Skip to main content

Ontwerp van de Buren

Verwerkersovereenkomst

Deze verwerkersovereenkomst is van toepassing op alle vormen van verwerking van persoonsgegevens die Ontwerp van de Buren, ingeschreven bij de Kamer van Koophandel onder nummer 64843327, (hierna te noemen ‘Ontwerper’ of ‘Verwerker’) uitvoert ten behoeve van een wederpartij aan wie zij diensten levert (hierna te noemen ‘Opdrachtgever’ of ‘Verantwoordelijke’,).

Tezamen aangeduid als Partijen

Partijen nemen bij het aangaan van de overeenkomst het volgende in aanmerking:

  • De Opdrachtgever heeft aan de Ontwerper opdracht verstrekt om interactieve media te ontwerpen en deze te onderhouden.
  • Voor de uitvoering van de Hoofdovereenkomst, ontvangt de Ontwerper van de Opdrachtgever direct of indirect gegevens, waarvan een deel te herleiden is tot een geïdentificeerde of identificeerbare natuurlijke persoon, zodat dit de verwerking van persoonsgegevens betreft waarop de Algemene Verordening Gegevensbescherming (AVG) van toepassing is.
  • Omdat de Opdrachtgever het doel van en de middelen voor de verwerking van de Persoonsgegevens vaststelt, is de Opdrachtgever ‘Verantwoordelijke’ in de zin van de AVG. De Ontwerper die de daadwerkelijke verwerking uitvoert op instructie van de Opdrachtgever, is “Verwerker” in de zin van de AVG.
  • Op grond van artikel 28 lid 3 AVG moet de verwerking van persoonsgegevens worden vastgelegd in een overeenkomst (of andere rechtshandeling). Deze Verwerkersovereenkomst heeft als doel het vastleggen van de wederzijdse rechten en verplichtingen met betrekking tot de Verwerking van de Persoonsgegevens.

Partijen zijn als volgt overeengekomen:

1      Definities

In deze overeenkomst worden de volgende definities gebruikt, die zoveel mogelijk aansluiten bij de definities van de AVG.:

Betrokkene: een geïdentificeerde of identificeerbare natuurlijke persoon op wie de Verwerkte Persoonsgegevens betrekking hebben (art. 4 sub 1 AVG);

Beveiligingsincident: een inbreuk op de technische en organisatorische maatregelen voor de beveiliging tegen verlies of onrechtmatige Verwerking van Persoonsgegevens.

Bijzondere persoonsgegevens: Persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond, blijken, en genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, of gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid (art. 9 lid 1 AVG);

Datalek: een Beveiligingsincident waarbij Persoonsgegevens verloren zijn gegaan, of waarbij onrechtmatige Verwerking van Persoonsgegevens redelijkerwijs niet kan worden uitgesloten;

Derde: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan, niet zijnde de Betrokkene, noch de Verantwoordelijke, noch de Verwerker, noch de personen die onder rechtstreeks gezag van de Verantwoordelijke of de Verwerker gemachtigd zijn om de Persoonsgegevens te verwerken (art 4 sub 10 AVG);

Doel: het door Verantwoordelijke omschreven en aan Verwerker voorgeschreven doel van de Verwerking van Persoonsgegevens, zoals nader uitgewerkt in Bijlage I bij deze Verwerkersovereenkomst.

Hoofdovereenkomst: de aan de Verwerkersovereenkomst ten grondslag liggende overeenkomst tussen Verantwoordelijke en Verwerker, waarin de achterliggende rechtsrelatie tussen Partijen is vastgelegd, inclusief de daarbij behorende bijlagen;

Medewerkers: personen die werkzaam zijn bij of voor de Verwerker, ofwel in dienstbetrekking dan
wel tijdelijk ingehuurd;

Persoonsgegeven: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (de Betrokkene) (art. 4 sub 1 AVG);

Sub-verwerker: de partij die door Verwerker wordt ingeschakeld ten behoeve van de Verwerking van de Persoonsgegevens in het kader van de Verwerkersovereenkomst.

Verantwoordelijke: de verwerkingsverantwoordelijke: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de Verwerking van Persoonsgegevens vaststelt (art. 4 sub 7 AVG);

Verwerker: een natuurlijke of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de Verantwoordelijke Persoonsgegevens verwerkt (art. 4 sub 8 AVG);

Verwerkersovereenkomst: deze overeenkomst, inclusief de overwegingen en aan deze overeenkomst gehechte bijlagen;

Verwerking: een bewerking of een geheel van bewerkingen met betrekking tot Persoonsgegevens of een geheel van Persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens (art. 4 sub 2 AVG);

AVG: de meest actuele versie van de Algemene Verordening Persoonsgegevens.

2      Toepasselijkheid en verwerking van Persoonsgegevens

2.1    De Verwerkersovereenkomst is van toepassing op het Verwerken van Persoonsgegevens door Verwerker in het kader van de uitvoering van de Hoofdovereenkomst.

2.2    Om de werkzaamheden uit de Hoofdovereenkomst uit te kunnen voeren, geeft Verantwoordelijke Verwerker opdracht tot het voor Verantwoordelijke verwerken van Persoonsgegevens, welke opdracht Verwerker accepteert.

2.3    Een overzicht van de categorieën Persoonsgegevens, het Doel/de doeleinden waarvoor de persoonsgegevens worden verwerkt en een omschrijving van de Verwerking(en) zijn opgenomen in Bijlage I bij deze Verwerkersovereenkomst, die hiervan onderdeel uitmaakt. Verantwoordelijke kan wijzigingen aanbrengen aan Bijlage I, door een gewijzigde Bijlage I aan Verwerker te sturen. Wanneer Verwerker de wijziging schriftelijk accepteert, maakt deze direct onderdeel uit van de Verwerkersovereenkomst.

2.4    De Verwerking vindt plaats onder verantwoordelijkheid van de Verantwoordelijke. Verwerker heeft geen zelfstandige zeggenschap over het Doel en de middelen van de Verwerking van de Persoonsgegevens, het beschikbaar stellen van deze Persoonsgegevens aan Derden, de bewaartermijnen en de meldingsplicht in geval van een Datalek, zoals bedoeld in artikel 5 van deze Verwerkersovereenkomst.

2.5    De Verwerking gebeurt op zorgvuldige wijze en niet langer of uitgebreider dan nodig is voor de uitvoering van de Hoofdovereenkomst.

2.6    Verwerker zorgt ervoor dat alleen Medewerkers toegang hebben tot de Persoonsgegevens, met uitzondering van Sub-verwerkers als bedoeld in artikel 7, en dat deze de verplichtingen uit deze Verwerkersovereenkomst kennen en verplicht zijn die na te komen.

2.7    Verantwoordelijke garandeert dat zijn instructies aan Verwerker leiden tot een Verwerking van de Persoonsgegevens die niet in strijd is met de op het moment van Verwerking bestaande toepasselijke wet- en regelgeving. Wanneer er sprake is van een (vermeende) vordering of beschikking, dan vrijwaart Verantwoordelijke Verwerker tegen alle daaruit voortvloeiende aanspraken.

3      Beveiligingsmaatregelen

3.1    Verwerker neemt alle passende technische en organisatorisch maatregelen die nodig zijn om de Persoonsgegevens adequaat te beveiligen en beveiligd te houden tegen verlies of enige vorm van onzorgvuldig, ondeskundig of onrechtmatig gebruik of Verwerking.

3.2    De beveiligingsmaatregelen die Verwerker heeft genomen, zijn opgenomen in Bijlage II. Verwerker kan niet garanderen dat deze maatregelen onder alle omstandigheden doeltreffend zijn. Bij het nemen van de beveiligingsmaatregelen is rekening gehouden met de huidige stand der techniek en de kosten van de beveiligingsmaatregelen.

3.3    De maatregelen als bedoeld in het vorige lid omvatten in ieder geval:

  1. maatregelen om te waarborgen dat enkel bevoegde Medewerkers toegang hebben tot de Persoonsgegevens die in het kader van de Verwerkersovereenkomst worden verwerkt;
  2. maatregelen om de Persoonsgegevens te beschermen tegen met name onopzettelijke of onrechtmatige vernietiging, verlies, onopzettelijke wijziging, onbevoegde of onrechtmatige opslag, toegang of openbaarmaking;
  3. maatregelen om zwakke plekken te identificeren ten aanzien van de Verwerking van Persoonsgegevens in de systemen die worden ingezet voor het verlenen van diensten aan Verantwoordelijke;
  4. een passend informatiebeveiligingsbeleid voor de Verwerking van de Persoonsgegevens.

3.4    Verantwoordelijke heeft kennisgenomen van deze genomen beveiligingsmaatregelen en is van mening dat deze een beveiligingsniveau hebben dat past bij de aard van de Persoonsgegevens en de risico’s van de Verwerking. Verwerker informeert Verantwoordelijke wanneer een van de beveiligingsmaatregelen substantieel wijzigt.

3.5    Verantwoordelijke mag controleren of en op welke wijze de genomen beveiligingsmaatregelen worden nageleefd. De kosten van deze controle (audit) zijn voor rekening van de Verantwoordelijke. De Verwerker ontvangt een kopie van het controlerapport. Er zullen tijdig afspraken gemaakt worden over de wijze en het moment waarop de controle zal plaatsvinden, zodat dit de bedrijfsvoering van Verwerker niet onnodig verstoort.

3.6    Verwerker garandeert dat iedere Verwerking van Persoonsgegevens onder deze Verwerkersovereenkomst (inclusief eventuele sub-verwerking) binnen de Europese Economische Ruimte (EER) zal plaatsvinden. Wanneer de Verwerking buiten de EER plaatsvindt, zal Verwerker daar eerst schriftelijke toestemming voor vragen en daarover aanvullende afspraken maken met Verantwoordelijke.

4      Recht van inzage, correctie en verzet Betrokkene

4.1    Verantwoordelijke kan Verwerker verzoeken mee te werken aan een verzoek van Betrokkene om Persoonsgegevens in te zien, te wijzigen of te verbeteren, of mee te werken aan afscherming of dataportabiliteit van Persoonsgegevens, voor zover Verwerker toegang heeft tot deze Persoonsgegevens.

4.2    Wanneer Verwerker een dergelijk (rechtstreeks) verzoek ontvangt van Betrokkene, dan wordt dat onmiddellijk doorgestuurd aan Verantwoordelijke, om door Verantwoordelijke zelf afgehandeld te worden. Alleen op uitdrukkelijk schriftelijk verzoek van Verantwoordelijke zal Verwerker een dergelijk verzoek van Betrokkene behandelen.

5      Meldplicht Beveiligingsincident en Datalek 

5.1    Bij een Beveiligingsincident treft Verwerker alle redelijkerwijs benodigde maatregelen om (verdere) onbevoegde kennisneming, wijziging, verstrekking dan wel onrechtmatige Verwerking te voorkomen of te beperken en een schending van beveiligingsmaatregelen of onrechtmatige Verwerking van de Persoonsgegevens te beëindigen en in de toekomst te voorkomen.

5.2    Als er sprake is van een vermoedelijk of daadwerkelijk Datalek, of schending van de geheimhouding waarbij Persoonsgegevens verloren zijn gegaan of onrechtmatige Verwerking niet is uit te sluiten, dan stelt Verwerker Verantwoordelijke daarvan zo spoedig mogelijk op de hoogte. Verwerker streeft ernaar dit te doen binnen 36 uur nadat een dergelijk Beveiligingsincident is ontdekt of door eventuele Sub-verwerkers bij Verwerker is gemeld.

5.3    Verwerker informeert Verantwoordelijke in ieder geval over de aard van de Persoonsgegevens, de hoeveelheid Persoonsgegevens en Betrokkenen, en de genomen beveiligingsmaatregelen. Verwerker zal alle redelijkerwijs benodigde medewerking verlenen om inzicht te krijgen in de ernst en (mogelijke) gevolgen van een geconstateerd Datalek.

5.4    Verantwoordelijke is zelf verantwoordelijk om te beoordelen of het beveiligingsincident een Datalek betreft en of dit meldingsplichtig is. Verwerker zal nooit zelfstandig overgaan tot het melden van enig Datalek aan Betrokkenen of de Autoriteit Persoonsgegevens. Dit is altijd de verantwoordelijkheid van Verantwoordelijke.

6      Mededelingen

Partijen informeren elkaar tijdig van iedere verandering in deze gegevens.

7      Sub-verwerkers

7.1    Verwerker kan Sub-verwerkers inschakelen voor bepaalde werkzaamheden, bijvoorbeeld wanneer deze Sub-verwerkers over specialistische kennis of middelen beschikken die Verwerker niet heeft. Wanneer dit betekent dat deze Persoonsgegevens van Verantwoordelijke gaat verwerken, dan zal Verwerker alle verplichtingen uit deze Verwerkersovereenkomst schriftelijk aan deze Sub-verwerkers opleggen. Daarbij geldt dat de termijn voor het melden van Beveiligingsincidenten of Datalekken als bedoeld in artikel 5.2 voor deze Sub-verwerkers niet langer zal zijn dan uiterlijk binnen 12 uur na de eerste ontdekking.

7.2    Verantwoordelijke geeft op voorhand toestemming om de Sub-verwerkers in te schakelen die zijn vermeld in Bijlage III. Wanneer andere Sub-verwerkers ingeschakeld moeten worden, dan zal eerst toestemming aan Verantwoordelijke worden gevraagd.

7.3    Toestemming als bedoeld in het vorige lid zal niet zonder redelijke grond geweigerd worden. Zo nodig kan Verantwoordelijke aanvullende voorwaarden stellen, die door de Verwerker aan de Sub-verwerker moeten worden opgelegd.

8      Geheimhouding

8.1    Verwerker houdt de Persoonsgegevens geheim en zorgt ervoor dat Medewerkers en eventuele Sub-verwerkers die betrokken zijn bij de Verwerking van de Persoonsgegevens, ook verplicht zijn tot geheimhouding.

8.2    Deze geheimhoudingsplicht geldt niet voor zover een wettelijk voorschrift of vonnis tot enige bekendmaking verplicht.

9      Duur en beëindiging

9.1    Deze Verwerkersovereenkomst heeft dezelfde ingangs- en einddatum als de Hoofdovereenkomst.
De bepalingen van deze overeenkomst blijven gelden voor zover dat nodig is voor de afwikkeling van deze overeenkomst en voor zover die bedoeld zijn het einde van deze overeenkomst te overleven.
Tot die laatste categorie bepalingen behoren onder meer, zonder daartoe te zijn beperkt, de bepalingen over geheimhouding en geschillen.

9.2    Deze Verwerkersovereenkomst kan niet tussentijds, los van de Hoofdopdracht, beëindigd worden.

10     Bewaartermijn, teruggave en vernietiging Persoonsgegevens

10.1  Verantwoordelijke zal Verwerker adequaat informeren over (wettelijke) bewaartermijnen die van toepassing zijn op de Verwerking van Persoonsgegevens door Verwerker. Verwerker bewaart de Persoonsgegevens niet langer dan strikt noodzakelijk is. Dit is in geen geval langer dat tot het einde van deze Verwerkersovereenkomst, of, als er tussen partijen een bewaartermijn is overeengekomen, niet langer dan deze termijn.

10.2  Verwerker zal bij het einde van deze Verwerkersovereenkomst alle Persoonsgegevens aan Verantwoordelijke overdragen of, als Verantwoordelijke daarom verzoekt, vernietigen. Er zal alleen een kopie van de Persoonsgegevens bewaard worden als Verwerker hiertoe op grond van wet- of regelgeving verplicht is.

10.3  De kosten van het verzamelen en overdragen van de Persoonsgegevens of van het vernietigen ervan, als bedoeld in het vorige lid, zijn voor rekening van de Verantwoordelijke. Desgevraagd wordt een kosteninschatting gemaakt.

10.4  Bij het einde van de Verwerkersovereenkomst zal Verwerker alle Sub-verwerkers die betrokken zijn bij de Verwerking van de Persoonsgegevens informeren over de beëindiging van de Verwerkersovereenkomst en zal deze partijen verzoeken eveneens de gegevens aan Verantwoordelijke over te dragen, dan wel te vernietigen, volgens de procedure als beschreven in artikel 10.2 en 10.3.

11     Aansprakelijkheid

11.1  Verwerker is niet aansprakelijk voor schade die het gevolg is van niet naleven van de AVG of andere wet- of regelgeving door Verantwoordelijke. Verantwoordelijke vrijwaart Verwerker voor aanspraken van Sub-verwerkers, andere Derden, Betrokkenen of van andere personen op grond van zulke schade, als ook voor (juridische) kosten die Verwerker in dit verband moet maken en eventuele boetes die aan Verwerker worden opgelegd.

11.2  De overeengekomen beperking van aansprakelijkheid van Verwerker in de Hoofdovereenkomst en daarop van toepassing zijnde Algemene voorwaarden is van kracht op deze Verwerkersovereenkomst, waarbij geldt dat een of meerdere schadevorderingen uit hoofde van deze Verwerkersovereenkomst en/of de Hoofdovereenkomst gezamenlijk nooit tot overschrijding van die beperking kunnen leiden.

11.3  Wanneer geen beperking van aansprakelijkheid in de Hoofdovereenkomst en daarop van toepassing zijnde Algemene Voorwaarden is opgenomen, geldt dat de aansprakelijkheid van Verwerker onder deze Verwerkersovereenkomst – behalve in geval van opzet of bewuste roekeloosheid van de Verwerker – beperkt is tot het bedrag van het honorarium voor de opdracht uit de Hoofdovereenkomst, althans dat deel van de opdracht waarop de aansprakelijkheid betrekking heeft. Dit bedrag is niet hoger dan €75.000,= en in ieder geval te allen tijde beperkt tot maximaal het bedrag dat de verzekeraar in het voorkomend geval aan de Verwerker uitkeert. Het bedrag waarvoor de Verwerker in het voorkomende geval aansprakelijk is, wordt verminderd met de eventuele sommen welke door de Verantwoordelijke zijn verzekerd.

12     Overige bepalingen

12.1  Deze Verwerkersovereenkomst geldt als bijlage bij de tussen partijen gesloten Hoofdovereenkomst, waarvan het onlosmakelijk onderdeel uitmaakt. Ingeval van strijdigheid tussen de Hoofdovereenkomst en deze Verwerkersovereenkomst, gaan de bepalingen uit deze Verwerkersovereenkomst voor.

12.2  Wijziging van een of meerdere bepalingen van deze Verwerkersovereenkomst kan alleen schriftelijk door partijen worden overeengekomen.

12.3  Wanneer een of meerdere bepalingen in deze Verwerkersovereenkomst nietig is of vernietigd wordt, blijven de overige bepalingen van deze overeenkomst onverminderd van kracht blijven. Partijen zullen in dat geval in overleg treden met het doel nieuwe vervangende bepalingen overeen te komen, waarbij zoveel mogelijk het doel en de strekking van de nietige of vernietigde bepalingen in acht wordt genomen.

12.4  Op deze Verwerkersovereenkomst is Nederlands recht van toepassing.

12.5  De rechter in het arrondissement waar de Verwerker is gevestigd, of de volgens de wet bevoegde rechter, dit ter keuze van de Verwerker, is bevoegd om van geschillen voortvloeiend uit deze Verwerkersovereenkomst kennis te nemen en hierover te beslissen.

Bijlage 1: Specificatie persoonsgegevens en betrokkenen

Aldus overeengekomen, opgemaakt in tweevoud en ondertekend:

Ontwerper/Verwerker:

Ontwerp van de Buren
Veemarkstraat 34
5038 CV Tilburg

Opdrachtgever/Verantwoordelijke:

"*" geeft vereiste velden aan

Naam*
DD slash MM slash JJJJ
We verwerken je gegevens vertrouwelijk. Privacyverklaring
grafisch ontwerpbureau tilburg

Meer weten of samen aan de slag?

Stuur een mailtje naar Elise Linda Nina Anniek Karel of kom even langs

A je to, let's go!
grafisch ontwerpbureau tilburg