Hallo! Hoe kunnen we je helpen?
Klik hier voor alle supportartikelen
Afdrukken

Verwerkersovereenkomst

Indien je diensten bij ons afneemt waarbij persoonsgegevens van jou, jouw klanten of jouw leden een rol spelen, is onderstaande verwerkersovereenkomst van toepassing. Op deze website staat altijd de laatst geldende, dus actuele, versie.

AVG Verwerkersovereenkomst tussen jou als klant en ISI Media

Partijen:

 

  1. Jij als klant en eigenaar van een website, hierna ook te noemen als: ‘Verantwoordelijke’ (in lijn met de in de AVG genoemde ‘Verwerkingsverantwoordelijke’)

en

 

  1. Wij, ISI Media te Den Haag, hierna ook te noemen: ‘Verwerker’ te dezen rechtsgeldig vertegenwoordigd door Eric van den Berg

 

hierna gezamenlijk aangeduid als “Partijen”, “We” of bij naam

Overwegingen:

  1. Je beschikt als verwerkingsverantwoordelijke over persoonsgegevens die verzameld zijn als gevolg van het communiceren met jullie doelgroepen, via een website. Het doel is het verlenen van toegang om de website te beheren en/of het informatief verstrekken van persoonsgegevens van leden of derden aan bezoekers van jullie website.

     

  2. Je hebt ISI Media ingeschakeld als leverancier en hierdoor heeft ISI Media potentieel toegang tot de persoonsgegevens die via de website worden ontsloten. Te denken valt aan naam, adres, postcode, woonplaats, telefoonnummers en e-mailadressen, alsook naam-wachtwoordcombinaties voor beheerders van de website.
  3. Wij zijn – vanwege het uitvoeren van deze onderliggende opdracht én met betrekking tot de persoonsgegevens die wij zullen verwerken – aan te merken als “Verwerker” en jullie als “Verantwoordelijke” in de zin van de Algemene Verordening Gegevensverwerking (AVG). In deze overeenkomst leggen we onze wederzijdse rechten en verplichtingen vast.

Partijen komen het volgende overeen:

  1. Definities

In deze overeenkomst gebruiken we begrippen uit de Algemene Verordening Gegevensverwerking (AVG). De betekenis van die begrippen leggen we hieronder uit.

Betrokkene

Degene op wie een persoonsgegeven betrekking heeft.

 

Verwerker

Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen. In deze overeenkomst: ISI Media.

 

Sub-verwerker

Een andere verwerker die door ons wordt ingezet om ten behoeve van de verwerkingsverantwoordelijke specifieke verwerkingsactiviteiten te verrichten.

 

Verwerkingsverantwoordelijke / Verantwoordelijke

Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt.

 

Bijzondere persoonsgegevens

Dit zijn gegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken, en genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid. Alsmede persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende veiligheidsmaatregelen.

 

Datalek/Inbreuk in verband met persoonsgegevens

Een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot – of waarbij redelijkerwijs niet uit te sluiten valt dat die kan leiden tot – de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens.

 

Derden

Anderen dan jullie en wij.

 

Meldplicht Datalekken

De verplichting tot het melden van Datalekken aan de Autoriteit persoonsgegevens en (in sommige gevallen) aan betrokkene(n).

 

Medewerkers

Personen die werkzaam zijn bij jou of bij ons, ofwel in dienstbetrekking dan wel tijdelijk ingehuurd, hetzij op vrijwillige basis.

 

Onderliggende opdracht

De opdracht zoals hierboven bedoeld.

 

Overeenkomst

Deze verwerkersovereenkomst.

 

Persoonsgegevens

Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon („de betrokkene”) die in het kader van onze overeenkomst worden verwerkt; als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.

 

persoonsgegevens van gevoelige aard

persoonsgegevens waarbij verlies of onrechtmatige verwerking kunnen leiden tot (onder meer) stigmatisering of uitsluiting van betrokkene, schade aan de gezondheid, financiële schade of tot (identiteits)fraude.

Tot deze categorieën van persoonsgegevens rekenen we in ieder geval:

•                    Bijzondere persoonsgegevens

•                    Gegevens over de financiële of economische situatie van de betrokkene

•                    (Andere) gegevens die kunnen leiden tot stigmatisering of uitsluiting van de betrokkene

•                    Gebruikersnamen, wachtwoorden en andere inloggegevens, zoals e-mailadressen

•                    Gegevens die kunnen worden misbruikt voor (identiteits)fraude

 

verwerken/verwerking

Een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.

 

AVG

Algemene Verordening Gegevensbescherming, inclusief de uitvoeringswet van deze verordening. De AVG vervangt de Wet bescherming persoonsgegevens per 25 mei 2018.

 

  1. Toepasselijkheid en looptijd

 

2.1          Deze overeenkomst is van toepassing op iedere verwerking die door ons wordt gedaan op basis van de onderliggende opdracht, gegeven door jou als verantwoordelijke.

2.2          Deze overeenkomst treedt in werking op de datum waarop de onderliggende opdracht van kracht is geworden en eindigt op het moment dat wij geen persoonsgegevens meer hebben die wij in het kader van de onderliggende opdracht voor u verwerken. Het is niet mogelijk om deze overeenkomst tussentijds op te zeggen. De verwerkingsovereenkomst maakt daarom integraal deel uit van jullie overeenkomst met ons om je website te ondersteunen.

2.3          Artikel 6 en 7 van deze overeenkomst blijven gelden, ook nadat de overeenkomst (of de onderliggende opdracht) is geëindigd.

  1. Verwerking

3.1          Wij verwerken de persoonsgegevens uitsluitend op de manier die wij met jou hebben afgesproken in de onderliggende opdracht. Dit verwerken doen wij niet langer of uitgebreider dan noodzakelijk voor de uitvoering van je opdracht. De verwerking vindt plaats volgens jullie instructies, vaak schriftelijk, tenzij wij op grond van de wet- of regelgeving verplicht zijn om anders te handelen. Indien een instructie, naar onze mening, een inbreuk maakt op de AVG laten we je dat weten.

3.2          De verwerking vindt plaats onder jouw verantwoordelijkheid als opdrachtgever. Wij hebben geen zeggenschap over het doel en de middelen van de verwerking en nemen geen beslissingen over zaken als het gebruik van persoonsgegevens, de bewaartermijn van de voor jou verwerkte persoonsgegevens en het verstrekken van persoonsgegevens aan derden. Je moet als verantwoordelijke ervoor zorgen dat je het doel en de middelen van de verwerking van de persoonsgegevens duidelijk hebt vastgesteld en bijvoorbeeld communiceert via een privacyverklaring met jullie leden of derden. De zeggenschap over de persoonsgegevens berust nooit bij ons.

3.3          Je bent wettelijk verplicht de vigerende wet- en regelgeving op het gebied van privacy na te leven. In het bijzonder dien je vast te stellen of er sprake is van een rechtmatige grondslag voor het verwerken van de persoonsgegevens. Wij zorgen ervoor dat wij voldoen aan de op ons als verwerker van toepassing zijnde regelgeving op het gebied van de verwerking van persoonsgegevens en de afspraken die we hebben gemaakt in deze overeenkomst.

3.4          Wij zorgen ervoor dat alleen medewerkers van ISI Media toegang hebben tot de persoonsgegevens. De uitzondering hierop is opgenomen in artikel 3.5.
Alleen medewerkers die dat moeten voor hun expliciete werkzaamheden, hebben tijdelijk toegang tot persoonsgegevens en alleen voor de duur van die werkzaamheden. Wij zorgen er voor dat zij die toegang hebben tot de persoonsgegevens weten hoe ze moeten omgaan met persoonsgegevens van jou of jullie doelgroep en dat zij bekend zijn met de verantwoordelijkheden en wettelijke verplichtingen.

3.5          Wij kunnen andere verwerkers (sub-verwerkers) inschakelen voor het uitvoeren van bepaalde werkzaamheden, bijvoorbeeld als zij over specialistische kennis of middelen beschikken waarover wij niet beschikken.
Als we sub-verwerkers inschakelen en zij daardoor jullie persoonsgegevens verwerken dan zijn deze sub-verwerkers gehouden aan de verplichtingen uit deze overeenkomst.

3.6          Als wij een verzoek krijgen om persoonsgegevens ter beschikking te stellen dan doen wij dit alleen als het verzoek is gedaan door een daartoe bevoegde instantie. Bovendien beoordelen wij eerst of wij van mening zijn dat het verzoek bindend is, of dat wij op grond van gedrags- en beroepsregels aan het verzoek moeten voldoen. Zo niet, dan verstrekken we ze niet.
Als er geen strafrechtelijke of andere juridische belemmeringen zijn, dan stellen wij je op de hoogte van het verzoek. Wij proberen dat op zodanig korte termijn te doen, dat het voor jou mogelijk is om eventuele rechtsmiddelen tegen de verstrekking van de persoonsgegevens in te stellen.

  1. Beveiligingsmaatregelen

4.1          Wij hebben de beveiligingsmaatregelen genomen die zijn genoemd in ons service level agreement die bij de onderliggende opdracht hoort. Bij het nemen van de beveiligingsmaatregelen is rekening gehouden met de te mitigeren risico’s, de stand van de techniek en de kosten van de beveiligingsmaatregelen.

4.2          Je hebt je goed geïnformeerd over de beveiligingsmaatregelen die wij hebben genomen en bent van mening dat deze maatregelen een beveiligingsniveau hebben dat past bij de aard van de persoonsgegevens  en de omvang, context, doeleinden en risico’s van de verwerking.

4.3          Wij informeren je als een van de beveiligingsmaatregelen substantieel wijzigt.

4.4          Wij bieden passende waarborgen voor de toepassing van de technische en organisatorische beveiligingsmaatregelen met betrekking tot de te verrichten verwerkingen.  

  1. Datalekken

5.1          Als er sprake is van een datalek dan stellen wij je daarvan op de hoogte. Wij streven ernaar dit te doen binnen 72 uur nadat wij dit datalek hebben ontdekt, of als dat van toepassing is zo snel mogelijk nadat wij daarover door onze sub-verwerkers zijn geïnformeerd.
Nadere afspraken over de wijze waarop zijn opgenomen in artikel 11 van deze overeenkomst. Wij zullen je daarbij voorzien van de informatie die je in alle redelijkheid nodig hebt om – indien nodig – een juiste en volledige melding te doen aan de Autoriteit Persoonsgegevens en eventueel de betrokkene(n) in het kader van de Meldplicht Datalekken. Ook van de door ons, of onze sub-verwerker, naar aanleiding van het datalek genomen maatregelen houden wij je op de hoogte.

5.2          De melding van datalekken aan de Autoriteit Persoonsgegevens en (eventueel) betrokkene(n) is altijd jouw verantwoordelijkheid als verwerkingsverantwoordelijke.

5.3          Het (bij)houden van een register van datalekken is altijd jouw verantwoordelijkheid.

  1. Geheimhoudingsplicht:

6.1          Wij houden de van jou verkregen persoonsgegevens geheim en verplichten personeel en eventuele sub-verwerkers ook tot geheimhouding.

  1. Aansprakelijkheid

7.1          Je staat er voor in dat de verwerking van persoonsgegevens op basis van deze overeenkomst niet onrechtmatig is en geen inbreuk maakt op de rechten van betrokkene(n). De rechten van betrokkene(n) zijn vastgelegd in de AVG, Telecommunicatiewet of andere wet- en regelgeving.

7.2          Wij zijn niet aansprakelijk voor schade die het gevolg is van het door jou niet naleven van de AVG of andere wet- of regelgeving. Je vrijwaart ons ook voor aanspraken van derden op grond van zulke schade. De vrijwaring geldt niet alleen voor de schade die derden hebben geleden (materieel maar ook immaterieel), maar ook voor de kosten die wij in verband daarmee moeten maken, bijvoorbeeld in een eventuele juridische procedure, en de kosten van eventuele boetes die aan ons worden opgelegd ten gevolge van jouw handelen.

7.3          De in de onderliggende opdracht en daarbij behorende algemene voorwaarden overeengekomen beperking van onze aansprakelijkheid is van kracht op de verplichtingen zoals opgenomen in deze overeenkomst, met dien verstande dat een of meerdere schadevorderingen uit hoofde van deze overeenkomst en /of de onderliggende opdracht nimmer tot overschrijding van de beperking kan leiden.

  1. Overdraagbaarheid overeenkomst

8.1          Het is voor ons beiden, behalve als wij gezamenlijk schriftelijk anders afspreken, niet toegestaan om deze overeenkomst en de rechten en de plichten die samenhangen met deze overeenkomst over te dragen aan een ander.

  1. Beëindiging en teruggave / vernietiging persoonsgegevens

9.1          Als de onderliggende opdracht wordt beëindigd dan zullen wij de door jou aan ons verstrekte persoonsgegevens aan je terug overdragen of vernietigen. Als wij op grond van wet- of regelgeving daartoe verplicht zijn, bewaren we een kopie van de betreffende persoonsgegevens. Een voorbeeld zijn persoonsgegevens op facturen voor de belasting. Die bewaren wij met passende maatregelen 7 jaar.

9.2          De kosten van het verzamelen en overdragen van persoonsgegevens bij het eindigen van de onderliggende opdracht zijn voor jouw rekening. Datzelfde geldt voor eventuele kosten van de vernietiging van de persoonsgegevens.

  1. Aanvullingen en wijziging Overeenkomst

10.1        Een wijziging in de verwerkte persoonsgegevens of in de betrouwbaarheidseisen, de privacyregelgeving of jouw eisen kan aanleiding zijn om deze overeenkomst aan te vullen of te wijzigen. Indien dit leidt tot significante aanpassingen in de onderliggende opdracht, of wanneer wij niet kunnen voorzien in een passend niveau van bescherming, kan dit voor ons reden zijn om de onderliggende opdracht te beëindigen.

  1. Slotbepalingen

11.1        Partijen werken desgevraagd samen met de toezichthoudende autoriteit bij het vervullen van haar taken.

11.2        Op deze overeenkomst is Nederlands recht van toepassing, de Nederlandse rechter is bevoegd kennis te nemen van alle geschillen die voortvloeien uit of samenhangen met deze overeenkomst.

Opgesteld te Den Haag, 10 mei 2018
Aangepast: 14 juni 2021