Verwerkersovereenkomst

Verwerkersovereenkomst van Bedrijven Commissie B.V.

Voor de meest actuele versie, kijk altijd op onze website.

• Van kracht vanaf: 1 januari 2025
• Versie 3.0 (55c82b)

Introductie

Deze Verwerkersovereenkomst ("VWO") is van toepassing op alle overeenkomsten ("Overeenkomst") tussen Bedrijven Commissie B.V. ("BC"), gevestigd te Zwolle, en haar zakelijke klant ("Contractant") (tezamen "Partijen") met betrekking tot producten en diensten ("Diensten") waarbij Persoonsgegevens worden verwerkt. De VWO maakt integraal deel uit van de Algemene Voorwaarden van BC. Door gebruik te maken van de Diensten stemt de Contractant in met de Algemene Voorwaarden, inclusief deze VWO. Het doel van deze VWO is om afspraken vast te leggen over de verwerking van Persoonsgegevens conform de Algemene Verordening Gegevensbescherming (AVG, EU 2016/679) en toepasselijke Nederlandse wetgeving. Bij strijdigheid tussen documenten geldt deze rangorde: (1) deze VWO, (2) de Algemene Voorwaarden, (3) de Overeenkomst, (4) overige correspondentie tussen Partijen.

Definities

• Betrokkene: Een natuurlijke persoon die direct of indirect identificeerbaar is (artikel 4 lid 1 AVG).
• Datalek: Een inbreuk op de beveiliging die leidt tot ongeoorloofde toegang, vernietiging, wijziging of verlies van Persoonsgegevens (artikel 4 lid 12 AVG).
• Persoonsgegevens: Alle informatie over een Betrokkene (artikel 4 lid 1 AVG).
• Verwerker: BC, die Persoonsgegevens verwerkt in opdracht van de Verwerkingsverantwoordelijke zonder zelfstandige zeggenschap over doel of middelen van de verwerking.
• Verwerking: Elke bewerking van Persoonsgegevens, zoals verzamelen, opslaan, gebruiken of wissen (artikel 4 lid 2 AVG).
• Verwerkingsverantwoordelijke: De Contractant, die het doel en de middelen van de Verwerking bepaalt.

Verwerking van Persoonsgegevens

1. BC verwerkt Persoonsgegevens uitsluitend op schriftelijke instructies van de Contractant en onder diens verantwoordelijkheid, zoals vastgelegd in de Overeenkomst. Wijzigingen in de aard, omvang of doeleinden van de verwerking worden schriftelijk overeengekomen en toegevoegd aan Bijlage 1.
2. Indien BC een instructie als strijdig met de AVG of andere wetgeving beschouwt, stelt BC de Contractant hiervan onmiddellijk op de hoogte en kan de uitvoering opschorten.
3. BC houdt Persoonsgegevens strikt vertrouwelijk en gebruikt deze niet voor eigen doeleinden, tenzij schriftelijk anders overeengekomen. Persoonsgegevens blijven eigendom van de Contractant.
4. De Contractant garandeert dat de verwerking rechtmatig is en registreert de grondslag in zijn verwerkingsregister. De Contractant is verantwoordelijk voor het verkrijgen van toestemming van Betrokkenen en het informeren van de Autoriteit Persoonsgegevens indien vereist.
5. BC mag anonieme en statistische gegevens verzamelen voor interne analyse en verbetering van de Diensten, zonder herleidbaarheid tot de Contractant of Betrokkenen.

Subverwerkers

1. BC mag subverwerkers inschakelen en blijft verantwoordelijk voor hun handelen. BC sluit met subverwerkers overeenkomsten met minimaal dezelfde verplichtingen als in deze VWO.
2. BC informeert de Contractant schriftelijk over nieuwe subverwerkers. De Contractant kan binnen 14 dagen bezwaar maken op redelijke gronden (bijv. onvoldoende beveiliging). Een lijst van subverwerkers is op verzoek beschikbaar.

Subverwerkers

1. BC verleent kosteloze assistentie bij wettelijke verplichtingen (bijv. datalekmeldingen of verzoeken van Betrokkenen) en ondersteunt bij een DPIA (artikel 35 AVG) indien vereist. Aanvullende hulp wordt in rekening gebracht conform de tarievenlijst van BC.
2. Verzoeken van Betrokkenen of toezichthouders worden direct doorgestuurd naar de Contractant. BC stelt de Contractant op de hoogte van relevante verzoeken, tenzij wetgeving dit verbiedt.

Verwerking buiten de EU/EER

BC verwerkt geen Persoonsgegevens buiten de Europese Economische Ruimte (EER) zonder voorafgaande schriftelijke toestemming van de Contractant en passende waarborgen (bijv. SCC’s, artikel 46.2.c AVG). BC informeert de Contractant over de landen en waarborgen vóór overdracht.

Audits

De Contractant mag maximaal eenmaal per jaar, of bij een datalek, een audit laten uitvoeren door een gecertificeerde auditor (geen concurrent van BC). De datum wordt 30 dagen vooraf overeengekomen. Kosten van externe auditors zijn voor de Contractant; beide partijen dragen hun eigen interne kosten.

Datalekken

BC meldt een datalek binnen 24 uur na ontdekking aan de Contractant met: (1) aard van de inbreuk, (2) getroffen gegevens, (3) omvang van Betrokkenen, (4) gevolgen, (5) getroffen maatregelen. BC verleent kosteloze medewerking bij meldingen aan de Autoriteit Persoonsgegevens.

Aansprakelijkheid en overige bepalingen

1. De aansprakelijkheid van BC voor schade door een toerekenbare tekortkoming in deze VWO of de AVG is beperkt tot directe schade, met een maximum van €50 per gebeurtenis. Indirecte schade (zoals gederfde winst of reputatieschade) is uitgesloten.
2. Directe schade omvat: (a) zaakschade, (b) redelijke kosten om BC tot nakoming te manen, (c) kosten voor vaststelling van schade, (d) kosten ter beperking van directe schade.
3. BC wijzigt deze VWO met een schriftelijke aankondiging van 14 dagen. De VWO blijft van kracht zolang de Overeenkomst loopt of verplichtingen tot verwerking bestaan.

Soorten persoonsgegevens, categorieën betrokkenen en bewaartermijnen

Bewaartermijnen gelden na einde Overeenkomst, tenzij wetgeving langere bewaring vereist. Gegevens worden daarna vernietigd of geanonimiseerd.