Verwerkersovereenkomst RedVan

De Verwerkersovereenkomst maakt integraal onderdeel uit van de overeenkomsten die gesloten worden met RedVan B.V. waarbij RedVan B.V. de Verwerker is van de persoonsgegevens en de contractpartij is Verwerkingsverantwoordelijk voor de persoonsgegevens, hierna afzonderlijk te noemen als Partij en gezamenlijk te noemen als Partijen.


Overwegingen:

• Verwerkingsverantwoordelijke beschikt over persoonsgegevens;

• Verwerkingsverantwoordelijke maakt gebruik van de online systemen van Verwerker;

• Verwerkingsverantwoordelijke door middel van het systeem van Verwerker persoonsgegevens laat verwerken door Verwerker waarbij de Verwerkingsverantwoordelijke het doel en de middelen aanwijst. Dit in het kader van de overeenkomst tussen Partijen;

• Verwerker bereid is de verplichtingen omtrent beveiliging en andere aspecten van de Wet bescherming persoonsgegevens (Wbp) na te komen, voor zover dit binnen zijn macht ligt;

• Partijen hun rechten en plichten naar aanleiding van de Wbp door middel van deze verwerkers-overeenkomst (hierna: Verwerkersovereenkomst) schriftelijk wensen vast te leggen;

• Verwerker bij de uitvoering van de Verwerkersovereenkomst aangemerkt kan worden als Bewerker zoals aangegeven artikel 1 sub e van de Wbp;

• Verwerkingsverantwoordelijke aangemerkt wordt als Verantwoordelijke zoals aangegeven in artikel 1 sub d van de Wbp;

• Persoonsgegevens zoals genoemd in deze Verwerkersovereenkomst zijn de persoonsgegevens zoals aangegeven in artikel 1 sub a van de Wbp;

• Termen uit de Wbp of Algemene Verordening Gegevensbescherming (AVG) zoals genoemd in deze Verwerkersovereenkomst zijn de termen uit de Wbp of Algemene Verordening Gegevensbescherming (AVG) termen;

• Wpb zoals genoemd in deze Verwerkersovereenkomst is de Wbp die vanaf 25 mei 2018 gedoeld wordt op (de corresponderende bepalingen uit) de AVG.

Komen overeen:


1. Verwerking

1.1. Verwerker verbindt zich onder de voorwaarden van deze Verwerkersovereenkomst in opdracht van Verwerkingsverantwoordelijke persoonsgegevens te verwerken. Verwerking zal uitsluitend plaatsvinden in het kader van deze Verwerkersovereenkomst en de doeleinden vastgelegd in de overeenkomst. In de bijlage van deze Verwerkersovereenkomst is vastgelegd om welke categorieën betrokkenen en persoonsgegevens het gaat. Verwerkingsverant-woordelijke zal Verwerker schriftelijk op de hoogte stellen van de verwerkingsdoelen voor zover deze niet reeds in deze Verwerkersovereenkomst zijn genoemd.

1.2. Verwerker heeft geen zeggenschap over het doel en de middelen voor verwerking van persoonsgegevens. Verwerker neemt geen zelfstandige beslissingen over de ontvangst en het gebruik van de persoonsgegevens, de verstrekking aan derden en de duur van de opslag van persoonsgegevens.

1.3. Verwerkingsverantwoordelijke staat ervoor in dat zij, vanaf 25 mei 2018 op het moment dat de AVG van toepassing wordt, een register zal bijhouden van de onder deze Verwerkingsovereenkomst geregelde verwerkingen. Verwerkingsverantwoordelijke vrijwaart Verwerker tegen alle aanspraken en claims die verband houden met het niet juist naleven van deze registerplicht.

2. Verantwoordelijkheid

2.1. Partijen zullen zorgdragen voor de naleving van toepasselijke privacywet- en regelgeving.

2.2. De toegestane verwerkingen zullen door Verwerker worden uitgevoerd binnen een (semi-) geautomatiseerde omgeving.

2.3. Verwerker is louter verantwoordelijk voor de verwerking van de persoonsgegevens onder deze Verwerkersovereenkomst, overeenkomstig de instructies van Verwerkingsverant-woordelijke en onder de uitdrukkelijke (eind)verantwoordelijkheid van Verwerkingsverant-woordelijke. Voor alle overige verwerkingen van persoonsgegevens, waaronder in ieder geval begrepen maar niet beperkt tot de verzameling van de persoonsgegevens door de Verwerkingsverantwoordelijke, verwerkingen voor doeleinden die niet door Verwerkings-verantwoordelijke aan Verwerker zijn gemeld, verwerkingen door derden en/of andere doeleinden, is Verwerker niet verantwoordelijk. De verantwoordelijkheid voor deze verwer-kingen rust uitsluitend bij Verwerkingsverantwoordelijke.

2.4. Verwerkingsverantwoordelijke staat ervoor in dat de inhoud, het gebruik en de opdracht tot verwerkingen van persoonsgegevens, zoals bedoeld in deze Verwerkersovereenkomst, niet onrechtmatig is en geen inbreuk maakt op enig recht van derden.


3. Verplichtingen Verwerker

3.1. Ten aanzien van de in artikel 1 genoemde verwerkingen, zal Verwerker zorg dragen voor de naleving van de voorwaarden die, op grond van de Wbp en AVG, worden gesteld aan het verwerken van persoonsgegevens door Verwerker vanuit diens rol.

3.2. Verwerker zal Verwerkingsverantwoordelijke, op diens eerste verzoek en binnen een redelijke termijn, informeren over de door hem genomen maatregelen aangaande zijn verplichtingen onder deze Verwerkersovereenkomst.

3.3. Verwerker zal Verwerkingsverantwoordelijke in kennis stellen indien naar zijn mening een instructie van Verwerkingsverantwoordelijke in strijd is met relevante privacywet- en regelgeving.

3.4. Verwerker zal Verwerkingsverantwoordelijke de noodzakelijke medewerking verlenen wanneer er in het kader van de verwerking een gegevensbeschermingseffect beoordeling, of voorafgaande raadpleging van de toezichthouder, noodzakelijk mocht zijn.

3.5. De verplichtingen van Verwerker die uit deze Verwerkersovereenkomst voortvloeien, gelden ook voor degenen die persoonsgegevens verwerken onder het gezag van Verwerker, waaronder begrepen maar niet beperkt tot werknemers, in de ruimste zin van het woord.


4. Persoonsgegevens

4.1. Verwerker verwerkt persoonsgegevens in landen binnen de Europese Unie (EU). Verwerkingsverantwoordelijke geeft Verwerker daarnaast, indien van toepassing, toe-stemming voor de verwerking van persoonsgegevens in landen buiten de Europese Unie, met inachtneming van de relevante wet- en regelgeving.

4.2. Verwerker zal Verwerkingsverantwoordelijke, op diens eerste verzoek daartoe, melden om welk land of welke landen het gaat.


5. Sub-verwerkers

5.1. Verwerkingsverantwoordelijke verleent Verwerker hierbij toestemming om bij de verwerking derden (sub-verwerkers) in te schakelen, met inachtneming van de toepasselijke privacy-wetgeving.

5.2. Verwerker zal Verwerkingsverantwoordelijke zo spoedig mogelijk informeren over de door haar ingeschakelde sub-verwerkers. Verwerkingsverantwoordelijke heeft het recht om bezwaar te maken tegen het inschakelen van de sub-verwerker. Dit bezwaar dient schriftelijk, binnen zeven dagen en door argumenten ondersteund, te worden ingediend. Wanneer Verwerkingsverantwoordelijke bezwaar maakt tegen een door Verwerker in te schakelen sub-verwerker, zullen Partijen in onderling overleg treden om tot een oplossing te komen.

5.3. Verwerker zorgt er in ieder geval voor dat sub-verwerkers schriftelijk ten minste dezelfde plichten op zich nemen als tussen Verwerkingsverantwoordelijke en Verwerker zijn overeengekomen. Verwerker staat in voor een correcte naleving van de plichten door deze sub-verwerkers en is bij fouten van deze sub-verwerkers zelf jegens Verwerkingsverant-woordelijke aansprakelijk voor alle schade alsof hij zelf de fout(en) heeft begaan.


6. Beveiliging

6.1. Verwerker zal zich inspannen passende technische en organisatorische maatregelen te nemen om de persoonsgegevens te beschermen tegen verlies of tegen enige vorm van onrechtmatige verwerking (zoals onbevoegde kennisname, aantasting, wijziging of verstrekking van persoonsgegevens). Verwerker heeft hiertoe in de bijlage benoemde beveiligingsmaatregelen opgenomen.

6.2. Verwerker zal zich inspannen de beveiliging te laten voldoen aan een niveau dat, gelet op de stand van de techniek, de gevoeligheid van de persoonsgegevens en de aan het treffen van de beveiliging verbonden kosten, niet onredelijk is.

6.3. Verwerkingsverantwoordelijke stelt enkel persoonsgegevens aan Verwerker ter beschikking voor verwerking, indien hij zich ervan heeft verzekerd dat de vereiste beveiligingsmaatregelen zijn getroffen. Verwerkingsverantwoordelijke is verantwoordelijk voor de naleving van de door Partijen afgesproken maatregelen.


7. Datalek

7.1. In het geval van een beveiligingslek en/of datalek (waaronder wordt verstaan: een inbreuk op de beveiliging van persoonsgegevens die leidt tot een aanzienlijke kans op ernstige gevolgen, dan wel ernstige nadelige gevolgen heeft, voor de bescherming van persoonsgegevens, zoals bedoeld in artikel 34a Wbp) zal Verwerker, zich naar beste kunnen inspannen om Verwerkingsverantwoordelijke daarover onverwijld dan wel uiterlijk binnen 48 uur te informeren naar aanleiding waarvan Verwerkingsverantwoordelijke beoordeelt of zij de toezichthoudende autoriteiten en/of betrokkenen zal informeren of niet. Verwerker spant zich naar beste kunnen in om de verstrekte informatie volledig, correct en accuraat te maken. De meldplicht geldt enkel indien het lek daadwerkelijk heeft plaatsgevonden.

7.2. Verwerkingsverantwoordelijke zal zorgdragen voor het voldoen aan eventuele (wettelijke) meldplichten. Indien de wet- en/of regelgeving dit vereist zal Verwerker meewerken aan het informeren van de ter zake relevante autoriteiten en eventueel betrokkenen.

7.3. De meldplicht behelst in ieder geval het melden van het feit dat er een lek is geweest, alsmede:

• wat de (vermeende) oorzaak is van het datalek;

• wat het (vooralsnog bekende en/of te verwachten) gevolg is;

• wat de (voorgestelde) oplossing is;

• contactgegevens voor de opvolging van de melding;

• wie geïnformeerd is (zoals betrokkene zelf, Verwerkingsverantwoordelijke, toezicht-houder).


8. Verzoeken

8.1. In het geval dat een betrokkene een verzoek over zijn persoonsgegevens richt aan Verwerker, zal Verwerker het verzoek doorsturen aan Verwerkingsverantwoordelijke. Verwerker mag de betrokkene daarvan op de hoogte stellen. Verwerker zal Verwerkingsverantwoordelijke de noodzakelijke medewerking verlenen bij het afhandelen van het verzoek. Indien blijkt dat de Verwerkingsverantwoordelijke hulp nodig heeft van Verwerker voor de uitvoering van een verzoek van een betrokkene, dan kan Verwerker hiervoor kosten in rekening brengen.


9. Geheimhouding

9.1. Op alle persoonsgegevens die Verwerker van Verwerkingsverantwoordelijke ontvangt en/of zelf verzamelt in het kader van deze Verwerkersovereenkomst, rust een geheimhoudings-plicht jegens derden. Verwerker zal deze informatie niet voor een ander doel gebruiken dan waarvoor hij deze heeft verkregen, tenzij deze in een zodanige vorm is gebracht dat deze niet tot betrokkenen herleidbaar is. 9.2. Deze geheimhoudingsplicht is niet van toepassing:

9.2. Voor zover Verwerkingsverantwoordelijke uitdrukkelijke toestemming heeft gegeven om de informatie aan derden te verschaffen; of indien het verstrekken van de informatie aan derden logischerwijs noodzakelijk is voor de uitvoering van de overeenkomst of deze Ver-werkersovereenkomst; en indien er een wettelijke verplichting bestaat om de informatie aan een derde te verstrekken.


10. Audit

10.1. Verwerkingsverantwoordelijke heeft het recht een audit uit te voeren of laten voeren door een deskundige onafhankelijke derde die aan geheimhouding is gebonden, ter controle van naleving van alle punten uit deze Verwerkersovereenkomst, en alles wat daar direct verband mee houdt.

10.2. Deze audit vindt uitsluitend plaats nadat Verwerkingsverantwoordelijke de bij Verwerker aanwezige soortgelijke relevante auditrapportages heeft opgevraagd, beoordeeld en redelijke argumenten aanbrengt die een door Verwerkingsverantwoordelijke geïnitieerde audit alsnog rechtvaardigen. Een dergelijke audit wordt gerechtvaardigd wanneer de bij Verwerker aanwezige soortgelijke auditrapportages geen of onvoldoende uitsluitsel geven over het naleven van deze Verwerkersovereenkomst door Verwerker. De door Verwerkingsverantwoordelijke geïnitieerde audit vindt twee weken na voorgaande aankondiging door Verwerkingsverantwoordelijke, maximaal eens per kalenderjaar plaats.

10.3. Verwerker zal aan de audit meewerken en alle voor de audit redelijkerwijs relevante informatie, inclusief ondersteunende gegevens zoals systeemlogs, en medewerkers zo tijdig mogelijk en binnen een redelijke termijn, waarbij een termijn van maximaal twee weken redelijk is tenzij een spoedeisend belang zich hiertegen verzet, ter beschikking stellen.

10.4. De bevindingen naar aanleiding van de uitgevoerde audit zullen door Partijen in onderling overleg worden beoordeeld. Naar aanleiding daarvan zullen wijzigingen al dan niet worden doorgevoerd in de beveiliging door één van de Partijen of door beide Partijen gezamenlijk.

10.5. Alle kosten van de audit worden door Verwerkingsverantwoordelijke gedragen, waaronder ook de (interne) kosten die Verwerker maakt, met dien verstande dat de kosten voor de in te huren derde altijd door Verwerkingsverantwoordelijke altijd worden gedragen.


11. Aansprakelijkheid

11.1. De aansprakelijkheid van Partijen voor schade als gevolg van een toerekenbare tekortkoming in de nakoming van deze Verwerkersovereenkomst, dan wel uit onrechtmatige daad of anderszins, wordt beperkt tot de hoogte van de laatste factuur die Verwerkings-verantwoordelijke heeft voldaan.

11.2. Voorwaarde voor het ontstaan van enig recht op schadevergoeding is steeds dat Verwerkingsverantwoordelijke de schade zo spoedig mogelijk na het bekend worden daarmee schriftelijk en aangetekend bij Verwerker meldt. Iedere vordering tot schadever-goeding door Verwerkingsverantwoordelijke vervalt door het enkele verloop van drie maanden nadat Verwerkingsverantwoordelijke bekend is geworden met het feit dat hij schade heeft geleden.

11.3. Verwerker is uitdrukkelijk niet aansprakelijk voor schade van Verwerkingsverant-woordelijke als gevolg van een boete opgelegd door een van de nationale toezichthouders, waaronder de Autoriteit Persoonsgegevens, onder andere in het kader van wettelijke meldplichten.


12. Duur en beëindiging

12.1. Deze Verwerkersovereenkomst komt tot stand door het akkoord geven op deze overeenkomst tijdens het plaatsen van een bestelling of door gebruik één van de beschikbare systemen van Verwerker.

12.2. Deze Verwerkersovereenkomst is aangegaan voor de duur zoals bepaald in de overeenkomst tussen Partijen, en bij gebreke daarvan in ieder geval voor de duur van de samenwerking.

12.3. Zodra de Verwerkersovereenkomst, om welke reden en op welke wijze dan ook, is beëindigd, zal Verwerker de mogelijkheid geven alle persoonsgegevens die bij hem aanwezig zijn in originele vorm of kopievorm te downloaden of te exporteren aan Verwerkingsverant-woordelijke, en daarna deze en eventuele kopieën daarvan verwijderen en/of vernietigen.

12.4. Partijen mogen deze Verwerkersovereenkomst alleen wijzigen met wederzijds schriftelijke instemming.


13. Overige

13.1. De Verwerkersovereenkomst en de uitvoering daarvan worden beheerst door Nederlands recht.

13.2. Alle geschillen, die tussen Partijen mochten ontstaan in verband met de Verwerkersovereenkomst, zullen worden voorgelegd aan de bevoegde rechter in het arrondissement waarin Verwerker is gevestigd.

13.3. Logs en gedane metingen door Verwerker gelden als dwingend bewijs, behoudens tegenbewijs te leveren door Verwerkingsverantwoordelijke.

13.4. In geval van strijdigheid van verschillende documenten of de bijlagen daarvan, geldt de volgende rangorde:

1. Overeenkomst;

2. Algemene Voorwaarden;

3. Verwerkersovereenkomst;

4. Aanvullende voorwaarden.


Bijlage


Persoonsgegevens

Verwerker zal in het kader van de overeenkomst, de volgende (bijzondere) persoonsgegevens verwerken in opdracht van Verwerkingsverantwoordelijke. Verwerker zal in opdracht van Verwer-kingsverantwoordelijke de volgende soorten persoonsgegevens verwerken:

• Naam (initialen, voornamen en achternaam)

• Telefoonnummers (vast en mobiel)

• E-mailadres

• Geboortedatum/geboorteplaats

• Adres/woonplaats

• Gegevens ID-bewijs

• Financiële gegevens;

• UBN nummer.


Doeleinden

De werkzaamheden waarvoor bovengenoemde persoonsgegevens mogen worden verwerkt, uitsluitend indien noodzakelijk, zijn in ieder geval:

• De werkzaamheden, te beschouwen als de primaire dienstverlening, in het kader waarvan Verwerkingsverantwoordelijke een opdracht heeft verstrekt aan Verwerker;

• Het onderhoud, waaronder updates en releases van het door Verwerker dan wel sub-verwerker aan Verwerkingsverantwoordelijke ter beschikking gestelde systemen;

• Het gegevens- en technische beheer, ook door een sub-verwerker;

• De hosting, ook door een sub-verwerker.


Betrokkenen

De persoonsgegevens die verwerkt worden betreffende volgende categorieën van betrokkenen:

• Werknemers van Verwerkingsverantwoordelijke, alsmede stagiaires, uitzendkrachten, gede-tacheerden en andere daarmee gelijk te stellen personen;

• Leveranciers en afnemers van Verwerkingsverantwoordelijke;

• Partner, kinderen en andere inwonende familieleden van Verwerkingsverantwoordelijke;

• Klanten van Verwerkingsverantwoordelijke.


Beveiligingsmaatregelen

Verwerker heeft de volgende beveiligingsmaatregelen genomen:

• Logische toegangscontrole, gebruik makend van sterke wachtwoorden;

• IP-restricties voor toegangsbeveiliging van database en bestanden bij Verwerker;

• Zoveel mogelijk encryptie (versleuteling) van persoonsgegevens die staan opgeslagen in de database;

• Organisatorische maatregelen voor toegangsbeveiliging;

• Beveiliging van netwerkverbindingen;

• Met derden zijn/worden sub-verwerkers overeenkomsten afgesloten;

• Met de outsourcepartner zijn back-up procedures afgesproken;

• Herstel procedures worden onregelmatig getest;

• Arbeidscontracten kennen een geheimhoudingsclausule;

• De beveiliging op datacenter niveau wordt continue gemonitord;

• Geheimhoudingsplicht medewerkers en ingeschakelde derden.

“Zeugen wegen en zorgen dat ze hun streefgewicht bereiken verhoogt de groei van de biggen van het kraamhok met 23 gram per dag. Dat blijkt uit onderzoek uitgevoerd door Flynth, accountants en advies en RedVan, data-verzamelaar. En die goede start werkt volgens Arjan van der Hoek door het hele traject. ”

-Varkens.nl