Verwerkersovereenkomst van:
De ondernemingen Sollie.Comm B.V., Sollie.Comm Groningen B.V. en Eilie Telecom B.V., in deze kantoorhoudend aan de Newtonstraat 1 te Dedemsvaart en handelend onder de naam Sollie, hierna te noemen: “Verwerker”;
Ten behoeve van de dienstverlening aan “Verwerkingsverantwoordelijke”, waarvan de overige gegevens zijn vermeld bij de ondertekening van deze overeenkomst, (hierna: “Verwerkingsverantwoordelijke”).
Download hier de verwerkersovereenkomst pdf
DE PARTIJEN ZIJN HET VOLGENDE OVEREENGEKOMEN:
Artikel 1. Toepasselijkheid
- 1. Deze Verwerkersovereenkomst is een onlosmakelijk onderdeel van de Overeenkomst. Indien de Verwerkersovereenkomst strijdig is met de Overeenkomst, prevaleert de Verwerkersovereenkomst boven de Overeenkomst.
Artikel 2. Verplichtingen Verwerker
- 2.1. Verwerker zal zich bij de uitvoering van zijn verplichtingen uit deze Verwerkersovereenkomst houden aan alle relevante wet- en regelgeving.
- 2.2. Verwerker zal de Persoonsgegevens in overeenstemming met de instructies van Verwerkingsverantwoordelijke neergelegd in deze Verwerkersovereenkomst Verwerken, tenzij bij wet anders is bepaald, en slechts voor zover nodig voor de uitvoering van zijn verplichtingen uit de Overeenkomst.
- 2.3. Verwerker houdt een verwerkersregister bij van de verwerkingsactiviteiten die Verwerker uitvoert.
Artikel 3. Verplichtingen Verantwoordelijke
- 3.1. Verantwoordelijke is ten aanzien van de Verwerking van Persoonsgegevens krachtens deze Verwerkersovereenkomst de ‘Verwerkingsverantwoordelijke’ zoals omschreven in artikel 4 lid 7 AVG.
- 3.2. Verantwoordelijke staat ervoor in dat de Verwerking van Persoonsgegevens overeenkomstig de Verwerkersovereenkomst in overeenstemming is met de AVG en andere, van toepassing zijnde wetgeving inzake gegevensbescherming.
- 3.3. Verantwoordelijke garandeert dat de inhoud, het gebruik en de opdracht tot de Verwerkingen van de persoonsgegevens zoals bedoeld in deze Verwerkersovereenkomst, niet onrechtmatig is en geen inbreuk maakt op enig recht van derden. Verantwoordelijke vrijwaart Verwerker tegen alle aanspraken of claims die hiermee verband houden.
Artikel 4. Beveiliging Persoonsgegevens
- 4.1. Verwerker zal conform het Verwerkingsregister technische en organisatorische maatregelen implementeren ter bescherming van de Persoonsgegevens die zij voor Verwerkingsverantwoordelijke zal Verwerken.
- 4.2. Deze maatregelen zullen, rekening houdend met de stand van de techniek en de kosten van de implementatie en uitvoering van de maatregelen, zorgen voor een adequaat niveau van bescherming, rekening houdend met de bij de Verwerking betrokken risico’s en de aard van de te beveiligen gegevens.
- 4.3. Verwerkingsverantwoordelijke heeft zich goed geïnformeerd over de beveiligingsmaatregelen zoals genoemd in dit artikel en bevestigt dat deze maatregelen een beveiligingsniveau hebben dat past bij de aard van de Persoonsgegevens en de risico’s van de Verwerking.
Artikel 5. Meldplicht datalekken
- 5.1. Nadat Verwerker een Datalek heeft ontdekt, dan handelt de Verwerker conform de Datalek procedure. De Verwerker stelt de Verwerkingsverantwoordelijke zo spoedig mogelijk, uiterlijk binnen 72 uur, in kennis daarvan. Verwerker zal per email het volgende vermelden:
a) welke persoonsgegevens het betreft en wie door de inbreuk is getroffen;
b) de aard van de inbreuk;
c) de aanbevolen maatregelen; en
d) de geconstateerde en vermoedelijke gevolgen van de inbreuk, voor zover Verwerker hier kennis van heeft.
- 5.2. Verwerker zal medewerking verlenen aan het onderzoek rondom het Datalek en zal voldoende informatie en ondersteuning verschaffen in relatie tot alle onderzoeken daartoe. De kosten die Verwerker in dat kader maakt kan Verwerker doorberekenen aan Verwerkingsverantwoordelijke.
Artikel 6. Controle op de beveiligingsmaatregelen
- 6.1. Verantwoordelijke is gerechtigd naleving van de beveiligingsmaatregelen in verband met de Verwerkingsactiviteiten die onder deze Verwerkersovereenkomst vallen, te (laten) onderzoeken (het ‘Onderzoek’). Op verzoek zal Verwerker Verantwoordelijke in staat stellen om de Verwerkingen te (laten) controleren op een door Partijen in gezamenlijk overleg nader te bepalen tijdstip. Verwerker zal in alle redelijkheid haar medewerking verlenen aan een dergelijk Onderzoek.
- 6.2. Het Onderzoek kan niet vaker dan eenmaal per jaar bij Verwerker worden uitgevoerd.
- 6.3. Verantwoordelijke kan besluiten een onderzoeksinstantie het Onderzoek te laten uitvoeren. De onderzoeksinstantie dient, naar het redelijk oordeel van Verantwoordelijke, neutraal en deskundig te zijn. Verantwoordelijke ziet erop toe dat de onderzoeksinstantie van haar bevindingen tegenover derden tot geheimhouding verplicht is.
- 6.4. Verantwoordelijke zal alle kosten, vergoedingen en onkosten in verband met het Onderzoek betalen, met inbegrip van redelijke door Verwerker gemaakte interne kosten.
- 6.5. Indien naar aanleiding van het Onderzoek in redelijkheid gegeven verzoeken tot aanpassing van het beveiligingsbeleid of –maatregelen worden gevraagd, zal de Verwerker deze binnen 6 maanden implementeren.
- 6.6. Verantwoordelijke zal Verwerker een exemplaar van het rapport van het Onderzoek verstrekken.
- 6.7. De Autoriteit Persoonsgegevens mag, naast Verantwoordelijke, toezien op de naleving van de beveiligingsmaatregelen. Verwerker zal de Autoriteit Persoonsgegevens in staat stellen de Verwerkingen te (laten) controleren.
Artikel 7. Personeel en geheimhouding
- 7.1. Verwerker zal ervoor zorgen dat bij de uitvoering van de Verwerkersovereenkomst alleen geautoriseerde Personeel en door hem ingeschakelde geautoriseerde derden toegang krijgen tot de Persoonsgegevens.
- 7.2. Elke Partij bevestigt dat zij bekend is met de toepasselijke regelgeving inzake gegevensbescherming en verzekert dat zij haar Personeel, dat bij de uitvoering van de werkzaamheden betrokken is, instrueert over de relevante bepalingen over gegevensbescherming en hen verplicht tot geheimhouding met betrekking tot persoonsgegevens.
Artikel 8. Inschakeling derden en Sub-verwerkers
- 8.1. Indien Verwerker de verplichtingen uit hoofde van deze Verwerkersovereenkomst aan derden uitbesteedt, zal Verwerker Verwerkingsverantwoordelijke daarover voorafgaand toestemming vragen. Verwerker zal de benodigde maatregelen treffen om ervoor te zorgen dat de Sub-verwerkers dezelfde verplichtingen hebben als die waaraan Verwerker uit hoofde van de Verwerkersovereenkomst en de wet jegens Verwerkingsverantwoordelijke moet voldoen.
Artikel 9. Doorgifte Persoonsgegevens buiten de EER
- 9.1. Verwerker geeft geen Persoonsgegevens door aan, en Verwerkt Persoonsgegevens niet in, een land buiten de EER, tenzij:
a) Verwerkingsverantwoordelijke voorafgaand aan de doorgifte toestemming daartoe heeft gegeven;
b) Verwerkingsverantwoordelijke voorafgaand aan de doorgifte is geïnformeerd over de Verwerking buiten de EER en daartegen binnen een redelijke termijn geen bezwaar heeft gemaakt; of
c) de doorgifte is toegestaan op basis van een andere grondslag onder de Wbp of de AVG.
Artikel 10. Verzoeken van Betrokkenen
- 10.1. Betrokkenen hebben op grond van de AVG recht op inzage, correctie, verwijdering en afscherming van hun Persoonsgegevens. Verwerker zal redelijke bijstand verlenen zodat Verwerkingsverantwoordelijke kan voldoen aan zijn wettelijke verplichtingen als Betrokkene haar rechten uitoefent op grond van de AVG, zoals bij een klacht of een informatieverzoek. De kosten die Verwerker in dat kader maakt zal Verwerker doorberekenen aan Verwerkingsverantwoordelijke.
Artikel 11. Aansprakelijkheid en vrijwaring
- 11.1. Partijen zijn ieder verantwoordelijk en aansprakelijk voor hun eigen handelen. Een beperking van aansprakelijkheid is niet mogelijk in geval van opzet of grove schuld.
- 11.2. Verwerkingsverantwoordelijke staat er voor in dat de Verwerking van Persoonsgegevens op basis van deze Verwerkersovereenkomst rechtmatig is en geen inbreuk maakt op de rechten van Betrokkenen.
- 11.3. Indien Verwerkingsverantwoordelijke niet in overeenstemming handelt met de AVG, de Wbp, de Tw en / of andere wet- en regelgeving, zal zij Verwerker vrijwaren voor eventuele aanspraken van derden als gevolg van deze nalatigheid, zoals boetes en schade.
- 11.4. Verwerker is slechts aansprakelijk voor de schade die door de Verwerking is veroorzaakt wanneer bij de Verwerking door Verwerker niet is voldaan aan de specifiek tot Verwerker gerichte verplichtingen uit de AVG of als buiten, dan wel in strijd met, de rechtmatige instructies van Verwerkingsverantwoordelijke is gehandeld.
Artikel 12. Duur en beëindiging verwerkersovereenkomst
- 12.1. De looptijd van deze Verwerkersovereenkomst zal dezelfde looptijd hebben als de Overeenkomst. Indien de verleende diensten na de beëindiging van de Overeenkomst moeten worden voortgezet, dan zijn de bepalingen van de Verwerkersovereenkomst blijvend van kracht op deze verdere levering van diensten voor de gehele duur van de feitelijke samenwerking.
- 12.2. Na beëindiging van de Overeenkomst zal Verwerker voor zover mogelijk alle relevante documenten die zij heeft ontvangen aan Verwerkingsverantwoordelijke overdragen. Daarnaast zal Verwerker, na instemming van Verwerkingsverantwoordelijke, alle Verwerkingen en opgeleverde gebruiksresultaten, databestanden en back-ups welke betrekking hebben op de contractuele relatie vernietigen op een manier die voldoet aan de eisen die worden gesteld aan gegevensbescherming.
Artikel 13. Slotbepalingen
- 13.1. Deze Verwerkersovereenkomst vervangt alle eerdere Verwerkersovereenkomsten tussen Partijen.
- 13.2. De overwegingen maken onderdeel uit van deze Verwerkersovereenkomst.
- 13.3. Indien één of meer bepalingen van deze Verwerkersovereenkomst niet rechtsgeldig blijkt te zijn, zal de Verwerkersovereenkomst voor het overige van kracht blijven. Partijen zullen over de bepalingen welke niet rechtsgeldig zijn overleg plegen, teneinde een vervangende regeling te treffen die wel rechtsgeldig is en zoveel mogelijk aansluit bij de strekking van de te vervangen regeling.
- 13.4. In alle gevallen waarin deze Verwerkersovereenkomst niet voorziet beslissen Partijen in onderling overleg.
- 13.5. Op deze Verwerkersovereenkomst is Nederlands recht van toepassing.
Bijlage 1: Specificatie verwerkingen
Korte omschrijving diensten
Verwerker levert aan Verantwoordelijke diensten in de categorie Telecom, Connectivity en/of Web.
Op deze diensten is ook support van toepassing. Dit betreft activiteiten van Verwerker naar aanleiding van storingsmeldingen en/of changeverzoeken van Verantwoordelijke. Voor zover hierbij persoonsgegevens dienen te worden verwerkt, worden deze verwerkingen geacht impliciet te zijn opgedragen door Verantwoordelijke.
Verwerkingsactiviteiten
Verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, doorzenden, verspreiden, beschikbaar stellen, samenbrengen, met elkaar in verband brengen, afschermen, uitwissen en vernietigen van gegevens, anonimiseren, aggregeren, versleutelen
Betrokken categorieën persoonsgegevens
‘Gewone’ gegevens
Voornaam, Achternaam, toestelnummer; mobiel nummer, e-mail, privé-nummer, adres
Klantgegevens: Naast de algemene gegevens van het bedrijf, eventueel naam, e-mailadres(sen) en (zakelijk) telefoonnummer(s) van contactperso(o)n(en)
‘Gevoelige’ of ‘bijzondere’ gegevens
Bij gebruik van de “default” instellingen is geen sprake van verwerking van “gevoelige” of “bijzondere” gegevens.
Uitsluitend wanneer de verwerkingsverantwoordelijke ervoor kiest om de optie “gespreksopname” te activeren, vindt verwerking van “gevoelige” gegevens plaats, namelijk audio-opnamen van gesprekken.*
Verkeersgegevens (gegevens uit een dienst):
IP-adressen, telefoonnummers, adresboekgegevens
Doeleinden van de verwerking
Zakelijke dienstverlening aan klanten
Categorieën betrokkenen
Klanten en haar werknemers
*N.B. Bij gebruik van de optie Gespreksopname is de Verwerkingsverantwoordelijke verplicht eigen medewerkers en bellers steeds voorafgaand aan een gesprek te waarschuwen dat gesprekken kunnen worden opgenomen.
Na het verstrijken van de bewaartermijn zullen de persoonsgegevens worden gewist of in eenvoudig format worden teruggegeven.
Bijlage 2: Overzicht met beveiligingsmaatregelen
De maatregelen waaraan minimaal wordt voldaan:
- De verantwoordelijkheden, zowel op sturend als uitvoerend niveau, zijn duidelijk gedefinieerd en belegd.
- De werknemers van de Verwerker die betrokken zijn bij de verwerking van persoonsgegevens zijn gehouden aan een geheimhoudingsplicht/integriteitscode en indien van toepassing heeft voorafgaand aan de indiensttreding een screening plaatsgevonden.
- Alle werknemers van de organisatie en, voor zover van toepassing, ingehuurd personeel en externe gebruikers zijn bekend met informatiebeveiligingsprocedures van de organisatie. En dan met name aandacht voor omgaan met (bijzondere categorieën van; of anderszins gevoelige) persoonsgegevens.
- Er zijn procedures om bevoegde gebruikers toegang te geven tot de informatiesystemen en -diensten die ze voor de uitvoering van hun taken nodig hebben en om onbevoegde toegang tot informatiesystemen te voorkomen.
- Er zijn procedures voor de verwerving, ontwikkeling, onderhoud en vernietiging van data en informatiesystemen.
- In alle toepassingssystemen zijn beveiligingsmaatregelen ingebouwd waaronder een adequaat toegangsbeheer.
- Er is een procedure beschikbaar om eventuele datalekken af te handelen. Onderdeel hiervan is het informeren van de Verwerkingsverantwoordelijke.
- De Verwerkingsverantwoordelijke meldt datalekken die onder een wettelijke meldplicht vallen bij de betreffende toezichthouder (veelal de Autoriteit Persoonsgegevens).