Verwerkersovereenkomst – TilliKassa.nl

Partijen

– Klant, hierna te noemen: Verwerkingsverantwoordelijke;
– Tilli Kassa gevestigd aan de Heideblauwtje 2, Nijkerk vertegenwoordigd door de heer M. Paas, hierna te noemen: Verwerker.
– Klant en Tilli Kassa hierna gezamenlijk en individueel te noemen: Partijen respectievelijk Partij.

In aanmerking nemende dat

– Verwerkingsverantwoordelijke is voornemens met Verwerker een Verwerkersovereenkomst overeen te komen voor de levering van diensten welke zijn afgenomen onder kenmerk klantnaam.
– Verantwoordelijke bepaalde vormen van verwerking wil laten verrichten door Verwerker,
– waarbij Verwerkingsverantwoordelijke doel en middelen aanwijst;
– Verwerker zal zorgdragen voor de naleving van de toepasselijke wet- en regelgeving, waaronder in ieder geval begrepen de wet- en regelgeving op het gebied van de bescherming van persoonsgegevens, zoals de Algemene Verordening Gegevensbescherming;
– Partijen hebben de afspraken omtrent de verwerking van persoonsgegevens door Verwerker vastgelegd in onderhavige Verwerkersovereenkomst.

Verklaren te zijn overeengekomen:

Artikel 1 Verwerking persoonsgegevens

1.1 Verwerker zal de persoonsgegevens die aan haar verstrekt worden of anderszins door haar verwerkt worden, uitsluitend verwerken ten behoeve van Verantwoordelijke en enkel in het kader van de uitvoering van de diensten welke zijn afgenomen onder kenmerk klantnaam waarop de bepalingen van deze Verwerkersovereenkomst van toepassing zijn. In het geval van tegenstrijdigheid prevaleren de bepalingen van deze Verwerkersovereenkomst boven de bepalingen van de overeenkomst. Verwerker zal in het kader van de uitvoering van de overeenkomst uitsluitend volgens de instructies en onder de verantwoordelijkheid van Verwerkersverantwoordelijke persoonsgegevens verwerken.

1.2 De door Verwerker te verwerken persoonsgegevens, op welke wijze dan ook verkregen, zijn en blijven eigendom van Verantwoordelijke. Verwerker heeft geen zeggenschap over het doel en middelen van verwerking van persoonsgegevens. Niets in deze Verwerkersovereenkomst is bedoeld om op enigerlei wijze zeggenschap ten aanzien van de persoonsgegevens aan Verwerker over te dragen.

1.3 Het is Verwerker niet toegestaan de persoonsgegevens:
– Voor eigen doeleinden te verwerken;
– Voor andere of verdergaande doeleinden te verwerken dan in de overeenkomst onder kenmerk klantnaam is bepaald;
– Aan derden te verstrekken voor zover dat niet is toegestaan op basis van de overeenkomst en/of op grond van een dwingendrechtelijke bepaling op grond waarvan Verwerker verplicht is persoonsgegevens aan (toezichthoudende of opsporing-) autoriteiten te verstrekken. Indien Verwerker twijfelt of het haar is toegestaan persoonsgegevens aan derden te verstrekken, zal zij, voor zover mogelijk, hierover met Verwerkersverantwoordelijke in overleg treden alvorens over te gaan tot verstrekking.

1.4 Onder verwerking van persoonsgegevens wordt in het kader van deze Verwerkersovereenkomst verstaan elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van persoonsgegevens.

1.5 Verwerker zal Verantwoordelijke, op verzoek daartoe, informeren over de door haar genomen maatregelen aangaande haar verplichtingen onder deze Verwerkersovereenkomst.

Artikel 2 Naleving Wet- en Regelgeving

2.1 Verwerker zal zorg dragen voor de naleving van de toepasselijke (Europese)wet- en regelgeving, waaronder in ieder geval begrepen de wet- en regelgeving op het gebied van de bescherming van persoonsgegevens, zoals de Algemene Verordering Gegevensbescherming;

2.2 Indien toekomstige wet- en regelgeving noopt tot aanpassing van de Verwerkersovereenkomst, zullen Partijen in overleg treden teneinde nieuwe afspraken te maken waarbij de strekking van deze Verwerkersovereenkomst zoveel mogelijk wordt gehandhaafd.

2.3 Verwerker zal eventuele nadere schriftelijke instructies en voorwaarden van Verwerkersverantwoordelijke in het kader van de verwerking van persoonsgegevens steeds nauwgezet volgen.

2.4 Indien en voor zover Verantwoordelijke op grond van wet en regelgeving gehouden is om aan een toezichthoudende autoriteit informatie te verstrekken over het verwerken van persoonsgegevens, dan zal Verwerker tijdig alle redelijke medewerking verlenen, zodat deze informatie beschikbaar komt en de toezichthoudende autoriteit naar behoren kan worden geïnformeerd.

Artikel 3 Geheimhouding en vertrouwelijkheid

3.1 Op alle persoonsgegevens die Verwerker van Verwerkersverantwoordelijke ontvangt en/of zelf verzamelt in het kader van deze Verwerkersovereenkomst, rust een geheimhoudingsplicht jegens derden. Verwerker zal deze informatie niet voor een ander doel gebruiken dan waarvoor hij deze heeft verkregen, zelfs niet wanneer deze in een zodanige vorm is gebracht zodat deze niet tot betrokkenen herleidbaar is.

3.2 De persoonsgegevens mogen alleen toegankelijk zijn voor werknemers van Verwerker of ingeschakelde derden voor wie toegang tot deze gegevens op basis van hun functie en takenpakket noodzakelijk is.

3.3 Alle werknemers van Verwerker en/of ingeschakelde derden die op enige wijze toegang krijgen tot de persoonsgegevens dienen:
– Hiertoe door Verwerker te zijn geautoriseerd;
– Correct en volledig te worden geïnformeerd inzake hun verplichtingen met betrekking tot de rechtmatige verwerking van de persoonsgegevens op basis van de toepasselijke wetgeving en deze Verwerkersovereenkomst, inclusief de verplichting om deze Verwerkersovereenkomst, inclusief de verplichting om de persoonsgegevens te verwerken voor zover vereist voor de correcte uitvoering van de overeenkomst.

3.4 Verwerker is verplicht om:
– Verleende autorisaties tijdig aan te passen in geval van functiewijziging of vertrek van werknemers;
De verleende bevoegdheden alsmede alle mutaties hierop periodiek te evalueren.

3.5 Indien Verwerker op basis van de overeenkomst is toegestaan de persoonsgegevens te verstrekken of anderszins te laten verwerken door derden, dan is Verwerker verplicht om ten aanzien van deze derden de beperkingen en verplichtingen zoals vervat in deze Verwerkersovereenkomst op te leggen, om zo een equivalent beschermingsniveau van de persoonsgegevens te waarborgen.

3.6 De geheimhoudingsplicht als bedoeld in dit artikel is niet van toepassing indien Verwerker op grond van een wettelijke verplichting de informatie aan een derde partij dient te verstrekken of indien het verstrekken van de informatie aan derden logischerwijs noodzakelijk is gezien de aard van de verstrekte opdracht en de uitvoering van deze Verwerkersovereenkomst

3.7 Ook na de beëindiging van deze Verwerkersovereenkomst blijft de in dit artikel bedoelde geheimhoudingsplicht bestaan, behalve voor zover het informatie betreft die reeds publiekelijk bekend is geworden, anders dan ten gevolge van een schending van de voormelde geheimhoudingsplicht.

Artikel 4 Beveiliging

4.1 Verwerker zal te allen tijde passende technische en organisatorische maatregelen treffen om de persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking, waaronder hier tevens wordt verstaan verminking van persoonsgegevens en maatregelen tegen Cyberrisk en Cyberaanvallen. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico’s die de verwerking en de aard van te beschermen gegevens met zich meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen.

4.2 Verwerker heeft in ieder geval de volgende maatregelen genomen:
– Encryptie (versleuteling) van digitale bestanden met persoonsgegevens;
– Beveiliging van netwerkverbindingen via Secure Socket Layer (SSL) technologie;
– Een inbraak werende kluis voor het bewaren van persoonsgegevens.

4.3 Verwerker doet naar vermogen alles aan dat de beveiliging onder alle omstandigheden doeltreffend is. Indien een uitdrukkelijk omschreven beveiliging in de Verwerkersovereenkomst ontbreekt, zal Verwerker zich inspannen dat de beveiliging zal voldoen aan een niveau dat, gelet op de stand van de techniek, de gevoeligheid van de persoonsgegevens en de aan het treffen van de beveiliging verbonden kosten, niet onredelijk is.

4.4 Verwerkingsverantwoordelijke stelt enkel persoonsgegevens aan Verwerker ter beschikking voor verwerking, indien zij zich ervan heeft verzekerd dat de vereiste beveiligingsmaatregelen zijn getroffen. Verwerkingsverantwoordelijke is verantwoordelijk voor de naleving van de door Partijen afgesproken maatregelen.

4.5 Verwerkingsverantwoordelijke heeft het recht om zelfstandig onderzoek (audit) uit te (laten) voeren om de effectieve implementatie en werking van de genoemde maatregelen en normen vast te stellen. Deze audit zal worden uitgevoerd op initiatief van Verantwoordelijke, op rekening van Verantwoordelijke, met uitzondering van de aantoningsplicht van Verwerker als bedoeld in Artikel 4.3 van deze overeenkomst.

Artikel 5 Meldplicht

5.1 Verwerker informeert Verwerkingsverantwoordelijke zodra zij constateert dat persoonsgegevens (mogelijk) zijn blootgesteld aan verlies of onrechtmatige verwerking. Deze informatieverstrekking is zodanig van aard en inhoud dat dit Verwerkingsverantwoordelijke in staat stelt om haar verplichtingen op grond van artikel 34a Wbp en eventuele andere wettelijk meldplichten te kunnen voldoen. Concreet betekent dit, dat Verwerker Verwerkingsverantwoordelijke in staat stelt binnen twee (2) werkdagen de autoriteit persoonsgegevens, inclusief alle verplichte documentatie, op de hoogte te stellen via de daarvoor aangewezen methoden. Zie verder artikel 5.3 van deze Verwerkersovereenkomst.

5.2 Een melding moet altijd worden gedaan.

5.3 Verwerker zal binnen drie (3) uur na constatering van een beveiligingslek en/of een data lek de Verwerkingsverantwoordelijke daarover informeren. De melding bevat in ieder geval:
– Wat de (vermeende) oorzaak is van het lek;
– Wat is het (voor alsnog bekende en/of te verwachten) gevolg;
– Wat is de (voorgestelde) oplossing.

5.4 Verwerker zal Verweringsverantwoordelijke volledig op de hoogte houden over de voortgang van het herstel en alle relevante ontwikkelingen aangaande het beveiligingslek en/of een data lek.

Artikel 6 Afhandeling verzoeken van betrokkenen

6.1 In het geval dat een betrokkene een verzoek tot inzage, zoals bedoeld in artikel 35 Wbp, richt aan Verwerker, zal Verwerker het verzoek zelf afhandelen, zonder verplicht te zijn Verwerkingsverantwoordelijke van de afhandeling op de hoogte te stellen.

6.2 Verwerker mag de kosten voor de afhandeling van het verzoek doorbelasten aan Verwerkingsverantwoordelijke.

Artikel 7 Sub-Verwerkersschap

7.1 Verwerker garandeert dat er in het kader van de uitvoering van de overeenkomst geen persoonsgegevens worden verwerkt buiten de Europese Unie.

7.2 Het is Verwerker alleen na voorafgaande schriftelijke toestemming van Verwerkingsverantwoordelijke om gedurende de looptijd van de overeenkomst delen van de verwerking uit te besteden aan sub-verwerkers en/of onderaannemers.

7.3 Verwerker is verplicht om veranderingen in locaties waar (Persoon)gegevens door Verwerker en/of sub-verwerkers/onderaannemers kunnen worden opgeslagen of verwerkt, schriftelijk door te geven aan Verantwoordelijke.

7.4 Verwerker waarborgt contractueel dat alle sub-Verwerkers/onderaannemers die een rol spelen bij de uitvoering van de overeenkomst de volledige beperkingen en verplichtingen zoals vervat in deze Verwerkersovereenkomst na zullen leven, om zo een equivalent beschermingsniveau van de persoonsgegevens te waarborgen.

7.5 Bij uitbesteding van de verwerking of delen van de verwerking van de persoonsgegevens door Verwerker aan derden blijft Verwerker onverkort verantwoordelijk voor de juiste verwerking van de persoonsgegevens conform de overeenkomst, de Verwerkersovereenkomst, de Wbp en/of andere wet-of regelgeving.

Artikel 8 Aansprakelijkheid

8.1 De aansprakelijkheid van Verwerker voor schade als gevolg van een toerekenbare tekortkoming in de nakoming van de Verwerkersovereenkomst, dan wel uit onrechtmatige daad of anderszins, is per gebeurtenis (een reeks opeenvolgende gebeurtenissen geldt als één (1) gebeurtenis) beperkt tot de vergoeding van de directe schade, tot maximaal het bedrag van de door Verwerker ontvangen vergoedingen voor de werkzaamheden onder deze Verwerkersovereenkomst over de maand voorafgaande aan de schadeveroorzakende gebeurtenis. De aansprakelijkheid van Verwerker voor directe schade zal in totaal nooit meer bedragen dan de bedragen die in de voorafgaande zes maanden in rekening zijn gebracht.

8.2 Onder directe schade wordt uitsluitend verstaan alle schade bestaande uit:
– Schade direct toegebracht aan zaakschade;
– Redelijke en aantoonbare kosten om Verwerker ertoe te manen de Verwerkersovereenkomst (weer) deugdelijk na te komen;
– Redelijke kosten ter vaststelling van de oorzaak en de omvang van de schade voor zover betrekking hebbende op directe schade zoals hier bedoeld is;
– Redelijke en aantoonbare kosten die Verwerkingsverantwoordelijke heeft gemaakt ter voorkoming of beperking van de directe schade zoals in dit artikel bedoeld.

8.3 De aansprakelijkheid van Verwerker voor indirecte schade is uitgesloten. Onder indirecte schade wordt verstaan alle schade die geen directe schade is en daarmee in ieder geval, maar niet beperkt tot, gevolgschade, gederfde winst, gemiste besparingen, verminderde goodwill, schade door bedrijfsstagnatie, schade door het niet bepalen van marketingdoeleinden, schade verband houdende met het gebruik van door Verwerkinsverantwoordelijke voorgeschreven gegevens of databestanden, of verlies, verminking of vernietiging van gegevens of databestanden.

8.4 De in dit artikel bedoelde uitsluitingen en beperkingen komen te vervallen indien en voor zover de schade het gevolg is van opzet of bewuste roekeloosheid van Verwerker of haar bedrijfsleiding.

8.5 Tenzij nakoming door Verwerker blijvend onmogelijk is, ontstaat de aansprakelijkheid van Verwerker wegens toerekenbare tekortkoming in de nakoming van de overeenkomst slechts indien Verwerkingsverantwoordelijke de Verwerker onverwijld schriftelijk in gebreke stelt, waarbij een redelijke termijn voor de zuivering van de tekortkoming wordt gesteld en Verwerker ook na die termijn toerekenbaar blijft tekortschieten in de nakoming van haar verplichtingen. De ingebrekestelling dient een zo volledig en gedetailleerd mogelijke omschrijving van de tekortkoming bevatten, opdat Verwerker in de gelegenheid wordt gesteld adequaat te reageren.

8.6 Iedere vordering tot schadevergoeding door Verantwoordelijke tegen Verwerker die niet gespecificeerd en expliciet is gemeld, vervalt door het enkele verloop van twaalf (12) maanden na het ontstaan van de vordering.

8.7 Verwerker zal zich gedurende de Verwerkersovereenkomst adequaat verzekerd hebben en houden voor aansprakelijkheid conform dit artikel.

8.8 Het is Verwerker toegestaan om de verzekeringspolis van Verweringsverantwoordelijke in te zien ten behoeve van het vaststellen welke schades zijn gedekt en welke niet. Het is aan Verwerker om aanvullende verzekeringen af te sluiten indien gewenst.

Artikel 9 Looptijd Verwerkersovereenkomst en beëindiging

9.1 Deze Verwerkersovereenkomst komt tot stand door ondertekening van Partijen op de datum van ondertekening en wordt aangegaan voor de looptijd van de overeenkomst.

9.2 Indien de overeenkomst wordt beëindigd of eindigt, om welke reden dan ook, blijft onderhavige Verwerkersovereenkomst van kracht zolang er door Verwerker persoonsgegevens worden verwerkt. Na het eindigen van de verwerking van persoonsgegevens door Verwerker eindigt deze Verwerkersovereenkomst van rechtswege.

9.3 Partijen mogen deze Verwerkersovereenkomst alleen wijzigen met wederzijdse instemming.

9.4 Zodra de onderhavige Verwerkersovereenkomst is beëindigd, om welke reden dan ook, zal Verwerker op schriftelijk verzoek van Verwerkingsverantwoordelijke:
– Aan Verwerkingsverantwoordelijke dan wel een door Verwerkingsverantwoordelijke aan te wijzen derde partij alle persoonsgegevens ter beschikking stellen op een wijze en in formaat, door Verwerker aangeleverd, waarmee Verwerkingsverantwoordelijke aan haar eigen verplichtingen op grond van de Wpb kan voldoen. Indien aan deze beschikbaarstelling (extra) kosten zijn verbonden, dan zal Verwerkingsverantwoordelijke deze aan Verwerker vergoeden, mits deze redelijk zijn;
– Per direct de verwerking van de persoonsgegevens staken;
– Alle documenten waarin de persoonsgegevens zijn vastgelegd aan Verwerkingsverantwoordelijke ter beschikking stellen;
– Alle persoonsgegevens die elektronisch zijn opgeslagen permanent van de gegevensdrager verwijderen of, voor zover permanente verwijdering van de gegevensdrager niet mogelijk is, de gegevensdrager vernietigen;
– Aan Verwerkingsverantwoordelijke bevestigen dat Verwerker aan alle verplichtingen uit hoofde van dit artikel heeft voldaan, onder toezending van documentatie waaruit dat blijkt.

Artikel 10 Toepasselijk recht en geschillenbeslechting

10.1 De Verwerkersovereenkomst en de uitvoering daarvan worden beheerst door Nederlands recht.

10.2 Alle geschillen, welke tussen Partijen mochten ontstaan in verband met de Verwerkersovereenkomst, zullen worden voorgelegd aan de bevoegde rechter voor het arrondissement waarin Verwerker gevestigd is.