Phone icon +31 53 428 0105Email icon info@altstack.eu
open van 9.00-17.00 uur, weekend gesloten
Search icon Start nu direct

Documentation

Verwerkersovereenkomst

Tussen [Klant] en AltStack

Partijen

  • [Klantnaam], gevestigd te [Adres], KvK-nummer: [Kvknummer], hierna te noemen “verantwoordelijke”; en
  • ObSimRef Diensten BV (handelend als AltStack), gevestigd aan de Schipbeekstraat 10 te 7523PS Enschede, KvK-nummer: , hierna te noemen “AltStack”

Overwegen als volgt

  • partijen zijn een overeenkomst aangegaan krachtens welke AltStack (persoons)gegevens van de verantwoordelijke verwerkt zoals bedoeld in artikel 4 lid 1 en 2 AVG, hierna te noemen: ‘de hoofdovereenkomst’
  • partijen zijn op grond van artikel 28 lid 3 AVG gehouden afspraken te maken omtrent het waarborgen van de privacy van persoonsgegevens en vast te leggen in een verwerkersovereenkomst, hierna te noemen: ‘de overeenkomst’
  • partijen zullen elkaar over en weer tijdig alle benodigde informatie verstrekken om een goede naleving van de geldende privacywet- en regelgeving mogelijk te maken
  • de bepalingen van deze overeenkomst gaan vóór alle andere afspraken die tussen partijen gelden ten aanzien van de verwerking van persoonsgegevens, indien en voor zover zij afwijken van hetgeen in deze overeenkomst is vastgelegd

Komen overeen

Artikel 1 - Duur van de overeenkomst

  1. Deze overeenkomst treedt in werking vanaf ondertekening door partijen en eindigt nadat verwerker alle persoonsgegevens waar deze overeenkomst betrekking op heeft, heeft gewist en/of terugbezorgd overeenkomstig het bepaalde in artikel 13.
  2. Deze overeenkomst kan niet tussentijds worden opgezegd.
  3. De bepalingen zoals omschreven in artikel 4 blijven ook na afloop van deze overeenkomst van kracht.

Artikel 2 - Voorwerp van de overeenkomst

De verantwoordelijke heeft voor de uitvoering van de hoofdovereenkomst aan AltStack een opgave verstrekt van:

  • de aard en het doel van de overeengekomen verwerking
  • de categorieën persoonsgegevens die worden verwerkt
  • de categorieën van betrokkenen
  • de categorieën ontvangers/gebruikers van persoonsgegevens

Opgave van deze gegevens worden aangehecht als bijlage bij deze overeenkomst.

Artikel 3 - Het verwerken en gebruik van de persoonsgegevens

  1. De verantwoordelijke bepaalt het doel van de verwerking en welke persoonsgegevens hij hiervoor laat verwerken.
  2. De verantwoordelijke geeft hiertoe schriftelijke instructies aan AltStack.
  3. AltStack gebruikt de verkregen persoonsgegevens alleen voor de doeleinden waarvoor ze zijn verstrekt en uitsluitend volgens de schriftelijke instructies van de verantwoordelijke.
  4. Indien de verantwoordelijke opdracht geeft om de persoonsgegevens te verwerken op een wijze die volgens AltStack in strijd is met de wettelijke verplichtingen, dan informeert laatstgenoemde de verantwoordelijke hieromtrent en overlegt hij met AltStack om tot een oplossing te komen die niet in strijd is met de wettelijke verplichtingen.
  5. AltStack heeft een eigen verantwoordelijkheid om de gegevens niet in strijd met de geldende wet- en regelgeving te verwerken.
  6. AltStack zal de persoonsgegevens niet aan derden verstrekken, tenzij dit gebeurt in opdracht van de verantwoordelijke of wanneer dit noodzakelijk is om te voldoen aan een wettelijke verplichting.
  7. AltStack verwerkt de persoonsgegevens binnen de Europese Economische Ruimte en in de navolgende landen: de Verenigde Staten.

Artikel 4 - Geheimhouding

  1. AltStack treft alle noodzakelijke maatregelen om geheimhouding van de persoonsgegevens van de verantwoordelijke te waarborgen.
  2. De in lid 1 gestelde verplichting geldt niet wanneer de verantwoordelijke voorafgaande schriftelijke toestemming heeft gegeven om de persoonsgegevens aan een derde te verstrekken of wanneer AltStack hiertoe wettelijk verplicht is.
  3. AltStack zal dezelfde geheimhoudingsplicht opleggen aan diens personeel c.q. hiervoor ingeschakelde personen of sub-verwerkers.
  4. Bij overtreding van dit artikel, verbeurt AltStack een onmiddellijk opeisbare boete van € 1.000 per overtreding aan de verantwoordelijke, onverminderd het recht van verantwoordelijke om volledige schadevergoeding te vorderen.

Artikel 5 - Beveiliging

De verantwoordelijke en AltStack zullen beiden passende technische en organisatorische maatregelen treffen, zoals bedoeld in artikel 32 AVG, zodat zij een op het risico afgestemd beveiligingsniveau kunnen waarborgen.
De verantwoordelijke informeert AltStack omtrent de wettelijke betrouwbaarheidseisen die op de verwerking van toepassing zijn aan de hand van de mogelijke gevolgen voor de betrokkenen, zoals in geval van verlies, corruptie of onrechtmatige verwerking en verstrekt daartoe alle benodigde informatie zodat AltStack hieraan kan voldoen.
Indien de verantwoordelijke een hoger beveiligingsniveau wenst dan wettelijk verplicht, kan AltStack hiervoor de redelijke kosten separaat in rekening brengen aan de verantwoordelijke.
AltStack houdt bij het treffen van beveiligingsmaatregelen rekening met de stand van de techniek, de uitvoeringskosten, alsook met de aard, omvang, context, verwerkingsdoeleinden, waarschijnlijkheid en ernst van de uiteenlopende risico's voor de rechten en vrijheden van personen een en ander conform het bepaalde in artikel 28 lid 3 sub f AVG.
Indien de verantwoordelijke een beoordeling wenst uit te voeren van een beoogde verwerkingsactiviteit, verleent AltStack alle redelijke medewerking om deze beoordeling in overeenstemming met de geldende wet- en regelgeving uit te voeren.
AltStack verleent eveneens alle redelijke medewerking aan een voorafgaande raadpleging van de Autoriteit Persoonsgegevens.
Partijen hebben concrete afspraken gemaakt omtrent de voor de uitvoering van deze overeenkomst noodzakelijke technische en organisatorische beveiligingsmaatregelen, welke de verantwoordelijke op dit moment passend acht.
Deze afspraken omvatten ten minste de volgende onderwerpen:
    de betrouwbaarheidseisen
    het overeengekomen beveiligingsniveau (indien van toepassing)
    de maatregelen getroffen door AltStack zodat uitsluitend bevoegd personeel toegang heeft tot de persoonsgegevens
    maatregelen ter bescherming zoals tegen verlies, wijziging, onbevoegde of onrechtmatige verwerking, toegang of openbaarmaking
    de te nemen maatregelen voor het opsporen van zwakke plekken en incidentenbeheer
Partijen zullen de in lid 7 en 8 genoemde afspraken periodiek evalueren en zo nodig aanpassen.
Deze afspraken worden als bijlage bij deze overeenkomst aangehecht.

Artikel 6 - Audit

De verantwoordelijke heeft het recht om jaarlijks op eigen kosten een audit te laten uitvoeren ter controle op de naleving van deze overeenkomst.
AltStack zal aan de in lid 1 genoemde audit alle redelijke medewerking verlenen, zoals het verlenen van toegang tot de databases en het ter beschikking stellen van alle relevante informatie.
AltStack voert de aanbevelingen die uit de audit zijn gekomen in overleg met de verantwoordelijke zo spoedig mogelijk uit.
Indien de aanpassingen als gevolg van lid 3 voortkomen uit gewijzigde inzichten of wetgeving, dan zijn de redelijke kosten voor deze aanpassingen voor de verantwoordelijke.
Indien de aanpassingen als gevolg van lid 3 voortkomen uit een tekortkoming in de nakoming van de overeengekomen beveiligingseisen, dan zijn deze kosten voor AltStack.
Indien de Autoriteit Persoonsgegevens of een andere bevoegde autoriteit een onderzoek wenst uit te voeren, verleent AltStack daartoe alle redelijke medewerking en stelt hij de verantwoordelijke hieromtrent zo snel mogelijk van op de hoogte.

Artikel 7 - Datalek

Indien zich een datalek als bedoeld in artikel 4 sub 12 AVG voordoet informeert AltStack de verantwoordelijke hieromtrent op de wijze zoals verder omschreven in artikel 8.
In geval van een datalek treft AltStack alle redelijke noodzakelijke maatregelen om de gevolgen hiervan te beperken en een nieuw lek te voorkomen.
AltStack verleent de verantwoordelijke alle medewerking die noodzakelijk is om de omvang en gevolgen van het datalek te kunnen beoordelen en te kunnen voldoen aan de eventuele meldplicht datalekken richting de Autoriteit Persoonsgegevens alsook aan de informatieplicht richting betrokkenen.
Partijen hebben hun afspraken over de te volgen procedure in geval van een datalek vastgelegd in een procedure meldplicht datalekken, zoals omschreven in artikel 8. Deze procedure kan worden aangepast indien de stand van de techniek dit verlangt of de regelgeving omtrent de meldplicht datalekken wijzigt.
Indien AltStack nalaat het datalek tijdig te melden conform de procedure meldplicht datalekken zoals bedoeld in artikel 8, is hij een direct opeisbare boete van € 2.500 verschuldigd aan de verantwoordelijke vermeerderd met 2% van dit bedrag per uur dat de melding te laat geschiedt.

Artikel 8 - Procedure meldplicht datalekken

Indien zich een datalek voordoet geldt de volgende procedure:

AltStack registreert alle beveiligingsincidenten op een manier die inzichtelijk is voor de verantwoordelijke
deze registratie omvat ten minste de volgende gegevens: een omschrijving van het incident; het aantal personen dat (bij benadering) getroffen is door het incident; de groep(en) personen getroffen door het incident; de datum en het tijdstip van het incident; de aard van de inbreuk; het type gegevens dat is getroffen; de mogelijke gevolgen van de betrokkenen; de technische en organisatorische maatregelen die zijn getroffen naar aanleiding van het incident; op welke wijze de gelekte gegevens beveiligd zijn; of de gegevens gehasht zijn, ontoegankelijk zijn gemaakt of op afstand kunnen worden gewist c.q. zijn gewist; en of er en zo ja welke gegevens van personen in andere EU-landen zijn getroffen door het datalek
AltStack informeert de verantwoordelijke binnen 24 uur nadat hij kennis heeft gekregen van het incident onder gelijktijdige overhandiging van de registratie ervan, zoals hierboven omschreven AltStack houdt zich de eerste 24 uur nadat hij de verantwoordelijke heeft geïnformeerd omtrent een datalek, continu beschikbaar voor overleg met AltStack c.q. eventuele door AltStack aangewezen experts
de verantwoordelijke overlegt met AltStack om te kunnen beoordelen of het incident dient te worden gemeld bij de Autoriteit Persoonsgegevens
de verantwoordelijke informeert AltStack voorafgaand, wanneer hij besluit het lek te melden bij de Autoriteit Persoonsgegevens
AltStack verleent de verantwoordelijke alle noodzakelijke medewerking zodat deze laatste met inachtneming van de wettelijke vereisten een melding datalek kan doen bij de Autoriteit Persoonsgegevens AltStack verleent alle medewerking aan de verantwoordelijke om de getroffen personen conform artikel 34 AVG te kunnen informeren omtrent het datalek

Artikel 9 - Verzoeken van betrokkenen

Ieder verzoek tot inzage, rectificatie, gegevenswissing, beperking van de verwerking, overdraagbaarheid van gegevens of bezwaar zoals bedoeld in artikelen 15 tot en met 21 AVG dat AltStack bereikt, stuurt hij onverwijld door aan de verantwoordelijke.
AltStack verleent de verantwoordelijke alle redelijke medewerking zodat laatstgenoemde binnen de wettelijke termijnen kan voldoen aan een verzoek zoals bedoeld in lid 1.
De verantwoordelijke zal de redelijke kosten die een dergelijke medewerking met zich meebrengt aan AltStack vergoeden.

Artikel 10 - Subverwerkers

De verantwoordelijke geeft toestemming aan AltStack om bij het verwerken van de persoonsgegevens ten behoeve van de verantwoordelijke gebruik te maken van de diensten van derden (zoals IT leveranciers) die kwalificeren als "subverwerker".
AltStack zal beoogde veranderingen inzake de toevoeging of vervanging van subverwerkers ten minste 30 dagen voordat deze worden ingeschakeld opnemen op het overzicht van subverwerkers. Het overzicht van subverwerkers is op verzoek van de verantwoordelijke beschikbaar.
Indien de verantwoordelijke bezwaar heeft tegen een nieuwe subverwerker dan kan de verantwoordelijke onverminderd enig beëindigingsrecht zijn bezwaar schriftelijk en gemotiveerd kenbaar maken bij AltStack.
AltStack en eventuele subverwerkers zullen de persoonsgegevens uitsluitend verwerken:
    in de Europese Economische Ruimte;
    in landen waarvan de Europese Commissie een positief oordeel heeft gegeven over het beschermingsniveau
    in andere dan voornoemde landen, indien gebruik wordt gemaakt van een door de Europese Commissie goedgekeurd modelcontract voor doorgifte.
Indien en voor zover AltStack bij het verwerken van de persoonsgegevens ten behoeve van de verantwoordelijke een subverwerker wenst in te schakelen, dient zij:
    ervoor te zorgen dat de subverwerker de instructies van de verantwoordelijke zal volgen; en
    een schriftelijke overeenkomst met de subverwerker aan te gaan om te verzekeren dat AltStack deze overeenkomst volledig na kan komen.
    De verantwoordelijke op verzoek te informeren welke subverwerkers zijn betrokken bij het verwerken van de persoonsgegevens ten behoeve van verantwoordelijke.

Artikel 11 - Toegang tot de persoonsgegevens

AltStack zorgt ervoor dat de verantwoordelijke te allen tijde toegang houdt tot de betreffende persoonsgegevens, zelfs in geval van zijn faillissement of surséance van betaling.
Artikel 12 - Aansprakelijkheid en vrijwaring

    AltStack is niet verantwoordelijk voor schade als gevolg van schendingen van enige wet- of regelgeving door de verantwoordelijke.
    De verantwoordelijke vrijwaart AltStack voor aanspraken van derden en door verwerker gemaakte kosten als gevolg van een schending zoals bedoeld in lid 1.
    De verantwoordelijke is niet verantwoordelijk voor schade als gevolg van schendingen van enige wet- of regelgeving door AltStack.
    AltStack vrijwaart de verantwoordelijke voor aanspraken van derden en door verantwoordelijke gemaakte kosten als gevolg van een schending zoals bedoeld in lid 3.
    De andere partij, is in een geval als bedoeld in lid 1 of 3, gerechtigd de hoofdovereenkomst met onmiddellijke ingang op te zeggen.

Artikel 13 - Beëindiging en gevolgen van beëindiging

    Deze overeenkomst eindigt pas nadat de onderliggende opdracht is beëindigd én AltStack alle aan hem verstrekte persoonsgegevens heeft overgedragen aan de verantwoordelijke of aan een door verantwoordelijke voorafgaand schriftelijk aangewezen derde, alsook alle achtergebleven gegevens bij AltStack en diens eventuele sub-verwerkers zijn vernietigd.
    Op verzoek van de verantwoordelijke stelt AltStack de aan hem verstrekte persoonsgegevens ter beschikking in een ander formaat dan waarin ze zijn aangeleverd tegen vergoeding van de redelijke kosten hiervan.
    In plaats van overdraging van de gegevens kan de verantwoordelijke AltStack ook verzoeken om de gegevens te vernietigen.
    Vernietiging van de gegevens zoals bedoeld in lid 3 kan pas plaatsvinden nadat de verantwoordelijke hiervoor voorafgaande schriftelijke toestemming heeft gegeven.
    De bepalingen van artikel 4 blijven echter onverminderd van kracht.

Artikel 14 - Gevolgen van nietigheid of vernietigbaarheid

Indien een deel van de overeenkomst nietig of vernietigbaar is, dan tast dit de overige bepalingen in de overeenkomst niet aan. Een bepaling die nietig of vernietigbaar is, wordt in dat geval vervangen door een bepaling die het dichtst in de buurt komt van wat partijen bij het sluiten van de overeenkomst op dat punt voor ogen hadden.
Artikel 15 - Toepasselijk recht en bevoegde rechter

    Op deze overeenkomst is Nederlands recht van toepassing.
    Alle eventuele geschillen die ontstaan naar aanleiding van deze overeenkomst en die niet in der minne kunnen worden opgelost worden voorgelegd aan de bevoegde rechter van de Rechtbank Overijssel.

Getekend in 2-voud:                                                                    Plaats:                                          Naam , namens de verantwoordelijke   Datum:                                                                        Plaats   Enschede                                       F. Overkamp, namens AltStack   Datum: 18 mei 2018

Breek los van Big Tech!

Laat AltStack je helpen met Big-Tech-vrije IT - Weten wat we voor jou kunnen betekenen?

Neem contact op