VERWERKERSOVEREENKOMST

  1. De VAR-2-app, gevestigd aan de Pastorieweg 16, 8381 AX te Vledder, en ingeschreven in het Handelsregister van de Kamer van Koophandel onder nummer 01160039 en hierbij rechtsgeldig vertegenwoordigd door dhr. A.A. Vendrig, hierna te noemen: Verwerker;
  2. Klant, dat wil zeggen een natuurlijk persoon of rechtspersoon die een account in de VAR-2-app opent en beheert en op wiens naam het account staat, hierna te noemen Verwerkingsverantwoordelijke;

In aanmerking nemende dat:

  1. Verwerkingsverantwoordelijke gebruik wenst te maken van de diensten van Verwerker;
  2. Verwerkingsverantwoordelijke en Verwerker ten behoeve van het voorgaande een Overeenkomst hebben gesloten;
  3. Verwerker bij de uitvoering van de Overeenkomst in sommige gevallen aangemerkt kan worden als Verwerker in de zin van artikel 1 sub e van de Wet bescherming persoonsgegevens (hierna: “Wbp”);
  4. Verwerkingsverantwoordelijke aangemerkt wordt als Verwerkingsverantwoordelijke in de zin van artikel 1 sub d van de Wbp;
  5. Waar in deze Verwerkersovereenkomst gesproken wordt over persoonsgegevens, hiermee persoonsgegevens in de zin van artikel 1 sub a van de Wbp bedoeld worden;
  6. Verwerker bereid is verplichtingen omtrent beveiliging en andere aspecten van de Wbp na te komen;
  7. De Wbp aan de Verwerkingsverantwoordelijke de plicht oplegt om ervoor zorg te dragen dat Verwerker voldoende waarborgen biedt ten aanzien van de technische en organisatorische beveiligingsmaatregelen met betrekking tot de te verrichten verwerkingen;
  8. De Wbp daarnaast aan de Verwerkingsverantwoordelijke de plicht oplegt om toe te zien op de naleving van die maatregelen;
  9. Partijen, mede gelet op het vereiste uit artikel 14 lid 5 van de Wbp, hun rechten en plichten schriftelijk wensen vast te leggen middels deze Verwerkersovereenkomst (hierna: “Verwerkersovereenkomst”).

Zijn het volgende overeengekomen:

Artikel 1: Doeleinden van verwerking

  1. Verwerker verbindt zich onder de voorwaarden van deze Verwerkersovereenkomst in opdracht van Verwerkingsverantwoordelijke persoonsgegevens te verwerken. Verwerking zal uitsluitend plaatsvinden in het kader van de Verwerkersovereenkomst en die doeleinden die met nadere instemming worden bepaald.
  2. Verwerker zal de persoonsgegevens niet voor enig ander doel verwerken dan zoals door Verwerkingsverantwoordelijke is vastgesteld. Verwerkingsverantwoordelijke zal Verwerker op de hoogte stellen van de verwerkingsdoeleinden voor zover deze niet reeds in deze Verwerkersovereenkomst zijn genoemd.
  3. De Verwerker heeft geen zeggenschap over het doel en de middelen voor de verwerking van persoonsgegevens. Verwerker neemt geen beslissingen over de ontvangst en het gebruik van de persoonsgegevens, de verstrekking aan derden en de duur van de opslag van persoonsgegevens.

 

Artikel 2: Verplichtingen Verwerker

  1. Ten aanzien van de in artikel 1 genoemde verwerkingen zal Verwerker zorg dragen voor de naleving van de voorwaarden die, op grond van de Wbp, worden gesteld aan het verwerken van persoonsgegevens.
  2. Verwerker zal Verwerkingsverantwoordelijke, op diens eerste verzoek daartoe, informeren over de door haar genomen maatregelen aangaande haar verplichtingen onder deze Verwerkersovereenkomst.
  3. De verplichtingen van de Verwerker die uit deze Verwerkersovereenkomst voortvloeien, gelden ook voor degenen die persoonsgegevens verwerken onder het gezag van Verwerker.

 

Artikel 3: Doorgifte van persoonsgegevens

  1. Verwerker mag de persoonsgegevens verwerken in landen binnen de Europese Unie. Doorgifte naar landen buiten de Europese Unie is niet toegestaan zonder voorafgaande schriftelijke toestemming van Verwerkingsverantwoordelijke.
  2. Verwerker zal Verwerkingsverantwoordelijke melden om welk land of landen het gaat.

 

Artikel 4: Verdeling van verantwoordelijkheid

  1. De toegestane verwerkingen zullen door Verwerker worden uitgevoerd binnen een geautomatiseerde omgeving.
  2. Verwerker is louter verantwoordelijk voor de verwerking van de persoonsgegevens onder deze Verwerkersovereenkomst, overeenkomstig de instructies van Verwerkingsverantwoordelijke en onder de uitdrukkelijke (eind)verantwoordelijkheid van Verwerkingsverantwoordelijke. Voor alle overige verwerkingen van persoonsgegevens, waaronder in ieder geval begrepen maar niet beperkt tot de verzameling van de persoonsgegevens door de Verwerkingsverantwoordelijke, verwerkingen voor doeleinden die niet door Verwerkingsverantwoordelijke aan Verwerker zijn gemeld, verwerkingen door derden en/of voor andere doeleinden, is Verwerker niet verantwoordelijk. De verantwoordelijkheid voor deze verwerkingen rust uitsluitend bij Verwerkingsverantwoordelijke.

 

Artikel 5: Inschakelen van derden of onderaannemers

  1. Verwerker mag in het kader van de Verwerkersovereenkomst gebruik maken van een derde, zonder voorafgaande toestemming van Verwerkingsverantwoordelijke, onder de voorwaarde dat Verwerkingsverantwoordelijke, uitsluitend in het geval dat daar gegronde redenen voor zijn, het inschakelen van de derde kan verbieden.
  2. Verwerker zorgt er onvoorwaardelijk voor dat deze derden schriftelijk dezelfde plichten op zich nemen als tussen Verwerkingsverantwoordelijke en Verwerker is overeengekomen. Verwerker staat in voor een correcte naleving van deze plichten door deze derden en is bij fouten van deze derden zelf jegens Verwerkingsverantwoordelijke aansprakelijk voor alle schade alsof zij zelf de fout(en) heeft begaan.

 

Artikel 6: Beveiliging

  1. Verwerker zal zich inspannen, ten aanzien van gebruikte infrastructuur en door haar ingeschakelde derden waarmee of via welke persoonsgegevens verwerkt kunnen worden, voldoende en passende technische en organisatorische maatregelen te nemen met betrekking tot de te verrichten verwerkingen van persoonsgegevens, tegen verlies of tegen enige vorm van onrechtmatige verwerking (zoals onbevoegde kennisname, aantasting, wijziging of verstrekking van de persoonsgegevens).
  2. Verwerkingsverantwoordelijke is verantwoordelijk voor de naleving van de door Partijen afgesproken, en door Verwerker te nemen, maatregelen.

 

Artikel 7: Meldplicht

  1. In het geval van een beveiligingslek en/of een datalek (waaronder wordt verstaan: een inbreuk op de beveiliging van persoonsgegevens die leidt tot een aanzienlijke kans op nadelige gevolgen, dan wel nadelige gevolgen heeft, voor de bescherming van persoonsgegevens) zal Verwerker de Verwerkingsverantwoordelijke daarover onmiddellijk te informeren. Verwerker spant zich naar beste kunnen in om de verstrekte informatie volledig, correct en accuraat te maken. De meldplicht geldt ongeachte de impact van het lek.
  2. Indien de wet- en/of regelgeving dit vereist zal Verwerker meewerken aan het informeren van de terzake relevante autoriteiten en eventueel betrokkenen. Verwerkingsverantwoordelijke is verantwoordelijk voor het melden naar de relevante autoriteiten.
  3. De meldplicht behelst in ieder geval het melden van het feit dat er een lek is geweest, alsmede:
  • Wat de (vermeende) oorzaak is van het lek;
  • Wat is het (vooralsnog bekende en/of te verwachten) gevolg;
  • Wat is de (voorgestelde) oplossing;
  • Wat de reeds ondernomen maatregelen zijn.

 

Artikel 8: Afhandeling van verzoeken van betrokkene

  1. In het geval dat een betrokkene een verzoek tot inzage, zoals bedoeld in artikel 35 Wbp, of verbetering, aanvulling, wijziging of afscherming, zoals bedoeld in artikel 36 Wbp, richt aan Verwerker, zal Verwerker het verzoek doorsturen aan Verwerkingsverantwoordelijke en de betrokkene hiervan op de hoogte stellen. Verwerkingsverantwoordelijke zal het verzoek vervolgens verder zelfstandig afhandelen.
  2. Verwerker werkt mee in de afhandeling van het in lid 1 genoemde verzoek op het moment dat Verwerkingsverantwoordelijke dit wenst.

 

Artikel 9: Audit

  1. Verwerkingsverantwoordelijke heeft het recht om audits uit te laten voeren door een onafhankelijke derde die aan geheimhouding is gebonden ter controle van naleving van alle punten uit deze Verwerkersovereenkomst.
  2. Deze audit vindt uitsluitend plaatst nadat Verwerkingsverantwoordelijke de bij Verwerker aanwezige soortgelijke auditrapportages heeft opgevraagd, beoordeeld en redelijke argumenten aanbrengt die een door Verwerkingsverantwoordelijke geïnitieerde audit alsnog rechtvaardigen. Een dergelijke audit wordt gerechtvaardigd wanneer de bij Verwerker aanwezige soortgelijke auditrapportages geen of onvoldoende uitsluitsel geven over het naleven van deze Verwerkersovereenkomst door Verwerker. De door Verwerkingsverantwoordelijke geïnitieerde audit vindt twee weken na voorafgaande aankondiging door Verwerkingsverantwoordelijke, eens per jaar plaats.
  3. Verwerker zal aan de audit meewerken en alle voor de audit redelijkerwijs relevante informatie, inclusief ondersteunende gegevens zoals systeemlogs, en medewerkers zo tijdig mogelijk en binnen een redelijke termijn, waarbij een termijn van maximaal twee weken redelijk is tenzij een spoedeisend belang zich hiertegen verzet, ter beschikking stellen.
  4. De bevindingen naar aanleiding van de uitgevoerde audit zullen door Partijen in onderling overleg worden beoordeeld en, naar aanleiding daarvan, al dan niet worden doorgevoerd door één van de Partijen of door beide Partijen gezamenlijk.
  5. De redelijke kosten voor de audit worden door de Verwerkingsverantwoordelijke gedragen, met dien verstande dat de kosten voor de in te huren derde altijd door Verwerkingsverantwoordelijke zullen worden gedragen.

 

Artikel 10: Duur en beëindiging

  1. Deze Verwerkersovereenkomst is aangegaan voor de duur zoals bepaald in de Overeenkomst tussen Partijen en bij gebreke daarvan in ieder geval voor de duur van de samenwerking.
  2. De Verwerkersovereenkomst kan tussentijds niet worden opgezegd.
  3. Partijen mogen deze Verwerkersovereenkomst alleen wijzigen met wederzijdse instemming.

 

Artikel 11: Overigens bepalingen

  1. De Verwerkersovereenkomst en de uitvoering daarvan worden beheerst door Nederlands recht.
  2. Alle geschillen, welke tussen Partijen mochten ontstaan in verband met de Verwerkersovereenkomst, zullen worden afgehandeld conform hetgeen in de Overeenkomst is bepaald.

 

Ondertekening

Klant heeft digitaal bevestigd akkoord te gaan met deze verwerkingsovereenkomst. Persoonsgegevens van Klant staan geregistreerd in zijn/haar account.