Verwerkersovereenkomst

Artikel 1. Toepasselijkheid

1.1 Deze overeenkomst is onze algemene van toepassing zijnde verwerkersovereenkomst (hierna: “Verwerkersovereenkomst”).

1.2 Indien en voor zover ter uitvoering van de verplichtingen onder de overeenkomst tussen Knoworries en de klant voor het leveren van de dienst (hierna: de “Hoofdovereenkomst”) Knoworries beschikking zal krijgen over door de klant verstrekte persoonsgegevens, zal Knoworries deze ten behoeve van de klant (laten) verwerken.

1.3 Knoworries dient in dat kader te worden aangemerkt als Verwerker en de klant als Verwerkingsverantwoordelijke. Knoworries zal hierna “Verwerker” worden genoemd en de
klant “Verwerkingsverantwoordelijke” en tezamen zullen zij worden aangeduid als “Partijen”.

1.4 Op de verwerking van Persoonsgegevens door Verwerker zijn de Algemene Verordening Gegevensbescherming (hierna: “AVG”) en de Uitvoeringswet AVG van toepassing. Begrippen
uit de AVG die worden gebruikt in deze Verwerkersovereenkomst, zoals verwerken, persoonsgegevens, verwerkingsverantwoordelijke en verwerker, hebben de betekenis die
daaraan is toegekend in de AVG.

1.5 Partijen hebben conform artikel 28 AVG het onderwerp en de duur van de verwerking, de aard en het doel van de verwerking, het soort persoonsgegevens, de categorieën van betrokkenen en de rechten en verplichtingen van Partijen vastgelegd in deze Verwerkersovereenkomst.

Artikel 2. Algemeen

2.1 Verwerker verwerkt persoonsgegevens slechts in opdracht en ten behoeve van Verwerkingsverantwoordelijke gedurende de looptijd van de Hoofdovereenkomst. Verwerker zal de persoonsgegevens onder geen enkele omstandigheid voor eigen doeleinden gebruiken, behoudens andersluidende wettelijke verplichtingen.

2.2 Verwerker brengt Verwerkingsverantwoordelijke onverwijld op de hoogte indien Verwerker reden heeft om aan te nemen dat Verwerker niet langer aan de Verwerkersovereenkomst kan voldoen.

2.3 Verwerkingsverantwoordelijke verstrekt persoonsgegevens aan Verwerker. Een overzicht van de categorieën persoonsgegevens die aan Verwerker verstrekt kunnen worden, wordt opgenomen in Annex 1. Partijen zullen Annex 1, indien nodig, gedurende de looptijd van de Verwerkersovereenkomst aanpassen.

2.4 Verwerker verwerkt persoonsgegevens voor Verwerkingsverantwoordelijke overeenkomstig de schriftelijke instructies en onder de uitdrukkelijke verantwoordelijkheid van Verwerkingsverantwoordelijke. De instructies van Verwerkingsverantwoordelijke zijn nader omschreven in de Verwerkersovereenkomst en de Hoofdovereenkomst.

2.5 Verwerkingsverantwoordelijke heeft de zeggenschap over de verwerking van de persoonsgegevens en heeft het doel van en de middelen voor de verwerking van de persoonsgegevens vastgesteld. De zeggenschap over de persoonsgegevens komt nimmer bij Verwerker te rusten. Partijen leggen in Annex 1 vast welke verwerkingen de Verwerker in opdracht van de Verwerkingsverantwoordelijke uitvoert.

2.6 In het geval een op Verwerker toepasselijk zijnde Unierechtelijke of lidstaatrechtelijke bepaling hem tot verwerking die afwijkt van hetgeen overeengekomen in deze Verwerkersovereenkomst verplicht, dan stelt Verwerker de Verwerkingsverantwoordelijke voorafgaande aan de verwerking in kennis van dat wettelijke voorschrift, tenzij die bepaling deze kennisgeving verbiedt.

2.7 Verwerkingsverantwoordelijke staat er tegenover Verwerker voor in dat de inhoud, het gebruik en/of de verwerking van de persoonsgegevens niet onrechtmatig zijn en geen inbreuk maken op enig recht van een derde.

2.8 Verwerkingsverantwoordelijke zal Verwerker op de hoogte stellen van eventuele wijzigingen in de regelgeving die grondslag vormen om de rechten en verplichtingen van Partijen in deze Verwerkersovereenkomst te wijzigen.

Artikel 3. Beveiliging

3.1 Partijen treffen technische en organisatorische beveiligingsmaatregelen om de persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Verwerker zal Verwerkingsverantwoordelijke desverzocht informeren omtrent maatregelen op het gebied van beveiliging.

3.2 De beveiligingsmaatregelen van Verwerker bieden, rekening houdend met de stand van de techniek, de uitvoeringskosten alsook met de risico’s die de verwerking en de aard van de persoonsgegevens met zich meebrengen, een passend beveiligingsniveau.

3.3 De bij het aangaan van de Verwerkersovereenkomst genomen maatregelen als bedoeld in dit artikel worden weergegeven in Annex 2.

3.4 Verwerker kan er niet voor instaan dat de beveiligingsmaatregelen onder alle omstandigheden doeltreffend zijn.

3.5 Indien Verwerkingsverantwoordelijke van oordeel is dat een wijziging in de door Verwerker te treffen beveiligingsmaatregelen noodzakelijk is om een passend beveiligingsniveau te bieden, dan treden Partijen in overleg over de door Verwerkingsverantwoordelijke gewenste wijziging in de beveiligingsmaatregelen.

Artikel 4. Inspectie en audits

4.1 Verwerkingsverantwoordelijke is gerechtigd jaarlijkse inspectie, waaronder audits, ten aanzien van de uitvoering van de Verwerkersovereenkomst door een onafhankelijke deskundige te laten uitvoeren die aan geheimhouding is gebonden.

4.2 De door Verwerkingsverantwoordelijke geïnitieerde inspectie vindt twee weken na voorafgaande aankondiging door Verwerkingsverantwoordelijke aan Verwerker plaats.

4.3 Verwerker verklaart zich bereid mee te werken aan een dergelijke inspectie en over de door de deskundige aangegeven aanbevelingen ter verbetering in overleg te treden met Verwerkingsverantwoordelijke. De verplichting tot medewerking als hier bedoeld, leidt niet zonder meer tot de verplichting om alle aanbevelingen op te volgen.

4.4 Verwerkingsverantwoordelijke kan vanzelfsprekend geen inspectie laten verrichten bij sub-verwerkers. Omtrent het gedeelte van de beveiliging waarvoor sub-verwerkers verantwoordelijk zijn, kan Verwerker op verzoek van Verwerkingsverantwoordelijke, het gegevensbeschermingsbeleid en de eventuele certificaten van sub-verwerkers verstrekken.

4.5 De in lid 1 van dit artikel bedoelde inspectie kan belastend zijn voor de bedrijfsvoering van Verwerker. Partijen komen derhalve overeen dat deze inspecties alleen plaatsvinden nadat Verwerkingsverantwoordelijke de bij Verwerker aanwezige soortgelijke inspectierapportages heeft opgevraagd, beoordeeld en redelijke argumenten aanbrengt die een door Verwerkingsverantwoordelijke geïnitieerde inspectie alsnog rechtvaardigen. Een inspectie is gerechtvaardigd wanneer de bij Verwerker aanwezige soortgelijke inspectierapportages geen of onvoldoende uitsluitsel geven over het naleven van deze Verwerkersovereenkomst door Verwerker.

4.6 Verwerkingsverantwoordelijke zal Verwerker direct na ontvangst een exemplaar van het rapport van de inspectie verstrekken.

Artikel 5.             Beveiligingsincidenten en datalekken

5.1 Rekening houdend met de aard van de verwerking en de tot Verwerker ter beschikking staande informatie zal Verwerker de Verwerkingsverantwoordelijke ondersteunen bij het doen nakomen van de verplichtingen uit hoofde van artikel 33 en 34 AVG inzake de mededeling van een inbreuk aan de toezichthoudende autoriteit en aan de betrokkene(n).

5.2 Verwerker zal de Verwerkingsverantwoordelijke onverwijld informeren over een inbreuk nadat Verwerker voornoemd inbreuk heeft ontdekt.

5.2 Verwerker informeert Verwerkingsverantwoordelijke via de contactpersoon en/of de contactgegevens van Verwerkingsverantwoordelijke, zoals bij Verwerker bekend. De contactgegevens van Verwerker zijn opgenomen in Annex 3.

5.3 Mededeling van een inbreuk aan de toezichthoudende autoriteit en aan de betrokkene(n) blijft te allen tijde de verantwoordelijkheid van Verwerkingsverantwoordelijke. Verwerker is nimmer verplicht tot mededeling van een inbreuk aan een toezichthoudende autoriteit en/of de betrokkene.

5.4 Verwerker houdt een register bij van alle inbreuken en de maatregelen die op inbreuken zijn genomen. Verwerkingsverantwoordelijke mag op verzoek het register inzien.

Artikel 6. Medewerkingsverplichting Verwerker

6.1 Verwerker verleent Verwerkingsverantwoordelijke bijstand, voor zover het betrekking heeft op de verwerking van persoonsgegevens ten behoeve van de uitvoering van de Hoofdovereenkomst en voor zover naar aard van zijn werkzaamheden mogelijk, bij:

a. het vervullen van de wettelijke verplichtingen van Verwerkingsverantwoordelijke ten aanzien van rechten van betrokkene middels passende technische en organisatorische maatregelen. De genoemde verplichtingen van Verwerkingsverantwoordelijke zijn uiteengezet in de artikelen 12 t/m 23 AVG en zien onder andere op een verzoek tot (kennisgeving van) het verwijderen of corrigeren van persoonsgegevens en het recht op overdraagbaarheid van gegevens;

b. het doen nakomen van de verplichtingen van Verwerkingsverantwoordelijke uiteengezet in de artikelen 32 t/m 36 AVG, rekening houdend met de tot Verwerker beschikking staande informatie. De hiervoor genoemde verplichtingen zien op de beveiliging van de verwerking, de PIA en de voorafgaande raadpleging bij een toezichthoudende autoriteit.

Artikel 7. Inschakelen van sub-verwerkers

7.1 Verwerkingsverantwoordelijke verleent Verwerker bij voorbaat toestemming om sub-verwerkers in te schakelen ter uitvoering van de verplichtingen voortvloeiende uit de Hoofdovereenkomst onder de voorwaarde dat Verwerker de Verwerkingsverantwoordelijke inlicht over beoogde veranderingen inzake de toevoeging of vervanging van sub- verwerkers. Verwerkingsverantwoordelijke kan binnen vijf (5) werkdagen na bekendmaking bezwaar maken tegen een beoogde verandering. Indien Verwerker het bezwaar van Verwerkingsverantwoordelijke niet aanvaardt, kan Verwerkingsverantwoordelijke de Hoofdovereenkomst zonder opzegtermijn opzeggen.

7.2 Indien Verwerker een sub-verwerker opdracht geeft om voor rekening van de Verwerkingsverantwoordelijke specifieke verwerkingsactiviteiten te verrichten, dan zal Verwerker ervoor zorgen dat aan de sub-verwerker gelijke verplichtingen inzake gegevensbescherming worden opgelegd als in de onderhavige Verwerkersovereenkomst. De verplichtingen worden overeengekomen in schriftelijke vorm. Verwerker zal Verwerkingsverantwoordelijke, op diens verzoek, een kopie verstrekken van de overeenkomsten tussen Verwerker en deze sub-verwerkers, waarbij commercieel gevoelige informatie mag worden weggelaten.

7.3 Indien de sub-verwerker zijn verplichtingen inzake gegevensbescherming niet nakomt, blijft Verwerker ten aanzien van Verwerkingsverantwoordelijke aansprakelijk voor het nakomen van de verplichtingen van die sub-verwerker.

Artikel 8. Geheimhouding

8.1 Partijen zullen de persoonsgegevens niet aan anderen ter beschikking stellen dan zijn eigen werknemers en/of derden die een legitieme reden hebben tot inzage daarvan. Partijen waarborgen dat de tot het verwerken van de persoonsgegevens gemachtigde personen zich ertoe hebben verbonden vertrouwelijkheid in acht te nemen of door een passende wettelijke verplichting van vertrouwelijkheid zijn gebonden. Persoonsgegevens mogen slechts verwerkt worden ter uitvoering van de Hoofdovereenkomst en deze Verwerkersovereenkomst.

8.2 Het bepaalde in het eerste lid van dit artikel geldt niet indien en voor zover verstrekking van de persoonsgegevens noodzakelijk is ingevolge een rechterlijke uitspraak, een wettelijk voorschrift of op basis van een bevoegd gegeven bevel van een overheidsinstantie.

Artikel 9. Doorgifte aan derde landen

9.1 Verwerker is gerechtigd persoonsgegevens binnen de Europese Economische Ruimte (EER) te verwerken. Doorgifte van persoonsgegevens naar landen buiten de EER is slechts toegestaan wanneer het land een passend beschermingsniveau waarborgt of zij daarvoor passende waarborgen heeft getroffen, zoals bedoeld in artikel 45 en 46 AVG.

9.2 Indien Verwerker op grond van een in de nationale of Europese regelgeving geldende wettelijke verplichting persoonsgegevens aan enige derde dient te verstrekken, zal Verwerker de grondslag van het verzoek en de identiteit van de verzoeker verifiëren en zal Verwerker onmiddellijk, voorafgaand aan de verstrekking, Verwerkingsverantwoordelijke ter zake informeren, tenzij de wet dit verbiedt om gewichtige redenen van algemeen belang.

Artikel 10. Aansprakelijkheid

10.1 De bepalingen inzake aansprakelijkheid uit de Hoofdovereenkomst zijn tevens van toepassing op de rechten en verplichtingen uit deze Verwerkersovereenkomst, behoudens indien en voor zover dwingendrechtelijke bepalingen zich hiertegen verzetten.

Artikel 11. Looptijd en beëindiging

11.1 Deze Verwerkersovereenkomst treedt in werking op de datum van laatste ondertekening van de Hoofdovereenkomst door Partijen. De duur van de Verwerkersovereenkomst is gelijk aan de duur van de Hoofdovereenkomst.

11.2 Deze Verwerkersovereenkomst eindigt van rechtswege bij het einde van de Hoofdovereenkomst. De Verwerkersovereenkomst is niet los van de Hoofdovereenkomst te beëindigen. De bepalingen uit deze Verwerkersovereenkomst die strekking hebben om na beëindiging hun gelding te behouden, blijven na het eindigen van de Verwerkersovereenkomst onverminderd van kracht.

11.3 Verwerker zal bij einde van deze Verwerkersovereenkomst, alle onder zich zijnde en van Verwerkingsverantwoordelijke ontvangen persoonsgegevens retourneren aan Verwerkingsverantwoordelijke of vernietigen, behoudens in het geval van wettelijke bewaartermijnen.

11.4 Het bepaalde in lid 3 van dit artikel geldt niet indien een wettelijke regeling het geheel of gedeeltelijk retourneren of vernietigen van persoonsgegevens door Verwerker belet. In een dergelijk geval zal Verwerker de persoonsgegevens slechts blijven verwerken voor zover noodzakelijk uit hoofde van zijn wettelijke verplichtingen.

11.5 Als Verwerker om technische redenen niet in staat is tot teruggave of verwijdering van de persoonsgegevens, zal Verwerker Verwerkingsverantwoordelijke daarvan onmiddellijk op de hoogte stellen. In dat geval neemt Verwerker alle noodzakelijke maatregelen om zo dicht mogelijk bij een volledige en blijvende teruggave of vernietiging van de persoonsgegevens te komen en de persoonsgegevens ongeschikt te maken voor verdere verwerking.

Artikel 12. Kosten

12.1 De kosten voor de verwerking van gegevens die inherent zijn aan de normale uitvoering van de Hoofdovereenkomst, worden geacht besloten te liggen in de op grond van de Hoofdovereenkomst reeds verschuldigde vergoedingen.

12.2 Enige ondersteuning of enige andere aanvullende dienstverlening die Verwerker op grond van deze Verwerkersovereenkomst dient te verlenen, of die wordt verzocht door Verwerkingsverantwoordelijke, inclusief alle verzoeken tot aanvullende informatie, zullen in rekening worden gebracht bij Verwerkingsverantwoordelijke tegen gangbare tarieven.

12.3 De voorgaande bepaling is niet van toepassing indien de werkzaamheden verband houden met een substantiële tekortkoming van Verwerker onder deze Verwerkersovereenkomst. De werkzaamheden zullen in dat geval kosteloos worden verricht (onverminderd het recht van Verwerkingsverantwoordelijke de daadwerkelijk geleden schade op Verwerker te verhalen).

Artikel 13. Overig

13.1 Deze Verwerkersovereenkomst vormt een integraal onderdeel van de Hoofdovereenkomst. Alle rechten en verplichtingen uit de Hoofdovereenkomst, waaronder voorwaarden inzake aansprakelijkheid, zijn derhalve ook van toepassing op deze Verwerkersovereenkomst. Bij tegenspraak tussen bepalingen uit deze Verwerkersovereenkomst en de bepalingen uit de Hoofdovereenkomst inzake de bescherming van persoonsgegevens, prevaleren de bepalingen uit deze Verwerkersovereenkomst.

13.2 Indien zich in de toekomst wijzigingen voordoen in de nationale of Europese regelgeving over de bescherming van Persoonsgegevens, zullen Partijen deze Verwerkersovereenkomst wijzigen voor zover dit nodig is om aan die nieuwe regelgeving te voldoen.

13.3 Deze Verwerkersovereenkomst is van toepassing behoudens indien een andere individuele verwerkersovereenkomst met u is afgesloten.

13.4 Wijzigingen van deze Verwerkersovereenkomst zijn slechts geldig, indien deze schriftelijk zijn overeengekomen.

Annex 1 – Verwerking persoonsgegevens

Annex 2 – Technische en organisatorische maatregelen

NB. Organisaties kunnen zelf de beveiliging van persoonsgegevens inrichten zolang de maatregelen “passend” zijn conform de vereisten uit de AVG.

Verwerker en Verwerkingsverantwoordelijke zullen onder meer de volgende technische en organisatorische maatregelen treffen ter beveiliging van de verwerking van persoonsgegevens (als bedoeld in artikel 32 AVG).

o Verwerker

De technische en organisatorische maatregelen omvatten (in hoofdlijnen) het volgende:

• Toegang/autorisatie medewerkers
• Firewall /anti-virussystemen
• Beveiligingssleutels
• Beveiligde internetverbinding (https, secured link)
• Verplichting gebruik van nieuwste release c.q. update;
• Reduced attack service IT omgeving

o Verwerkingsverantwoordelijke

De technische en organisatorische maatregelen dienen (in hoofdlijnen) in ieder geval het
volgende te omvatten:

• Tijdig doorgeven van in- en uitdiensttredingen
•  Aangeven van toegangsrechten van personeel
•  Melden van verdachte activiteiten aan verwerker
•  Geen Informatie te verwerken, op te slaan, te raadplegen of te verspreiden, waarvan
  men redelijkerwijs weet of behoort te weten dat deze schadelijke en/of potentieel
  risicovol is;
•  Firewall /anti-virussystemen 
•  Beveiligingssleutels 
•  Beveiligde internetverbinding (https, secured link) 
•  Verplichting gebruik van nieuwste release c.q. update; 
•  Toegang/autorisatie medewerkers

Annex 3 – Maatregelen beveiligingsincident

1. Gegevens over een datalek die Verwerkingsverantwoordelijke wil ontvangen. (zie bijvoorbeeld de vragen die de Autoriteit Persoonsgegevens stelt bij het doen van een melding inzake een inbreuk https://datalekken.autoriteitpersoonsgegevens.nl/melding/aanmaken?1 ).

Verwerker informeert Verwerkingsverantwoordelijke via de contactpersoon en de contactgegevens van Verwerkingsverantwoordelijke zoals bekend bij Verwerker op grond van de Hoofdovereenkomst en ten minste ten aanzien van alle informatie zoals die blijkt uit het meest recente formulier datalekken van de Autoriteit Persoonsgegevens, welke via bovenstaande link te vinden is op de website van de Autoriteit Persoonsgegevens. De contactgegevens van verwerker zijn:

Contactpersoon Verwerker