Verwerkersovereenkomst

Versie: 1.1 (Bekijk vorige versie)

Datum: 20-8-2018

Overeenkomst verwerking persoonsgegevens

 

INTRODUCTIE

MijnDiAd, KvK-nummer: 63231115 (de “Verwerker”), biedt online praktijksoftware voor de praktijkadministratie (de “Diensten”). De afnemer van de Diensten beschikt over persoonsgegevens van verschillende betrokkenen (de “Betrokkenen”) in de zin van de Algemene Verordening Gegevensbewerking (“AVG”) en is ‘verwerkingsverantwoordelijke’ in de zin van de AVG. De afnemer wordt hierna “Verantwoordelijke” genoemd.
Als je gebruikmaakt van onze diensten, geef jij gegevens van derden aan ons door die ‘persoonsgegevens’ zijn volgens de Algemene Verordening Gegevensbescherming. Je bent dan verplicht om een ‘verwerkersovereenkomst’ met ons te sluiten. Daarom is deze verwerkersovereenkomst op onze dienst van toepassing.

 

OVEREENKOMST

 

Artikel 1 – Definities

AVGDe Algemene Verordening Gegevensbescherming.
BetrokkenenPersonen waarvan de persoonsgegevens verwerkt worden op basis van deze verwerkersovereenkomst; betrokkenen zoals in de zin van de AVG.
OvereenkomstDeze verwerkersovereenkomst, die geldt tussen Partijen.
PartijenDe benaming van Verwerker en Verantwoordelijke tezamen.
PersoonsgegevensGegevens waarmee een natuurlijke persoon direct of indirect geïdentificeerd kan worden, zoals bedoeld in de AVG.
VerantwoordelijkeJij, die als gebruiker van onze dienst gebruikmaakt en ons daarom persoonsgegevens van Betrokkenen aanlevert. Verantwoordelijke is ook de ‘verwerkingsverantwoordelijke’ in de zin van de AVG.
VerwerkerWij, MijnDiAd met adres Gerardsweg 37, 6525RS Nijmegen, KvK-nummer 63231115 als verwerker van de persoonsgegevens die Verantwoordelijke aan ons aanlevert.
Sub VerwerkersDerden die door Verwerker ingeschakeld worden om bepaalde persoonsgegevens te verwerken ten behoeve van Verantwoordelijke.

Artikel 2 – Achtergrond

  1. De Verantwoordelijke handelt als ‘verantwoordelijke’ (ook wel: verwerkingsverantwoordelijke) in de zin van de AVG. Dit betekent dat de Verantwoordelijke het doel en de middelen van de verwerking van persoonsgegevens bepaalt en dat de Verantwoordelijke de persoonsgegevens gebruikt voor eigen doeleinden.
  2. Verwerker handelt als ‘verwerker’ in de zin van de AVG. Dit betekent dat Verwerker de persoonsgegevens die Verantwoordelijke aanlevert enkel verwerkt volgens schriftelijke instructies van Verantwoordelijke zoals beschreven in deze Verwerkersovereenkomst. Verwerker zal de persoonsgegevens niet voor eigen doeleinden verwerken.

Artikel 3 – Uitvoering verwerking

  1. Verwerker zal bij de uitvoering van de Opdracht op zorgvuldige wijze met de persoonsgegevens omgaan en de persoonsgegevens enkel verwerken in opdracht van Verantwoordelijke, overeenkomstig diens schriftelijke instructies en in overeenstemming met deze Overeenkomst en de voorschriften in de AVG.
  2. Verwerker zal de persoonsgegevens niet voor enig ander doel verwerken dan zoals door Verantwoordelijke is vastgesteld. Verwerker heeft geen zeggenschap over het doel en de middelen voor de verwerking van de persoonsgegevens.
  3. Verwerker staat ervoor in dat personen die handelen onder zijn gezag de persoonsgegevens alleen op rechtmatige wijze en in overeenstemming met deze Overeenkomst en de AVG zullen verwerken.
  4. Verwerker zal op verzoek van Verantwoordelijke informatie aan Verantwoordelijke geven over de genomen (beveiligings)maatregelen om aan de verplichtingen op grond van de AVG, deze Overeenkomst en de overige instructies van Verantwoordelijke te voldoen.

Artikel 4 – Garantie Verantwoordelijke

Verantwoordelijke garandeert dat de verwerking van de persoonsgegevens van de Betrokkenen, zoals bedoeld in deze Overeenkomst, niet onrechtmatig is en dat geen inbreuk wordt gemaakt op de rechten van anderen. Verantwoordelijke vrijwaart Verwerker tegen alle aanspraken die hierop betrekking hebben.

Artikel 5 – Doorgifte van persoonsgegevens

  1. Verwerker zal de persoonsgegevens enkel binnen de Europese Unie verwerken. Doorgifte van de persoonsgegevens naar landen buiten de Europese Unie is niet toegestaan. Verwerker zal persoonsgegevens enkel buiten de Europese Unie Verwerken indien hij hiertoe wettelijk verplicht is.
  2. Verwerker zal op verzoek van Verantwoordelijke melden binnen welk(e) land(en) Verwerker de persoonsgegevens verwerkt ten behoeve van Verantwoordelijke.

Artikel 6 – Beveiligingsmaatregelen

  1. Verwerker neemt alle passende technische en organisatorische maatregelen om de persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen een passend beveiligingsniveau van de persoonsgegevens die worden verwerkt.
  2. Verwerker neemt in ieder geval de volgende maatregelen:
    • Encryptie (versleuteling) van digitale bestanden die persoonsgegevens bevatten
    • Beveiliging van netwerkverbindingen via Secure Socket Layer (SSL) technologie of daaraan vergelijkbare technologie
    • De toegang tot de persoonsgegevens is beperkt tot bevoegd personeel
    • Back-ups van de persoonsgegevens om deze bij fysieke of technische incidenten tijdig te herstellen
    • De toegang tot de gegevens is beveiligd met twee-staps-verificatie.
    • ISO27001 en NEN7510 gecertificeerde hostingpartij
    • Verwerkersovereenkomsten inclusief geheimhouding met alle bedrijven die toegang hebben tot de gegevens.
    • Dagelijkse encrypte backup naar een fysiek andere locatie
  3. Verwerker zal Verwerkingsverantwoordelijke alle beschikbare informatie verstrekken om Verantwoordelijke bijstand te verlenen bij uitvoeren van beveiligingsmaatregelen, het mogelijk maken van audits en inspecties en het uitvoeren van gegevensbeschermingseffectbeoordelingen.

Artikel 7 – Beveiligingsincidenten

  1. Verwerker zal diefstal, verlies of misbruik van persoonsgegevens of elke andere vorm van een datalek zo snel mogelijk melden aan Verantwoordelijke. Deze melding omvat, waar mogelijk, tenminste het volgende: de aard van de inbreuk, de categorieën en omvang van de betrokken persoonsgegevens, de waarschijnlijke gevolgen van het datalek, de maatregelen die Verwerker heeft genomen en het contactpunt waar Verantwoordelijke meer informatie kan verkrijgen.
  2. Waar nodig, zal Verwerker zijn volle medewerking verlenen aan het adequaat informeren van de autoriteiten en betrokken personen over dergelijke beveiligingsincidenten of datalekken. Ook zal Verwerker zijn volledige medewerking verlenen aan het uitvoeren van risicobeoordelingen, het analyseren van de oorzaak, het identificeren van vereiste corrigerende maatregelen en het uitvoeren hiervan.

Artikel 8 – Duur en beëindiging

  1. Deze Overeenkomst vangt aan op het moment van aanvaarding door de Verantwoordelijke via de website van Verwerker. Partijen gaan deze Overeenkomst aan voor onbepaalde tijd.
  2. Opzegging is schriftelijk mogelijk tegen het einde van de maand met een opzegtermijn van één maand.
  3. Als deze Overeenkomst eindigt of wordt ontbonden moeten Partijen zich blijven houden aan het bepaalde in deze Overeenkomst met betrekking tot geheimhouding, aansprakelijkheid, vrijwaring en alle overige bepalingen die naar hun aard bestemd zijn om ook na beëindiging of ontbinding van deze Overeenkomst voort te duren.
  4. Als deze Overeenkomst eindigt of wordt ontbonden zal Verwerker alle gegevens, waaronder persoonsgegevens, die op basis van deze Overeenkomst bij Verwerker aanwezig zijn aan Verantwoordelijke terugbezorgen op diens verzoek. Verantwoordelijke moet dit verzoek binnen vier weken aan Verwerker doorgeven. Na deze termijn zal Verwerker alle gegevens die bij haar uit hoofde van deze Overeenkomst aanwezig zijn (inclusief alle eventuele kopieën daarvan) op veilige wijze verwijderen of vernietigen, tenzij Verwerker wettelijk verplicht is de gegevens langer op te slaan.

Artikel 9 – Vertrouwelijkheid en geheimhouding

  1. Verwerker zal alle persoonsgegevens en andere gegevens die hij van Verantwoordelijkheid ontvangt vertrouwelijk behandelen. Verwerker zal de toegang tot deze gegevens beperken tot personen werkzaam voor Verwerker, die toegang nodig hebben voor een juiste uitvoering van de verwerking ten behoeve van Verantwoordelijke.
  2. Op alle persoonsgegevens die Verwerker op basis van deze Overeenkomst ontvangt rust een geheimhoudingsplicht jegens derden. Alle personen in dienst van, dan wel werkzaam ten behoeve van, Verwerker, alsmede Verwerker zelf, zijn verplicht tot geheimhouding van de persoonsgegevens.
  3. Verwerker zal de persoonsgegevens niet zonder toestemming van Verantwoordelijke aan derden verstrekken, kopiëren, of anderszins verveelvoudigen of openbaar maken.

Artikel 10 – Rechten van Betrokkenen

  1. Verwerker zal Verantwoordelijke bijstand verlenen bij het vervullen van de plicht van Verantwoordelijke om verzoeken van Betrokkenen te beantwoorden, zoals het recht op inzage, rectificatie en gegevenswissing.
  2. Als Verwerker een verzoek van een derde ontvangt om inzage in de persoonsgegevens te verstrekken op grond van een vermeende (wettelijke) verplichting dan zal hij Verantwoordelijke daarover eerst schriftelijk informeren alvorens hij die derde inzage in de persoonsgegevens verschaft, zodat Verwerkingsverantwoordelijke kan beoordelen of het verzoek van die derde gegrond is.

Artikel 11 – Personen werkzaam onder gezag Verwerker

De verplichtingen van Verwerker die uit deze Overeenkomst voortvloeien, gelden ook voor degenen die persoonsgegevens verwerken onder het gezag van Verwerker, waaronder begrepen, maar niet beperkt tot, werknemers.

Artikel 12 – Sub Verwerkers

  1. Verwerker kan bij de verwerking van de persoonsgegevens gebruik maken van externe partijen. Een actuele lijst van Sub Verwerkers is te vinden via de volgende URL: https://www.mijndiad.nl/verwerkersovereenkomst/sub-verwerkers/
  2. Verwerker mag nieuwe Sub Verwerkers in dienst nemen voor de verwerking van de persoonsgegevens. Verwerker zal Verantwoordelijke op de hoogte stellen van de toevoeging of vervanging van Sub Verwerkers, waarbij Verantwoordelijke de mogelijkheid krijgt bezwaar te maken.
  3. Verwerker blijft volledig verantwoordelijk ten aanzien van de Verantwoordelijke voor de naleving door de Sub Verwerker van haar verplichtingen.

Artikel 13 – Vrijwaring

  1. Verantwoordelijke is verantwoordelijk voor de persoonsgegevens (of andere data) die Verantwoordelijke deelt met Verwerker. Verantwoordelijke vrijwaart Verwerker voor aanspraken van derden of boetes opgelegd door de Autoriteit Persoonsgegevens vanwege de doorgifte van deze gegevens.
  2. Verwerker is alleen aansprakelijk voor directe schade van Verantwoordelijke, die rechtstreeks en uitsluitend het gevolg is van een tekortkoming van Verwerker.
  3. De in dit artikel opgenomen beperkingen van de aansprakelijkheid gelden niet als de schade te wijten is aan opzet of grove schuld van Verwerker.

Artikel 14 – Boetebepaling

Verwerker is een boete verschuldigd aan Verantwoordelijke als hij zich niet houdt aan een bepaling uit deze Overeenkomst en dit niet herstelt, nadat hem daarvoor een redelijke termijn van 14 dagen is gegeven. Deze boete van € 25,00 per dag is direct opeisbaar en geldt vanaf het moment dat Verwerker in verzuim is.

Artikel 15 – Nietigheid

Als een deel van deze Overeenkomst nietig of vernietigbaar is, verandert dat niets aan de geldigheid van de rest van de Overeenkomst. Het nietige deel wordt vervangen door een bepaling die zoveel mogelijk de inhoud van de nietige bepaling volgt.

Artikel 16 – Slotbepaling

  1. Alleen schriftelijke wijzigingen op deze Overeenkomst zijn geldig.
  2. Deze Overeenkomst vervangt alle eerdere overeenkomsten tussen Partijen.

Artikel 17 – Toepasselijk recht

Nederlands recht.

Artikel 18 – Bevoegde rechter

Rechtbank Gelderland.

 

Klik hier om deze verwerkersovereenkomst als PDF te downloaden