Verwerkersovereenkomst Heijsen BV
Deze verwerkersovereenkomst is van toepassing op alle vormen van verwerking van persoonsgegevens die Heijsen, ingeschreven bij de Kamer van Koophandel onder nummer 81101260, (hierna: Verwerker) uitvoert ten behoeve van een wederpartij aan wie zij diensten levert (hierna: Verwerkingsverantwoordelijke).
Artikel 1. Doeleinden van verwerking
1.1.
Verwerker verbindt zich onder de voorwaarden van deze Verwerkersovereenkomst in opdracht van Verwerkingsverantwoordelijke persoonsgegevens te verwerken. Verwerking zal uitsluitend plaatsvinden in het kader van het afhandelen van bestellingen en betalingen voor producten of diensten van Verwerkingsverantwoordelijke, het opslaan van gegevens van Verwerkingsverantwoordelijke, beheer van financiële administratie van Verwerkingsverantwoordelijke, het aanbieden en beheren van het online klantenportaal van Verwerker voor Verwerkingsverantwoordelijke, het op de hoogte brengen van wijzigingen, verlengingen, mogelijk relevante nieuwe producten en werkzaamheden die van invloed zijn op producten, het onderhouden van telefonisch contact en contact via supporttickets met zowel Verwerkingsverantwoordelijke alsmede haar klanten, voor afhandeling van klachten en verlening van service, het verrichten van Public Relations- en marketingactiviteiten voor Verwerkingsverantwoordelijke, het verzenden van nieuwsbrieven of e-mails in opdracht van Verwerkingsverantwoordelijke, beheer van de klantenadministratie van Verwerkingsverantwoordelijke, plus die doeleinden die daarmee redelijkerwijs samenhangen of die met nadere instemming worden bepaald.
1.2.
De persoonsgegevens die door Verwerker in het kader van de werkzaamheden als bedoeld in het vorige lid worden verwerkt en de categorieën van de betrokkenen van wie deze afkomstig zijn, zijn opgenomen in Bijlage 1. Verwerker zal de persoonsgegevens niet voor enig ander doel verwerken dan zoals door Verwerkingsverantwoordelijke is vastgesteld. Verwerkingsverantwoordelijke zal Verwerker op de hoogte stellen van de verwerkingsdoeleinden voor zover deze niet reeds in deze Verwerkersovereenkomst zijn genoemd.
1.3.
De in opdracht van Verwerkingsverantwoordelijke te verwerken persoonsgegevens blijven eigendom van Verwerkingsverantwoordelijke en/of de betreffende betrokkenen.
Artikel 2. Verplichtingen Verwerker (Heijsen)
2.1.
Ten aanzien van de in artikel 1 genoemde verwerkingen zal Verwerker (Heijsen) zorgdragen voor de naleving van de voorwaarden die, op grond van de AVG, worden gesteld aan het verwerken van persoonsgegevens.
2.2.
Verwerker zal Verwerkingsverantwoordelijke, op diens eerste verzoek daartoe, informeren over de door haar genomen maatregelen aangaande haar verplichtingen onder deze Verwerkersovereenkomst.
2.3.
De verplichtingen van de Verwerker die uit deze Verwerkersovereenkomst voortvloeien, gelden ook voor degenen die persoonsgegevens verwerken onder het gezag van Verwerker (Heijsen), waaronder begrepen maar niet beperkt tot werknemers, in de ruimste zin van het woord.
2.4.
Verwerker zal de Verwerkingsverantwoordelijke onmiddellijk in kennis stellen indien naar zijn mening een instructie van de Verwerkingsverantwoordelijke in strijd is met de in lid 1 bedoelde wetgeving.
2.5.
Verwerker zal, voor zover dat binnen haar macht ligt, bijstand verlenen aan Verwerkingsverantwoordelijke ten behoeve van het uitvoeren van gegevensbeschermingseffectbeoordelingen (PIA’s).
Artikel 3. Verplichtingen Verwerkingsverantwoordelijke
3.1.
Verwerkingsverantwoordelijke draagt zorg voor correct en veilig gebruik van de hostingdiensten en is zelf verantwoordelijk voor implementatie van beveiligingspatches en beveiligingsupgrades voor geïnstalleerde of geplaatste code binnen de hostingaccounts en/of -diensten.
3.2.
De Verwerkingsverantwoordelijke behelst in ieder geval het correct en veilig gebruik van de afgenomen diensten, waaronder:
• het toepassen van een geldig SSL-certificaat en verbinding op de betreffende domeinen, websites, webshops en overige code;
• het verbinden van e-mail via SSL;
• implementatie van beveiligingspatches en beveiligingsupgrades op code;
• het up-to-date houden van accountinhoudelijke code, waaronder website, CMS, CRM-software of andere code.
Artikel 4. Doorgifte van persoonsgegevens
4.1.
Verwerker (Heijsen) mag zonder voorafgaande schriftelijke toestemming de persoonsgegevens verwerken in landen binnen de Europese Unie, inclusief de volgende landen: Verenigd Koninkrijk, Noorwegen, IJsland en Zwitserland.
4.2.
Doorgifte naar landen buiten de Europese Unie is niet toegestaan zonder voorafgaande schriftelijke toestemming van Verwerkingsverantwoordelijke.
Artikel 5. Verdeling van verantwoordelijkheid
5.1.
De toegestane verwerkingen zullen door medewerkers van Verwerker (Heijsen) worden uitgevoerd binnen een geautomatiseerde omgeving.
5.2.
Verwerker is louter verantwoordelijk voor de verwerking van de persoonsgegevens onder deze Verwerkersovereenkomst, overeenkomstig de instructies van Verwerkingsverantwoordelijke en onder de uitdrukkelijke (eind)verantwoordelijkheid van Verwerkingsverantwoordelijke. Voor de overige verwerkingen van persoonsgegevens, waaronder in ieder geval begrepen, maar niet beperkt tot:
– de verzameling van de persoonsgegevens door Verwerkingsverantwoordelijke,
– verwerkingen voor doeleinden die niet door Verwerkingsverantwoordelijke aan Verwerker zijn gemeld,
– verwerkingen door derden en/of voor andere doeleinden,
is Verwerker uitdrukkelijk niet verantwoordelijk.
5.3.
Verwerkingsverantwoordelijke garandeert dat de inhoud, het gebruik en de opdracht tot de verwerkingen van de persoonsgegevens zoals bedoeld in deze Verwerkersovereenkomst niet onrechtmatig zijn en geen inbreuk maken op enig recht van derden.
Artikel 6. Inschakelen van derden of onderaannemers
6.1.
Verwerker (Heijsen) mag in het kader van de Verwerkersovereenkomst gebruik maken van een derde, zonder voorafgaande toestemming van Verwerkingsverantwoordelijke, onder de voorwaarde dat Verwerkingsverantwoordelijke — uitsluitend indien daar gegronde redenen voor zijn — het inschakelen van de derde kan verbieden.
6.2.
Verwerker zorgt er onvoorwaardelijk voor dat deze derden schriftelijk dezelfde plichten op zich nemen als tussen Verwerker (Heijsen) en Verwerkingsverantwoordelijke is overeengekomen.
6.3.
Verwerker staat in voor een correcte naleving van de plichten uit deze Verwerkersovereenkomst door deze derden en is bij fouten van deze derden zelf aansprakelijk voor alle schade alsof zij zelf de fout(en) heeft begaan.
Artikel 7. Beveiliging
7.1.
Verwerker (Heijsen) zal zich inspannen om, ten aanzien van haar infrastructuur en de door haar ingeschakelde derden waarmee of via welke persoonsgegevens verwerkt kunnen worden, voldoende en passende technische en organisatorische maatregelen te nemen met betrekking tot de te verrichten verwerkingen van persoonsgegevens, ter bescherming tegen verlies of enige vorm van onrechtmatige verwerking (zoals onbevoegde kennisname, aantasting, wijziging of verstrekking van persoonsgegevens).
7.2.
Verwerker heeft in ieder geval de volgende maatregelen genomen:
• Encryptie (versleuteling) van digitale bestanden met persoonsgegevens;
• Beveiliging van netwerkverbindingen via Secure Sockets Layer (SSL) technologie;
• Het toepassen van updates en veiligheidspatches voor kwetsbaarheden op zowel infrastructuur- als besturingssysteemniveau, met als doel een zo veilig mogelijke softwarematige en hardwarematige dienstverlening te bieden. Patching wordt waar van toepassing binnen 72 uur na oplevering van beschikbare updates uitgevoerd.
7.3.
Verwerker is verantwoordelijk voor de naleving van de door Partijen afgesproken en door Verwerker te nemen maatregelen.
Artikel 8. Meldplicht
8.1.
In het geval van een beveiligingslek en/of een datalek (waaronder wordt verstaan: een inbreuk op de beveiliging van persoonsgegevens die leidt tot een aanzienlijke kans op nadelige gevolgen, dan wel daadwerkelijk nadelige gevolgen heeft voor de bescherming van persoonsgegevens), zal Verwerker (Heijsen) zich naar beste kunnen inspannen om Verwerkingsverantwoordelijke daarover onmiddellijk, maar in ieder geval binnen 48 uur na ontdekking, te informeren. Verwerker spant zich in om de verstrekte informatie volledig, correct en accuraat te maken. De meldplicht geldt ongeacht de impact van het lek.
8.2.
Indien wet- en/of regelgeving dit vereist, zal Verwerker meewerken aan het informeren van de ter zake relevante autoriteiten en eventueel betrokkenen. Verwerkingsverantwoordelijke is verantwoordelijk voor het melden aan de relevante autoriteiten.
8.3.
De meldplicht omvat in ieder geval:
• de (vermeende) oorzaak van het lek;
• het (vooralsnog bekende en/of te verwachten) gevolg;
• de (voorgestelde) oplossing;
• de reeds ondernomen maatregelen.
Artikel 9. Afhandeling verzoeken van betrokkenen
9.1.
Indien een betrokkene een verzoek tot uitoefening van zijn/haar wettelijke rechten richt aan Verwerker (Heijsen), zal Verwerker het verzoek doorsturen aan Verwerkingsverantwoordelijke, die het verzoek verder zal afhandelen. Verwerker mag de betrokkene daarvan op de hoogte stellen.
9.2.
Indien een betrokkene een verzoek tot uitoefening van een wettelijk recht richt aan Verwerkingsverantwoordelijke, zal Verwerker — indien Verwerkingsverantwoordelijke dit verlangt — medewerking verlenen, voor zover redelijk en technisch mogelijk. Verwerker mag hiervoor redelijke kosten bij Verwerkingsverantwoordelijke in rekening brengen.
Artikel 10. Geheimhouding en vertrouwelijkheid
10.1.
Op alle persoonsgegevens die Verwerker (Heijsen) van Verwerkingsverantwoordelijke ontvangt en/of zelf verzamelt in het kader van deze Verwerkersovereenkomst, rust een geheimhoudingsplicht jegens derden. Verwerker zal deze informatie niet voor enig ander doel gebruiken dan waarvoor zij deze heeft verkregen, zelfs niet wanneer deze in een zodanige vorm is gebracht dat deze niet tot betrokkenen herleidbaar is.
10.2.
Deze geheimhoudingsplicht is niet van toepassing indien:
• Verwerkingsverantwoordelijke uitdrukkelijke toestemming heeft gegeven om de informatie aan derden te verstrekken;
• het verstrekken van de informatie aan derden noodzakelijk is gezien de aard van de verstrekte opdracht en de uitvoering van deze Verwerkersovereenkomst;
• er een wettelijke verplichting bestaat om de informatie aan een derde te verstrekken.
Artikel 11. Audit
11.1.
Verwerkingsverantwoordelijke heeft het recht om audits te laten uitvoeren door een onafhankelijke Register EDP Auditor die aan geheimhouding is gebonden, ter controle van de naleving van de afspraken in deze Verwerkersovereenkomst.
11.2.
Een audit zal ten hoogste eenmaal per jaar plaatsvinden en uitsluitend bij een concreet en gegrond vermoeden van misbruik van persoonsgegevens door Verwerker (Heijsen), en pas nadat Verwerkingsverantwoordelijke:
• de bij Verwerker aanwezige soortgelijke rapportages heeft opgevraagd en beoordeeld, en
• redelijke argumenten heeft overgelegd die een audit alsnog rechtvaardigen.
Een audit is gerechtvaardigd wanneer aanwezige rapportages geen of onvoldoende uitsluitsel geven over de naleving van deze overeenkomst.
11.3.
De audit vindt twee weken na voorafgaande aankondiging door Verwerkingsverantwoordelijke plaats, zonder dat vertrouwelijke gegevens van Verwerker worden ingezien en zonder de werkprocessen van Verwerker onnodig te verstoren.
11.4.
Verwerker zal aan de audit meewerken en alle voor de audit redelijkerwijs relevante informatie, inclusief ondersteunende gegevens zoals systeemlogs en medewerkers, zo tijdig mogelijk en binnen een redelijke termijn — maximaal vier weken, tenzij een spoedeisend belang zich hiertegen verzet — ter beschikking stellen.
11.5.
De bevindingen van de audit zullen door Partijen gezamenlijk worden beoordeeld en, indien nodig, worden opgevolgd.
11.6.
De redelijke kosten voor de audit worden gedragen door Verwerkingsverantwoordelijke, waarbij de kosten voor de in te huren derde altijd voor rekening van Verwerkingsverantwoordelijke komen.
Artikel 12. Aansprakelijkheid en boetebepalingen
12.1.
De aansprakelijkheid van Verwerker (Heijsen) voor schade als gevolg van een toerekenbare tekortkoming, onrechtmatige daad of anderszins, is uitgesloten. Indien deze aansprakelijkheid niet rechtsgeldig kan worden uitgesloten, geldt dat de aansprakelijkheid per gebeurtenis (een reeks opeenvolgende gebeurtenissen wordt als één beschouwd) beperkt is tot de vergoeding van directe schade, tot maximaal het bedrag van de door Verwerker ontvangen vergoedingen voor de werkzaamheden onder deze overeenkomst in de maand voorafgaand aan de schadeveroorzakende gebeurtenis, met een absoluut maximum van €50,00.
12.2.
Onder directe schade wordt uitsluitend verstaan:
• schade direct toegebracht aan stoffelijke zaken (“zaakschade”);
• redelijke en aantoonbare kosten om Verwerker (Heijsen) tot deugdelijke nakoming te manen;
• redelijke kosten ter vaststelling van oorzaak en omvang van de schade voor zover betrekking hebbend op directe schade;
• redelijke en aantoonbare kosten ter voorkoming of beperking van directe schade.
12.3.
Verwerker is niet aansprakelijk voor schade die ontstaat uit geïnstalleerde code, CRM-systemen of andere software die binnen het hostingaccount, server of overige diensten draait. Hieronder vallen o.a. WordPress, Joomla, Prestashop, Magento en Drupal.
12.4.
Voor cloud-diensten of additionele services waarvan Verwerker geen beheer voert maar fungeert als wederverkoper, facilitator of gebruiker, is aansprakelijkheid uitgesloten. Denk aan Microsoft 365, Google Workspace, Dropbox, Acronis, Cloudflare, SpamExperts, SSL-diensten, Let’s Encrypt, Checkout systemen, Betaalportals, etc.
12.5.
Indirecte schade is uitgesloten. Hieronder vallen o.a.: gevolgschade, gederfde winst, gemiste besparingen, verminderde goodwill, bedrijfsstagnatie, marketinggerelateerde schade, schade door verlies of corruptie van gegevens.
12.6.
De uitsluitingen en beperkingen vervallen indien en voor zover de schade het gevolg is van opzet of bewuste roekeloosheid van Verwerker of haar bedrijfsleiding.
12.7.
Aansprakelijkheid wegens tekortkoming ontstaat slechts indien Verwerkingsverantwoordelijke Verwerker schriftelijk in gebreke stelt en een redelijke termijn tot herstel biedt.
12.8.
Iedere vordering tot schadevergoeding vervalt na twaalf (12) maanden na het ontstaan van de vordering.
12.9.
Verwerker zal zich gedurende de overeenkomst adequaat verzekerd houden, passend bij de aard van de dienstverlening.
12.10.
Bij schending van de Verwerkersovereenkomst verbeurt Verwerker een direct opeisbare boete van €50,00 per overtreding en €50,00 per dag dat de schending voortduurt.
Artikel 13. Duur en beëindiging
13.1.
Deze Verwerkersovereenkomst komt tot stand door ondertekening door beide Partijen en treedt in werking op de datum van de laatste ondertekening.
13.2.
De overeenkomst geldt voor de duur van de hoofdovereenkomst tussen Partijen, of — indien geen hoofdovereenkomst bestaat — voor de duur van de samenwerking.
13.3.
Na beëindiging zal Verwerker (Heijsen), op verzoek van Verwerkingsverantwoordelijke, alle persoonsgegevens verwijderen en/of vernietigen, tenzij wettelijke verplichtingen dit verhinderen.
13.4.
Verwerker is gerechtigd deze overeenkomst te wijzigen. Wijzigingen worden minimaal drie maanden vooraf aangekondigd. Indien Verwerkingsverantwoordelijke niet akkoord gaat, kan de overeenkomst worden opgezegd tegen het einde van deze termijn.
Artikel 14. Toepasselijk recht en geschillenbeslechting
14.1.
Op deze Verwerkersovereenkomst en de uitvoering daarvan is Nederlands recht van toepassing.
14.2.
Geschillen tussen Partijen worden voorgelegd aan de bevoegde rechter in het arrondissement waar Verwerker (Heijsen) is gevestigd.
14.3.
Bij tegenstrijdigheid tussen documenten geldt de volgende rangorde:
De Overeenkomst;
De Algemene Voorwaarden;
Deze Verwerkersovereenkomst;
Eventuele aanvullende voorwaarden.