1. Persoonsgegevens
  2. Doeleinden van verwerking
  3. Verplichtingen verwerker
  4. Doorgifte van persoonsgegevens
  5. Verdeling van de verantwoordelijkheid
  6. Beveiliging
  7. Meldplicht
  8. Afhandeling verzoeken van betrokkenen
  9. Geheimhouding en vertrouwelijkheid
  10. Audit
  11. Aansprakelijkheid
  12. Duur en beëindiging

Artikel 1. Persoonsgegevens

1.1. De wederpartij beschikt over persoonsgegevens van diverse betrokkenen en is Verwerkingsverantwoordelijke in de zin van de Algemene Verordening Gegevensbescherming (AVG).
1.2. De Verwerkingsverantwoordelijke bepaalt de vormen van verwerking van deze persoonsgegevens en wil deze mede laten verrichten door Chimit, waarbij de Verwerkingsverantwoordelijke doel en middelen aanwijst en dat Chimit daarom als Verwerker wordt gekwalificeerd in de zin van de AVG.
1.3. De artikelen 1 tot en met 11 worden gekwalificeerd als een Verwerkersovereenkomst.

Artikel 2. Doeleinden van verwerking

2.1. Verwerker verbindt zich onder de voorwaarden van deze Verwerkersovereenkomst in opdracht van Verwerkingsverantwoordelijke persoonsgegevens te werken. Verwerking zal uitsluitend plaats vinden in het kader van de uitvoering van de levering van producten en diensten in het kader van de onderliggende overeenkomst en de doeleinden die daarmee redelijkerwijs samenhangen of die met nadere instemming worden bepaald.
2.2. Verwerker zal de persoonsgegevens niet voor enig ander doel verwerken dan zoals door Verwerkingsverantwoordelijke is vastgesteld. Verwerkingsverantwoordelijke zal Verwerker op de hoogte stellen van het onderwerp en de duur van de verwerking, de aard en het doel van de verwerking, het soort persoonsgegevens en de categorieën van betrokkenen, en de rechten en verplichtingen van de verwerkingsverantwoordelijke jegens betrokkenen, zoals bedoeld in artikel 28 lid 3 AVG, voor zover deze gegevens niet reeds in deze Verwerkersovereenkomst of de onderliggende overeenkomst zijn genoemd.
2.3. De in opdracht van Verwerkingsverantwoordelijke te verwerken persoonsgegevens blijven eigendom van Verwerkingsverantwoordelijke en / of de betreffende betrokkenen.

Artikel 3 Verplichtingen verwerker

3.1. Ten aanzien van de in artikel 2 genoemde verwerkingen zal Verwerker zorg dragen voor de naleving van de toepasselijke wet- en regelgeving, waaronder in ieder geval begrepen de wet- en regelgeving op het gebied van de bescherming van persoonsgegevens.
3.2. De verplichtingen van de Verwerker die uit deze Verwerkersovereenkomst voortvloeien, gelden ook voor degenen die persoonsgegevens verwerken onder het gezag van Verwerker, waaronder begrepen maar niet beperkt tot werknemers, in de ruimste zin van het woord.
3.3. Het is de Verwerker toegestaan om andere Verwerkers in te schakelen. De Verwerkingsverantwoordelijke zal hiervan vooraf schriftelijk op de hoogte worden gesteld.

 

Artikel 4 Doorgifte van persoonsgegevens

4.1. Verwerker mag de persoonsgegevens verwerken in landen binnen de Europese Unie. Doorgifte naar landen buiten de Europese Unie is verboden.
4.2. Verwerker zal Verwerkingsverantwoordelijke melden om welk land of landen het gaat.

Artikel 5 Verdeling van de verantwoordelijkheid

5.1. De toegestane verwerkingen zullen door medewerkers van Verwerker worden uitgevoerd binnen een geautomatiseerde omgeving.
5.2. Verwerker is louter verantwoordelijk voor de verwerking van de persoonsgegevens onder deze Verwerkersovereenkomst, overeenkomstig de instructies van Verwerkingsverantwoordelijke en onder de uitdrukkelijke (eind) verantwoordelijkheid van Verwerkingsverantwoordelijke. Voor de overige verwerkingen van persoonsgegevens, waaronder in ieder geval begrepen maar niet beperkt tot de verzameling van de persoonsgegevens door de Verwerkingsverantwoordelijke, verwerkingen voor doeleinden die niet door Verwerkingsverantwoordelijke aan Verwerker zijn gemeld, verwerkingen door derden en/of voor andere doeleinden, is Verwerker uitdrukkelijk niet verantwoordelijk.
5.3. Verwerkingsverantwoordelijke garandeert dat de inhoud, het gebruik en de opdracht tot de verwerkingen van de persoonsgegevens zoals bedoeld in deze Overeenkomst, niet onrechtmatig is en geen inbreuk maken op enig recht van derden.

 

Artikel 6. Beveiliging

6.1. Verwerker zal zich inspannen voldoende technische en organisatorische maatregelen, zoals bedoeld in artikel 32 AVG te nemen met betrekking tot de te verrichten verwerkingen van persoonsgegevens, tegen verlies of tegen enige vorm van onrechtmatige verwerking (zoals onbevoegde kennisname, aantasting, wijziging of verstrekking van de persoonsgegevens).
6.2. Verwerker heeft in ieder geval de volgende maatregelen genomen:
Logische toegangscontrole, gebruik makend van wachtwoorden;
Encryptie (versleuteling) van wachtwoorden;
Beperkte fysieke toegang tot de servers waar de persoonsgegevens zijn opgeslagen;
Secured communicatie met server (HTTPS/SSL);
Antivirus software en tijdige systeemupdates tegen misbruik van bekende beveiligingslekken.

6.3. Verwerker staat er niet voor in dat de beveiliging onder alle omstandigheden doeltreffend is. Indien een uitdrukkelijk omschreven beveiliging in de Verwerkersovereenkomst ontbreekt, zal Verwerker zich inspannen dat de beveiliging zal voldoen aan een niveau dat, gelet op de stand van de techniek, de gevoeligheid van de persoonsgegevens en de aan het treffen van de beveiliging verbonden kosten, niet onredelijk is.
6.4. Verwerkingsverantwoordelijke stelt enkel persoonsgegevens aan Verwerker ter beschikking voor verwerking, indien zij zich ervan heeft verzekerd dat de vereiste beveiligingsmaatregelen zijn getroffen. Verwerkingsverantwoordelijke is verantwoordelijk voor de naleving van de door Partijen afgesproken maatregelen.

Artikel 7. Meldplicht

7.1. In het geval van een beveiligingsinbreuk en/of een datalek in de zin van artikel 33 AVG zal Verwerker de Verwerkingsverantwoordelijke daarover zonder onredelijke vertraging informeren.
7.2. De Verwerker zal de Verwerkingsverantwoordelijke waar mogelijk bijstaan in het nakomen van zijn verantwoordelijkheden jegens de toezichthoudende autoriteit en/of betrokkenen zoals bedoeld in artikel 33 en 34 AVG. Voor deze werkzaamheden zal een redelijke vergoeding in rekening worden gebracht, tenzij in de Onderliggende Overeenkomst anders is overeengekomen.

Artikel 8. Afhandeling verzoeken van betrokkenen

8.1. In het geval dat een betrokkene een verzoek tot inzage, rectificatie, wissing en/of beperking van de verwerking zoals bedoeld in artikel 15 – 19 AVG, richt aan Verwerker, zal Verwerker het verzoek zelf afhandelen voor zo ver hij dit zelf kan doen. Hij zal Verwerkingsverantwoordelijke van het verzoek op de hoogte te stellen.
8.2. Verwerker mag de kosten voor de afhandeling van het verzoek doorbelasten aan Verwerkingsverantwoordelijke.

Artikel 9. Geheimhouding en vertrouwelijkheid

9.1. Op alle persoonsgegevens die Verwerker van Verwerkingsverantwoordelijke ontvangt en/of zelf verzamelt in het kader van deze Verwerkersovereenkomst, rust een geheimhoudingsplicht jegens derden. Verwerker zal deze informatie niet voor een ander doel gebruiken dan waarvoor zij deze heeft verkregen.
9.2. Deze geheimhoudingsplicht is niet van toepassing voor zover Verwerkingsverantwoordelijke uitdrukkelijke toestemming heeft gegeven om de informatie aan derden te verschaffen, indien het verstrekken van de informatie aan derden logischerwijs noodzakelijk is gezien de aard van de verstrekte opdracht en de uitvoering van deze Verwerkersovereenkomst, of indien er een wettelijke verplichting bestaat om de informatie aan een derde te vertrekken.

Artikel 10. Audit

10.1. De Verwerker zal de Verwerkingsverantwoordelijke de medewerking verlenen die nodig is voor de in artikel 11 lid 3 onder h AVG bedoelde verantwoordingsplicht. Voor deze werkzaamheden zal een redelijke vergoeding in rekening worden gebracht, tenzij in de Onderliggende Overeenkomst anders is overeengekomen.

Artikel 11. Aansprakelijkheid

11.1. De aansprakelijkheid van Verwerker voor schade als gevolg van een toerekenbare tekortkoming in de nakoming van deze Verwerkersovereenkomst, is per gebeurtenis (een reeks opeenvolgende gebeurtenissen geldt als één gebeurtenis) beperkt tot de vergoeding van directe schade, tot maximaal het bedrag van de door Verwerker ontvangen vergoedingen voor de werkzaamheden onder deze Verwerkersovereenkomst over de maand voorafgaande aan de schadeveroorzakende gebeurtenis. De aansprakelijkheid van de Verwerker voor directe schade zal in totaal nooit meer bedragen dan het bedrag, dat wordt gedekt door de aansprakelijkheidsverzekering van Verwerker.
11.2. Onder directe schade wordt uitsluitend verstaan alle schade bestaande uit:
– schade direct toegebracht aan stoffelijke zaken (“zaakschade’’) of personen;
– redelijke en aantoonbare kosten om de Verwerker er toe te manen de Verwerkersovereenkomst (weer) deugdelijk na te komen;
– redelijke kosten ter vaststelling van de oorzaak en de omvang van de schade voor zover betrekking hebbende op de directe schade zoals in dit artikel bedoeld.
11.3. De aansprakelijkheid van Verwerker voor indirecte schade is uitgesloten. Onder indirecte schade wordt verstaan alle schade die geen directe schade is. Onder indirecte schade valt in ieder geval gevolgschade, gederfde winst, gemiste besparingen, verminderde goodwill, schade door bedrijfsstagnatie, schade verband houdende met het gebruik van door Verwerkingsverantwoordelijke voorgeschreven gegevens of databestanden, of schade door verlies, verminking of vernietiging van gegevens of databestanden.
11.4. De in dit artikel bedoelde uitsluitingen en beperkingen komen te vervallen indien en voor zover de schade het gevolg is van opzet of bewuste roekeloosheid van Verwerker of haar bedrijfsleiding.
11.5. Tenzij nakoming door Verwerker blijvend onmogelijk is, ontstaat de aansprakelijkheid van Verwerker wegens toerekenbare tekortkoming in de nakoming van de Overeenkomst slechts indien Verwerkingsverantwoordelijke de Verwerker onverwijld schriftelijk in gebreke stelt, waarbij een redelijke termijn voor de zuivering van de tekortkoming wordt gesteld, en Verwerker ook na die termijn toerekenbaar blijft tekortschieten in de nakoming van haar verplichtingen. De ingebrekestelling dient een zo volledig en gedetailleerd mogelijke omschrijving van de tekortkoming te bevatten, opdat Verwerker in de gelegenheid wordt gesteld adequaat te reageren.
11.6. Iedere vordering tot schadevergoeding door Verwerkingsverantwoordelijke tegen Verwerker die niet gespecificeerd en expliciet is gemeld, vervalt door het enkele verloop van twaalf (12) maanden na net ontstaan van de vordering.

Artikel 12. Duur en beëindiging

12.1. Deze Verwerkersovereenkomst komt tot stand bij aanvang van een overeenkomst met Chimit.
12.2. De Verwerkersovereenkomst wordt aangegaan voor de duur van de onderliggende overeenkomst en eindigt zodra de onderliggende overeenkomst eindigt.
12.3. Zodra de Verwerkersovereenkomst, om welke reden en op welke wijze dan ook, is beëindigd, zal Verwerker alle persoonsgegevens van Verwerkingsverantwoordelijke die bij haar aanwezig zijn deze en eventuele kopieën daarvan binnen redelijke termijn vernietigen