Published using Google Docs
Verwerkersovereenkomst Newbase_NLD
Updated automatically every 5 minutes

Verwerkersovereenkomst Newbase B.V.

Deze Verwerkersovereenkomst is gesloten tussen:

  1. Newbase B.V., gevestigd te AMSTERDAM, NEDERLAND op het adres Zekeringstraat 32E, ingeschreven in het handelsregister van de Kamer van Koophandel onder nummer 30160233 en vertegenwoordigd door de heer H.A. Timmer, (hierna genoemd Verwerker);
  2. Klant van Newbase zoals genoemd in de overeenkomst (offerte).

hierna samen: Partijen.

OVERWEGENDE DAT:

  1. Partijen een overeenkomst hebben gesloten strekkende tot het gebruikmaken van enterprise resource planning software (ERP) zoals beschreven staat in de overeenkomst(offerte), hierna: de Overeenkomst
  2. Verwerker uit hoofde van de Overeenkomst gehouden is om Persoonsgegevens te Verwerken ten behoeve van Verwerkingsverantwoordelijke en op deze Verwerking de Algemene Verordening Gegevensbescherming (hierna: AVG) van toepassing is;
  3. Partijen in lijn met de AVG en de daaruit voortvloeiende verplichtingen tot het treffen van bepaalde passende, technische en organisatorische maatregelen op het gebied van beveiliging van Persoonsgegevens en de verwerking daarvan door Verwerker hieromtrent afspraken wensen vast te leggen;
  4. Partijen in deze Verwerkersovereenkomst de navolgende afspraken maken over iedere vorm van verwerking van Persoonsgegevens uit hoofde van de Overeenkomst.

komen Partijen overeen als volgt:

Artikel 1. Begrippen

Aan de onderstaande begrippen wordt de volgende betekenis gehecht:

  1. AVG

De Algemene Verordening Gegevensbescherming 2016/679 van 26 april 2016.

  1. Betrokkene

Een natuurlijk persoon die direct of indirect kan worden geïdentificeerd.

  1. Derde

Een ieder, niet zijnde de Betrokkene, de Verwerkingsverantwoordelijke of de Verwerker.

  1. Inbreuk

Een Inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte Persoonsgegevens. Hieronder kan worden begrepen: verlies van een dossier, diefstal van een laptop of inbraak door een hacker op het computersysteem.

  1. Kennisgeving

Het in overeenstemming met artikel 33 AVG informeren van de Verwerkingsverantwoordelijke door de Verwerker in het geval van een Inbreuk betreffende Persoonsgegevens.

  1. Mededeling

De verplichting van de Verwerkingsverantwoordelijke om de Betrokkene te informeren, zoals bedoeld in artikel 34 AVG, van een Inbreuk op de beveiliging van Persoonsgegevens.  

  1. Melding

Het in overeenstemming met artikel 33 AVG informeren van de Autoriteit Persoonsgegevens door de Verwerkingsverantwoordelijke in het geval van een Inbreuk betreffende Persoonsgegevens.

  1. Ontvanger

De wederpartij van de Verwerker bij deze Verwerkersovereenkomst, zijnde een natuurlijke persoon, rechtspersoon overheidsinstantie, een dienst of ander orgaan al dan niet een Derde, aan wie/waaraan de Persoonsgegevens worden verstrekt.

  1. Overeenkomst

Overeenkomst met betrekking tot de verlening van diensten tussen Verwerker en Verwerkingsverantwoordelijke.

  1. Partijen

Verwerker en Verwerkingsverantwoordelijke.

  1. Persoonsgegeven(s)

Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (de Betrokkene).

  1. Toestemming

Elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de Betrokkene middels een verklaring of een ondubbelzinnige actieve handeling de verwerking van Persoonsgegevens aanvaardt.

  1. Verwerken

Elke handeling of elk geheel van handelingen met betrekking tot Persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegeven.

  1. Verwerkersovereenkomst

De onderhavige overeenkomst.

  1. Verwerkingsregister

  1. Sub-verwerker

Het Verwerkingsregister conform artikel 30 lid 1 AVG voor de Verwerkingsverantwoordelijke en artikel 30 lid 2 AVG voor de Verwerker.

Leverancier ingeschakeld door Verwerker conform artikel 28 lid 2 AVG.

Artikel 2. Verwerking en doel

  1. De Verwerking van Persoonsgegevens door Verwerker vindt enkel plaats conform deze Verwerkersovereenkomst en de doeleinden die daarmee samenhangen en in opdracht en schriftelijke instructie (artikel 28 lid 3 AVG) van de Verwerkingsverantwoordelijke.
  2. De doelen van de Verwerking zijn als volgt:
  1. werkzaamheden van de Verwerker strekkende tot het aanbieden, hosten en ontwikkelen van enterprise resource planning software (ERP) aan Verwerkingsverantwoordelijke, plus die doeleinden die daarmee redelijkerwijs samenhangen of die met nadere instemming worden bepaald.
  2. voldoen aan wet- en regelgeving.
  3. Verwerkingsverantwoordelijke zal Verwerker op de hoogte stellen van de verwerkingsdoeleinden voor zover deze niet reeds in deze Verwerkersovereenkomst zijn genoemd.

  1.  Partijen komen het volgende overeen:

Doel

Gebruikmaken van een enterprise resource planning software (ERP), te weten Newbase

Categorieën van Betrokkenen

Klanten, leveranciers en overige relaties van Verwerkingsverantwoordelijke

Medewerkers van Verwerkingsverantwoordelijke (gebruikers ERP en ten behoeve van HRM)

Persoonsgegevens

Klanten, leveranciers en overige relaties van Verwerkingsverantwoordelijke:

Naam, titel, geboortedatum, geslacht, taal, nationaliteit, social media adres, fysiekadres, telefoonnummer, e-mailadres,  rekeninggegevens, burgerservicenummer, burgerlijke staat, ID-kaart nummer, pasfoto, opleiding.

Verwerkingsverantwoordelijke heeft de mogelijkheid om in open invulvelden overige informatie op te nemen. Verwerker heeft hier geen invloed op.

Medewerkers van Verwerkingsverantwoordelijke (gebruikers ERP en ten behoeve van HRM):

Naam, titel, geboortedatum, geslacht, taal, nationaliteit, social media adres fysiekadres, telefoonnummer, e-mailadres, digitale handtekening,  rekeninggegevens, Burgerservicenummer, burgerlijke staat, ID-kaart nummer, pasfoto, opleiding, ziektemeldingen, contactpersoon in geval van nood.

Verwerkingsverantwoordelijke heeft de mogelijkheid om in open invulvelden overige informatie op te nemen. Verwerker heeft hier geen invloed op.

Verwerkingen

Verwerker biedt enterprise resource planning software aan de Verwerkingsverantwoordelijke. Hierbij vinden de volgende verwerkingen plaatsen:

  • Ontwikkelen van enterprise resource planning software
  • Hosten van enterprise resource planning software
  • Beheren & support van enterprise resource planning software
  • Maken van rapportages en andere Business intelligence aspecten

Verwerker biedt enkel enterprise resource planning sotware aan ten behoeve van Verwerkingsverantwoordelijke. Verwerker verwerkt niet actief persoonsgegevens.  

Locatie servers

Hosting in Nederland door een webhoster voorzien van ISO certificaat 27001.

Bewaartermijn

Verwerkingsverantwoordelijke is zelfstandig verantwoordelijk voor het bepalen van de bewaartermijnen en de uitvoer hiervan. Verwerkingsverantwoordelijk kan hiertoe te allen tijde zelfstandig persoonsgegevens verwijderen uit de applicatie.

Verwerker is gerechtigd de data van Verwerkingsverantwoordelijke te verwijderen 6 maanden nadat contract is opgezegd en opzegtermijn is verlopen. Verwerker zal Verwerkingsverantwoordelijke hiervan schriftelijk op de hoogte stellen.


  1. Verwerker zal de Persoonsgegevens niet voor enig ander doel Verwerken dan zoals met Verwerkingsverantwoordelijke in de Overeenkomst of Verwerkersovereenkomst is vastgelegd. Verwerker mag echter de persoonsgegevens gebruiken voor kwaliteitsdoeleinden of het doen van wetenschappelijk of statistisch onderzoek naar de kwaliteit van haar dienstverlening. Verwerker zal de Persoonsgegevens derhalve niet voor overige eigen doeleinden gebruiken
  2. Verwerker zal de (te Verwerken) Persoonsgegevens uitsluitend openbaren aan zijn werknemers of derde partijen die onder zijn gezag staan indien deze openbaring noodzakelijk is voor de Verwerking van de Persoonsgegevens conform de schriftelijke instructie van Verwerkingsverantwoordelijke en onder de voorwaarden als gesteld in deze Verwerkersovereenkomst.
  3. Verwerker draagt er zorg voor dat andere partijen en/of personeel en/of derde partijen die onder zijn gezag staan kennis hebben van de inhoud van deze Verwerkersovereenkomst en zich hebben verbonden tot vertrouwelijkheid.
  4. Het is Verwerker toegestaan andere Sub-verwerkers voor de Verwerking van de Persoonsgegevens zoals bedoeld in deze Verwerkersovereenkomst in te schakelen, mits Verwerker zorg draagt voor een Verwerking conform deze Verwerkersovereenkomst en de AVG. Verwerkingsverantwoordelijke geeft toestemming aan Verwerker voor de volgende Sub-verwerkers:
  1. Hostingprovider;
  2. Databasebeheerder;
  3. overige ICT-dienstverleners.
  1. Verwerkingsverantwoordelijke garandeert dat de Verwerking van Persoonsgegevens geschiedt in overeenstemming met artikel 6 AVG (Rechtmatigheid van de verwerking).
  2. De in opdracht van Verwerkingsverantwoordelijke te Verwerken Persoonsgegevens blijven eigendom van Verwerkingsverantwoordelijke en/of de betreffende Betrokkenen.
  3. Verwerkingsverantwoordelijke garandeert dat de inhoud, het gebruik en de opdracht tot de Verwerkingen van de Persoonsgegevens zoals bedoeld in deze Verwerkersovereenkomst, niet onrechtmatig zijn en geen Inbreuk maken op enig recht van Derden en vrijwaart Verwerker voor vorderingen ter zake.
  4. Verwerker is louter verantwoordelijk voor de verwerking van de persoonsgegevens onder deze Verwerkersovereenkomst, overeenkomstig de instructies van Verwerkingsverantwoordelijke en onder de uitdrukkelijke (eind-)verantwoordelijkheid van Verwerkingsverantwoordelijke. Voor de overige verwerkingen van persoonsgegevens, waaronder in ieder geval begrepen, maar niet beperkt tot, de verzameling van de persoonsgegevens door de Verwerkingsverantwoordelijke, verwerkingen voor doeleinden die niet door Verwerkingsverantwoordelijke aan Verwerker zijn gemeld, verwerkingen door derden en/of voor andere doeleinden, is Verwerker uitdrukkelijk niet verantwoordelijk.
  5. De Verwerker houdt een Verwerkingsregister van de verwerkingsactiviteiten bij die zij ten behoeve van een Verwerkingsverantwoordelijke hebben verricht (artikel 30 lid 2 AVG).

Artikel 3. Verplichtingen en beveiliging

  1. Verwerker zal conform artikel 28 AVG passende technische en organisatorische maatregelen ten uitvoer brengen om Persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige Verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging (artikel 32 AVG), een passend beveiligingsniveau gelet op de risico's die de Verwerking en de aard van te beschermen Persoonsgegevens met zich meebrengen.
  2. Verwerker zal voldoende maatregelen treffen die nodig zijn zodat de Verwerkingsverantwoordelijke kan voldoen aan artikel 33 en 34 AVG.
  3. Verwerker is verplicht zonder onredelijke vertraging tot Kennisgeving aan de Verwerkingsverantwoordelijke van een Inbreuk in verband met Persoonsgegevens in het kader van artikel 4 lid 12 AVG (Inbreuk). De Verwerker zal Verwerkingsverantwoordelijke niet informeren over beveiligingslekken (zwakke plekken in de beveiliging) voor zover het niet tot een Inbreuk heeft geleid.
  4. Verwerker zal in het kader van de Melding de Verwerkingsverantwoordelijke alle vereiste informatie doen toekomen (artikel 33 lid 3 AVG) benodigd voor een Melding binnen uiterlijk 72 uur na ontdekking van een Inbreuk betreffende Persoonsgegevens aan de Verwerkingsverantwoordelijke.
  5. Verwerker zal in geen geval zelf een Melding doen aan de Autoriteit Persoonsgegevens. De verplichting rust op de Verwerkingsverantwoordelijke.
  6. Verwerker zal, voor zover dat binnen haar macht ligt, bijstand verlenen aan Verwerkingsverantwoordelijke ten behoeve van het uitvoeren van gegevensbeschermingseffectbeoordelingen (PIA’s).
  7. Verwerker zal Verwerkingsverantwoordelijke op eerste verzoek informeren over op welke wijze Verwerker invulling geeft aan zijn verplichtingen onder deze Verwerkersovereenkomst. Verwerker heeft ten minste genomen preventieve maatregelen, detective maatregelen, repressieve maatregelen en herstelmaatregelen.

Artikel 4. Afhandeling verzoeken

  1. Op verzoek van Verwerkingsverantwoordelijke zal Verwerker alle redelijkerwijs noodzakelijke medewerking verlenen aan het voldoen aan verzoeken die Verwerkingsverantwoordelijke heeft ontvangen van Betrokkene zoals omschreven in artikel 15 tot en met artikel 21 AVG.
  2. Indien Verwerker een verzoek ontvangt van een Betrokkene, zal Verwerker dit verzoek onverwijld doorsturen aan de Verwerkingsverantwoordelijke.
  3. Verwerker zal zoveel mogelijk bijstand verlenen bij het vervullen van de Verwerkingsverantwoordelijke plicht om verzoeken om uitoefening van de vastgestelde rechten van de Betrokkene te beantwoorden.

Artikel 5. Geheimhouding

  1. Op alle Persoonsgegevens die Verwerker van Verwerkingsverantwoordelijke ontvangt en/of zelf verzamelt in het kader van deze Verwerkersovereenkomst en de Overeenkomst, rust een geheimhoudingsplicht jegens een ieder die ingevolge deze Verwerkersovereenkomst of de Overeenkomst is gerechtigd om Persoonsgegevens te Verwerken.
  2. De in artikel 5.1 genoemde geheimhoudingsplicht is niet van toepassing indien:
  1. Verwerkingsverantwoordelijke instemt met de verstrekking van de Persoonsgegevens;
  2. verstrekking conform het bepaalde in deze Verwerkersovereenkomst of de Overeenkomst geschiedt;
  3. indien er enige wettelijke verplichting bestaat om de informatie aan een Derde te verstrekken, in welk geval Verwerker Verantwoordelijke daarover zal informeren indien wettelijk toegestaan.
  1. Dit artikel 5 blijft gelden voor een periode van twee jaar nadat deze Verwerkersovereenkomst is geëindigd of tot het moment dat alle Persoonsgegevens conform opdracht van Verwerkingsverantwoordelijke zijn vernietigd.

Artikel 6. Audit

  1. De Verwerker zal, in het kader van het informeren van de Verwerkingsverantwoordelijke over de deugdelijke nakoming van de verplichtingen uit de AVG, op verzoek van Verwerkingsverantwoordelijke een privacy-audit laten uitvoeren door een gecertificeerde Derde betreffende de verwerkingen die plaatsvinden in opdracht van de Verwerkingsverantwoordelijke. Het normenkader en het type audit wordt bepaald door Verwerker. Verwerkingsverantwoordelijke kan verzoeken indienen met betrekking tot het normenkader en type audit. Verwerker zal alle redelijke verzoeken niet afwijzen. De volledige kosten van een dergelijke audit komen voor rekening van de Verwerkingsverantwoordelijke.
  2. Als de audit niet binnen een redelijke termijn door de Verwerker wordt verstrekt, zal de Verwerker instemmen met redelijke verzoeken van de Verwerkingsverantwoordelijke om een audit uit te voeren door de Verwerkingsverantwoordelijke of een gecertificeerde Derde opdat de Verwerkingsverantwoordelijke kan controleren of de Overeenkomst wordt nagekomen. De Verwerkingsverantwoordelijke draagt de volledige kosten van een dergelijke audit, hieronder vallen de volgende kosten: volledige kosten van de gecertificeerde Derde en alle kosten van Verwerker waaronder personeelskosten. De Verwerker zal zo nodig toegang verlenen tot zijn gebouwen en computerinrichtingen en zal alle in dat verband gevraagde medewerking verlenen, voor zover zulks noodzakelijk is teneinde de Verwerkingsverantwoordelijke in staat te stellen om toe te zien op de naleving van het in de Overeenkomst bepaalde. Evenwel zal vertrouwelijke informatie van de Verwerker in geen geval op een gegevensdrager aan de Verwerkingsverantwoordelijke worden verstrekt of door de Verwerkingsverantwoordelijke op een gegevensdrager worden geplaatst. De Verwerkingsverantwoordelijke zal derhalve niet komen te beschikken over gegevensdragers met vertrouwelijke informatie van de Verwerker. De Verwerkingsverantwoordelijke is gehouden alle informatie waar zij kennis van neemt in verband met het voormelde als strikt vertrouwelijk te beschouwen. Indien de Verwerkingsverantwoordelijke van mening is dat de Verwerker bepaalde technische en organisatorische beveiligingsmaatregelen dient te nemen zal de Verwerker in redelijkheid een daartoe strekkend verzoek beoordelen.

Artikel 7. Aansprakelijkheid

  1. De aansprakelijkheid van Verwerker voor schade als gevolg van een toerekenbare tekortkoming in de nakoming van de Verwerkersovereenkomst, dan wel uit onrechtmatige daad of anderszins, is uitgesloten. Voor zover voornoemde aansprakelijkheid niet kan worden uitgesloten of als de bedrijfs- en beroepsaansprakelijkheidsverzekering niet van toepassing is, is deze per gebeurtenis (een reeks opeenvolgende gebeurtenissen geldt als één gebeurtenis) beperkt tot de vergoeding van directe schade, tot maximaal het bedrag van de door Verwerker ontvangen vergoedingen voor de werkzaamheden onder deze Verwerkersovereenkomst over de maand voorafgaande aan de schadeveroorzakende gebeurtenis. De aansprakelijkheid van Verwerker voor indirecte schade is uitgesloten.
  2. De in dit artikel bedoelde uitsluitingen en beperkingen komen te vervallen indien en voor zover de schade het gevolg is van opzet of bewuste roekeloosheid van Verwerker of haar bedrijfsleiding.
  3. Tenzij nakoming door Verwerker blijvend onmogelijk is, ontstaat de aansprakelijkheid van Verwerker wegens toerekenbare tekortkoming in de nakoming van de Overeenkomst slechts indien Verwerkingsverantwoordelijke de Verwerker onverwijld schriftelijk in gebreke stelt, waarbij een redelijke termijn voor de zuivering van de tekortkoming wordt gesteld, en Verwerker ook na die termijn toerekenbaar blijft tekortschieten in de nakoming van haar verplichtingen. De ingebrekestelling dient een zo volledig en gedetailleerd mogelijke omschrijving van de tekortkoming te bevatten, opdat Verwerker in de gelegenheid wordt gesteld adequaat te reageren.
  4. Iedere vordering van Verwerkingsverantwoordelijke op Verwerker vervalt door het enkele tijdsverloop van 1 (één) jaar na het ontstaan van de vordering, behalve als de vordering binnen deze termijn expliciet schriftelijk en gedetailleerd aan Verwerker is gemeld.

Artikel 8. Duur en beëindiging

  1. Deze Verwerkersovereenkomst komt tot stand door ondertekening van de offerte door klant(nieuwe klanten) of door ondertekening van deze overeenkomst van bestaande Partijen
  2. Deze Verwerkersovereenkomst is aangegaan voor de duur zoals bepaald in de hoofdovereenkomst tussen Partijen en bij gebreke daarvan in ieder geval voor de duur van de samenwerking. Zodra de Verwerkersovereenkomst, om welke reden en op welke wijze dan ook, is beëindigd, kan de Verwerkingsverantwoordelijke zelf alle persoonsgegevens en overige data aanwezig in Newbase exporteren of Verwerker opdracht geven om dit tegen de dan geldende kosten te doen. Na afloop van de opzegtermijn kan Verwerker, alle data van Verwerkingsverantwoordelijke verwijderen. Voordat de data wordt verwijderd zal Verwerker de Verwerkingsverantwoordelijke hiervan schriftelijk op de hoogte stellen.
  3. Verwerker is gerechtigd deze overeenkomst van tijd tot tijd te herzien. Verwerker zal geen wijzigingen doorvoeren die in strijd zijn met de geldende privacywetgeving. Zij zal minimaal drie maanden van tevoren mededeling doen van de wijzigingen aan Verwerkingsverantwoordelijke.

Artikel 9. Toepasselijk recht, forum en algemeen

  1. Afwijkingen en aanvullingen op deze Verwerkersovereenkomst zijn alleen bindend indien deze uitdrukkelijke en schriftelijk zijn overeengekomen. Handgeschreven wijzigingen en aanvullingen dienen door beide Partijen voorzien te worden door de vermelding “akkoord”.
  2. Deze Verwerkersovereenkomst treedt in de plaats van alle (eventueel) voorgaande overeenkomsten en afspraken tussen Partijen met betrekking tot hetzelfde onderwerp.
  3. Deze Verwerkersovereenkomst is onlosmakelijk verbonden aan alle gelieerde documentatie tussen partijen.
  4. De rechten en plichten uit deze Verwerkersovereenkomst zijn niet overdraagbaar aan Derden. Partijen verplichten zich deze rechten en plichten niet over te dragen aan Derden.
  5. Indien enige bepaling uit deze Verwerkersovereenkomst ongeldig, nietig of vernietigbaar mocht blijken te zijn, zullen de overige bepalingen hun werking blijven behouden. Partijen zullen de ongeldige bepaling vervangen door een geldige bepaling doet zoveel mogelijk het doel van de strekking van de ongeldige bepaling zal benaderen.
  6. Deze Verwerkersovereenkomst wordt uitsluitend beheerst door Nederlands recht.
  7. Alle geschillen, welke tussen Partijen mochten ontstaan in verband met de Verwerkersovereenkomst, zullen worden voorgelegd aan de bevoegde rechter binnen het arrondissement van de Verwerker.