VERWERKERS-OVEREENKOMST
Deze verwerkersovereenkomst maakt integraal en onlosmakelijk onderdeel uit van de afspraken die partijen zijn overeengekomen en de dienstverlening van ESVE Groep B.V. (de overeenkomst). Op deze verwerkersovereenkomst zijn derhalve ook de algemene voorwaarden van ESVE Groep B.V. van toepassing
De partijen:
- De besloten vennootschap met beperkte aansprakelijkheid ESVE Groep B.V., gevestigd en kantoorhoudende te (5708 HZ) Helmond aan de Schootense Dreef 22, hierbij rechtsgeldig vertegenwoordigd door, de heer B.F.M. Trienekens, hierna te noemen: “Verwerker”;
en
- De besloten vennootschap met beperkte aansprakelijkheid, met wie ESVE Groep B.V een Overeenkomst heeft gesloten: de “Verantwoordelijke”;
In aanmerking nemende dat:
- partijen een overeenkomst zijn aangegaan met betrekking tot door Verwerker verrichten van diensten op het vlak van HR en salarisadministratie;
- partijen mogelijk in het kader van de uitvoering van de overeenkomst persoonsgegevens verwerken in de zin van de Algemene verordening gegevensbescherming;
- Verantwoordelijke het wenselijk acht diverse activiteiten met betrekking tot de verwerking van persoonsgegevens door Verwerker te laten uitvoeren;
- partijen bij het verwerken van de persoonsgegevens de hiernavolgende bepalingen in acht nemen;
- partijen de opdracht tot en nadere afspraken omtrent de verwerking van persoonsgegevens door Verwerker ten behoeve van Verantwoordelijke wensen vast te leggen in deze overeenkomst;
- deze overeenkomst van toepassing is op alle rechtsverhoudingen die zijn aangegaan tussen verantwoordelijke en Verwerker,
Verklaren te zijn overeengekomen als volgt:
Artikel 1: Definities
In deze overeenkomst worden de begrippen gehanteerd zoals bedoeld in de zin van de Algemene Verordening Gegevensbescherming.
Artikel 2: Onderwerp en reikwijdte van deze overeenkomst
- De Verwerker zal ten behoeve van verantwoordelijke persoonsgegevens uitsluitend verwerken in het kader van Overeenkomst ten behoeve van de dienstverlening door Verwerker met betrekking tot het verrichten van diensten op het vlak van HR en salarisadministratie in de meest brede zin van het woord.
- De Verwerker verwerkt de volgende persoonsgegevens:
- Geslacht;
- Voor- en achternaam;
- Adresgegevens;
- Telefoonnummer;
- E-mailadres;
- Bankrekeningnummer;
- Geboortedata;
- BSN;
- Salarisgegevens;
- De verwerking door de Verwerker vindt uitsluitend plaats overeenkomstig de aard en het doel van in artikel 1 genoemde overeenkomst(en).
- Deze overeenkomst maakt integraal onderdeel uit van de overeenkomst(en) genoemd in lid 1 van dit artikel.
Artikel 3: Afdoende beveiliging
- Verwerker zal toepasselijke technische en organisatorische beveiligingsmaatregelen nemen, die gezien de huidige stand der techniek en de daarmee gemoeide kosten overeenstemmen met de kenbare aard van de te verwerken persoonsgegevens en de opdracht waarin de gegevens worden gebruikt, ter bescherming van de persoonsgegevens tegen verlies of onrechtmatige verwerking. Verwerker heeft zich goed geïnformeerd over deze beveiligingsmaatregelen en verklaart dat deze maatregelen een beveiligingsniveau hebben dat past bij de aard van de persoonsgegevens en de omvang, context, doeleinden en risico’s van de verwerking.
Artikel 4: Opdracht voor verwerking en uitvoering
- De verwerking van de persoonsgegevens door Verwerker vindt uitsluitend plaats in opdracht en onder verantwoordelijkheid van de Verantwoordelijke. Verwerker heeft in dit kader nadrukkelijk geen zeggenschap over het doel en de middelen van de verwerking en neemt geen beslissingen over het gebruik van persoonsgegevens, de bewaartermijn van de voor opdrachtgever verwerkte persoonsgegevens en het verstrekken van persoonsgegevens aan derden.
- Verwerker zal de persoonsgegevens op behoorlijke en zorgvuldige wijze en in overeenstemming met de op haar rustende overeengekomen verplichtingen verwerken.
- Verwerker zal — op kosten van verantwoordelijke — haar medewerking verlenen aan Verantwoordelijke om:
- betrokkenen een afschrift van of anderszins inzicht te laten verkrijgen in hun verwerkte persoonsgegevens waarbij de bescherming van de persoonsgegevens van andere geborgd is alsmede de vertrouwelijkheid van andere gegevens die naar hun aard vertrouwelijk zijn;
- persoonsgegevens te verwijderen, te corrigeren, aan te vullen of af te schermen;
- aan te tonen dat persoonsgegevens verwijderd of gecorrigeerd zijn;
- Enige ander verplichting die op verantwoordelijke rust in de zin van de Algemene Verordening Gegevensbescherming.
Verwerker zal aan haar kenbaar gemaakte verzoeken aan verantwoordelijke doorsturen, maar niet zelfstandig afwikkelen.
8. Verantwoordelijke garandeert dat de inhoud, het gebruik en de opdracht tot de verwerking van de persoonsgegevens zoals bedoeld in de overeenkomst, niet onrechtmatig is en geen inbreuk maken op enig recht van derden en vrijwaart Verwerker voor alle aanspraken in geval van een overtreding van Algemene Verordening Gegevensbescherming, inclusief de uitvoeringswet van deze verordening en andere wet- en regelgeving, tenzij deze overtreding het gevolg is van grove schuld of nalatigheid van Verwerker.
Artikel 5: Geheimhouding gegevens
- De Verwerker is verplicht om persoonsgegevens waarvan hij kennisneemt in het kader van de overeenkomst(en) genoemd in artikel 1, lid 1 geheim te houden.
- De Verwerker draagt er voor zorg dat zijn personeel, de door hem ingeschakelde derden en meer algemeen eenieder die onder gezag van de Verwerker handelt, verplicht is tot geheimhouding van de persoonsgegevens waarvan hij kennisneemt.
- De verplichtingen in lid 1 en 2 van dit artikel gelden niet indien het verstrekken van de persoonsgegevens voortvloeit uit een wettelijke plicht.
Artikel 6: Melden beveiligingsincidenten en datalekken
- Verwerker stelt de verantwoordelijke onverwijld, maar uiterlijk binnen 48 uur na bekendwording, in kennis van:
- verlies of enige vorm van onrechtmatige verwerking van persoonsgegevens die onder de reikwijdte van deze overeenkomst vallen.
- een inbreuk op de beveiliging die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens.
- De kennisgeving, bedoeld in lid 1 van dit artikel, omvat de informatie die redelijkerwijs nodig is om – indien nodig – een juiste en volledige melding te kunnen doen aan de Autoriteit Persoonsgegevens en eventueel de betrokkene(n) in het kader van de Meldplicht Datalekken c.q. De kennisgeving omvat in dit kader ieder geval:
- de aard van de inbreuk;
- de instanties waar meer informatie over de inbreuk kan worden verkregen;
- de aanbevolen maatregelen om de negatieve gevolgen van de inbreuk te beperken;
- een beschrijving van de geconstateerde en de vermoedelijke gevolgen van de inbreuk voor de verwerking van persoonsgegevens;
- de maatregelen die de Verwerker heeft getroffen of voorstelt te treffen om deze gevolgen te verhelpen.
- De Verwerker verleent alle medewerking aan verantwoordelijke om vast te stellen of er sprake is van een datalek en verleent alle medewerking aan verantwoordelijke voor het onverwijld melden van het datalek aan de Autoriteit persoonsgegevens en, indien van toepassing, de betrokkene.
- De melding van Datalekken aan de Autoriteit Persoonsgegevens en (eventueel) Betrokkene(n) is altijd de verantwoordelijkheid van verantwoordelijke. Verwerker wijst in dit kader alle aansprakelijkheden van de hand.
Artikel 7: Aansprakelijkheid voor schade
- De Verwerker is jegens de Verantwoordelijke aansprakelijk voor schade die voortvloeit uit het niet-nakomen van of in strijd handelen met de verplichtingen uit de Wet bescherming persoonsgegevens, dan wel onderhavige overeenkomst, tenzij en voor zover de schade voortvloeit uit een toerekenbare tekortkoming van verantwoordelijke in de nakoming van zijn verplichtingen op grond van deze overeenkomst dan wel het handelen in strijd met de verplichtingen uit de Wet bescherming persoonsgegevens.
- Indien het handelen van de Verwerker leidt tot aansprakelijkheid, zal die aansprakelijkheid steeds beperkt zijn tot het bedrag dat in het desbetreffende geval onder de ter zake toepasselijke aansprakelijkheidsverzekering van de Verwerker wordt uitbetaald, te vermeerderen met het bedrag van het eigen risico dat ingevolge de toepasselijke verzekeringsovereenkomst in het desbetreffende geval voor rekening van de Verwerker komt. Indien om welke reden dan ook geen uitkering plaatsvindt uit hoofde van voornoemde verzekering, is iedere aansprakelijkheid van de Verwerker beperkt een maximum van € 5.000,–.
Artikel 8: Vernietiging gegevens
- Na afloop van de tussen Verantwoordelijke en Verwerker gesloten draagt Verwerker op eerste verzoek van Verantwoordelijke binnen 4 weken zorg voor het wissen van alle Persoonsgegevens. Verwerker verwijdert kopieën, behoudens afwijkende wettelijke voorschriften die het verwijderen verhinderen.
Artikel 9: Inschakelen derden
- Het is Verwerker toegestaan om derden als sub verwerker, zowel binnen als buiten Nederland, in te schakelen bij de uitvoering van deze overeenkomst.
- Verwerker zal aan de door hem ingeschakelde derde dezelfde verplichtingen opleggen als voor hemzelf uit deze overeenkomst voortvloeien en hem of haar en volledig instrueren over de omgang met de persoonsgegevens en de van Verantwoordelijke verkregen instructies. De verwerking vindt in dit geval eveneens plaats onder de verantwoordelijkheid van Verantwoordelijke.
Artikel 10: Duur, beëindiging en wijziging van de overeenkomst
- De duur van deze overeenkomst is gelijk aan de duur van de overeenkomsten genoemd in artikel 2.
- Deze overeenkomst kan door partijen niet worden opgezegd zonder opzegging van de overeenkomsten genoemd in artikel 2.
- Deze overeenkomst kan slecht met instemming van partijen schriftelijke worden gewijzigd.
- Op verzoek en op kosten van verantwoordelijke zal Verwerker haar medewerking verlenen aan het binnen redelijke termijn na het einde van de overeenkomst verstrekken van een back-up van de persoonsgegevens welke zich onder beheer van Verwerker bevinden in een door Verantwoordelijke bepaalde format en op een door verantwoordelijke bepaald medium.
- Verplichtingen die naar hun aard bestemd zijn om ook na beëindiging van deze overeenkomst voort te duren, blijven na beëindiging gelden. Tot deze bepalingen behoren onder meer geheimhouding en aansprakelijkheid.
- Indien een bepaling van deze overeenkomst nietig, vernietigbaar of anderszins onafdwingbaar is of wordt, dan blijven de overige bepalingen van deze overeenkomst onverminderd van kracht.
Artikel 11: Geschillen en toepasselijk recht
- Op deze overeenkomst is Nederlands recht van toepassing
- Alle geschillen, verband houdende met de uitvoering van de deze overeenkomst zullen worden voorgelegd aan de daartoe bevoegde rechter van de rechtbank Oost-Brabant.