Verwerkersovereenkomst
Versie: 1.3
Datum: 15 januari 2025
Sinds 25 mei 2018 is de privacywet Algemene Verordening Gegevensbescherming (AVG; General Data Protection Regulation of GDPR in het Engels) van kracht. Dit betekent dat bedrijven vanaf die datum moeten voldoen aan de regels uit de AVG. MijnDiAd streeft ernaar om zo goed mogelijk aan de AVG te voldoen in haar dienstverlening. In het onderstaande document vind je de verwerkersovereenkomst, die geldt voor de samenwerking tussen MijnDiAd en jou, als MijnDiAd dat heeft aangegeven.
De verwerkersovereenkomst
Omdat jij MijnDiAd hebt ingeschakeld om jouw Persoonsgegevens te gaan Verwerken, is MijnDiAd te zien als een ‘Verwerker’ volgens artikel 4 lid 8 van de AVG. Jij bent in deze situatie de ‘Verwerkingsverantwoordelijke’ volgens artikel 4 lid 7 AVG. De onderstaande bepalingen uit deze verwerkersovereenkomst (hierna: ‘de Overeenkomst’) zijn afspraken die gemaakt moeten worden volgens artikel 28 lid 3 van de AVG.
Let op: vanaf nu wordt met ‘Verwerker’ ook wel ‘MijnDiAd’ bedoeld, en met de term ‘Verwerkingsverantwoordelijke’ bedoelen we jou.
Overwegende als volgt:
a. De Verwerkingsverantwoordelijke en de Verwerker hebben een Overeenkomst gesloten voor het verrichten van de volgende diensten: toegang verlenen tot software voor praktijkadministratie in de zorg en/of het beheren van de daarbij behorende Persoonsgegevens door de Verwerkingsverantwoordelijke. Deze Overeenkomst zorgt ervoor dat de Verwerker in opdracht van de Verwerkingsverantwoordelijke Persoonsgegevens verwerkt.
b. De Verwerkingsverantwoordelijke en de Verwerker willen in deze Overeenkomst de rechten en verplichtingen voor de Verwerking van Persoonsgegevens door Verwerker vastleggen, in overeenstemming met de geldende Privacywetgeving.
MijnDiAd en jij zijn het volgende overeengekomen:
Artikel 1. Definities
De in deze Overeenkomst gebruikte woorden of formuleringen hebben, in aanvulling op de reeds in dit document gedefinieerde begrippen, de volgende betekenis:
1. Onderliggende Overeenkomst: de overeenkomst waarbij Verwerkingsverantwoordelijke (jij) aan de Verwerker (MijnDiAd) de opdracht geeft om bepaalde diensten te verlenen, waarvoor de Verwerker de Verwerkingen zal uitvoeren;
2. Overeenkomst: deze verwerkersovereenkomst;
3. Partij(en): MijnDiAd en jij/u tezamen, of ieder afzonderlijk als contractspartij;
4. Verwerker: volgens artikel 4 lid 8 AVG is dit de natuurlijke of rechtspersoon, overheidsinstantie, dienst of ander orgaan die/dat Persoonsgegevens Verwerkt voor de Verwerkingsverantwoordelijke;
5. Verwerkingsverantwoordelijke: volgens artikel 4 lid 8 AVG is dit de natuurlijke of rechtspersoon, overheidsinstantie, dienst of ander orgaan die/dat, alleen of samen met anderen, het doel en de middelen voor de Verwerking van de Persoonsgegevens vaststelt;
6. Betrokkene(n): dit is de natuurlijke persoon op wie de verwerkte en/of te Verwerken Persoonsgegevens betrekking hebben en die geïdentificeerd of identificeerbaar is;
7. Verwerken/Verwerking: alle handelingen die met de Persoonsgegevens kunnen worden uitgevoerd, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van Persoonsgegevens;
8. Privacywetgeving: alle regels en wetten die gelden voor de Verwerking en bescherming van Persoonsgegevens, waaronder de AVG en de Uitvoeringswet AVG;
9. AVG: Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de Verwerking van Persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (Algemene Verordening Gegevensbescherming);
10. Uitvoeringswet AVG: Regels ter uitvoering van Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de Verwerking van Persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming) (PbEU 2016, L 119) (Uitvoeringswet Algemene verordening gegevensbescherming);
11. Persoonsgegeven(s): alle informatie over een natuurlijk persoon die geïdentificeerd is of kan worden. Dit betekent dat de informatie ofwel direct over iemand gaat, ofwel naar deze persoon kan worden teruggeleid;
12. Derde(n): natuurlijk- of rechtspersonen die geen contractspartij zijn bij deze Overeenkomst.
13. Schriftelijk(e): communicatie die per e-mail of op papier plaatsvindt.
Artikel 2. Reikwijdte Overeenkomst
1. Tenzij Partijen Schriftelijk iets anders zijn overeengekomen, zijn de bepalingen van deze Overeenkomst van toepassing op elke Verwerking door Verwerker op basis van de Onderliggende Overeenkomst.
2. De Verwerker Verwerkt Persoonsgegevens voor de Verwerkingsverantwoordelijke, volgens de Schriftelijke instructies van de Verwerkingsverantwoordelijke en onder zijn verantwoordelijkheid, zoals vastgelegd in de Onderliggende Overeenkomst.
3. De Verwerker Verwerkt de Persoonsgegevens alleen in opdracht van Verwerkingsverantwoordelijke, tenzij er andere wettelijke verplichtingen zijn.
Artikel 3. Algemene verplichtingen Verwerker
1. De Verwerker heeft geen controle over hoe en waarom de Persoonsgegevens worden verwerkt. De Verwerker beslist dus niet zelf over het gebruik, het delen met anderen, of de opslagduur van de Persoonsgegevens.
2. De Verwerker stelt de Verwerkingsverantwoordelijke onmiddellijk Schriftelijk op de hoogte als een instructie, naar het redelijk oordeel van Verwerker, inbreuk maakt op de toepasselijke Privacywetgeving.
3. Op verzoek van de Verwerkingsverantwoordelijke moet de Verwerker alle benodigde informatie geven om aan te tonen dat hij voldoet aan de afspraken in deze Overeenkomst. Eventuele kosten hiervoor zijn voor rekening van de Verwerkingsverantwoordelijke.
4. De Verwerker zorgt ervoor dat hij zich houdt aan de voorwaarden die de toepasselijke Privacywetgeving stelt aan het Verwerken van Persoonsgegevens.
5. De Verwerker geeft alleen toegang tot de Persoonsgegevens aan zijn werknemers en/of andere ondergeschikten voor zover dit nodig is voor het verrichten van de diensten op grond van de Onderliggende Overeenkomst.
6. De Verwerker bewaart de Persoonsgegevens niet langer dan nodig is, namelijk voor de duur van de Onderliggende Overeenkomst en 2 (twee) maanden daarna, tenzij Verwerkingsverantwoordelijke hiertoe Schriftelijk opdracht heeft gegeven.
Artikel 4. Verdeling van de verantwoordelijkheid
1. De Verwerkingsverantwoordelijke zal Schriftelijk de contactgegevens van haar Data Protection Officer (DPO), of een ander aanspreekpunt op het gebied van privacy, aan de Verwerker doorgeven en deze informatie up-to-date houden. De Verwerkingsverantwoordelijke vrijwaart de Verwerker voor schade die ontstaat door het niet (tijdig) of onjuist doorgeven van deze informatie.
2. De Verwerker is alleen verantwoordelijk voor het Verwerken van Persoonsgegevens zoals beschreven in de Verwerkersovereenkomst en volgens de Schriftelijke instructies van de Verwerkingsverantwoordelijke. De Verwerkingsverantwoordelijke blijft altijd eindverantwoordelijk. De Verwerker is niet verantwoordelijk voor andere verwerkingen, zoals:
a. Het verzamelen van Persoonsgegevens door de Verwerkingsverantwoordelijke;
b. Verwerkingen voor andere doelen die niet zijn gemeld door de Verwerkingsverantwoordelijke; of
c. Verwerkingen door Derden.
3. Verwerkingsverantwoordelijke gaat ermee akkoord en staat ervoor in dat de inhoud, het gebruik en de opdracht tot de Verwerkingen van Persoonsgegevens zoals bedoeld in deze Verwerkersovereenkomst in overeenstemming zijn met de toepasselijke Privacywetgeving, niet onrechtmatig zijn en geen inbreuk maken op enig recht van Derden.
Artikel 5. Verstrekking Persoonsgegevens aan Derden
1. De Verwerker zal geen Persoonsgegevens aan een Derde verstrekken of ter beschikking stellen, tenzij:
1) dit uitdrukkelijk is toegestaan in de Onderliggende Overeenkomst;
2) dit gebeurt op basis van een Schriftelijke opdracht van de Verwerkingsverantwoordelijke; of
3) dit op bevel van een gerechtelijke of bestuurlijke instantie gebeurt, op voorwaarde dat Verwerker de Verwerkingsverantwoordelijke binnen 24 (vierentwintig) uur na ontvangst van een dergelijk bevel in kennis stelt. Dit geeft de Verwerkingsverantwoordelijke de kans om een haar ter beschikking staand rechtsmiddel in te stellen.
2. Als de Verwerker van oordeel is dat zij op grond van een wettelijke verplichting Persoonsgegevens moet verstrekken aan een daartoe bevoegde instantie, zal zij dit alleen doen na overleg met en goedkeuring van de Verwerkingsverantwoordelijke. De Verwerker zal de Verwerkingsverantwoordelijke zo snel mogelijk Schriftelijk op de hoogte stellen van de wettelijke verplichting en daarbij alle relevante informatie verstrekken die de Verwerkingsverantwoordelijke nodig heeft om te bepalen of de vestrekking kan plaatsvinden en zo ja, onder welke voorwaarden.
Artikel 6. Verwerking buiten de Europese Economische Ruimte
1. De Verwerkingsverantwoordelijke geeft uitdrukkelijk toestemming voor het Verwerken van Persoonsgegevens door de Verwerker buiten de Europese Economische Ruimte Verwerkt (EER), op voorwaarde dat aan de wettelijke eisen daarvoor wordt voldaan. De Verwerkingsverantwoordelijke kan voorwaarden aan deze Verwerking verbinden.
2. De Verwerker zal de Verwerkingsverantwoordelijke zo snel mogelijk informeren als zij van plan is om Persoonsgegevens buiten de EER te Verwerken. De Verwerkingsverantwoordelijke heeft 14 dagen de tijd om Schriftelijk bezwaar te maken tegen deze Verwerking. Als er bezwaar is, zullen beide Partijen overleggen om samen een oplossing te vinden.
3. Als Partijen na overleg niet tot een oplossing komen en de Verwerker zonder deze Verwerking buiten de EER niet kan voldoen aan de diensten zoals overeengekomen in de Onderliggende Overeenkomst, heeft de Verwerker het recht de Onderliggende Overeenkomst per direct te beëindigen zonder enige schadevergoeding verschuldigd te zijn aan de Verwerkingsverantwoordelijke.
Artikel 7. Verzoeken van Betrokkenen
1. Als de Verwerker een verzoek ontvangt van een Betrokkene (zoals om inzage, correctie, verwijdering, beperking van verwerking of overdracht van Persoonsgegevens), moet zij Verwerkingsverantwoordelijke hiervan op de hoogte stellen. De Verwerker zal alleen op zo’n verzoek reageren als de Verwerkingsverantwoordelijke hiervoor Schriftelijk opdracht geeft. De Verwerker zal de Verwerkingsverantwoordelijke op haar eerste verzoek helpen om te voldoen aan de verplichtingen om de rechten van de Betrokkenen te respecteren.
2. De Verwerker behandelt alle verzoeken om inlichtingen van de Verwerkingsverantwoordelijke over de Verwerking van de Persoonsgegevens snel en zorgvuldig. Op verzoek van de Verwerkingsverantwoordelijke stelt de Verwerker alle informatie beschikbaar die nodig is om aan te tonen dat de Verwerkingsverantwoordelijke zijn verplichtingen uit deze Overeenkomst en artikel 28 AVG nakomt.
3. De Verwerker zal Verwerkingsverantwoordelijke op verzoek helpen bij het uitvoeren van een gegevensbeschermingseffectbeoordeling (data protection impact assessment) en een eventuele voorafgaande raadpleging volgens de geldende Privacywetgeving.
Artikel 8. Inschakelen Derden door Verwerker bij uitvoering Overeenkomst
1. De Verwerkingsverantwoordelijke geeft toestemming aan de Verwerker om bij het Verwerken van Persoonsgegevens gebruik te maken van Derden (sub-verwerkers), met inachtneming van de geldende Privacywetgeving. Een actueel overzicht van de door Verwerker ingeschakelde sub-verwerkers is te vinden op: Subverwerkers
2. Als een Derde (sub-verwerker) wordt ingeschakeld om namens Verwerkingsverantwoordelijke specifieke verwerkingsactiviteiten uit te voeren, zorgt de Verwerker ervoor dat deze Derde de Persoonsgegevens Verwerkt volgens de geldende Privacywetgeving.
3. Als de Verwerker van plan is om een andere Derde in te schakelen, zal zij de Verwerkingsverantwoordelijke hier zo snel mogelijk over informeren. De Verwerkingsverantwoordelijke heeft 14 (veertien) kalenderdagen de tijd om Schriftelijk bezwaar te maken tegen deze nieuw in te schakelen of te wijzigen Derde(n). Wanneer de Verwerkingsverantwoordelijke bezwaar maakt, zullen Partijen overleggen om tot een oplossing te komen.
Artikel 9. Audit
1. De Verwerkingsverantwoordelijke kan jaarlijks, één keer per 12 (twaalf) maanden, en op eigen kosten een audit laten uitvoeren om te controleren of deze Overeenkomst wordt nageleefd.
2. Als de Verwerkingsverantwoordelijke deze audit wil uitvoeren, zal de Verwerker alle redelijke medewerking hieraan verlenen. Dit houdt onder andere in dat de Verwerker inzage geeft in de database en relevante informatie beschikbaar stelt.
3. De Verwerkingsverantwoordelijke betaalt alle kosten, vergoedingen en onkosten die verband houden met de audit, inclusief de redelijke interne kosten die de Verwerker maakt. Deze interne kosten worden achteraf berekend op basis van de geldende tarieven van de Verwerker, exclusief externe kosten.
4. Als er aanbevelingen uit de audit komen, zal Verwerker deze uitvoeren, voor zover dit redelijkerwijs van haar verwacht kan worden. Als de wijzigingen nodig zijn door veranderde inzichten of wetgeving, zijn de kosten hiervoor voor rekening van de Verwerkingsverantwoordelijke.
5. Als de wijzigingen voortkomen uit een tekortkoming in de nakoming van de afgesproken beveiligingseisen, zijn de kosten hiervoor voor rekening en risico van de Verwerker.
6. Als de Autoriteit Persoonsgegevens of een andere bevoegde autoriteit een onderzoek wil uitvoeren, zal de Verwerker alle redelijke medewerking verlenen en zal Verwerker de Verwerkingsverantwoordelijke hierover informeren.
Artikel 10. Geheimhouding
1. De Verwerker zal de Persoonsgegevens en andere informatie die zij van de Verwerkingsverantwoordelijke ontvangt strikt geheimhouden. Dit doet zij met minstens dezelfde zorg als voor haar eigen zeer vertrouwelijke informatie. De Verwerkingsverantwoordelijke moet ook de uitkomst van de audit, zoals bedoeld in artikel 9 van deze Overeenkomst, geheimhouden.
2. De Verwerker zal de Persoonsgegevens of andere vertrouwelijke informatie van de Verwerkingsverantwoordelijke niet openbaar maken, delen of aan anderen bekendmaken, behalve aan haar werknemers die deze informatie nodig hebben voor hun werk. De Verwerker geeft deze werknemers pas toegang tot de informatie nadat ze zijn geïnformeerd over de vertrouwelijkheid. De Verwerker zal dezelfde geheimhoudingsplicht ook aan haar werknemers opleggen.
Artikel 11. Meldplicht datalekken
1. De Verwerker moet de Verwerkingsverantwoordelijke direct en in ieder geval binnen 72 (tweeënzeventig) uur nadat Verwerker ervan kennis heeft gekregen, op de hoogte stellen over elke inbreuk of een ernstig vermoeden van een inbreuk op de beveiliging (van welke aard dan ook) die (mede) betrekking heeft of kan hebben op de Verwerking van Persoonsgegevens.
2. De Verwerker moet de Verwerkingsverantwoordelijke in ieder geval informatie geven over het volgende:
1) de aard van de inbreuk, waar mogelijk onder vermelding van de categorieën van Betrokkenen en, bij benadering, het aantal Betrokkenen;
2) de (mogelijk) getroffen Persoonsgegevens en, bij benadering, het aantal getroffen Persoonsgegevens;
3) de vastgestelde en verwachte gevolgen van de inbreuk voor de Verwerking van de Persoonsgegevens en de betrokken personen; en
4) de maatregelen die de Verwerker heeft genomen en zal nemen om de inbreuk aan te pakken, inclusief maatregelen om eventuele negatieve gevolgen te beperken.
3. De kennisgeving als bedoeld in artikel 11.1 zal door de Verwerker worden gestuurd aan de door de Verwerkingsverantwoordelijke aangewezen contactpersoon. De Verwerkingsverantwoordelijke moet de Verwerker per e-mail informeren over de contactgegevens van deze contactpersoon. Na ontvangst van de kennisgeving zal de Verwerkingsverantwoordelijke de Verwerker informeren over de wijze waarop Verwerkingsverantwoordelijke, indien nodig, een datalek zal melden bij de Autoriteit Persoonsgegevens.
4. De Verwerker erkent dat de Verwerkingsverantwoordelijke soms wettelijk verplicht is om een beveiligingsinbreuk die de Persoonsgegevens betreft te melden aan Betrokkenen en/of autoriteiten. Zo’n melding door Verwerkingsverantwoordelijke wordt nooit beschouwd als een tekortkoming of onrechtmatige handeling volgens de Verwerkersovereenkomst. De Verwerker zal alle nodige maatregelen nemen om de mogelijke schade van een beveiligingsinbreuk te beperken en de Verwerkingsverantwoordelijke ondersteunen bij meldingen aan Betrokkenen en/of autoriteiten.
5. De Verwerker zal ervoor zorgen dat bewijs met betrekking tot de inbreuk zoals bedoeld in artikel 11.1, zoals logbestanden, analyses van netwerkverkeer en toegangsgegevens, zo veel mogelijk bewaard blijft en desgevraagd aan Verwerkingsverantwoordelijke ter beschikking wordt gesteld.
Artikel 12. Bewaartermijn Persoonsgegevens
1. Als de Verwerkingsverantwoordelijke vindt dat bepaalde Persoonsgegevens niet langer bewaard mogen of hoeven te worden, zal de Verwerker op Schriftelijk verzoek van de Verwerkingsverantwoordelijke deze Persoonsgegevens onmiddellijk vernietigen. De Verwerker moet vervolgens Schriftelijk bevestigen dat dit is uitgevoerd. Dit geldt niet als de Verwerker deze Persoonsgegevens nodig heeft om te voldoen aan een wettelijke verplichting of als de Verwerker Schriftelijk kan uitleggen waarom bepaalde Persoonsgegevens niet kunnen worden vernietigd.
Artikel 13. Beveiligingsmaatregelen en inspectie
1. De Verwerker neemt, zoals vereist in artikel 32 van de AVG, passende technische en organisatorische maatregelen om Persoonsgegevens te beveiligen tegen verlies of onrechtmatige Verwerking. Deze maatregelen zorgen voor een goed beveiligingsniveau, rekening houdend met de nieuwste technologie, de uitvoeringskosten, de aard, omvang, context en verwerkingsdoeleinden van de Persoonsgegevens en de risico’s die Verwerking van de Persoonsgegevens door de Verwerker met zich meebrengen voor de rechten en vrijheden van de Betrokkenen.
2. De Verwerker kan niet garanderen dat de beveiliging altijd doeltreffend is in alle situaties. Als er geen specifieke beveiligingsmaatregel in de Verwerkersovereenkomst staat, zal de Verwerker zijn best doen om de beveiliging op een redelijk niveau te houden. Dit betekent dat de beveiliging moet voldoen aan de huidige technologie, de gevoeligheid van de Persoonsgegevens en de kosten van de beveiligingsmaatregelen.
3. De Verwerker heeft in ieder geval de volgende maatregelen genomen:
• Een beveiligd intern netwerk;
• Organisatorische maatregelen voor toegangsbeveiliging;
• Logische toegangscontrole met persoonsgebonden accounts en sterke wachtwoorden;
• Steekproefsgewijze controle op naleving beleid;
• Doelgebonden toegangsbeperkingen;
• Twee-staps-verificatie;
• Samenwerkingen met ISO27001 en NEN7510 gecertificeerde hostingpartij;
• Dagelijkse versleutelde back-ups naar een andere fysieke locatie;
• Beveiliging van netwerkverbindingen;
• Secure Socket Layer (SSL) technologie;
• Controle op toegekende bevoegdheden.
4. De Verwerker staat de Verwerkingsverantwoordelijke toe om de naleving van de beveiligingsmaatregelen te inspecteren. Op verzoek van de Verwerkingsverantwoordelijke kan een door hen aangewezen onderzoeksinstantie de gegevensverwerkingsfaciliteiten van de Verwerker inspecteren in verband met de activiteiten onder deze Overeenkomst (‘de Inspectie’). De Inspectie wordt uitgevoerd door een neutrale en deskundige onderzoeksinstantie, zoals de Verwerkingsverantwoordelijke dit redelijk vindt. De onderzoeksinstantie moet geheimhouding over haar bevindingen aan Derden waarborgen.
5. De Inspectie zoals bedoeld in lid 4 van dit artikel, kan slecht één keer per jaar worden uitgevoerd.
6. De Verwerkingsverantwoordelijke betaalt alle kosten, vergoedingen en onkosten die verband houden met de Inspectie, inclusief redelijke interne kosten van de Verwerker.
7. De Verwerkingsverantwoordelijke verstrekt de Verwerker een exemplaar van het rapport van de Inspectie.
Artikel 14. Verplichtingen Verwerkingsverantwoordelijke
1. De Verwerkingsverantwoordelijke is, in het kader van de Verwerking van Persoonsgegevens volgens deze Overeenkomst, de ‘Verwerkingsverantwoordelijke’ zoals omschreven in artikel 4 sub 7 AVG.
2. De Verwerkingsverantwoordelijke gaat ermee akkoord en staat ervoor in dat de Verwerking van de Persoonsgegevens in overeenstemming voldoet aan de geldende Privacywetgeving.
Artikel 15. Aansprakelijkheid
1. De Verwerker is aansprakelijk voor alle schade die voortkomt uit of verband houdend met het niet-nakomen van deze Overeenkomst of het handelen in strijd met de geldende Privacywetgeving, tenzij dit in opdracht van de Verwerkingsverantwoordelijke is gebeurd. In dat geval is de Verwerkingsverantwoordelijke zelf verantwoordelijk c.q. aansprakelijk.
2. De Verwerker vrijwaart de Verwerkingsverantwoordelijke tegen aanspraken van Derden, waaronder Betrokkenen en toezichthouders, die verband houden met het niet-naleven van de Overeenkomst in of overtredingen door de Verwerker van de geldende Privacywetgeving. De Verwerker zal alle bijbehorende kosten (inclusief kosten van juridische bijstand) en schade van de Verwerkingsverantwoordelijke vergoeden.
Artikel 16. Beëindiging
1. De Overeenkomst is voor onbepaalde tijd aangegaan en eindigt alleen wanneer de Onderliggende Overeenkomst eindigt. Bepalingen uit deze Overeenkomst die bedoeld zijn om na beëindiging van de Overeenkomst van kracht te blijven, blijven ook na het eindigen van de Overeenkomst van toepassing.
2. Tenzij de Verwerkingsverantwoordelijke Schriftelijk anders heeft aangegeven, zal de Verwerker bij beëindiging van de Overeenkomst alle Persoonsgegevens die aan haar zijn gegeven, onmiddellijk teruggeven aan de Verwerkingsverantwoordelijke. Ook zal de Verwerker alle digitale kopieën van de Persoonsgegevens vernietigen en aan Verwerkingsverantwoordelijke bevestigen dat dit is gebeurd.
3. Als de Verwerker denkt dat een wet haar verbiedt of beperkt om de Persoonsgegevens volledig te vernietigen, zal zij Verwerkingsverantwoordelijke zo snel mogelijk Schriftelijk informeren over deze wet en alle relevante informatie verstrekken.
4. Als de Verwerkingsverantwoordelijke denkt dat de wet het toestaat om de Persoonsgegevens (gedeeltelijk) te vernietigen, zal de Verwerker dit op verzoek van Verwerkingsverantwoordelijke onmiddellijk. Als de Verwerkingsverantwoordelijke vindt dat de gegevens niet vernietigd mogen worden, moet zij dit Schriftelijk aan de Verwerker laten weten.
5. Als de gegevens niet vernietigd mogen worden, garandeert de Verwerker de vertrouwelijkheid van de Persoonsgegevens en zal zij deze niet Verwerken, behalve om te voldoen aan de wettelijke verplichting of na Schriftelijke instructie van de Verwerkingsverantwoordelijke.
Artikel 17. Overdracht rechten en plichten
1. Deze Overeenkomst en de rechten en verplichtingen die eruit voortkomen, kunnen door de Verwerker niet aan Derden worden overgedragen zonder de voorafgaande Schriftelijke toestemming van Verwerkingsverantwoordelijke. Dit is een beding met zogeheten ‘goederenrechtelijke werking’, zoals bedoeld in artikel 3:83 van het Burgerlijk Wetboek.
Artikel 18. Deelbaarheid
1. Als één of meer bepalingen van deze Overeenkomst nietig blijkt te zijn of vernietigd wordt, heeft dit geen invloed op geldigheid van de rest van de Overeenkomst. Partijen zullen overleggen om een nieuwe bepaling ter vervanging van de nietige c.q. vernietigde bepaling overeen te komen, waarbij zoveel mogelijk het doel en de strekking van de nietige c.q. vernietigde bepaling in acht worden genomen.
2. Als er tegenstrijdigheden zijn tussen de Onderliggende Overeenkomst, op grond waarvan de dienst wordt verleend en deze Verwerkersovereenkomst, hebben de bepalingen van deze Verwerkersovereenkomst voorrang als het gaat over het Verwerken van Persoonsgegevens. Voor andere tegenstrijdige bepalingen gaan die van de Onderliggende Overeenkomst voor.
3. De overwegingen en bijlagen maken integraal onderdeel uit van deze Verwerkersovereenkomst.
Artikel 19. Toepasselijkheid recht en geschillen
1. Op deze Overeenkomst en alles wat daaruit voortvloeit, is uitsluitend Nederlands recht van toepassing.
2. Alle geschillen voortvloeiende uit of verband houden met deze Overeenkomst, worden uitsluitend voorgelegd aan de bevoegde rechter in het arrondissement waar Verwerker gevestigd is.
Wij zijn er om je te helpen
Heb je vragen of feedback over hoe MijnDiAd omgaat met privacy en de AVG? Neem dan contact op met MijnDiAd via support@mijndiad.nl
Klik hier om deze verwerkersovereenkomst als PDF te downloaden