Deze Verwerkersovereenkomst maakt integraal en onlosmakelijk onderdeel uit van de Overeenkomst. Op deze Verwerkersovereenkomst zijn derhalve ook de Algemene Voorwaarden en de Privacyverklaring van SportIT van toepassing. De Verwerkingsverantwoordelijke wordt de mogelijkheid gegeven om onderstaande overeenkomst met betrekking tot de verwerking van persoonsgegevens aan te gaan met SportIT tijdens de start van de samenwerking. Bij een reeds lopende Overeenkomst gaat SportIT ervan uit dat Verwerkingsverantwoordelijke akkoord is met de Verwerkersovereenkomst.
De Partijen:
- Opdrachtgever
- SportIT V.O.F., gevestigd te Almelo aan de Rijstvogel 4, bij de Kamer van Koophandel ingeschreven onder nummer 81303289
Overwegen het volgende:
a) Partijen zijn een overeenkomst aangegaan op grond waarvan SportIT diensten uitvoert voor De Overeenkomst leidt ertoe dat SportIT in opdracht van Opdrachtgever Persoonsgegevens verwerkt.
b) Partijen wensen, mede gelet op het bepaalde in artikel 28 lid 3 Algemene Verordening Gegevensbescherming, in deze Verwerkersovereenkomst hun wederzijdse rechten en verplichtingen voor de Verwerking van Persoonsgegevens vast te leggen.
Komen het volgende overeen:
Artikel 1. Definities
- AVG: de Algemene Verordening Gegevensbescherming ((Verordening 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG);
- Betrokkene, Verwerker, Derde, Persoonsgegevens, Verwerking van Persoonsgegevens en Verwerkingsverantwoordelijke: de begrippen zoals gedefinieerd in de AVG;
- Datalek: een inbreuk in verband met Persoonsgegevens, zoals bedoeld in artikel 4 sub 12 AVG; 4. Overeenkomst: elke wederzijdse acceptatie die schriftelijk dan wel per E-mail is bevestigd en/of contractuele band tussen Leverancier en Opdrachtgever die gericht is op het verschaffen van Diensten door Leverancier aan Opdrachtgever;
- Partijen: Verwerker en Verwerkingsverantwoordelijke;
- Sub-verwerker: de partij die door Verwerker wordt ingeschakeld als Verwerker ten behoeve van de Verwerking van de Persoonsgegevens in het kader van de Verwerkersovereenkomst en de Overeenkomst;
- Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens: de toepasselijke (Unierechtelijke en lidstaatrechtelijke) wet- en regelgeving en/of (nadere) verdragen, verordeningen, richtlijnen, besluiten, beleidsregels, instructies en/of aanbevelingen van een bevoegde overheidsinstantie betreffende de Verwerking van Persoonsgegevens, tevens omvattende toekomstige wijziging hiervan en/of aanvulling hierop, inclusief lidstaatrechtelijke uitvoeringswetten van de AVG en de Telecommunicatiewet;
- Verwerkersovereenkomst: de onderhavige verwerkersovereenkomst.
Artikel 2. Algemeen
- Verwerker verbindt zich onder de voorwaarden uit deze verwerkersovereenkomst in opdracht van Verwerkersverantwoordelijke Persoonsgegevens te verwerken. Verwerking zal uitsluitend plaatsvinden in het kader van de uitvoering van de Overeenkomst, plus die doeleinden die daarmee redelijkerwijs samenhangen of die met nadere instemming worden bepaald, en uitsluitend op basis van instructies van Verwerkingsverantwoordelijke. Verwerkingsverantwoordelijke zal Verwerker schriftelijk op de hoogte stellen van de verwerkingsdoeleinden voor zover deze niet reeds in de Overeenkomst, Privacyverklaring of deze verwerkersovereenkomst zijn genoemd. 2. Verwerker zal in het kader van de Overeenkomst alle Persoonsgegevens verwerken, die bij het gebruik van de Diensten kunnen worden opgeslagen.
- Verwerker heeft géén zeggenschap over het doel en de middelen voor de verwerking van Persoonsgegevens. Verwerker neemt géén zelfstandige beslissingen over ontvangst en gebruik van de persoonsgegevens, de verstrekking aan derden en de duur van de opslag.
Artikel 3. Rolverdeling
- Opdrachtgever is ten aanzien van de in diens opdracht uit te voeren Verwerkingen van Persoonsgegevens de Verwerkingsverantwoordelijke. SportIT is Verwerker in de zin van de AVG. De Opdrachtgever heeft en houdt zelfstandige zeggenschap over het (het bepalen van) doel en de middelen van de Verwerking van de Persoonsgegevens.
- Partijen verstrekken elkaar over en weer alle benodigde informatie teneinde een goede naleving van de Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens mogelijk te maken.
- Verwerker stelt Verwerkingsverantwoordelijke onmiddellijk op de hoogte indien naar zijn oordeel door Verwerkersverantwoordelijke gegeven instructies in strijd zijn met de Toepasselijke wet- en regelgeving met betrekking tot de verwerking van Persoonsgegevens.
- Voor Partijen zijn de beginselen van gegevensbescherming door ontwerp en gegevensbescherming door standaardinstellingen bij het gebruik, de levering en de (door)ontwikkeling van de onder de Overeenkomst aangeboden Diensten.
Artikel 4. Verdeling van verantwoordelijkheid
- De toegestane verwerkingen zullen onder controle van Verwerker worden uitgevoerd binnen een (semi)geautomatiseerde omgeving.
- Verwerker is louter verantwoordelijk voor de verwerking van de persoonsgegevens onder deze verwerkersovereenkomst, overeenkomstig de schriftelijke instructies van Verwerkersverantwoordelijke en onder uitdrukkelijke (eind) verantwoordelijkheid van Verwerkersverantwoordelijke.
- Voor de overige verwerking van persoonsgegevens, waaronder in ieder geval begrepen de verzameling van de persoonsgegevens door de Verwerkersverantwoordelijke, verwerkingen voor doeleinden die niet door Verwerkersverantwoordelijke aan Verwerker zijn gemeld en/of verwerkingen door derden die zijn ingeschakeld door de Verwerkersverantwoordelijke, is Verwerker uitdrukkelijk niet verantwoordelijk. De verantwoordelijkheid voor deze verwerkingen rust bij de Verwerkersverantwoordelijke.
- Verwerkersverantwoordelijke garandeert dat de inhoud, het gebruik en de opdracht tot de verwerkingen van de persoonsgegevens zoals bedoeld in deze verwerkersovereenkomst, niet onrechtmatig zijn en geen inbreuk maken op enig recht van derden, en vrijwaart Verwerker tegen alle aanspraken en claims die hiermee verband houden.
- In het geval dat voor een nieuwe verwerking onder deze verwerkersovereenkomst een gegevensbescherming-effectbeoordeling of voorafgaande raadpleging van de toezichthouder verplicht is, zal Verwerker, voor zover dat binnen haar macht ligt, hieraan meewerken. Verwerker kan hiervoor redelijke kosten in rekening brengen bij Verwerkersverantwoordelijke. 6. Verwerker zal, indien wettelijk verplicht en noodzakelijk, meewerken aan een eventueel onderzoek door de Autoriteit Persoonsgegevens naar een verwerking onder deze verwerkersovereenkomst. Verwerker kan hiervoor redelijke kosten in rekening brengen bij Verwerkersverantwoordelijke.
- De verplichtingen van Verwerker die uit deze verwerkersovereenkomst voortvloeien, gelden ook voor degenen die persoonsgegevens verwerken onder het gezag van Verwerker, waaronder in ieder geval de werknemers van Verwerker worden verstaan.
Artikel 5. Beveiliging en controle
- Verwerker zal, gelijk de Verwerkingsverantwoordelijke, zorg dragen voor passende technische en organisatorische maatregelen als bedoeld in artikel 32 AVG om Persoonsgegevens te beveiligen en beschermen tegen ongeoorloofde of onrechtmatige Verwerkingen en tegen onopzettelijk verlies, vernietiging of beschadiging.
- Partijen zullen de door hen getroffen informatiebeveiligingsmaatregelen evalueren en verscherpen, aanvullen of verbeteren door zover de eisen of (technologische) ontwikkelingen daartoe aanleiding geven.
- Verwerker stelt Verwerkingsverantwoordelijke in staat om te voldoen aan zijn wettelijke verplichting om toezicht te houden op de naleving van de in artikel 6 genoemde verplichtingen ten aanzien van Datalekken.
- In aanvulling op de voorgaande leden heeft Verwerkingsverantwoordelijke te allen tijde het recht om, in overleg met Verwerker en met inachtneming van een redelijke termijn, de naleving van Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens, de Overeenkomst en deze Verwerkersovereenkomst, waaronder de door Verwerker genomen technische en organisatorische beveiligingsmaatregelen, te (doen) controleren. Verwerker zal de hier bedoelde audit alsmede eventuele inspecties, op kosten van Verwerkingsverantwoordelijke, mogelijk maken en eraan bijdragen.
- Verwerkingsverantwoordelijke wordt geïnformeerd over de uitkomst van deze audit.
Artikel 6. Datalekken
- Partijen hebben een passend beleid voor de omgang met Datalekken.
- Indien Verwerkingsverantwoordelijke dan wel Verwerker een Datalek vaststelt, dan zal deze de andere Partij daarover zonder onredelijke vertraging (zo mogelijk uiterlijk binnen 72 uur na het vaststellen van het Datalek) informeren zodra hij kennis heeft genomen van dat Datalek. Verwerker verstrekt ingeval van een Datalek alle relevante informatie aan Opdrachtgever met betrekking tot het Datalek, waaronder informatie over eventuele ontwikkelingen rond het Datalek, en de maatregelen die de Verwerker treft om aan zijn kant de gevolgen van het Datalek te beperken en herhaling te voorkomen.
- Verwerker informeert Verwerkingsverantwoordelijke indien een vermoeden bestaat dat een Datalek waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen zoals bedoeld in artikel 34 lid 1 AVG.
- Verwerker stelt bij een Datalek de Verwerkingsverantwoordelijke in staat om passende vervolgstappen te (laten) nemen ten aanzien van het Datalek. Verwerker dient hierbij aansluiting te zoeken bij de bestaande processen die Verwerkingsverantwoordelijke daartoe heeft ingericht. Partijen nemen zo spoedig mogelijk alle redelijkerwijs benodigde maatregelen om (verdere) schending of inbreuken betreffende de Verwerking de Persoonsgegevens, en meer in het bijzonder (verdere) schendingen van de Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens, te voorkomen of te beperken.
- In geval van een Datalek, voldoet Verwerkingsverantwoordelijke aan eventuele wettelijke meldingsplichten. In geval een Datalek bij Verwerker meerdere van zijn Verwerkingsverantwoordelijke in gelijke mate treft, kan Verwerker ten behoeve van de Verwerkingsverantwoordelijke na overleg een melding doen van het Datalek aan de Autoriteit Persoonsgegevens.
- In geval van het Datalek waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen, zal de Verwerkingsverantwoordelijke de Betrokkenen informeren over het Datalek.
- Partijen zullen te goeder trouw in onderling overleg afspraken maken over de redelijke verdeling van de eventuele kosten die verbonden zijn aan het voldoen aan de meldingsplichten. 8. Partijen documenteren alle Datalekken in een (incidenten)register, met inbegrip van de feiten omtrent de inbreuk in verband met Persoonsgegevens, de gevolgen daarvan en de genomen corrigerende maatregelen.
Artikel 7. Bijstand
- Verwerker verleent Verwerkingsverantwoordelijke, op kosten van Verwerkingsverantwoordelijke, bijstand bij het doen nakomen van de op Verwerkingsverantwoordelijke rustende verplichtingen op grond van de AVG en andere Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens, zoals met betrekking - maar niet beperkt - tot:
a) het - voor zover redelijkerwijs mogelijk- vervullen van de plicht van Verwerkingsverantwoordelijke om aan verzoeken van de in hoofdstuk III van de AVG vastgelegde rechten van de betrokkene binnen de wettelijke termijnen te voldoen, zoals een verzoek om inzage, verbetering, aanvulling, verwijdering of afscherming van Persoonsgegevens;
b) het uitvoeren van controles en audits zoals bedoeld in artikel 5 van deze Verwerkersovereenkomst;
c) het uitvoeren van een gegevensbescherming-effectbeoordeling (DPIA) en een eventuele daaruit voortkomende verplichte voorafgaande raadpleging van de Autoriteit Persoonsgegevens;
d) het voldoen aan verzoeken van de Autoriteit Persoonsgegevens of een andere overheidsinstantie;
e) het voorbereiden, beoordelen en melden van Datalekken zoals bedoeld in artikel 6 van deze Verwerkersovereenkomst.
- Een klacht of verzoek van een Betrokkene of een verzoek of onderzoek van de Autoriteit Persoonsgegevens met betrekking tot de Verwerking van de Persoonsgegevens, wordt door Verwerker, voor zover wettelijk is toegestaan, onverwijld doorgestuurd naar Verwerkingsverantwoordelijke, die verantwoordelijk is voor de afhandeling van het verzoek.
Artikel 8. Sub verwerker
- Verwerkingsverantwoordelijke geeft Verwerker door ondertekening van deze Verwerkersovereenkomst toestemming tot het inschakelen van Sub-verwerkers, met inachtneming van de daarvoor toepasselijke privacywetgeving.
- Tijdens de duur van de Verwerkersovereenkomst licht Verwerker Verwerkingsverantwoordelijke in over een voorgenomen toevoeging van een nieuwe Sub-verwerker of wijziging in de samenstelling van de bestaande Sub-verwerkers, waarbij Verwerkingsverantwoordelijke de mogelijkheid wordt geboden tegen deze veranderingen bezwaar te maken.
- Verwerker zorgt er in ieder geval voor dat sub-verwerkers
Artikel 9. Doorgifte aan derde landen buiten de Europese Economische Ruimte
- Verwerker is uitsluitend gerechtigd tot doorgifte van Persoonsgegevens aan een derde land of internationale organisatie indien Verwerkingsverantwoordelijke daarvoor specifieke Schriftelijke toestemming heeft gegeven, tenzij een door Verwerker van toepassing zijnde Unierechterlijke of lidstaadrechterlijke bepaling Verwerker tot die doorgifte verplicht. In dat geval stelt Verwerker Verwerkingsverantwoordelijke voorafgaand aan de doorgifte schriftelijk dan wel per e-mail op de hoogte van deze bepaling, tenzij die wetgeving deze kennisgeving om gewichtige redenen van algemeen belang verbiedt.
- Indien na toestemming van Verwerkingsverantwoordelijke Persoonsgegevens worden doorgegeven aan derde landen buiten de Europese Economische Ruimte of aan een internationale organisatie zoals bedoeld in artikel 4 lid 26 AVG, dan zien Partijen erop toe dat dit alleen plaatsvindt conform wettelijke voorschriften en eventuele verplichtingen die in dit verband op Opdrachtgever rusten.
Artikel 10. Aansprakelijkheid
- Verwerker is aansprakelijk voor schade die Opdrachtgever lijdt als gevolg van een toerekenbare tekortkoming van Verwerker ten aanzien van een specifiek tot een Verwerker gerichte verplichting uit hoofde van deze Verwerkersovereenkomst of de AVG.
- Verwerkingsverantwoordelijke is aansprakelijk voor alle schade die Verwerker lijdt als gevolg van een toerekenbare tekortkoming van Verwerkingsverantwoordelijke ten aanzien van een specifiek tot een Verwerkingsverantwoordelijke gerichte verplichting uit hoofde van deze Verwerkersovereenkomst.
- Wanneer de Verwerkingsverantwoordelijke of Verwerker de schade overeenkomstig in dit artikel heeft vergoed, kan - indien de andere partij (mede) aansprakelijk is voor deze schade - de Verwerkingsverantwoordelijke of Verwerker de schade pro rata (dat wil zeggen in de verhouding van ieders deels van de aansprakelijkheid voor de schade) verhalen op de andere partij.
- Iedere partij is verplicht de andere partij zonder onnodige vertraging op de hoogte te stellen van een (mogelijke) aansprakelijkstelling door een derde of het (mogelijk) opleggen van een boete door de toezichthouder. Iedere partij is in redelijkheid verplicht de andere partij informatie te verstrekken en of ondersteuning te verlenen ten behoeve van het voeren van verweer tegen een (mogelijke) aansprakelijkstelling of boete, zoals bedoeld in de vorige volzin.
- Enige beperking of uitsluiting van aansprakelijkheid van een partij in de Overeenkomst of de algemene voorwaarden van Verwerker, geldt ook ten aanzien van het bepaalde in dit artikel.
Artikel 11. Tegenstrijdigheid en wijziging Verwerkersovereenkomst
- In het geval van tegenstrijdigheid tussen de bepalingen uit deze Verwerkersovereenkomst en de bepalingen van de Overeenkomst, dan zullen de bepaling van deze Verwerkersovereenkomst leidend zijn.
- Bij belangrijke wijzigingen in het product en/of de (aanvullende) diensten die van invloed zijn op de Verwerking van de Persoonsgegevens wordt de Opdrachtgever in begrijpelijke taal geïnformeerd over de consequenties van deze wijzigingen. Onder belangrijke wijzigingen wordt in ieder geval verstaan: de toevoeging of wijziging van een functionaliteit die leidt tot een uitbreiding ten aanzien van de te Verwerken Persoonsgegevens en de doeleinden waaronder de Persoonsgegevens worden Verwerkt.
- Wijzigingen in de artikelen van de Verwerkersovereenkomst kunnen uitsluitend in gezamenlijkheid worden overeengekomen.
- In het geval enige bepaling van deze Verwerkersovereenkomst nietig, vernietigbaar of anderszins niet afdwingbaar is of wordt, blijven de overige bepaling van deze Verwerkersovereenkomst volledig van kracht. Partijen zullen in dat geval met elkaar in overleg treden om nietige, vernietigbare of anderszins niet afdwingbare bepaling te vervangen door een uitvoerbare alternatieve bepaling. Daarbij zullen partijen zoveel mogelijk rekening houden met het doel en de strekking van de nietige, vernietigde of anderszins niet afdwingbare bepaling.
Artikel 12. Duur en beëindiging
- De looptijd van deze Verwerkersovereenkomst is gelijk aan de looptijd van de tussen Partijen gesloten Overeenkomst, inclusief eventuele verlenging daarvan.
- Deze Verwerkersovereenkomst eindigt van rechtswege bij de beëindiging van de Overeenkomst. De beëindiging van deze Verwerkersovereenkomst zal Partijen niet ontslaan van hun verplichtingen die voortvloeien uit deze Verwerkersovereenkomst die naar hun aard worden geacht ook na beëindiging voort te duren.
Artikel 13. Overig
- Op deze overeenkomst is het Nederlandse recht van toepassing
- De Nederlandse rechter in het arrondissement waar Verwerker is gevestigd / praktijk houdt / kantoor houdt is exclusief bevoegd om kennis te nemen van eventuele geschillen tussen partijen, tenzij de wet dwingend anders voorschrijft.
- Iedere partij is slecht gerechtigd haar rechten en verplichtingen uit de overeenkomst over te dragen aan een derde met voorafgaande schriftelijke toestemming van de partij.