De ondergetekenden

UC Systems, hierna te noemen “Verwerker”, gevestigd te Hardinxveld-Giessendam aan het Kade 64 (3371EP), vertegenwoordigd door directeur, de heer M. Roelofs.
en
[Bedrijfsnaam], hierna te noemen “Verwerkingsverantwoordelijke”, gevestigd te [Plaats] aan [Straatnaam] [Huisnummer], ([Postcode]), vertegenwoordigd door de heer [Contactpersoon],

hierna gezamenlijk te noemen ’Partijen’;

In aanmerking nemende dat:

A. dat Partijen een overeenkomst hebben gesloten met betrekking tot
“[Cijfer van dienst X]” (voor omschrijving zie bijlage – Dienstenoverzicht) ,
ingaande op 8 mei 2018, hierna te noemen: “Overeenkomst”;

B. dat Verwerker in het kader van de uitvoering van de Overeenkomst toegang heeft tot persoonsgegevens, in de zin van de Algemene verordening gegevensbescherming (AVG), van Verwerkingsverantwoordelijke en/of van klanten van Verwerkingsverantwoordelijke (hierna “Persoonsgegevens”), al dan niet met de opdracht om deze persoonsgegevens te verwerken;

C. dat uitsluitend Verwerkingsverantwoordelijke het doel van en de middelen voor de verwerking van Persoonsgegevens vaststelt en Verwerker hierop geen invloed heeft;

D. dat Partijen zich met betrekking tot de verwerking van Persoonsgegevens conform artikel 14 Wbp en/of Europese verordeningen en richtlijnen ten aanzien van bescherming van Persoonsgegevens overeenkomen om daarbij de bepalingen van deze verwerkersovereenkomst in acht te nemen;

E. dat Verwerker bij toegang tot Persoonsgegevens zowel de nationale en internationale wet- en regelgeving als de bepalingen van deze verwerkersovereenkomst in acht zal nemen.

Komen overeen als in dit document bepaald

1. Begrippen

1.1 Betrokkene: degene op wie een Persoonsgegeven betrekking heeft.
1.2 Datalek: een inbreuk op de beveiliging van Persoonsgegevens die ernstige nadelige gevolgen heeft voor de bescherming van Persoonsgegevens.
1.3 Personeel: de door Partijen voor de uitvoering van deze Verwerkersovereenkomst in te schakelen personen, welke onder hun verantwoordelijkheid zullen werken.
1.4 Persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. Ook (herleidbare) gepseudonimiseerde Persoonsgegevens vallen onder dit begrip.
1.5 Subverwerker: derde die door Verwerker wordt ingeschakeld om ten behoeve van Verwerker Persoonsgegevens te verwerken, zonder aan het rechtstreeks gezag van Verwerker te zijn onderworpen.
1.6 Verwerkingsverantwoordelijke (ook wel Verantwoordelijke genoemd): de verantwoordelijke voor de Verwerking in de zin van de Algemene verordening gegevensbescherming (AVG)
1.7 Verwerker (ook wel Bewerker genoemd): (UC Systems) degene die ten behoeve van de Verwerkingsverantwoordelijke Persoonsgegevens verwerkt zonder aan zijn rechtstreeks gezag te zijn onderworpen.
1.8 Verwerking: elke handeling of elk geheel van handelingen met betrekking tot Persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens.

2. Onderwerp

2.1 Indien Verwerker alleen toegang heeft tot de Persoonsgegevens, zonder een verplichting om deze te verwerken, zal Verwerker zowel de nationale en internationale wet- en regelgeving met betrekking tot Persoonsgegevens als de bepalingen van deze Verwerkersovereenkomst in acht nemen; indien en voor zover Verwerkingsverantwoordelijke Verwerker vooraf tijdig heeft gewezen op de aanwezigheid van Persoonsgegevens en de plaats (path) waar deze Persoonsgegevens zich bevinden
2.2 Indien Verwerker zich in de Overeenkomst heeft verplicht tot het verwerken van Persoonsgegevens, zal Verwerker dit doen met grote zorgvuldigheid en in overeenstemming met de doeleinden van de verwerking en daarbij zowel de nationale en internationale wet- en regelgeving met betrekking tot Persoonsgegevens, met name de voorschriften uit de Algemene verordening gegevensbescherming (AVG), en de bepalingen van deze Verwerkersovereenkomst in acht nemen; indien en voor zover Verwerkingsverantwoordelijke Verwerker vooraf tijdig heeft gewezen op de aanwezigheid van Persoonsgegevens en de plaats (path) waar deze Persoonsgegevens zich bevinden.

3. Verplichtingen van de Verwerkingsverantwoordelijke

3.1 Verwerkingsverantwoordelijke staat er voor in dat zij zich houdt aan alle voorschriften uit de Algemene verordening gegevensbescherming (AVG), met in acht name van het Vrijstellingsbesluit. Verwerkingsverantwoordelijke heeft de nodige beveiligingsmaatregelen getroffen.
3.2 Verwerkingsverantwoordelijke houdt een register bij van de verwerkingsactiviteiten die onder haar verantwoordelijkheid plaatsvinden.
3.3 Verwerkingsverantwoordelijke zal wijzigingen met betrekking tot de Verwerking (indien van toepassing) en de eventuele gevolgen daarvan tijdig, in principe binnen 10 werkdagen, aan Verwerker bekend maken.
3.4 Verwerkingsverantwoordelijke staat er voor in dat haar Personeel zich houdt aan de voorschriften van de Algemene verordening gegevensbescherming (AVG) en het gestelde in deze Verwerkersovereenkomst, indien en voor zover zij op enigerlei wijze betrokken zijn bij de Verwerking van Persoonsgegevens.
3.5 Verwerkingsverantwoordelijke garandeert dat de opdracht tot de Verwerking van de Persoonsgegevens (indien van toepassing) niet onrechtmatig is en geen inbreuk maakt op rechten van derden.

4. Verplichtingen van Verwerker

4.1 Verwerker zal de Persoonsgegevens slechts inzien en/of verwerken indien en voor zover dit noodzakelijk is voor de uitvoering van de Overeenkomst en zal alle redelijke instructies van Verwerkingsverantwoordelijke opvolgen.
4.2 Verwerker zal de Persoonsgegevens niet opslaan op een locatie buiten de Europese Economische Ruimte of doorgeven aan landen buiten de Europese Economische Ruimte; en niet buiten het Nederlandse grondgebied, zonder voorafgaande schriftelijke toestemming van Verwerkingsverantwoordelijke. Verwerkingsverantwoordelijke kan voorwaarden verbinden aan haar toestemming.
4.3 Verwerker staat er voor in dat haar Personeel op de hoogte is van de eisen die de Algemene verordening gegevensbescherming (AVG) stelt en zich houdt aan de voorschriften van de maatregelen en het gestelde in deze Verwerkersovereenkomst, indien en voor zover zij op enigerlei wijze betrokken is bij de Verwerking van Persoonsgegevens. Personeel van Verwerker is gehouden aan een geheimhoudingsplicht.
4.4 Verwerker heeft een functionaris voor gegevensbescherming aangewezen
4.5 Verwerker zal op eerste verzoek van Verwerkingsverantwoordelijke onmiddellijk alle kopieën van Verwerkingsverantwoordelijke afkomstige en/of in opdracht van Verwerkingsverantwoordelijke verwerkte Persoonsgegevens aan Verwerkingsverantwoordelijke ter hand stellen of desgevraagd vernietigen.
4.6 Verwerker zal passende technische en organisatorische beveiligingsmaatregelen treffen om de Persoonsgegevens te beveiligen tegen verlies en tegen onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging daarvan, een passend beveiligingsniveau gelet op de risico’s die de verwerking en de aard van de te beschermen gegevens meebrengen. Deze maatregelen zijn opgenomen in de Bijlage – Maatregelen
4.7 Verwerker houdt een register bij van alle categorieën van verwerkingsactiviteiten die zij ten behoeve van de Verwerkingsverantwoordelijke heeft verricht.
4.8 Verwerker verleent Verwerkingsverantwoordelijke haar volledige en tijdige medewerking om Betrokkenen inzage in hun Persoonsgegevens te laten krijgen, hun Persoonsgegevens te laten verwijderen of te corrigeren, en/of aan te laten tonen dat deze Persoonsgegevens verwijderd of gecorrigeerd zijn of, indien Verwerkingsverantwoordelijke het standpunt van Betrokkene bestrijdt, vast te leggen dat Betrokkene zijn Persoonsgegevens als incorrect beschouwt
4.9 Verwerker neemt adequate interne beheersmaatregelen om de verplichtingen uit deze verwerkersovereenkomst na te komen en legt deze vast op een manier die controle op de naleving ervan eenvoudig mogelijk maakt. Bij Verwerking van Persoonsgegevens worden activiteiten en incidenten met betrekking tot de Persoonsgegevens vastgelegd in logbestanden.
4.10 Op aangeven van Verwerkingsverantwoordelijke werkt Verwerker mee aan encryptie (versleuteling) en pseudonimisering van Persoonsgegevens. Indien dit leidt tot hogere kosten voor Verwerker, zal Verwerkingsverantwoordelijke deze kosten vergoeden.
4.11 Verwerkingsverantwoordelijke kan eenmaal per jaar de Verwerking van Persoonsgegevens laten controleren op correcte naleving van de Verwerkersovereenkomst door middel van een onderzoek door een onafhankelijk register EDP-Auditor. De Auditor zal worden verplicht tot geheimhouding. Verwerker zal alle door de Auditor gevraagde informatie verstrekken. De Auditor zal in algemene termen rapporteren aan Verwerkingsverantwoordelijke, maar zal geen details over de getroffen beveiligingsmaatregelen bekend maken. De kosten van het onderzoek komen voor rekening van Verwerkingsverantwoordelijke.
4.12 Inhoud en omvang van de opdracht tot Verwerking en de daarvoor te betalen vergoeding is conform hetgeen daarover is geregeld in de Overeenkomst. Verwerker zal instructies van Verwerkingsverantwoordelijke met betrekking tot de verwerking en/of opslag van Persoonsgegevens opvolgen.

5. Subverwerker

5.1 Verwerker kan de uitvoering van de Verwerkersovereenkomst geheel of ten dele uitbesteden aan een Subverwerker, na voorafgaande schriftelijke toestemming van Verwerkingsverantwoordelijke. Verwerkingsverantwoordelijke zal de toestemming in redelijkheid niet onthouden. Verwerker blijft voor Verwerkingsverantwoordelijke te allen tijde aanspreekpunt en verantwoordelijk voor de naleving van de bepalingen uit deze Verwerkersovereenkomst.
5.2 Verwerker zal aan de Subverwerkper dezelfde verplichtingen opleggen – en een en ander schriftelijk vastleggen in een contract – als voor zichzelf uit deze Verwerkersovereenkomst voortvloeien en toezien op de naleving daarvan door Subverwerker. Verwerker is volledig aansprakelijk jegens Verwerkingsverantwoordelijke voor de gevolgen van het uitbesteden van werkzaamheden aan een Subverwerker.
5.3 Artikel 4.2 geldt onverkort ook voor de Subverwerker.

6. Verstrekken van Persoonsgegevens

6.1 Het is Verwerker niet toegestaan Persoonsgegevens aan anderen dan Verwerkingsverantwoordelijke te verstrekken, tenzij op grond van een wettelijke verplichting of met schriftelijke toestemming van Verwerkingsverantwoordelijke. Verwerker zal iedere verstrekking aan een derde schriftelijk bevestigen met vermelding van alle betrokken partijen en/of personen.
6.2 Indien Verwerker op grond van een wettelijke verplichting Persoonsgegevens dient te verstrekken, zal Verwerker:

• de grondslag van het verzoek en de identiteit van de verzoeker verifiëren en, voorafgaand aan de verstrekking, Verwerkingsverantwoordelijke ter zake informeren;
• de verstrekking beperken tot hetgeen wettelijk verplicht is;
• Verwerkingsverantwoordelijke in staat stellen om de rechten van
Verwerkingsverantwoordelijke en Betrokkenen uit te oefenen en de belangen van Verwerkingsverantwoordelijke en Betrokkenen te verdedigen;

7. Beveiliging

7.1 Verwerkingsverantwoordelijke en Verwerker zullen de Persoonsgegevens –en indien van toepassing de Verwerking daarvan- beveiligen in overeenstemming met de voorschriften gesteld in de Algemene verordening gegevensbescherming (AVG), in het bijzonder de artikelen 13 en 14 Wbp, en in overige (bijzondere) wetgeving en Europese verordeningen en richtlijnen ten aanzien van het verwerken van Persoonsgegevens. Het niveau van de beveiliging dient in overeenstemming te zijn met gangbare standaard van ISO27001.
7.2 Verwerkingsverantwoordelijke en Verwerker zullen zich maximaal inspannen om de Persoonsgegevens te beveiligen en beveiligd te houden tegen indringers en tegen van buiten komend onheil alsmede tegen onzorgvuldige verwerking, onrechtmatige verstrekking of ongeoorloofde verstrekking en tegen verlies, vernietiging of beschadiging. Beide partijen zorgen er voor dat hun IT-voorzieningen en apparatuur fysiek beschermd zijn tegen toegang door onbevoegden en tegen schade en storingen en nemen maatregelen om onbevoegde toegang tot informatiesystemen te voorkomen.
7.3 Verwerkingsverantwoordelijke en Verwerker zullen continue bewaken of de gebruikte verwerkingssystemen (blijven) voldoen aan adequate eisen van vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht (snel herstel na tijdelijke onbeschikbaarheid).
7.4 Indien Verwerkingsverantwoordelijke daarom schriftelijk verzoekt, zal Verwerker ten aanzien van de daarbij aangeduide persoonsgegevens bijzondere maatregelen treffen voor de beveiliging en/of de geheimhouding daarvan. Indien dit leidt tot hogere kosten voor Verwerker, zal Verwerkingsverantwoordelijke deze kosten vergoeden.

8. Datalek

8.1 Wanneer een datalek wordt geconstateerd door de Verwerker, meldt Verwerker dit onmiddellijk, maar in ieder geval binnen 24 uur aan Verwerkingsverantwoordelijke onder opgave van de aard van het datalek, de (vermoedelijke) gevolgen daarvan en de maatregelen die zijn getroffen om de gevolgen te verhelpen of te beperken.

9. Geheimhouding

9.1 Verwerker is gehouden tot geheimhouding van alle Persoonsgegevens en informatie die zij verwerkt, of waarvan zij in het kader van de Overeenkomst of deze Verwerkersovereenkomst kennis krijgt.
9.2 De geheimhouding is niet van toepassing op informatie:

• Die openbaar bekend is zonder dat deze openbaarmaking een gevolg is van een ongeoorloofde daad;
• Waarvan vrijgave is vereist op grond van enige wettelijke bepaling of Rechterlijk bevel, één en ander op voorwaarde van voorafgaande schriftelijke kennisgeving van de openbarende partij, aan de partij wiens informatie het betreft;
• Die een Partij onafhankelijk ontwikkeld heeft;
• Die een Partij reeds in haar bezit heeft zonder verplichting tot vertrouwelijkheid.

9.3 Na het beëindigen van deze Verwerkersovereenkomst zal dit artikel en de hierin vastgelegde geheimhoudingsplicht van kracht blijven.

10. Intellectuele eigendom

10.1 Alle Intellectuele Eigendomsrechten waaronder inbegrepen auteursrechten, databankrechten en alle overige rechten van intellectuele eigendom alsmede soortgelijke rechten tot bescherming van informatie op de verzameling van data en Persoonsgegevens, kopieën of bewerkingen daarvan, berusten bij Verwerkingsverantwoordelijke (of een klant van Verwerkingsverantwoordelijke).
10.2 Alle intellectuele eigendomsrechten – waaronder auteursrechten, databankrechten en alle overige rechten van intellectuele eigendom alsmede soortgelijke rechten tot bescherming van informatie – op de producten en dienstverlening van Verwerker, berusten bij Verwerker.

11. Aansprakelijkheid en verzekering

11.1 Verwerker is aansprakelijk voor schade die Verwerkingsverantwoordelijke lijdt en boetes die Verwerkingsverantwoordelijke verbeurt als gevolg van het niet-nakomen van, of in strijd handelen van, Verwerker met voorschriften bij of krachtens de Algemene verordening gegevensbescherming (AVG).
11.2 De aansprakelijkheid van Verwerker voor door Verwerkingsverantwoordelijke geleden schade en/of verbeurde boetes zoals bedoeld in artikel 11.1 is beperkt tot € 1.000.000 per gebeurtenis in geval van beroepsaansprakelijkheid en maximaal € 2.000.000 per verzekeringsjaar of € 2.500.000 per gebeurtenis in geval van bedrijfsaansprakelijkheid en maximaal € 5.000.000 per verzekeringsjaar.
11.3 Verwerkingsverantwoordelijke vrijwaart Verwerker voor aanspraken van derden (met name Betrokkenen) en de eventuele schade als gevolg daarvan, gebaseerd op niet naleving van voorschriften bij of krachtens de Algemene verordening gegevensbescherming (AVG) en/of overige wet- en regelgeving terzake en/of deze Verwerkersovereenkomst
11.4 Verwerker verplicht zich om de risico’s zoals bedoeld in de artikelen 11.1 t/m 11.2 af te dekken door middel van een aansprakelijkheidsverzekering.naleving van voorschriften bij of krachtens de Algemene verordening gegevensbescherming (AVG) en/of overige wet- en regelgeving terzake en/of deze Verwerkersovereenkomst
11.4 Verwerker verplicht zich om de risico’s zoals bedoeld in de artikelen 11.1 t/m 11.2 af te dekken door middel van een aansprakelijkheidsverzekering.

12. Duur en beëindiging

12.1 De Verwerkersovereenkomst treedt in werking op de dag van ondertekening door Partijen.
12.2 De bepalingen over duur en beëindiging van de Overeenkomst gelden als bepalingen over duur en beëindiging van de Verwerkersovereenkomst. Wanneer de Overeenkomst om welke reden dan ook eindigt, eindigt ook de Verwerkersovereenkomst.
12.3 In geval van beëindiging van de Verwerkersovereenkomst zal Verwerker alle Persoonsgegevens overdragen aan Verwerkingsverantwoordelijke, of, op uitdrukkelijk schriftelijk verzoek van Verwerkingsverantwoordelijke de Persoonsgegevens die Verwerker onder zich heeft vernietigen.
12.4 Verplichtingen die naar hun aard bestemd zijn om ook na beëindiging van de Verwerkersovereenkomst voort te duren, blijven na beëindiging gelden. Tot deze verplichtingen behoren onder meer de bepalingen betreffende geheimhouding, overdracht en vernietiging, aansprakelijkheid en toepasselijk recht.

13. Ontbinding

13.1 Elke Partij kan de Overeenkomst geheel of gedeeltelijk ontbinden indien de wederpartij toerekenbaar tekortschiet in de nakoming van de Verwerkersovereenkomst en ook na ingebrekestelling de tekortkoming niet is opgeheven, onverminderd het recht op schadevergoeding.
13.2 Elke Partij kan de Overeenkomst met onmiddellijke ingang zonder ingebrekestelling geheel of gedeeltelijk ontbinden indien de wederpartij surséance van betaling wordt verleend, indien ten aanzien van de wederpartij faillissement wordt aangevraagd, indien de onderneming van de wederpartij wordt geliquideerd of beëindigd anders dan ten behoeve van reconstructie of samenvoeging van ondernemingen.

14. Overige

14.1 Wijzigingen van deze Overeenkomst of aanvullingen daarop worden tussen Verwerker en Verwerkingsverantwoordelijke schriftelijk overeengekomen. Wijzigingen of aanvullingen worden vastgelegd in een addendum bij deze verwerkersovereenkomst en zijn bindend als dit addendum door beide Partijen is ondertekend.
14.2 Eventuele uit deze verwerkersovereenkomst voortvloeiende geschillen zullen, nadat een poging om het geschil in onderling overleg op te lossen vruchteloos is gebleken, worden beslecht door arbitrage volgens de regels en procedures van het Nederlands Arbitrage Instituut, waarbij de arbiter(s) Nederlands recht zullen toepassen.

Bijlage Maatregelen 

De maatregelen waaraan minimaal wordt voldaan:

1. De verantwoordelijkheden, zowel op sturend als uitvoerend niveau, zijn duidelijk gedefinieerd en belegd.

2. De werknemers van de Verwerker die betrokken zijn bij de verwerking van Persoonsgegevens zijn gehouden aan een geheimhoudingsplicht/integriteitscode en indien van toepassing heeft voorafgaand aan de indiensttreding een screening plaatsgevonden. De Verwerkingsverantwoordelijke kan van de Verwerker verlangen dat deze bevestigt dat er voor deze werknemers een verklaring omtrent het gedrag (VOG) is opgevraagd en gecontroleerd.

3. Alle werknemers van de organisatie en, voor zover van toepassing, ingehuurd personeel en externe gebruikers krijgen geschikte training en regelmatige bijscholing over het informatiebeveiligingsbeleid en de informatiebeveiligingsprocedures van de organisatie, voor zover relevant voor hun functie. Binnen de training en bijscholing wordt expliciet aandacht besteed aan de omgang met (bijzondere categorieën van; of anderszins gevoelige) Persoonsgegevens

4. IT-voorzieningen en apparatuur zijn fysiek beschermd tegen toegang door onbevoegden en tegen schade en storingen

5. Er zijn procedures om bevoegde gebruikers toegang te geven tot de informatiesystemen en – diensten die ze voor de uitvoering van hun taken nodig hebben en om onbevoegde toegang tot informatiesystemen te voorkomen.

6. Bij transport van door de Verwerkingsverantwoordelijke expliciet als zodanig aangemerkte vertrouwelijke informatie over netwerken dient altijd adequate encryptie te worden toegepast.

7. Voor het beheer van certificaten en de bijbehorende sleutels is een actueel sleutelplan van toepassing waarin bevoegdheden en functiescheiding geborgd zijn.

8. Er zijn procedures voor de verwerving, ontwikkeling, onderhoud en vernietiging van data en informatiesystemen.

9. Activiteiten die gebruikers uitvoeren (met Persoonsgegevens) worden vastgelegd in logbestanden. Hetzelfde geldt voor andere relevante gebeurtenissen, zoals pogingen om ongeautoriseerd toegang te krijgen tot Persoonsgegevens en verstoringen die kunnen leiden tot verminking of verlies van Persoonsgegevens. Logging van specifieke klantdata is alleen mogelijk op basis van maatwerk via een offerte.

10. In alle toepassingssystemen zijn beveiligingsmaatregelen ingebouwd waaronder een adequaat toegangsbeheer.

11. Het netwerk en de informatiesystemen worden actief gemonitord en beheerd. Er is tevens een procedure beschikbaar om eventuele datalekken af te handelen. Onderdeel hiervan is het informeren van de Verwerkingsverantwoordelijke.

12. De Verwerker installeert tijdig oplossingen die de leveranciers uitbrengen voor beveiligingslekken. Dit alles uitsluitend indien en voor zover de betreffende software door de Verwerker is/wordt geleverd, gebruikt of onderhouden ten behoeve van de Overeenkomst met de Verwerkingsverantwoordelijke.

13. Er zijn procedures voor het tijdig en doeltreffend behandelen van informatiebeveiligingsincidenten en zwakke plekken in de beveiliging, zodra ze zijn gerapporteerd.

14. De Verwerkingsverantwoordelijke meldt datalekken die onder een wettelijke meldplicht vallen bij de betreffende toezichthouder (veelal de Autoriteit Persoonsgegevens).