Verwerkersovereenkomst

In de zin van de Algemene Verordening Gegevensbescherming

Versie januari 2020

Deze verwerkersovereenkomst maakt deel uit van de algemene voorwaarden van eConnect International B.V. en is van toepassing op de relatie tussen eConnect International B.V. en de Klant indien eConnect International B.V. in het kader van de uitvoering van de Overeenkomst als Verwerker (hierna ook zo benoemd) persoonsgegevens verwerkt ten behoeve van de Klant (hierna: Verwerkingsverantwoordelijke).

In overweging nemende:

  1. dat tussen Verwerkingsverantwoordelijke en Verwerker een Overeenkomst is gesloten betreffende het door Verwerker voor Verwerkingsverantwoordelijke verrichten van diensten op het gebied van elektronische factuurverwerking;

  2. dat Verwerker op grond van en in verband met de in de Overeenkomst opgenomen dienstverlening van Verwerkingsverantwoordelijke kennis krijgt van Persoonsgegevens, welke Persoonsgegevens door Verwerker in verband met de uitvoering van de onder A. genoemde overeenkomst, ten behoeve van Verwerkingsverantwoordelijke worden verwerkt, zonder dat Verwerker onder het rechtstreekse gezag staat van Verwerkingsverantwoordelijke;

  3. Beide partijen wensen – mede ter uitvoering van het bepaalde in artikel 28, lid 3 van de Algemene Verordening Gegevensbescherming (hierna: AVG) – in de onderhavige aanvullende overeenkomst een aantal voorwaarden vast te leggen die van toepassing zijn op hun relatie in het verband met de werkzaamheden die Verwerker ten behoeve van Verwerkingsverantwoordelijke en haar leden zal uitvoeren.

  4. dat Verwerkingsverantwoordelijke is aan te merken als Verwerkingsverantwoordelijke in de zin van de AVG en Verwerker is aan te merken als Verwerker in de zin van de AVG.

Artikel 1 Definities

In deze overeenkomst wordt een aantal begrippen gebruikt. De betekenis van die begrippen is hieronder verduidelijkt. De genoemde begrippen worden in deze overeenkomst met een hoofdletter geschreven.

  • AVG: Algemene Verordening Gegevensbescherming, inclusief de uitvoeringswet van deze verordening. De AVG vervangt de Wet bescherming persoonsgegevens per 25 mei 2018.
  • Betrokkene: Degene op wie een Persoonsgegeven betrekking heeft.
  • Derden: Anderen dan beide partijen en hun medewerkers.
  • EER: Europese Economische Ruimte.
  • Onderliggende opdracht: De opdracht zoals hierboven bedoeld in overwegingen onder A.
  • Overeenkomst: De tussen beide partijen gesloten overeenkomst ter zake van het door Verwerker voor Verwerkingsverantwoordelijke verrichten van diensten op het gebied van elektronische factuurverwerking.
  • Persoonsgegevens: Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (de Betrokkene) die in het kader van de “Onderliggende opdracht” worden verwerkt; als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.
  • Sub-verwerker: Een andere verwerker die door de Verwerker wordt ingezet om ten behoeve van de Verwerkingsverantwoordelijke specifieke verwerkingsactiviteiten te verrichten.
  • Verwerken / Verwerking: Een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.
  • Verwerker: Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die / dat ten behoeve van de Verwerkingsverantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen.
  • Verwerkingsverantwoordelijke / Verantwoordelijke: Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt.

Artikel 2 Duur en overdracht Persoonsgegevens

2.1 Deze Verwerkersovereenkomst loopt voor zolang de Overeenkomst tussen partijen van kracht is.

2.2 Verplichtingen uit hoofde van deze Verwerkersovereenkomst die naar hun aard bestemd zijn om ook na het einde van deze Verwerkersovereenkomst voort te duren, blijven na het einde van deze Verwerkersovereenkomst bestaan.

2.3 Verwerker zal binnen 1 maand na afloop of (tussentijdse) beëindiging van de Overeenkomst alle door haar verwerkte Persoonsgegevens, die verband houden met de dienstverlening aan Verwerkingsverantwoordelijke, op aanvraag van Verwerkingsverantwoordelijke overdragen aan Verwerkingsverantwoordelijke of vernietigen en schriftelijk aan Verwerkingsverantwoordelijke bevestigen dat alle Persoonsgegevens zijn overgedragen dan wel zijn vernietigd.

Artikel 3 Verwerking

3.1 Verwerker verwerkt de Persoonsgegevens slechts in het kader van de uitvoering van de Overeenkomst, in opdracht van, op basis van de schriftelijke instructies en onder de uitdrukkelijke verantwoordelijkheid van Verwerkingsverantwoordelijke en in overeenstemming met de Overeenkomst en deze Verwerkersovereenkomst. Verwerker heeft geen zeggenschap over het doel van en de middelen voor de verwerking van de Persoonsgegevens.

3.2 Verwerkingsverantwoordelijke behoudt te allen tijde zeggenschap over de Persoonsgegevens en deze zeggenschap komt nimmer bij Verwerker te rusten.

3.3 De Verwerking van Persoonsgegevens door Verwerker zal voldoen aan alle toepasselijke wet- en regelgeving ter zake van de bescherming van Persoonsgegevens.

3.4 Verwerkingsverantwoordelijke staat er jegens Verwerker voor in dat de inhoud, het gebruik en/of de verwerking van de Persoonsgegevens niet onrechtmatig zijn en geen inbreuk maken op enig recht van een derde.

3.5 Verwerker informeert Verwerkingsverantwoordelijke inzake zijn verwerkingsactiviteiten ten aanzien van welke Persoonsgegevens, welke Betrokkenen en bewaartermijnen via de website van Verwerker.

3.6 Verwerker verleent Verwerkingsverantwoordelijke de benodigde bijstand bij het vervullen van verplichtingen inzake verzoeken om uitoefening van rechten van Betrokkenen af te handelen. Voorbeelden hiervan zijn: verwijdering, wijziging, inzage of verstrekking in een gangbaar format van de persoonsgegevens. Ook verleent Verwerker Verwerkingsverantwoordelijke bijstand bij het vervullen van verplichtingen op grond van art. 35 en 36 van de AVG.

Artikel 4 Beveiligingsmaatregelen

4.1 Verwerker verplicht zich alle binnen het wettelijke kader voorgeschreven passende technische en organisatorische beveiligingsmaatregelen te nemen om de Persoonsgegevens te beschermen tegen verlies of tegen enige vorm van onrechtmatige Verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico’s die de verwerking en de aard van te beschermen Persoonsgegevens met zich meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen.

4.2 De door Verwerker getroffen maatregelen zijn vastgelegd in een ISMS (Information Security Management System) dat is gecertificeerd conform de ISO 27001-norm. Het certificaat is te vinden op de website van Verwerker.

Artikel 5 Controle

5.1 Het informatiebeveiligingssysteem (ISMS) van Verwerker wordt jaarlijks door een externe auditor aan een controle onderworpen in het kader van zijn ISO 27001-certificering. In het kader van inzage en controle ten aanzien van de uitvoering van de verwerkingsactiviteiten overeenkomstig de AVG is het resultaat van deze controle-audit op aanvraag beschikbaar voor Verwerkingsverantwoordelijke.

Artikel 6 Geheimhouding

6.1 Verwerker verplicht zich tot geheimhouding, onverminderd eventuele andere contractuele afspraken tussen beide partijen, van de Persoonsgegevens waarvan zij in het kader van de uitvoering van de Overeenkomst kennis krijgt, behoudens voor zover enig wettelijk voorschrift tot openbaarmaking en/of afgifte daartoe verplicht.

6.2 Verwerker verstrekt de Persoonsgegevens niet aan derden, op welke wijze dan ook, tenzij met de voorafgaande schriftelijke goedkeuring van Verwerkingsverantwoordelijke, of behoudens voor zover enig wettelijk voorschrift tot openbaarmaking en/of afgifte daartoe verplicht.

6.3 Verwerker garandeert dat hij al zijn medewerkers en Derden die zich bezighouden met de verwerking van Persoonsgegevens op de hoogte zal stellen van de vertrouwelijke aard van de Persoonsgegevens en informatie. Daarnaast garandeert Verwerker dat al deze personen of partijen tegenover de Verwerker gebonden zijn aan dezelfde geheimhoudingsverplichtingen als de Verwerker volgens deze Verwerkersovereenkomst.

6.4 Verwerkingsverantwoordelijke beveiligt zijn systemen en infrastructuur te allen tijde adequaat.

Artikel 7 Informatieverstrekking/incidentmanagement

7.1 Verwerker informeert Verwerkingsverantwoordelijke onverwijld en voorafgaand aan de verstrekking indien een daartoe bevoegde (overheids)instantie een op de wet gebaseerd verzoek tot verstrekking van Persoonsgegevens heeft gedaan.

7.2 Verwerker zal Verwerkingsverantwoordelijke te allen tijde adequaat en zonder onevenredige vertraging informeren indien zich een incident voordoet met betrekking tot de verwerking van de Persoonsgegevens dat gevolgen heeft voor betrokkenen en/of voor Verwerkingsverantwoordelijke. Verwerker informeert Verwerkingsverantwoordelijk over de aard van de inbreuk, de gevolgen van de inbreuk en voor welke Betrokkenen deze gevolgen gelden.

7.3 Verwerker zal Verwerkingsverantwoordelijke op de hoogte houden van eventuele nieuwe ontwikkelingen rond het incident en van de maatregelen die de Verwerker treft om aan zijn kant de gevolgen van het incident te beperken en herhaling te voorkomen.

7.4 De term ‘incident’ als gebruikt in dit artikel 7 omvat iedere ongeautoriseerde of onrechtmatige verwerking, dan wel een beveiligingsincident waarbij Persoonsgegevens verloren zijn gegaan of onrechtmatige verwerking redelijkerwijs niet is uit te sluiten.

7.5 Een eventuele melding van het incident bij de Autoriteit Persoonsgegevens geschiedt door Verwerkingsverantwoordelijke.

7.6 Verwerker verleent Verwerkingsverantwoordelijke bijstand bij het bij het nakomen van diens verplichtingen inzake de meldplicht datalekken.

Artikel 8 Aansprakelijkheid

8.1 Verwerker is jegens Verwerkingsverantwoordelijke aansprakelijk voor directe schade als gevolg van een aan hem toerekenbare en aantoonbare tekortkoming in de nakoming van zijn verplichtingen zoals op hem als Verwerker rusten ingevolge de AVG met inachtneming van hetgeen partijen in de Overeenkomst over aansprakelijkheid zijn overeengekomen.

8.2 Verwerkingsverantwoordelijke vrijwaart Verwerker tegen elke rechtsvordering van een Betrokkene of Derde, uit welke hoofde dan ook, in verband met de Persoonsgegevens en de uitvoering van deze Verwerkersovereenkomst.

Artikel 9 Uitbesteding werkzaamheden

9.1 Verwerker sluit met Sub-verwerkers een overeenkomst waarbij aan de Sub-verwerkers tenminste dezelfde verplichtingen worden opgelegd als die waaraan Verwerker uit hoofde van deze Verwerkersovereenkomst moet voldoen.

9.2 Verwerker neemt geen nieuwe Sub-verwerkers in dienst zonder voorafgaande specifieke of algemene schriftelijke toestemming van Verwerkingsverantwoordelijke. In het geval van algemene schriftelijke toestemming licht Verwerker de Verwerkingsverantwoordelijke in over beoogde veranderingen inzake de toevoeging of vervanging van Sub-verwerkers, waarbij Verwerkingsverantwoordelijke de mogelijkheid wordt geboden tegen deze veranderingen bezwaar te maken.

9.3 Wanneer een Sub-verwerker zijn verplichtingen inzake de AVG niet nakomt, blijft Verwerker ten aanzien van Verwerkingsverantwoordelijke aansprakelijk voor het nakomen van de verplichtingen van de Sub-verwerker.

Artikel 10 Medewerkers Verwerker

10.1 Verwerker mag de Persoonsgegevens slechts aan die medewerkers binnen haar organisatie verstrekken die de Persoonsgegevens voor het verrichten van hun werkzaamheden in het kader van de uitvoering van de Overeenkomst nodig hebben.

10.2 De verplichtingen van Verwerker die uit deze Verwerkersovereenkomst voortvloeien gelden onverminderd voor haar medewerkers, die kennis krijgen van de Persoonsgegevens onder het gezag van Verwerker.

Artikel 11 Verwerken buiten EER

11.1. De Persoonsgegevens worden in principe uitsluitend binnen de EER verwerkt. Ten aanzien van het buiten de EER verwerken van Persoonsgegevens garandeert Verwerker dat de doorgifte volledig in lijn is en blijft met de van toepassing zijnde wettelijke vereisten.

Artikel 12 Slotbepalingen

12.1 Deze Verwerkersovereenkomst prevaleert boven eerder gesloten overeenkomsten. De algemene voorwaarden van Verwerkingsverantwoordelijke zijn ook niet van toepassing op deze Verwerkersovereenkomst.

12.2 Als één of meerdere bepalingen in deze Verwerkersovereenkomst niet geldig blijken te zijn, dan heeft dit geen gevolgen voor de geldigheid van de andere bepalingen in deze Verwerkersovereenkomst.