VERWERKERSOVEREENKOMST ARVID.NL

Deze verwerkersovereenkomst is van toepassing op alle vormen van verwerking van persoonsgegevens die Arvid de Jong, handelend onder ARVID.NL, gevestigd aan de Koningin Maximalaan 44, 1787 DA te Julianadorp en ingeschreven bij de Kamer van Koophandel onder nummer 60299703, uitvoert ten behoeve van een klant of wederpartij aan wie diensten worden geleverd, hierna te noemen: de verwerkingsverantwoordelijke.

Artikel 1. Doeleinden van verwerking

1.1. ARVID.NL verwerkt persoonsgegevens uitsluitend in opdracht van verwerkingsverantwoordelijke en alleen voor zover dat noodzakelijk is voor de levering, het beheer, het onderhoud, de ondersteuning en de beveiliging van de overeengekomen diensten.

1.2. Verwerking vindt uitsluitend plaats in het kader van de uitvoering van de hoofdovereenkomst, daarmee redelijkerwijs samenhangende werkzaamheden en eventuele aanvullende schriftelijke instructies van verwerkingsverantwoordelijke, voor zover deze verenigbaar zijn met de dienstverlening van ARVID.NL.

1.3. De categorieën persoonsgegevens en betrokkenen waarop deze verwerkersovereenkomst ziet, zijn opgenomen in Bijlage 1. Verwerkingsverantwoordelijke blijft verantwoordelijk voor de juistheid, rechtmatigheid en proportionaliteit van de aangeleverde gegevens.

1.4. De in opdracht van verwerkingsverantwoordelijke te verwerken persoonsgegevens blijven eigendom van verwerkingsverantwoordelijke en/of de betreffende betrokkenen.

Artikel 2. Verplichtingen van ARVID.NL

2.1. ARVID.NL neemt bij de verwerking van persoonsgegevens de toepasselijke wet- en regelgeving in acht, waaronder de Algemene Verordening Gegevensbescherming.

2.2. ARVID.NL informeert verwerkingsverantwoordelijke op verzoek over de getroffen technische en organisatorische maatregelen, voor zover dat redelijkerwijs van ARVID.NL kan worden verlangd en geen vertrouwelijke beveiligingsinformatie van andere klanten of systemen prijsgeeft.

2.3. Personen die onder verantwoordelijkheid van ARVID.NL persoonsgegevens verwerken, zijn gehouden aan passende geheimhoudingsverplichtingen.

2.4. Indien ARVID.NL van oordeel is dat een instructie van verwerkingsverantwoordelijke in strijd is met toepasselijke privacywetgeving of met de overeengekomen dienstverlening, zal ARVID.NL dit zo spoedig mogelijk melden.

2.5. ARVID.NL verleent, voor zover redelijkerwijs mogelijk en passend binnen de dienstverlening, medewerking aan verzoeken rond gegevensbeschermingseffectbeoordelingen en andere privacyverplichtingen van verwerkingsverantwoordelijke.

2.6. Voor zover wettelijk vereist houdt ARVID.NL een register bij van de categorieën verwerkingsactiviteiten die in opdracht van verwerkingsverantwoordelijke worden verricht.

Artikel 3. Doorgifte van persoonsgegevens

3.1. ARVID.NL verwerkt persoonsgegevens in beginsel binnen de Europese Unie of de Europese Economische Ruimte.

3.2. Indien doorgifte buiten de Europese Unie of EER noodzakelijk is voor de uitvoering van de dienstverlening, mag ARVID.NL dit uitsluitend doen met inachtneming van de daarvoor geldende wettelijke waarborgen.

Artikel 4. Verdeling van verantwoordelijkheid

4.1. Verwerkingsverantwoordelijke bepaalt het doel van en de middelen voor de verwerking van persoonsgegevens. ARVID.NL verwerkt persoonsgegevens uitsluitend namens verwerkingsverantwoordelijke en volgens diens instructies, voor zover die passen binnen de overeengekomen dienstverlening.

4.2. Verwerkingsverantwoordelijke blijft verantwoordelijk voor de rechtmatige grondslag van de verwerking, de inhoud van de persoonsgegevens, de informatieverstrekking aan betrokkenen en de beoordeling of een bepaalde verwerking is toegestaan.

4.3. ARVID.NL is niet verantwoordelijk voor verwerkingen die plaatsvinden buiten haar systemen of buiten de overeengekomen dienstverlening, waaronder verwerkingen door verwerkingsverantwoordelijke zelf of door door hem ingeschakelde derden.

Artikel 5. Inschakelen van derden en subverwerkers

5.1. Verwerkingsverantwoordelijke verleent ARVID.NL hierbij een algemene toestemming om derden of subverwerkers in te schakelen, voor zover dat redelijkerwijs noodzakelijk is voor hosting, infrastructuur, beveiliging, back-up, e-mail, monitoring, support of andere onderdelen van de dienstverlening.

5.2. ARVID.NL draagt er zorg voor dat dergelijke subverwerkers contractueel worden verplicht tot een passend niveau van bescherming van persoonsgegevens dat in essentie gelijkwaardig is aan deze verwerkersovereenkomst.

5.3. Op redelijk verzoek kan ARVID.NL aangeven van welke categorieën subverwerkers gebruik wordt gemaakt. ARVID.NL is niet verplicht overeenkomsten met subverwerkers integraal te verstrekken wanneer daarin vertrouwelijke bedrijfsinformatie is opgenomen.

Artikel 6. Beveiliging

6.1. ARVID.NL treft passende technische en organisatorische maatregelen om persoonsgegevens te beveiligen tegen verlies en onrechtmatige verwerking, rekening houdend met de stand van de techniek, de aard van de dienstverlening, de gevoeligheid van de gegevens en de daaraan verbonden kosten.

6.2. ARVID.NL geeft geen absolute garantie dat de beveiliging onder alle omstandigheden doeltreffend is. Verwerkingsverantwoordelijke erkent dat informatiebeveiliging afhankelijk is van meerdere factoren, waaronder correct gebruik van systemen, actueel beheer en zorgvuldig gebruikersgedrag.

6.3. Verwerkingsverantwoordelijke zal alleen persoonsgegevens aan ARVID.NL verstrekken indien zij zich ervan heeft vergewist dat dit noodzakelijk en toegestaan is en dat de overeengekomen maatregelen passend zijn voor het beoogde gebruik.

Artikel 7. Meldplicht datalekken

7.1. Verwerkingsverantwoordelijke is verantwoordelijk voor de beoordeling of een beveiligingsincident aan de toezichthouder of betrokkenen moet worden gemeld.

7.2. ARVID.NL zal verwerkingsverantwoordelijke zonder onredelijke vertraging informeren zodra zij kennis heeft genomen van een datalek dat betrekking heeft op door haar namens verwerkingsverantwoordelijke verwerkte persoonsgegevens.

7.3. Voor zover beschikbaar zal ARVID.NL daarbij informatie verstrekken over de aard van het incident, de vermoedelijke impact en de reeds genomen of voorgestelde beheersmaatregelen.

7.4. ARVID.NL documenteert datalekken voor zover en op de wijze zoals wettelijk vereist.

Artikel 8. Verzoeken van betrokkenen

8.1. Indien ARVID.NL een verzoek van een betrokkene ontvangt met betrekking tot persoonsgegevens die namens verwerkingsverantwoordelijke worden verwerkt, zal ARVID.NL dit verzoek doorgeleiden naar verwerkingsverantwoordelijke, tenzij ARVID.NL wettelijk tot een andere handelwijze verplicht is.

Artikel 9. Geheimhouding en vertrouwelijkheid

9.1. Op alle persoonsgegevens die ARVID.NL van verwerkingsverantwoordelijke ontvangt of in diens opdracht verwerkt, rust een geheimhoudingsplicht.

9.2. Deze geheimhoudingsplicht geldt niet voor zover verstrekking noodzakelijk is voor de uitvoering van de overeenkomst, wettelijk verplicht is of met toestemming van verwerkingsverantwoordelijke plaatsvindt.

Artikel 10. Audit

10.1. Verwerkingsverantwoordelijke mag, uitsluitend bij een concreet en onderbouwd vermoeden van niet-naleving, een audit laten uitvoeren met betrekking tot de naleving van deze verwerkersovereenkomst.

10.2. Een audit wordt minimaal 30 dagen vooraf schriftelijk aangekondigd, vindt plaats tijdens reguliere kantooruren en mag de bedrijfsvoering van ARVID.NL niet onredelijk verstoren.

10.3. ARVID.NL mag een audit vervangen door het verstrekken van relevante auditrapporten, certificeringen of andere objectieve informatie, indien daarmee redelijkerwijs in dezelfde informatiebehoefte wordt voorzien.

10.4. De kosten van de audit, inclusief interne tijdsbesteding van ARVID.NL voor aanvullende ondersteuning die buiten normale medewerking valt, komen voor rekening van verwerkingsverantwoordelijke.

Artikel 11. Aansprakelijkheid

11.1. De aansprakelijkheid van ARVID.NL in het kader van deze verwerkersovereenkomst is beperkt tot directe schade en bedraagt per gebeurtenis maximaal het bedrag dat in de drie maanden voorafgaand aan de schadeveroorzakende gebeurtenis voor de betreffende dienstverlening aan verwerkingsverantwoordelijke is gefactureerd, met een absoluut maximum van €500.

11.2. Onder directe schade vallen uitsluitend redelijke kosten ter vaststelling van schade en aansprakelijkheid, redelijke kosten ter beperking van directe schade en redelijke kosten om de tekortkoming van ARVID.NL ongedaan te maken, voor zover deze aan ARVID.NL kunnen worden toegerekend.

11.3. Indirecte schade, gevolgschade, gederfde winst, verlies van data, reputatieschade en claims van derden zijn uitgesloten, tenzij sprake is van opzet of bewuste roekeloosheid van de bedrijfsleiding van ARVID.NL.

11.4. Iedere aanspraak op schadevergoeding vervalt indien verwerkingsverantwoordelijke ARVID.NL niet onverwijld en zo volledig mogelijk schriftelijk in gebreke stelt en geen redelijke termijn biedt om de tekortkoming te herstellen, tenzij nakoming blijvend onmogelijk is.

11.5. Iedere vordering vervalt uiterlijk twaalf maanden nadat verwerkingsverantwoordelijke bekend is geworden met de schade en de mogelijke aansprakelijkheid van ARVID.NL.

Artikel 12. Duur en beëindiging

12.1. Deze verwerkersovereenkomst geldt zolang ARVID.NL in opdracht van verwerkingsverantwoordelijke persoonsgegevens verwerkt in het kader van de hoofdovereenkomst.

12.2. Na beëindiging van de dienstverlening zal ARVID.NL persoonsgegevens verwijderen of ontoegankelijk maken, tenzij opslag wettelijk verplicht is of voor een redelijke overgangs- of back-uptermijn technisch noodzakelijk blijft.

12.3. Indien verwerkingsverantwoordelijke tijdig vóór beëindiging verzoekt om teruggave van persoonsgegevens, zal ARVID.NL hieraan meewerken voor zover dat technisch mogelijk is en binnen de overeengekomen dienstverlening valt. Extra werkzaamheden mogen apart in rekening worden gebracht.

12.4. ARVID.NL mag deze verwerkersovereenkomst actualiseren wanneer wetgeving, dienstverlening of subverwerkersstructuur daarom vraagt. Materiële wijzigingen worden tijdig gecommuniceerd.

Artikel 13. Toepasselijk recht en geschillen

13.1. Op deze verwerkersovereenkomst is Nederlands recht van toepassing.

13.2. Geschillen worden voorgelegd aan de bevoegde rechter in het arrondissement waar ARVID.NL is gevestigd, tenzij dwingend recht anders bepaalt.

Bijlage 1. Specificatie persoonsgegevens en betrokkenen

Persoonsgegevens

• e-mailadres;
• telefoonnummer;
• NAW-gegevens;
• financiële en administratieve gegevens voor zover noodzakelijk voor facturatie of dienstverlening.

Categorieën betrokkenen

• klanten en contactpersonen van verwerkingsverantwoordelijke.

Verwerkingsverantwoordelijke staat ervoor in dat de in deze bijlage omschreven persoonsgegevens en categorieën betrokkenen volledig, juist en rechtmatig zijn en vrijwaart ARVID.NL voor aanspraken die voortvloeien uit een onjuiste of onrechtmatige aanlevering.