Verwerkersovereenkomst

Partijen:

1. Klant van Buckles, hierna te noemen “Verwerkingsverantwoordelijke”;

en

2. Buckles B.V., gevestigd aan de Flemingweg 18s (2408 AV) te Alphen aan den Rijn, hierna te noemen “Verwerker

hierna gezamenlijk te noemen: ‘Partijen’,

Overwegende dat:

  1. Verwerkingsverantwoordelijke en Verwerker een overeenkomst hebben gesloten op moment van registratie op het online platform van Buckles, dit en geldende Algemene Voorwaarden hierna de “Overeenkomst” genoemd. In het kader van de uitvoering van de Overeenkomst verleent Verwerker diensten aan Verwerkingsverantwoordelijke.
  2. Verwerker in het kader de uitvoering van de Overeenkomst ook Persoonsgegevens verwerkt voor Verwerkingsverantwoordelijke.
  3. Dat partijen wettelijk verplicht zijn afspraken te maken en vast te leggen met betrekking tot de verwerking van Persoonsgegevens door Verwerker.
  4. De bepalingen van deze Verwerkersovereenkomst vóór gaan op alle andere afspraken die tussen Partijen gelden en betrekking hebben op de verwerking van Persoonsgegevens door Verwerker voor Verwerkingsverantwoordelijke.
  5. Verwerker software services levert ten behoeve van Verwerkingsverantwoordelijke.
  6. Verwerkingsverantwoordelijke ten aanzien van de verwerking van persoonsgegevens als Verwerkingsverantwoordelijke in de zin van artikel 4 sub 7 van de Algemene Verordening Gegevensbescherming (hierna te noemen: “AVG”) is aan te merken.
  7. Verwerker ten aanzien van de software development services als verwerker in de zin van artikel 4 sub 8 AVG is aan te merken.
  8. Partijen in deze Verwerkersovereenkomst, zoals bedoeld in artikel 28 lid 3 AVG, hun afspraken over de Verwerking van Persoonsgegevens vast leggen die van toepassing zijn op hun relatie in verband met de genoemde activiteiten in opdracht en ten behoeve van Verwerkingsverantwoordelijke.

Komen als volgt overeen:

1. Definities en betekenis

1.1 Naast de wettelijke definities hebben de volgende termen de volgende betekenis:

“AP”

Autoriteit Persoonsgegevens, ook College Bescherming Persoonsgegevens voorheen genoemd, de toezichthoudende autoriteit voor de naleving van de geldende privacywetgeving;

“AVG”

Algemene Verordening Gegevensbescherming, voluit: Verordening (EU) 2016/679 van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG;

“Betrokkene”

De natuurlijke persoon waarop de Persoonsgegevens die Verwerker verwerkt voor Verwerkingsverantwoordelijke en/of haar opdrachtgevers in het kader van de uitvoering van de Overeenkomst betrekking hebben;

“Beveiligings-

incident”

Een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte Persoonsgegevens;

“Verwerkers-

overeenkomst”

De onderhavige overeenkomst inclusief alle bijlagen die onlosmakelijk hieraan zijn verbonden;

“Bijlage”

Iedere bijlage bij deze Verwerkersovereenkomst, welke een onlosmakelijk deel daarvan uitmaakt;

"Derde"

Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan, niet zijnde de Betrokkene, noch de Verwerkingsverantwoordelijke, noch de Verwerker, noch de personen die onder rechtstreeks gezag van de Verwerkingsverantwoordelijke of de Verwerker gemachtigd zijn om de Persoonsgegevens te verwerken;

“Diensten”

Alle diensten die Verwerker aan Verwerkingsverantwoordelijke verleent, zoals omschreven in de Overeenkomst;

“EER”

Europese Economische Ruimte;

“Persoonsgegevens”

Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon, als bedoeld in artikel 4 sub 1 AVG, die Verwerker ontvangt van of verwerkt voor Verwerkingsverantwoordelijke in het kader van de uitvoering van de Overeenkomst;

“Sub-verwerker”

Een partij die door Verwerker wordt ingeschakeld voor de uitvoering van de Overeenkomst en de daarbij horende verwerking van Persoonsgegevens;

“Wbp”

Wet bescherming persoonsgegevens (geldig tot 25 mei 2018);

“Verwerken”

Elke handeling of elk geheel van handelingen met betrekking tot Persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens, als bedoeld in artikel 4 sub 2 AVG;


2. Algemeen

2.1 Verwerkingsverantwoordelijke wordt ten aanzien van de Persoonsgegevens beschouwd als Verantwoordelijke in de zin van de Wbp en Verwerkingsverantwoordelijke in de zin van de AVG. Verwerker is Bewerker in de zin van de Wbp en Verwerker in de zin van de AVG.

2.2 Verwerker en Verwerkingsverantwoordelijke verstrekken elkaar over en weer tijdig alle benodigde informatie om een goede naleving van de geldende privacywet- en regelgeving mogelijk te maken.

3. Verwerken van persoonsgegevens

3.1 Verwerkingsverantwoordelijke zal de Persoonsgegevens in overeenstemming met de geldende wet- en regelgeving verwerken. Verwerker zal de Persoonsgegevens niet voor andere doeleinden of op andere wijze gebruiken dan voor het doel waarvoor de Persoonsgegevens zijn verstrekt of haar bekend zijn geworden.

3.2 Verwerker zal de Persoonsgegevens uitsluitend verwerken op basis van de schriftelijke instructies van Verwerkingsverantwoordelijke in het kader van de uitvoering van de Overeenkomst en de verleende Diensten, dan wel in verband met een wettelijke verplichting.

3.3 Verwerker zal de Persoonsgegevens niet aan een Derde verstrekken, tenzij deze uitwisseling plaatsvindt in opdracht van Verwerkingsverantwoordelijke in het kader van de uitvoering van de Overeenkomst of wanneer dit noodzakelijk is om te voldoen aan een wettelijke verplichting.

4. Geheimhouding

4.1 Verwerker houdt de Persoonsgegevens die zij verwerkt in het kader van de uitvoering van de Overeenkomst geheim en zal alle nodige maatregelen treffen om geheimhouding van de Persoonsgegevens te verzekeren. Verwerker zal de verplichting tot geheimhouding tevens opleggen aan haar personeel en alle door haar ingeschakelde personen.

4.2 De in dit artikel bedoelde geheimhoudingsplicht geldt niet indien Verwerkingsverantwoordelijke uitdrukkelijk schriftelijk toestemming heeft gegeven om de Persoonsgegevens aan een Derde te verstrekken, of een wettelijke verplichting bestaat om de Persoonsgegevens aan een Derde te verstrekken.

5. Beveiliging persoonsgegevens

5.1 Verwerkingsverantwoordelijke zal in overeenstemming met de geldende wettelijke regels de beveiliging van de Persoonsgegevens waarborgen en daartoe passende technische en organisatorische maatregelen treffen.

5.2 Verwerker zal in overeenstemming met de geldende wettelijke regels technische en organisatorische maatregelen treffen, in stand houden en zo nodig aanpassen om een op het risico afgestemd beveiligingsniveau te waarborgen.

5.3 Verwerker zal bij het treffen van beveiligingsmaatregelen rekening houden met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van personen.

5.4 Indien Verwerkingsverantwoordelijke een beoordeling wenst uit te voeren van een beoogde verwerkingsactiviteit in het kader van de uitvoering van de Overeenkomst zal Verwerker alle redelijke medewerking verlenen om deze beoordeling in overeenstemming met de geldende wet- en regelgeving uit te kunnen voeren. Tevens zal Verwerker alle redelijke medewerking verlenen indien een voorafgaande raadpleging van de AP nodig is op grond van de geldende privacywetgeving. Verwerkingsverantwoordelijke zal Verwerker de in dit kader gemaakte redelijke kosten vergoeden.

5.5 Op de pagina Data Security zijn de afspraken tussen Partijen vastgelegd over de concrete technische en organisatorische beveiligingsmaatregelen die Verwerker treft. Deze maatregelen worden periodiek geëvalueerd en indien nodig aangepast. Verwerkingsverantwoordelijke erkent dat zij deze maatregelen voldoende acht voor een passende beveiliging van de Persoonsgegevens in overeenstemming met de geldende wettelijke verplichtingen.

6. Controle en Medewerking

6.1 Verwerkingsverantwoordelijke heeft het recht om maximaal éénmaal per jaar op eigen kosten door onafhankelijke deskundigen een audit te laten uitvoeren inzake de verwerking van Persoonsgegevens door Verwerker ter controle op de naleving van deze Verwerkersovereenkomst. Verwerker zal alle redelijke medewerking verlenen aan een audit, waaronder het verlenen van toegang tot gebouwen en databases en het ter beschikking stellen van alle relevante informatie, waarbij Verwerkingsverantwoordelijke zich zal confirmeren aan een schriftelijke geheimhoudingsovereenkomst.

6.2 Verwerker zal in overleg met Verwerkingsverantwoordelijke de aanbevelingen ter verbetering van de onafhankelijke deskundigen zo spoedig mogelijk uitvoeren. Indien de aanpassingen het gevolg zijn van gewijzigde inzichten of wetgeving dan zal Verantwoordelijke de redelijke kosten voor deze aanpassingen vergoeden. Indien de aanpassingen het gevolg zijn van een tekortkoming in de nakoming van de beveiligingseisen uit de Verwerkingsovereenkomst dan zal Verwerker deze kosten voor eigen rekening nemen.

6.3 In geval van een onderzoek door de AP of een andere bevoegde autoriteit zal Verwerker alle redelijke medewerking verlenen en Verwerkingsverantwoordelijke zo snel mogelijk informeren. Partijen zullen met elkaar in overleg treden over de wijze van optreden en de verdeling van de kosten.

6.4 Verwerker zal op verzoek van Verwerkingsverantwoordelijke medewerking verlenen aan een Data Privacy Impact Assessment van Verwerkingsverantwoordelijke, tegen redelijke vergoeding van de door Verwerker te maken en nog te maken kosten.

7. Beveiligingsincidenten

7.1 Verwerker is gehouden om de Verwerkingsverantwoordelijke direct, uiterlijk binnen 24 uur na ontdekking, volledig te informeren over een (mogelijke) datalek. Deze melding zal
plaatsvinden per e-mail (zonodig voorafgaand door telefonisch contact), via het door de
Verwerkingsverantwoordelijke aan Verwerker gecommuniceerde emailadres.

7.2 Bij het doen van de melding als genoemd in artikel 7.1 informeert de Verwerker de
Verwerkingsverantwoordelijke in ieder geval over: welke Persoonsgegevens betrokken zijn
bij het mogelijke datalek, welke personen hierbij betrokken zijn, wat de oorzaak is en op
welk tijdstip het datalek zich heeft voorgedaan, alsook over alle overige relevante
informatie.

7.3. De Verwerkingsverantwoordelijke zal vervolgens zonodig melding doen bij de APs en/of de Betrokkene.

7.4. Partijen zijn gehouden elkaar volledig en continu te informeren over eventuele nieuwe
ontwikkelingen met betrekking tot een datalek.


8. Verzoeken van betrokkenen

8.1 Indien Verwerker een verzoek of bezwaar van een Betrokkene ontvangt, zoals een verzoek om informatie, inzage, rectificatie, gegevenswisseling, verwerkingsbeperking, overdracht van de Persoonsgegevens, stuurt Verwerker dat verzoek onmiddellijk, uiterlijk binnen twee dagen, door naar Verwerkingsverantwoordelijke.

8.2 Verwerker verleent Verwerkingsverantwoordelijke alle redelijke medewerking om ervoor te zorgen dat Verwerkingsverantwoordelijke binnen de wettelijke termijnen kan voldoen aan de verplichtingen op grond van de geldende wet- en regelgeving. De redelijke kosten voor deze medewerking zullen door Verwerkingsverantwoordelijke aan Verwerker worden vergoed.

9. Sub-verwerkers

9.1 Verwerker maakt gebruik van sub-verwerkers voor hun dienstverlening. Een actuele lijst van sub-verwerkers is hier inzichtelijk. Verwerker heeft bij de verwerking van de Persoonsgegevens de mogelijkheid om, met schriftelijke toestemming van Verwerkingsverantwoordelijke, additionele Sub-verwerkers in te schakelen. Verwerkingsverantwoordelijke zal een redelijk verzoek om toestemming niet onthouden.

9.2 Verwerker zal met de door haar ingeschakelde Sub-verwerkers een overeenkomst sluiten die in overeenstemming is met de relevante wet- en regelgeving en deze Verwerkersovereenkomst. Verwerker zal in ieder geval iedere Sub-Verwerker contractueel de geheimhoudingsverplichtingen, meldingsverplichtingen en beveiligingsmaatregelen na laten leven met betrekking tot de verwerking van de Persoonsgegevens.

10. Toegang tot persoonsgegevens

10.1 De zeggenschap over de Persoonsgegevens blijft volledig berusten bij Verwerkingsverantwoordelijke. Op verzoek van Verwerkingsverantwoordelijke en tegen vergoeding van de redelijke kosten zal Verwerker alle of een gedeelte van de Persoonsgegevens in gangbaar formaat ter beschikking stellen aan Verwerkingsverantwoordelijke.

10.2 Verwerker zal ervoor zorgdragen dat Verwerkingsverantwoordelijke te allen tijde toegang behoudt tot de Persoonsgegevens en zal in geval van een geschil tussen Partijen deze toegang niet blokkeren. Verwerker zal maatregelen treffen om ervoor te zorgen dat Verwerkingsverantwoordelijke ook in geval van faillissement of surséance van betaling van Verwerker toegang blijft houden tot de Persoonsgegevens.

11. Aansprakelijkheid en vrijwaring

11.1 Indien een Partij tekortschiet in de nakoming van de Verwerkersovereenkomst is deze Partij aansprakelijk voor de schade en kosten die de andere Partij daardoor lijdt of heeft geleden.

11.2 Verwerker vrijwaart Verwerkingsverantwoordelijke voor boetes en/of dwangsommen van of namens de AP en/of andere bevoegde autoriteiten die aan Verwerkingsverantwoordelijke worden opgelegd en waarbij vast is komen te staan dat deze zijn toe te schrijven aan overtredingen van de geldende privacywetgeving door Verwerker met in achtneming van de genoemde beperkingen in artikel 11.1. Om een beroep te kunnen doen op deze vrijwaring is Verwerkingsverantwoordelijke gehouden om:

  1. Verwerker terstond op de hoogte te brengen van enig onderzoek of andere aanleiding die zou kunnen leiden tot een voornemen van een toezichthouder tot het opleggen van een boete of last onder dwangsom,
  2. in samenspraak met Verwerker te handelen en te communiceren richting de toezichthouder én
  3. tegen opgelegde boetes in bezwaar en/of beroep te gaan indien daar redelijkerwijs aanleiding voor is.

11.3 Verwerkingsverantwoordelijke vrijwaart Verwerker voor boetes en/of dwangsommen van of namens de AP en/of andere bevoegde autoriteiten die aan Verwerker worden opgelegd en waarbij vast is komen te staan dat deze zijn toe te schrijven aan overtredingen van de geldende privacywetgeving door Verwerkingsverantwoordelijke. Om een beroep te kunnen doen op deze vrijwaring is Verwerker gehouden om:

  1. Verwerkingsverantwoordelijke terstond op de hoogte te brengen van enig onderzoek of andere aanleiding die zou kunnen leiden tot een voornemen van een toezichthouder tot het opleggen van een boete of last onder dwangsom,
  2. in samenspraak met Verwerkingsverantwoordelijke te handelen en te communiceren richting de toezichthouder én
  3. tegen opgelegde boetes in bezwaar en/of beroep te gaan indien Verwerkingsverantwoordelijke daar redelijkerwijs aanleiding voor is.

11.4 De aansprakelijkheidsbeperking zoals Overeengekomen in de Overeenkomst blijft - onverminderd het vorenstaande - onverkort van kracht.

12. Duur en beëindiging

12.1 Deze Verwerkersovereenkomst treedt in werking op datum van registratie bij Buckles en eindigt van rechtswege bij beëindiging van deze Overeenkomst. Verplichtingen met een duurkarakter blijven tussen partijen in stand, zoals de geheimhoudingsverplichting uit artikel 4 van de Verwerkersovereenkomst.

12.2 Verwerker zal bij beëindiging van de Overeenkomst op verzoek van Verwerkingsverantwoordelijke en tegen vergoeding van de redelijke kosten de Persoonsgegevens in een gangbaar formaat ter beschikking stellen aan Verwerkingsverantwoordelijke of aan een door Verwerkingsverantwoordelijke aangewezen Derde.

12.3 Verwerker zal op schriftelijk verzoek zorgen voor overdracht van de Persoonsgegevens aan Verwerkingsverantwoordelijke alsmede de nog aanwezige Persoonsgegevens vernietigen, tenzij een langere opslag wettelijk verplicht is. Verwerker zal tevens zorgdragen voor vernietiging van de Persoonsgegevens bij de Sub-Verwerkers.

13. Wijziging verwerkersovereenkomst en rangorde

13.1 Bij wijzigingen in de Diensten, regelgeving of andere relevante omstandigheden die van invloed zijn op de verwerking van de Persoonsgegevens, zullen Partijen in overleg treden over een eventueel benodigde wijziging van de Verwerkersovereenkomst. De wijzigingen in de tekst van deze Verwerkersovereenkomst kunnen uitsluitend schriftelijk door de bevoegde vertegenwoordigers van Partijen worden overeengekomen.

13.2 Deze Verwerkersovereenkomst maakt onlosmakelijk deel uit van de gesloten Overeenkomst tussen partijen, zoals genoemd onder sub A van deze Verwerkersovereenkomst, en gaat zoals vermeld in sub D van deze Verwerkersovereenkomst vóór op alle andere afspraken die tussen Partijen gelden en betrekking hebben op de verwerking van Persoonsgegevens door Verwerker voor Verwerkingsverantwoordelijke.

14. Toepasselijk recht

14.1 Op deze Verwerkersovereenkomst is uitsluitend Nederlands recht van toepassing.

14.2 Alle geschillen die ontstaan naar aanleiding van deze Verwerkersovereenkomst worden beslecht op dezelfde wijze als opgenomen in de Overeenkomst.

CTA Section Buckles Side Pattern
CTA Section Buckles Email Illustration

Krijg overzicht over je orders

Maak direct een account aan via Buckles, en ga aan de slag.