VERWERKERSOVEREENKOMST IMENDI DATA B.V.
VERWERKERSOVEREENKOMST IMENDI DATA B.V.
Versie 1.2 – april 2023
PARTIJEN:
Deze Verwerkersovereenkomst is van toepassing op alle vormen van verwerking van
Persoonsgegevens die IMENDI Data B.V. gevestigd aan de Kroevenlaan 31 te Roosendaal (4707 BJ),
ingeschreven bij de Kamer van Koophandel onder nummer 82579407 (hierna: Verwerker) uitvoert
ten behoeve van de Contractant aan wie zij Diensten levert (hierna: Verwerkingsverantwoordelijke).
OVERWEGINGEN:
- De Verwerkersovereenkomst is gesloten in het kader van het leveren van een Dienst van de
Verwerker aan Verwerkingsverantwoordelijke, ter uitvoering van een Overeenkomst of meer
gesloten overeenkomsten. Deze Overeenkomst of deze overeenkomsten gezamenlijk wordt of
worden hierna als “de Hoofdovereenkomst” aangeduid. - Verwerkersverantwoordelijke Persoonsgegevens bij Verwerker aanbiedt of in de online Diensten
van de Verwerker vastlegt/ uploadt. - Verwerker bij het uitvoeren van de Hoofdovereenkomst de Persoonsgegevens verwerkt in de zin
van artikel 4 lid 1 van de AVG waarvoor Verwerkingsverantwoordelijke verantwoordelijk is en blijft.
Tot die gegevens behoren Persoonsgegevens in de zin van de Algemene Verordening
Gegevensbescherming (EU 2016/679), hierna de “AVG”. - Verwerker hierbij wordt aangemerkt als Verwerker in de zin van artikel 4 lid 8 van de AVG.
- Verwerkingsverantwoordelijke hierbij wordt aangemerkt als Verwerkingsverantwoordelijke in de
zin van artikel 4 lid 7 van de AVG. - Verwerker bereid is de verplichtingen omtrent beveiliging en andere aspecten van de na te
komen, voor zover die binnen zijn macht ligt. - De AVG aan de Verwerkersverantwoordelijke de plicht oplegt om ervoor zorg te dragen dat
Verwerker voldoende waarborgen biedt ten aanzien van de technische en organisatorische
beveiligingsmaatregelen met betrekking tot de te verrichten verwerkingen. - De AVG daarnaast aan de Verwerkingsverantwoordelijke de plicht oplegt om toe te zien op de
naleving van die maatregelen. - Partijen willen, gelet op het bepaalde in artikel 28 lid 3 AVG, de voorwaarden van de verwerking
van deze Persoonsgegevens in deze Verwerkersovereenkomst, vastleggen.
OVEREENKOMST:
1 Toepassingsgebied
- Deze Overeenkomst, hierna te noemen Verwerkersovereenkomst, is van toepassing voor
zover bij het leveren van de Diensten onder de Hoofdovereenkomst een of meer
verwerkingen plaatsvinden die zijn opgenomen in Bijlage 1. - De verwerkingen van Bijlage 1 die bij het leveren van de Diensten plaatsvinden, worden
hierna: “de Verwerkingen” genoemd. De Persoonsgegevens die daarbij worden verwerkt: “de
Persoonsgegevens”. - Alle begrippen in deze Verwerkersovereenkomst hebben de betekenis die daar in de AVG aan
wordt gegeven. - Indien meer en andere Persoonsgegevens in opdracht van Verwerkingsverantwoordelijke
worden verwerkt of indien anders wordt verwerkt dan in dit artikel omschreven, geldt deze
Verwerkersovereenkomst zoveel mogelijk ook voor die verwerkingen. - Met betrekking tot de verwerking van bepaalde gegevens van de eindgebruikers, is Verwerker
zelf (mede)verantwoordelijke. Het gaat met name om de contactgegevens en andere
gegevens van de Eindgebruiker die Verwerker nodig heeft om de Hoofdovereenkomst uit te
voeren. - De volgende bijlage maakt onderdeel uit van deze Verwerkersovereenkomst: Bijlage 1 De
Verwerkingen, de Persoonsgegevens en de bewaartermijnen;
- Deze Overeenkomst, hierna te noemen Verwerkersovereenkomst, is van toepassing voor
2 Doeleinden verwerking
- Verwerker verbindt zich onder de voorwaarden van deze Verwerkersovereenkomst in
opdracht van de Verwerkersverantwoordelijke Persoonsgegevens te verwerken. Verwerking
zal uitsluitend plaatsvinden in het kader van de Verwerkersovereenkomst. - De Persoonsgegevens die door Verwerker in het kader van de Verwerkersovereenkomst
worden verwerkt en de categorieën Betrokkenen van wie deze afkomstig zijn, zijn opgenomen
in bijlage 1.
Verwerker zal de Persoonsgegevens niet voor enige ander doel verwerken dan door
Verwerkersverantwoordelijke is vastgesteld. Verwerkersverantwoordelijke zal Verwerker op
de hoogte stellen van de verwerkingsdoeleinden voor zover deze niet reeds in deze
Verwerkersovereenkomst zijn genoemd. - Verwerkingsverantwoordelijke staat ervoor in dat een register bijhouden wordt van de onder
deze Verwerkersovereenkomst geregelde verwerkingen. Verwerkersverantwoordelijke
vrijwaart Verwerker tegen alle aanspraken en claims die verband houden met het niet of niet
juist naleven van de registerplicht.
- Verwerker verbindt zich onder de voorwaarden van deze Verwerkersovereenkomst in
3 Verplichtingen Verwerker
- Ten aanzien van de in artikel 2 genoemde verwerkingen zal Verwerker zorgdragen voor
naleving van de voorwaarden die op grond van de AVG worden gesteld aan het verwerken van
Persoonsgegevens door Verwerker. - Verwerker zal Verwerkersverantwoordelijke, op diens verzoek en binnen een redelijke
termijn, informeren over de door hem genomen maatregelen aangaande zijn verplichtingen
onder deze Verwerkersovereenkomst. - De verplichtingen van de Verwerker die uit deze Verwerkersovereenkomst voortvloeien,
gelden voor degene die de Persoonsgegevens verwerken onder het gezag van de Verwerker. - Het verwerken van de Persoonsgegevens zal nimmer met zich meebrengen dat de databases
van Verwerker worden verrijkt met de gegevens afkomstig uit de datasets van
Verwerkersverantwoordelijke.
- Ten aanzien van de in artikel 2 genoemde verwerkingen zal Verwerker zorgdragen voor
4 Verdeling van verantwoordelijkheid
- De toegestane verwerkingen zullen door Verwerker worden uitgevoerd binnen een semigeautomatiseerde omgeving.
- Verwerkingsverantwoordelijke heeft en houdt volledige zeggenschap over de
Persoonsgegevens. Indien de Verwerkingsverantwoordelijke de Persoonsgegevens niet zelf
verwerkt met gebruikmaking van de systemen van Verwerker, verwerkt Verwerker uitsluitend
op basis van schriftelijke instructies van Verwerkingsverantwoordelijke. De
hoofdovereenkomst geldt als een generieke instructie ter zake. - De Verwerkingen geschieden uitsluitend in het kader van de Hoofdovereenkomst. Verwerker
verwerkt Persoonsgegevens niet anders dan in de Hoofdovereenkomst voorzien. Met name
gebruikt de Verwerker de Persoonsgegevens niet voor eigen doeleinden. - Verwerkersverantwoordelijke staat ervoor in dat alle Persoonsgegevens als omschreven in
Bijlage 1 onder ‘Categorie B: Relaties (Betrokkenen) van Verwerkersverantwoordelijke’ mogen
worden aangeleverd en dat Verwerker deze mag verwerken in haar opdracht. - Verwerkingsverantwoordelijke staat ervoor in dat de in artikel 2 genoemde doeleinden de
wettelijke grondslag, zoals bedoeld in, maar niet beperkt door de AVG aanwezig is. - Verwerkersverantwoordelijke staat ervoor in dat de inhoud, het gebruik en de opdracht tot
verwerking van de Persoonsgegevens zoals bedoeld in deze Verwerkersovereenkomst, niet
onrechtmatig zijn en geen inbreuk maken op enig recht van derden.
5 Beveiligingsmaatregelen
- Verwerker neemt alle technische en organisatorische beveiligingsmaatregelen die op grond
van de AVG en in het bijzonder op grond van artikel 32 AVG 1 van haar worden geëist. - Verwerker draagt ervoor zorg dat haar werknemers die bij Verwerker deelnemen aan de
Verwerkingen zijn gebonden aan een geheimhoudingsverplichting ter zake van de
Persoonsgegevens.
- Verwerker neemt alle technische en organisatorische beveiligingsmaatregelen die op grond
6 Datalekken
- Verwerker zal Verwerkingsverantwoordelijke op de hoogte stellen van iedere “inbreuk in verband met Persoonsgegevens” als bedoeld in artikel 4 sub 12 AVG 2 . Zo’n inbreuk wordt hierna: “Datalek” genoemd.
- Verwerker verschaft Verwerkingsverantwoordelijke tijdig alle informatie die zij bezit en die
nodig is om aan de verplichtingen uit artikel 33 AVG 3
te voldoen. Verwerker verschaft de
betreffende informatie overigens zo snel mogelijk in een door Verwerker te bepalen gangbaar
formaat. - Verwerker stelt de Verwerkingsverantwoordelijke over een Datalek niet op de hoogte indien
het aanstonds duidelijk is dat dat Datalek geen risico inhoudt voor de rechten en vrijheden
van natuurlijke personen. Indien er ruimte is voor twijfel daaromtrent, meldt Verwerker het
Datalek wel aan de Verwerkingsverantwoordelijke teneinde deze in staat te stellen omtrent
een eventuele melding van het Datalek een eigen oordeel te vormen. Verwerker zal álle
inbreuken, ook die niet aan de Verwerkingsverantwoordelijke gemeld hoeven te worden,
documenteren en die documentatie eenmaal per kwartaal aan Verwerkingsverantwoordelijke
verstrekken. - Het is uitsluitend aan Verwerkingsverantwoordelijke te bepalen of een bij Verwerker
geconstateerd Datalek wordt gemeld aan de Autoriteit Persoonsgegevens en/of aan
betreffende Betrokkenen.
7 Inschakeling sub verwerkers
- Verwerker maakt gebruik van sub verwerkers. Verwerker is niet gerechtigd bij de Verwerking
een derde als sub verwerker in te schakelen zonder voorafgaande schriftelijke toestemming
van Verwerkingsverantwoordelijke. Toestemming van Verwerkingsverantwoordelijke kan ook
betrekking hebben op een bepaalde soort derden. Bij ondertekening van dit document, geeft - Indien Verwerkingsverantwoordelijke zijn toestemming geeft, draagt Verwerker ervoor zorg
dat de betreffende derde een contract sluit waarin hij zich tenminste houdt aan dezelfde
wettelijke verplichtingen en de eventuele aanvullende verplichtingen uit deze
Verwerkersovereenkomst als die Verwerker heeft. - Ingeval de toestemming betrekking heeft op een bepaalde soort derden, licht Verwerker
Verwerkingsverantwoordelijke in over de door hem ingeschakelde sub verwerkers.
Verwerkingsverantwoordelijke kan dan bezwaar maken tegen toevoegingen of vervangingen
met betrekking tot de sub verwerkers van Verwerker.
- Verwerker maakt gebruik van sub verwerkers. Verwerker is niet gerechtigd bij de Verwerking
8 Geheimhoudingsplicht
- Verwerker houdt de Persoonsgegevens geheim. Verwerker draagt ervoor zorg dat de
Persoonsgegevens niet direct of indirect ter beschikking komen van derden. Onder derden
wordt ook het personeel van Verwerker begrepen voor zover het niet noodzakelijk is dat zij
kennisnemen van de Persoonsgegevens. Dit gebod geldt niet indien in deze
Verwerkersovereenkomst anders is bepaald en/of voor zover een wettelijk voorschrift of
vonnis tot enige bekendmaking verplicht. - Verwerker zal Verwerkingsverantwoordelijke op de hoogte stellen van ieder verzoek tot
kennisneming, verstrekking of andere vorm van opvragen en mededeling van de
Persoonsgegevens, in strijd met de in dit artikel opgenomen geheimhoudingsplicht.
- Verwerker houdt de Persoonsgegevens geheim. Verwerker draagt ervoor zorg dat de
9 Bewaartermijnen en wissen
- Verwerkingsverantwoordelijke is verantwoordelijk voor het bepalen van de bewaartermijnen
met betrekking tot de Persoonsgegevens. Voor zover Persoonsgegevens onder controle van
de Verwerkingsverantwoordelijke zijn (bijvoorbeeld in het geval van online services) wist hij
die zelf tijdig. - Verwerker zal de Persoonsgegevens binnen dertig dagen na het einde van de
Hoofdovereenkomst wissen of, naar keuze van de Verwerkingsverantwoordelijke, aan deze
overdragen, tenzij de Persoonsgegevens langer bewaard moeten worden, zoals in het kader
van (wettelijke) verplichtingen van Verwerker, dan wel indien Verwerkingsverantwoordelijke
verzoekt Persoonsgegevens langer te bewaren en Verwerker en
Verwerkingsverantwoordelijke over de kosten en overige voorwaarden van dat langere
bewaren overeenstemming bereiken, dit laatste onverminderd de verantwoordelijkheid van
Verwerkingsverantwoordelijke de wettelijke bewaartermijnen in acht te nemen. Een
eventuele overdracht aan de Verwerkingsverantwoordelijke geschiedt op kosten van de
Verwerkingsverantwoordelijke. - Verwerker zal op verzoek van Verwerkingsverantwoordelijke verklaren dat het wissen in het
voorgaande lid bedoeld heeft plaatsgevonden. Verwerkingsverantwoordelijke kan op eigen
kosten een controle laten uitvoeren of dat inderdaad is gebeurd. Artikel 10 van deze
Verwerkersovereenkomst is van toepassing op die controle. Verwerker zal voor zover nodig
alle subverwerkers die betrokken zijn bij de verwerking van de Persoonsgegevens op de
hoogte stellen van een beëindiging van de Hoofdovereenkomst en zal hen instrueren te
handelen zoals hierin bepaald is. - Tenzij partijen anders afspreken, draagt Verwerkingsverantwoordelijke zelf zorg voor een back
up van de Persoonsgegevens.
- Verwerkingsverantwoordelijke is verantwoordelijk voor het bepalen van de bewaartermijnen
10 Rechten van Betrokkenen
- Indien Verwerkingsverantwoordelijke zelf toegang heeft tot de Persoonsgegevens voldoet hij
zelf aan alle verzoeken van de Betrokkenen met betrekking tot de Persoonsgegevens.
Verwerker zal eventueel door Verwerker ontvangen verzoeken onverwijld aan
Verwerkingsverantwoordelijke doorgeven. - Alleen voor zover het in het voorgaande lid bedoelde niet mogelijk is, zal Verwerker zijn
volledige en tijdige medewerking verlenen aan Verwerkingsverantwoordelijke om:
(i) na goedkeuring van en in opdracht van Verwerkingsverantwoordelijke Betrokkenen
toegang te laten krijgen tot de hun betreffende Persoonsgegevens,
(ii) de Persoonsgegevens te verwijderen of te corrigeren,
(iii) aan te tonen dat de Persoonsgegevens verwijderd of gecorrigeerd zijn indien zij incorrect
zijn (of, ingeval Verwerkingsverantwoordelijke het er niet mee eens is dat de
Persoonsgegevens incorrect zijn, het feit vast te leggen dat de Betrokkene de
Persoonsgegevens als incorrect beschouwt)
(iv) de betreffende Persoonsgegevens aan Verwerkingsverantwoordelijke dan wel aan een
door de Verwerkingsverantwoordelijke aangewezen derde te verstrekken in een
gestructureerde, gangbare en machine leesbare vorm en
(v) Verwerkingsverantwoordelijke anderszins in de gelegenheid te stellen om aan zijn
verplichtingen onder de AVG of aan andere toepasselijke wetgeving op het gebied van
verwerking van de Persoonsgegevens te voldoen. - Verwerker mag voor de in het voorgaande lid genoemde medewerking redelijke kosten bij
Verwerkersverantwoordelijke in rekening brengen.
- Indien Verwerkingsverantwoordelijke zelf toegang heeft tot de Persoonsgegevens voldoet hij
11 Aansprakelijkheid
- Verwerkingsverantwoordelijke draagt, onder meer, de verantwoordelijkheid en is uit dien
hoofde volledig aansprakelijk voor (het gestelde doel van) de Verwerkingen, het gebruik en de
inhoud van de Persoonsgegevens, de verstrekking aan derden, de duur van de opslag van de
Persoonsgegevens, de wijze van verwerking en de daartoe gehanteerde middelen. - Verwerker is jegens Verwerkingsverantwoordelijke aansprakelijk zoals bepaald in de
Hoofdovereenkomst.
- Verwerkingsverantwoordelijke draagt, onder meer, de verantwoordelijkheid en is uit dien
12 Controle
- Verwerkingsverantwoordelijke heeft het recht de naleving van de bepalingen van deze
overeenkomst eenmaal per jaar op eigen kosten te laten controleren door een onafhankelijke
registeraccountant of registerinformaticus. - Verwerker stelt de Verwerkingsverantwoordelijke alle informatie ter beschikking die nodig is
om aan te tonen dat wordt voldaan aan de verplichtingen in artikel 28 AVG. Indien de door de
Verwerkingsverantwoordelijke ingeschakelde derde een instructie geeft die naar mening van
de Verwerker inbreuk oplevert op de AVG dan stelt de Verwerker de Verantwoordelijke
daarvan onmiddellijk in kennis. - Het onderzoek van Verwerkingsverantwoordelijke zal zich altijd beperken tot de systemen van
Verwerker die voor de Verwerkingen worden gebruikt. Verwerkingsverantwoordelijke zal de
bij de controle gevonden informatie geheimhouden en alleen gebruiken om de naleving door
Verwerker van de verplichtingen uit deze overeenkomst te controleren en de informatie of
delen daarvan zo snel als kan wissen. Verwerkingsverantwoordelijke staat ervoor in dat
eventuele ingeschakelde derden deze verplichtingen ook op zich nemen.
- Verwerkingsverantwoordelijke heeft het recht de naleving van de bepalingen van deze
13 Overige bepalingen
- Wijzigingen van deze Verwerkersovereenkomst zijn uitsluitend geldig indien deze tussen
partijen schriftelijk zijn overeengekomen. - Partijen zullen deze Verwerkersovereenkomst aanpassen aan gewijzigde of aangevulde
regelgeving, aanvullende instructies van de relevante autoriteiten en voortschrijdend inzicht
in de toepassing van de AVG (bijvoorbeeld door, maar niet beperkt tot, jurisprudentie of
rapporten), de introductie van standaardbepalingen en/of andere gebeurtenissen of inzichten
die een dergelijke aanpassing nodig maken. - Deze Verwerkersovereenkomst duurt zolang de Hoofdovereenkomst duurt. De bepalingen van
deze Verwerkersovereenkomst blijven gelden voor zover nodig voor de afwikkeling van deze
Verwerkersovereenkomst en voor zover die bedoeld zijn het einde van deze
Verwerkersovereenkomst te overleven. Tot die laatste categorie bepalingen behoren onder
meer, zonder daartoe te zijn beperkt, de bepalingen omtrent geheimhouding en geschillen. - Op deze Verwerkersovereenkomst is uitsluitend Nederlands recht van toepassing.
- Partijen zullen hun geschillen verband houdende met deze Verwerkersovereenkomst
uitsluitend voorleggen aan de Rechtbank Amsterdam.
- Wijzigingen van deze Verwerkersovereenkomst zijn uitsluitend geldig indien deze tussen
Bijlage 1 – Specificaties Persoonsgegevens en Betrokkenen
Persoonsgegevens die partijen verwachten te verwerken Verwerker zal in het kader van de
Hoofdovereenkomst in opdracht van Verwerkeringsverantwoordelijke, de volgende
Persoonsgegevens verwerken van Verwerkingsverantwoordelijke, en van de door
Verwerkingsverantwoordelijke nader bepaalde relaties (Betrokkenen):
Categorie A: Verwerkingsverantwoordelijke (afnemer Dienst)
Bedrijfsnaam
Factuuradres
Algemeen e-mailadres
Algemeen telefoonnummer
URL
Initialen/ voornaam contactpersoon
(tussen- achtervoegsel)
Achternaam
Functie en/ of verantwoordelijkheidsgebied
(direct e-mailadres)
(direct telefoonnummer)
Categorie B: Relaties (Betrokkenen) van Verwerkersverantwoordelijke Bedrijfsnaam
Postbus en/ of vestigingsadres
Algemeen e-mailadres
Algemeen telefoonnummer
URL
Initialen/ voornaam contactperso(o)n(en)
(tussen- achtervoegsel)
Achternaam
Functie en/ of verantwoordelijkheidsgebied
Verwerkersverantwoordelijke staat ervoor in dat uitsluitend de voor Verwerker noodzakelijke
Persoonsgegevens worden verstrekt.
Bijlage 2 – Sub verwerkers/categorieën van sub verwerkers
Vimexx B.V.
Vondellaan 47
2332AA Leiden
Categorie: Hosting
Ocean BI BV
Laan van Chartroise 166c
3552 EZ Utrecht
info@oceanbi.com
Tel: 088 028 0842
Categorie: Development
- Betreffende Transparante informatie, communicatie en nadere regels voor de uitoefening van de rechten van de
Betrokkene. - Inbreuk in verband met Persoonsgegevens”: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze
leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot
doorgezonden, opgeslagen of anderszins verwerkte gegevens; - Melding van een inbreuk in verband met Persoonsgegevens aan de toezichthoudende autoriteit.
Verwerkingsverantwoordelijke zijn toestemming voor het inschakelen van de sub
verwerkers(s) zoals vermeldt in Bijlage II.