VERWERKERSOVEREENKOMST IMENDI DATA B.V.

VERWERKERSOVEREENKOMST IMENDI DATA B.V.

Versie 1.2 – april 2023


PARTIJEN:

Deze Verwerkersovereenkomst is van toepassing op alle vormen van verwerking van
Persoonsgegevens die IMENDI Data B.V. gevestigd aan de Kroevenlaan 31 te Roosendaal (4707 BJ),
ingeschreven bij de Kamer van Koophandel onder nummer 82579407 (hierna: Verwerker) uitvoert
ten behoeve van de Contractant aan wie zij Diensten levert (hierna: Verwerkingsverantwoordelijke).


OVERWEGINGEN:

  1. De Verwerkersovereenkomst is gesloten in het kader van het leveren van een Dienst van de
    Verwerker aan Verwerkingsverantwoordelijke, ter uitvoering van een Overeenkomst of meer
    gesloten overeenkomsten. Deze Overeenkomst of deze overeenkomsten gezamenlijk wordt of
    worden hierna als “de Hoofdovereenkomst” aangeduid.
  2. Verwerkersverantwoordelijke Persoonsgegevens bij Verwerker aanbiedt of in de online Diensten
    van de Verwerker vastlegt/ uploadt.
  3. Verwerker bij het uitvoeren van de Hoofdovereenkomst de Persoonsgegevens verwerkt in de zin
    van artikel 4 lid 1 van de AVG waarvoor Verwerkingsverantwoordelijke verantwoordelijk is en blijft.
    Tot die gegevens behoren Persoonsgegevens in de zin van de Algemene Verordening
    Gegevensbescherming (EU 2016/679), hierna de “AVG”.
  4. Verwerker hierbij wordt aangemerkt als Verwerker in de zin van artikel 4 lid 8 van de AVG.
  5. Verwerkingsverantwoordelijke hierbij wordt aangemerkt als Verwerkingsverantwoordelijke in de
    zin van artikel 4 lid 7 van de AVG.
  6. Verwerker bereid is de verplichtingen omtrent beveiliging en andere aspecten van de na te
    komen, voor zover die binnen zijn macht ligt.
  7. De AVG aan de Verwerkersverantwoordelijke de plicht oplegt om ervoor zorg te dragen dat
    Verwerker voldoende waarborgen biedt ten aanzien van de technische en organisatorische
    beveiligingsmaatregelen met betrekking tot de te verrichten verwerkingen.
  8. De AVG daarnaast aan de Verwerkingsverantwoordelijke de plicht oplegt om toe te zien op de
    naleving van die maatregelen.
  9. Partijen willen, gelet op het bepaalde in artikel 28 lid 3 AVG, de voorwaarden van de verwerking
    van deze Persoonsgegevens in deze Verwerkersovereenkomst, vastleggen.

OVEREENKOMST:


1 Toepassingsgebied
    1. Deze Overeenkomst, hierna te noemen Verwerkersovereenkomst, is van toepassing voor
      zover bij het leveren van de Diensten onder de Hoofdovereenkomst een of meer
      verwerkingen plaatsvinden die zijn opgenomen in Bijlage 1.
    2. De verwerkingen van Bijlage 1 die bij het leveren van de Diensten plaatsvinden, worden
      hierna: “de Verwerkingen” genoemd. De Persoonsgegevens die daarbij worden verwerkt: “de
      Persoonsgegevens”.
    3. Alle begrippen in deze Verwerkersovereenkomst hebben de betekenis die daar in de AVG aan
      wordt gegeven.
    4. Indien meer en andere Persoonsgegevens in opdracht van Verwerkingsverantwoordelijke
      worden verwerkt of indien anders wordt verwerkt dan in dit artikel omschreven, geldt deze
      Verwerkersovereenkomst zoveel mogelijk ook voor die verwerkingen.
    5. Met betrekking tot de verwerking van bepaalde gegevens van de eindgebruikers, is Verwerker
      zelf (mede)verantwoordelijke. Het gaat met name om de contactgegevens en andere
      gegevens van de Eindgebruiker die Verwerker nodig heeft om de Hoofdovereenkomst uit te
      voeren.
    6. De volgende bijlage maakt onderdeel uit van deze Verwerkersovereenkomst: Bijlage 1 De
      Verwerkingen, de Persoonsgegevens en de bewaartermijnen;
2 Doeleinden verwerking
    1. Verwerker verbindt zich onder de voorwaarden van deze Verwerkersovereenkomst in
      opdracht van de Verwerkersverantwoordelijke Persoonsgegevens te verwerken. Verwerking
      zal uitsluitend plaatsvinden in het kader van de Verwerkersovereenkomst.
    2. De Persoonsgegevens die door Verwerker in het kader van de Verwerkersovereenkomst
      worden verwerkt en de categorieën Betrokkenen van wie deze afkomstig zijn, zijn opgenomen
      in bijlage 1.
      Verwerker zal de Persoonsgegevens niet voor enige ander doel verwerken dan door
      Verwerkersverantwoordelijke is vastgesteld. Verwerkersverantwoordelijke zal Verwerker op
      de hoogte stellen van de verwerkingsdoeleinden voor zover deze niet reeds in deze
      Verwerkersovereenkomst zijn genoemd.
    3. Verwerkingsverantwoordelijke staat ervoor in dat een register bijhouden wordt van de onder
      deze Verwerkersovereenkomst geregelde verwerkingen. Verwerkersverantwoordelijke
      vrijwaart Verwerker tegen alle aanspraken en claims die verband houden met het niet of niet
      juist naleven van de registerplicht.
3 Verplichtingen Verwerker
    1. Ten aanzien van de in artikel 2 genoemde verwerkingen zal Verwerker zorgdragen voor
      naleving van de voorwaarden die op grond van de AVG worden gesteld aan het verwerken van
      Persoonsgegevens door Verwerker.
    2. Verwerker zal Verwerkersverantwoordelijke, op diens verzoek en binnen een redelijke
      termijn, informeren over de door hem genomen maatregelen aangaande zijn verplichtingen
      onder deze Verwerkersovereenkomst.
    3. De verplichtingen van de Verwerker die uit deze Verwerkersovereenkomst voortvloeien,
      gelden voor degene die de Persoonsgegevens verwerken onder het gezag van de Verwerker.
    4. Het verwerken van de Persoonsgegevens zal nimmer met zich meebrengen dat de databases
      van Verwerker worden verrijkt met de gegevens afkomstig uit de datasets van
      Verwerkersverantwoordelijke.
4 Verdeling van verantwoordelijkheid
    1. De toegestane verwerkingen zullen door Verwerker worden uitgevoerd binnen een semigeautomatiseerde omgeving.
    2. Verwerkingsverantwoordelijke heeft en houdt volledige zeggenschap over de
      Persoonsgegevens. Indien de Verwerkingsverantwoordelijke de Persoonsgegevens niet zelf
      verwerkt met gebruikmaking van de systemen van Verwerker, verwerkt Verwerker uitsluitend
      op basis van schriftelijke instructies van Verwerkingsverantwoordelijke. De
      hoofdovereenkomst geldt als een generieke instructie ter zake.
    3.  De Verwerkingen geschieden uitsluitend in het kader van de Hoofdovereenkomst. Verwerker
      verwerkt Persoonsgegevens niet anders dan in de Hoofdovereenkomst voorzien. Met name
      gebruikt de Verwerker de Persoonsgegevens niet voor eigen doeleinden.
    4. Verwerkersverantwoordelijke staat ervoor in dat alle Persoonsgegevens als omschreven in
      Bijlage 1 onder ‘Categorie B: Relaties (Betrokkenen) van Verwerkersverantwoordelijke’ mogen
      worden aangeleverd en dat Verwerker deze mag verwerken in haar opdracht.
    5. Verwerkingsverantwoordelijke staat ervoor in dat de in artikel 2 genoemde doeleinden de
      wettelijke grondslag, zoals bedoeld in, maar niet beperkt door de AVG aanwezig is.
    6. Verwerkersverantwoordelijke staat ervoor in dat de inhoud, het gebruik en de opdracht tot
      verwerking van de Persoonsgegevens zoals bedoeld in deze Verwerkersovereenkomst, niet
      onrechtmatig zijn en geen inbreuk maken op enig recht van derden.
5 Beveiligingsmaatregelen
    1. Verwerker neemt alle technische en organisatorische beveiligingsmaatregelen die op grond
      van de AVG en in het bijzonder op grond van artikel 32 AVG 1 van haar worden geëist.
    2. Verwerker draagt ervoor zorg dat haar werknemers die bij Verwerker deelnemen aan de
      Verwerkingen zijn gebonden aan een geheimhoudingsverplichting ter zake van de
      Persoonsgegevens.
6 Datalekken
    1. Verwerker zal Verwerkingsverantwoordelijke op de hoogte stellen van iedere “inbreuk in verband met Persoonsgegevens” als bedoeld in artikel 4 sub 12 AVG 2 . Zo’n inbreuk wordt hierna: “Datalek” genoemd.
    2. Verwerker verschaft Verwerkingsverantwoordelijke tijdig alle informatie die zij bezit en die
      nodig is om aan de verplichtingen uit artikel 33 AVG 3
      te voldoen. Verwerker verschaft de
      betreffende informatie overigens zo snel mogelijk in een door Verwerker te bepalen gangbaar
      formaat.
    3. Verwerker stelt de Verwerkingsverantwoordelijke over een Datalek niet op de hoogte indien
      het aanstonds duidelijk is dat dat Datalek geen risico inhoudt voor de rechten en vrijheden
      van natuurlijke personen. Indien er ruimte is voor twijfel daaromtrent, meldt Verwerker het
      Datalek wel aan de Verwerkingsverantwoordelijke teneinde deze in staat te stellen omtrent
      een eventuele melding van het Datalek een eigen oordeel te vormen. Verwerker zal álle
      inbreuken, ook die niet aan de Verwerkingsverantwoordelijke gemeld hoeven te worden,
      documenteren en die documentatie eenmaal per kwartaal aan Verwerkingsverantwoordelijke
      verstrekken.
    4. Het is uitsluitend aan Verwerkingsverantwoordelijke te bepalen of een bij Verwerker
      geconstateerd Datalek wordt gemeld aan de Autoriteit Persoonsgegevens en/of aan
      betreffende Betrokkenen.
7 Inschakeling sub verwerkers
    1. Verwerker maakt gebruik van sub verwerkers. Verwerker is niet gerechtigd bij de Verwerking
      een derde als sub verwerker in te schakelen zonder voorafgaande schriftelijke toestemming
      van Verwerkingsverantwoordelijke. Toestemming van Verwerkingsverantwoordelijke kan ook
      betrekking hebben op een bepaalde soort derden. Bij ondertekening van dit document, geeft
    2. Indien Verwerkingsverantwoordelijke zijn toestemming geeft, draagt Verwerker ervoor zorg
      dat de betreffende derde een contract sluit waarin hij zich tenminste houdt aan dezelfde
      wettelijke verplichtingen en de eventuele aanvullende verplichtingen uit deze
      Verwerkersovereenkomst als die Verwerker heeft.
    3. Ingeval de toestemming betrekking heeft op een bepaalde soort derden, licht Verwerker
      Verwerkingsverantwoordelijke in over de door hem ingeschakelde sub verwerkers.
      Verwerkingsverantwoordelijke kan dan bezwaar maken tegen toevoegingen of vervangingen
      met betrekking tot de sub verwerkers van Verwerker.
8 Geheimhoudingsplicht
    1. Verwerker houdt de Persoonsgegevens geheim. Verwerker draagt ervoor zorg dat de
      Persoonsgegevens niet direct of indirect ter beschikking komen van derden. Onder derden
      wordt ook het personeel van Verwerker begrepen voor zover het niet noodzakelijk is dat zij
      kennisnemen van de Persoonsgegevens. Dit gebod geldt niet indien in deze
      Verwerkersovereenkomst anders is bepaald en/of voor zover een wettelijk voorschrift of
      vonnis tot enige bekendmaking verplicht.
    2. Verwerker zal Verwerkingsverantwoordelijke op de hoogte stellen van ieder verzoek tot
      kennisneming, verstrekking of andere vorm van opvragen en mededeling van de
      Persoonsgegevens, in strijd met de in dit artikel opgenomen geheimhoudingsplicht.
9 Bewaartermijnen en wissen
    1. Verwerkingsverantwoordelijke is verantwoordelijk voor het bepalen van de bewaartermijnen
      met betrekking tot de Persoonsgegevens. Voor zover Persoonsgegevens onder controle van
      de Verwerkingsverantwoordelijke zijn (bijvoorbeeld in het geval van online services) wist hij
      die zelf tijdig.
    2. Verwerker zal de Persoonsgegevens binnen dertig dagen na het einde van de
      Hoofdovereenkomst wissen of, naar keuze van de Verwerkingsverantwoordelijke, aan deze
      overdragen, tenzij de Persoonsgegevens langer bewaard moeten worden, zoals in het kader
      van (wettelijke) verplichtingen van Verwerker, dan wel indien Verwerkingsverantwoordelijke
      verzoekt Persoonsgegevens langer te bewaren en Verwerker en
      Verwerkingsverantwoordelijke over de kosten en overige voorwaarden van dat langere
      bewaren overeenstemming bereiken, dit laatste onverminderd de verantwoordelijkheid van
      Verwerkingsverantwoordelijke de wettelijke bewaartermijnen in acht te nemen. Een
      eventuele overdracht aan de Verwerkingsverantwoordelijke geschiedt op kosten van de
      Verwerkingsverantwoordelijke.
    3. Verwerker zal op verzoek van Verwerkingsverantwoordelijke verklaren dat het wissen in het
      voorgaande lid bedoeld heeft plaatsgevonden. Verwerkingsverantwoordelijke kan op eigen
      kosten een controle laten uitvoeren of dat inderdaad is gebeurd. Artikel 10 van deze
      Verwerkersovereenkomst is van toepassing op die controle. Verwerker zal voor zover nodig
      alle subverwerkers die betrokken zijn bij de verwerking van de Persoonsgegevens op de
      hoogte stellen van een beëindiging van de Hoofdovereenkomst en zal hen instrueren te
      handelen zoals hierin bepaald is.
    4. Tenzij partijen anders afspreken, draagt Verwerkingsverantwoordelijke zelf zorg voor een back
      up van de Persoonsgegevens.
10 Rechten van Betrokkenen
    1. Indien Verwerkingsverantwoordelijke zelf toegang heeft tot de Persoonsgegevens voldoet hij
      zelf aan alle verzoeken van de Betrokkenen met betrekking tot de Persoonsgegevens.
      Verwerker zal eventueel door Verwerker ontvangen verzoeken onverwijld aan
      Verwerkingsverantwoordelijke doorgeven.
    2. Alleen voor zover het in het voorgaande lid bedoelde niet mogelijk is, zal Verwerker zijn
      volledige en tijdige medewerking verlenen aan Verwerkingsverantwoordelijke om:
      (i) na goedkeuring van en in opdracht van Verwerkingsverantwoordelijke Betrokkenen
      toegang te laten krijgen tot de hun betreffende Persoonsgegevens,
      (ii) de Persoonsgegevens te verwijderen of te corrigeren,
      (iii) aan te tonen dat de Persoonsgegevens verwijderd of gecorrigeerd zijn indien zij incorrect
      zijn (of, ingeval Verwerkingsverantwoordelijke het er niet mee eens is dat de
      Persoonsgegevens incorrect zijn, het feit vast te leggen dat de Betrokkene de
      Persoonsgegevens als incorrect beschouwt)
      (iv) de betreffende Persoonsgegevens aan Verwerkingsverantwoordelijke dan wel aan een
      door de Verwerkingsverantwoordelijke aangewezen derde te verstrekken in een
      gestructureerde, gangbare en machine leesbare vorm en
      (v) Verwerkingsverantwoordelijke anderszins in de gelegenheid te stellen om aan zijn
      verplichtingen onder de AVG of aan andere toepasselijke wetgeving op het gebied van
      verwerking van de Persoonsgegevens te voldoen.
    3. Verwerker mag voor de in het voorgaande lid genoemde medewerking redelijke kosten bij
      Verwerkersverantwoordelijke in rekening brengen.
11 Aansprakelijkheid
    1. Verwerkingsverantwoordelijke draagt, onder meer, de verantwoordelijkheid en is uit dien
      hoofde volledig aansprakelijk voor (het gestelde doel van) de Verwerkingen, het gebruik en de
      inhoud van de Persoonsgegevens, de verstrekking aan derden, de duur van de opslag van de
      Persoonsgegevens, de wijze van verwerking en de daartoe gehanteerde middelen.
    2. Verwerker is jegens Verwerkingsverantwoordelijke aansprakelijk zoals bepaald in de
      Hoofdovereenkomst.
12 Controle
    1. Verwerkingsverantwoordelijke heeft het recht de naleving van de bepalingen van deze
      overeenkomst eenmaal per jaar op eigen kosten te laten controleren door een onafhankelijke
      registeraccountant of registerinformaticus.
    2. Verwerker stelt de Verwerkingsverantwoordelijke alle informatie ter beschikking die nodig is
      om aan te tonen dat wordt voldaan aan de verplichtingen in artikel 28 AVG. Indien de door de
      Verwerkingsverantwoordelijke ingeschakelde derde een instructie geeft die naar mening van
      de Verwerker inbreuk oplevert op de AVG dan stelt de Verwerker de Verantwoordelijke
      daarvan onmiddellijk in kennis.
    3. Het onderzoek van Verwerkingsverantwoordelijke zal zich altijd beperken tot de systemen van
      Verwerker die voor de Verwerkingen worden gebruikt. Verwerkingsverantwoordelijke zal de
      bij de controle gevonden informatie geheimhouden en alleen gebruiken om de naleving door
      Verwerker van de verplichtingen uit deze overeenkomst te controleren en de informatie of
      delen daarvan zo snel als kan wissen. Verwerkingsverantwoordelijke staat ervoor in dat
      eventuele ingeschakelde derden deze verplichtingen ook op zich nemen.
13 Overige bepalingen
    1. Wijzigingen van deze Verwerkersovereenkomst zijn uitsluitend geldig indien deze tussen
      partijen schriftelijk zijn overeengekomen.
    2. Partijen zullen deze Verwerkersovereenkomst aanpassen aan gewijzigde of aangevulde
      regelgeving, aanvullende instructies van de relevante autoriteiten en voortschrijdend inzicht
      in de toepassing van de AVG (bijvoorbeeld door, maar niet beperkt tot, jurisprudentie of
      rapporten), de introductie van standaardbepalingen en/of andere gebeurtenissen of inzichten
      die een dergelijke aanpassing nodig maken.
    3. Deze Verwerkersovereenkomst duurt zolang de Hoofdovereenkomst duurt. De bepalingen van
      deze Verwerkersovereenkomst blijven gelden voor zover nodig voor de afwikkeling van deze
      Verwerkersovereenkomst en voor zover die bedoeld zijn het einde van deze
      Verwerkersovereenkomst te overleven. Tot die laatste categorie bepalingen behoren onder
      meer, zonder daartoe te zijn beperkt, de bepalingen omtrent geheimhouding en geschillen.
    4. Op deze Verwerkersovereenkomst is uitsluitend Nederlands recht van toepassing.
    5. Partijen zullen hun geschillen verband houdende met deze Verwerkersovereenkomst
      uitsluitend voorleggen aan de Rechtbank Amsterdam.

Bijlage 1 – Specificaties Persoonsgegevens en Betrokkenen

Persoonsgegevens die partijen verwachten te verwerken Verwerker zal in het kader van de
Hoofdovereenkomst in opdracht van Verwerkeringsverantwoordelijke, de volgende
Persoonsgegevens verwerken van Verwerkingsverantwoordelijke, en van de door
Verwerkingsverantwoordelijke nader bepaalde relaties (Betrokkenen):


Categorie A: Verwerkingsverantwoordelijke (afnemer Dienst)

Bedrijfsnaam
Factuuradres
Algemeen e-mailadres
Algemeen telefoonnummer
URL
Initialen/ voornaam contactpersoon
(tussen- achtervoegsel)
Achternaam
Functie en/ of verantwoordelijkheidsgebied
(direct e-mailadres)
(direct telefoonnummer)


Categorie B: Relaties (Betrokkenen) van Verwerkersverantwoordelijke Bedrijfsnaam

Postbus en/ of vestigingsadres
Algemeen e-mailadres
Algemeen telefoonnummer
URL
Initialen/ voornaam contactperso(o)n(en)
(tussen- achtervoegsel)
Achternaam
Functie en/ of verantwoordelijkheidsgebied
Verwerkersverantwoordelijke staat ervoor in dat uitsluitend de voor Verwerker noodzakelijke
Persoonsgegevens worden verstrekt.


Bijlage 2 – Sub verwerkers/categorieën van sub verwerkers

Vimexx B.V.
Vondellaan 47
2332AA Leiden
Categorie: Hosting
Ocean BI BV
Laan van Chartroise 166c
3552 EZ Utrecht
info@oceanbi.com
Tel: 088 028 0842
Categorie: Development

  1. Betreffende Transparante informatie, communicatie en nadere regels voor de uitoefening van de rechten van de
    Betrokkene.
  2. Inbreuk in verband met Persoonsgegevens”: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze
    leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot
    doorgezonden, opgeslagen of anderszins verwerkte gegevens;
  3. Melding van een inbreuk in verband met Persoonsgegevens aan de toezichthoudende autoriteit.
    Verwerkingsverantwoordelijke zijn toestemming voor het inschakelen van de sub
    verwerkers(s) zoals vermeldt in Bijlage II.
Call us now