Verwerkersovereenkomst

Partijen:
⦁ U als klant, hierna te noemen “Verwerkingsverantwoordelijke”;
en
⦁ de besloten vennootschap Fairtual Technologies BV, statutair gevestigd te België, 8000 Brugge, Koningin Elisabethlaan 18 en kantoorhoudende te België, 8000 Brugge, Koningin Elisabethlaan 18, in deze vertegenwoordigd door haar bestuurder, de heer Diego Dupont, hierna te noemen “Verwerker”.

Overwegingen:
⦁ Verwerkingsverantwoordelijke heeft met Verwerker een of meer overeenkomsten gesloten tot het leveren van diverse diensten door Verwerker aan Verwerkingsverantwoordelijke of zal een dergelijke overeenkomst sluiten. Deze overeenkomst of deze overeenkomsten gezamenlijk wordt of worden hierna als “de Hoofdovereenkomst” aangeduid.

⦁ Verwerker zal bij het uitvoeren van de Hoofdovereenkomst gegevens verwerken waarvoor Verwerkingsverantwoordelijke verantwoordelijk is en blijft. Tot die gegevens behoren persoonsgegevens in de zin van de Algemene Verordening Gegevensbescherming (EU 2016/679), hierna de “AVG”.

⦁ Partijen willen, gelet op het bepaalde in artikel 28 lid 3 AVG, de voorwaarden van de verwerking van deze persoonsgegevens in deze overeenkomst vastleggen.

Overeenkomst:

⦁ Toepassingsgebied
⦁ Deze overeenkomst is van toepassing voor zover bij het leveren van de diensten onder de Hoofdovereenkomst een of meer verwerkingen plaatsvinden die zijn opgenomen in Bijlage 1.
⦁ De verwerkingen van Bijlage 1 die bij het leveren van de diensten plaatsvinden worden hierna: “de Verwerkingen” genoemd. De persoonsgegevens die daarbij worden verwerkt: “de Persoonsgegevens”.
⦁ Met betrekking tot de Verwerkingen is Verwerkingsverantwoordelijke de verwerkingsverantwoordelijke en Verwerker de verwerker. De natuurlijke personen die onder de Hoofdovereenkomst feitelijk gebruik maken van de diensten van Verwerker en, eventueel, hun vertegenwoordigers, worden hierna ook als “de Eindgebruikers” aangeduid.
⦁ Alle begrippen in deze overeenkomst hebben de betekenis die daar in de AVG aan wordt gegeven.
⦁ De bijlagen maken onderdeel uit van deze overeenkomst. Het gaat om:
Bijlage 1 de Verwerkingen, de Persoonsgegevens en de bewaartermijnen;
Bijlage 2 de Subverwerkers en categorieën Subverwerkers die Verwerkingsverantwoordelijke goedkeurt;
Bijlage 3 de technische en organisatorische maatregelen van Verwerker;
Bijlage 4 informatie ten aanzien van een Datalek.

⦁ Onderwerp
⦁ Verwerker verbindt zich Persoonsgegevens uitsluitend te Verwerken ten behoeve van de in deze verwerkersovereenkomst en/of de Hoofdovereenkomst genoemde activiteiten. Verwerker garandeert dat hij, zonder uitdrukkelijke en schriftelijke toestemming van Verwerkingsverantwoordelijke, op geen enkele wijze gebruik zal maken van de Persoonsgegevens die onder deze Verwerkersovereenkomst worden Verwerkt, voor eigen doeleinden of doeleinden van derden, tenzij een op de Verwerker van toepassing zijnde wettelijke bepaling hem tot verwerking verplicht. In dat geval stelt de Verwerker de Verwerkingsverantwoordelijke, voorafgaand aan de Verwerking, onverwijld in kennis van dat wettelijk voorschrift, tenzij die wetgeving deze kennisgeving om gewichtige redenen van algemeen belang verbiedt.
⦁ Verwerker zal de Persoonsgegevens van Verwerkingsverantwoordelijke gescheiden houden van (Persoons)gegevens die zij voor zichzelf of voor derden Verwerkt.
⦁ Verwerker verricht de Verwerkingen op behoorlijke en zorgvuldige wijze.

3 Beveiligingsmaatregelen
⦁ Verwerker neemt alle technische en organisatorische beveiligingsmaatregelen die op grond van de AVG en in het bijzonder op grond van artikel 32 AVG van haar worden geëist.
⦁ Verwerker zal een document aanleveren waarin de passende technische en organisatorische maatregelen staan vermeld. Dit document zal als Bijlage 3 bij deze Verwerkersovereenkomst worden gevoegd.

4 Datalekken
⦁ Verwerker zal Verwerkingsverantwoordelijke zonder onredelijke vertraging, maar in ieder geval binnen 24 uur op de hoogte stellen van iedere “inbreuk in verband met persoonsgegevens” als bedoeld in artikel 4 sub 12 AVG. Zo’n inbreuk wordt hierna: “Datalek” genoemd.
⦁ Verwerker verschaft Verwerkingsverantwoordelijke zonder onredelijke vertraging van alle informatie die zij bezit en die nodig is om aan de verplichtingen uit artikel 33 AVG te voldoen en zal alle door verantwoordelijke verzochte medewerking zal verlenen. Verwerker verschaft de betreffende informatie overigens zo snel mogelijk in een door Verwerker te bepalen gangbaar formaat. Verder zal Verwerker Verwerkingsverantwoordelijke op de hoogte houden van eventuele nieuwe ontwikkelingen rond het Datalek evenals alle redelijke maatregelen nemen teneinde het Datalek te verhelpen en de (mogelijke) gevolgen daarvan zo veel mogelijk te beperken. Verwerker zal tevens die maatregelen treffen die noodzakelijk zijn om een herhaling van het Datalek te voorkomen.
⦁ Verwerker stelt de Verwerkingsverantwoordelijke over een Datalek niet op de hoogte indien het volkomen duidelijk is dat dat Datalek geen enkel risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Indien er ruimte is voor twijfel daaromtrent, meldt Verwerker het Datalek wel aan de Verwerkingsverantwoordelijke teneinde deze in staat te stellen omtrent een eventuele melding van het Datalek een eigen oordeel te vormen. Verwerker zal álle inbreuken, ook die niet aan de Verwerkingsverantwoordelijke gemeld hoeven te worden, documenteren, en die documentatie eenmaal per kwartaal aan Verwerkingsverantwoordelijke verstrekken of eerder wanneer Verwerkingsverantwoordelijke daar om verzoekt. De documentatie bevat minimaal de informatie zoals bedoeld in Bijlage 4.
⦁ Het is uitsluitend aan Verwerkingsverantwoordelijke te bepalen of een bij Verwerker geconstateerd Datalek wordt gemeld aan de bevoegde autoriteit en/of aan betreffende betrokkenen.

5 Inschakeling Subverwerkers
⦁ Verwerker is gerechtigd bij de Verwerking derden als Subverwerker in te schakelen zonder voorafgaande schriftelijke toestemming van Verwerkingsverantwoordelijke.
⦁ Verwerker draagt er zorg voor dat de betreffende derde(n) een overeenkomst sluit(en) waarin hij zich tenminste houdt aan dezelfde wettelijke verplichtingen als die Verwerker heeft.
⦁ Verwerker licht Verwerkingsverantwoordelijke in over de door hem ingeschakelde Subverwerkers. Verwerkingsverantwoordelijke kan dan bezwaar maken tegen toevoegingen of vervangingen met betrekking tot de Subverwerkers van Verwerker.
⦁ Verwerkingsverantwoordelijke geeft hierbij in elk geval toestemming voor het inschakelen van de in Bijlage 2 opgenomen Subverwerkers en/of categorieën van Subverwerkers.

6 Geheimhoudingsplicht
⦁ Verwerker houdt de Persoonsgegevens geheim. Verwerker draagt ervoor zorg dat de Persoonsgegevens niet direct of indirect ter beschikking komen van derden. Onder derden wordt ook het personeel van Verwerker begrepen voor zover het niet noodzakelijk is dat zij kennis nemen van de Persoonsgegevens. Dit gebod geldt niet indien in deze overeenkomst anders is bepaald en/of voor zover een wettelijk voorschrift of vonnis tot enige bekendmaking verplicht.
⦁ Verwerker draagt ervoor zorg dat personen, niet beperkt tot werknemers, die bij Verwerker deelnemen aan de Verwerkingen zijn gebonden aan een geheimhoudingsverplichting ter zake van de Persoonsgegevens.

⦁ Verwerker zal Verwerkingsverantwoordelijke op de hoogte stellen van ieder verzoek tot kennisneming, verstrekking of andere vorm van opvragen en mededeling van de Persoonsgegevens, in strijd met de in dit artikel opgenomen geheimhoudingsplicht.

7 Bewaartermijnen en wissen
⦁ Verwerkingsverantwoordelijke is verantwoordelijk voor het bepalen van de bewaartermijnen met betrekking tot de Persoonsgegevens. Voor zover Persoonsgegevens onder controle van de Verwerkingsverantwoordelijke zijn wist hij die zelf tijdig.
⦁ Verwerker zal de Persoonsgegevens binnen dertig dagen na het einde van de Hoofdovereenkomst wissen of, naar keuze van de Verwerkingsverantwoordelijke, aan deze overdragen, tenzij de Persoonsgegevens langer bewaard moeten worden, zoals in het kader van (wettelijke) verplichtingen van Verwerker, dan wel indien Verwerkingsverantwoordelijke verzoekt Persoonsgegevens langer te bewaren en Verwerker en Verwerkingsverantwoordelijke over de kosten en overige voorwaarden van dat langere bewaren overeenstemming bereiken, dit laatste onverminderd de verantwoordelijkheid van Verwerkingsverantwoordelijke de wettelijke bewaartermijnen in acht te nemen. Een eventuele overdracht aan de Verwerkingsverantwoordelijke geschiedt op kosten van de Verwerkingsverantwoordelijke.
⦁ Verwerker zal op verzoek van Verwerkingsverantwoordelijke verklaren dat het wissen in het voorgaande lid bedoeld heeft plaatsgevonden. Verwerkingsverantwoordelijke kan op eigen kosten een controle laten uitvoeren of dat inderdaad is gebeurd. Artikel 10 van deze overeenkomst is van toepassing op die controle. Verwerker zal voor zover nodig alle Subverwerkers die betrokken zijn bij de verwerking van de Persoonsgegevens op de hoogte stellen van een beëindiging van de Hoofdovereenkomst en zal hen instrueren te handelen zoals hierin bepaald is.
⦁ Tenzij partijen anders afspreken, draagt Verwerkingsverantwoordelijke zelf zorg voor een back up van de Persoonsgegevens.

8 Rechten van betrokkenen
⦁ Indien Verwerkingsverantwoordelijke zelf toegang heeft tot de Persoonsgegevens voldoet hij zelf aan alle verzoeken van de betrokkenen met betrekking tot de Persoonsgegevens. Verwerker zal eventueel door Verwerker ontvangen verzoeken onverwijld aan Verwerkingsverantwoordelijke doorgeven, die verantwoordelijk is voor de afhandeling van het verzoek.
⦁ Alleen voor zover het in het voorgaande lid bedoelde niet mogelijk is, zal Verwerker zijn volledige en tijdige medewerking verlenen aan Verwerkingsverantwoordelijke om:
⦁ na goedkeuring van en in opdracht van Verwerkingsverantwoordelijke betrokkenen inzage te laten krijgen tot de hun betreffende Persoonsgegevens,
⦁ Persoonsgegevens te verwijderen of te corrigeren,
⦁ aan te tonen dat Persoonsgegevens verwijderd of gecorrigeerd zijn indien zij incorrect zijn (of, ingeval Verwerkingsverantwoordelijke het er niet mee eens is dat de Persoonsgegevens incorrect zijn, het feit vast te leggen dat de betrokkene zijn Persoonsgegevens als incorrect beschouwt)
⦁ de betreffende Persoonsgegevens aan Verwerkingsverantwoordelijke dan wel aan een door de Verwerkingsverantwoordelijke aangewezen derde te verstrekken in een gestructureerde, gangbare en machine leesbare vorm en
⦁ Verwerkingsverantwoordelijke anderszins in de gelegenheid te stellen om aan zijn verplichtingen onder de AVG of aan andere toepasselijke wetgeving op het gebied van verwerking van de Persoonsgegevens te voldoen.

⦁ De kosten van en eisen aan de in het voorgaande lid genoemde medewerking stellen partijen gezamenlijk vast. Zonder een afspraak daaromtrent zijn de kosten voor de Verwerkingsverantwoordelijke.

⦁ Aansprakelijkheid
⦁ Verwerker is jegens Verwerkingsverantwoordelijke aansprakelijk voor alle schade en kosten die Verwerkingsverantwoordelijke lijdt als gevolg van een toerekenbare tekortkoming van Verwerker om te voldoen aan zijn verplichtingen krachtens deze overeenkomst, waaronder begrepen maar niet beperkt tot de schade die door Verwerker is veroorzaakt wanneer bij de verwerking niet is voldaan aan specifiek tot Verwerker gerichte verplichtingen van de AVG of indien in strijd met de rechtmatige instructies van Verwerkingsverantwoordelijke is gehandeld.
⦁ Verwerker vrijwaart Verwerkingsverantwoordelijke voor alle aanspraken van derden als gevolg van een toerekenbare tekortkoming van de Verwerker om zijn verplichtingen jegens Verwerkingsverantwoordelijke onder deze overeenkomst na te komen.
⦁ Onverminderd het bepaalde in dit artikel 9, geldt onverkort de in de Hoofdovereenkomst opgenomen regeling inzake aansprakelijkheid.

⦁ Controle
⦁ Verwerkingsverantwoordelijke heeft het recht de naleving van de bepalingen van deze overeenkomst wanneer daartoe redelijkerwijs aanleiding toe is, doch in ieder geval eenmaal per jaar, op eigen kosten te controleren of deze te laten controleren door een onafhankelijke registeraccountant of registerinformaticus.
⦁ Indien uit een dergelijke controle blijkt dat Verwerker deze overeenkomst en/of toepasselijke wettelijke bepalingen die op de Verwerking van Persoonsgegevens van toepassing zijn niet of niet behoorlijk heeft nageleefd, dient Verwerker de kosten van het onderzoek voor zijn rekening te nemen. Ook zal Verwerker onverwijld na kennisneming van de geconstateerde tekortkomingen, deze tekortkomingen herstellen. Dit onverminderd de overige rechten van Verwerkingsverantwoordelijke.
⦁ Verwerker stelt de Verwerkingsverantwoordelijke alle informatie ter beschikking die nodig is om aan te tonen dat wordt voldaan aan de verplichtingen in artikel 28 AVG. Indien de door de Verantwoordelijke ingeschakelde derde een instructie geeft die naar mening van de Verwerker inbreuk oplevert op de AVG dan stelt de Verwerker de Verantwoordelijke daarvan onmiddellijk in kennis.
⦁ Het onderzoek van Verwerkingsverantwoordelijke zal zich altijd beperken tot de systemen van Verwerker die voor de Verwerkingen worden gebruikt. Verwerkingsverantwoordelijke zal de bij de controle gevonden informatie geheim houden en alleen gebruiken om de naleving door Verwerker van de verplichtingen uit deze overeenkomst te controleren en de informatie of delen daarvan zo snel als kan wissen. Verwerkingsverantwoordelijke staat er voor in dat eventuele ingeschakelde derden deze verplichtingen ook op zich nemen.
Verwerker zal zelf periodieke beveiligingscontroles (laten) uitvoeren en zal jaarlijks een samenvatting verstrekken van de uitkomst van deze controle die minimaal een overzicht bevat van de risico’s alsmede de maatregelen om deze te beperken en verhelpen.

⦁ Verwerking van Persoonsgegevens buiten de Europese Economische Ruimte
⦁ Het overbrengen van Persoonsgegevens door Verwerker buiten de Europese Economische Ruimte is alleen toegestaan met inachtneming van de daarvoor geldende wettelijke verplichtingen.

⦁ Overige bepalingen
⦁ Wijzigingen van deze overeenkomst zijn uitsluitend geldig indien deze tussen partijen schriftelijk zijn overeengekomen.
⦁ Partijen zullen deze overeenkomst aanpassen aan gewijzigde of aangevulde regelgeving, aanvullende instructies van de relevante autoriteiten en voortschrijdend inzicht in de toepassing van de AVG (bijvoorbeeld door, maar niet beperkt tot, jurisprudentie of rapporten), de introductie van standaardbepalingen en/of andere gebeurtenissen of inzichten die een dergelijke aanpassing nodig maken.
⦁ Deze overeenkomst duurt zolang de Hoofdovereenkomst duurt. De bepalingen van deze overeenkomst blijven gelden voor zover nodig voor de afwikkeling van deze overeenkomst en voor zover die bedoeld zijn het einde van deze overeenkomst te overleven. Tot die laatste categorie bepalingen behoren onder meer, zonder daartoe te zijn beperkt, de bepalingen omtrent geheimhouding en geschillen.
⦁ Deze overeenkomst prevaleert boven alle overige overeenkomsten tussen Verwerkingsverantwoordelijke en Verwerker.
⦁ Op deze overeenkomst is uitsluitend Belgisch recht van toepassing.
⦁ Partijen zullen hun geschillen verband houdende met deze overeenkomst uitsluitend voorleggen aan de Rechtbank Brugge.
_________________________ __________________________________

Door:

Door:

Namens: Fairtual Technologies BV Namens:
Op: Op:
Te: Te:
Bijlage 1
Verwerkingen van persoonsgegevens en bewaartermijnen
Bijlage 1 en 2 dienen door verwerkingsverantwoordelijke zo volledig mogelijk ingevuld te worden
Deze bijlage is onderdeel van de Verwerkersovereenkomst en moet door partijen geparafeerd worden.

⦁ De Persoonsgegevens die partijen verwachten te verwerken:
[Beschrijving van de persoonsgegevens die op grond van deze overeenkomst verwerkt worden, zoals bijvoorbeeld de hieronder omschreven gegevens. Graag aanvullen.]

⦁ …………………………………………………………………………………
⦁ …………………………………………………………………………………
⦁ …………………………………………………………………………………
⦁ …………………………………………………………………………………
⦁ …………………………………………………………………………………
⦁ …………………………………………………………………………………
⦁ …………………………………………………………………………………
⦁ …………………………………………………………………………………
⦁ …………………………………………………………………………………
⦁ …………………………………………………………………………………
⦁ …………………………………………………………………………………
⦁ …………………………………………………………………………………

⦁ De aard, het gebruik en het doel van de verwerking van Persoonsgegevens:
[Beschrijving van wat er met de Persoonsgegevens wordt gedaan (bijvoorbeeld opslag in een bestand, e-mailing etc.), wat het doel van de verwerking is (bijvoorbeeld marketing, klantenwerving, uitvoering overeenkomst) en van welke middelen gebruik wordt gemaakt (bijvoorbeeld CRM-software).]
……………………………………………………………………………………………………………………………………………………….
……………………………………………………………………………………………………………………………………………………….
……………………………………………………………………………………………………………………………………………………….
……………………………………………………………………………………………………………………………………………………….
……………………………………………………………………………………………………………………………………………………….
……………………………………………………………………………………………………………………………………………………….
……………………………………………………………………………………………………………………………………………………….
……………………………………………………………………………………………………………………………………………………….
……………………………………………………………………………………………………………………………………………………….

⦁ De categorieën van Betrokkenen waarop de Persoonsgegevens betrekking heeft
[Beschrijving van de categorieën van Betrokkenen, bijvoorbeeld bezoekers van de website, abonnees, leveranciers, kinderen, werknemers].
……………………………………………………………………………………………………………………………………………………….
……………………………………………………………………………………………………………………………………………………….
……………………………………………………………………………………………………………………………………………………….
……………………………………………………………………………………………………………………………………………………….
……………………………………………………………………………………………………………………………………………………….
……………………………………………………………………………………………………………………………………………………….
……………………………………………………………………………………………………………………………………………………….
……………………………………………………………………………………………………………………………………………………….
……………………………………………………………………………………………………………………………………………………….

⦁ De gebruiks- en bewaartermijnen van de (verschillende soorten) Persoonsgegevens:
[Beschrijving van de gebruiks- en bewaartermijnen die verwerker dient aan te houden]
……………………………………………………………………………………………………………………………………………………….
……………………………………………………………………………………………………………………………………………………….
……………………………………………………………………………………………………………………………………………………….
……………………………………………………………………………………………………………………………………………………….
……………………………………………………………………………………………………………………………………………………….
……………………………………………………………………………………………………………………………………………………….
……………………………………………………………………………………………………………………………………………………….
……………………………………………………………………………………………………………………………………………………….
……………………………………………………………………………………………………………………………………………………….

Bijlage 2

Subverwerkers/categorieën van Subverwerkers
Deze bijlage is onderdeel van de Verwerkersovereenkomst en moet door partijen geparafeerd worden.
In deze bijlage staat een overzicht van de Subverwerkers zoals genoemd in art. 5.4 van deze overeenkomst.

Bijlage 3
Beveiligingsmaatregelen van Verwerker (zie downloads)

Bijlage 4
Informatie ten aan zien van een Datalek

Verwerker zal alle inlichtingen verschaffen die Verwerkingsverantwoordelijke noodzakelijk acht om het Datalek of incident te kunnen beoordelen. Daarbij verschaft Verwerker in ieder geval de volgende informatie aan Verwerkingsverantwoordelijke:
⦁ wat de (vermeende) oorzaak is van het Datalek of incident;
⦁ wat het (vooralsnog bekende en/of te verwachten) gevolg is;
⦁ wat de voorgestelde oplossing is;
⦁ de contactgegevens voor de opvolging van de melding;
⦁ (een inschatting van) het aantal personen waarvan gegevens betrokken zijn bij het Datalek of incident;
⦁ een omschrijving van de categorie betrokkenen die betrokken zijn bij het Datalek of incident;
⦁ het soort of de soorten Persoonsgegevens die betrokken zijn bij het Datalek of incident;
⦁ de datum waarop/periode waarin het Datalek of incident heeft plaatsgevonden;
⦁ de datum en het tijdstip waarop het Datalek of incident bekend is geworden bij Verwerker of bij een door hem ingeschakelde derde of sub verwerker;
⦁ of de gegevens versleuteld, gehasht of op een andere manier ontoegankelijk zijn gemaakt voor onbevoegden;
⦁ wat de genomen maatregelen zijn om het Datalek of incident te beëindigen en om de gevolgen van de inbreuk te beperken.