Verwerkersovereenkomst

Verwerkersovereenkomst van Bedrijven Commissie B.V.

Introductie

Deze Verwerkersovereenkomst (“VWO”) is van toepassing op de overeenkomsten (“Overeenkomst”) gesloten tussen Bedrijven Commissie B.V. (“BC”) en haar zakelijke klant (“Contractant”) (tezamen “Partijen”) die betrekking hebben op producten en diensten (“Diensten”) aangeboden door BC waarbij persoonsgegevens van de Contractant worden verwerkt en maakt integraal onderdeel uit van de Algemene Voorwaarden van BC. Door gebruik te maken van de Diensten van BC, gelden de Algemene Voorwaarden en geeft Contractant expliciet aan akkoord te zijn met de Algemene Voorwaarden, waaronder deze Verwerkersovereenkomst, die integraal deel uitmaakt van de Algemene Voorwaarden. Het doel van deze VWO is om overeenstemming te bereiken over de privacy en gegevensbescherming van de persoonlijke gegevens van de Contractant in de diensten van BC. Deze VWO is de schriftelijke overeenkomst tussen Partijen conform de Algemene verordening gegevensbescherming (AVG, EU 2016/679) en nieuwe richtlijnen en - wetgeving inzake de verwerking van persoonsgegevens die van tijd tot tijd van kracht worden, zowel in Nederland als in de EU. In geval van strijdigheid tussen bepalingen uit verschillende documenten, geldt de volgende rangorde: 1. deze VWO; 2. de Algemene Voorwaarden inclusief de desbetreffende Richtlijnen; 3. de Overeenkomst; 4. en de eventuele correspondentie tussen Contractant en BC.

Definities

Onderstaande begrippen hebben de betekenis die daaraan wordt gegeven in de Algemene verordening gegevensbescherming (“AVG”). Betrokkene: als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon. Datalek: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens. Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (hierna: de Betrokkene). Verwerker: BC, die, op basis van de Overeenkomst, de Persoonsgegevens namens de Verwerkingsverantwoordelijke verwerkt. Verwerking of Verwerkingsactiviteiten: een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens. Verwerkingsverantwoordelijke: de Contractant die de doeleinde(n) van de verwerking bepaalt alsook de wijze waarop de Persoonsgegevens worden verwerkt, op basis van diens schriftelijke instructie en onder diens verantwoordelijkheid.

Gegevensbescherming en verwerking van persoonsgegevens

1. Verplichtingen van Bedrijven Commissie B.V. en de Contractant
   • Bedrijven Commissie B.V. is gerechtigd om, ter uitvoering van de Overeenkomst en volgens expliciete schriftelijke instructie, onder verantwoordelijkheid van de Contractant, Persoonsgegevens te verwerken. De Contractant heeft het recht en de plicht om het doel en de methoden van de Verwerking van Persoonsgegevens nader te definiëren. Het onderwerp, karakter en doel van de Verwerking worden nader gedefinieerd in de Overeenkomst.
   • Bedrijven Commissie B.V. zal alle redelijke schriftelijke instructies van de Contractant in verband met de verwerking van de Persoonsgegevens opvolgen. Indien de instructies van de Contractant in strijd worden geacht met de toepasselijke wetgeving met betrekking tot de verwerking van Persoonsgegevens, zal Bedrijven Commissie B.V. de Contractant onmiddellijk op de hoogte stellen. In dat geval kan Bedrijven Commissie B.V. direct de opvolging van de instructies van de Contractant beëindigen.
   • Bedrijven Commissie B.V. zal bij de verwerking van Persoonsgegevens handelen in overeenstemming met deze VWO, de AVG en andere wet- en regelgeving. De Persoonsgegevens die Bedrijven Commissie B.V. verwerkt, kunnen betrekking hebben op bijvoorbeeld werknemers en/of klanten van de Contractant en overige natuurlijke personen in relatie tot de Contractant. Een overzicht van de Persoonsgegevens, de categorieën Betrokkenen en de doeleinden waarvoor de Persoonsgegevens die ten behoeve van de Contractant worden verwerkt, is nader gedefinieerd in Bijlage 1 bij deze VWO.
   • De door Bedrijven Commissie B.V. te verwerken Persoonsgegevens, op welke wijze dan ook verkregen, zijn en blijven altijd eigendom van de Contractant. Bedrijven Commissie B.V. heeft geen zelfstandige zeggenschap over deze gegevens, noch is het gerechtigd om deze voor eigen doeleinden te verwerken. Bedrijven Commissie B.V. zal de Persoonsgegevens strikt vertrouwelijk houden en deze niet aan derden ter beschikking stellen, tenzij dit noodzakelijk of toegestaan is ingevolge de Overeenkomst, in het geval hiervoor voorafgaande schriftelijke toestemming van de Contractant is verkregen, of indien een toezichthouder, op grond van een wettelijk voorschrift, Bedrijven Commissie B.V. daartoe verplicht.
   • De Contractant garandeert dat zijn Verwerking van Persoonsgegevens plaatsvindt in overeenstemming met de AVG en dat de inhoud, het gebruik en de opdracht tot de Verwerkingsactiviteiten onder de Overeenkomst rechtmatig zijn. De grondslag voor de Verwerking(en) onder de Overeenkomst zal de Contractant registreren in zijn eigen verwerkingsregister. De Contractant is verantwoordelijk voor het verkrijgen van de eventueel benodigde toestemming voor de Verwerking. Daarnaast is de Contractant aansprakelijk voor het opstellen van zijn privacybeleid, het up-to-date houden ervan, het informeren van de Betrokkenen en voor meldingen aan de Autoriteit Persoonsgegevens.
   • Bedrijven Commissie B.V. heeft het recht om anonieme en statistische gegevens te verzamelen over het gebruik van de Diensten op grond van de Overeenkomst, waarbij geen tot de Contractant of Betrokkenen herleidbare Persoonsgegevens worden gebruikt, en deze te gebruiken voor het analyseren en ontwikkelen van de Diensten.
2. Verwijderen of retourneren van Persoonsgegevens
   • Na het verstrijken van de Overeenkomst en conform het bepaalde in het verwerkingsregister van Bedrijven Commissie B.V. , zal Bedrijven Commissie B.V. alle Persoonsgegevens van de Contractant verwijderen of, tegen redelijke kosten, retourneren, volgens de specifieke instructies van de Contractant, en alle duplicaten ervan verwijderen, tenzij de toepasselijke wetgeving de verdere retentie van de Persoonsgegevens vereist. Deze verplichtingen zijn van overeenkomstige toepassing op de door Bedrijven Commissie B.V. ingeschakelde subverwerkers, waarbij Bedrijven Commissie B.V. zal waarborgen dat deze subverwerkers deze verplichtingen naleven.
3. Subverwerkers
   • Bedrijven Commissie B.V. heeft het recht om subverwerkers in te schakelen voor de verwerking van Persoonsgegevens van de Contractant in het kader van de Overeenkomst. Bedrijven Commissie B.V. is verantwoordelijk voor de handelingen van haar subverwerkers en zal vergelijkbare schriftelijke overeenkomsten afsluiten met deze subverwerkers, waarin minimaal dezelfde verplichtingen als voor Bedrijven Commissie B.V. gelden op basis van deze Bijlage en die voortvloeien uit de AVG. Bedrijven Commissie B.V. zal toezien op de naleving daarvan door de subverwerker en zal de Contractant vooraf op de hoogte stellen van het voornemen om nieuwe subverwerkers in te schakelen, waarbij de Contractant het recht heeft zich op redelijke gronden hiertegen te verzetten.
4. Bedrijven Commissie B.V.’s verplichting om assistentie te verlenen
   • Bedrijven Commissie B.V. zal, rekening houdend met de aard van de Verwerking en de aard en omvang van de te verwerken Persoonsgegevens, de Contractant zoveel mogelijk bijstaan en diens redelijke instructies opvolgen om de Contractant in staat te stellen te voldoen aan diens wettelijke verplichtingen, waaronder het informeren van de Autoriteit Persoonsgegevens en/of de Betrokkene. Bedrijven Commissie B.V. zal de Contractant alleen bijstaan voor zover dit vereist is op grond van de toepasselijke wetgeving met betrekking tot de verwerking van Persoonsgegevens. Indien niet anders is overeengekomen, is Bedrijven Commissie B.V. gerechtigd de kosten van deze assistentieverlening in rekening te brengen volgens de geldende tarievenlijst van Bedrijven Commissie B.V. Alle verzoeken van Betrokkenen gericht aan Bedrijven Commissie B.V. met betrekking tot de uitoefening van hun rechten onder de AVG zullen onmiddellijk worden doorgestuurd naar de Contractant ter verdere afhandeling. Het is de verantwoordelijkheid van de Contractant om deze verzoeken tijdig te beantwoorden. Op verzoek van de Contractant zal Bedrijven Commissie B.V. de Contractant ondersteunen met technische en organisatorische middelen en tijdige medewerking verlenen bij het afhandelen van deze verzoeken. Bedrijven Commissie B.V. zal alle verzoeken van toezichthoudende autoriteiten, zoals de Autoriteit Persoonsgegevens, met betrekking tot de Verwerkingen rechtstreeks doorsturen naar de Contractant ter verdere afhandeling. Tenzij anders overeengekomen, is Bedrijven Commissie B.V. niet gemachtigd om namens de Contractant op te treden ten aanzien van autoriteiten die toezicht houden op de Contractant. Bedrijven Commissie B.V. zal de Contractant op de hoogte stellen van ieder verzoek van een toezichthouder en/of gerechtelijke instantie met betrekking tot de kennisneming, verstrekking of andere vorm van opvraging en mededeling van de Persoonsgegevens, tenzij toepasselijke wetgeving deze kennisgeving om gewichtige redenen van algemeen belang verbiedt.

Verwerking buiten de EU/EER zone

Bedrijven Commissie B.V. zal, tenzij zij hiervoor voorafgaande toestemming heeft verkregen van Contractant, geen Persoonsgegevens verwerken of laten verwerken door haarzelf of door subverwerkers in landen buiten de Europese Economische Ruimte (“EER”) zonder een passend beschermingsniveau. Voor de overdracht of Verwerking van Persoonsgegevens buiten de EU/EER dient schriftelijke overeenstemming te bestaan tussen Bedrijven Commissie B.V. en Contractant over de toepasselijkheid van een ‘adequaatheidsbesluit’ (art. 45 AVG) dan wel op basis van ‘passende waarborgen’, waaronder het ‘modelcontract’ c.q. de SCC’s (art. 46.2.c AVG) of op basis van ‘bindende bedrijfsvoorschriften’ (art. 47 AVG).

Het uitvoeren van audits

De Contractant of een door de Contractant geautoriseerde auditor (maar geen concurrent van Bedrijven Commissie B.V. ) heeft het recht om toe te (laten) zien op de naleving van de door Bedrijven Commissie B.V. genomen maatregelen die zijn gericht op de dienstverlening zoals opgenomen in de Overeenkomst, zoals vastgelegd in deze VWO. Bedrijven Commissie B.V. stelt Contractant, indien Contractant daarom verzoekt, maximaal eenmaal per jaar in de gelegenheid op een door partijen in gezamenlijk overleg nader te bepalen datum en tijdstip (uiterlijk 14 dagen voor de inspectie), zulks te (laten) controleren door een gecertificeerde auditor of derde. De audit zal op een manier worden uitgevoerd die de dagelijkse operatie van Bedrijven Commissie B.V. en/of haar subverwerkers noch de uitvoering van hun verplichtingen jegens derden, niet belemmert. De vertegenwoordigers van de Contractant en de auditor zullen voorafgaand aan de audit een door Bedrijven Commissie B.V. voorgelegde geheimhoudingsverklaring ondertekenen. De externe kosten van deze controle komen voor rekening van Contractant. De partijen zijn verantwoordelijk voor de eigen kosten als gevolg van de controle.

Gegevensbeveiliging

Bedrijven Commissie B.V. zal passende technische en organisatorische beveiligingsmaatregelen nemen, in standhouden en indien nodig aanpassen om de persoonsgegevens te beveiligen tegen vernietiging, verlies, vervalsing, niet toegelaten verspreiding of toegang, dan wel enige andere vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de aard, de omvang, de context en het doel van de verwerking, bezien in relatie tot de speciale risico’s van de betreffende Verwerking en de gevoeligheid van de Verwerkte Persoonsgegevens, de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau, gelet op de waarschijnlijkheid en ernst van de uiteenlopende risico’s die de verwerking en van te beschermen gegevens meebrengen, en welke voldoen aan het bepaalde in artikel 32 AVG. Contractant is verplicht ervoor te zorgen dat Bedrijven Commissie B.V. op de hoogte wordt gebracht van alle relevante omstandigheden met betrekking tot Persoonsgegevens die Contractant aan Bedrijven Commissie B.V. overdraagt in het kader van de uitvoering van de Overeenkomst, zoals risicobeoordelingen en de Verwerking van speciale categorieën van Betrokkenen die van invloed (kunnen) zijn op de technische en organisatorische maatregelen overeenkomstig deze VWO. Bedrijven Commissie B.V. zal de te Verwerken Persoonsgegevens als strikt vertrouwelijk behandelen en zal de werknemers, vertegenwoordigers en/of subverwerkers die betrokken zijn bij de verwerking van de Persoonsgegevens van de vertrouwelijke aard van de Persoonsgegevens op de hoogte stellen. Bedrijven Commissie B.V. zal waarborgen dat betrokken personen en partijen een geheimhoudingsovereenkomst hebben getekend en zal ervoor zorgen dat de bij de Verwerking betrokken werknemers, vertegenwoordigers en/of subverwerkers zich houden aan de toepasselijke geheimhoudingsverplichtingen.

Informeren over datalekken of privacy inbreuken

Zodra Bedrijven Commissie B.V. kennis heeft genomen van een inbreuk in verband met persoonsgegevens informeert zij Contractant zonder onredelijke vertraging waarbij het streven is om dit uiterlijk binnen 24 uur na kennisneming te melden. Bedrijven Commissie B.V. zal daarbij Contractant alle relevante informatie verstrekken doch voor zover de informatie in kwestie beschikbaar is zal Bedrijven Commissie B.V. ten minste de volgende gegevens verstrekken: (1) de aard van de data-inbreuk, (2) de (mogelijk) getroffen categorieën gegevens, (3) de omvang van de getroffen betrokkenen, (4) de waarschijnlijke gevolgen van de inbreuk, en (5) de maatregelen die getroffen zijn of zullen getroffen worden om de inbreuk op te lossen dan wel de gevolgen/schade zoveel mogelijk te beperken. Bedrijven Commissie B.V. zal de maatregelen treffen die redelijkerwijs van haar kunnen worden verwacht om de inbreuk zo snel mogelijk te herstellen dan wel eventuele verdere gevolgen zoveel mogelijk te beperken. Bedrijven Commissie B.V. zal Contractant te allen tijde haar medewerking verlenen en zal de redelijke instructies van Contractant opvolgen, met als doel Contractant in staat te stellen om te voldoen aan diens wettelijke verplichting, waaronder het informeren van de Autoriteit Persoonsgegevens en/of betrokkene(n) en eventueel andere derden. Meldingen die worden gedaan op grond van dit artikel worden gericht aan de betreffende werknemer van Contractant die is belast met gegevensbescherming en privacy en wiens contactgegevens schriftelijk tijdens de looptijd van de Overeenkomst aan Bedrijven Commissie B.V. zijn bekendgemaakt.

Overige bepalingen

De aansprakelijkheid van Bedrijven Commissie B.V. voor eventuele schade welke voortvloeit uit of verband houdt met haar toerekenbare tekortkoming in de nakoming van verplichtingen uit deze VWO of haar specifiek tot Bedrijven Commissie B.V. als Verwerker gerichte verplichting uit de AVG, is beperkt tot directe schade en tot het maximumbedrag opgenomen in de Overeenkomst of bij gebreke daarvan tot € 2000,- per gebeurtenis (oftewel een incident dat direct leidt tot het ontstaan van schade van Contractant dan wel van diens betrokkenen, i.c. klanten van Opdrachtgever). Onder directe schade wordt uitsluitend verstaan alle schade bestaande uit: • schade direct toegebracht aan stoffelijke zaken (“zaakschade”); • redelijke en aantoonbare kosten om Bedrijven Commissie B.V. ertoe te manen de Overeenkomst of deze VWO (weer) deugdelijk na te komen; • redelijke kosten ter vaststelling van de oorzaak en de omvang van de schade voor zover betrekking hebbende op de directe schade zoals hier bedoeld is; • en redelijke en aantoonbare kosten die de Contractant heeft gemaakt ter voorkoming of beperking van de directe schade zoals in dit artikel bedoeld. De aansprakelijkheid van Bedrijven Commissie B.V. voor indirecte schade is uitgesloten. Onder indirecte schade wordt verstaan alle schade die geen directe schade is en daarmee in ieder geval, maar niet beperkt tot, gevolgschade, gederfde winst, gemiste besparingen, verminderde goodwill, schade door bedrijfsstagnatie of verlies, verminking of vernietiging van gegevens of databestanden. Beide partijen zijn verplicht alleen het deel van de schadevergoeding of door de Autoriteit Persoonsgegevens opgelegde boete te betalen dat overeenkomt met hun aansprakelijkheid voor schade die is bevestigd in een definitieve beslissing van deze gegevensbeschermingsautoriteit of van een (scheids)rechterlijke instantie. In alle andere gevallen wordt de aansprakelijkheid van de partijen bepaald in overeenstemming met de Overeenkomst en de Algemene Voorwaarden van Bedrijven Commissie B.V. waarbij voor de aansprakelijkheid van Bedrijven Commissie B.V. geldt dat deze te allen tijde gemaximeerd is tot het bedrag dat de verzekering van Bedrijven Commissie B.V. in dit geval uitkeert.

Bedrijven Commissie B.V. zal Contractant schriftelijk op de hoogte stellen van alle wijzigingen die van invloed kunnen zijn op haar vermogen of haar mogelijkheden om zich te houden aan deze VWO en de schriftelijke instructies van Contractant. Bedrijven Commissie B.V. heeft het recht om deze VWO met gerechtvaardigde reden te wijzigen door Contractant twee (2) weken voordat de wijziging in werking treedt hiervan schriftelijk op de hoogte te stellen. Deze VWO treedt in werking op 1 juni 2021. De VWO blijft van kracht (i) zolang de Overeenkomst van kracht is of (ii) de partijen verplichtingen tot elkaar hebben met betrekking tot de verwerking van persoonsgegevens. Zwolle, 1 juni 2021 Bedrijven Commissie B.V. .

Soorten persoonsgegevens, categorieën betrokkenen en bewaartermijnen vervat in de diensten van Bedrijven Commissie B.V..