overwegende, dat
zijn het volgende overeengekomen:
Artikel
1. Doeleinden van verwerking
1.1. Ypeij Consulting verbindt zich onder de voorwaarden van deze Verwerkersovereenkomst
in opdracht van Verwerkingsverantwoordelijke persoonsgegevens te verwerken.
Verwerking zal uitsluitend plaatsvinden in het kader van Verzekeringen, plus
die doeleinden die daarmee redelijkerwijs samenhangen of die met nadere
instemming worden bepaald.
1.2. De persoonsgegevens die door Ypeij Consulting in het kader van de
werkzaamheden als bedoeld in het vorige lid worden verwerkt en de categorieën
van de betrokkenen van wie deze afkomstig zijn, zijn opgenomen in
Bijlage 1. Ypeij Consulting zal de persoonsgegevens niet voor enig ander doel
verwerken dan zoals door Verwerkingsverantwoordelijke is vastgesteld.
Verwerkingsverantwoordelijke zal Ypeij Consulting op de hoogte stellen van de
verwerkingsdoeleinden voor zover deze niet reeds in deze Verwerkersovereenkomst
zijn genoemd.
1.3. De in opdracht van Verwerkingsverantwoordelijke te verwerken
persoonsgegevens blijven eigendom van Verwerkingsverantwoordelijke en/of de
betreffende betrokkenen.
Artikel
2. Verplichtingen Ypeij Consulting
2.1. Ten aanzien van de in artikel 1 genoemde verwerkingen zal Ypeij Consulting
zorg dragen voor de naleving van de toepasselijke wet- en regelgeving,
waaronder in ieder geval begrepen de wet- en regelgeving op het gebied van de
bescherming van persoonsgegevens, zoals de Algemene Verordening
Gegevensbescherming.
2.2. Ypeij Consulting zal Verwerkingsverantwoordelijke, op diens eerste verzoek
daartoe, informeren over de door haar genomen maatregelen aangaande haar
verplichtingen onder deze Verwerkersovereenkomst.
2.3. De verplichtingen van Ypeij Consulting die uit deze Verwerkersovereenkomst
voortvloeien, gelden ook voor degenen die persoonsgegevens verwerken onder het
gezag van Ypeij Consulting, waaronder begrepen maar niet beperkt tot
werknemers, in de ruimste zin van het woord.
2.4. Ypeij Consulting zal Verwerkingsverantwoordelijke onmiddellijk in kennis
stellen indien naar zijn mening een instructie van Verwerkingsverantwoordelijke
in strijd is met de in lid 1 bedoelde wetgeving.
2.5. Ypeij Consulting zal, voor zover dat binnen haar macht ligt, bijstand
verlenen aan Verwerkingsverantwoordelijke ten behoeve van het uitvoeren van
gegevensbeschermingseffectbeoordelingen (PIA’s).
2.6. Ypeij Consulting zal conform artikel 30 AVG een register van alle
categorieën van verwerkingsactiviteiten voeren, die zij ten behoeve van
Verwerkingsverantwoordelijke verricht onder deze Verwerkersovereenkomst. Op
verzoek zal Ypeij Consulting Verwerkingsverantwoordelijke hier inzage in
verschaffen.
Artikel
3. Doorgifte van persoonsgegevens
3.1. Ypeij Consulting mag de persoonsgegevens verwerken in landen binnen de
Europese Unie. Doorgifte naar landen buiten de Europese Unie is verboden.
Artikel
4. Verdeling van verantwoordelijkheid
4.1. De toegestane verwerkingen zullen door medewerkers van Ypeij Consulting
worden uitgevoerd binnen een geautomatiseerde omgeving.
4.2. Ypeij Consulting is louter verantwoordelijk voor de verwerking van de
persoonsgegevens onder deze Verwerkersovereenkomst, overeenkomstig de
instructies van Verwerkingsverantwoordelijke en onder de uitdrukkelijke
(eind-)verantwoordelijkheid van Verwerkingsverantwoordelijke. Voor de overige
verwerkingen van persoonsgegevens, waaronder in ieder geval begrepen, maar niet
beperkt tot, de verzameling van de persoonsgegevens door
Verwerkingsverantwoordelijke, verwerkingen voor doeleinden die niet door
Verwerkingsverantwoordelijke aan Ypeij Consulting zijn gemeld, verwerkingen
door derden en/of voor andere doeleinden, is Ypeij Consulting uitdrukkelijk
niet verantwoordelijk.
4.3. Verwerkingsverantwoordelijke garandeert dat de inhoud, het gebruik en de
opdracht tot de verwerkingen van de persoonsgegevens zoals bedoeld in deze Verwerkersovereenkomst
niet onrechtmatig zijn en geen inbreuk maken op enig recht van derden.
Artikel
5. Inschakelen van derden of onderaannemers
5.1. Ypeij Consulting mag in het kader van deze Verwerkersovereenkomst geen
gebruik maken van een derde zonder voorafgaande schriftelijke toestemming van
Verwerkingsverantwoordelijke, welke toestemming onderwerp kan zijn van nadere
voorwaarden.
5.2. Ypeij Consulting zorgt er in ieder geval voor dat deze derden schriftelijk
ten minste dezelfde plichten op zich nemen als tussen
Verwerkingsverantwoordelijke en Ypeij Consulting zijn overeengekomen.
Verwerkingsverantwoordelijke heeft het recht de mogelijk hierbij betrokken
overeenkomsten in te zien.
5.3. Ypeij Consulting staat in voor een correcte naleving van de plichten uit
deze Verwerkersovereenkomst door deze derden en is bij fouten van deze derden
zelf aansprakelijk voor alle schade alsof zij zelf de fout(en) heeft begaan.
Artikel
6. Beveiliging
6.1. Ypeij Consulting zal zich inspannen voldoende technische en
organisatorische maatregelen te nemen met betrekking tot de te verrichten
verwerkingen van persoonsgegevens, tegen verlies of tegen enige vorm van
onrechtmatige verwerking (zoals onbevoegde kennisname, aantasting, wijziging of
verstrekking van de persoonsgegevens).
6.2. Ypeij Consulting staat er niet voor
in dat de beveiliging onder alle omstandigheden doeltreffend is. Indien een
uitdrukkelijk omschreven beveiliging in de Verwerkersovereenkomst ontbreekt,
zal Ypeij Consulting zich inspannen de beveiliging te laten voldoen aan een
niveau dat, gelet op de stand van de techniek, de gevoeligheid van de
persoonsgegevens en de aan het treffen van de beveiliging verbonden kosten,
niet onredelijk is.
6.3. Verwerkingsverantwoordelijke stelt enkel persoonsgegevens aan Ypeij
Consulting ter beschikking voor verwerking, indien zij zich ervan heeft
verzekerd dat de vereiste beveiligingsmaatregelen zijn getroffen.
Verwerkingsverantwoordelijke is verantwoordelijk voor de naleving van de door
Partijen afgesproken maatregelen.
Artikel
7. Meldplicht
7.1. Verwerkingsverantwoordelijke is te allen tijde verantwoordelijk voor het
melden van een beveiligingslek en/of datalek (waaronder wordt verstaan: een
inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot
de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van
of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins
verwerkte gegevens) aan de toezichthouder en/of betrokkenen. Om
Verwerkingsverantwoordelijke in staat te stellen aan deze wettelijke plicht te
voldoen, stelt Ypeij Consulting Verwerkingsverantwoordelijke onverwijld op de
hoogte van het beveiligingslek en/of het datalek.
7.2. Een melding moet alleen bij gebeurtenissen met grote impact worden gedaan,
en alleen als de gebeurtenis zich daadwerkelijk voorgedaan heeft.
7.3. De meldplicht behelst in ieder geval het melden van het feit dat er een
lek is geweest. Daarnaast behelst de meldplicht:
7.4. Ypeij Consulting zal conform artikel 33 lid 5 AVG alle datalekken documenteren, met inbegrip van de feiten omtrent de inbreuk in verband met persoonsgegevens, de gevolgen daarvan en de genomen corrigerende maatregelen. Op verzoek zal Ypeij Consulting Verwerkingsverantwoordelijke hier inzage in verschaffen.
Artikel
8. Afhandeling verzoeken van betrokkenen
8.1. In het geval dat een betrokkene een verzoek tot uitoefening van zijn/haar
wettelijke rechten (artikel 15-22 AVG) richt aan Ypeij Consulting, zal Ypeij
Consulting het verzoek doorsturen aan Verwerkingsverantwoordelijke, en zal
Verwerkingsverantwoordelijke het verzoek verder afhandelen. Ypeij Consulting
mag de betrokkene daarvan op de hoogte stellen.
Artikel
9. Geheimhouding en vertrouwelijkheid
9.1. Op alle persoonsgegevens die Ypeij Consulting van
Verwerkingsverantwoordelijke ontvangt en/of zelf verzamelt in het kader van
deze Verwerkersovereenkomst, rust een geheimhoudingsplicht jegens derden. Ypeij
Consulting zal deze informatie niet voor een ander doel gebruiken dan waarvoor
zij deze heeft verkregen, zelfs niet wanneer deze in een zodanige vorm is
gebracht zodat deze niet tot betrokkenen herleidbaar is.
9.2. Deze geheimhoudingsplicht is niet van toepassing voor zover
Verwerkingsverantwoordelijke uitdrukkelijke toestemming heeft gegeven om de
informatie aan derden te verschaffen, indien het verstrekken van de informatie
aan derden logischerwijs noodzakelijk is gezien de aard van de verstrekte
opdracht en de uitvoering van deze Verwerkersovereenkomst, of indien er een
wettelijke verplichting bestaat om de informatie aan een derde te verstrekken.
Artikel
10. Audit
10.1. Verwerkingsverantwoordelijke heeft het recht om audits uit te voeren ter
controle van naleving van alle punten uit de Verwerkersovereenkomst, en alles
dat daar direct verband mee houdt.
10.2. Deze audit mag eens per jaar plaatsvinden alsook bij een concreet
vermoeden van misbruik van persoonsgegevens.
10.3. Ypeij Consulting zal aan de audit meewerken en alle voor de audit
redelijkerwijs relevante informatie, inclusief ondersteunende gegevens zoals
systeemlogs, en medewerkers zo tijdig mogelijk ter beschikking stellen.
10.4. De bevindingen naar aanleiding van de uitgevoerde audit zullen door
Partijen in onderling overleg worden beoordeeld en, naar aanleiding daarvan, al
dan niet worden doorgevoerd door één van de Partijen of door beide Partijen
gezamenlijk.
10.5. De kosten van de audit worden door Ypeij Consulting gedragen indien er
niet conform de Verwerkersovereenkomst blijkt te zijn gewerkt, en/of er fouten
worden gevonden in de bevindingen, die toegerekend moeten worden aan Ypeij
Consulting. In ieder ander geval zullen de kosten van de audit worden gedragen
door Verwerkingsverantwoordelijke.
Artikel
11. Aansprakelijkheid
11.1. Partijen komen uitdrukkelijk overeen dat ten aanzien van
aansprakelijkheid de normale wettelijke regeling geldt.
Artikel
12. Duur en beëindiging
12.1. Deze Verwerkersovereenkomst komt tot stand door ondertekening van Partijen
en op de datum van de laatste ondertekening.
12.2. Deze Verwerkersovereenkomst is aangegaan voor de duur zoals bepaald in de
Hoofdovereenkomst tussen Partijen en bij gebreke daarvan in ieder geval voor de
duur van de samenwerking.
12.3. Zodra de Verwerkersovereenkomst, om welke reden en op welke wijze dan
ook, is beëindigd, zal Ypeij Consulting – naar keuze van
Verwerkingsverantwoordelijke – alle persoonsgegevens die bij haar aanwezig zijn
in originele of kopievorm retourneren aan Verwerkingsverantwoordelijke, en/of
deze originele persoonsgegevens en eventuele kopieën daarvan verwijderen en/of
vernietigen.
12.4. Partijen mogen deze overeenkomst alleen wijzigen met wederzijdse
instemming.
Artikel
13. Toepasselijk recht en geschillenbeslechting
13.1. De Verwerkersovereenkomst en de uitvoering daarvan worden beheerst door
Nederlands recht.
13.2. Alle geschillen, welke tussen Partijen mochten ontstaan in verband met de
Verwerkersovereenkomst, zullen worden voorgelegd aan de bevoegde rechter voor
het arrondissement waarin Ypeij Consulting gevestigd is.
Was getekend,
Voor Verwerkingsverantwoordelijke:
Naam:
Functie:
Datum:
…………………..
Voor Ypeij Consulting:
Naam: Dave Ypeij
Functie: Eigenaar
Datum: 01-01-2019
Persoonsgegevens
Ypeij Consulting zal in het kader van artikel 1.1 van de Verwerkersovereenkomst,
de volgende (bijzondere) persoonsgegevens verwerken in opdracht van
Verwerkingsverantwoordelijke:
Van de categorieën betrokkenen:
Verwerkingsverantwoordelijke staat ervoor in dat de in deze Bijlage 1 omschreven persoonsgegevens en categorieën betrokkenen volledig en correct zijn, en vrijwaart Ypeij Consulting voor enige gebreken en aanspraken die resulteren uit een incorrecte weergave door Verwerkingsverantwoordelijke.