Verwerkingsovereenkomst

De AVG/GDPR wetgeving stelt dat wij en onze klanten verplicht zijn met elkaar een zogenaamde ‘Verwerkersovereenkomst’ aan te gaan. In een overeenkomst staan de rechten en plichten beschreven rondom het verwerken van persoonsgegevens.

Om dit gebeuren een beetje makkelijk te maken hebben wij een standaard verwerkersovereenkomst opgemaakt. Daarin is Avalon IT de Verwerker en ben jij de Verwerkingsverantwoordelijke. Je kan m hieronder alvast bekijken.

Deze overeenkomst is niet standaard van kracht, je moet hier expliciet mee akkoord gaan. De procedure hiervoor werkt als volgt:

  • Via het formulier hieronder kan je een verwerkingsovereenkomst bij ons aanvragen. Vul je gegevens in en klik op ‘create contract’.
  • Er wordt automatisch een nieuwe overeenkomst gegenereerd met de ingevulde gegevens en aan ons gemaild.
  • Na review en akkoord door ons ontvang je een email link naar deze overeenkomst
  • Via deze link kom je terug op onze website en kan je de overeenkomst met de muis, stylus of vinger ondertekenen.
  • Na ondertekening kan de overeenkomst, met de knop onderaan het document, als PDF worden gedownload.

 

 

Verwerkersovereenkomst Avalon IT

 

Partijen:

1. De persoon of rechtsvorm welke diensten afneemt bij Avalon IT, hierna te noemen “VERANTWOORDELIJKE”;

en

2. Avalon IT gevestigd aan de Nijverheidsweg 23 te Dwingeloo en ingeschreven bij de Kamer van Koophandel onder nummer 27244356, hierna te noemen “VERWERKER”

hierna gezamenlijk te noemen: ‘Partijen

OVERWEGENDE DAT

  • VERWERKER in het kader de uitvoering van de diensten ook Persoonsgegevens verwerkt voor VERANTWOORDELIJKE.
  • Dat partijen wettelijk verplicht zijn afspraken te maken en vast te leggen met betrekking tot de verwerking van Persoonsgegevens door VERWERKER.
  • De bepalingen van deze Verwerkersovereenkomst vóór gaan op alle andere afspraken die tussen Partijen gelden en betrekking hebben op de verwerking van Persoonsgegevens door VERWERKER voor VERANTWOORDELIJKE.

 

KOMEN ALS VOLGT OVEREEN:

 

Artikel 1. Algemeen

  1.  VERANTWOORDELIJKE wordt ten aanzien van de Persoonsgegevens beschouwd als Verantwoordelijke in de zin van de Wbp en Verwerkingsverantwoordelijke in de zin van de AVG. VERWERKER is Verwerker in de zin van de Wbp en Verwerker in de zin van de AVG.
  2.  VERWERKER en VERANTWOORDELIJKE verstrekken elkaar over en weer tijdig alle benodigde informatie om een goede naleving van de geldende privacywet- en regelgeving mogelijk te maken.

Artikel 2. Verwerken van Persoonsgegevens

  1.  De producten en diensten van VERWERKER zijn in basis geschikt voor de verwerking van persoonsgegevens. Hierbij is geen rekening gehouden met handelingen die door Opdrachtgever worden uitgevoerd nadat het product of de dienst door VERWERKER is opgeleverd; het aanpassen van instellingen, installeren (en/of foutief configureren) van software et cetera kan een beveiligingsrisico opleveren. Voor dergelijke zaken waar VERWERKER geen invloed op heeft, ligt de verantwoordelijkheid uitsluitend bij VERANTWOORDELIJKE. Bij de producten en diensten van VERWERKER is geen rekening gehouden met de verwerking van bijzondere  persoons gegevens. Verwerken van deze gegevens met de producten en diensten van VERWERKER door VERANTWOORDELIJKE is ter eigen beoordeling door  VERANTWOORDELIJKE.
  2. VERANTWOORDELIJKE zal de Persoonsgegevens in overeenstemming met de geldende wet- en regelgeving verwerken. VERWERKER zal de Persoonsgegevens niet voor andere doeleinden of op andere wijze gebruiken dan voor het doel waarvoor de Persoonsgegevens zijn verstrekt of haar bekend zijn geworden.
  3. VERWERKER zal de Persoonsgegevens uitsluitend verwerken op basis van de schriftelijke instructies van VERANTWOORDELIJKE in het kader van de uitvoering van de Overeenkomst en de verleende Diensten, dan wel in verband met een wettelijke verplichting.
  4. VERWERKER zal de Persoonsgegevens niet aan een Derde verstrekken, tenzij deze uitwisseling plaatsvindt in opdracht van VERANTWOORDELIJKE in het kader van de uitvoering van de Overeenkomst of wanneer dit noodzakelijk is om te voldoen aan een wettelijke verplichting.
  5. VERWERKER draagt er zorg voor dat de Persoonsgegevens niet buiten de EER worden verwerkt, tenzij VERANTWOORDELIJKE daar schriftelijke toestemming voor heeft gegeven.

Artikel 3. Geheimhouding

  1. VERWERKER houdt de Persoonsgegevens die zij verwerkt in het kader van de uitvoering van de Overeenkomst geheim en zal alle nodige maatregelen treffen om geheimhouding van de Persoonsgegevens te verzekeren. VERWERKER zal de verplichting tot geheimhouding tevens opleggen aan haar personeel en alle door haar  ingeschakelde personen.
  2. De in dit artikel bedoelde geheimhoudingsplicht geldt niet indien VERANTWOORDELIJKE uitdrukkelijk schriftelijk toestemming heeft gegeven om de Persoonsgegevens aan een Derde te verstrekken, of een wettelijke verplichting bestaat om de Persoonsgegevens aan een Derde te verstrekken.

Artikel 4. Beveiliging Persoonsgegevens

  1. VERANTWOORDELIJKE zal in overeenstemming met de geldende wettelijke regels de beveiliging van de Persoonsgegevens waarborgen en daartoe passende technische en organisatorische maatregelen treffen.
  2. VERWERKER zal in overeenstemming met de geldende wettelijke regels technische en organisatorische maatregelen treffen, in stand houden en zo nodig aanpassen om een op het risico afgestemd beveiligingsniveau te waarborgen. Om hieraan te kunnen voldoen zal VERANTWOORDELIJKE VERWERKER informeren over de betrouwbaarheidseisen die op de verwerking van toepassing zijn en tijdig de benodigde informatie verstrekken in geval van wijzigingen in de verwerking van Persoonsgegevens.
  3. VERWERKER staat er niet voor in dat de beveiliging onder alle omstandigheden doeltreffend is. Indien een uitdrukkelijk omschreven beveiliging in de Verwerkersovereenkomst ontbreekt, zal Verwerker zich inspannen dat de beveiliging zal voldoen aan een niveau dat, gelet op de stand van de techniek, de gevoeligheid van de persoonsgegevens en de aan het treffen van de beveiliging verbonden kosten, niet onredelijk is.
  4. Indien VERANTWOORDELIJKE een beoordeling wenst uit te voeren van een beoogde verwerkingsactiviteit in het kader van de uitvoering van de Overeenkomst zal VERWERKER alle redelijke medewerking verlenen om deze beoordeling in overeenstemming met de geldende wet- en regelgeving uit te kunnen voeren. Tevens zal VERWERKER alle redelijke medewerking verlenen indien een voorafgaande raadpleging van de AP nodig is op grond van de geldende privacywetgeving. VERANTWOORDELIJKE zal VERWERKER de in dit kader gemaakte redelijke kosten, vergoeden.
  5. In Bijlage 2 zijn de afspraken tussen Partijen vastgelegd over de concrete technische en organisatorische beveiligingsmaatregelen die VERWERKER treft. Deze maatregelen worden periodiek geëvalueerd en indien nodig aangepast. Verwerkingsverantwoordelijke erkent dat zij de in Bijlage 2 opgenomen afspraken voldoende acht voor een passende beveiliging van de Persoonsgegevens in overeenstemming met de geldende wettelijke  verplichtingen.

Artikel 5. Controle

  1. In geval van een onderzoek door de AP of een andere bevoegde autoriteit zal VERWERKER alle redelijke medewerking verlenen en VERANTWOORDELIJKE zo snel mogelijk informeren. De kosten van de audit worden door VERANTWOORDELIJKE gedragen.

Artikel 6. Beveiligingsincidenten

  1. VERWERKER informeert VERANTWOORDELIJKE onverwijld nadat VERWERKER kennis heeft genomen van een Beveiligingsincident met betrekking tot de verwerking van de Persoonsgegevens.
  2. In geval van een Beveiligingsincident zal VERWERKER alle redelijke maatregelen treffen om de gevolgen van het incident te beperken en/of een nieuw incident te voorkomen. VERWERKER zal alle medewerking verlenen aan VERANTWOORDELIJKE om het beveiligingsincident te beoordelen en te kunnen voldoen aan haar eventuele wettelijke meldplicht en haar eventuele plicht tot het informeren van Betrokkenen.
  3. Partijen leggen hun afspraken over de informatie-uitwisseling in verband met incidenten vast in een “Procedure Meldplicht Datalekken” in Bijlage 3. Deze bijlage kan ten allen tijde in overleg door Partijen worden gewijzigd. De bijlage zal in ieder geval worden aangepast indien de regelgeving omtrent de Meldplicht Datalekken of de uitleg daarvan wijzigt.
  4. In geval van een Beveiligingsincident bij VERWERKER dat leidt tot een meldplicht of een informatieplicht voor VERANTWOORDELIJKE, zal de melding of de informatieverstrekking in overleg met VERWERKER door VERANTWOORDELIJKE worden verricht. Partijen zullen in goed overleg afspraken maken over de verdeling van de kosten die daarmee zijn gemoeid.

Artikel 7. Verzoeken van Betrokkenen

  1. Indien VERWERKER een verzoek of bezwaar van een Betrokkene ontvangt, zoals een verzoek om informatie, inzage, rectificatie, gegevenswissing, verwerkingsbeperking, overdracht van de Persoonsgegevens, stuurt VERWERKER dat verzoek onmiddellijk door naar VERANTWOORDELIJKE.
  2. VERWERKER verleent VERANTWOORDELIJKE alle redelijke medewerking om ervoor te zorgen dat VERANTWOORDELIJKE binnen de wettelijke termijnen kan voldoen aan de verplichtingen op grond van de geldende wet- en regelgeving. De redelijke kosten voor deze medewerking zullen door VERANTWOORDELIJKE aan VERWERKER worden vergoed.

Artikel 8. Sub-verwerkers

  1. VERWERKER heeft bij de verwerking van de Persoonsgegevens de mogelijkheid om, Subverwerkers in te schakelen.
  2. VERWERKER zal met de door haar ingeschakelde Sub-verwerkers een overeenkomst sluiten die in overeenstemming is met de relevante wet- en regelgeving en deze Verwerkersovereenkomst. VERWERKER zal in ieder geval iedere Sub-VERWERKER contractueel de geheimhoudingsverplichtingen, meldingsverplichtingen en
    beveiligingsmaatregelen na laten leven met betrekking tot de verwerking van de Persoonsgegevens.

Artikel 9. Toegang tot de Persoonsgegevens

  1. De zeggenschap over de Persoonsgegevens blijft volledig berusten bij VERANTWOORDELIJKE. Op verzoek van VERANTWOORDELIJKE en tegen vergoeding van de redelijke kosten zal VERWERKER alle of een gedeelte van de Persoonsgegevens in gangbaar formaat ter beschikking stellen aan VERANTWOORDELIJKE.
  2. VERWERKER zal ervoor zorgdragen dat VERANTWOORDELIJKE te allen tijde toegang behoudt tot de Persoonsgegevens en zal in geval van een geschil tussen Partijen deze toegang niet blokkeren.

Artikel 10. Aansprakelijkheid en vrijwaring

  1. De aansprakelijkheid van Verwerker voor schade als gevolg van een toerekenbare tekortkoming in de nakoming van de Verwerkersovereenkomst, dan wel uit onrechtmatige daad of anderszins, is uitgesloten. Voor zover voornoemde aansprakelijkheid niet kan worden uitgesloten is deze per gebeurtenis (een reeks opeenvolgende gebeurtenissen geldt als één gebeurtenis) beperkt tot de vergoeding van directe schade, tot maximaal het bedrag van de door Verwerker ontvangen vergoedingen voor de werkzaamheden onder deze Verwerkersovereenkomst over de maand voorafgaande aan de schadeveroorzakende gebeurtenis. De aansprakelijkheid van Verwerker voor directe schade zal in totaal nooit meer bedragen dan het bedrag aan ontvangen vergoedingen voor de werkzaamheden onder de Verwerkersovereenkomst over de drie maanden voorafgaand aan de schadeveroorzakende gebeurtenis.
  2. Onder directe schade wordt uitsluitend verstaan alle schade bestaande uit:
    • schade direct toegebracht aan stoffelijke zaken (“zaakschade”);
    • redelijke en aantoonbare kosten om de Verwerker er toe te manen de Verwerkersovereenkomst (weer) deugdelijk na te komen;
    • redelijke kosten ter vaststelling van de oorzaak en de omvang van de schade voor zover betrekking hebbende op de directe schade zoals hier bedoeld is; en
    • redelijke en aantoonbare kosten die Verwerkingsverantwoordelijke heeft gemaakt ter voorkoming of beperking van de directe schade zoals in dit artikel bedoeld.
  3. De aansprakelijkheid van Verwerker voor indirecte schade is uitgesloten. Onder indirecte schade wordt verstaan alle schade die geen directe schade is en daarmee in ieder geval, maar niet beperkt tot, gevolgschade, gederfde winst, gemiste besparingen, verminderde goodwill, schade door bedrijfsstagnatie, schade door het niet bepalen van marketingdoeleinden, schade verband houdende met het gebruik van door Verwerkingsverantwoordelijke voorgeschreven gegevens of databestanden, of verlies, verminking of vernietiging van gegevens of databestanden.
  4. De in dit artikel bedoelde uitsluitingen en beperkingen komen te vervallen indien en voor zover de schade het gevolg is van opzet of bewuste roekeloosheid van Verwerker of haar bedrijfsleiding.
  5. Tenzij nakoming door Verwerker blijvend onmogelijk is, ontstaat de aansprakelijkheid van Verwerker wegens toerekenbare tekortkoming in de nakoming van de Overeenkomst slechts indien Verwerkingsverantwoordelijke de Verwerker onverwijld schriftelijk in gebreke stelt, waarbij een redelijke termijn voor de zuivering van de tekortkoming wordt gesteld, en Verwerker ook na die termijn toerekenbaar blijft tekortschieten in de nakoming van haar verplichtingen. De ingebrekestelling dient een zo volledig en gedetailleerd mogelijke omschrijving van de tekortkoming te bevatten, opdat Verwerker in de gelegenheid wordt gesteld adequaat te reageren.
  6. Iedere vordering tot schadevergoeding door Verwerkingsverantwoordelijke tegen Verwerker die niet gespecificeerd en expliciet is gemeld, vervalt door het enkele verloop van twaalf (12) maanden na het ontstaan van de vordering.

Artikel 12. Duur en beëindiging

  1. Deze Verwerkersovereenkomst treedt in werking op de datum van ondertekening en eindigt van rechtswege bij beëindiging van de Overeenkomst en bij gebreke daarvan voor de duur van de (verdere) samenwerking.. Verplichtingen met een duurkarakter blijven tussen partijen in stand, zoals de geheimhoudingsverplichting uit artikel 4 van de Verwerkersovereenkomst.
  2. VERWERKER zal bij beëindiging van de Overeenkomst op verzoek van VERANTWOORDELIJKE en tegen vergoeding van de redelijke kosten de Persoonsgegevens in een gangbaar formaat ter beschikking stellen aan VERANTWOORDELIJKE of aan een door VERANTWOORDELIJKE aangewezen Derde.
  3. VERWERKER zal na overdracht van de Persoonsgegevens aan VERANTWOORDELIJKE de nog aanwezige Persoonsgegevens vernietigen, tenzij een langere opslag wettelijk verplicht is. VERWERKER zal tevens zorgdragen voor vernietiging van de Persoonsgegevens bij de Subverwerkers.

Artikel 13. Wijziging Verwerkersovereenkomst

  1. Bij wijzigingen in de Diensten, regelgeving of andere relevante omstandigheden die van invloed zijn op de verwerking van de Persoonsgegevens, zullen Partijen in overleg treden over een eventueel benodigde wijziging van de Verwerkersovereenkomst. De wijzigingen in de tekst van deze Verwerkersovereenkomst kunnen uitsluitend  schriftelijk door de bevoegde vertegenwoordigers van Partijen worden overeengekomen.
  2. Wijzigingen in de Bijlagen kunnen door Partijen op ieder moment schriftelijk worden gedaan onder vermelding van het versienummer en de datum van ingang van de nieuwe versie.

Artikel 14. Toepasselijk recht / Bevoegde rechter

  1. Op deze Verwerkersovereenkomst is uitsluitend Nederlands recht van toepassing.
  2. Alle geschillen die ontstaan naar aanleiding van deze Verwerkersovereenkomst worden beslecht op dezelfde wijze als opgenomen in de Overeenkomst.
  3. Logs en gedane metingen door Verwerker geleden als dwingend bewijs, behoudens tegenbewijs te leveren door VERANTWOORDELIJKE.

BIJLAGE 1

Producten en diensten
Deze verwerkersovereenkomst is van toepassing op alle producten en diensten van VERWERKER
waaronder:

  • ICT Beheer
  • Webhosting
  • Domeinnaam registratie
  • E-mail hosting

Aard en doel van de verwerking

De aard van de verwerking is het opslaan van data en beschikbaar stellen voor gebruik aan
VERANTWOORDELIJKE, o.a. door middel van de producten en diensten zoals beschreven in Bijlage 1

Contactgegevens
Voor vragen of opmerkingen over de Verwerkersovereenkomst en Bijlagen is de contactpersoon van
VERWERKER:
Sander Brouwer (support@avalon-it.nl)

BIJLAGE 2

Omschrijving van de technische en organisatorische beveiligingsmaatregelen die door de VERWERKER zijn geïmplementeerd

Zoals opgenomen in artikel 4 worden hieronder de afspraken tussen partijen vastgelegd over de concrete technische en organisatorische beveiligingsmaatregelen. De getroffen maatregelen zijn opgenomen in deze bijlage en worden aangevuld of gewijzigd indien dat nodig is. VERANTWOORDELIJKE acht genoemde maatregelen passend voor de Verwerking van de Persoonsgegevens.

A. Maatregelen van verwerker om te zorgen dat uitsluitend bevoegd personeel van VERWERKER toegang heeft tot de Persoonsgegevens:
Toegang tot persoonsgegevens is beperkt tot medewerkers van VERWERKER waarvoor autorisatie benodigd is voor uitvoering van de werkzaamheden.

B. Maatregelen om de Persoonsgegevens te beschermen tegen verlies of wijziging en tegen onbevoegde of onrechtmatige verwerking, toegang of openbaarmaking:
VERWERKER voorziet in beveiligde toegang tot persoonsgegevens van VERANTWOORDELIJKE d.m.v. zgn. encrypted verbindingen en authenticatie.

C. Maatregelen voor opsporen van zwakke plekken en incidentenbeheer:
De dienstverlening van VERWERKER voorziet in incidentenbeheer en regulier systeem- en netwerkbeheer.