16 maart 2017

Bewerkersovereenkomst Feeddex – Tekstanalyse

Definities
* Verantwoordelijke, bovengenoemde partij 1 die, alleen of tezamen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt en die aan Bewerker de Opdracht verleent;
* Persoonsgegeven, elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon;
* Betrokkene, degene op wie een Persoonsgegeven betrekking heeft;
* Bewerker, Feeddex BV, die ten behoeve van de Verantwoordelijke Persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen;
* Opdracht, de opdracht van de Verantwoordelijke aan de Bewerker tot het verwerken van Persoonsgegevens zoals overeengekomen;
* Wbp, Wet Bescherming Persoonsgegevens.

Overwegende
1. Dat de Verantwoordelijke op grond van artikel 14 Wbp verplicht is een overeenkomst met Bewerker aan te gaan en er zorg voor te dragen dat Bewerker voldoende waarborgen biedt ten aanzien van de technische en organisatorische beveiligingsmaatregelen met betrekking tot de te verrichten verwerkingen, en ten aanzien van de melding van een inbreuk op de beveiliging.
2. Dat Bewerker verklaart passende technische en organisatorische maatregelen getroffen te hebben om (persoons)gegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico's die de verwerking en de aard van te beschermen gegevens met zich meebrengen.
3. Dat de Opdracht tot doel heeft de tevredenheid te onderzoeken van klanten van Verantwoordelijke ten aanzien van de producten en of dienstverlening van Verantwoordelijke.
4. Dat de Opdracht geen verwerking inhoudt van gevoelige gegevens in de zin van de Beleidsregels voor het toepassen van artikel 34a Wbp (meldplicht datalekken) zoals:

a. bijzondere Persoonsgegevens in de zin van artikel 16 Wbp;
b. gegevens over de financiële of economische situatie van de Betrokkene;
c. gegevens die kunnen leiden tot stigmatisering of uitsluiting van de Betrokkene;
d. gebruikersnamen, wachtwoorden en andere inloggegevens;
e. gegevens die kunnen worden misbruikt voor (identiteits)fraude.

KOMEN ALS VOLGT OVEREEN

Artikel 1 - Uitvoering verwerking
1. Bewerker zal bij de uitvoering van de Opdracht op zorgvuldige wijze met de Persoonsgegevens omgaan en de Persoonsgegevens enkel verwerken in opdracht van Verantwoordelijke, overeenkomstig diens instructies, in overeenstemming met deze overeenkomst en de toepasselijke wet- en regelgeving op het gebied van bescherming van Persoonsgegevens, waaronder de voorschriften van de Wbp.
2. Bewerker zal de Persoonsgegevens niet voor enig ander doel verwerken dan zoals door Verantwoordelijke is vastgesteld in de Opdracht behoudens afwijkende wettelijke verplichtingen.
3. Bewerker staat er verder voor in dat personen en gecontracteerde partijen die handelen onder zijn gezag, waaronder personeelsleden, de Persoonsgegevens alleen op rechtmatige wijze en in overeenstemming met deze overeenkomst en de Wbp zullen verwerken.
4. Bewerker zal op verzoek van Verantwoordelijke informatie aan Verantwoordelijke geven over de genomen (beveiligings)maatregelen om aan de verplichtingen op grond van de Wbp, deze overeenkomst en de overige instructies van Verantwoordelijke te voldoen.

Artikel 2 – Verplichtingen Verantwoordelijke
1. Verantwoordelijke zal zich bij de verwerking van Persoonsgegevens houden aan de toepasselijke wet- en regelgeving.
2. Verantwoordelijke verklaart toestemming van de Betrokkenen te hebben verkregen ten aanzien van de vastlegging van de Persoonsgegevens en de verwerking van de Persoonsgegevens voor het doel van de Opdracht.
3. Wanneer de Verantwoordelijke een melding doet als bedoeld in artikel 27 Wbp, meldt Verantwoordelijke dit aan Bewerker.
4. Bij tekortkomingen van de Verantwoordelijke ten aanzien van het voldoen aan de toepasselijke wet- en regelgeving, vrijwaart Verantwoordelijke Bewerker voor door Bewerker geleden en of te lijden schade.

Artikel 3 - Doorgifte van Persoonsgegevens
1. Bewerker zal de Persoonsgegevens enkel verwerken in landen binnen de Europese Unie.
2. Bewerker zal Persoonsgegevens enkel doorgeven aan derden nadat Verantwoordelijke hier nadrukkelijk toestemming voor heeft gegeven.
3. Resultaten en scores van Betrokkenen, die niet tot een Betrokkene te herleiden zijn, vallen niet onder Persoonsgegevens

Artikel 4 – Verwijzing van verzoek van Betrokkene
Wanneer een Betrokkene aan Bewerker een verzoek als bedoeld in artikel 35 Wbp (inzage) en of in artikel 36 Wbp (verbetering, aanvulling, wijziging, of afscherming) doet, verwijst Bewerker dit verzoek door aan Verantwoordelijke en zal Verantwoordelijke dit behandelen. Bewerker mag Betrokkene van de verwijzing op de hoogte stellen.

Artikel 5 - Beveiligingsmaatregelen
Bewerker zal passende technische en organisatorische maatregelen nemen, in stand houden en indien nodig aanpassen om de Persoonsgegevens te beveiligen tegen vernietiging, hetzij per ongeluk hetzij onrechtmatig, tegen toevallig verlies, vervalsing, niet toegelaten verspreiding of toegang, dan wel enige andere vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico’s die de verwerking en de aard van te beschermen gegevens met zich meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van Persoonsgegevens te voorkomen.

Artikel 6 - Beveiligingsincidenten en meldplicht
1. Bewerker zal diefstal, verlies of misbruik van Persoonsgegevens zo snel mogelijk en in ieder geval binnen 24 uur of de eerst volgende werkdag, melden aan Verantwoordelijke.
2. De Verantwoordelijke beoordeelt:
a. of de in lid 1 van dit artikel benoemde inbreuk op de beveiliging Persoonsgegevens van gevoelige aard betreft in de zin van de Beleidsregels voor het toepassen van artikel 34a Wbp (meldplicht datalekken);
b. of de in lid 1 van dit artikel benoemde inbreuk op de beveiliging leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van Persoonsgegevens in de zin van artikel 34a lid 1 Wbp (meldplicht datalekken).
3. De Verantwoordelijke besluit op grond van de in lid 2 van dit artikel genoemde beoordeling of zij Autoriteit Persoonsgegevens onverwijld zal informeren.
4. De Verantwoordelijke besluit op grond van de in lid 2 van dit artikel genoemde beoordeling of zij de Betrokkenen onverwijld zal informeren.
5. Waar nodig, zal Bewerker zijn volle medewerking verlenen aan Verantwoordelijke voor het adequaat informeren van de Betrokkenen en of de Autoriteit Persoonsgegevens over dergelijke inbreuken van de beveiliging.

Artikel 7 - Duur en beëindiging
1. Deze overeenkomst vangt aan op het moment van ondertekening van de Opdracht.
2. Bij beëindiging of ontbinding van de Opdracht, verplichten Partijen zich te blijven houden aan het bepaalde in deze overeenkomst met betrekking tot geheimhouding, aansprakelijkheid, vrijwaring en alle overige bepalingen die naar hun aard bestemd zijn om ook na beëindiging of ontbinding van deze overeenkomst voort te duren.
3. Bij beëindiging of ontbinding van deze overeenkomst, zal Bewerker Verantwoordelijke gedurende 2 maanden in de gelegenheid stellen om alle gegevens, waaronder Persoonsgegevens, die op basis van deze overeenkomst bij Bewerker en of de informatie systemen van Bewerker aanwezig zijn te verplaatsen naar een andere locatie. Bewerker is gerechtigd de daarvoor redelijkerwijs gemaakte kosten in rekening te brengen bij de Verantwoordelijke. Na uiterlijk 12 maanden zal Bewerker alle gegevens, waaronder Persoonsgegevens, die bij haar uit hoofde van deze overeenkomst aanwezig zijn (inclusief alle eventuele kopieën daarvan) verwijderen of vernietigen.

Artikel 8 - Geheimhouding
1. Op alle Persoonsgegevens die Bewerker op basis van deze overeenkomst ontvangt, rust een geheimhoudingsplicht jegens derden. Alle personen in dienst van dan wel werkzaam ten behoeve van Bewerker, alsmede Bewerker zelf, zijn verplicht tot geheimhouding van de Persoonsgegevens.
2. Bewerker zal de Persoonsgegevens niet zonder toestemming van Verantwoordelijke aan derden verstrekken, kopiëren, of anderszins verveelvoudigen of openbaar maken.
3. Als Bewerker een verzoek van een derde ontvangt om inzage in de Persoonsgegevens te verstrekken op grond van een vermeende (wettelijke) verplichting dan zal hij Verantwoordelijke daarover eerst schriftelijk informeren alvorens hij die derde inzage in de Persoonsgegevens verschaft, zodat Verantwoordelijke kan beoordelen of het verzoek van die derde gegrond is.

Artikel 9 - Personen werkzaam onder gezag Bewerker
De verplichtingen van Bewerker die uit deze overeenkomst voortvloeien, gelden ook voor degenen die Persoonsgegevens verwerken onder het gezag van Bewerker, waaronder begrepen, maar niet beperkt tot werknemers.

Artikel 10 - Aansprakelijkheid en Schade
1. Bewerker is aansprakelijk voor schade die Verantwoordelijke lijdt als Bewerker de nadere instructies van Verantwoordelijke, deze overeenkomst, de Wbp of andere toepasselijke wet- en regelgeving op het gebied van privacy en bescherming van Persoonsgegevens niet naleeft.
2. Bewerker is nimmer aansprakelijk voor een bedrag groter dan 50% van het factuurbedrag op basis van deze overeenkomst over de laatste 12 maanden voorafgaand aan de schade veroorzakende gebeurtenis met een maximum van € 10.000. Bewerker is niet aansprakelijk voor welke vervolgschade dan ook door de opdrachtgever en/of derden onmiddellijk of middellijk (gevolgschade) geleden, van materieel of immaterieel karakter, ten gevolge van of in verband met de uitvoering, de niet-uitvoering of de niet-tijdige uitvoering van deze overeenkomst.
3. Bewerker vrijwaart Verantwoordelijke tegen aanspraken van derden voor zover die aanspraken betrekking hebben op de verwerking van Persoonsgegevens en alle andere werkzaamheden die Bewerker uit hoofde van deze overeenkomst voor Opdrachtgever vervult of heeft vervuld.

Artikel 11 - Kosten
De Verantwoordelijke is na voorafgaande aankondiging gerechtigd die maatregelen te treffen die noodzakelijk zijn teneinde te onderzoeken of de Bewerker adequate technische en organisatorische maatregelen heeft getroffen. De kosten die gemoeid zullen zijn met dit onderzoek zijn voor rekening van de Verantwoordelijke.

Artikel 12 - Boetebepaling
Bewerker is een boete verschuldigd aan Verantwoordelijke als hij zich niet houdt aan een bepaling uit deze overeenkomst en dit niet herstelt, nadat hem daarvoor een redelijke termijn van ten minste een maand is gegeven. Deze boete van €100 per dag, met een maximum van € 10.000, is direct opeisbaar en geldt vanaf het moment dat Bewerker in verzuim is.

Artikel 13 - Nietigheid
Wanneer een deel van deze overeenkomst nietig of vernietigbaar is, blijft de overeenkomst overigens in stand. Partijen verplichten zich tot redelijkheid overleg om te komen tot vervangende bepaling welke zoveel mogelijk de inhoud van de nietige of vernietigbare bepaling volgt.

Artikel 14 – Wijzigingen, volledige overeenkomst
1. Deze overeenkomst vervangt alle eerdere overeenkomsten tussen Partijen.
2. Alleen schriftelijk overeengekomen wijzigingen van deze overeenkomst zijn geldig.
3. Deze overeenkomst is de volledige overeenkomst.

Artikel 15 - Toepasselijk recht en bevoegde rechter
Nederlands recht is exclusief van toepassing op deze overeenkomst. Geschillen zullen worden voorgelegd aan de bevoegde rechter te Amsterdam.