke omschrijving van de tekortkoming te bevatten, opdat Bewerker in de
gelegenheid wordt gesteld adequaat te reageren.
11.5 Iedere vordering tot schadevergoeding door de Opdrachtgever tegen de Verwerker die niet
gespecificeerd en expliciet is gemeld, vervalt door het enkele verloop van twaalf (12) maanden
na het ontstaan van de vordering.
11.6 De Opdrachtgever vrijwaart HJC-Automatisering tegen elke rechtsvordering van derden indien die vordering,
in welke vorm dan ook, verband houdt met de verwerking van persoonsgegevens alsmede tegen
eventueel aan Opdrachtgever toerekenbare opgelegde boetes door de Autoriteit
Persoonsgegevens of andere toezichthoudende instanties.
Artikel 12. Duur en beëindiging
12.1 Deze Verwerkersovereenkomst is aangegaan voor de duur zoals bepaald in de Overeenkomst. Bij
beëindiging van de Overeenkomst eindigt ook de Verwerkers-overeenkomst en vice versa.
12.2 Zodra de Overeenkomst, om welke reden en op welke wijze dan ook, is beëindigd, heeft de
Opdrachtgever 30 dagen de tijd om de verstrekte persoonsgegevens op te vragen.
12.3 De Verwerker zal al die persoonsgegevens bewaren zoals volgt uit de fiscale bewaarplicht. Deze
wettelijke verplichting houdt in dat bron-, afgeleide- en vaste gegevens minimaal 7 jaar moeten
worden bewaard. Persoonsgegevens die niet onder deze kwalificatie vallen zullen na 30 dagen
van de servers en systemen van de Verwerker worden verwijderd.
Artikel 13. Toepasselijk recht en geschillenbeslechting
13.1 De (Verwerkers)Overeenkomst en de uitvoering daarvan worden beheerst door Nederlands
recht.
13.2 Alle geschillen, welke tussen de Verwerker en Opdrachtgever mochten ontstaan in verband met
de (Verwerkers)Overeenkomst, zullen worden voorgelegd aan de bevoegde rechter voor het
arrondissement waarin de Verwerker gevestigd is.