Verwerkersovereenkomst

Datum: 12 december 2018

OVERWEGENDE DAT:

  1. Wij Verwerken de Persoonsgegevens die vermeld staan in de Bijlage die bij deze Overeenkomst hoort;
  2. Wij opdracht hebben gekregen tot het leveren van een product of dienst, waarvan de Verwerking van Persoonsgegevens deel uit maakt;
  3. Wij – vanwege het uitvoeren van deze Onderliggende opdracht én met betrekking tot de Persoonsgegevens die Wij hierbij zullen Verwerken – zijn aan te merken als “Verwerker” en U als “Verantwoordelijke”. In deze Overeenkomst leggen We onze wederzijdse rechten en verplichtingen vast.

VERKLAREN TE ZIJN OVEREENGEKOMEN ALS VOLGT:

  1. Definities
    • De definities Persoonsgegevens, Verwerking, Verwerkingsverantwoordelijke en Verwerker, hebben in deze Verwerkersovereenkomst de betekenis zoals gedefinieerd in de wet- en regelgeving op het gebied van privacy. Ook voor overige gehanteerde begrippen hanteren Wij de begripsdefinities zoals zijn vastgelegd in de wet- en regelgeving op het gebied van privacy.
  1. Toepasselijkheid en looptijd
    • Deze Overeenkomst is van toepassing op iedere Verwerking die door Ons als Verwerker wordt gedaan op basis van de Onderliggende opdracht, gegeven door U als Verantwoordelijke;
    • Deze Overeenkomst treedt in werking op de datum waarop de Onderliggende opdracht van kracht wordt en eindigt op het moment dat wij geen Persoonsgegevens meer onder ons hebben die wij in het kader van de Onderliggende Opdracht voor u verwerken. Het is niet mogelijk om deze Overeenkomst tussentijds op te zeggen;
    • Artikel 6 en 7 van deze Overeenkomst blijven gelden, ook nadat de Overeenkomst (of de Onderliggende opdracht) is geëindigd.
  2. Verwerking
    • Wij Verwerken de Persoonsgegevens uitsluitend op de manier die Wij met U hebben afgesproken in de Onderliggende opdracht. Dit Verwerken doen Wij niet langer of uitgebreider dan noodzakelijk voor de uitvoering van deze Onderliggende opdracht inclusief de daaraan gekoppelde wettelijke of door de toegepaste regeling vereiste bewaarplicht. De Verwerking vindt plaats volgens Uw schriftelijke of digitale instructies, onder meer met betrekking tot doorgiften van Persoonsgegevens aan een Overheidsinstantie, tenzij Wij op grond van de wet- of regelgeving verplicht zijn om anders te handelen. In dat geval stelt de Verwerker de Verwerkingsverantwoordelijke, voorafgaand aan de Verwerking, in kennis van dat wettelijke voorschrift, tenzij die wetgeving deze kennisgeving om gewichtige redenen van algemeen belang verbiedt;
    • De Verwerking vindt plaats onder Uw verantwoordelijkheid. Wij hebben geen zeggenschap over het doel en de middelen van de Verwerking en nemen geen beslissingen over zaken als het gebruik van Persoonsgegevens, de bewaartermijn van de voor u verwerkte Persoonsgegevens en het verstrekken van Persoonsgegevens aan Derden. U moet er voor zorgen dat U het doel en de middelen van de Verwerking van de Persoonsgegevens duidelijk heeft vastgesteld. De zeggenschap over de Persoonsgegevens berust nooit bij Ons. Als Wij een zelfstandige verplichting mochten hebben op basis van wettelijke voorschriften, dan leven Wij deze verplichtingen na;
    • U bent wettelijk verplicht de vigerende wet- en regelgeving op het gebied van privacy na te leven. In het bijzonder dient u vast te stellen of er sprake is van een rechtmatige grondslag voor het Verwerken van de Persoonsgegevens. Wij zorgen ervoor dat Wij voldoen aan de op ons als Verwerker van toepassing zijnde regelgeving op het gebied van de Verwerking van Persoonsgegevens en de afspraken die We hebben gemaakt in deze Overeenkomst;
    • Wij zorgen ervoor dat alleen Onze Medewerkers toegang hebben tot de Persoonsgegevens. De uitzondering hierop is opgenomen in artikel 3.5. Wij beperken de toegang tot Medewerkers voor wie de toegang noodzakelijk is voor hun werkzaamheden, waarbij de toegang beperkt is tot Persoonsgegevens die deze Medewerkers nodig hebben voor hun werkzaamheden. Wij zorgen er bovendien voor dat de Medewerkers die toegang hebben tot de Persoonsgegevens een juiste en volledige instructie hebben gekregen over de omgang met Persoonsgegevens en dat zij bekend zijn met de verantwoordelijkheden en wettelijke verplichtingen;
    • Wij kunnen andere verwerkers (Sub-verwerkers) inschakelen voor het uitvoeren van bepaalde werkzaamheden die voortvloeien uit de Onderliggende opdracht, bijvoorbeeld als deze Sub-verwerkers over specialistische kennis of middelen beschikken waarover Wij niet beschikken. Als het inschakelen van Sub-Verwerkers tot gevolg heeft dat deze Persoonsgegevens gaan Verwerken dan zullen wij die Sub-Verwerkers (schriftelijk) de verplichtingen uit deze Overeenkomst opleggen. Met ondertekening van deze Overeenkomst geeft u toestemming voor het inschakelen van de Sub-Verwerkers die genoemd zijn in de Bijlage die bij deze Overeenkomst hoort. Over het inschakelen van overige Sub-Verwerkers zullen wij u vooraf informeren en in de gelegenheid stellen hiertegen bezwaar te maken;
    • Voor zover mogelijk verlenen Wij U bijstand bij het vervullen van Uw verplichtingen om verzoeken om uitoefening van rechten van Betrokkenen af te handelen. Als Wij (rechtstreeks) verzoeken ontvangen van Betrokkene(n) om uitoefening van hun rechten (bijvoorbeeld inzage, wijziging of verwijdering van Persoonsgegevens), dan zenden Wij deze verzoeken door naar U. U handelt deze verzoeken zelf af, waarbij Wij U natuurlijk behulpzaam kunnen zijn als Wij in het kader van de Onderliggende opdracht toegang hebben tot deze Persoonsgegevens. Hiervoor kunnen wij kosten in rekening brengen;
    • Wij zullen de Persoonsgegevens alleen Verwerken binnen de Europese Economische Ruimte;
    • Als Wij een verzoek krijgen om Persoonsgegevens ter beschikking te stellen dan doen Wij dit alleen als het verzoek is gedaan door een daartoe bevoegde instantie. Als er geen strafrechtelijke of andere juridische belemmeringen zijn, dan stellen Wij U op de hoogte van het verzoek. Wij proberen dat op zodanig korte termijn te doen, dat het voor U mogelijk is om eventuele rechtsmiddelen tegen de verstrekking van de Persoonsgegevens in te stellen. Als Wij U op de hoogte mogen stellen dan zullen Wij ook met U overleggen over de wijze waarop en welke gegevens Wij ter beschikking zullen stellen.
  1. Beveiligingsmaatregelen
  • Wij hebben de beveiligingsmaatregelen genomen die zijn genoemd in de Bijlage die bij deze Overeenkomst hoort. Bij het nemen van de beveiligingsmaatregelen is rekening gehouden met de te mitigeren risico’s, de stand van de techniek en de kosten van de beveiligingsmaatregelen;
  • U heeft zich goed geïnformeerd over de beveiligingsmaatregelen die Wij hebben genomen en bent van mening dat deze maatregelen een beveiligingsniveau hebben dat past bij de aard van de Persoonsgegevens en de omvang, context, doeleinden en risico’s van de Verwerking;
  • Wij informeren U als een van de beveiligingsmaatregelen substantieel wijzigt;
  • Wij bieden passende waarborgen voor de toepassing van de technische en organisatorische beveiligingsmaatregelen met betrekking tot de te verrichten Verwerkingen. Als U de wijze waarop Wij de beveiligingsmaatregelen naleven wilt laten inspecteren, dan kunt U hiertoe een verzoek aan Ons doen. Wij zullen hierover Gezamenlijk met U afspraken maken. De kosten van een inspectie zijn voor Uw rekening. U stelt aan Ons een kopie van het inspectierapport ter beschikking.
  1. Datalekken
  • Als er sprake is van een Datalek dan stellen Wij U daarvan op de hoogte. Wij streven ernaar dit te doen binnen 48 uur nadat wij dit Datalek hebben ontdekt, of zo snel mogelijk nadat wij daarover door Onze Sub-verwerkers zijn geïnformeerd. Nadere afspraken over de wijze waarop zijn opgenomen in artikel 11 van deze Overeenkomst. Wij zullen U daarbij voorzien van de informatie die U redelijkerwijs nodig heeft om – indien nodig – een juiste en volledige melding te doen aan de Autoriteit Persoonsgegevens en eventueel de Betrokkene(n) in het kader van de Meldplicht Datalekken c.q. wij zenden de melding van onze Sub-verwerker aan u door. Ook van de door Ons, of onze Sub-verwerker, naar aanleiding van het Datalek genomen maatregelen houden Wij U op de hoogte;
  • De melding van Datalekken aan de Autoriteit Persoonsgegevens en (eventueel) Betrokkene(n) is altijd Uw eigen verantwoordelijkheid;
  • Het (bij)houden van een register van Datalekken is altijd Uw eigen verantwoordelijkheid.
  1. Geheimhoudingsplicht:
  • Wij houden de van u verkregen Persoonsgegevens geheim en verplichten Onze Medewerker en eventuele Sub-verwerkers ook tot geheimhouding.
  1. Aansprakelijkheid
  • U staat er voor in dat de Verwerking van Persoonsgegevens op basis van deze Overeenkomst niet onrechtmatig is en geen inbreuk maakt op de rechten van Betrokkene(n);
  • Wij zijn niet aansprakelijk voor schade die het gevolg is van het door U niet naleven van de AVG of andere wet- of regelgeving. U vrijwaart ons ook voor aanspraken van Derden op grond van zulke schade. De vrijwaring geldt niet alleen voor de schade die Derden hebben geleden (materieel maar ook immaterieel), maar ook voor de kosten die Wij in verband daarmee moeten maken, bijvoorbeeld in een eventuele juridische procedure, en de kosten van eventuele boetes die aan Ons worden opgelegd ten gevolge van Uw handelen;
  • De in de Onderliggende opdracht en daarbij behorende algemene voorwaarden overeengekomen beperking van Onze aansprakelijkheid is van kracht op de verplichtingen zoals opgenomen in deze Overeenkomst, met dien verstande dat een of meerdere schadevorderingen uit hoofde van deze Overeenkomst en /of de Onderliggende opdracht nimmer tot overschrijding van de beperking kan leiden.
  1. Overdraagbaarheid Overeenkomst
  • Het is voor U en Ons, behalve als Wij Gezamenlijk schriftelijk anders afspreken, niet toegestaan om deze Overeenkomst en de rechten en de plichten die samenhangen met deze Overeenkomst over te dragen aan een ander.
  1. Beëindiging en teruggave / vernietiging Persoonsgegevens
  • Als de Onderliggende opdracht wordt beëindigd dan zullen Wij de door U aan Ons verstrekte Persoonsgegevens vernietigen of – als U Ons daarom verzoekt – aan U terug overdragen. Wij zullen uitsluitend een kopie van de Persoonsgegevens bewaren als Wij hiertoe op grond van wet- of regelgeving of op uw verzoek, waaronder Wij ook rekenen de op de Opdracht betrekking hebbende bewaarplicht, verplicht zijn.
  1. Aanvullingen en wijziging Overeenkomst
  • Aanvullingen en wijzigingen op deze Overeenkomst zijn alleen geldig als ze op schrift zijn gesteld. Onder “schriftelijk” worden ook wijzigingen begrepen die per e-mail zijn gecommuniceerd, gevolgd door een akkoord per e-mail van de andere partij;
  • Een wijziging in de verwerkte Persoonsgegevens of in de betrouwbaarheidseisen, de privacyregelgeving of uw eisen kan aanleiding zijn om deze Overeenkomst aan te vullen of te wijzigen. Indien dit leidt tot significante aanpassingen in de onderliggende opdracht, of wanneer Wij niet kunnen voorzien in een passend niveau van bescherming, kan dit voor Ons reden zijn om de Onderliggende opdracht te beëindigen.
  1. Slotbepalingen
  • Op Uw verzoek stellen Wij U alle informatie ter beschikking die nodig is om de nakoming van de in deze Overeenkomst neergelegde verplichtingen aan te tonen. Wij maken audits mogelijk, waaronder inspecties, door U of een door U gemachtigde controleur en dragen er aan bij. De kosten van dergelijke verzoeken, audits of inspecties zijn voor Uw rekening. Ook eventuele audits bij Onze Sub-verwerkers zijn voor Uw rekening;
  • Partijen werken desgevraagd samen met de toezichthoudende autoriteit bij het vervullen van haar taken;
  • Op deze Overeenkomst is Nederlands recht van toepassing, de Nederlandse rechter is bevoegd kennis te nemen van alle geschillen die voortvloeien uit of samenhangen met deze Overeenkomst;
  • Deze Overeenkomst is hoger in rang dan andere door Ons met U gesloten overeenkomsten. Als U algemene voorwaarden gebruikt dan zijn deze niet van toepassing op deze Overeenkomst. De bepalingen uit deze Overeenkomst gaan boven de bepalingen in Onze algemene voorwaarden, tenzij expliciet naar een bepaling in de algemene voorwaarden wordt verwezen;
  • Als één of meerdere bepalingen in deze Overeenkomst niet geldig blijken te zijn, dan heeft dit geen gevolgen voor de geldigheid van de andere bepalingen in deze Overeenkomst. Wij treden dan met U in overleg om Gezamenlijk een nieuwe bepaling op te stellen. Deze bepaling zal zoveel als mogelijk in de geest zijn van de ongeldige bepaling, maar dan uiteraard zo vormgegeven dat de bepaling wel geldig is.

Bijlage

Persoonsgegevens

De Verwerking van de Persoonsgegevens vindt plaats in het kader van activiteiten noodzakelijk voor het aanvragen en verantwoorden van de in de Onderliggende opdracht beschreven werkzaamheden en voor de onderbouwing hiervan.

In het kader van de uitvoering van onze Onderliggende opdracht zijn wij verplicht Persoonsgegevens conform de daartoe strekkende regelgeving te rapporteren aan de daartoe bevoegde instanties.

De volgende Persoonsgegevens zullen in het kader van de Onderliggende opdracht worden verwerkt:

  • Kopie Identiteitsbewijzen;
  • Burgerservicenummers;
  • Loongegevens;
  • Arbeidscontractgegevens (o.a. datum in-/uit dienst);
  • Functie en functie inhoud;
  • V.;
  • Bedrijfsmatige contactgegevens;
  • Deelnemers gegevens;
  • Gegevens van financiële aard.

Verwerking

Wij verwerken op de volgende wijzen Persoonsgegevens voor u:

De benodigde Persoonsgegevens worden door ons bij u opgevraagd met reden van verwerking.

U bepaalt welke Persoonsgegevens worden verwerkt en op welke wijze, u bent verantwoordelijke voor deze verwerking.

Wij gebruiken alleen de gegevens die voor de uitvoering van de Onderliggende opdracht nodig zijn. Met andere woorden: we zorgen ervoor dat bij elk gebruik van persoonsgegevens alleen die gegevens worden gebruikt als deze accuraat, toereikend, ter zake dienend en niet bovenmatig zijn.

De gegevens worden bij ons gecontroleerd op volledigheid en relevantie en digitaal opgeslagen en verwerkt voor melding aan de daartoe bevoegde instanties op de door die instantie voorgeschreven wijze.

Binnen onze organisatie hebben Onze adviseurs en de door Ons daartoe bevoegd aangewezen medewerkers Binnendienst toegang tot de Persoonsgegevens vanuit hun rol in de uitvoering van de Onderliggende opdracht op het gebied van verzamelen, verwerken, rapporteren, adviseren of controleren.

Technische en organisatorische maatregelen

Wij nemen onder meer de volgende technische en organisatorische maatregelen ter bescherming van de Persoonsgegevens tegen verlies of onrechtmatige Verwerking:

  1. Een adequate fysieke en digitale toegangsbeveiliging zodat de Persoonsgegevens alleen toegankelijk zijn voor geautoriseerd personeel;
  2. Adequaat en actueel mechanisme in werking om kwaadaardige software, waaronder – maar niet beperkt tot – computervirussen, op te sporen en af te wenden;
  3. Beveiligde netwerkverbindingen en beveiligde versleuteling van verwerkingsapparatuur
  4. Adequate en actuele back-up procedure zodat verlies van Persoonsgegevens wordt tegengegaan. De back-up worden op een fysiek gescheiden (brand)veilige locatie bewaard.

Laatste nieuws

Volg ons op LinkedIn & Twitter!

Referenties

“TRIAS speelt onder meer een belangrijke rol bij het subsidiebewust maken van onze medewerkers. Zij coachen onze mensen bij het vinden van subsidiemogelijkheden.”

Ton HanegraafSint Michielsgestel

“Bij TRIAS weten ze precies welke informatie er in een subsidie aanvraag moet.”

Tim DingsQineto

“Ik ben zeer gecharmeerd geraakt van hun aanpak: uiteraard van de kennis, maar daarnaast de goede uitleg, het regelmatig evalueren.”

Hay HeggerArenborg

“De rol van TRIAS is voor ons heel belangrijk. Niet alleen omdat zij de trajecten en aanvragen uitvoeren, ook omdat ze ons hebben gewezen op vormen van subsidie die we nog niet kenden.”

John MarrugCorporis Medical

“Je merkt dat ze echt geïnteresseerd zijn in onze business, dat ze zich in de materie verdiepen, meedenken.”

Rik KurstenTeboza

“TRIAS had het overzicht terwijl de diverse partijen zich volledig op hun eigen onderdeel konden concentreren”

Isja FinalyVereniging Hendrick de Keyser

“Een die adviseert en begeleid, maar ons ook soms de spiegel voorhoudt. Waardoor we weer tot nieuwe inzichten en ideeën komen.”

Rik KurstenTeboza

“Zowel bij ons als bij TRIAS speelt de menselijke factor een belangrijke rol.”

Sjoerd DerkxSystemec

“Ze doen heel veel regelwerk en ontzorgen ons voor een belangrijk deel. Omdat ze veel kennis hebben en snel weten te schakelen verlopen trajecten beter.”

Roy DenessenGemeente Venlo

“In die periode heeft TRIAS onze mensen wat de kennis van subsidies betreft zonder meer naar een hoger niveau gebracht.”

Ton Hanegraaf Sint Michielsgestel

“Dankzij TRIAS ligt er nu een goed fundament om op voort te bouwen.”

Theo VerripsOrthos TR

“Een van de specialiteiten van TRIAS, is het op de juiste manier opstellen van een aanvraag. Ze denken mee, adviseren hoe het een en ander in de aanvraag verwerkt moet worden en over welke zaken er specifiek in horen te staan.”

Vincent HooftmanGemeente Oirschot

“TRIAS heeft voor ons de weg geëffend, de juiste partij benaderd en het hele traject begeleid.”

Tom FrissenQwiek

“Subsidieadviseurs van TRIAS weten dankzij hun kennis precies wat er zoal in een aanvraag moet komen te staan en waar op gelet moet worden.”

Petra Kregting ForteWelzijn

“TRIAS heeft de kennis om de juiste partijen bij elkaar te brengen.”

Ruud DerksIM Efficiency

“Tot grote tevredenheid werd de subsidie toegekend met het maximaal aantal te behalen punten.”

Ton HanegraafGemeente Sint-Michielsgestel