Verwerkersovereenkomst

Versie: 27 oktober 2018

Liever een PDF? Download hem hier

Dit is onze verwerkersovereenkomst. Je zult, op het moment dat je onze diensten aanvraagt, worden gevraagd deze verwerkersovereenkomst te accepteren. Accepteer je deze niet, dan kun je geen gebruik maken van onze diensten.

Een verwerkersovereenkomst is altijd een droog stuk tekst, met vaak hele moeilijke zinnen en woorden. Helaas is dit nodig om alles juridisch gezien heel duidelijk te verwoorden. Mocht Je vragen hebben, neem dan gerust contact met Ons op.

Inhoudsopgave

Artikel 1: Definities

Om deze verwerkersovereenkomst begrijpelijk en leesbaar te houden, zullen Wij de volgende begrippen gebruiken:

1.1: Wij (Ons, Onze): De privaatrechtelijke rechtspersoon jodiBooks B.V., statutair gevestigd te Eindhoven en ingeschreven bij de Kamer van Koophandel onder nummer 70590680
1.2: Jij (Je, Jou, Jouw): Jij, een ondernemer (rechtspersoon of natuurlijk persoon die handelt in de uitoefening van een beroep of bedrijf), die met Ons een Overeenkomst heeft voor het gebruik van Onze Diensten.
1.3: Diensten: De door ons aangeboden elektronische diensten. Dit zijn digitale diensten die langs de elektronische weg (over het internet) worden geleverd.
1.4: Overeenkomst: De overeenkomst tussen Jou en Ons voor het leveren van Diensten door Ons aan Jou waarvan deze verwerkersovereenkomst deel uitmaakt.
1.5: Schriftelijk: Op schrift gesteld of langs de elektronische weg, zoals bedoeld in artikel 6:227a van het Burgerlijk Wetboek.
1.6: AVG: Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van de Richtlijn 95/46/EG (algemene verordening gegevensbescherming).
1.7: Verwerkersovereenkomst: deze overeenkomst inclusief bijlagen. Deze overeenkomst kwalificeert als een verwerkersovereenkomst als bedoeld in artikel 28 AVG.
1.8: Dit document gebruikt daarnaast begrippen die in de AVG zijn gedefinieerd. Deze begrippen worden gebruikt in de betekenis die de AVG daaraan geeft.

Artikel 2: Toepasselijkheid

2.1: Deze Verwerkersovereenkomst is van toepassing op alle Diensten die Wij aan Jou leveren.
2.2: Deze Verwerkersovereenkomst is onderdeel van de Overeenkomst. Alle rechten en verplichtingen uit de Overeenkomst zijn daarom ook van toepassing op de Verwerkersovereenkomst.
2.3: Een andere Verwerkersovereenkomst dan deze wordt door Ons met klem afgewezen.
2.4: Mochten er tegenstrijdigheden zijn tussen de Verwerkersovereenkomst en de Overeenkomst, dan gelden de bepalingen uit deze Verwerkersovereenkomst.
2.5: Afwijkingen van deze Verwerkersovereenkomst gelden alleen als deze Schriftelijk tussen Jou en Ons zijn afgesproken.
2.6: Als een bepaling die deel uitmaakt van deze Verwerkersovereenkomst nietig zou zijn of vernietigd wordt, blijft de Verwerkersovereenkomst voor de rest in stand en zal de betreffende bepaling in overleg tussen Jou en Ons onmiddellijk worden vervangen door een bepaling die de strekking van de oorspronkelijke bepaling zoveel mogelijk benadert.

Artikel 3: Totstandkoming van de Verwerkersovereenkomst

3.1: Deze Verwerkersovereenkomst treedt in werking op de ingangsdatum van de Overeenkomst.
3.2: Deze Verwerkersovereenkomst is onderdeel van de Overeenkomst en zal gelden voor zolang de Overeenkomst duurt.
3.3: Als de Overeenkomst eindigt, eindigt deze Verwerkersovereenkomst automatisch; de Verwerkersovereenkomst kan niet apart worden opgezegd.
3.4: Artikel 8 en Artikel 9 van deze Verwerkersovereenkomst blijven gelden, ook nadat de Verwerkersovereenkomst is beëindigd.

Artikel 4: Verwerken van Persoonsgegevens

4.1: In het kader van de Overeenkomst en doeleinden die daarmee samenhangen, Verwerken Wij Persoonsgegevens in opdracht van Jou. Bij deze Verwerking ben Jij de Verwerkingsverantwoordelijke. Wij vervullen de rol van Verwerker.
4.2: In Bijlage A wordt opgenomen welke Persoonsgegevens Wij precies zullen verwerken en voor welke verwerkingsdoeleinden. Wij zullen de Persoonsgegevens niet op een andere manier of voor een ander doel verwerken, tenzij Jij ons daar van tevoren toestemming of opdracht toe geeft of tenzij de wet ons anders voorschrijft.
4.3: De Verwerking van Persoonsgegevens vindt alleen plaats als onderdeel van de uitvoering van de Overeenkomst. De Verwerking vindt plaats op basis van Schriftelijke instructies van Jou, tenzij Wij op grond van de wet- of regelgeving verplicht zijn om anders te handelen.
4.4: Jij zult ons op de hoogte stellen van verwerkingsdoeleinden als deze niet in Bijlage A zijn genoemd.
4.5: Voor Verwerkingen van Persoonsgegevens door Jou die niet in deze Verwerkersovereenkomst zijn opgenomen, zijn Wij niet verantwoordelijk. De verantwoordelijkheid voor deze Verwerkingen ligt uitsluitend bij Jou.
4.6: Jij dient vast te stellen of je een rechtmatige grondslag hebt om de Persoonsgegevens te (laten) Verwerken, zoals bedoeld in artikel 6 van de AVG. Jij staat er voor in dat de Verwerking van Persoonsgegevens op basis van de Verwerkersovereenkomst niet onrechtmatig is en geen inbreuk maakt op de rechten van derden.
4.7: Jij staat er voor in dat er bij het gebruik van de Diensten geen bijzondere Persoonsgegevens, gevoelige Persoonsgegevens, Burgerservicenummers of gegevens over strafrechtelijke veroordelingen of strafbare feiten worden Verwerkt.
4.8: Jij zorgt ervoor dat Jij voldoet aan de regelgeving die vanuit de AVG voor Jou als Verwerkingsverantwoordelijke geldt, als het gaat om de uitvoering van de Overeenkomst en de Verwerking van de Persoonsgegevens.
4.9: De verwerking vindt plaats onder Jouw verantwoordelijkheid. Wij hebben geen zeggenschap over de Persoonsgegevens. Wij nemen geen zelfstandige beslissingen over de ontvangst en het gebruik van de Persoonsgegevens, de verstrekking aan derden en de duur van de opslag van Persoonsgegevens.
4.10: Wanneer Wij wettelijk verplicht zijn Persoonsgegevens aan derden te verstrekken, dan informeren Wij Jou onmiddellijk. Indien mogelijk informeren wij jou voordat we de gegevens verstrekken.
4.11: Op Jouw verzoek verstrekken wij Jou de informatie die Jij nodig hebt voor een Gegevensbeschermingseffectbeoordeling. Met deze informatie kun Jij inschatten wat het risico is van de Verwerking die Wij namens Jou uitvoeren.
4.12: Wij zorgen ervoor dat Wij voldoen aan de regelgeving die vanuit de AVG voor ons als Verwerker geldt, als het gaat om de uitvoering van de Overeenkomst en de Verwerking van de Persoonsgegevens. Wij verwerken de gegevens op een behoorlijke, zorgvuldige en transparante wijze.

Artikel 5: Verzoeken van Betrokkenen

5.1: Wanneer Wij een verzoek krijgen van een Betrokkene die zijn of haar privacy rechten wil uitoefenen, sturen Wij dit verzoek door naar Jou en stellen wij de Betrokkene hiervan op de hoogte. Deze privacy rechten bestaan uit een verzoek om inzage, verbetering, aanvulling, verwijdering of afscherming, bezwaar maken tegen de verwerking van de persoonsgegevens en een verzoek tot overdraagbaarheid van de eigen Persoonsgegevens.
5.2: Jij zult een verzoek van een Betrokkene die zijn of haar privacy rechten wil uitoefenen zelfstandig afhandelen. Als blijkt dat Jij hulp nodig hebt van Ons voor de uitvoering van een verzoek van een Betrokkene, dan zullen Wij daar binnen een termijn van 14 dagen aan meewerken.

Artikel 6: Beveiliging

6.1: Wij zorgen ervoor dat we de Persoonsgegevens voldoende beveiligen. Om verlies en onrechtmatige verwerkingen te voorkomen nemen Wij passende technische en organisatorische maatregelen. Een overzicht van de maatregelen is opgenomen in Bijlage B. Wij kunnen niet garanderen dat deze maatregelen onder alle omstandigheden doeltreffend zijn. Deze maatregelen zijn afgestemd op het risico van de verwerking en biedt naar Ons oordeel een beveiligingsniveau wat daarbij past.
6.2: Jij hebt je goed geïnformeerd over de beveiligingsmaatregelen die Wij hebben genomen en bent van mening dat deze maatregelen een beveiligingsniveau hebben dat past bij de aard van de Persoonsgegevens en de risico’s van de Verwerking.
6.3: Wij kunnen veranderingen aanbrengen in de getroffen beveiligingsmaatregelen als dat volgens Ons noodzakelijk is om een passend beveiligingsniveau te blijven bieden. Wij informeren Jou als een van de beveiligingsmaatregelen substantieel wijzigt.
6.4: Wij verwerken Persoonsgegevens in landen binnen de Europese Unie. Wij zullen Jou, op Jouw verzoek, melden om welk land of welke landen het gaat.
6.5: Jij zorgt ervoor dat jouw systemen en infrastructuur te allen tijde adequaat beveiligd zijn.

Artikel 7: Subverwerker

7.1: Jij verleent ons hierbij een algemene toestemming om bij de Verwerking derden (subverwerkers) in te schakelen. Op Jouw verzoek zullen Wij Jou zo snel mogelijk informeren over de door Ons ingeschakelde subverwerkers.
7.2: Wij hebben het recht om subverwerkers toe te voegen of te vervangen. Wij zullen jou minimaal 30 dagen voor de ingangsdatum van de voorgenomen verandering op de hoogte brengen. Als Jij de verandering niet wilt accepteren, kun Je tot de datum waarop de verandering ingaat de Overeenkomst ontbinden. De Overeenkomst eindigt dan op de datum waarop de verandering ingaat of op de datum dat Wij Jouw opzegging ontvangen als dat na de ingangsdatum van de verandering is.
7.3: Wanneer wij een subverwerker inschakelen, worden aan deze subverwerker bij een overeenkomst als het gaat om gegevensbescherming dezelfde verplichtingen opgelegd als die in deze Verwerkersovereenkomst zijn opgenomen. Wij blijven voor Jou te allen tijde aanspreekpunt en verantwoordelijk voor de naleving van deze Verwerkersovereenkomst.

Artikel 8: Geheimhouding

8.1: Wij zullen de aan Ons verstrekte Persoonsgegevens geheimhouden, tenzij dit op basis van een wettelijke verplichting niet mogelijk is.
8.2: Wij zullen ervoor zorgen dat ook ons personeel en hulppersonen (bijv. onderaannemers) zich aan deze geheimhouding houden, door een geheimhoudingsplicht in de (arbeids-)contracten op te nemen.
8.3: Wij zullen de aan Ons verstrekte Persoonsgegevens niet voor een ander doel gebruiken dan waarvoor Wij deze hebben verkregen, tenzij deze in een zodanige vorm is gebracht dat deze niet tot Betrokkenen herleidbaar is.
8.4: De geheimhouding is niet van toepassing:

  • Wanneer Jij uitdrukkelijke toestemming of opdracht hebt gegeven om de informatie aan derden te verstrekken.
  • Wanneer het verstrekken van de informatie aan derden logischerwijs noodzakelijk is voor de uitvoering van de Overeenkomst of de Verwerkersovereenkomst.
  • Als er een wettelijke verplichting en/of een rechterlijk bevel is om de informatie aan een derde te verstrekken.
  • Als het gaat om het verstrekken van de Persoonsgegevens aan een subverwerker, met inachtneming van Artikel 7.

Artikel 9: Aansprakelijkheid

9.1: Wij zijn aansprakelijk voor schade die Jij leidt en boetes die Jou worden opgelegd door Toezichthouders als deze het gevolg zijn van door Ons niet naleven van de AVG, deze Verwerkersovereenkomst of andere wet- of regelgeving rondom bescherming van Persoonsgegevens.
9.2: Wij verplichten ons om de risico’s in artikel 9.1 af te dekken met een aansprakelijkheidsverzekering.
9.3: Jij vrijwaart ons van schade, aanspraken van derden en door Toezichthouders opgelegde boetes, als deze het gevolg zijn van het door Jou niet naleven van de AVG, deze Verwerkersovereenkomst of andere wet- of regelgeving rondom bescherming van Persoonsgegevens.

Artikel 10: Inbreuk in verband met Persoonsgegevens

10.1: Bij een ontdekking van een Inbreuk in verband met Persoonsgegevens, zullen Wij Jou hierover binnen 24 uur informeren via het e-mailadres wat Jij via de Diensten aan Ons hebt opgegeven. Dit doen wij volgens de afspraken in Bijlage C.
10.2: Na de melding van een Inbreuk in verband met Persoonsgegevens door Ons aan Jou, zullen Wij Jou op de hoogte houden van nieuwe ontwikkelingen rondom de Inbreuk in verband met Persoonsgegevens. Ook houden Wij Jou op de hoogte van de maatregelen die Wij hebben getroffen om de omvang hiervan te beperken, indien mogelijk deze te beëindigen en een soortgelijk incident in de toekomst te kunnen voorkomen.
10.3: Het is jouw verantwoordelijkheid om te beoordelen of je een Inbreuk in verband met Persoonsgegevens dient te melden bij de Toezichthouder. Het is jouw verantwoordelijkheid om deze melding te doen. Jij draagt de kosten voor deze melding.
10.4: Het is jouw verantwoordelijkheid om te beoordelen of je een Inbreuk in verband met Persoonsgegevens dient te melden bij de Betrokkene(n). Het is jouw verantwoordelijkheid om deze melding te doen. Jij draagt de kosten voor deze melding.
10.5: Eventuele kosten die gemaakt worden om een Inbreuk in verband met Persoonsgegevens op te lossen en in de toekomst te kunnen voorkomen, komen voor rekening van degene die de kosten maakt.

Artikel 11: Wissen Persoonsgegevens

11.1: Binnen drie (3) maanden na afloop van de Overeenkomst, of eerder als Jij ons daar Schriftelijk om verzoekt, wissen Wij alle Persoonsgegevens en kopieën daarvan, tenzij de wet anders voorschrijft.
11.2: Na wissen van de Persoonsgegevens zullen Wij Schriftelijk aan Jou verklaren dat we de Persoonsgegevens niet meer hebben.
11.3: Wij zullen een kopie van de Persoonsgegevens bewaren als Wij hiertoe op grond van wet- of (beroeps)regelgeving verplicht zijn.

Artikel 12: Informatieverplichting en audit

12.1: Jij hebt het recht om eens per jaar een audit uit te laten voeren door een onafhankelijke ICT-deskundige die aan geheimhouding is gebonden, om te controleren of alle verplichtingen uit deze Verwerkersovereenkomst zijn en worden nagekomen.
12.2: De redelijke kosten voor de audit worden door Jou gedragen. De kosten voor de in te huren ICT-deskundige zullen altijd door Jou worden gedragen.
12.3: Deze audit vindt alleen plaats nadat Jij bij Ons de aanwezige soortgelijke auditrapportages hebt opgevraagd, beoordeeld en redelijke argumenten opgeeft die een door Jou in gang gezette audit alsnog rechtvaardigen. Zo’n audit wordt gerechtvaardigd als de bij Ons aanwezige soortgelijke auditrapportages geen of onvoldoende uitsluitsel geven over of wij deze Verwerkersovereenkomst naleven.
12.4: Wij zullen binnen een redelijke termijn aan de audit meewerken en informatie die voor de audit redelijkerwijs relevant is ter beschikking stellen. Een redelijke termijn is hier twee weken, tenzij een spoedeisend belang Ons verhindert.
12.5: Wanneer Jij vindt dat een wijziging in de te nemen beveiligingsmaatregelen noodzakelijk is, treden Wij met Jou in overleg over het al of niet doorvoeren van die wijziging. De kosten voor het wijzigen van de beveiligingsmaatregelen komen voor de rekening van degene die de kosten maakt.

Artikel 13: Wijzigingen aan deze Overeenkomst

13.1: Wij behouden het recht deze Verwerkersovereenkomst te Wijzigen of aan te vullen. Redenen voor wijzigingen kan onder andere, maar niet uitsluitend, zijn een aanpassing van de software van onze Diensten waardoor andere Persoonsgegevens met de Diensten kunnen worden opgeslagen.
13.2: Wijzigingen van de Verwerkersovereenkomst gelden ook voor reeds gesloten Overeenkomsten. Wij zullen Jou minimaal 30 dagen voor een Wijziging van de Verwerkersovereenkomst hiervan op de hoogte brengen. Als Je de wijziging niet wilt accepteren, kun Je tot de datum waarop de nieuwe voorwaarden ingaan de Overeenkomst ontbinden. De Overeenkomst eindigt dan op de datum waarop de nieuwe voorwaarden ingaan of op de datum dat Wij Jouw opzegging ontvangen als dat na de ingangsdatum van de Wijziging is.

Bijlage A: De Verwerking van Persoonsgegevens

A.1: Soort Persoonsgegevens
Wij Verwerken in Opdracht van Jou gewone Persoonsgegevens. Dit zijn geen bijzondere Persoonsgegevens of gevoelige Persoonsgegevens, geen Burgerservicenummers en geen strafrechtelijke gegevens of gegevens over strafbare feiten. Wij Verwerken voor jou Persoonsgegevens uit de volgende standaard categorieën:

  • NAW-gegevens
  • Telefoonnummers
  • E-mailadressen
  • en andere mogelijke categorieën van niet-bijzondere, niet-strafrechtelijke Persoonsgegevens
A.2: Categorieën Betrokkenen.
De Persoonsgegevens hebben betrekking op de volgende Betrokkenen:

  • (Vroegere, huidige en toekomstige) opdrachtgevers, klanten, cliënten of afnemers van Jou.
  • Personen die Persoonsgegevens ter Verwerking ter beschikking stellen aan Jou.

Bijlage B: Passende technische en organisatorische maatregelen

B.1: Technische maatregelen
  • Al Onze backups worden met een sterk wachtwoord versleuteld.
  • We hanteren een SSL certificaat en HTTPS verbinding voor al Onze Diensten.
  • Er worden uitsluitend technieken gebruikt die, volgens de laatste informatie op het gebied van beveiliging, niet vatbaar zijn voor SQL injectie.
  • Wij zullen er zorg voor dragen dat de software die we direct of indirect gebruiken voor het aanbieden van onze Diensten up-to-date is.
  • Je hebt de mogelijkheid om op elk gewenst moment Jouw wachtwoord voor de Diensten te veranderen.
  • Voor het opslaan van wachtwoorden maken Wij gebruik van sterke en moderne hashingalgoritmes.
B.2: Organisatorische maatregelen.
  • Onze medewerkers krijgen alleen toegang tot de persoonsgegevens die voor het uitvoeren van hun taken nodig zijn.
  • In de (arbeids-) contracten met Ons personeel en hulppersonen nemen Wij een geheimhoudingsplicht op.
  • Indien van toepassing voor de functie, is voorafgaand aan de indiensttreding van Onze medewerkers een verklaring omtrent gedrag opgevraagd en gecontroleerd.
  • Medewerkers die Ons bedrijf verlaten wordt de toegang tot de gegevens ontzegd.
  • We maken gebruik van een wachtwoord beheer systeem. Hiermee kunnen we het gebruik van wachtwoorden door medewerkers beheersen en controleren.

Bijlage C: Afspraken betreffende Inbreuken in verband met Persoonsgegevens

In geval van een Inbreuk in verband met Persoonsgegevens, moet ten minste de volgende informatie door Ons aan Jou worden verstrekt:

  • De (vermoedelijke) oorzaak van de Inbreuk in verband met Persoonsgegevens.
  • De Persoonsgegevens en Betrokkene(n).
  • De vooralsnog bekende en/of te verwachten gevolgen van de Inbreuk in verband met Persoonsgegevens.
  • Maatregelen die Wij hebben genomen of die Wij voorstellen te nemen om de Inbreuk in verband met Persoonsgegevens aan te pakken. Indien er sprake is van mogelijke nadelige gevolgen, mogelijke maatregelen om deze nadelige gevolgen te beperken.