Verwerkersovereenkomst
Verwerkersovereenkomst Tickettekoop.nl b.v.
De ondergetekenden:
1Tickettekoop.nl b.v., gevestigd op Boshoek 11 8314BA te Bant, hierna als opdrachtnemer te noemen: 'Tickettekoop'; en
2 opdrachtgever [organisatie opdrachtgever] wordt rechtsgeldig vertegenwoordigd door [persoon opdrachtgever], hierna te noemen: 'opdrachtgever'; hierna gezamenlijk te noemen 'partijen'.
Overwegende dat:
- Voor zover Opdrachtnemer Persoonsgegevens Verwerkt ten behoeve van Opdrachtgever in het kader van de Overeenkomst, Opdrachtgever krachtens artikel 4, onderdeel 7 en onderdeel 8, van de Verordening kwalificeert als verwerkingsverantwoordelijke voor de Verwerking van Persoonsgegevens en Opdrachtnemer als verwerker;
- Partijen in deze Verwerkersovereenkomst, zoals bedoeld in artikel 28, derde lid, van de Verordening, hun afspraken over de Verwerking van Persoonsgegevens door Opdrachtnemer wensen vast te leggen.
Komen Overeen:
Artikel 1. Begrippen
In deze Verwerkersovereenkomst wordt een aantal begrippen met een beginhoofdletter gebruikt. Aan deze begrippen komt de betekenis toe die hieraan wordt gegeven in artikel 1 van de Algemene Voorwaarden voor het verstrekken van opdrachten tot het verrichten van Diensten. In afwijking daarvan of in aanvulling daarop wordt onder de volgende begrippen in deze Verwerkersovereenkomst verstaan:
- Betrokkene: degene op wie een Persoonsgegeven betrekking heeft.
- Inbreuk in verband met Persoonsgegevens: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde
- Overeenkomst: de overeenkomst tussen Opdrachtgever en Opdrachtnemer.
- Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon, die Opdrachtnemer in het kader van de Overeenkomst ten behoeve van Opdrachtgever verwerkt.
- Verordening: Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van de Richtlijn 95/46/EG (algemene verordening gegevensbescherming).
- Verwerkersovereenkomst: deze overeenkomst inclusief overwegingen en bijbehorende bijlagen
- Verwerking: een bewerking of een geheel van bewerkingen in het kader van de Overeenkomst met betrekking tot Persoonsgegevens, of een geheel van Persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen.
Artikel 2. Voorwerp van deze Verwerkersovereenkomst
- Deze Verwerkersovereenkomst regelt de Verwerking van Persoonsgegevens door Opdrachtnemer in het kader van de Overeenkomst.
- De aard en het doel van de Verwerking, het soort Persoonsgegevens en de categorieën van Persoonsgegevens, Betrokkenen en ontvangers zijn in Bijlage 1 omschreven.
- Opdrachtnemer garandeert de toepassing van passende technische en organisatorische maatregelen, opdat de Verwerking aan de vereisten van de Verordening voldoet en de bescherming van de rechten van de Betrokkene is gewaarborgd.
- Opdrachtnemer garandeert te voldoen aan de vereisten van de toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens.
Artikel 3. Inwerkingtreding en duur
- Deze Verwerkersovereenkomst treedt in werking op het moment dat hiertoe akkoord is gegeven door Opdrachtgever.
- Geen van Partijen kan deze Verwerkersovereenkomst tussentijds opzeggen.
Artikel 4. Omvang verwerkingsbevoegdheid Opdrachtnemer
- Opdrachtnemer Verwerkt de Persoonsgegevens uitsluitend in opdracht en op basis van schriftelijke instructies van Opdrachtgever behoudens afwijkende wettelijke voorschriften die op Opdrachtnemer van toepassing zijn.
- Indien een instructie als bedoeld in het eerste lid naar het oordeel van Opdrachtnemer in strijd is met een wettelijk voorschrift inzake gegevensbescherming, stelt hij Opdrachtgever daarvan voorafgaand aan de Verwerking in kennis, tenzij een wettelijk voorschrift deze kennisgeving verbiedt.
- Indien Opdrachtnemer op grond van een wettelijk voorschrift Persoonsgegevens dient te verstrekken, informeert hij Opdrachtgever onmiddellijk, en zo mogelijk voorafgaand aan de verstrekking.
- Opdrachtnemer heeft geen zeggenschap over het doel van en de middelen voor de Verwerking van Persoonsgegevens.
Artikel 5. Beveiliging van de Verwerking
- In aanvulling op artikel 2.3 en onverminderd artikel 2.4 treft Opdrachtnemer de technische en organisatorische beveiligingsmaatregelen zoals beschreven in Bijlage 2.
- Partijen erkennen dat het waarborgen van een passend beveiligingsniveau voortdurend kan dwingen tot het treffen van aanvullende beveiligingsmaatregelen. Opdrachtnemer waarborgt een op het risico afgestemd beveiligingsniveau.
- Opdrachtnemer verwerkt Persoonsgegevens niet buiten de Europese Unie, tenzij hij daarvoor uitdrukkelijk schriftelijk toestemming heeft verkregen van Opdrachtgever en behoudens afwijkende wettelijke verplichtingen.
- Opdrachtnemer informeert Opdrachtgever zonder onredelijke vertraging zodra hij kennis heeft genomen van onrechtmatige Verwerkingen van Persoonsgegevens of inbreuken op beveiligingsmaatregelen zoals genoemd in het eerste en tweede lid.
Artikel 6. Geheimhouding door Personeel van Opdrachtnemer
- De Persoonsgegevens hebben een vertrouwelijk karakter.
- Opdrachtgever toont op verzoek van Opdrachtgever aan dat zijn Personeel zich ertoe heeft verbonden vertrouwelijkheid in acht te nemen.
Artikel 7. Subverwerkerer
Wanneer Opdrachtnemer, met inachtneming van het bepaalde in artikel 8, een andere verwerker inschakelt om ten behoeve van Opdrachtgever verwerkingsactiviteiten te verrichten, worden aan deze andere verwerker bij een overeenkomst dezelfde verplichtingen inzake gegevensbescherming opgelegd als die welke in deze Verwerkersovereenkomst zijn opgenomen.
Artikel 8. Inbreuk in verband met Persoonsgegevens
- Opdrachtnemer informeert Opdrachtgever zonder onredelijke vertraging, zodra hij kennis heeft genomen van een Inbreuk in verband met Persoonsgegevens, overeenkomstig de afspraken zoals vastgelegd in Bijlage 3.
- Opdrachtnemer informeert Opdrachtgever ook na een melding op grond van het eerste lid over ontwikkelingen betreffende de Inbreuk in verband met Persoonsgegevens.
Artikel 9. Terugbezorgen of wissen Persoonsgegevens
Na afloop van de Overeenkomst draagt Opdrachtnemer, naar gelang de keuze van Opdrachtgever, zorg voor het terugbezorgen aan Opdrachtgever of het wissen van gedeeltelijke of alle Persoonsgegevens. Opdrachtnemer verwijdert kopieën, behoudens afwijkende wettelijke voorschriften.
Artikel 10. Informatieverplichting en audit
- Opdrachtnemer stelt alle informatie ter beschikking die nodig is om aan te tonen dat de verplichtingen uit deze Verwerkersovereenkomst zijn en worden nagekomen.
- Opdrachtnemer verleent alle benodigde medewerking aan audits.
Bijlage 1. De Verwerking van Persoonsgegevens
De verwerking van persoonsgegevens dienen ter ondersteuning van het in kaart brengen van de bezoeker van Opdrachtgever. Dit behelst gegevens als de Voornaam, Achternaam en het E-mailadres van de bezoeker. Gegevens als Geboortedatum, Geslacht en Postcode zijn optioneel. Alleen de Opdrachtgever heeft toegang via een persoonlijke account tot deze gegevens via de NAW-documentatie in de beheeromgeving van Tickettekoop. Gegevens van Opdrachtgever bestaan uit diens naam en adresgegevens. De rekeninggegevens en bijhorende tenaamstelling worden door de betaalrelatie die tussen Opdrachtgever en Tickettekoop is ontstaan nooit verwijderd.
Bijlage 2. Passende technische en organisatorische maatregelen
Opdrachtgever behoort te allen tijde vertrouwelijkheid omtrent persoonsgegevens in acht te nemen. Tevens dient Opdrachtgever kennis te nemen wanneer Tickettekoop kenbaar maakt dat gegevens niet langer door Opdrachtgever mogen worden gebruikt. De gegevens die reeds in bezit zijn van Opdrachtgever dienen te worden aangepast aan de hand van de meest recent geanonimiseerde gegevens zoals Tickettekoop ze altijd actueel via het account van Opdrachtgever aanbiedt.
Bijlage 3: Afspraken betreffende Inbreuken in verband met Persoonsgegevens
Tickettekoop deelt direct mede aan Opdrachtgever wanneer er sprake is van Inbreuk omtrent Persoonsgegevens. Dit gebeurt schriftelijk dan wel telefonisch. De mogelijke gevolgen zijn dat Persoonsgegevens van bezoekers van Opdrachtgever, bestaande uit de Voornaam, Achternaam en een E-mailadres van de bezoeker, met eventueel als aanvulling de Geboortedatum, Geslacht en Postcode (mits deze optioneel is ingevuld). Tickettekoop heeft met zowel beveiligde verbindingen als beveiligde databases - van zowel Opdrachtnemer en Opdrachtgever - maatregelen getroffen tegen Inbreuk in verband met Persoonsgegevens. Daarnaast staan belangrijke gegevens als wachtwoorden met een code (hash) verwerkt in de systemen van Tickettekoop. In het geval van een datalek heeft Tickettekoop zich te houden aan de geldende regels betreffende een meldplicht omtrent de lek binnen 72 uur. Hierin wordt gespecificeerd wat er is gelekt en hoe dit door Tickettekoop is opgelost.
Bij deze accepteer ik, [naam opdrachtgever] op [datum ondertekening] de verwerkersovereenkomst van Tickettekoop.