Verwerkersovereenkomst

De klant, rechtsgeldig vertegenwoordigd voor zijn/haar eigen onderneming of organisatie, als bestaande klant (hierna: Verwerkingsverantwoordelijke) van DLogic en als zodanig eerder akkoord gegaan met de Algemene Voorwaarden van DLogic,

en

DLogic, statutair gevestigd aan Graaf Engelbertlaan 75, 4837 DS Breda en ingeschreven bij de Kamer van Koophandel onder nummer 20132159 (hierna: Verwerker),

hierna afzonderlijk te noemen als "Partij" en gezamenlijk als "Partijen".

Overwegende dat: Verwerker een ICT-dienstverlener is die diensten levert zoals webdesign, bouw en onderhoud van websites; Verwerkingsverantwoordelijke gebruik wil maken van de diensten van Verwerker, waarbij Verwerker ten behoeve van Verwerkingsverantwoordelijke bepaalde persoonsgegevens zal verwerken; Partijen hun rechten en plichten schriftelijk wensen vast te leggen in deze verwerkersovereenkomst.

1.1 Verwerker verbindt zich onder de voorwaarden uit deze Verwerkersovereenkomst in opdracht van Verwerkingsverantwoordelijke persoonsgegevens te verwerken. Verwerking vindt uitsluitend plaats in het kader van de uitvoering van deze Verwerkersovereenkomst, plus de doeleinden die daarmee redelijkerwijs samenhangen, en uitsluitend op basis van schriftelijke instructies van de Verantwoordelijke.

1.2 Verwerker zal alle persoonsgegevens verwerken die bij het gebruik van de Diensten kunnen worden opgeslagen, waaronder NAW-gegevens, e-mailadressen en leeftijden. De categorie betrokkenen betreft de klanten van Verwerkingsverantwoordelijke.

1.3 Verwerkingsverantwoordelijke garandeert dat er geen verwerking van bijzondere persoonsgegevens zal plaatsvinden. Indien dat wel het geval is, meldt hij dat vooraf en maken Partijen nadere afspraken.

1.4 Verwerker heeft geen zeggenschap over doel en middelen van de verwerking en neemt geen zelfstandige beslissingen over ontvangst, gebruik, verstrekking aan derden of bewaartermijn van de persoonsgegevens.

1.5 Verwerkingsverantwoordelijke houdt een register bij van de uitgevoerde gegevensverwerkingen en vrijwaart Verwerker van alle aanspraken die verband houden met het niet-naleven van deze registerplicht.

2.1 De toegestane verwerkingen worden onder controle van Verwerker uitgevoerd binnen een (semi)geautomatiseerde omgeving.

2.2 Verwerker is louter verantwoordelijk voor de verwerking van persoonsgegevens onder deze Verwerkersovereenkomst, overeenkomstig de schriftelijke instructies van Verwerkingsverantwoordelijke en onder diens uitdrukkelijke (eind)verantwoordelijkheid.

2.3 Voor overige verwerkingen — waaronder verzameling door Verwerkingsverantwoordelijke zelf, verwerkingen voor niet-gemelde doeleinden of door door hem ingeschakelde derden — is Verwerker uitdrukkelijk niet verantwoordelijk.

2.4 Verwerkingsverantwoordelijke garandeert dat inhoud, gebruik en opdracht tot de verwerkingen rechtmatig zijn en geen inbreuk maken op rechten van derden, en vrijwaart Verwerker tegen alle aanspraken.

2.5 Indien een gegevensbeschermingseffectbeoordeling of voorafgaande raadpleging van de toezichthouder verplicht is, werkt Verwerker hier voor zover mogelijk aan mee, tegen redelijke kosten.

2.6 Verwerker werkt mee aan eventueel onderzoek door de Autoriteit Persoonsgegevens, tegen redelijke kosten.

2.7 De verplichtingen van Verwerker gelden ook voor degenen die onder zijn gezag persoonsgegevens verwerken, waaronder zijn werknemers.

3.1 Verwerker zal zich inspannen passende technische en organisatorische maatregelen te nemen met betrekking tot de te verrichten verwerkingen, tegen verlies of onrechtmatige verwerking (zoals onbevoegde kennisname, aantasting, wijziging of verstrekking). Verwerker staat er niet voor in dat de beveiliging onder alle omstandigheden doeltreffend is.

3.2 Verwerkingsverantwoordelijke stelt enkel persoonsgegevens aan Verwerker ter beschikking indien hij zich ervan heeft verzekerd dat de vereiste beveiligingsmaatregelen zijn getroffen.

4.1 Verwerkingsverantwoordelijke geeft Verwerker toestemming gebruik te maken van subverwerkers, met inachtneming van de toepasselijke privacywetgeving. Op verzoek informeert Verwerker welke subverwerkers worden ingeschakeld.

4.2 Bij het voornemen om nieuwe subverwerkers in te schakelen wordt Verwerkingsverantwoordelijke vooraf geïnformeerd. Hij heeft dan twee weken om schriftelijk bezwaar te maken. Komen Partijen niet tot overeenstemming, dan is Verwerker gerechtigd de subverwerker in te schakelen en Verwerkingsverantwoordelijke gerechtigd de Overeenkomst op te zeggen.

4.3 Maakt Verwerkingsverantwoordelijke geen bezwaar binnen twee weken, dan wordt hij geacht in te stemmen.

4.4 Verwerker zorgt ervoor dat subverwerkers schriftelijk vergelijkbare plichten op zich nemen als tussen Partijen overeengekomen.

5.1 Verwerker mag de persoonsgegevens verwerken in landen binnen de EER. Doorgifte naar landen buiten de EER is toegestaan mits aan de wettelijke vereisten is voldaan.

5.2 Verwerker meldt op verzoek naar welk land of welke landen de persoonsgegevens worden doorgegeven.

6.1 Verwerkingsverantwoordelijke heeft het recht audits te laten uitvoeren door een onafhankelijke EPD-auditor die aan geheimhouding is gebonden en is ingeschreven in het NOREA-register.

6.2 De audit vindt uitsluitend plaats nadat Verwerkingsverantwoordelijke de bij Verwerker aanwezige soortgelijke auditrapportages heeft opgevraagd en beoordeeld en redelijke argumenten aandraagt die de audit rechtvaardigen.

6.3 Een door Verwerkingsverantwoordelijke geïnitieerde audit vindt niet eerder dan vier weken na aankondiging plaats, en maximaal eens per kalenderjaar.

6.4 Verwerker werkt mee aan de audit en stelt alle redelijkerwijs relevante informatie en medewerkers ter beschikking.

6.5 Bevindingen worden in overleg beoordeeld en eventuele wijzigingen worden door één of beide Partijen doorgevoerd.

6.6 Alle kosten van de audit komen voor rekening van Verwerkingsverantwoordelijke.

7.1 In geval van een inbreuk in verband met persoonsgegevens informeert Verwerker de Verwerkingsverantwoordelijke binnen 48 uur. Verwerker spant zich in voor volledige, correcte en accurate informatie.

7.2 Indien wet- of regelgeving dit vereist verleent Verwerker medewerking aan het informeren van autoriteiten en/of betrokkenen. Verwerkingsverantwoordelijke beoordeelt zelf of hij toezichthouders of betrokkenen informeert.

7.3 De meldplicht omvat in ieder geval het feit van het lek, alsmede — voor zover bekend — de (vermeende) oorzaak, contactgegevens voor opvolging, het aantal betrokkenen en registers, het (te verwachten) gevolg, de (voorgestelde) oplossing en de reeds ondernomen maatregelen.

8.1 Wanneer een betrokkene een verzoek met betrekking tot zijn persoonsgegevens aan Verwerker richt, stuurt Verwerkingsverantwoordelijke dit verzoek door en handelt Verwerker het verder af. Verwerker spant zich in om binnen een redelijke termijn aan het verzoek gehoor te geven.

9.1 Op alle persoonsgegevens die Verwerker ontvangt en/of zelf verzamelt in het kader van deze Verwerkersovereenkomst rust een geheimhoudingsplicht jegens derden.

9.2 Deze geheimhoudingsplicht geldt niet voor zover Verwerkingsverantwoordelijke uitdrukkelijke toestemming heeft gegeven, het verstrekken aan derden logischerwijs noodzakelijk is gezien de aard van de opdracht, of er een wettelijke verplichting bestaat.

10.1 Deze Verwerkersovereenkomst komt tot stand doordat Verwerkingsverantwoordelijke deze (al dan niet digitaal) aanvaardt en duurt voort voor de duur van de Overeenkomst, dan wel de (verdere) samenwerking.

10.2 Partijen verlenen hun volledige medewerking om deze Verwerkersovereenkomst aan te passen aan eventuele nieuwe of veranderde privacywetgeving.

10.3 Indien de Overeenkomst eindigt, eindigt deze Verwerkersovereenkomst van rechtswege. Verwerker retourneert alle aanwezige persoonsgegevens aan Verwerkingsverantwoordelijke en vernietigt daarna deze en eventuele kopieën.