Verwerkersovereenkomst

  • 1 Introductie
    Deze Verwerkersovereenkomst (“VWO”) is van toepassing op de overeenkomsten ("Overeenkomst") gesloten tussen DTG bv (“DTG”) en haar zakelijke klant ("Contractant") (tezamen “Partijen”) die betrekking hebben op producten en diensten (“Diensten”) aangeboden door DTG waarbij persoonsgegevens van de Contractant worden verwerkt en maakt integraal onderdeel uit van de Algemene Voorwaarden van DTG. Door gebruik te maken van de Diensten van DTG, gelden de Algemene Voorwaarden en geeft Contractant expliciet aan akkoord te zijn met de Algemene Voorwaarden, waaronder deze Verwerkersovereenkomst, die integraal deel uitmaakt van de Algemene Voorwaarden.

    Het doel van deze VWO is om overeenstemming te bereiken over de privacy en gegevensbescherming van de persoonlijke gegevens van de Contractant in de diensten van DTG. Deze VWO is de schriftelijke overeenkomst tussen Partijen conform de Algemene verordening gegevensbescherming (AVG, EU 2016/679) en nieuwe richtlijnen en - wetgeving inzake de verwerking van persoonsgegevens die van tijd tot tijd van kracht worden, zowel in Nederland als in de EU.

    In geval van strijdigheid tussen bepalingen uit verschillende documenten, geldt de volgende rangorde:
    1. deze VWO;
    2. de Algemene Voorwaarden inclusief de desbetreffende Richtlijnen;
    3. de Overeenkomst; en
    4. de eventuele correspondentie tussen Contractant en DTG.

    2 Definities
    Onderstaande begrippen hebben de betekenis die daaraan wordt gegeven in de Algemene verordening gegevensbescherming (“AVG”).

    Betrokkene: als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.

    Datalek: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens.

    Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (hierna:  de Betrokkene).

    Verwerker: DTG, die, op basis van de Overeenkomst, de Persoonsgegevens namens de Verwerkingsverantwoordelijke verwerkt.

    Verwerking of Verwerkingsactiviteiten: een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.

    Verwerkingsverantwoordelijke: de Contractant die de doeleinde(n) van de verwerking bepaalt alsook de wijze waarop de Persoonsgegevens worden verwerkt, op basis van diens schriftelijke instructie en onder diens verantwoordelijkheid.

    3 Gegevensbescherming en verwerking van persoonsgegevens
    3.1 Verplichtingen van DTG en de Contractant
    DTG is gerechtigd om, ter uitvoering van de Overeenkomst en volgens expliciete schriftelijke instructie, onder verantwoordelijkheid van Contractant, Persoonsgegevens te verwerken. Contractant heeft het recht en de plicht om het doel en de methoden van de Verwerking van Persoonsgegevens nader te definiëren. Het onderwerp, het karakter en het doel van de Verwerking wordt nader in de Overeenkomst gedefinieerd. 

    DTG zal alle redelijke schriftelijke instructies van Contractant in verband met de verwerking van de Persoonsgegevens opvolgen. DTG stelt Contractant onmiddellijk op de hoogte indien diens instructies in strijd worden geacht te zijn met de toepasselijke wetgeving met betrekking tot de verwerking van Persoonsgegevens. In dat geval kan DTG direct de opvolging van de instructies van Contractant beëindigen. 

    DTG zal bij de verwerking van Persoonsgegevens handelen in overeenstemming met deze VWO, de AVG en andere wet- en regelgeving. De Persoonsgegevens die DTG verwerkt, kunnen betrekking hebben op bijvoorbeeld werknemers en/of klanten van Contractant en overige natuurlijke personen in relatie tot Contractant. Een overzicht van de Persoonsgegevens, de categorieën Betrokkenen en de doeleinden waarvoor de Persoonsgegevens die ten behoeve van Contractant worden verwerkt is nader gedefinieerd in Bijlage 1 bij deze VWO.

    De door DTG te verwerken Persoonsgegevens, op welke wijze dan ook verkregen, zijn en blijven altijd eigendom van Contractant, waarover DTG geen zelfstandige zeggenschap heeft, noch gerechtigd is om deze voor eigen doeleinden te verwerken. DTG zal de Persoonsgegevens strikt vertrouwelijk houden en deze niet aan derden ter beschikking stellen tenzij dit noodzakelijk of toegestaan is ingevolge de Overeenkomst, in het geval hiervoor voorafgaande schriftelijke toestemming van Opdrachtgever is verkregen, of indien een toezichthouder, op grond van een wettelijk voorschrift, DTG daartoe verplicht. 

    Contractant garandeert dat diens Verwerking van Persoonsgegevens geschiedt in overeenstemming met de AVG en dat de inhoud, het gebruik en de opdracht tot de Verwerkingsactiviteiten onder de Overeenkomst, rechtmatig zijn. De grondslag voor de Verwerking(en) onder de Overeenkomst zal Contractant registreren in zijn eigen verwerkingsregister. Contractant is verantwoordelijk voor het verkrijgen van de eventueel benodigde toestemming voor de Verwerking. Daarnaast is de Contractant aansprakelijk voor het opstellen van zijn privacybeleid, het up-to-date houden ervan, het informeren van de Betrokkenen en voor meldingen aan de Autoriteit Persoonsgegevens.  

    DTG heeft het recht om anonieme en statistische gegevens te verzamelen over het gebruik van de Diensten op grond van de Overeenkomst, waarbij geen tot Contractant of Betrokkenen herleidbare Persoonsgegevens worden gebruikt, en te gebruiken voor het analyseren en ontwikkelen van de Diensten.

    3.2 Verwijderen of retourneren van Persoonsgegevens
    Na het verstrijken van de Overeenkomst en op basis van het bepaalde in het verwerkingsregister van DTG, zal DTG alle Persoonsgegevens van Contractant verwijderen of, tegen redelijke kosten, retourneren, e.e.a. volgens de specifieke instructies van de Contractant, en alle duplicaten ervan verwijderen, tenzij de toepasselijke wetgeving de verdere retentie van de Persoonsgegevens vereist. Deze verplichtingen zijn van overeenkomstige toepassing op de door DTG ter uitvoering van de Overeenkomst betrokken subverwerkers en DTG zal waarborgen dat de betrokken subverwerkers hieraan uitvoering geven.

    3.3 Subverwerkers
    DTG heeft het recht om subverwerkers te gebruiken voor het verwerken van Persoonsgegevens van de Contractant in de uitvoering van de Overeenkomst. DTG is verantwoordelijk voor de toerekenbare tekortkomingen van haar subverwerkers als voor het eigen handelen en zal soortgelijke schriftelijke overeenkomsten afsluiten met de betreffende subverwerker met minimaal dezelfde verplichtingen als voor DTG gelden op basis van deze Bijlage en die voortvloeien uit de AVG. Daarnaast zal DTG toezien op de naleving daarvan door de subverwerker. Op verzoek zal DTG de Contractant vooraf op de hoogte brengen van subverwerkers die DTG van plan is te gebruiken bij de verwerking van de persoonsgegevens in overeenstemming met de Overeenkomst. De Contractant heeft het recht zich op redelijke gronden te verzetten tegen het gebruik van een nieuwe subverwerker.

    3.4 DTG’s verplichting om assistentie te verlenen
    DTG zal, rekening houdend met de aard van de Verwerking en de soort en hoeveelheid te verwerken Persoonsgegevens, Contractant zoveel mogelijk haar medewerking verlenen en zal diens redelijke instructies opvolgen, met als doel Contractant in staat te stellen om te voldoen aan diens wettelijke verplichtingen, waaronder het informeren van de Autoriteit Persoonsgegevens en/of de Betrokkene. Deze verplichtingen kunnen betrekking hebben op gegevensbeveiliging, het melden van datalekken, het eventueel uitvoeren van Privacy Impact Assessments (PIA) en verplichtingen inzake voorafgaand overleg. DTG is verplicht om de Contractant alleen bij te staan voor zover toepasselijke wetgeving dit verplicht voor de verwerking van Persoonsgegevens. Indien niet anders is overeengekomen is DTG gerechtigd om de kosten van deze assistentieverlening te factureren overeenkomstig de geldende tarievenlijst van DTG.

    Alle verzoeken van Betrokkenen gericht aan DTG inzake de uitoefening van de in de AVG neergelegde rechten, waaronder het recht op inzage, op rectificatie en aanvulling, op vergetelheid en het recht om bezwaar te maken tegen de verwerking op grond de Overeenkomst zullen onmiddellijk ter beantwoording doorgestuurd worden naar Contractant. Het is de verplichting van de Contractant om dergelijke verzoeken tijdig te beantwoorden. Op verzoek van de Contractant zal DTG hem zoveel mogelijk met technische en organisatorische middelen ondersteunen en steeds tijdige medewerking verlenen bij het voldoen aan de verzoeken.

    DTG zal alle verzoeken van toezichthoudende autoriteiten, waaronder de Autoriteit Persoonsgegevens, inzake de Verwerkingen rechtstreeks doorsturen naar de Contractant ter verdere beantwoording. Tenzij anders overeengekomen is DTG niet bevoegd om Contractant te vertegenwoordigen of namens de Contractant te handelen in relatie tot autoriteiten die toezicht houden op de Contractant. DTG zal Contractant op de hoogte stellen van ieder verzoek van een toezichthouder en/of gerechtelijke instantie tot kennisneming, verstrekking of andere vorm van opvragen en mededeling van de Persoonsgegevens, tenzij toepasselijke wetgeving deze kennisgeving om gewichtige redenen van algemeen belang verbiedt.

    4 Verwerking buiten de EU/EER zone
    DTG zal, tenzij zij hiervoor voorafgaande toestemming heeft verkregen van Contractant, geen Persoonsgegevens verwerken of laten verwerken door haarzelf of door subverwerkers in landen buiten de Europese Economische Ruimte (“EER”) zonder een passend beschermingsniveau. Voor de overdracht of Verwerking van Persoonsgegevens buiten de EU/EER dient schriftelijke overeenstemming te bestaan tussen DTG en Contractant over de toepasselijkheid van een ‘adequaatheidsbesluit’ (art. 45 AVG) dan wel op basis van ‘passende waarborgen’, waaronder het ‘modelcontract’ c.q. de SCC’s (art. 46.2.c AVG) of op basis van ‘bindende bedrijfsvoorschriften’ (art. 47 AVG).

    5 Het uitvoeren van audits
    De Contractant of een door de Contractant geautoriseerde auditor (maar geen concurrent van DTG) heeft het recht om toe te (laten) zien op de naleving van de door DTG genomen maatregelen die zijn gericht op de dienstverlening zoals opgenomen in de Overeenkomst, zoals vastgelegd in deze VWO. DTG stelt Contractant, indien Contractant daarom verzoekt, maximaal eenmaal per jaar in de gelegenheid op een door partijen in gezamenlijk overleg nader te bepalen datum en tijdstip (uiterlijk 14 dagen voor de inspectie), zulks te (laten) controleren door een gecertificeerde auditor of derde. De audit zal op een manier worden uitgevoerd die de dagelijkse operatie van DTG en/of haar subverwerkers noch de uitvoering van hun verplichtingen jegens derden, niet belemmert. De vertegenwoordigers van de Contractant en de auditor zullen voorafgaand aan de audit een door DTG voorgelegde geheimhoudingsverklaring ondertekenen. De externe kosten van deze controle komen voor rekening van Contractant. De partijen zijn verantwoordelijk voor de eigen kosten als gevolg van de controle. 

    6 Gegevensbeveiliging 
    DTG zal passende technische en organisatorische beveiligingsmaatregelen nemen, in standhouden en indien nodig aanpassen om de persoonsgegevens te beveiligen tegen vernietiging, verlies, vervalsing, niet toegelaten verspreiding of toegang, dan wel enige andere vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de aard, de omvang, de context en het doel van de verwerking, bezien in relatie tot de speciale risico's van de betreffende Verwerking en de gevoeligheid van de Verwerkte Persoonsgegevens, de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau, gelet op de waarschijnlijkheid en ernst van de uiteenlopende risico's die de verwerking en van te beschermen gegevens meebrengen, en welke voldoen aan het bepaalde in artikel 32 AVG.

    Contractant is verplicht ervoor te zorgen dat DTG op de hoogte wordt gebracht van alle relevante omstandigheden met betrekking tot Persoonsgegevens die Contractant aan DTG overdraagt in het kader van de uitvoering van de Overeenkomst, zoals risicobeoordelingen en de Verwerking van speciale categorieën van Betrokkenen die van invloed (kunnen) zijn op de technische en organisatorische maatregelen overeenkomstig deze VWO.

    DTG zal de te Verwerken Persoonsgegevens als strikt vertrouwelijk behandelen en zal de werknemers, vertegenwoordigers en/of subverwerkers die betrokken zijn bij de verwerking van de Persoonsgegevens van de vertrouwelijke aard van de Persoonsgegevens op de hoogte stellen. DTG zal waarborgen dat betrokken personen en partijen een geheimhoudingsovereenkomst hebben getekend en zal ervoor zorgen dat de bij de Verwerking betrokken werknemers, vertegenwoordigers en/of subverwerkers zich houden aan de toepasselijke geheimhoudingsverplichtingen.

    7 Informeren over datalekken of privacyinbreuken
    Zodra DTG kennis heeft genomen van een inbreuk in verband met persoonsgegevens informeert zij Contractant zonder onredelijke vertraging waarbij het streven is om dit uiterlijk binnen 24 uur na kennisneming te melden. DTG zal daarbij Contractant alle relevante informatie verstrekken doch voor zover de informatie in kwestie beschikbaar is zal DTG ten minste het volgende gegevens verstrekken: (1) de aard van de data-inbreuk, (2) de (mogelijk) getroffen categorieën gegevens, (3) de omvang van de getroffen betrokkenen, (4) de waarschijnlijke gevolgen van het inbreuk, en (5) de maatregelen die getroffen zijn of zullen getroffen worden om de inbreuk op te lossen dan wel de gevolgen/schade zoveel mogelijk te beperken.

    DTG zal de maatregelen treffen die redelijkerwijs van haar kunnen worden verwacht om de inbreuk zo snel mogelijk te herstellen dan wel eventuele verdere gevolgen zoveel mogelijk te beperken. DTG zal Contractant te allen tijde haar medewerking verlenen en zal de redelijke instructies van Contractant opvolgen, met als doel Contractant in staat te stellen om te voldoen aan diens wettelijke verplichting, waaronder het informeren van de Autoriteit Persoonsgegevens en/of betrokkene(n) en eventueel andere derden.

    Meldingen die worden gedaan op grond van dit artikel worden gericht aan de betreffende werknemer van Contractant die is belast met gegevensbescherming en privacy en wiens contactgegevens schriftelijk tijdens de looptijd van de Overeenkomst aan DTG zijn bekendgemaakt.

    8 Overige bepalingen 
    De aansprakelijkheid van DTG voor eventuele schade welke voortvloeit uit of verband houdt met haar toerekenbare tekortkoming in de nakoming van verplichtingen uit deze VWO of haar specifiek tot DTG als Verwerker gerichte verplichting uit de AVG, is beperkt tot directe schade en tot het maximumbedrag opgenomen in de Overeenkomst of bij gebreke daarvan tot € 2000,- per gebeurtenis (oftewel een incident dat direct leidt tot het ontstaan van schade van Contractant dan wel van diens betrokkenen, i.c. klanten van Opdrachtgever).
    Onder directe schade wordt uitsluitend verstaan alle schade bestaande uit:

    • schade direct toegebracht aan stoffelijke zaken (“zaakschade”);
    • redelijke en aantoonbare kosten om DTG ertoe te manen de Overeenkomst of deze VWO (weer) deugdelijk na te komen;
    • redelijke kosten ter vaststelling van de oorzaak en de omvang van de schade voor zover betrekking hebbende op de directe schade zoals hier bedoeld is; en
    • redelijke en aantoonbare kosten die de Contractant heeft gemaakt ter voorkoming of beperking van de directe schade zoals in dit artikel bedoeld.

    De aansprakelijkheid van DTG voor indirecte schade is uitgesloten. Onder indirecte schade wordt verstaan alle schade die geen directe schade is en daarmee in ieder geval, maar niet beperkt tot, gevolgschade, gederfde winst, gemiste besparingen, verminderde goodwill, schade door bedrijfsstagnatie of verlies, verminking of vernietiging van gegevens of databestanden.

    Beide partijen zijn verplicht alleen het deel van de schadevergoeding of door de Autoriteit Persoonsgegevens opgelegde boete te betalen dat overeenkomt met hun aansprakelijkheid voor schade die is bevestigd in een definitieve beslissing van deze gegevensbeschermingsautoriteit of van een (scheids)rechterlijke instantie. In alle andere gevallen wordt de aansprakelijkheid van de partijen bepaald in overeenstemming met de Overeenkomst en de Algemene Voorwaarden van DTG waarbij voor de aansprakelijkheid van DTG geldt dat deze te allen tijde gemaximeerd is tot het bedrag dat de verzekering van DTG in dit geval uitkeert.  

    DTG  zal Contractant schriftelijk op de hoogte stellen van alle wijzigingen die van invloed kunnen zijn op haar vermogen of haar mogelijkheden om zich te houden aan deze VWO en de schriftelijke instructies van Contractant. DTG heeft het recht om deze VWO met gerechtvaardigde reden te wijzigen door Contractant twee (2) weken voordat de wijziging in werking treedt hiervan schriftelijk op de hoogte te stellen.

    Deze VWO treedt in werking op 1 april 2019. De VWO blijft van kracht (i) zolang de Overeenkomst van kracht is of (ii) de partijen verplichtingen tot elkaar hebben met betrekking tot de verwerking van persoonsgegevens.




    BIJLAGE 1 Soorten persoonsgegevens, categorieën betrokkenen en bewaartermijnen

 

DTG DIENST

CATEGORIEËN BETROKKENEN

SOORTEN PERSOONSGEGEVENS/BEWAARTERMIJN

Leveren en hosten Website

DTG´s klant (contactpersonen) en diens klanten en/of bezoekers website

NAW-gegevens, telefoonnummer, e-mailadres, de informatie door klanten/bezoekers op het contactformulier geplaatst, gebruikersnaam en wachtwoord voor klanten/bezoekers.

Bewaartermijn gegevens tot maximaal 3 maanden na einde Overeenkomst
, daarna worden gegevens vernietigd of geanonimiseerd.

Call recording, Call tracking, en/of Google Analytics, Adverteren op zoekmachines (SEA)

DTG’s klant (contactpersonen) en diens klanten en/of bezoekers website

Namen (klanten), telefoonnummers, IP-adres, logs van gevoerde gesprekken.

Bewaartermijn gegevens tot maximaal 3 maanden na einde Overeenkomst
, daarna worden gegevens vernietigd of geanonimiseerd.

Zoekmachineoptimalisatie (SEO)

DTG’s klant (contactpersonen) en diens klanten en/of bezoekers website

NAW-gegevens, telefoonnummer, e-mailadres, IP-adres, gebruikersnaam en wachtwoord van website-cms, de informatie door klanten/bezoekers op het contactformulier geplaatst.

Bewaartermijn gegevens tot maximaal 3 maanden na einde Overeenkomst
, daarna worden gegevens vernietigd of geanonimiseerd.

Reviews (Klantenvertellen en/of Kiyoh)

DTG’s klant (contactpersonen) en diens klanten

Naam, e-mailadres, IP-adres, cookies, gebruikersnaam/wachtwoord van dashboard.

Bewaartermijn gegevens is maximaal 3 maanden
na einde Overeenkomst, daarna worden gegevens vernietigd of geanonimiseerd.

Bedrijfsprofiel en Netwerk

DTG’s klant (contactpersonen)

 

Naam, e-mailadres, IP-adres, cookies, gebruikersnaam/wachtwoord van dashboard.

Bewaartermijn gegevens tot maximaal 3 maanden na einde Overeenkomst
, daarna worden gegevens vernietigd of geanonimiseerd.