Verwerkersovereenkomst

Bureau Breij B.V. en AVG

AVG (Algemene Verordening Gegevensbescherming)

De inhoud van de op de AVG gegronde verwerkersovereenkomst

Door de van toepassing verklaring, via onze »  algemene voorwaarden, van de op de AVG gegronde verwerkersovereenkomst, komen opdrachtgever en Bureau Breij overeen:

Artikel 1. Definities

1. In de zin van AVG hebben de volgende met een hoofdletter geschreven termen de volgende betekenis:

AP: de Autoriteit Persoonsgegevens;

AVG: de Algemene Verordening Gegevensbescherming;

Datalek: een inbreuk op de beveiliging van Persoonsgegevens die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens

Overeenkomst: de tussen Verantwoordelijke en Verwerker gesloten overeenkomst, van toepassing verklaard via onze algemene voorwaarden, op grond waarvan Verwerker voor Verantwoordelijke Persoonsgegevens zal Verwerken;

Persoonsgegevens: alle gegevens die direct of indirect herleidbaar zijn tot een natuurlijk persoon als bedoeld in artikel 4 aanhef en onder 1 AVG;

Verwerken: het verwerken van Persoonsgegevens als bedoeld in artikel 4 aanhef en onder 2 AVG;

Verwerkersovereenkomst: de onderhavige overeenkomst welke deel uitmaakt van de Overeenkomst, van toepassing verklaard via onze algemene voorwaarden;

Verwerking: de verwerking van Persoonsgegevens door Verwerker voor de Verantwoordelijke op basis van de Overeenkomst, van toepassing verklaard via onze algemene voorwaarden;

2. Ten aanzien van de verwerking van Persoonsgegevens gaan de bepalingen uit deze Verwerkersovereenkomst, van toepassing verklaard via onze algemene voorwaarden, altijd voor op enige andere uitleg.

Artikel 2. Verantwoordelijke voor en Verwerker van de gegevens

1. Verwerker verwerkt in opdracht van de Verantwoordelijke Persoonsgegevens bij de uitvoering van de Overeenkomst. Op deze Verwerking zijn de bepalingen uit deze Verwerkersovereenkomst van toepassing.

2. De Verwerking heeft betrekking tot de volgende categorieën van betrokkenen:

- van de opdrachtgever zelf;

3. De verwerking vindt plaats voor de volgende doeleinden en betreft de volgende categorieën van persoonsgegevens:

(juridische) dienstverlening, klantenbeheer en/of financiële activiteiten.

Doeleinden: Incasso van de openstaande (huur)schuld of belangenbehartiging in een gerezen juridisch geschil met de huurder.

Categorieën van persoonsgegevens: NAW-gegevens, handelsnamen, rekeningnummers, e-mailadressen, telefoon- en faxnummers.

Verwerker verwerkt de Persoonsgegevens alleen ten behoeve van de in deze Verwerkersovereenkomst en/of de Overeenkomst genoemde activiteiten. Verwerker zal niet op enige andere wijze gebruik maken van de Persoonsgegevens, tenzij de Verantwoordelijke daarvoor uitdrukkelijk en schriftelijk toestemming heeft gegeven, of een wettelijke bepaling de Verwerker daartoe verplicht. In dat geval laat de Verwerker de Verantwoordelijke, voorafgaand aan de Verwerking, weten om welk wettelijk voorschrift het gaat, tenzij die wetgeving zich daartegen verzet.

Artikel 3. Algemene zorgplicht Verwerker

1. Verwerker zorgt voor de naleving van deze Verwerkersovereenkomst en de wettelijke regels (zoals de AVG) die op Verwerker van toepassing zijn. Als Verantwoordelijke daarom vraagt, zal Verwerker Verantwoordelijke informeren over de acties en maatregelen die Verwerker heeft genomen in het kader van deze algemene zorgplicht van Verwerker.

Artikel 4. Technische en organisatorische voorzieningen

1. Verwerker zal passende technische en organisatorische maatregelen (laten) nemen om Persoonsgegevens te beveiligen tegen verlies of onrechtmatige Verwerking. Verwerker moet er hierbij voor zorgdragen dat het beveiligingsniveau is afgestemd op de risico's. Daarbij zal rekening worden gehouden met de stand van de techniek en de kosten van de beveiligingsmaatregelen.

2. Verwerker zal in ieder geval maatregelen nemen om Persoonsgegevens te beveiligen tegen vernietiging, tegen toevallig en opzettelijk verlies, vervalsing, niet toegelaten verspreiding of toegang, dan wel tegen enige andere vorm van onrechtmatige Verwerking.

3. Verwerker zal Verantwoordelijke helpen bij het nakomen van de beveiligingsverplichtingen die op Verantwoordelijke zelf rusten.

4. De technische en organisatorische maatregelen die Verwerker neemt om de Persoonsgegevens te beveiligen staan beschreven in Appendix A

Artikel 5. Vertrouwelijkheid

1. Verwerker zal al haar medewerkers, die betrokken zijn bij de uitvoering van de Overeenkomst, een geheimhoudingsverklaring, al dan niet voortvloeiend uit of opgenomen in de arbeidsovereenkomst met die medewerkers, laten tekenen waarin in ieder geval is opgenomen dat deze medewerkers geheimhouding moeten betrachten ten aanzien van de Persoonsgegevens. Verwerker neemt alle nodige maatregelen, zoals screening van medewerkers en beveiliging van gegevensdragers, om te garanderen dat deze geheimhoudingsplicht wordt nagekomen.

Artikel 6. Gegevensverwerking buiten de Europese Economische Ruimte (EER)

1. Verwerker zal de Persoonsgegevens niet buiten de EER verwerken.

Artikel 7. Subverwerkers

1. Verwerker is toegestaan om in het kader van deze Verwerkersovereenkomst en de Overeenkomst gebruik te maken van subverwerkers. Verwerker heeft voor het inschakelen van subverwerkers wel de voorafgaande schriftelijke toestemming van Verantwoordelijke nodig.

2. Verwerker verplicht iedere subverwerker contractueel de geheimhoudingsverplichtingen, meldingsverplichtingen en beveiligingsmaatregelen na te leven met betrekking tot de Verwerking van Persoonsgegevens welke verplichtingen en maatregelen minimaal dienen te voldoen aan het bepaalde in deze Verwerkersovereenkomst.

Artikel 8. Aansprakelijkheid

1. De aansprakelijkheid van Verwerker jegens Verantwoordelijke is geregeld in de Overeenkomst.

Artikel 9. Inbreuk in verband met Persoonsgegevens (Datalek)

1. Indien Verwerker kennis krijgt van een Datalek zal zij (i) Verantwoordelijke daarvan zonder onredelijke vertraging nadat Verwerker op de hoogte is geraakt van het bestaan van het Datalek op de hoogte stellen en (ii) alle redelijke maatregelen nemen om (verdere) schending van de AVG te voorkomen en/of te beperken. Bij het nemen van de hiervoor genoemde maatregelen zal Verwerker zich waar mogelijk onthouden van het nemen van maatregelen die onomkeerbaar zijn en/of een onderzoek naar de oorzaken van het Datalek ernstig belemmeren.

2. Verwerker zal haar medewerking verlenen aan Verantwoordelijke en Verantwoordelijke ondersteunen in het uitvoeren van haar wettelijke verplichtingen ten aanzien van het geconstateerde incident.

3. Verwerker zal Verantwoordelijke ondersteunen bij de op Verantwoordelijke rustende meldplicht ten aanzien van de inbreuk in verband met Persoonsgegevens bij de Autoriteit Persoonsgegevens (AP) en/of de betrokkene, zoals bedoeld in artikel 33 lid 3 en 34 lid 1 AVG. Verwerker zal zich onthouden van het zelfstandig verrichten van een melding van een inbreuk in verband met Persoonsgegevens bij de AP en/of de betrokkene.

Artikel 10. Bijstand aan Verantwoordelijke

1. Onder de AVG heeft de betrokkene een aantal rechten, waaronder het recht op inzage (art. 15 AVG), rectificatie (art. 16 AVG), gegevenswissing (art. 17 AVG), beperking (art. 18 AVG), overdraagbaarheid (art. 20 AVG) en het recht van bezwaar (art. 21 en 22 AVG). Verantwoordelijke moet verzoeken om uitoefening van die rechten beantwoorden en Verwerker zal Verantwoordelijke daar voor zover redelijkerwijs mogelijk bij ondersteunen.

Zo zal Verwerker een klacht of verzoek van een betrokkene, wanneer die klacht bij de Verwerker ingediend wordt, zo snel mogelijk doorsturen naar Verantwoordelijke.

2. Verwerker zal Verantwoordelijke, voor zover redelijkerwijs mogelijk, ondersteunen bij het nakomen van haar plicht onder de AVG om een gegevensbeschermingseffectbeoordeling (art. 35 en 36 AVG) uit te voeren.

3. Verwerker zal de Verantwoordelijke alle informatie ter beschikking stellen die nodig is om aan te tonen dat Verwerker voldoet aan haar verplichtingen onder de AVG. Voorts zal Verwerker op verzoek van Verantwoordelijke audits, waaronder inspecties, door Verantwoordelijke of een door Verantwoordelijke gemachtigde partij mogelijk maken en eraan bijdragen. Verantwoordelijke zal tijdig aan Verwerker aangeven dat, en wanneer, hij gebruik zal maken van dit auditrecht. Het aantal audits is beperkt tot maximaal één per jaar.

4. Verwerker mag haar redelijke kosten voor de bijstand genoemd in dit artikel aan Verantwoordelijke in rekening brengen.

Artikel 11. Beëindiging en varia

1. Ten aanzien van beëindiging van deze Verwerkersovereenkomst, gelden de specifieke bepalingen uit de Overeenkomst. Onverminderd de specifieke bepalingen uit de Overeenkomst, zal de Verwerker op eerste verzoek van de Verantwoordelijke alle Persoonsgegevens wissen of deze aan hem terugbezorgen, en bestaande kopieën verwijderen, tenzij Verwerker wettelijk verplicht is de Persoonsgegevens op te slaan.

2. Verantwoordelijke zal Verwerker adequaat informeren over (wettelijke) bewaartermijnen die van toepassing zijn op de Verwerking van Persoonsgegevens voor Verwerker. Verwerker zal de Persoonsgegevens niet langer Verwerken dan overeenkomstig deze bewaartermijnen.

3. De verplichtingen uit deze Verwerkersovereenkomst die naar hun aard bestemd zijn om beëindiging te overleven, blijven ook na beëindiging van deze Verwerkersovereenkomst van kracht.

Appendix A

Appendix A, gelet op artikel 4 lid 4 van de verwerkersovereenkomst

Persoonsgegevens worden door Bureau Breij, als Verwerker, door het nemen van passende technische of organisatorische maatregelen op een dusdanige manier verwerkt, dat:

- een passende beveiliging ervan gewaarborgd is, d.m.w. van firewalls, actieve bescherming tegen malafide software en het up-to-date en het bewaren van de integriteit van operating systemen en gebruikte applicaties, met als gevolg dat:
- zij onder meer beschermd zijn tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging en
- er geen ongeoorloofde toegang tot gegevens kan plaatsvinden.

Daarbij wordt, voor zover mogelijk of realiseerbaar, in aanmerking genomen:

- het vermogen om op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen en diensten zoveel mogelijk te garanderen;
- het vermogen om bij een fysiek of technisch incident de beschikbaarheid van en de toegang tot de persoonsgegevens tijdig te herstellen, bijvoorbeeld door het terugzetten van een back-up;
- een procedure voor het op gezette tijdstippen testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging van de verwerking.

Bureau Breij beoordeelt de risico's

Wij beoordelen de risico's die de gegevens en de aard van de verwerking met zich meebrengen voor de betrokkene. Wij inventariseren de dreigingen die kunnen leiden tot een beveiligingsincident, de gevolgen die het beveiligingsincident kan hebben en de kans dat deze gevolgen zich voor zullen doen. Op basis daarvan treffen wij gericht beveiligingsmaatregelen die het gewenste beveiligingsniveau kunnen waarborgen.

Bureau Breij maakt gebruik van algemeen geaccepteerde beveiligingsstandaarden

Onze standaarden geven houvast bij het daadwerkelijk treffen van passende maatregelen om de beveiligingsrisico's af te dekken.

Bureau Breij controleert en evalueert regelmatig

Wij controleren met regelmaat of de beveiligingsmaatregelen daadwerkelijk zijn getroffen en worden nageleefd. Wij beoordelen periodiek of het beveiligingsniveau nog steeds past bij de risico's die de verwerking en de aard van de te verwerken gegevens met zich meebrengen en of de beveiligingsmaatregelen nog steeds voldoen. Wij betrekken daarbij ook de stand van de techniek en de nieuwste inzichten binnen het vakgebied informatiebeveiliging. Waar nodig passen wij de beveiligingsmaatregelen aan.

Bureau Breij, de verwerker in de zin van de AVG, treft de passende technische en organisatorische maatregelen om te waarborgen en te kunnen aantonen dat de verwerking in overeenstemming met de verordening (AVG) wordt uitgevoerd en dat de bescherming van de rechten van de betrokkene is gewaarborgd. De maatregelen worden geëvalueerd en indien nodig geactualiseerd.

Deze maatregelen zorgen ervoor dat persoonsgegevens in beginsel niet zonder menselijke tussenkomst voor een onbeperkt aantal natuurlijke personen toegankelijk worden gemaakt.