Verwerkersovereenkomst

Inleiding

Deze Verwerkersovereenkomst is onderdeel van de Samenwerkingsovereenkomst tussen Triple I Sourcing Group B.V. en haar dochters Inbak B.V., Indusource B.V. en Indupay B.V. (Hierna: “TISG” of “Verwerker”) en de natuurlijke persoon of rechtspersoon met wie TISG een overeenkomst tot levering en gebruik van de TISG diensten aangaat (Hierna: “Klant” of “Verwerkingsverantwoordelijke”). Samen worden Verwerkings-verantwoordelijke en Verwerker de “Partijen” genoemd.

Voor het gebruik van de TISG diensten hebben partijen een overeenkomst gesloten waar tevens de algemene voorwaarden van TISG op van toepassing zijn (gezamenlijk: “Samenwerkingsovereenkomst”).

Voor de uitvoering van de Samenwerkingsovereenkomst worden door TISG, namens de Verwerkingsverantwoordelijke persoonsgegevens verwerkt. Conform de toepasselijke wetgeving gaan partijen deze overeenkomst aan, die hun respectievelijke rechten en plichten uiteenzet met betrekking tot de verwerking van persoonsgegevens (de “Verwerkersovereenkomst”). De Samenwerkingsovereenkomst en de Verwerkersovereenkomst bepalen gezamenlijk het onderwerp en de duur van de Verwerking van Persoonsgegevens.

Definities

De volgende begrippen krijgen de betekenis zoals hieronder aangeduid:

  • Betrokkene of betrokken personen: de identificeerbare natuurlijke persoon wiens persoonsgegevens verwerkt worden.
  • Datalek: een inbreuk op de beveiliging van persoonsgegevens die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens.
  • Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon, die TISG in het kader van de samenwerkingsovereenkomst ten behoeve van verwerkingsverantwoordelijke verwerkt.
  • Medewerker(s): de personen die door de partijen worden gemachtigd voor de uitvoering van deze verwerkingsovereenkomst en die onder hun verantwoordelijkheid werken.
  • Sub verwerker: iedere derde partij die door verwerker wordt ingeschakeld om ten behoeve van verwerker persoonsgegevens te verwerken, zonder aan het rechtstreeks gezag van verwerker te zijn onderworpen.
  • Toepasselijke wetgeving: wetten of andere (lokale) voorschriften, verordeningen, richtlijnen of beleidslijnen, instructies of aanbevelingen van overheidsinstanties die van toepassing zijn op de verwerking van de persoonlijke gegevens, inclusief eventuele wijzigingen, vervangingen, updates of andere latere versies daarvan;
  • Verwerking: iedere bewerking of geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.

Toegestane verwerkingen

  • TISG verbindt zich ertoe enkel persoonsgegevens te verwerken voor rekening van verwerkingsverantwoordelijke in het kader van de activiteiten, zoals omschreven in de samenwerkingsovereenkomst. De samenwerkingsovereenkomst en de verwerkersovereenkomst bepalen gezamenlijk het onderwerp en de duur van de verwerking.
  • Voor de uitvoering van de samenwerkingsovereenkomst, de voortdurende ontwikkeling van de applicatie IDIL en voor ondersteuning van de verwerkingsverantwoordelijke kan TISG voor de volledige duur van de overeenkomst de persoonsgegevens aan de volgende verwerkingen onderwerpen:Opslaan, bijwerken of wijzigen, raadplegen, gebruiken, afschermen, wissen of vernietigen van gegevens.
  • TISG verwerkt de volgende soorten persoonsgegevens:
  • Namen, adressen, woonplaatsen/vestigingsplaatsen, e-mail, telefoonnummers, IP-adressen, locatiegegevens, apparaat types, GLN/BTW nummer, contactpersonen.Deze persoonsgegevens hebben betrekking op de volgende categorieën van betrokkenen:
  • Klantrelaties van verwerkingsverantwoordelijke.

Rechten en plichten van verwerkingsverantwoordelijke

  • Verwerkingsverantwoordelijke stelt de persoonsgegevens ter beschikking aan TISG. Verwerkingsverantwoordelijke bepaalt het doel van en de middelen voor de verwerking. Verwerkingsverantwoordelijke garandeert dat de verwerking van de persoonsgegevens, waaronder de verzameling, gebeurt overeenkomstig de relevante toepasselijke Wetgeving.
  • Indien de medewerkers van verwerkingsverantwoordelijke zelf persoonsgegevens verwerken valt de verantwoordelijkheid voor de naleving van de toepasselijke wetgeving onder de verantwoordelijkheid van verwerkingsverantwoordelijke.

Gegevensverwerking

  • TISG mag enkel de persoonsgegevens verwerken die strikt noodzakelijk zijn voor de uitvoering van de samenwerkingsovereenkomst. TISG heeft geen zeggenschap over het doel van de verwerking van persoonsgegevens.
  • TISG zal de persoonsgegevens uitsluitend bekendmaken aan medewerkers en/of sub verwerkers die (noodzakelijkerwijs) toegang hebben tot de persoonsgegevens voor de uitvoering van de verplichtingen onder de samenwerkingsovereenkomst, tenzij anders vereist door de toepasselijke wet.
  • TISG verwerkt geen persoonsgegevens op een locatie buiten de Europese Economische Ruimte anders dan mogelijke diensten van Google, iCloud, DropBox, WeTransfer, The Next Ad, Loomly, Facebook, LinkedIn en Twitter.
  • De Persoonsgegevens op back-ups genieten dezelfde bescherming als de originele persoonsgegevens.
  • TISG garandeert dat haar medewerkers uitsluitend toegang hebben tot de persoonsgegevens voor zover dit nodig is om hun taken in het kader van de opdracht tot verwerking uit te voeren. TISG zal zijn medewerkers informeren over de verplichtingen van deze verwerkersovereenkomst.

Subverwerkers

  • TISG is gerechtigd om bij de uitvoering van de dienstverlening gebruik te maken van sub verwerkers. Op aanvraag kan informatie over sub verwerkers worden opgevraagd door verwerkingsverantwoordelijke. Verwerkingsverantwoordelijke kan enkel weigeren mits gegronde redenen. TISG blijft te allen tijde het aanspreekpunt voor verwerkingsverantwoordelijke.
  • TISG waarborgt dat met ingeschakelde sub verwerkers een overeenkomst wordt gesloten, waarin dezelfde waarborgen inzake gegevensbescherming worden overeengekomen als uiteengezet in deze Overeenkomst. Verwerker blijft volledig verantwoordelijk ten aanzien van de Verwerkingsverantwoordelijke voor de naleving door de sub verwerker van haar verplichtingen.
  • Daarnaast kunnen, na expliciete toestemming van de verwerking verantwoordelijke, persoonsgegevens met sub verwerkers gedeeld worden indien van aanvullende diensten gebruik wordt gemaakt.

Vertrouwelijkheid

  • TISG is gehouden tot een vertrouwelijkheidsplicht ten aanzien van de Persoonsgegevens die in opdracht van Verwerkingsverantwoordelijke worden verwerkt. Deze geheimhoudingsplicht geldt onverkort voor de medewerkers van TISG en voor eventuele sub verwerkers. Ook na het beëindigen van de verwerkersovereenkomst blijft de vertrouwelijkheidsplicht voortduren.
  • Deze vertrouwelijkheidsplicht geldt niet wanneer verwerker door de toezichthoudende autoriteit, een wettelijke bepaling of een rechterlijk bevel verplicht wordt deze persoonsgegevens mede te delen, wanneer de informatie openbaar bekend is en wanneer de gegevensverstrekking plaatsvindt in opdracht van verwerkingsverantwoordelijke.

​Veiligheidsmaatregelen

  • TISG neemt de vereiste passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen zodat de verwerking aan de toepasselijke wetgeving voldoet en de rechten van betrokkenen zijn gewaarborgd.
  • TISG hanteert een passend beschermingsniveau, rekening houdend met de stand van de techniek, de kosten van implementatie en de aard, omvang, context en doeleinden van de verwerking. TISG is verantwoordelijk voor het aanbrengen en / of wijzigen van het beschermingsniveau als dit noodzakelijk wordt geacht of vereist door de wet.
  • TISG is verantwoordelijk voor het aanbrengen en/of wijzigen van het beschermingsniveau als dit noodzakelijk wordt geacht onder de toepasselijke wetgeving of wordt verzocht door opdrachtgever. Eventuele extra kosten komen voor rekening van opdrachtgever, tenzij anders is overeengekomen.

​Melding van een datalek

  • Indien TISG een datalek vaststelt, meldt hij dit onverwijld en ten laatste binnen de 48 uur aan verwerkingsverantwoordelijke na de vaststelling. Deze melding wordt ten minste het volgende omschreven of meegedeeld:
  • De aard van de inbreuk in verband met persoonsgegevens, waar mogelijk onder vermelding van de categorieën van betrokkenen en de persoonsgegevens in kwestie;
  • De waarschijnlijke gevolgen van het datalek in verband met persoonsgegevens;
  • De maatregelen die TISG neemt om het datalek aan te pakken, waaronder, in voorkomend geval, de maatregelen om de eventuele nadelige gevolgen daarvan te beperken.
  • TISG informeert verwerkingsverantwoordelijke ook na een melding op basis van het vorige artikel over de ontwikkelingen betreffende het vastgestelde datalek.
  • Verwerkingsverantwoordelijke dient te beoordelen of zij de toezichthoudende autoriteit en/of de betrokkenen daarover informeert.
  • Partijen dragen beide de door henzelf gemaakte kosten in verband met een melding aan de toezichthoudende autoriteit en/of betrokkene.

Verzoeken van betrokkenen of overheidsinstanties

  • TISG zal verwerkingsverantwoordelijke in de mate van het mogelijke assisteren bij verzoeken van betrokken. In het geval dat een betrokkene een dergelijk verzoek richt aan TISG, zal TISG het verzoek doorsturen aan verwerkingsverantwoordelijke, en zal verwerkingsverantwoordelijke het verzoek verder afhandelen, tenzij expliciet anders overeengekomen.
  • TISG staat verwerkingsverantwoordelijke in de mate van het mogelijke bij om verzoeken van overheidsinstanties te beantwoorden.
  • Voor de uitvoering van artikel 9.1 en 9.2 worden de door TISG gemaakte kosten vergoed door Verwerkingsverantwoordelijke, tenzij anders is overeengekomen.

​Informatieverplichting en audit

  • TISG stelt alle informatie ter beschikking die nodig is om aan te tonen dat de verplichtingen uit deze verwerkersovereenkomst zijn en worden nagekomen.
  • Verwerkingsverantwoordelijke heeft de mogelijkheid om maximaal eenmaal per jaar op eigen kosten een audit of gegevensbeschermingseffectbeoordeling uit te (laten) voeren. TISG verleent alle benodigde medewerking aan audits van verwerkingsverantwoordelijke.

Intellectuele eigendomsrechten

  • Alle intellectuele eigendomsrechten op de persoonsgegevens en op de databanken met deze persoonsgegevens komen toe aan verwerkingsverantwoordelijke. Deze intellectuele eigendomsrechten zijn onder andere het auteursrecht en het sui generis. TISG ontvangt slechts een beperkt gebruiksrecht voor zover nodig om de overeengekomen verwerkingen uit te voeren.

​Duur en einde van de overeenkomst

  • De verwerkersovereenkomst treedt in werking op het moment dat partijen de samenwerkingsovereenkomst sluiten en wordt aangegaan voor de duur van de samenwerkingsovereenkomst.
  • Partijen kunnen de verwerkersovereenkomst niet tussentijds opzeggen.
  • De verwerkersovereenkomst eindigt nadat en voor zover TISG alle persoonsgegevens overeenkomstig artikel 12.4 heeft gewist. TISG verwijdert back-ups en kopieën, behoudens afwijkende wettelijke voorschriften.
  • Bij beëindiging van de samenwerkingsovereenkomst blijven alle verwerkte persoonsgegevens drie (3) maanden beschikbaar. De verwerkingsverantwoordelijke is zelf verantwoordelijk voor een tijdige export van persoonsgegevens.

​Algemene bepalingen

  • Deze Verwerkersovereenkomst is onderdeel van de samenwerkingsovereenkomst. De rechten en verplichtingen die voortvloeien uit de samenwerkingsovereenkomst en de algemene voorwaarden van TISG zijn daarom ook van toepassing op de verwerkersovereenkomst.
  • Bij eventuele tegenstrijdigheden tussen de bepalingen in de verwerkersovereenkomst en de samenwerkingsovereenkomst, gelden de bepalingen uit deze verwerkersovereenkomst voor zover de bepalingen specifiek betrekking hebben op de verwerking van persoonsgegevens.
  • Deze overeenkomst vervangt alle voorgaande of bestaande afspraken tussen de partijen met betrekking tot de verwerking van persoonsgegevens. Deze overeenkomst kan enkel schriftelijk gewijzigd worden, na gezamenlijke ondertekening door de partijen.
  • Overeenkomstig de Algemene Voorwaarden van TISG is ook op de verwerkersovereenkomst het Nederlandse recht van toepassing en geschillen worden aanhangig gemaakt bij de bevoegde rechter te Amsterdam; dan wel, ter keuze van TISG., bij de bevoegde rechter van de woonplaats van verwerkingsverantwoordelijke.