Verwerkersovereenkomst

Versie 3.0

De partijen:
Deze verwerkersovereenkomst is van toepassing op de verwerking van Persoonsgegevens die Zaurus B.V. – gevestigd aan de Comeniusstraat 5 te Alkmaar, ingeschreven in het Handelsregister van de Kamer van Koophandel onder nummer 72991941 en rechtsgeldig vertegenwoordigd door de heer Niels Greidanus, directeur – (hierna: “Verwerker”) uitvoert ten behoeve van de wederpartij aan wie zij diensten levert (hierna: “Verwerkingsverantwoordelijke”).

overwegende, dat:

  • Verwerker een communicatieplatform, gericht op de zorgsector, aanbiedt waarvan Verwerkingsverantwoordelijke gebruik wil maken;
  • de Verwerkingsverantwoordelijke bepaalde vormen van verwerking wil laten verrichten door de Verwerker, waarbij de Verwerkingsverantwoordelijke het doel en de middelen aanwijst;
  • de Verwerker tevens bereid is de wettelijk verplichte maatregelen omtrent beveiliging en andere aspecten van de Algemene Verordening Gegevensbescherming (hierna: AVG) te nemen, voor zover dit binnen zijn macht ligt;
  • Partijen, mede gelet op het vereiste uit artikel 28 lid 3 AVG, hun rechten en plichten schriftelijk wensen vast te leggen.

zijn het volgende overeengekomen:

1. Definities

1.1. In deze Verwerkersovereenkomst wordt onder de volgende met een hoofdletter aangeduide begrippen het volgende verstaan:

a) Algemene Verordening Gegevens Bescherming of “AVG”
Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG.

b) Betrokkene
Een geïdentificeerde of identificeerbare natuurlijke persoon (artikel 4 sub 1 AVG).

c) Derde
Een derde als bedoeld in artikel 4 sub 10 AVG.

d) Functionaris voor de Gegevensbescherming
Een functionaris als bedoeld in artikel 37 e.v. AVG.

e) Incident
i een klacht of (informatie)verzoek van een Betrokkene met betrekking tot de verwerking van Persoonsgegevens door Verwerker;
ii een onderzoek naar of beslaglegging door overheidsfunctionarissen op de Persoonsgegevens of een vermoeden dat dit gaat plaatsvinden;
iii een inbreuk in verband met Persoonsgegevens als bedoeld in artikel 4 onder 12 AVG;
iv iedere ongeautoriseerde toegang, verwijdering, verminking, verlies of enige andere vorm van onrechtmatige verwerking van de Persoonsgegevens.

f) Instructies
Geschreven of elektronisch gestuurde aanwijzing van de Verwerkingsverantwoordelijke aan de Verwerker in het kader van haar bevoegdheden zoals geformuleerd in deze Verwerkersovereenkomst of in de Overeenkomst(en).
Instructies worden verstrekt door en aan de contactpersonen van partijen zoals die zijn opgenomen in bijlage 4.

g) Medewerker
De door Partijen voor de uitvoering van deze Verwerkersovereenkomst betrokken natuurlijke persoon die werkzaam is bij of voor een van de Partijen.

h) Overeenkomst(en)
De Overeenkomst(en) betreffende afname van de levering van producten en/of diensten van de verwerker.

i) Partij
Verwerkingsverantwoordelijke of Verwerker.

j) Partijen
Verwerkingsverantwoordelijke en Verwerker.

k) Persoonsgegeven
Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon in de zin van artikel 4 onder 1 AVG.

l) Subverwerker
Iedere niet-ondergeschikte derde partij die door Verwerker is betrokken bij de verwerking van Persoonsgegevens in het kader van de Overeenkomst(en), niet zijnde Medewerkers.

m) Verwerker
De verwerker als bedoeld in artikel 4 sub 8 AVG.

n) Verwerkersovereenkomst
De onderhavige overeenkomst.

o) Verwerkings-verantwoordelijke
De verwerkingsverantwoordelijke als bedoeld in artikel 4 sub 7 AVG.

1.2. Voornoemde en overige begrippen worden geïnterpreteerd overeenkomstig de AVG.

1.3. Waar in deze Verwerkersovereenkomst naar bepaalde normen wordt verwezen, wordt daarmee steeds gedoeld op de meest actuele versie daarvan. Voor zover de betreffende norm niet meer wordt onderhouden, dient in de plaats daarvan de meest actuele versie van de logische opvolger van de betreffende norm gelezen te worden.

2. Onderwerp en opdracht van deze Verwerkersovereenkomst

2.1. Deze Verwerkersovereenkomst is van toepassing op de verwerking van Persoonsgegevens in het kader van de uitvoering van de Overeenkomst(en).

2.2. De Verwerkingsverantwoordelijke geeft Verwerker, conform artikel 28 AVG, opdracht en instructies om Persoonsgegevens te verwerken namens de Verwerkingsverantwoordelijke. De instructies van de Verwerkingsverantwoordelijke kunnen onder meer nader omschreven zijn in deze Verwerkersovereenkomst en de Overeenkomst(en).

2.3. Partijen sluiten de Overeenkomst(en) om de expertise die Verwerker heeft, als het gaat om het verwerken en beveiligen van Persoonsgegevens, te gebruiken voor de uit de Overeenkomst(en) voortvloeiende en in deze Verwerkersovereenkomst nader beschreven doeleinden. Verwerker staat er voor in dat hij hiertoe gekwalificeerd is.

2.4. Verwerker stelt de Ververkingsverantwoordelijke onverwijld in kennis indien zij van mening is dat een verwerkingsopdracht inbreuk oplevert op toepasselijke wet- en/of regelgeving of indien de Verwerker niet langer aan de Verwerkersovereenkomst kan voldoen.

2.5. Deze Verwerkersovereenkomst maakt onverbrekelijk deel uit van de Overeenkomst(en). Voor zover het bepaalde in de Verwerkersovereenkomst strijdig is met het bepaalde in de Overeenkomst(en), prevaleert het bepaalde in deze Verwerkersovereenkomst.

3. Uitvoering verwerking en verstrekking

3.1. Verwerker garandeert dat hij, ten behoeve van Verwerkingsverantwoordelijke, uitsluitend Persoonsgegevens zal verwerken voor zover:

a) dit noodzakelijk is voor de uitvoering van de Overeenkomst(en); of
b) Verwerkingsverantwoordelijke daartoe nadere schriftelijke instructies heeft gegeven.

3.2. In het kader van het bepaalde in het eerste lid van artikel 3 onder a) zal Verwerker uitsluitend de in Bijlage 1 gespecificeerde Persoonsgegevens verwerken in het kader van de in die bijlage beschreven aard en doeleinden van de verwerking.

3.3. Verwerker zal alle redelijke instructies van Verwerkingsverantwoordelijke in verband met de verwerking van de Persoonsgegevens opvolgen.

3.4. Verwerker zal alle verzoeken met betrekking tot het verstrekken van Persoonsgegevens, die geen juridische binding hebben, afwijzen, tenzij anders schriftelijk overeengekomen met de Verwerkingsverantwoordelijke.

3.5. Onverminderd het bepaalde in het eerste lid van dit artikel 3, is het Verwerker toegestaan om Persoonsgegevens te verwerken of te verstrekken indien een wettelijk voorschrift (waaronder begrepen daarop gebaseerde rechterlijke of bestuurlijke bevelen) hem tot een verwerking of verstrekking verplicht. In dat geval stelt de Verwerker voorafgaand aan de verwerking of verstrekking Verwerkingsverantwoordelijke in kennis van de beoogde verwerking of verstrekking en het wettelijk voorschrift, tenzij die wetgeving deze kennisgeving om gewichtige redenen van algemeen belang verbiedt. Verwerker zal Verwerkingsverantwoordelijke, waar mogelijk, in staat stellen zich te verweren tegen deze verplichte verwerking of verstrekking en ook overigens de verplichte verwerking of verstrekking beperken tot het strikt noodzakelijke.

3.6. Verwerker zal de Persoonsgegevens aantoonbaar, op behoorlijke en zorgvuldige wijze verwerken en in overeenstemming met de op hem als Verwerker rustende verplichtingen op grond van de AVG en overige wet- en regelgeving. Verwerker zal in dat kader ten minste een register van verwerkingen aanleggen als bedoeld in artikel 30 AVG en Verwerkings-verantwoordelijke op eerste verzoek een kopie van dat register verstrekken.

3.7. Indien de dienstverlening door Verwerker de verwerking van gezondheidsgegevens of andere bijzondere Persoonsgegevens impliceert, garandeert Verwerker dat hij niet in strijd met relevante wet- en regelgeving zal handelen.

3.8. Verwerker waarborgt dat betrokken Medewerkers een geheimhoudingsovereenkomst hebben getekend en geeft Verwerkingsverantwoordelijke op verzoek inzage in deze geheimhoudings-overeenkomsten.

4. Doorgifte aan derde landen

4.1. Verwerker is uitsluitend gerechtigd tot doorgifte van Persoonsgegevens aan een derde land of internationale organisatie indien Verwerkingsverantwoordelijke daarvoor voorafgaande, specifieke toestemming heeft gegeven, tenzij een op Verwerker van toepassing zijnde Unierechtelijke of lidstaatrechtelijke bepaling Verwerker tot verwerking verplicht. In dat geval stelt Verwerker Verwerkingsverantwoordelijke voorafgaand aan de verwerking schriftelijk op de hoogte van deze bepaling, tenzij die wetgeving deze kennisgeving om gewichtige redenen van algemeen belang verbiedt.

4.2. Indien na toestemming van Verwerkingsverantwoordelijke Persoonsgegevens worden doorgegeven aan derde landen buiten de Europese Economische Ruimte (“EER”) of aan een internationale organisatie zoals bedoeld in artikel 4 lid 26 AVG, dan zien Partijen er op toe dat dit alleen plaatsvindt conform wettelijke voorschriften en eventuele verplichtingen die in dit verband op Verwerkingsverantwoordelijke rusten. Indien gegevens worden doorgegeven aan een derde land of een internationale organisatie, dan wordt dit in Bijlage 1 bij deze Verwerkersovereenkomst aangegeven, inclusief een opgave van de landen waar, of internationale organisaties door wie, de Persoonsgegevens worden verwerkt. Daarbij wordt tevens aangegeven op welke wijze is voldaan aan de voorwaarden op basis van de AVG voor doorgifte van Persoonsgegevens aan derde landen of internationale organisaties.

5. Beveiliging persoonsgegevens en controle

5.1. Verwerker zal aantoonbaar, passende en doeltreffende technische en organisatorische beveiligingsmaatregelen nemen, die gezien de huidige stand der techniek en de daarmee gemoeide kosten overeenstemmen met de (in Bijlage 1 gespecificeerde) aard van de te verwerken Persoonsgegevens, ter bescherming van de Persoonsgegevens tegen verlies, onbevoegde kennisname, verminking of enige vorm van onrechtmatige verwerking, alsmede om de (tijdige) beschikbaarheid van de gegevens te garanderen. In deze beveiligingsmaatregelen zijn de mogelijk in de Overeenkomst(en) reeds bepaalde maatregelen begrepen. De maatregelen omvatten in ieder geval:

a) maatregelen die bewerkstelligen dat processen en systemen dusdanig worden ontworpen dat het verzamelen en verwerken van persoonsgegevens (met inbegrip van gebruik, verstrekking, bewaring, doorgifte en verwijdering) wordt beperkt tot hetgeen nodig is voor de doeleinden van de verwerking (‘privacy by design’ en ‘privacy by default’);
b) maatregelen om te waarborgen dat enkel bevoegde Medewerkers toegang hebben tot de Persoonsgegevens voor de doeleinden die zijn uiteengezet;
c) maatregelen om Persoonsgegevens te beschermen tegen onopzettelijke of onrechtmatige vernietiging, onopzettelijk verlies of wijziging, onbevoegde of onrechtmatige opslag, verwerking, toegang of openbaarmaking;
d) maatregelen om zwakke plekken te identificeren ten aanzien van de verwerking van Persoonsgegevens in de systemen die worden ingezet voor het verlenen van diensten aan Verwerkingsverantwoordelijke;
e) de overige maatregelen die Partijen zijn overeengekomen zoals vastgelegd in Bijlage 2.

5.2. Verwerker werkt aantoonbaar in overeenstemming met ISO/IEC 27001:2013, NEN-ISO/IEC 27701:2019 en NEN 7510-1:2017 en heeft een passend, geschreven beveiligings- en privacybeleid geïmplementeerd voor de verwerking van Persoonsgegevens, waarin in ieder geval de in het eerste lid van dit artikel 5 genoemde maatregelen uiteen zijn gezet.

5.3. Verwerker zal op eerste verzoek van Verwerkingsverantwoordelijke een door een onafhankelijke en ter zake deskundige derde afgegeven geldig certificaat overleggen waaruit volgt dat Verwerker de verplichtingen uit dit artikel naleeft.

5.4. In aanvulling op de voorgaande leden heeft Verwerkingsverantwoordelijke te allen tijde het recht om, in overleg met de Verwerker en met inachtneming van een redelijke termijn, de naleving van toepasselijke wet- en regelgeving betreffende de verwerking van Persoonsgegevens, de Overeenkomst(en) en deze Verwerkersovereenkomst, waaronder de door Verwerker genomen technische en organisatorische beveiligingsmaatregelen, te (doen) controleren middels een audit uitgevoerd door een onafhankelijke gecertificeerde externe deskundige:

a) Partijen kunnen in onderling overleg afspreken dat de audit wordt uitgevoerd door een Verwerker, in overleg met Verwerkingsverantwoordelijke, in te schakelen externe deskundige die een derden-verklaring afgeeft;
b) De auditor verstrekt het auditrapport alleen aan Partijen;
c) Partijen maken onderling afspraken over de omgang met de uitkomsten van de audit;
d) Partijen kunnen in onderling overleg afspreken dat, aan de hand van een geldige (inter)nationaal erkende certificering of een gelijkwaardig controle- of bewijsmiddel, een reeds uitgevoerde audit en daaruit afgegeven derden-verklaring gebruikt kan worden. Verwerkingsverantwoordelijke wordt in dat geval reactief geïnformeerd over de uitkomsten van de audit;
e) Partijen komen overeen dat de kosten van deze audit voor rekening komen van de Verwerkeringsverantwoordelijke, tenzij uit de audit (grote) gebreken blijken, die aan Verwerker kunnen worden toegerekend. In dat geval treden partijen in overleg over de verdeling van de kosten van de audit.

5.5. Partijen erkennen dat beveiligingseisen voortdurend veranderen en dat een effectieve beveiliging frequente evaluatie en regelmatige verbetering van verouderde beveiligingsmaatregelen vereist. Verwerker zal daarom de maatregelen zoals geïmplementeerd op basis van dit artikel periodiek evalueren en, waar nodig, de maatregelen verbeteren om te blijven voldoen aan de verplichtingen onder dit artikel. Het voorgaande laat de instructiebevoegdheid van Verwerkingsverantwoordelijke om zo nodig aanvullende maatregelen te (doen) treffen onverlet.

6. Monitoring, informatieplichten en incidentenmanagement

6.1. Verwerker zal actief monitoren op inbreuken op de beveiligings- en privacymaatregelen en over de resultaten van de monitoring in overeenstemming met dit artikel rapporteren aan Verwerkingsverantwoordelijke.

6.2. Zodra zich een Incident voordoet, heeft voorgedaan of zou kunnen voordoen, is Verwerker verplicht Verwerkingsverantwoordelijke daarvan onmiddellijk, tenminste binnen 48 uur na het voordoen van het Incident, in kennis te stellen en daarbij alle relevante informatie te verstrekken over:

a) de aard van het Incident;
b) de (mogelijk) getroffen Persoonsgegevens;
c) de geconstateerde en de vermoedelijke gevolgen van het Incident; en
d) de maatregelen die getroffen zijn of zullen worden om het Incident op te lossen dan wel de gevolgen/schade zoveel mogelijk te beperken.

6.3. Verwerker is, onverminderd de overige verplichtingen uit dit artikel, verplicht om maatregelen te treffen die redelijkerwijs van hem kunnen worden verwacht om het Incident zo snel mogelijk te herstellen, dan wel de verdere gevolgen zoveel mogelijk te beperken. Verwerker treedt zonder uitstel in overleg met Verwerkingsverantwoordelijke teneinde hierover nadere afspraken te maken.

6.4. Verwerker zal Verwerkingsverantwoordelijke te allen tijde zijn medewerking verlenen en zal de instructies van Verwerkingsverantwoordelijke opvolgen en stelt Verwerkingsverantwoordelijke in staat een deugdelijk onderzoek te verrichten naar het Incident, een correcte respons te formuleren en passende vervolgstappen te nemen ten aanzien van het Incident, waaronder begrepen het informeren van de Autoriteit Persoonsgegevens en/of de Betrokkene zoals bepaald in artikel 6.8.

6.5. Verwerker zal te allen tijde geschreven procedures voorhanden hebben die hem in staat stellen om Verwerkingsverantwoordelijke van een onmiddellijke reactie over een Incident te voorzien en om effectief samen te werken met Verwerkingsverantwoordelijke om het Incident af te handelen. Verwerker zal Verwerkingsverantwoordelijke voorzien van een afschrift van dergelijke procedures, indien Verwerkingsverantwoordelijke daarom verzoekt.

6.6. Meldingen die worden gedaan op grond van artikel 6.2 worden ogenblikkelijk gericht aan Verwerkingsverantwoordelijke of, indien relevant, aan een door Verwerkingsverantwoordelijke tijdens de duur van deze Verwerkersovereenkomst schriftelijk bekendgemaakte Medewerkers van Verwerkingsverantwoordelijke. Indien Verwerkingsverantwoordelijke een Functionaris voor de Gegevensbescherming (FG) heeft aangesteld, worden de meldingen gericht aan deze FG.

6.7. Het is Verwerker niet toegestaan informatie te verstrekken over Incidenten aan betrokkenen of andere derde partijen, behoudens voor zover Verwerker daartoe wettelijk verplicht is of Partijen anderszins zijn overeengekomen.

6.8. Indien en voor zover Partijen zijn overeengekomen dat Verwerker, in relatie tot een Incident rechtstreeks contact onderhoudt met autoriteiten, Betrokkenen of andere derde partijen, dan houdt de Verwerker de Verwerkingsverantwoordelijke daarvan voortdurend op te hoogte teneinde hierover nadere afspraken te maken.

7. Medewerkingsverplichtingen

De AVG en overige (privacy)wetgeving kent aan de Betrokkene bepaalde rechten toe. Verwerker zal zijn volledige en tijdige medewerking verlenen aan Verwerkingsverantwoordelijke bij de nakoming van de op Verwerkingsverantwoordelijke rustende verplichtingen met betrekking, maar niet beperkt, tot:

7.1. Het (voor zover redelijkerwijs mogelijk) vervullen van de plicht van Verwerkings-verantwoordelijke om aan verzoeken van de in hoofdstuk III van de AVG vastgelegde rechten van de Betrokkene binnen de wettelijke termijnen te voldoen, zoals een verzoek om inzage, verbetering, aanvulling, verwijdering of afscherming van Persoonsgegevens.

7.2. Het uitvoeren van controles en audits, zoals bedoeld in artikel 5, lid 4 van deze Verwerkersovereenkomst.

7.3. Het uitvoeren van een data protection impact assessment (DPIA) en een eventuele daaruit voortkomende verplichte voorafgaande raadpleging van de Autoriteit Persoonsgegevens.

7.4. Het voldoen aan verzoeken van de Autoriteit Persoonsgegevens of een andere overheidsinstantie.

7.5. Het voorbereiden, beoordelen en melden van Incidenten, zoals bedoeld in artikel 6 van deze Verwerkersovereenkomst.

7.6. Een klacht of verzoek van een Betrokkene of een verzoek of onderzoek van de Autoriteit Persoonsgegevens met betrekking tot de verwerking van de Persoonsgegevens, wordt door de Verwerker, voor zover wettelijk is toegestaan, onverwijld doorgestuurd naar Verwerkingsverantwoordelijke, die verantwoordelijk is voor de afhandeling van het verzoek.

7.7. Partijen brengen elkaar voor in redelijkheid verleende medewerking geen kosten in rekening. In het geval dat één van de Partijen kosten in rekening wil brengen, brengt deze Partij de andere Partij hiervan vooraf op de hoogte.

8. Inschakeling Subverwerker

8.1. Tijdens de duur van de Verwerkersovereenkomst licht Verwerker Verwerkings-verantwoordelijke in over een voorgenomen toevoeging van een nieuwe Subverwerker of wijziging in de samenstelling van de bestaande Subverwerkers. Verwerkingsverantwoordelijke wordt de mogelijkheid geboden tegen deze veranderingen, binnen een redelijke termijn, bezwaar te maken.

8.2. Verwerker zal zijn activiteiten niet uitbesteden aan een Subverwerker zonder voorafgaande toestemming van Verwerkingsverantwoordelijke. Het voorgaande is niet van toepassing op de in Bijlage 1 vermelde Subverwerkers.

8.3. Voor zover Verwerkingsverantwoordelijke instemt met de inschakeling van een Subverwerker zal Verwerker aan deze Subverwerker dezelfde of strengere verplichtingen opleggen als voor hemzelf uit deze Verwerkersovereenkomst en de wet voortvloeien. Verwerker zal deze afspraken schriftelijk vastleggen en zal toezien op naleving daarvan door de Subverwerker. Verwerker zal Verwerkingsverantwoordelijke op verzoek een afschrift verstrekken van de met de Subverwerker gesloten overeenkomst(en).

8.4. Niettegenstaande de toestemming van Verwerkingsverantwoordelijke voor het inschakelen van een Subverwerker die in opdracht van de Verwerker (gedeeltelijk) gegevens verwerkt, blijft Verwerker volledig aansprakelijk jegens Verwerkingsverantwoordelijke voor de gevolgen van het uitbesteden van werkzaamheden aan een Subverwerker. De toestemming van Verwerkingsverantwoordelijke voor het uitbesteden van werkzaamheden aan een Subverwerker laat onverlet dat voor de inzet van Subverwerkers in een land buiten de Europese Economische Ruimte toestemming vereist is in overeenstemming met artikel 4 van deze Verwerkersovereenkomst.

9. Aansprakelijkheid

9.1. Partijen zijn ieder verantwoordelijk en aansprakelijk voor hun eigen handelen.

9.2. Enige beperking van de aansprakelijkheid in de Overeenkomst(en) is mutatis mutandis ook van toepassing op deze Verwerkersovereenkomst, met dien verstande dat:

a) eventuele (impliciete of expliciete) uitsluitingen van aansprakelijkheid voor verlies en/of verminking van Persoonsgegevens zijn uitgesloten;
b) eventuele (impliciete of expliciete) uitsluitingen van aansprakelijkheid voor boetes die door de Autoriteit Persoonsgegevens of een andere toezichthouder worden opgelegd die rechtstreeks verband houden met een toerekenbare tekortkoming van Verwerker, of een aan Verwerker toerekenbaar gedraging of nalaten, zijn uitgesloten.

9.3. Verwerker vrijwaart Verwerkingsverantwoordelijke en stelt de Verwerkingsverantwoordelijke schadeloos voor alle claims, acties, aanspraken van derden, alsmede boetes van de Autoriteit Persoonsgegevens, die rechtstreeks voortvloeien uit een toerekenbare tekortkoming door Verwerker en/of diens Subverwerkers in de nakoming van zijn verplichtingen onder deze Verwerkersovereenkomst en/of enige schending door Verwerker en/of diens Subverwerkers van de van toepassing zijnde wetgeving op het gebied van verwerking van Persoonsgegevens.

9.4. Voor zover Partijen hoofdelijk aansprakelijk zijn jegens derden, waaronder begrepen de betrokkene, of gezamenlijk een boete opgelegd krijgen door de Autoriteit Persoonsgegevens, zijn zij jegens elkaar, ieder voor het gedeelte van de schuld dat hem in hun onderlinge verhouding aangaat, verplicht overeenkomstig het bepaalde in Boek 6, Titel 1, Afdeling 2 van het Burgerlijk Wetboek in de schuld en kosten bij te dragen, tenzij de AVG anders bepaalt in welk geval de AVG voorgaat.

9.5. Voor zover in de Overeenkomst(en) geen beperking van aansprakelijkheid voor Verwerkingsverantwoordelijke is opgenomen, geldt de in lid 2 van dit artikel opgenomen beperking voor Verwerker eveneens voor de Verwerkingsverantwoordelijke.

9.6. Iedere beperking van aansprakelijkheid komt voorts voor de betreffende Partij te vervallen in geval van opzet of grove schuld aan de zijde van de betreffende Partij.

9.7. Partijen dragen zorg voor afdoende dekking van de aansprakelijkheid.

10. Kosten

10.1. De kosten voor de verwerking van gegevens, die inherent zijn aan de normale uitvoering van de Overeenkomst, worden geacht besloten te liggen in de op grond van de Overeenkomst(en) reeds verschuldigde vergoedingen.

10.2. Aanvullende dienstverlening die Verwerker op grond van deze Verwerkersovereenkomst dient te verlenen, of die wordt verzocht door Verwerkingsverantwoordelijke, inclusief alle verzoeken tot aanvullende informatie, kunnen in rekening worden gebracht bij Verwerkings-verantwoordelijke overeenkomstig de in Bijlage 3 gespecificeerde tarieven.

10.3. De voorgaande bepaling is niet van toepassing indien de werkzaamheden verband houden met een tekortkoming van Verwerker onder deze Verwerkersovereenkomst. De werkzaamheden zullen in dat geval kosteloos worden verricht (onverminderd het recht van Verwerkingsverantwoordelijke de daadwerkelijk geleden schade op Verwerker te verhalen).

11. Vertrouwelijkheid (geheimhouding)

11.1. Onder vertrouwelijke informatie wordt verstaan alle informatie van welke aard dan ook, met inbegrip van technische, commerciële, knowhow, plannen, tekeningen, rapporten, computergegevens en archieven, uitgewisseld door de Partijen op enigerlei wijze, en die uitdrukkelijk of onrechtstreeks als vertrouwelijk worden aangemerkt.

11.2. Er wordt nadrukkelijk overeengekomen dat de volgende informatie geen vertrouwelijke informatie is:

  • Informatie waarvan de Partijen reeds kennis hadden en die niet als vertrouwelijk zijn aangemerkt of waarvan het vertrouwelijke karakter niet kan worden aangenomen;
  • Informatie die in het publieke domein is gekomen of bij het publiek bekend is;
  • Informatie die door een derde partij openbaar wordt gemaakt zonder dat er sprake is van een fout of schending van deze Verwerkingsovereenkomst of van een geheimhoudingsplicht;
  • Informatie waarvoor schriftelijke toestemming tot openbaarmaking wordt gegeven door de uitgevende Partij.

11.3. In het geval dat een deel of element van de informatie onder een van de bovenstaande uitzonderingen valt, blijft de informatie in haar geheel onder de bescherming van deze Verwerkersovereenkomst.

11.4. De Partijen verbinden zich ertoe de vertrouwelijke informatie vertrouwelijk te behandelen gedurende de looptijd van de Overeenkomst(en) en na het einde van de Overeenkomsten(en).

11.5. Als zodanig mag geen vertrouwelijke informatie aan een derde partij worden verstrekt zonder schriftelijke toestemming van de Partij die de vertrouwelijke informatie heeft verstrekt.

12. Duur en beëindiging

12.1. Deze Verwerkersovereenkomst gaat in nadat het online bestelproces succesvol is afgerond en de eerste factuur volledig is betaald. De duur van deze Verwerkersovereenkomst is gelijk aan de duur van de onderliggende Overeenkomst(en), inclusief eventuele verlengingen daarvan.

12.2. De Verwerkersovereenkomst maakt na ondertekening ervan door beide Partijen integraal en onlosmakelijk deel uit van de Overeenkomst(en). Beëindiging van de Overeenkomst, op welke grond dan ook (opzegging/ontbinding), heeft tot gevolg dat de Verwerkersovereenkomst eveneens op dezelfde grond beëindigd wordt (en vice versa), tenzij Partijen in voorkomend geval anders overeenkomen.

12.3. Verplichtingen welke naar hun aard bestemd zijn om ook na beëindiging van deze Verwerkersovereenkomst voort te duren, blijven na beëindiging van deze Verwerkersovereenkomst gelden, namelijk de bepalingen betreffende vertrouwelijkheid, aansprakelijkheid, geschillenbeslechting en toepasselijk recht.

12.4. Ieder der Partijen is gerechtigd, onverminderd hetgeen daartoe bepaald is in de Overeenkomst(en), de uitvoering van deze Verwerkersovereenkomst en de daarmee samenhangende Overeenkomst(en) op te schorten, dan wel zonder rechterlijke tussenkomst met onmiddellijke ingang te ontbinden, indien:

a) de andere Partij wordt ontbonden of anderszins ophoudt te bestaan;
b) de andere Partij aantoonbaar (ernstig) tekortschiet in de nakoming van de verplichtingen die voortvloeien uit deze Verwerkersovereenkomst en die toerekenbare tekortkoming niet binnen 30 dagen is hersteld na een daartoe strekkende schriftelijke ingebrekestelling;
c) een Partij in staat van faillissement wordt verklaard of surséance van betaling aanvraagt.

12.5. Gelet op de grote afhankelijkheid van Verwerker alsmede het continuïteitsrisico bij incidenten en calamiteiten (zoals faillissement), verklaart Verwerker zich reeds nu voor alsdan bereid op eerste verzoek van Verwerkingsverantwoordelijke aanvullende afspraken met Verwerkings-verantwoordelijke te maken teneinde voornoemde risico’s te verkleinen. Deze aanvullende afspraken kunnen onder meer bestaan uit:

a) het maken van afspraken over het periodiek terug of aan een derde partij leveren van de door Verwerker verwerkte gegevens; en/of
b) het met een derde partij sluiten van een overeenkomst die ertoe strekt dat de betreffende derde partij zich hoofdelijk verbindt tot of borg staat voor de nakoming van de Overeenkomst(en); en/of
c) het met een derde partij sluiten van een (tri-partite) overeenkomst die ertoe strekt dat de betreffende derde partij (voortdurend) over alle benodigde gegevens komt te beschikken om in voorkomend geval (een deel van) de op grond van de Overeenkomst(en) te verrichten prestaties, al dan niet op basis van een nieuwe overeenkomst, in plaats van of parallel aan Verwerker te kunnen (gaan) verrichten.

12.6. Verwerkingsverantwoordelijke is gerechtigd deze Verwerkersovereenkomst en de Overeenkomst(en) per direct te ontbinden indien Verwerker te kennen geeft niet (langer) te kunnen voldoen aan de betrouwbaarheidseisen die op grond van ontwikkelingen in de wet en/of de rechtspraak aan de verwerking van de Persoonsgegevens worden gesteld.

12.7. Verwerker dient Verwerkingsverantwoordelijke voorafgaand en tijdig te informeren over een voorgenomen overname of eigendomsoverdracht.

12.8. Het is Verwerker niet toegestaan om zonder toestemming van Verwerkingsverantwoordelijke deze Verwerkersovereenkomst en de rechten en plichten die samenhangen met deze Verwerkersovereenkomst over te dragen aan een derde partij.

13. Bewaartermijnen, teruggave en vernietiging Persoonsgegevens

13.1. Verwerkingsverantwoordelijke zal Verwerker adequaat informeren over (wettelijke) bewaartermijnen die van toepassing zijn op de verwerking van Persoonsgegevens door Verwerker. Verwerker bewaart de Persoonsgegevens niet langer dan strikt noodzakelijk, waaronder begrepen de wettelijke bewaartermijnen of een eventueel tussen Partijen gemaakte afspraak over bewaartermijnen zoals vastgelegd in Bijlage 1.

13.2. In geen geval bewaart Verwerker de Persoonsgegevens langer dan tot het einde van deze Verwerkersovereenkomst. Verwerkingsverantwoordelijke bepaalt of en zo ja hoe lang gegevens bewaard moeten blijven.

13.3. Bij beëindiging van de Verwerkersovereenkomst, of indien van toepassing aan het einde van de overeengekomen bewaartermijnen, of op schriftelijk verzoek van Verwerkings-verantwoordelijke zal Verwerker, eventueel tegen redelijke kosten, naar keuze van Verwerkingsverantwoordelijke, de Persoonsgegevens onherroepelijk (doen) vernietigen of teruggeven aan Verwerkingsverantwoordelijke. Op verzoek van Verwerkingsverantwoordelijke verstrekt Verwerker bewijs van het feit dat de gegevens onherroepelijk zijn vernietigd of verwijderd. Eventuele teruggave van de gegevens zal in een algemeen gangbaar, gestructureerd en gedocumenteerd gegevensformaat langs elektronische weg plaatsvinden.

Indien teruggave, onherroepelijke vernietiging of verwijdering niet mogelijk is, stelt Verwerker Verwerkingsverantwoordelijke daarvan onmiddellijk op de hoogte. In dat geval garandeert Verwerker dat hij de Persoonsgegevens vertrouwelijk zal behandelen en niet langer zal verwerken.

14. Intellectuele eigendomsrechten

Voor zover de (verzameling van) Persoonsgegevens wordt beschermd door enig intellectueel eigendomsrecht, verleent Verwerkingsverantwoordelijke toestemming aan Verwerker de Persoonsgegevens te gebruiken in het kader van de uitvoering van deze Verwerkersovereenkomst.

15. Slotbepalingen

15.1. De overwegingen maken onderdeel uit van deze Verwerkersovereenkomst.

15.2. In geval van nietigheid c.q. vernietigbaarheid van een of meer bepalingen uit deze Verwerkersovereenkomst, blijven de overige bepalingen onverkort van kracht.

15.3. In alle gevallen waarin deze Verwerkersovereenkomst niet voorziet, beslissen Partijen in onderling overleg.

15.4. Op deze Verwerkersovereenkomst is Nederlands recht van toepassing.

15.5. Partijen zullen zich inspannen conflicten in onderling overleg op te lossen. Hierbij is inbegrepen de mogelijkheid het geschil te beëindigen door een in onderling overleg vast te stellen mediation of arbitrage.

15.6. Geschillen over of in verband met deze Verwerkersovereenkomst worden uitsluitend voorgelegd aan de daartoe in de Overeenkomst aangewezen rechtbank of arbiter(s). 

Bijlage 1: Specificatie Persoonsgegevens en Betrokkenen

Persoonsgegevens van gebruikers van Zaurus

Verwerker zal, in het kader van artikel 1.1 van de Verwerkersovereenkomst, onderstaande Persoonsgegevens verwerken in opdracht van Verwerkingsverantwoordelijke. 

tabel verwerkersovereenkomst persoonsgegevens betrokkenen

Deze Verwerkersovereenkomst is een bijlage bij de volgende Overeenkomst(en) en heeft betrekking op de volgende verwerkingen van Persoonsgegevenstaande Persoonsgegevens verwerken in opdracht van Verwerkingsverantwoordelijke.

verwerkersovereenkomst tabel subverwerkers

Bijlage 2: Omschrijving nadere beveiligingsmaatregelen

Informatievoorziening en privacy zijn van essentieel belang voor de continuïteit van de bedrijfsvoering van Zaurus B.V. en haar klanten. Wij zijn bij ons dagelijks werk afhankelijk van de beschikbaarheid van betrouwbare informatie. Onze organisatie en onze informatievoorziening wordt blootgesteld aan bedreigingen, al dan niet opzettelijk van aard. Deze bedreigingen maken het noodzakelijk om gerichte maatregelen te treffen om de risico’s tot een aanvaardbaar niveau te reduceren. In onderstaande secties staan enkele maatregelen genoemd die wij hebben genomen.

Zaurus B.V. is door BSI gecertificeerd voor de ISO 27001:2013 en NEN 7510:2017 normen. Onze verklaring van toepasselijkheid en onze certificaten zijn op verzoek opvraagbaar bij onze Chief Information Security Officer via michelle@zaurus.nl

1. Omschrijving van de maatregelen die bewerkstelligen dat processen en systemen dusdanig worden ontworpen dat het verzamelen en verwerken van Persoonsgegevens (met inbegrip van gebruik, verstrekking, bewaring, doorgifte en verwijdering) wordt beperkt tot hetgeen nodig is voor de doeleinden van de verwerking (‘privacy by design’ en ‘privacy by default’).

  • Beleid veilig ontwikkelen.
  • Uitvoeren van DPIA’s voorafgaand aan nieuwe projecten en nieuwe features die veel impact hebben op de verwerking van Persoonsgegevens.
  • Aanstelling van een Functionaris voor de Gegevensbescherming die tevens wordt meegenomen bij overleg over nieuw te ontwikkelen features.
  • Testbeleid waarbij ontwikkelaars elkaars werk controleren en opbouwende feedback geven.
  • Pentesten die het systeem uitvoerig testen op hoe Zaurus omgaat met de verwerking van Persoonsgegevens.
  • Verwerkersovereenkomsten met verwerkingsverantwoordelijken waarin afspraken worden gemaakt over de verwerking.
  • Verwerkersovereenkomsten met subverwerkers waarin Zaurus afspraken maakt onder welke voorwaarden Persoonsgegevens mogen worden verwerkt.

2. Omschrijving van de maatregelen om te waarborgen dat enkel bevoegd personeel toegang heeft tot de verwerking van Persoonsgegevens.

  • Zaurus heeft gebruikersprofielen opgesteld welke bepalen wie in welke functie welke rechten heeft.
  • Wijzigingen in rechten worden via wijzigingsformulieren beoordeeld door de directie en doorlopen een formeel accorderingsproces.
  • De CISO controleert de toekenning van rechten meerdere keren per jaar.
  • Zaurus houdt zich aan het beginsel dat niemand autorisaties mag hebben om een gehele cyclus van handelingen in een informatiesysteem te beheersen, zodanig dat beschikbaarheid, integriteit of vertrouwelijkheid kan worden gecompromitteerd. Indien dit toch noodzakelijk is, worden middels een audittrail alle handelingen en tijdstippen in het proces vastgelegd.
  • Beheerwerkzaamheden worden alleen uitgevoerd wanneer ingelogd als beheerder, normale gebruikstaken alleen wanneer ingelogd als gebruiker.
  • Zaurus besteedt gedurende het jaar veel aandacht aan het overbrengen van kennis op medewerkers inzake de onderwerpen privacy en informatiebeveiliging.
  • Back-ups worden elke dag gemaakt en redundant opgeslagen op twee verschillende locaties.
  • OTAP-ontwikkelstraat waarbij er een onderscheid is gemaakt tussen de omgevingen met en zonder Persoonsgegevens.

3. Omschrijving van de maatregelen om de Persoonsgegevens te beschermen tegen onopzettelijke of onrechtmatige vernietiging, onopzettelijk verlies of wijziging, onbevoegde of onrechtmatige opslag, verwerking, toegang of openbaarmaking.

  • Beleid: Informatiebeveiligings- en privacybeleid, beleid rondom het veilig gebruiken van mobiele devices, telewerkbeleid, gebruikersovereenkomsten.
  • Informatie wordt geclassificeerd. Op basis van de classificatie worden de benodigde beveiligingsmaatregelen vastgesteld.
  • Incidentenprocedure: er is een incidentenprocedure voor het actief melden van potentiele en actuele risico’s met het oog op persoonsgegevens en de beveiliging en privacy daarvan.
  • Er wordt binnen Zaurus gebruik gemaakt van OneDrive om organisatiegegevens op te slaan, zodat deze gegevens niet lokaal opgeslagen staan, maar opgeslagen zijn op een beveiligde server.
  • Wachtwoordmanager: wij maken gebruik van een wachtwoordmanager om onze wachtwoorden beveiligd op te slaan.
  • Virusscanner: virusscanner is verplicht op alle bedrijfseigendommen en BYOD’s.
  • HD encryptie: alle harde schijven van bedrijfseigendommen en BYOD’s zijn versleuteld, zodat bij verlies van de devices gegevens niet van de harde schijf kunnen worden gehaald.
  • Logging: Loggegevens worden frequent gecontroleerd op onregelmatigheden en bijzonderheden.
  • Pentest: Frequent laten wij Zaurus een pentest ondergaan door vooraanstaande partijen (zoals Deloitte) om het te testen op informatiebeveiliging en privacy.

4. Omschrijving van de maatregelen om zwakke plekken te identificeren ten aanzien van de Verwerking van Persoonsgegevens in de systemen die worden ingezet voor het verlenen van diensten aan de Verwerkingsverantwoordelijke.

  • Periodiek wordt een Data Protection Impact Assessment (DPIA) uitgevoerd. Daarnaast informeren wij onze medewerkers periodiek over dataveiligheid en de omgang met privacygevoelige informatie.
  • Zaurus rapporteert periodiek aan Verwerkingsverantwoordelijke over de door Zaurus genomen maatregelen aangaande de getroffen technische en organisatorische beveiligingsmaatregelen en eventuele aandachtspunten daarin.
  • Logging: Loggegevens worden frequent gecontroleerd op onregelmatigheden en bijzonderheden.
  • Pentest: Frequent laten wij Zaurus een pentest ondergaan door vooraanstaande partijen (zoals Deloitte) om het te testen op informatiebeveiliging en privacy.

Bijlage 3: Specificatie tarieven

Consultancy: 125,- euro per uur

  • Advies en projectbegeleiding;
  • Implementatie support;
  • Integratie support.

Bijlage 4: Contactgegevens

In deze bijlage zijn de contactgegevens opgenomen van de Functionaris Gegevensbescherming van Zaurus B.V. met wie contact kan worden gezocht met alle vragen/opmerkingen inzake privacy.

Primair aanspreekpunt
Michelle Spit
Functionaris voor de Gegevensbescherming – Zaurus B.V.

E-mailadres: michelle@zaurus.nl
Telefoonnummer: 072-2029123

Bij afwezigheid van het primaire aanspreekpunt

Niels Greidanus
Directeur – Zaurus B.V.

E-mailadres: niels@zaurus.nl
Telefoonnummer: 072-2029123

© 2020 Zaurus B.V.