Verwerkersovereenkomst
Hoe Filer uw gegevens verwerkt
Indien Filer bij de uitvoering van de overeenkomst ten behoeve van Opdrachtgever persoonsgegevens verwerkt, zijn de onderstaande voorwaarden in aanvulling op de Algemene Voorwaarden van toepassing. De toepasselijkheid van verwerkersovereenkomsten van Opdrachtgever worden uitdrukkelijk van de hand gewezen
Filer biedt aan Opdrachtgever de mogelijkheid een abonnement af te nemen waarbij Filer bij de uitvoering van de diensten voor en ten behoeve van Opdrachtgever Persoonsgegevens verwerkt. Bij de Verwerking van Persoonsgegevens wordt Opdrachtgever aangemerkt als Verwerkingsverantwoordelijke en Filer afhankelijk van de hoedanigheid van Opdrachtgever, wordt aangemerkt als Verwerker of Sub-verwerker
In aanmerking nemende dat:
- Verwerkingsverantwoordelijke opdracht heeft gegeven aan Verwerker om de persoonsgegevens te verwerken in het kader van de overeenkomst van opdracht (hoofdovereenkomst)
- Verwerker de opdracht tot het verwerken van deze persoonsgegevens aanvaardt en deze gegevens niet voor eigen doeleinden verwerkt
- Verwerkingsverantwoordelijke verantwoordelijk is voor de verwerking van de gegevens door Verwerker in de zin van de Algemene Verordening Gegevensbescherming
- Partijen de gemaakte afspraken schriftelijk wensen vast te leggen
Zijn overeengekomen:
-
Artikel 1 - Definities
- AVG: de Algemene Verordening Gegevensbescherming (verordening (EU) 2016/679) uitgewerkt in de UAVG
- Betrokkene: degene op wie de Persoonsgegevens betrekking hebben, zoals bedoeld in artikel 4 lid 1 AVG
- Hoofdovereenkomst: de tussen Verwerkingsverantwoordelijke en Verwerker gesloten hoofdovereenkomst(en), inclusief bijlagen, waarop deze Verwerkersovereenkomst betrekking heeft
- Inbreuk in verband met Persoonsgegevens: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens zoals bedoeld in artikel 4 lid 12 AVG
- Medewerkers: Personen die werkzaam zijn bij Verwerkingsverantwoordelijke of bij Verwerker
- Ontvanger: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan, al dan niet een derde, aan wie/waaraan de Persoonsgegevens worden verstrekt zoals bedoeld in artikel 4 lid 9 AVG
- Partijen: Verwerkingsverantwoordelijke en Verwerker
- Persoonsgegevens: alle informatie in de breedste zin van het woord over een geïdentificeerde of identificeerbare natuurlijke persoon (de Betrokkene) die in het kader van de Hoofdovereenkomst worden verwerkt zoals bedoeld in artikel 4 lid 1 AVG; als identificeerbaar wordt beschouwd waarmee een natuurlijke persoon direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van de natuurlijke persoon
- Bedrijfsgegevens: alle informatie in de breedste zin van het woord over het bedrijf die in kader van de overeenkomst worden verwerkt
- UAVG: de uitvoeringswet van de Algemene Verordening Gegevensbescherming (verordening (EU) 2016/679) van 16 mei 2018
- Verwerker: de natuurlijke persoon of rechtspersoon, een overheidsorganisatie, een dienst of een ander orgaan die/dat ten behoeve van de Verwerkingsverantwoordelijke Persoonsgegevens verwerkt zoals bedoeld in artikel 4 lid 8 AVG
- Sub-verwerker: een andere verwerker die door de Verwerker wordt ingeschakeld om ten behoeve van een Verwerkingsverantwoordelijke Persoonsgegevens te Verwerken
- Verwerkingsverantwoordelijke: de natuurlijke persoon of rechtspersoon die alleen of samen met anderen, het doel van en de middelen voor de Verwerking van Persoonsgegevens vaststelt zoals bedoeld in artikel 4 lid 7 AVG
- Verwerkersovereenkomst: deze Verwerkersovereenkomst voor het vastleggen van de afspraken zoals bedoeld in artikel 28 lid 3 AVG
- Verwerking: een bewerking of een geheel van bewerkingen met betrekking tot Persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde processen, zoals het, vastleggen, ordenen, verzamelen, structureren, opslaan, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens zoals bedoeld in artikel 4 lid 2 AVG
-
Artikel 2 - Doel van de verwerking
- Verwerker verbindt zich onder de voorwaarden van deze Verwerkersovereenkomst in opdracht van Verwerkingsverantwoordelijke persoonsgegevens te verwerken. Verwerking zal uitsluitend plaatsvinden in het kader van de uitvoering van de overeenkomst van opdracht en deze verwerkersovereenkomst in de zin van artikel 28 lid 3 AVG
- Het is Verwerker verboden om de persoonsgegevens voor een ander doel te verwerken dan het doel dat door Verwerkingsverantwoordelijke is vastgesteld. Het doel van de verwerking is het opslaan van de gegevens van Opdrachtgever alsmede het aanbieden van een zoeksysteem teneinde de gegevens van Opdrachtgever te doorzoeken zoals omschreven en vastgelegd in de Hoofdovereenkomst. Hiertoe biedt Verwerker zijn Dienst aan
- De categorie van betrokkenen waarvan de persoonsgegevens verzameld worden betreft: Opdrachtgever alsmede zijn klanten en/of andere betrokken personen waar Opdrachtgever mee te maken heeft waaronder verstaan maar niet beperkt tot: diens (potentiele) klanten, samenwerkingspartners, relaties, medewerkers, alsmede bedrijfsgegevens
- De categorie persoonsgegevens die verwerkt worden zijn gegevens waaronder in ieder geval begrepen, maar niet beperkt tot contact- en NAW-gegevens, het e-mailadres, de locatie- en inloggegevens, gebruikte zoektermen, bestandsnamen, (gevoelige) bedrijfsgegevens, IP-adressen, en overige categorieën van Persoonsgegevens waaronder tevens verstaan zowel niet als wel bijzondere persoonsgegevens
- Verwerker zal de persoonsgegevens niet voor enig ander doel verwerken dan zoals door Verwerkingsverantwoordelijke is vastgesteld. Verwerkingsverantwoordelijke zal Verwerker op de hoogte stellen van de verwerkingsdoeleinden voor zover deze niet reeds in deze Verwerkersovereenkomst zijn genoemd
- Verwerker heeft geen zeggenschap over de verwerking en het gebruik van de persoonsgegevens. Verwerkingsverantwoordelijke is verantwoordelijk voor de middelen en het vaststellen van het doel van de verwerking en dient dit duidelijk schriftelijk vast te leggen
- De verwerking zal voor het merendeel geautomatiseerd plaatsvinden, maar kan op verzoek, en indien door Verwerker wordt beoordeeld als noodzakelijk ten uitvoering van de Hoofdovereenkomst, handmatig plaatsvinden
- De in opdracht van Verwerkingsverantwoordelijke te verwerken persoonsgegevens blijven eigendom van Verwerkingsverantwoordelijke (voor zover deze gegevens reeds niet eerder aan derden toebehoren)
-
Artikel 3 - Duur van de overeenkomst
- Deze overeenkomst vangt aan na registratie van het account en is aangegaan voor de duur van de opdracht zoals overeengekomen in de hoofdovereenkomst
- Deze overeenkomst kan niet tussentijds opgezegd worden
- Wijzigingen in deze overeenkomst ten gevolge van veranderingen in de eventueel aanwezige onderliggende overeenkomst van opdracht, wet- of regelgeving of andere relevante omstandigheden zijn slechts rechtsgeldig indien deze na overleg en met uitdrukkelijke toestemming van partijen aan de verwerkersovereenkomst wordt gevoegd
- Deze overeenkomst eindigt van rechtswege indien de Hoofdovereenkomst eindigt
- Zodra de overeenkomst, om welke reden en op welke wijze dan ook, is beëindigd, is Verwerkingsverantwoordelijk er zelf voor verantwoordelijk om zijn gegevens tijdig en op juiste wijze van het systeem van Verwerker te verwijderen. Alle gevolgen van het verwijderen van deze gegevens komen volledig voor rekening en risico van Verwerkingsverantwoordelijke
- De bepalingen inzake de geheimhouding, aansprakelijkheid en geschillenbeslechting blijven na beëindiging van deze overeenkomst onverminderd van kracht
-
Artikel 4 - Verplichtingen Verwerker
- Verwerker is verplicht om zich te houden aan de voorwaarden die op grond van geldende wet- en regelgeving, in het bijzonder de AVG en de Uitvoeringswet AVG, gesteld worden aan de verwerking van persoonsgegevens
- Het is Verwerker verboden om haar database(s) en/of bestanden te verrijken met enige (persoons)gegevens van de database(s) van Verwerkingsverantwoordelijke, behoudens het geval dat Verwerker tijdelijke database(s) en/of bestanden dient aan te maken ten behoeve van een goede verwerking van de persoonsgegevens. De tijdelijke bestanden worden direct verwijderd vanaf het moment dat deze tijdelijke bestanden niet langer nodig zijn voor de verwerking
- Verwerker zal Verwerkingsverantwoordelijke op diens verzoek informeren over de door haar genomen maatregelen ter zake haar verplichtingen op grond van deze verwerkersovereenkomst
- Verwerker is niet gehouden enige instructies en/of aanwijzingen van Verwerkingsverantwoordelijke op te volgen
- Alle verplichtingen die rusten op Verwerker, gelden ook voor de personen die onder het gezag van Verwerker persoonsgegevens verwerken, waaronder verstaan medewerkers en ingeschakelde derden van Verwerker
- Verwerkingsverantwoordelijke heeft te allen tijde toegang tot de door hem opgeslagen (persoons)gegevens door middel van het inloggen in de applicatie en/of dashboard dat deel uitmaakt van de aangeboden Diensten
- Verwerker heeft inzage in de opgeslagen (persoons)gegevens
- Deze overeenkomst is niet overdraagbaar, tenzij uitdrukkelijk anders overeengekomen
-
Artikel 5 - Doorgifte van persoonsgegevens
- Verwerker zal Verwerkingsverantwoordelijke melden om welk land of welke landen het gaat indien sprake is van doorgifte van persoonsgegevens. Verwerker staat er voor in dat, gelet op de omstandigheden die op de doorgifte van de persoonsgegevens of op een categorie gegevensdoorgiften van invloed zijn, er bij landen buiten de Europese Unie sprake is van een passend beschermingsniveau
- In het bijzonder zal Verwerker bij het bepalen van een passend beschermingsniveau rekening houden met de duur van de voorgenomen verwerking, het land van herkomst en het land van eindbestemming, de algemene en sectorale rechtsregels die in het betreffende land gelden, alsmede de regels van het beroepsleven en de veiligheidsmaatregelen die in die landen worden nageleefd
-
Artikel 6 - Verantwoordelijkheid Verwerker
- Verwerker zal voor Verwerkingsverantwoordelijke in het kader van deze overeenkomst de werkzaamheden verrichten zoals benoemt in artikel 2.2 van deze overeenkomst
- Verwerker is slechts verantwoordelijk voor de opslag van de persoonsgegevens onder deze Verwerkersovereenkomst, overeenkomstig de instructies van Verwerkingsverantwoordelijke en onder de uitdrukkelijke (eind-)verantwoordelijkheid van Verwerkingsverantwoordelijke. Voor de overige verwerkingen van persoonsgegevens, waaronder in ieder geval begrepen, maar niet beperkt tot, de verzameling van de persoonsgegevens door de Verwerkingsverantwoordelijke, verwerkingen voor doeleinden die niet door Verwerkingsverantwoordelijke aan Verwerker zijn gemeld, verwerkingen door derden en/of voor andere doeleinden, is Verwerker uitdrukkelijk niet verantwoordelijk
- Verwerkingsverantwoordelijke garandeert dat de inhoud, het gebruik en de opdracht tot de verwerkingen van de persoonsgegevens zoals bedoeld in deze verwerkersovereenkomst niet onrechtmatig zijn en geen inbreuk maken op enig recht van derden
-
Artikel 7 - Derden
- De werkzaamheden van Verwerker kunnen uitbesteed worden aan derde(n), de Sub-verwerker. Alle verplichtingen uit deze overeenkomst zijn eveneens van toepassing op deze derden
-
Artikel 8 - Beveiligingsmaatregelen
- Verwerker spant zich in om voldoende en passende organisatorische en technische maatregelen te nemen tegen elke vorm van onrechtmatige verwerking met betrekking tot de door hem te verrichten verwerkingen van de persoonsgegevens, een en ander binnen de redelijke mogelijkheden die de (software)leveranciers van Verwerker bieden
- Het beveiligingsniveau van de maatregelen dient tenminste te voldoen aan een niveau dat niet onredelijk is in het kader van de daaraan verbonden kosten, gevoeligheid van de betreffend persoonsgegevens alsmede de stand van de techniek en risico’s, die, waar passend, onder meer het volgende omvatten: encryptie, pseudonimisering en versleutelen van persoonsgegevens. Verwerker staat er niet voor in dat de genomen beveiligingsmaatregelen te allen tijde, onder alle omstandigheden doeltreffend zijn
- Verwerkingsverantwoordelijke is verantwoordelijk voor de naleving van de door partijen gemaakte afspraken
- Verwerkingsverantwoordelijke dient zelf alle (beveiligings)maatregelen te treffen om ervoor te zorgen dat iedere natuurlijke persoon die handelt onder het gezag van Verwerkingsverantwoordelijke, en toegang heeft tot de Diensten van Verwerker, slechts de betreffende opgeslagen (persoons)gegevens in opdracht van Verwerkingsverantwoordelijke verwerkt
- Indien er sprake is van een lek in de beveiliging of data, welke schade kan veroorzaken of nadelige gevolgen kan hebben voor de bescherming van de persoonsgegevens dient Verwerker Verwerkingsverantwoordelijke hierover onmiddellijk, althans zonder onredelijke vertraging, doch binnen 24 uur nadat Verwerker hiervan redelijkerwijs op de hoogte had kunnen zijn, te informeren. Verwerkingsverantwoordelijke zal vervolgens de Autoriteit Persoonsgegevens binnen 72 uur en eventuele betrokkenen zo spoedig mogelijk informeren over de inbreuk
- Ingevolge de meldplicht van Verwerker, dient de melding van een lek te bestaan uit tenminste de volgende componenten:
- de aard van de inbreuk in verband met persoonsgegevens, waar mogelijk onder vermelding van de categorieën van betrokkenen en persoonsgegevens in kwestie en, bij benadering, het aantal betrokkenen en persoonsgegevensregisters in kwest
- de naam en de contactgegevens van de functionaris voor gegevensbescherming of een ander contactpunt waar meer informatie kan worden verkregen
- de waarschijnlijke gevolgen van de inbreuk in verband met persoonsgegevens
- de maatregelen die de Verwerker heeft voorgesteld of genomen om de inbreuk in verband met persoonsgegevens aan te pakken, waaronder, in voorkomend geval, de maatregelen ter beperking van de eventuele nadelige gevolgen daarvan
- Verwerkingsverantwoordelijke en Verwerker dienen elk een register van Datalekken bij te houden conform artikel 33 lid 5 AVG. Verwerker dient alle datalekken te documenteren, met inbegrip van de feiten omtrent de inbreuk in verband met persoonsgegevens, de gevolgen daarvan en de genomen corrigerende maatregelen. Op verzoek zal de Verwerker de Verwerkingsverantwoordelijke hier inzage in verschaffen
- Indien een inbreuk op de beveiliging van de persoonsgegevens heeft plaatsgevonden bij Verwerker, is Verwerker verplicht om op eigen kosten passende maatregelen te treffen ter voorkoming van toekomstige incidenten en/of inbreuken
-
Artikel 9 - Geheimhouding
- Verwerker en diens medewerkers alsmede de door Verwerker ingeschakelde derde(n), zijn verplicht tot geheimhouding van alle door deze overeenkomst verkregen persoonsgegevens, gevoelige informatie en/of bedrijfsgegevens. De geheimhoudingsplicht geldt niet indien Verwerkingsverantwoordelijke uitdrukkelijke en schriftelijke toestemming heeft gegeven aan Verwerker om deze gegevens en informatie te delen met een derde, of een wettelijke verplichting bestaat om de gegevens en informatie aan een derde te verstrekken. Na afloop van deze overeenkomst blijven partijen verplicht om zich aan deze geheimhoudingsverplichting te houden
-
Artikel 10 - Rechten van betrokkenen
- Ingeval Verwerker een verzoek tot inzage ontvangt van een betrokkene of een daartoe bevoegde instantie en/of toezichthoudende autoriteit, zal Verwerker dit verzoek zo spoedig mogelijk, doch uiterlijk binnen 7 werkdagen doorsturen aan Verwerkingsverantwoordelijke welke het verzoek verder zal afhandelen. Verwerker dient indien hiertoe gevraagd, medewerking te verlenen aan de uitvoering van het verzoek. De redelijke kosten die Verwerker dient te maken ten behoeve van de medewerking komen voor rekening van Verwerkingsverantwoordelijke
- Het bepaalde in artikel 9.1 is van overeenkomstige toepassing indien een betrokkene andere rechten wil doen gelden zoals zijn recht op rectificatie, gegevenswissing, recht op beperking van de verwerking, recht op overdraagbaarheid van gegevens, recht van bezwaar en rechten ingeval van geautomatiseerde individuele besluitvorming, zoals neergelegd in afdelingen 3 en 4 van de Algemene Verordening Gegevensbescherming
-
Artikel 11 - Audit
- Verwerkingsverantwoordelijke kan een deskundige de naleving van deze verwerkersovereenkomst laten controleren, eerst nadat gebleken is dat de rapportages van controle van Verwerker door Verwerkingsverantwoordelijke onvoldoende is bevonden (geen of onvoldoende duidelijkheid over het naleven van de verwerkersovereenkomst door Verwerker) en de inhoud van deze rapportages een dergelijke controle rechtvaardigt
- Verwerker is verplicht mee te werken aan de controle en zal alle relevante informatie zo spoedig mogelijk ter beschikking stellen, doch uiterlijk binnen 14 kalenderdagen nadat het verzoek tot informatie is ontvangen door Verwerker. Verwerker kan maximaal een maand uitstel krijgen om de informatie alsnog aan te leveren
- De bevindingen van de controle worden door partijen besproken en indien wenselijk, doorgevoerd bij een of beide partijen gezamenlijk
- De kosten van de controle komen geheel voor rekening van Verwerkingsverantwoordelijke. Indien na controle blijkt dat er aanpassingen nodig zijn in de beveiligingsmaatregelen van Verwerker in de breedste zin van het woord, worden de kosten van de (te nemen) beveiligingsmaatregelen door Verwerker gedragen, tenzij anders overeengekomen
-
Artikel 12 - Aansprakelijkheid
- Verwerkingsverantwoordelijke is eindverantwoordelijk voor de verwerking van de persoonsgegevens en staat ervoor in dat de verwerking rechtmatig is en geen inbreuk maakt op rechten van betrokkenen. Verwerker is niet aansprakelijk voor schade ten gevolge van het handelen en/of nalaten, of niet naleven van wet- en regelgeving door Verwerkingsverantwoordelijke
- Verwerker is niet aansprakelijk voor indirecte schade, gevolgschade, gederfde winst, gemiste besparingen, verminderde goodwill, bedrijfsstagnatie en/of schade als gevolg van aanspraken van Verwerkingsverantwoordelijke, betrokkenen en derden
- Onverminderd het bepaalde in dit artikel, is Verwerker slechts aansprakelijk voor de schade die door de verwerking is veroorzaakt wanneer bij deze verwerking niet is voldaan aan specifiek tot de Verwerker gerichte verplichtingen van de AVG of indien in strijd met de rechtmatige instructies van Verwerkingsverantwoordelijke is gehandeld. Indien en voor zover enige schade is ontstaan, is de aansprakelijkheid van Verwerker beperkt tot de factuurwaarde exclusief btw van de afgelopen 12 maanden
- Verwerkingsverantwoordelijke garandeert dat de opdracht tot verwerking van de persoonsgegevens in overeenstemming is met de geldende wet- en regelgeving
-
Artikel 13 - Vrijwaring
- Verwerkingsverantwoordelijke vrijwaart Verwerker voor aanspraken, boetes en/of dwangsommen van of namens de Autoriteit Persoonsgegevens en/of andere autoriteiten, waarbij vast is komen te staan dat de overtredingen onder de verantwoordelijkheid van Verwerkingsverantwoordelijke en/of Verwerker vallen. Verwerker kan de opgelegde boetes en/of dwangsommen verhalen op Verwerkingsverantwoordelijke indien zij niet verantwoordelijk gehouden kan worden voor de overtredingen
- Verwerkingsverantwoordelijke vrijwaart Verwerker tegen alle aanspraken van derden, onder meer de toezichthouder(s) en/of andere autoriteiten, welke ontstaan uit het niet naleven van de geldende wet- en regelgeving
-
Artikel 14 - Geschillenbeslechting
- Op deze overeenkomst is Nederlands recht van toepassing
- Alle geschillen die ontstaan tussen partijen die voortvloeien uit of verband houden of betrekking hebben op deze verwerkersovereenkomst worden beslecht door de bevoegde rechter waar Verwerker is gevestigd