Verwerkersovereenkomst.

Partijen:

De “Verwerkingsverantwoordelijke”. Solar Concept gevestigd aan Bernestraat 1, 5374PE in Schaijk, ingeschreven in het register van de Kamer van Koophandel onder nummer: 70767963, rechtsgeldig vertegenwoordigd in deze door de daartoe bevoegde ondergetekende vertegenwoordigers, hierna te noemen: de "Verwerkingsverantwoordelijke";

En

De ‘Verwerker’ te weten Solar Concept gevestigd aan Bernestraat 1, te Schaijk ingeschreven in het register van de Kamer van Koophandel onder nummer: 70767963, ten deze rechtsgeldig vertegenwoordigd door de directie die persoonsgegevens verwerkt ten behoeve van de te leveren diensten aan; Hierna gezamenlijk ook aan te duiden als: “Partijen” en afzonderlijk als “Partij”.

Hierna gezamenlijk ook aan te duiden als: “Partijen” en afzonderlijk als “Partij”.

Komen overeen dat:

  • Verwerker diensten verricht ten behoeve van Verwerkingsverantwoordelijke, zoals omschreven in de Hoofdovereenkomst.
  • De diensten van Verwerker met zich meebrengen dat Persoonsgegevens worden opgeslagen en verwerkt in opdracht van de Verwerkingsverantwoordelijke, waaronder Persoonsgegevens die vallen onder de Algemene Verordening Gegevensbescherming (AVG).  
  • Verwerker de persoonsgegevens handmatig dan wel geautomatiseerd verwerkt.
  • Verwerker de Persoonsgegevens slechts zal verwerken in opdracht van Verwerkingsverantwoordelijke, en niet voor eigen of andere doeleinden. De betreffende Persoonsgegevens zijn niet aan het rechtstreekse gezag van Verwerker onderworpen.
  • Partijen, vanwege deze gegevensverwerking, een Verwerkersovereenkomst sluiten als bedoeld in artikel 28, derde lid, van de AVG. Deze Verwerkersovereenkomst vormt een addendum bij de hoofdovereenkomst en legt de afspraken tussen Partijen met betrekking tot de verwerking van persoonsgegevens vast.

Artikel 1. Definities

  • Persoonsgegevens: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon, als bedoeld in de AVG. Hieronder worden onder meer, maar niet uitsluitend, verstaan: namen, adresgegevens, geboortedata, telefoonnummers, kentekennummers, BSN-nummers, paspoortnummers, e-mailadressen en rekeningnummers.
  • Verwerking van Persoonsgegevens: elke handeling of elk geheel van handelingen met betrekking tot Persoonsgegevens en tot personen te herleiden gegevens, waaronder in ieder geval: het verzamelen, vastleggen, ordenen, bewaren, bewerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, evenals het afschermen, uitwissen of vernietigen van gegevens.
  • Verwerkingsverantwoordelijke: de natuurlijke persoon, rechtspersoon of ieder ander die of het bestuursorgaan dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van Persoonsgegevens vaststelt.
  • Verwerker: degene die ten behoeve van de Verwerkingsverantwoordelijke Persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen.
  • Betrokkene: degene op wie een Persoonsgegeven betrekking heeft.
  • Derde: ieder, niet zijnde de Betrokkene, de Verwerkingsverantwoordelijke, de Verwerker, of enig persoon die onder rechtstreeks gezag van de Verwerkingsverantwoordelijke of de Verwerker gemachtigd is om Persoonsgegevens te verwerken.
  • Overeenkomst: deze onderhavige Verwerkersovereenkomst.
  • Hoofdovereenkomst: de aan deze Verwerkersovereenkomst ten grondslag liggende Hoofdovereenkomst.
  • Datalek: toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens zonder dat dit de bedoelding is van een der Partijen.
  • Autoriteit Persoonsgegevens: de toezichthoudende autoriteit als bedoeld in de AVG.
  • Verstrekken van Persoonsgegevens: het bekend maken of ter beschikking stellen van Persoonsgegevens. Voor zover begrippen niet afdoende gedefinieerd zijn in deze Overeenkomst, gelden de definities zoals genoemd in de Hoofdovereenkomst, de Algemene Voorwaarden en de Privacyverklaring van Solar Concept BV.

Voor zover begrippen niet afdoende gedefinieerd zijn in deze Overeenkomst, gelden de definities zoals genoemd in de Hoofdovereenkomst, de Algemene Voorwaarden en de Privacyverklaring van Solar Concept BV.

Artikel 2. De verwerking

2.1 De Verwerker verbindt zich om in het kader van die werkzaamheden de door de Verwerkingsverantwoordelijke ter beschikking gestelde Persoonsgegevens (zie privacyverklaring) zorgvuldig te verwerken.
2.2 Verwerker zal de Persoonsgegevens uitsluitend verwerken in opdracht van Verwerkingsverantwoordelijke op basis van diens schriftelijke instructies, onder meer met betrekking tot doorgiften van Persoonsgegevens aan een derde land of een internationale organisatie, tenzij een op de Verwerker van toepassing zijnde Unierechtelijke of lidstaatrechtelijke bepaling hem tot verwerking verplicht; in dat geval stelt de Verwerker de Verwerkingsverantwoordelijke, voorafgaand aan de verwerking, in kennis van dat wettelijk voorschrift, tenzij die wetgeving deze kennisgeving om gewichtige redenen van algemeen belang verbiedt.
2.3 Verwerker garandeert dat hij uitsluitend Persoonsgegevens voor Verwerkingsverantwoordelijke zal verwerken die noodzakelijk zijn voor de uitvoering van de Hoofdovereenkomst. Andere Persoonsgegevens zullen voor Verwerkingsverantwoordelijke slechts worden verwerkt indien Verwerkingsverantwoordelijke de Verwerker hiertoe expliciete opdracht heeft gegeven.
2.4 Verwerker zal in geen geval zeggenschap of eigendom verkrijgen over de Persoonsgegevens en/of deze Persoonsgegevens verwerken voor eigen doeleinden. Verwerker neemt geen beslissingen over ontvangst en gebruik van de Persoonsgegevens, de verstrekking aan derden en de duur van de opslag van Persoonsgegevens.

Artikel 3. Naleving wet- en regelgeving
3.1 Als een Betrokkene bij Verwerker een verzoek doet op grond van een wettelijke bepaling tot inzage, verbetering, aanvulling, wijziging of afscherming (in het gebruik) van zijn of haar gegevens, dan verwijst Verwerker die Betrokkene door naar de Verwerkingsverantwoordelijke.
3.2 Verwerker verstrekt geen informatie aan een Betrokkene (anders dan de doorverwijzing uit lid 1) zonder voorafgaande schriftelijke toestemming van de Verwerkingsverantwoordelijke.
3.3 Verwerker verleent, rekening houdend met de aard van de verwerking, de Verwerkingsverantwoordelijke door middel van passende technische en organisatorische maatregelen, voor zover mogelijk, bijstand bij het vervullen van diens plicht om verzoeken om uitoefening van de in hoofdstuk III van de AVG vastgestelde rechten van de betrokkene te beantwoorden.
3.4 Verwerker komt instructies van Verwerkingsverantwoordelijke aangaande de verwerking van Persoonsgegevens na.
3.5 Verwerker garandeert dat hij de Persoonsgegevens die Verwerkingsverantwoordelijke voor verwerking ter beschikking stelt, gescheiden zal opslaan en verwerken van de overige Persoonsgegevens die hij verwerkt.
3.6 Verwerkingsverantwoordelijke is gehouden om de juiste Persoonsgegevens tijdig aan te leveren.
3.7 Verwerker zal bij de verwerking van Persoonsgegevens handelen in overeenstemming met de toepasselijke wet- en regelgeving.
3.8 Verwerker zal, rekening houdend met de aard van de verwerking en de hem ter beschikking staande informatie, de Verwerkingsverantwoordelijke bijstand verlenen bij het doen nakomen van de verplichtingen uit hoofde van de artikelen 32 tot en met 36 van de AVG.

Artikel 4. Beveiligingsinbreuken

4.1 Verwerker zal zich te allen tijde inspannen om een Datalek of beveiligingsinbreuk te voorkomen. Mocht een Datalek of beveiligingsinbreuk zich alsnog voordoen en leidt deze tot de aanzienlijke kans op ernstige nadelige gevolgen of heeft deze ernstige nadelige gevolgen voor de bescherming van Persoonsgegevens die door hem worden verwerkt, dan zal Verwerker zo spoedig mogelijk, doch uiterlijk binnen 48 uur na het ontdekken van een Datalek of beveiligingsinbreuk, hiervan melding doen aan Verwerkingsverantwoordelijke. Hierbij vermeldt Verwerker alle relevante informatie over de aard van het incident, het risico dat Persoonsgegevens onrechtmatig verwerkt zijn of kunnen worden en de maatregelen die getroffen zijn of zullen worden om het incident op te lossen dan wel de gevolgen en/of schade zoveel mogelijk te beperken. Verwerkingsverantwoordelijke is vervolgens verantwoordelijk voor een eventuele melding bij de Autoriteit Persoonsgegevens. Indien Verwerkingsverantwoordelijke deze melding aan de Autoriteit Persoonsgegevens niet of niet tijdig dan wel onjuist verricht, is Verwerkingsverantwoordelijke aansprakelijk voor alle gevolgen van deze schending van de AVG.
4.2 Verwerkingsverantwoordelijke zal de contactgegevens van de persoon bij wie Verwerker de betreffende melding dient in te dienen, uiterlijk op het moment dat deze overeenkomst in werking treedt, aan Verwerker schriftelijk mededelen. In verband met de AVG dient deze persoon buiten de reguliere kantooruren, waaronder verstaan feestdagen en weekenden, bereikbaar te zijn.

Artikel 5. Geheimhoudingsplicht

5.1 Verwerker garandeert dat hij alle Persoonsgegevens strikt vertrouwelijk zal behandelen en hij eenieder die namens Verwerker betrokken is bij de verwerking van de Persoonsgegevens op de hoogte zal stellen van de vertrouwelijke aard van deze Persoonsgegevens.
5.2 Indien de Verwerker op grond van een wettelijke verplichting Persoonsgegevens dient te verstrekken, zal de Verwerker de grondslag van het verzoek en de identiteit van de verzoeker verifiëren en zal de Verwerker de Verwerkingsverantwoordelijke onmiddellijk, indien mogelijk voorafgaand aan de verstrekking, ter zake informeren, tenzij wettelijke bepalingen dit verbieden.
5.3 De geheimhoudingsplicht blijft na afloop of beëindiging van de Hoofdovereenkomst onverminderd voortbestaan.

Artikel 6. Beveiligingsmaatregelen

6.1 Onverminderd de beveiligingsnormen die Partijen op mogelijk andere wijze zijn overeengekomen, nemen Verwerkingsverantwoordelijke en Verwerker alle maatregelen die uit artikel 32 van de AVG volgen. Verwerker zal, rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van personen, passende technische en organisatorische maatregelen treffen om een op het risico afgestemd beveiligingsniveau te waarborgen.
6.2 Bij de beoordeling van het passende beveiligingsniveau wordt met name rekening gehouden met de verwerkingsrisico's, vooral als gevolg van de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens, hetzij per ongeluk hetzij onrechtmatig.
6.3 Partijen treffen maatregelen om ervoor te zorgen dat iedere natuurlijke persoon die handelt onder het gezag van de verwerkingsverantwoordelijke of van de verwerker en toegang heeft tot persoonsgegevens, deze slechts in opdracht van de verwerkingsverantwoordelijke verwerkt, tenzij hij daartoe Unierechtelijk of lidstaatrechtelijk aan is gehouden.
6.4 Verwerkingsverantwoordelijke is te allen tijde gerechtigd de verwerking van Persoonsgegevens te doen controleren dan wel toe te zien op de naleving van deze Overeenkomst en in verband hiermee instructies te geven.
6.5 Omdat beveiligingseisen voortdurend veranderen, zal Verwerker steeds zorgen voor een effectieve beveiliging, frequente evaluatie en regelmatige verbetering van verouderde beveiligingsmaatregelen, zodat te allen tijde wordt voldaan aan artikel 5, lid 1 sub f van de AVG.

Artikel 7. Audit

7.1 Verwerker zal de Verwerkingsverantwoordelijke alle informatie ter beschikking stellen die nodig is om de nakoming van de in artikel 28 AVG neergelegde verplichtingen aan te tonen en maakt audits, waaronder inspecties, mogelijk door de Verwerkingsverantwoordelijke of een door de Verwerkingsverantwoordelijke gemachtigde controleur. Aan deze audits zal Verwerker waar mogelijk bijdragen, doch alle kosten voor de audit zullen worden gedragen door Verwerkingsverantwoordelijke. Hieronder vallen ook de kosten die door Verwerker worden gemaakt in verband met deze audit.
7.2 Verwerkingsverantwoordelijke zal slechts een audit (laten) uitvoeren na een voorafgaande schriftelijke melding aan Verwerker.
7.3 Verwerker stelt de Verwerkingsverantwoordelijke onmiddellijk in kennis indien naar zijn mening een instructie die volgt uit deze audit een inbreuk oplevert op de AVG of op andere Unierechtelijke of lidstaatrechtelijke bepalingen inzake gegevens-bescherming.
7.4 Verwerker verbindt zich om binnen een redelijke termijn Verwerkingsverantwoordelijke, of de door Verwerkingsverantwoordelijke ingeschakelde derde, te voorzien van de verlangde informatie. Hierdoor kan Verwerkingsverantwoordelijke, of de door Verwerkingsverantwoordelijke ingeschakelde derde, zich een oordeel vormen over de naleving door Verwerker van deze Overeenkomst. Verwerkingsverantwoordelijke, of de door Verwerkingsverantwoordelijke ingeschakelde derde, is gehouden alle informatie betreffende deze controles vertrouwelijk te behandelen.
7.5 Indien Verwerkingsverantwoordelijke, of een door hem ingeschakelde derde, redelijke aanbevelingen ter verbetering van de beveiligingsmaatregelen aandraagt, dan zal Verwerker deze aanbevelingen binnen een redelijke, nader te bepalen termijn uitvoeren.
7.6 In geval Verwerker kenbaar maakt dat hij niet over wil gaan tot het uitvoeren van de betreffende aanbevelingen of dat de aanbevelingen hem onredelijk voorkomen, maar Verwerkingsverantwoordelijke desondanks diens aanbevelingen handhaaft, zijn de met deze aanbevelingen gemoeid gaande kosten en risico’s voor rekening van Verwerkingsverantwoordelijke.

Artikel 8. Inschakeling derden

8.1 De Verwerker is slechts gerechtigd de uitvoering van de werkzaamheden geheel of ten dele uit te besteden aan derden na voorafgaande schriftelijke toestemming van de Verwerkingsverantwoordelijke.
8.2 In het geval van algemene schriftelijke toestemming licht de Verwerker de Verwerkingsverantwoordelijke in over beoogde veranderingen inzake de toevoeging of vervanging van andere verwerkers, waarbij de Verwerkingsverantwoordelijke de mogelijkheid wordt geboden tegen deze veranderingen bezwaar te maken.
8.3 Wanneer Verwerker een andere verwerker in dienst neemt om voor rekening van de Verwerkingsverantwoordelijke specifieke verwerkingsactiviteiten te verrichten, dan worden aan deze andere verwerker bij een overeenkomst of een andere rechtshandeling krachtens Unie- of lidstaatrecht dezelfde verplichtingen inzake gegevensbescherming opgelegd als die welke uit deze Verwerkingsovereenkomst volgen, met name de verplichting afdoende garanties met betrekking tot het toepassen van passende technische en organisatorische maatregelen te bieden opdat de verwerking aan het bepaalde in deze verordening voldoet. Wanneer de andere verwerker zijn verplichtingen inzake gegevensbescherming niet nakomt, blijft Verwerker ten aanzien van de Verwerkingsverantwoordelijke volledig aansprakelijk voor het nakomen van de verplichtingen van die andere verwerker.
8.4 Indien Verwerkingsverantwoordelijke een derde, waaronder een andere verwerker, heeft ingeschakeld, is in afwijking van het derde lid de Verwerkingsverantwoordelijke volledig verantwoordelijk en aansprakelijk voor de gevolgen van het uitbesteden van werkzaamheden aan deze derde.

Artikel 9. Aansprakelijkheid

9.1 Verwerkingsverantwoordelijke is aansprakelijk voor schade voortvloeiende uit het niet-nakomen van, of in strijd handelen met de bij of krachtens de AVG gegeven voorschriften en/of het niet-nakomen van, of in strijd handelen met het in deze Overeenkomst bepaalde, onverminderd de aanspraken op grond van wettelijke regels. Verwerkingsverantwoordelijke is tevens aansprakelijk voor schade voor zover ontstaan door zijn werkzaamheid, waaronder hierdoor ontstane inbreuken op de persoonlijke levenssfeer van Betrokkenen.
9.2 Verwerker is uitsluitend aansprakelijk voor de directe schade voortvloeiend uit zijn eigen handelen en welke aan hem is toe te rekenen. Bovengenoemde uitsluitingen van aansprakelijkheid komen te vervallen indien en voor zover de schade het gevolg is van opzet of bewuste roekeloosheid van Verwerker. 
9.3 Het in dit artikel bepaalde aangaande aansprakelijkheid is onverminderd van toepassing na beëindiging van de Hoofdovereenkomst.

Artikel 10. Bewaring, teruggave en vernietiging van persoonsgegevens

10.1 Verwerker bewaart de door Verwerkingsverantwoordelijke ter beschikking gestelde Persoonsgegevens niet langer dan strikt noodzakelijk. Na afloop van de verwerkingsdiensten zal Verwerker, naargelang de keuze van de Verwerkingsverantwoordelijke, alle Persoonsgegevens wissen of aan de Verwerkingsverantwoordelijke terugbezorgen. Bestaande kopieën zullen worden verwijderd, tenzij opslag van de persoonsgegevens Unierechtelijk of staatsrechtelijk is verplicht.
10.2 Partijen kunnen onderling een bewaartermijn overeenkomen. In dat geval zal Verwerker Persoonsgegevens niet langer bewaren dan gedurende deze termijn.
10.3 Op schriftelijk verzoek van Verwerkingsverantwoordelijke zal Verwerker de Persoonsgegevens vernietigen, verwijderen dan wel teruggeven aan Verwerkingsverantwoordelijke. Indien vernietiging, verwijdering dan wel teruggave niet mogelijk is, stelt Verwerker Verwerkingsverantwoordelijke hiervan zo spoedig mogelijk op de hoogte. 10.4 Indien Verwerker voor de verwerking van de Persoonsgegevens gebruik heeft gemaakt van derden, dan zal Verwerker deze derden aan het einde van de Overeenkomst op de hoogte stellen van de beëindiging van deze Overeenkomst. Het bepaalde in lid 3 van dit artikel is eveneens op deze derden van toepassing.

Artikel 11. Duur en einde van de overeenkomst

11.1 Deze Overeenkomst gaat in op het moment van ondertekening.
11.2 Verplichtingen uit deze Overeenkomst, welke naar hun aard bestemd zijn om na beëindiging van deze Overeenkomst voort te duren, blijven ook na beëindiging van deze Overeenkomst van onverminderde toepassing. Dit geldt onder meer voor de bepalingen met betrekking tot geheimhouding en aansprakelijkheid.
11.3 Verwerker is gerechtigd de uitvoering van zowel deze Overeenkomst als de Hoofdovereenkomst op te schorten of, zonder rechtelijke tussenkomst, met onmiddellijke ingang te ontbinden, indien: a. Verwerkingsverantwoordelijke aantoonbaar tekortschiet in de nakoming van de verplichtingen uit deze Overeenkomst dan wel de verplichtingen uit de Hoofdovereenkomst, en deze tekortkoming niet binnen een redelijke termijn, doch uiterlijk 30 dagen is hersteld na een daartoe strekkende schriftelijke ingebrekestelling. Deze ingebrekestelling is overigens niet nodig indien nakoming door Verwerkingsverantwoordelijke blijvend onmogelijk is; b. Verwerkingsverantwoordelijke zijn bedrijfsactiviteiten geheel of gedeeltelijk staakt of voornemens is daartoe. Deze bepaling doet niet af aan hetgeen is bepaald in de Hoofdovereenkomst.
11.4 Verwerkingsverantwoordelijke is gerechtigd deze Overeenkomst per direct te ontbinden indien Verwerker te kennen geeft niet langer te kunnen voldoen aan de betrouwbaarheidseisen die op grond van de ontwikkelingen in de wet en/of rechtspraak aan de verwerking van de Persoonsgegevens, die Verwerkingsverantwoordelijke ter beschikking stelt, worden gesteld.
11.5 Indien de verwerkingsovereenkomst om welke reden dan ook wordt beëindigd dan blijven de bepalingen uit deze ververwerkersovereenkomst onverminderd van toepassing op de reeds uitgewisselde Persoonsgegevens. Verwerker dient, bovendien, op aangeven van de verwerkingsverantwoordelijke ter stond de Persoonsgegevens te verwijderen of over te dragen aan de verwerkingsverantwoordelijke.

Artikel 12. Slotbepalingen

12.1 De overwegingen uit deze Overeenkomst maken onderdeel uit van de Hoofdovereenkomst.
12.2 In geval van strijdigheid tussen de bepalingen uit deze Overeenkomst en de Hoofdovereenkomst zullen de bepalingen uit de hoofdovereenkomst leidend zijn.
12.3 Bepalingen in algemene voorwaarden, overeenkomsten of mondelinge afspraken tussen Partijen die, met betrekking tot de bescherming van de verstrekte Persoonsgegevens, in strijd zijn met hetgeen bepaald in deze Overeenkomst, zijn niet van toepassing.
12.4 Wijziging van deze Overeenkomst kan slechts schriftelijk plaatsvinden middels een door beide Partijen geaccordeerd voorstel.
12.5 In het geval één of meerdere van de bepalingen uit deze Overeenkomst nietig blijkt te zijn of wordt vernietigd, dan blijven de overige bepalingen van deze Overeenkomst onverminderd van kracht. Verwerker en Verwerkingsverantwoordelijke zullen in dat geval met elkaar overleggen over nieuwe bepalingen die de nietige of vernietigde bepalingen kunnen vervangen, waarbij zoveel mogelijk wordt aangesloten bij het doel en de strekking van de nietige dan wel vernietigde bepalingen.
12.6 Op deze Overeenkomst en op alle geschillen die daaruit mogen voortvloeien of daarmee mogen samenhangen, is het Nederlands recht van toepassing.
12.7 Eventuele conflicten zullen eerst met elkaar besproken worden waarbij beide Partijen zich inspannen om deze in goed overleg met elkaar op te lossen.
12.8 Wanneer Partijen in onderling overleg niet tot een oplossing voor een conflict kunnen komen, is sprake van een geschil. Geschillen over of in verband met deze Overeenkomst worden uitsluitend voorgelegd aan de bevoegde rechter in het arrondissement van Verwerker.
12.9 In alle gevallen waarin deze Overeenkomst niet voorziet, beslissen Partijen in onderling overleg.