Verwerkersovereenkomst

Versie 25/05/2018


Deze Verwerkersovereenkomst maakt integraal onderdeel uit van de overeenkomsten tussen u (wederpartij) en Hosting Machine Informática Ltda. EPP. Hosting Machine Informática Ltda. EPP is de verwerker (hierna: “Verwerker”) van de persoonsgegevens en wederpartij is verwerkingsverantwoordelijk (hierna: “Verwerkingsverantwoordelijke”) voor de persoonsgegevens.

hierna afzonderlijk te noemen als “Partij” en gezamenlijk te noemen als “Partijen”,

overwegende dat:

  • Verwerkingsverantwoordelijke beschikt over persoonsgegevens van diverse klanten of klanten van klanten (hierna: Betrokkenen);
  • Verwerkingsverantwoordelijke gebruik maakt van de diensten die Verwerker aanbiedt voor het hosten van websites, het verwerken van e-mail, de registratie van domeinen en aanverwante dientsen;
  • Verwerkingsverantwoordelijke door middel van het gebruik van de genoemde diensten van Verwerker persoonsgegevens laat verwerken door Verwerker waarbij de Verwerkingsverantwoordelijke het doel en de middelen aanwijst. Dit in het kader van de overeenkomst tussen Partijen (hierna te noemen: Hoofdovereenkomst);
  • Verwerker bereid is de verplichtingen omtrent beveiliging en andere aspecten van de Wet Bescherming Persoonsgegevens (WBP) na te komen, voor zover dit binnen zijn macht ligt;
  • Partijen, mede gelet op het vereiste uit artikel 14 lid 5 van de WBP, hun rechten en plichten door middel van deze verwerkersovereenkomst (hierna: Verwerkersovereenkomst) schriftelijk wensen vast te leggen;
  • Verwerker bij de uitvoering van de Hoofdovereenkomst aangemerkt kan worden als Bewerker in de zin van artikel 1 sub e van de WBP;
  • Verwerkingsverantwoordelijke aangemerkt wordt als Verantwoordelijke in de zin van artikel 1 sub d van de WBP;
  • waar in deze Verwerkersovereenkomst gesproken wordt over persoonsgegevens, hierna persoonsgegevens in de zin van artikel 1 sub a van de WBP worden bedoeld;
  • waar in deze Verwerkersovereenkomst termen uit de WBP of Algemene Verordening Gegevensbescherming (AVG) worden genoemd, hiermee de corresponderende termen uit de WBP of AVG worden bedoeld;
  • waar in deze Verwerkersovereenkomst wordt verwezen naar de WBP, vanaf 25 mei 2018 gedoeld wordt op (de corresponderende bepalingen uit) de AVG.


komen overeen:

Artikel 1. Doeleinden van verwerking

1.1.
Verwerker verbindt zich onder de voorwaarden van deze Verwerkersovereenkomst in opdracht van Verwerkingsverantwoordelijke persoonsgegevens te verwerken. Verwerking zal uitsluitend plaatsvinden in het kader van deze Verwerkersovereenkomst en de doeleinden vastgelegd in de Hoofdovereenkomst. In Bijlage 1A van deze Verwerkersovereenkomst is vastgelegd om welke categorieën betrokkenen en persoonsgegevens het gaat. Verwerkingsverantwoordelijke zal Verwerker schriftelijk op de hoogte stellen van de verwerkingsdoelen voor zover deze niet reeds in deze Verwerkersovereenkomst zijn genoemd.
1.2.
Verwerker heeft geen zeggenschap over het doel en de middelen voor verwerking van persoonsgegevens. Verwerker neemt geen zelfstandige beslissingen over de ontvangst en het gebruik van de persoonsgegevens, de verstrekking aan derden en de duur van de opslag van persoonsgegevens.
1.3.
Verwerker heeft geen zeggenschap over het doel en de middelen voor verwerking van persoonsgegevens. Verwerker neemt geen zelfstandige beslissingen over de ontvangst en het gebruik van de persoonsgegevens, de verstrekking aan derden en de duur van de opslag van persoonsgegevens.
1.4.
Verwerkingsverantwoordelijke staat ervoor in dat zij, vanaf 25 mei 2018 op het moment dat de AVG van toepassing wordt, een register zal bijhouden van de onder deze Verwerkingsovereenkomst geregelde verwerkingen. Verwerkingsverantwoordelijke vrijwaart Verwerker tegen alle aanspraken en claims die verband houden met het niet juist naleven van deze registerplicht.

Artikel 2. Verdeling van verantwoordelijkheid

2.1.
Partijen zullen zorg dragen voor de naleving van toepasselijke privacywet- en regelgeving.
2.2.
De toegestane verwerkingen zullen door Verwerker worden uitgevoerd binnen een (semi-) geautomatiseerde omgeving.
2.3.
Verwerker is louter verantwoordelijk voor de verwerking van de persoonsgegevens onder deze Verwerkersovereenkomst, overeenkomstig de instructies van Verwerkingsverantwoordelijke en onder de uitdrukkelijke (eind)verantwoordelijkheid van Verwerkingsverantwoordelijke. Voor alle overige verwerkingen van persoonsgegevens, waaronder in ieder geval begrepen maar niet beperkt tot de verzameling van de persoonsgegevens door de Verwerkingsverantwoordelijke, verwerkingen voor doeleinden die niet door Verwerkingsverantwoordelijke aan Verwerker zijn gemeld, verwerkingen door derden en/of andere doeleinden, is Verwerker niet verantwoordelijk. De verantwoordelijkheid voor deze verwerkingen rust uitsluitend bij Verwerkingsverantwoordelijke.
2.4.
Verwerkingsverantwoordelijke staat ervoor in dat de inhoud, het gebruik en de opdracht tot verwerkingen van persoonsgegevens, zoals bedoeld in deze Verwerkersovereenkomst, niet onrechtmatig is en geen inbreuk maakt op enig recht van derden.

Artikel 3. Verplichtingen Verwerker

3.1.
Ten aanzien van de in artikel 1 genoemde verwerkingen, zal Verwerker zorg dragen voor de naleving van de voorwaarden die, op grond van de WBP en AVG, worden gesteld aan het verwerken van persoonsgegevens door Verwerker vanuit diens rol.
3.2.
Verwerker zal Verwerkingsverantwoordelijke, op diens eerste verzoek en binnen een redelijke termijn, informeren over de door hem genomen maatregelen aangaande zijn verplichtingen onder deze Verwerkersovereenkomst.
3.3.
Verwerker zal Verwerkingsverantwoordelijke in kennis stellen indien naar zijn mening een instructie van Verwerkingsverantwoordelijke in strijd is met relevante privacywet- en regelgeving.
3.4.
Verwerker zal Verwerkingsverantwoordelijke de noodzakelijke medewerking verlenen wanneer er in het kader van de verwerking een gegevensbeschermingseffectbeoordeling, of voorafgaande raadpleging van de toezichthouder, noodzakelijk mocht zijn.
3.5.
De verplichtingen van Verwerker die uit deze Verwerkersovereenkomst voortvloeien, gelden ook voor degenen die persoonsgegevens verwerken onder het gezag van Verwerker, waaronder begrepen maar niet beperkt tot werknemers, in de ruimste zin van het woord.

Artikel 4. Doorgifte van persoonsgegevens

4.1.
Verwerker verwerkt persoonsgegevens in landen binnen de Europese Unie (EU). Verwerkingsverantwoordelijke geeft Verwerker daarnaast, indien van toepassing, toestemming voor de verwerking van persoonsgegevens in landen buiten de Europese Unie, met inachtneming van de relevante wet- en regelgeving.
4.2.
Verwerker zal Verwerkingsverantwoordelijke, op diens eerste verzoek daartoe, melden om welk land of welke landen het gaat.

Artikel 5. Inschakelen van derden of subverwerkers

5.1.
Verwerkingsverantwoordelijke verleent Verwerker hierbij toestemming om bij de verwerking derden (subverwerkers) in te schakelen, met inachtneming van de toepasselijke privacywetgeving.
5.2.
Verwerker zal Verwerkingsverantwoordelijke zo spoedig mogelijk informeren over de door haar ingeschakelde subverwerkers. Verwerkingsverantwoordelijke heeft het recht om bezwaar te maken tegen het inschakelen van de subverwerker. Dit bezwaar dient schriftelijk, binnen twee weken en door argumenten ondersteund, te worden ingediend. Wanneer Verwerkingsverantwoordelijke bezwaar maakt tegen een door Verwerker in te schakelen subverwerker, zullen Partijen in onderling overleg treden om tot een oplossing te komen.
5.3.
Verwerker zorgt er in ieder geval voor dat subverwerkers schriftelijk ten minste dezelfde plichten op zich nemen als tussen Verwerkingsverantwoordelijke en Verwerker zijn overeengekomen. Verwerker staat in voor een correcte naleving van de plichten door deze subverwerkers en is bij fouten van deze subverwerkers zelf jegens Verwerkingsverantwoordelijke aansprakelijk voor alle schade alsof hij zelf de fout(en) heeft begaan.

Artikel 6. Beveiliging

6.1.
Verwerker zal zich inspannen passende technische en organisatorische maatregelen te nemen om de persoonsgegevens te beschermen tegen verlies of tegen enige vorm van onrechtmatige verwerking (zoals onbevoegde kennisname, aantasting, wijziging of verstrekking van persoonsgegevens). Verwerker heeft hiertoe de in Bijlage 1B benoemde beveiligingsmaatregelen genomen.
6.2.
Verwerker zal zich inspannen de beveiliging te laten voldoen aan een niveau dat, gelet op de stand van de techniek, de gevoeligheid van de persoonsgegevens en de aan het treffen van de beveiliging verbonden kosten, niet onredelijk is.
6.3.
Verwerkingsverantwoordelijke stelt enkel persoonsgegevens aan Verwerker ter beschikking voor verwerking, indien hij zich ervan heeft verzekerd dat de vereiste beveiligingsmaatregelen zijn getroffen. Verwerkingsverantwoordelijke is verantwoordelijk voor de naleving van de door Partijen afgesproken maatregelen.

Artikel 7. Meldplicht datalekken

7.1.
In het geval van een beveiligingslek en/of datalek (waaronder wordt verstaan: een inbreuk op de beveiliging van persoonsgegevens die leidt tot een aanzienlijke kans op ernstige gevolgen, dan wel ernstige nadelige gevolgen heeft, voor de bescherming van persoonsgegevens, zoals bedoeld in artikel 34a WBP) zal Verwerker, zich naar beste kunnen inspannen om Verwerkingsverantwoordelijke daarover onverwijld dan wel uiterlijk binnen 48 uur te informeren naar aanleiding waarvan Verwerkingsverantwoordelijke beoordeelt of zij de toezichthoudende autoriteiten en/of betrokkenen zal informeren of niet. Verwerker spant zich naar beste kunnen in om de verstrekte informatie volledig, correct en accuraat te maken. De meldplicht geldt enkel indien het lek daadwerkelijk heeft plaatsgevonden.
7.2.
Verwerkingsverantwoordelijke zal zorgdragen voor het voldoen aan eventuele (wettelijke) meldplichten. Indien de wet- en/of regelgeving dit vereist zal Verwerker meewerken aan het informeren van de ter zake relevante autoriteiten en eventueel betrokkenen.
7.3.
De meldplicht behelst in ieder geval het melden van het feit dat er een lek is geweest, alsmede:

  • wat de (vermeende) oorzaak is van het datalek;
  • wat het (vooralsnog bekende en/of te verwachten) gevolg is;
  • wat de (voorgestelde) oplossing is;
  • contactgegevens voor de opvolging van de melding;
  • wie geïnformeerd is (zoals betrokkene zelf, Verwerkingsverantwoordelijke, toezichthouder).

Artikel 8. Afhandeling verzoeken van betrokkenen

8.1.
In het geval dat een betrokkene een verzoek over zijn persoonsgegevens richt aan Verwerker, zal Verwerker het verzoek doorsturen aan Verwerkingsverantwoordelijke. Verwerker mag de betrokkene daarvan op de hoogte stellen. Verwerker zal Verwerkingsverantwoordelijke de noodzakelijke medewerking verlenen bij het afhandelen van het verzoek. Indien blijkt dat de Verwerkingsverantwoordelijke hulp nodig heeft van Verwerker voor de uitvoering van een verzoek van een betrokkene, dan kan Verwerker hiervoor kosten in rekening brengen.

Artikel 9. Geheimhouding en vertrouwelijkheid

9.1.
Op alle persoonsgegevens die Verwerker van Verwerkingsverantwoordelijke ontvangt en/of zelf verzamelt in het kader van deze Verwerkersovereenkomst, rust een geheimhoudingsplicht jegens derden. Verwerker zal deze informatie niet voor een ander doel gebruiken dan waarvoor hij deze heeft verkregen, tenzij deze in een zodanige vorm is gebracht dat deze niet tot betrokkenen herleidbaar is.
9.2.
Deze geheimhoudingsplicht is niet van toepassing:
  • voor zover Verwerkingsverantwoordelijke uitdrukkelijke toestemming heeft gegeven om de informatie aan derden te verschaffen; of
  • indien het verstrekken van de informatie aan derden logischerwijs noodzakelijk is voor de uitvoering van de Hoofdovereenkomst of deze Verwerkersovereenkomst; en
  • indien er een wettelijke verplichting bestaat om de informatie aan een derde te verstrekken.

Artikel 10. Audit

10.1.
Verwerkingsverantwoordelijke heeft het recht een audit uit te voeren of laten voeren door een deskundige onafhankelijke derde die aan geheimhouding is gebonden, ter controle van naleving van alle punten uit deze Verwerkersovereenkomst, en alles wat daar direct verband mee houdt.
10.2.
Deze audit vindt uitsluitend plaats nadat Verwerkingsverantwoordelijke de bij Verwerker aanwezige soortgelijke relevante auditrapportages heeft opgevraagd, beoordeeld en redelijke argumenten aanbrengt die een door Verwerkingsverantwoordelijke geïnitieerde audit alsnog rechtvaardigen. Een dergelijke audit wordt gerechtvaardigd wanneer de bij Verwerker aanwezige soortgelijke auditrapportages geen of onvoldoende uitsluitsel geven over het naleven van deze Verwerkersovereenkomst door Verwerker. De door Verwerkingsverantwoordelijke geïnitieerde audit vindt twee weken na voorgaande aankondiging door Verwerkingsverantwoordelijke, maximaal eens per kalenderjaar plaats.
10.3.
Verwerker zal aan de audit meewerken en alle voor de audit redelijkerwijs relevante informatie, inclusief ondersteunende gegevens zoals systeemlogs, en medewerkers zo tijdig mogelijk en binnen een redelijke termijn, waarbij een termijn van maximaal twee weken redelijk is tenzij een spoedeisend belang zich hiertegen verzet, ter beschikking stellen.
10.4.
De bevindingen naar aanleiding van de uitgevoerde audit zullen door Partijen in onderling overleg worden beoordeeld. Naar aanleiding daarvan zullen wijzigingen al dan niet worden doorgevoerd in de beveiliging door één van de Partijen of door beide Partijen gezamenlijk.
10.5.
Alle kosten van de audit worden door Verwerkingsverantwoordelijke gedragen, waaronder ook de (interne) kosten die Verwerker maakt, met dien verstande dat de kosten voor de in te huren derde altijd door Verwerkingsverantwoordelijke altijd worden gedragen.

Artikel 11. Aansprakelijkheid

11.1.
De aansprakelijkheid van Partijen voor schade als gevolg van een toerekenbare tekortkoming in de nakoming van deze Verwerkersovereenkomst, dan wel uit onrechtmatige daad of anderszins, wordt beperkt tot de hoogte van de laatste factuur die Verwerkingsverantwoordelijke heeft voldaan.
11.2.
Voorwaarde voor het ontstaan van enig recht op schadevergoeding is steeds dat Verwerkingsverantwoordelijke de schade zo spoedig mogelijk na het bekend worden daarmee schriftelijk en aangetekend bij Verwerker meldt. Iedere vordering tot schadevergoeding door Verwerkingsverantwoordelijke vervalt door het enkele verloop van drie maanden nadat Verwerkingsverantwoordelijke bekend is geworden met het feit dat hij schade heeft geleden.
11.3.
Verwerker is uitdrukkelijk niet aansprakelijk voor schade van Verwerkingsverantwoordelijke als gevolg van een boete opgelegd door een van de nationale toezichthouders, waaronder de Autoriteit Persoonsgegevens, onder andere in het kader van wettelijke meldplichten.

Artikel 12. Duur en beëindiging

12.1.
Deze Verwerkersovereenkomst komt tot stand door het akkoord geven op deze overeenkomst tijdens het plaatsen van een bestelling.
12.2.
Deze Verwerkersovereenkomst is aangegaan voor de duur zoals bepaald in de Hoofdovereenkomst tussen Partijen, en bij gebreke daarvan in ieder geval voor de duur van de samenwerking.
12.3.
Partijen mogen deze Verwerkersovereenkomst alleen wijzigen met wederzijdse schriftelijke instemming.

Artikel 13. Overige bepalingen

13.1.
De Verwerkersovereenkomst en de uitvoering daarvan worden beheerst door Nederlands recht.
13.2.
Alle geschillen, die tussen Partijen mochten ontstaan in verband met de Verwerkersovereenkomst, zullen worden voorgelegd aan de bevoegde rechter in het arrondissement waarin Verwerker is gevestigd.
13.3.
Logs en gedane metingen door Verwerker gelden als dwingend bewijs, behoudens tegenbewijs te leveren door Verwerkingsverantwoordelijke.
13.4.
In geval van strijdigheid van verschillende documenten of de bijlagen daarvan, geldt de volgende rangorde:
  • de Hoofdovereenkomst;
  • de Algemene Voorwaarden;
  • deze Verwerkersovereenkomst;
  • eventuele aanvullende voorwaarden.

Bijlage 1A: Specificatie persoonsgegevens en betrokkenen

Verwerker zal in het kader van de Hoofdovereenkomst, de volgende (bijzondere) persoonsgegevens verwerken in opdracht van Verwerkingsverantwoordelijke:

Verwerker zal in opdracht van Verwerkingsverantwoordelijke de volgende soorten persoonsgegevens verwerken:

  • NAW-gegevens;
  • Contactgegevens;
  • Geslacht;
  • IP-adres;
  • Betaalgegevens;
  • Inloggegevens.

Het betreft de volgende categorieën betrokkenen:

  • (Potentiële) klanten;
  • Leveranciers;
  • Medewerkers.

Verwerkingsverantwoordelijke staat ervoor in dat de in deze Bijlage 1 van verwerkersovereenkomst omschreven persoonsgegevens en categorieën betrokkenen volledig en correct zijn, en vrijwaart Verwerker voor enige gebreken en aanspraken die resulteren uit een incorrecte weergave door Verwerkingsverantwoordelijke.

Bijlage 1B: Beveiligingsmaatregelen

Verwerker heeft de volgende beveiligingsmaatregelen genomen:

  • logische toegangscontrole, gebruik makend van sterke wachtwoorden;
  • IP-restricties voor toegangsbeveiliging van database en bestanden bij Verwerker;
  • encryptie (versleuteling) van persoonsgegevens die staan opgeslagen in de database;
  • organisatorische maatregelen voor toegangsbeveiliging;
  • beveiliging van netwerkverbindingen via Transport Layer Security (TLS) technologie;
  • geheimhoudingsplicht medewerkers en ingeschakelde derden.