Overeenkomst gegevensverwerking

Artikel 1. Doeleinden van verwerking

1. De Verwerker stemt er hierbij onder de voorwaarden van deze Gegevensverwerkingsovereenkomst mee in om persoonsgegevens te verwerken in opdracht van de Verwerkingsverantwoordelijke. De verwerking vindt uitsluitend plaats voor het opslaan van gegevens in de ‘cloud’ ten behoeve van de Verwerkingsverantwoordelijke en bijbehorende online diensten, en alle doeleinden die daarmee verenigbaar zijn of die in overeenstemming met de Verwerkingsverantwoordelijke worden bepaald.
2. De door Verwerker te verwerken persoonsgegevens voor de in de vorige bepaling genoemde doeleinden en de categorieën van betrokkenen zijn opgenomen in Bijlage 1 bij deze Verwerkersovereenkomst. Verwerker zal geen persoonsgegevens verwerken voor een ander doel dan door Verwerkingsverantwoordelijke is bepaald.
3. Verwerkingsverantwoordelijke zal Verwerker op de hoogte stellen van verwerkingsdoeleinden voor zover deze niet reeds in deze Verwerkersovereenkomst zijn vermeld.
   De in opdracht van Verwerkingsverantwoordelijke verwerkte persoonsgegevens blijven eigendom van Verwerkingsverantwoordelijke en/of betrokkenen.

Artikel 2. Verplichtingen van de verwerker

1. Ten aanzien van de in artikel 1 genoemde verwerkingen zal Verwerker voldoen aan alle toepasselijke wet- en regelgeving , waaronder in ieder geval alle wetgeving op het gebied van gegevensbescherming zoals de General Data Protection Regulation (GDPR).
2. Op eerste verzoek zal Verwerker Verwerkingsverantwoordelijke informeren over alle maatregelen die zijn genomen om te voldoen aan haar verplichtingen op grond van deze Gegevensverwerkingsovereenkomst.
3. Alle verplichtingen voor Verwerker uit hoofde van deze Verwerkersovereenkomst zijn van overeenkomstige toepassing op alle personen die persoonsgegevens verwerken onder toezicht van Verwerker, met inbegrip van maar niet beperkt tot werknemers in de ruimste zin van het woord.
4. Verwerker stelt Verwerkingsverantwoordelijke onverwijld op de hoogte indien een instructie van Verwerkingsverantwoordelijke naar zijn mening in strijd zou zijn met de in artikel 1 genoemde wetgeving.
5. Verwerker verleent, binnen haar macht, bijstand aan Verwerkingsverantwoordelijke ten behoeve van door Verwerkingsverantwoordelijke uit te voeren effectbeoordelingen op het gebied van gegevensbescherming.
6. Verwerker houdt, in overeenstemming met artikel 30 GDPR, een register bij van alle categorieën van verwerkingsactiviteiten die hij namens de Verwerkingsverantwoordelijke uitvoert op grond van deze Gegevensverwerkingsovereenkomst. Op verzoek van de Verwerkingsverantwoordelijke verleent de Verwerker de Verwerkingsverantwoordelijke toegang tot dit register.

Artikel 3. Doorgifte van persoonsgegevens

1. 1Verwerker mag de persoonsgegevens verwerken in elk land binnen de Europese Unie.
2. Overdracht naar landen buiten de Europese Unie is niet toegestaan.
   Artikel 4. Toewijzing van verantwoordelijkheden
3. De Verwerker zal ten behoeve van de verwerking ICT-middelen ter beschikking stellen die door de Verwerkingsverantwoordelijke voor bovengenoemde doeleinden kunnen worden gebruikt. Personeel van de Verwerker zal de verwerking van gegevens alleen uitvoeren op basis van een afzonderlijke overeenkomst.
4. Verwerker is uitsluitend verantwoordelijk voor de verwerking van persoonsgegevens onder deze Verwerkersovereenkomst in overeenstemming met de instructies van Verwerkingsverantwoordelijke en onder uitdrukkelijk toezicht van Verwerkingsverantwoordelijke. Voor elke andere verwerking van persoonsgegevens, waaronder maar niet beperkt tot het verzamelen van persoonsgegevens door Verwerkingsverantwoordelijke, verwerking voor doeleinden die niet bij Verwerker zijn gemeld, verwerking door derden en/of voor andere doeleinden, aanvaardt Verwerker uitdrukkelijk geen enkele verantwoordelijkheid.
5. De Verwerkingsverantwoordelijke verklaart en garandeert dat de inhoud, het gebruik en de instructies voor het verwerken van de persoonsgegevens zoals bedoeld in deze Verwerkersovereenkomst rechtmatig zijn en geen inbreuk maken op enig recht van derden.

Artikel 5. Betrokkenheid van subverwerkers

1. Verwerker zal derden betrekken bij de verwerking onder deze Gegevensverwerkingsovereenkomst op voorwaarde dat deze partijen vooraf worden gemeld aan de Verwerkingsverantwoordelijke; Verwerkingsverantwoordelijke kan bezwaar maken tegen een specifieke derde partij indien diens betrokkenheid redelijkerwijs onaanvaardbaar zou zijn voor Verwerkingsverantwoordelijke.
2. In ieder geval draagt Verwerker er zorg voor dat eventuele derden schriftelijk gebonden zijn aan ten minste dezelfde verplichtingen als tussen Verwerkingsverantwoordelijke en Verwerker zijn overeengekomen.
3. Verwerker verklaart en garandeert dat deze derden zullen voldoen aan de verplichtingen onder deze Gegevensverwerkingsovereenkomst en is aansprakelijk voor eventuele schade veroorzaakt door overtredingen van deze derden alsof hij de overtreding zelf heeft begaan.

Artikel 6. Veiligheid

1. De verwerker zal zich naar redelijkheid inspannen om passende technische en organisatorische maatregelen te treffen om een op het risico van de betrokken verwerkingen afgestemd beveiligingsniveau te waarborgen tegen verlies of onrechtmatige verwerking (in het bijzonder tegen vernietiging, hetzij per ongeluk, hetzij onrechtmatig, verlies, vervalsing, niet-toegelaten verspreiding van of toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens).
2. De verwerker implementeert ten minste de volgende specifieke beveiligingsmaatregelen:
   • Een veilig intern netwerk
   • Maatregelen voor fysieke toegangscontrole
   • Organisatorische maatregelen voor toegangscontrole
   • Logische toegangscontrole, met gebruik van: sterke wachtwoorden, MFA
   • Automatisch loggen van alle handelingen met persoonlijke gegevens
   • Steekproefsgewijze controles op naleving van het beleid
   • Doelgebonden toegangscontroles
   • Secure Socket Layer (SSL) technologie voor beveiliging van netwerkcommunicatie
   • Controles op verleende autorisaties
3. Verwerker garandeert niet dat de beveiliging onder alle omstandigheden effectief is. Indien een in deze Gegevensverwerkingsovereenkomst uitdrukkelijk overeengekomen beveiligingsmaatregel
   ontbreekt, dan zal Verwerker zich naar beste vermogen inspannen om een beveiligingsniveau
   te waarborgen dat passend is bij het risico, rekening houdend met de stand van de techniek van de huidige technologie, de gevoeligheid van de persoonsgegevens en dat de kosten van de implementatie van deze beveiliging niet onredelijk zijn.
4. Verwerkingsverantwoordelijke verstrekt alleen persoonsgegevens aan Verwerker voor verwerking als hij ervoor heeft gezorgd dat de vereiste beveiligingsmaatregelen zijn genomen. Verwerkingsverantwoordelijke is verantwoordelijk voor de naleving van deze beveiligingsmaatregelen door de partijen.
5. Processor begint in 2025 te werken volgens ISO 27001. Op dit moment vindt ISO-certificering plaats en worden maatregelen genomen om gecertificeerd te worden.
   Deze normen worden geacht te voldoen aan de eisen voor informatiebeveiliging gezien de huidige stand van de techniek.

Artikel 7. Kennisgeving en melding van datalekken

1. De Verwerkingsverantwoordelijke is te allen tijde verantwoordelijk voor het melden van inbreuken op de beveiliging en/of inbreuken op persoonsgegevens (gedefinieerd als: een inbreuk op de beveiliging die leidt tot de onopzettelijke of onwettige vernietiging, het verlies, de wijziging, de ongeoorloofde bekendmaking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens) aan de bevoegde toezichthoudende autoriteit, en voor het meedelen hiervan aan de betrokken partijen. Teneinde Verwerkingsverantwoordelijke in staat te stellen aan deze wettelijke verplichting te voldoen, stelt Verwerker Verwerkingsverantwoordelijke binnen een redelijke termijn nadat hij zich bewust is geworden van een werkelijke of dreigende inbreuk op de beveiliging of persoonsgegevens op de hoogte.
2. Een kennisgeving volgens de vorige clausule moet te allen tijde worden gedaan, maar alleen voor daadwerkelijke overtredingen.
3. De kennisgeving bevat ten minste het feit dat er een inbreuk heeft plaatsgevonden. Bovendien moet de kennisgeving:
   • beschrijf de aard van de inbreuk in verband met persoonsgegevens, inclusief, waar mogelijk, de categorieën en bij benadering het aantal betrokkenen en de categorieën en bij benadering het aantal betrokken persoonsgegevens;
   • de naam en contactgegevens van de functionaris voor gegevensbescherming of een ander contactpunt waar informatie kan worden verkregen.
   • beschrijf de waarschijnlijke gevolgen van de inbreuk in verband met persoonsgegevens;
   • de maatregelen beschrijven die de Verwerkingsverantwoordelijke heeft genomen of voornemens is te nemen om de inbreuk in verband met persoonsgegevens aan te pakken, waaronder, indien van toepassing, maatregelen om de mogelijke negatieve gevolgen te beperken.
4. Verwerker documenteert alle datalekken in overeenstemming met artikel 33.5 GDPR, met inbegrip van de feiten met betrekking tot de inbreuken op persoonsgegevens, de gevolgen daarvan en de maatregelen die zijn genomen om de respectieve inbreuk te corrigeren. Op verzoek van Verwerkingsverantwoordelijke verleent Verwerker hiertoe toegang.

Artikel 8. Verwerking van verzoeken van betrokken partijen

1. Indien een betrokkene een verzoek tot uitoefening van zijn of haar wettelijke rechten op grond van de GDPR (artikelen 15-22) doet aan Verwerker, geeft Verwerker dit verzoek door aan Verwerkingsverantwoordelijke en zal Verwerkingsverantwoordelijke het verzoek verwerken. Verwerker kan de betrokkene informeren.

Artikel 9. Geheimhoudings- en vertrouwelijkheidsverplichtingen

1. Alle persoonsgegevens die Verwerker ontvangt van Verwerkingsverantwoordelijke en/of zelf verzamelt in het kader van deze Verwerkersovereenkomst, zijn onderworpen aan strikte geheimhoudingsverplichtingen jegens derden. Verwerker zal deze gegevens niet gebruiken voor een ander doel dan waarvoor ze zijn verkregen, ook niet als de gegevens zijn omgezet in een vorm die niet meer gerelateerd is aan een geïdentificeerde of identificeerbare natuurlijke persoon.
2. De geheimhoudingsplicht geldt niet voor zover Controller uitdrukkelijk toestemming heeft verleend om de informatie aan derden te verstrekken, de verstrekking aan derden redelijkerwijs noodzakelijk is gezien de aard van de opdracht aan Controller of de verstrekking wettelijk verplicht is.

Artikel 10. Controle

1. De Verwerkingsverantwoordelijke heeft het recht om audits uit te voeren bij de Verwerker door middel van een onafhankelijke derde partij die gebonden is aan geheimhoudingsverplichtingen om de naleving van de beveiligingseisen, de naleving van de regels voor gegevensverwerking en alle kwesties die daar redelijkerwijs mee verband houden, te controleren.
2. Deze audit kan worden uitgevoerd in het geval van een gegronde beschuldiging van misbruik van persoonsgegevens.
3. Verwerker verleent zijn volledige medewerking aan de audit en stelt werknemers en alle redelijkerwijs relevante informatie ter beschikking, inclusief ondersteunende gegevens zoals systeemlogs.
4. De auditbevindingen worden door Verwerker beoordeeld en geïmplementeerd indien en voor zover Verwerker dit redelijk acht.
5. De kosten van de audit zijn voor rekening van Verwerker indien uit de audit blijkt dat er sprake is van aan Verwerker toe te rekenen afwijkingen met de onderwerpen van lid 1 van dit artikel. In alle andere gevallen komen de kosten van de audit voor rekening van Verwerkingsverantwoordelijke.

Artikel 11. Aansprakelijkheid

1. Partijen komen uitdrukkelijk overeen dat elke aansprakelijkheid die ontstaat in verband met de verwerking van persoonsgegevens zal zijn zoals bepaald in de Overeenkomst.

Artikel 12. Duur en beëindiging

1. Deze Overeenkomst Gegevensverwerking treedt in werking door het bestellen van een Dienst of Aanvullende Dienst via bijvoorbeeld de Connect Your Hosting website of e-mail.
2. Deze Gegevensverwerkingsovereenkomst is aangegaan voor de duur zoals gespecificeerd in de Hoofdovereenkomst tussen Partijen, en bij gebreke daarvan in ieder geval voor de duur van de samenwerking tussen Partijen.
3. Bij beëindiging van de Verwerkersovereenkomst, ongeacht de reden of wijze, zal Verwerker alle bij Verwerker aanwezige persoonsgegevens vernietigen en alle kopieën daarvan wissen of vernietigen, met uitzondering van gegevens die (tijdelijk) bewaard moeten blijven om te kunnen voldoen aan andere wettelijke bepalingen en verplichtingen.
4. Verwerker is gerechtigd deze Gegevensverwerkingsovereenkomst van tijd tot tijd te wijzigen. De Verwerker stelt de Verwerkingsverantwoordelijke ten minste 30 dagen voordat de wijzigingen van kracht worden op de hoogte van de wijzigingen. Verwerkingsverantwoordelijke kan opzeggen indien de wijzigingen onaanvaardbaar zijn voor Verwerkingsverantwoordelijke.

Artikel 13. Toepasselijk recht en bevoegde rechtbank

1. Op deze Gegevensverwerkingsovereenkomst en de uitvoering ervan is Nederlands recht van toepassing.
2. Eventuele geschillen die tussen partijen ontstaan in verband met deze Verwerkersovereenkomst zullen worden voorgelegd aan de bevoegde rechter voor de vestigingsplaats van Verwerker.

Bijlage 1: Vermelding van persoonsgegevens en betrokkenen

Persoonlijke gegevens

Verwerker zal onderstaande persoonsgegevens verwerken onder toezicht van Verwerkingsverantwoordelijke, zoals gespecificeerd in artikel 1 van de Verwerkersovereenkomst:

• Namen en adressen
• Telefoonnummers
• E-mailadressen
• Bezoekersgedrag
• IP-adressen
• Financiële gegevens
• Communicatie per e-mail

Van de volgende categorieën betrokken partijen:

• Klanten
• Rekeninghouders
• Leads en potentiële klanten

De Controller verklaart en garandeert dat de beschrijving van persoonsgegevens en categorieën betrokkenen in deze Bijlage 1 volledig en accuraat is, en vrijwaart Process voor alle fouten en claims die kunnen voortvloeien uit een schending van deze verklaring en garantie.