Partijen:
1. De klant
Hierna: “Verwerkingsverantwoordelijke”
en
2. Full Stack Development h.o.d.n CloudEnv, geregistreerd bij de Kamer van Koophandel onder nummer 77874242 kantoorhoudende te Velp (6882 BW) aan de Looierstraat 5, hierbij vertegenwoordigd door de heer O. Kooi, hierna ook te noemen: “CloudEnv’’ of “Verwerker”.
Overwegingen:
A. Verwerkingsverantwoordelijke en CloudEnv zijn een overeenkomst aangegaan voor de verlening van diensten als waarbij CloudEnv in opdracht van Verwerkingsverantwoordelijke Persoonsgegevens verwerkt waarvoor Verwerkingsverantwoordelijke verantwoordelijke is.
B. Verwerkingsverantwoordelijke en CloudEnv wensen in deze overeenkomst de wederzijdse rechten en verplichtingen voor de Verwerking van Persoonsgegevens door CloudEnv vast te leggen overeenkomstig de relevante wet- en regelgeving.
1. Partijen zijn het volgende overeengekomen:
1.1 De in deze overeenkomst gebruikte woorden of formuleringen hebben de volgende betekenis, tenzij de AVG of de Uitvoeringswet AVG anders bepaalt:
a Betrokkene: degene op wie (een) Persoonsgegeven(s) betrekking heeft/hebben;
b Hoofdovereenkomst: de overeenkomst(en) levering en installatie van goederen bij/voor Verwerkinsverantwoordelijke, waarbij Verwerkingsverantwoordelijke aan CloudEnv opdracht heeft gegeven om Verwerkingen te verrichten;
c Overeenkomst: deze verwerkersovereenkomst;
d Persoonsgegevens: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon dat CloudEnv op grond van de Hoofdovereenkomst Verwerkt of dient te Verwerken;
e Verwerken/verwerking: alle handelingen of reeks handelingen uitgevoerd op Persoonsgegevens, al dan niet door geautomatiseerde middelen, zoals verzamelen, vastleggen, structureren, opslaan, aanpassen of wijzigen, ophalen, raadplegen, gebruiken, bekendmaken door overdracht, verspreiding of anderszins beschikbaar maken, afstemmen of combineren, blokkeren, wissen of vernietigen.
f AVG: Algemene Verordening Gegevensbescherming (Verordening van de Europese Unie 2016/679 van 27 april 2016).
2. Toepasselijkheid
2.1 Tenzij Partijen schriftelijk anders zijn overeengekomen, zijn de bepalingen van deze Overeenkomst van toepassing op iedere Verwerking door CloudEnv op grond van de Hoofdovereenkomst tussen Verwerkingsverantwoordelijke en CloudEnv. De afspraken in deze overeenkomst hebben voorrang boven alle bepalingen in reeds gesloten overeenkomsten, waaronder de Hoofdovereenkomst.
3. Verwerking door CloudEnv
3.1 CloudEnv neemt de bescherming van Persoonsgegevens serieus en zal daarom zoveel als voor haar naar redelijkheid mogelijk zorgdragen voor de naleving van de voorwaarden die op grond van de AVG, de Uitvoeringswet AVG en andere relevante wet- en regelgeving worden gesteld aan het verwerken van Persoonsgegevens.
3.2 CloudEnv zal uitsluitend persoonsgegevens verwerken voor zover dat noodzakelijk is om aan haar verplichtingen uit de Hoofdovereenkomst te voldoen.
3.3 CloudEnv verwerkt de Persoonsgegevens slechts in opdracht en volgens de instructies van Verwerkingsverantwoordelijke en met het doel als bepaald in deze overeenkomst en de Hoofdovereenkomst. CloudEnv zal geen zelfstandige beslissing nemen over het gebruik en de duur van de opslag van de Persoonsgegevens. CloudEnv zal Persoonsgegevens bovendien niet met een ander doel dan de uitvoering van de Hoofdovereenkomst laten verwerken door derden. Op de in dit artikel genoemde uitgangspunten wordt alleen afgeweken als de (Nederlandse) wet of autoriteiten daartoe verplichten.
3.4 Om uitvoering aan de overeenkomst te kunnen geven zal CloudEnv de in bijlage 1 opgesomde persoonsgegevens moeten verwerken.
3.5 CloudEnv zal de Persoonsgegevens bewaren voor de duur als opgenomen in bijlage 2.
3.6 De Persoonsgegevens waartoe CloudEnv op grond van de Hoofdovereenkomst toegang heeft, worden met de grootste zorg behandeld. Om de veiligheid van de Persoonsgegevens zoveel mogelijk te kunnen waarborgen, verschaft CloudEnv enkel toegang tot de Persoonsgegevens aan haar werknemers voor zover dat nodig is voor het verrichten van de diensten op grond van de Hoofdovereenkomst. CloudEnv en de aan haar verbonden personen betrachten uiteraard geheimhouding ten aanzien van de onder deze Overeenkomst verwerkte Persoonsgegevens.
3.7 De verwerking van persoonsgegevens door of namens CloudEnv vindt slechts buiten de Europese Economische Ruimte (EER) plaats indien aan de door artikel 44 AVG gestelde voorwaarden wordt voldaan.
3.8 Het is mogelijk dat CloudEnv op grond van een bevel van een gerechtelijke of bestuurlijke instantie gehouden is om Persoonsgegevens aan een derde te verstrekken. In dat geval zal CloudEnv Verwerkingsverantwoordelijke binnen 7 werkdagen na ontvangst van een dergelijk bevel en voordat door CloudEnv op het bevel is gehandeld, daarvan in kennis stellen om Verwerkingsverantwoordelijke in staat te stellen tegen het dwangmiddel bezwaar of beroep aan te tekenen. De verantwoordelijkheid om rechtsmiddelen tegen een dergelijk bevel aan te wenden ligt uitdrukkelijk bij Verwerkingsverantwoordelijke. Als de betreffende wetgeving op grond waarvan het bevel is gegeven, kennisgeving van Verwerkingsverantwoordelijke door CloudEnv op grond van gewichtige redenen van algemeen belang verbiedt, vindt kennisgeving niet plaats.
3.9 Indien CloudEnv van oordeel is dat op grond van een wettelijke verplichting Persoonsgegevens ter beschikking moeten worden gesteld aan een daartoe bevoegde instantie, stelt CloudEnv Verwerkingsverantwoordelijke daarvan schriftelijk in kennis, waarna, op verzoek van Verwerkingsverantwoordelijke, eventueel ook de betreffende wettelijke verplichting wordt benoemd en relevante informatie zal worden verstrekt. De kennisgeving vindt niet plaats als de betreffende wetgeving kennisgeving op grond van gewichtige redenen van algemeen belang verbiedt.
3.10 CloudEnv zal Verwerkingsverantwoordelijke in kennis stellen van alle verzoeken met betrekking tot inzage in de Persoonsgegevens die rechtstreeks van een Betrokkene zijn ontvangen.
3.11 CloudEnv maakt voor haar dienstverlening gebruik van diensten van derden die daardoor kunnen worden aangemerkt als sub-verwerker. Bij de selectie van deze partijen hanteert CloudEnv de hoogste standaarden met betrekking tot de verwerking van Persoonsgegevens. De door CloudEnv gehanteerde normen zien onder andere op het bieden van afdoende garanties met betrekking tot het toepassen van passende technische en organisatorische maatregelen door de sub-verwerker zodat de verwerking aan de wettelijke verplichtingen voldoet en de bescherming van de rechten van de Betrokkenen worden gewaarborgd. Op verzoek zal CloudEnv de gegevens van de sub-verwerkers verschaffen. Verwerkingsverantwoordelijke geeft algemene toestemming voor het inschakelen van sub-verwerkers.
3.12 Verwerkingsverantwoordelijke gaat hierbij akkoord met en geeft toestemming in algemene zin, als bedoeld in lid 2 van artikel 28 AVG, voor toekomstige uitbreidingen c.q. wijzigingen van het personeelsbestand bij CloudEnv en het laten verrichten van Verwerkingen door andere c.q. nieuwe medewerkers van CloudEnv.
4. Meldplicht datalekken
4.1 CloudEnv zal Verwerkingsverantwoordelijke, nadat CloudEnv ervan kennis heeft gekregen, in kennis stellen van iedere inbreuk op de beveiliging (van welke aard dan ook) die (mede) betrekking heeft of kan hebben op de verwerking van Persoonsgegevens. CloudEnv zal Verwerkingsverantwoordelijke, indien mogelijk, inlichten over (i) de aard van de inbreuk; (ii) de (mogelijk) getroffen Persoonsgegevens; (iii) de vastgestelde en verwachte gevolgen van de inbreuk voor de verwerking van Persoonsgegevens en de daarbij betrokken personen; en (iv) de maatregelen die CloudEnv heeft getroffen en zal treffen om de negatieve gevolgen van de inbreuk te beperken.
4.2 Ter bevordering van de dienstverlening door CloudEnv en de beveiliging van Persoonsgegevens is Verwerkingsverantwoordelijke verplicht CloudEnv zo snel mogelijk, doch binnen 24 uur, te informeren over ieder lek van Persoonsgegevens waarvan zij kennis heeft genomen. Verwerkingsverantwoordelijke is aansprakelijk en vrijwaart CloudEnv voor alle schade die ontstaat of is ontstaan door nalatigheid van Verwerkingsverantwoordelijke omtrent deze verplichting.
4.3 De verantwoordelijkheid voor het melden van een datalek bij de autoriteiten en/of bij Betrokkenen berust te allen tijde bij Verwerkingsverantwoordelijke.
5. Beveiligingsmaatregelen en inspectie
5.1 Om ervoor te zorgen dat de Persoonsgegevens zoveel mogelijk worden beschermd neemt CloudEnv maatregelen om Persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking. Indien door Verwerkingsverantwoordelijke aanvullende maatregelen worden gewenst, kan in overleg met CloudEnv worden bekeken of de gewenste maatregelen mogelijk en/of doeltreffend zijn en tegen welke kosten de aanvullende maatregelen kunnen worden aangeboden. Mocht een van de beveiligingsmaatregelen van CloudEnv worden gewijzigd, dan wordt dit onderdeel van het door CloudEnv gevoerde beleid ten aanzien van de bescherming van de in opdracht van Verwerkingsverantwoordelijke verwerkte persoonsgegevens, welke op verzoek aan Verwerkingsverantwoordelijke kan wordt verstrekt. CloudEnv treft hiertoe tenminste de volgende technische en organisatorische maatregelen:
1. Datacenters: Juridisch gescheiden Datacenters die minimaal voldoen aan alle veiligheidseisen in kader van AVG. Beide zijn ISO27001 gecertificeerd.
2. Back-up: Van alle Cloud Werkplek gebruikersdata en -instellingen wordt minimaal tweemaal per dag een back-up gemaakt. Deze back-up blijft minimaal 10 dagen bewaard in het datacenter. Dagelijks wordt er minimaal één back-up naar een secundair datacenter verplaatst. Deze off-site back-ups worden minimaal 6 maanden bewaard. Dit noemt men ook wel “retentie”
3. Firewall: Dubbel uitgeruste (redundant) firewalls om het interne netwerk van Verwerker van het Internet te scheiden, waarmee al het verkeer naar binnen en naar buiten gescand en waar nodig geblokkeerd wordt.
4. Antivirussoftware: Niet alleen in de datacenters van Verwerker, maar ook op alle endpoints (indien van toepassing), zoals: werkplekken, remote desktops en Citrix servers.
5. Spam- en malwarefiltering: op alle binnenkomende en uitgaande e-mail.
6. Netwerk: Gescheiden netwerken voor Opdrachtgevers, managementomgeving en verschillende andere onderdelen van de infrastructuur. Deze netwerken zijn fysiek van elkaar gescheiden of gescheiden door gebruik te maken van VLANs.
7. Datacommunicatie: Alle verbindingen naar het datacenter zijn versleuteld met certificaten met up-to-date algoritmes.
8. Toegang: Voor toegang van accounts met verhoogde rechten is minimaal zogenaamde two-factor authenticatie verplicht.
9. Storage: volledig redundante storage voor productie en back-up, back-up storage draait op andere hardware dan de productie storage.
10. Loadbalancing: een groot aantal diensten wordt standaard loadbalanced aangeboden, voor de meeste overige diensten is loadbalancing optioneel beschikbaar.
5.2 CloudEnv heeft vertrouwen in de genomen beveiligingsmaatregelen en biedt Verwerkingsverantwoordelijke de mogelijkheid om de naleving van de beveiligingsmaatregelen door CloudEnv te inspecteren of te laten inspecteren door een neutrale en deskundige onderzoeksinstantie. Uiteraard wordt aan het onderzoek wel de voorwaarde gesteld dat geheimhouding van Persoonsgegevens en van de bevindingen van het onderzoek tegenover derden wordt gegarandeerd. CloudEnv kan vanzelfsprekend geen inspecties laten verrichten bij sub-verwerkers. Omtrent het gedeelte van de beveiliging waarvoor sub-verwerkers verantwoordelijk zijn, kan CloudEnv op verzoek van Verwerkingsverantwoordelijke, het gegevensbeschermingsbeleid en de eventuele certificaten van sub-verwerkers verstrekken.
5.3 Omdat de in artikel 5.2 bedoelde inspecties belastend zijn voor de bedrijfsvoering van CloudEnv komen partijen overeen dat deze inspecties alleen plaatsvinden nadat Verwerkingsverantwoordelijke de bij CloudEnv aanwezige soortgelijke inspectierapportages heeft opgevraagd en beoordeeld en voldoende zwaarwegende, redelijke argumenten aanbrengt die een door Verwerkingsverantwoordelijke geïnitieerde inspectie alsnog rechtvaardigen. Een inspectie is gerechtvaardigd indien de bij CloudEnv aanwezige soortgelijke inspectierapportages geen of onvoldoende uitsluitsel geven over het naleven van deze Overeenkomst door CloudEnv. De door Verwerkingsverantwoordelijke geïnitieerde inspectie vindt twee weken na voorafgaande aankondiging door Verwerkingsverantwoordelijke, en maximaal eens per jaar plaats.
5.4 Alle kosten, vergoedingen en onkosten in verband met de inspectie, met inbegrip van personeelskosten en overige interne kosten, zoals winstderving, die CloudEnv moet maken ter ondersteuning van de inspectie komen voor rekening van Verwerkingsverantwoordelijke.
5.5 Verwerkingsverantwoordelijke zal CloudEnv direct na ontvangst een exemplaar van het rapport van de Inspectie verstrekken.
5.6 Vanwege het belang van de bescherming van Persoonsgegevens heeft CloudEnv zich bij de volgende instanties aangesloten en de volgende certificaten behaald, welke zijn opgenomen in bijlage X. CloudEnv zorgt ervoor dat de gedragscodes van de instanties waarvan zij lid is en die behoren bij de behaalde certificaten nauwkeurig en consequent worden nageleefd. Op verzoek zal een afschrift van lidmaatschap van de organisatie of het certificaat worden getoond.
6. Verplichtingen Verwerkingsverantwoordelijke
6.1 Verwerkingsverantwoordelijke gaat ermee akkoord en staat ervoor in dat de verschaffing van de Persoonsgegevens overeenkomstig deze overeenkomst in overeenstemming is met de AVG, de Uitvoeringswet AVG en overige relevante wet- en regelgeving. Verwerkingsverantwoordelijke is zelf verantwoordelijk voor het toezicht hierop, middels de haar toekomende maatregelen.
7. Aansprakelijkheid
7.1 Alle verwerkingen vinden plaats onder verantwoordelijkheid van de Verwerkingsverantwoordelijke. CloudEnv is niet aansprakelijk voor schade, tenzij de schade het gevolg is van opzet of bewuste roekeloosheid aan de zijde van CloudEnv. In het geval CloudEnv aansprakelijk is jegens Verwerkingsverantwoordelijke of Betrokkene is deze aansprakelijkheid beperkt tot het bedrag dat door de verzekeraar van CloudEnv wordt uitgekeerd. Als de verzekeraar van CloudEnv niet tot uitkeren overgaat, is de aansprakelijkheid van CloudEnv beperkt tot een bedrag ter hoogte van 15% van het factuurbedrag over de afgelopen zes maanden. Aansprakelijkheid van CloudEnv vanwege gevolgschade, waaronder maar niet beperkt tot: omzet- of winstderving en reputatieschade, is uitgesloten.
7.2 Verwerkingsverantwoordelijke is gehouden om CloudEnv zo spoedig mogelijk, doch binnen 72 uur nadat Verwerkingsverantwoordelijke dit heeft geconstateerd/ontdekt of redelijkerwijs had kunnen constateren/ontdekken te informeren over iedere vermeende aanspraak op CloudEnv. Na de informatieverschaffing zal CloudEnv de schade, indien CloudEnv van mening is hiervoor aansprakelijk te zijn, kosteloos naar redelijkheid beperken en herstellen. Pas wanneer deze remedie geen uitkomst biedt om de schade effectief te verhelpen, heeft Verwerkingsverantwoordelijke recht op vergoeding van de door haar geleden schade. Wanneer Verwerkingsverantwoordelijke CloudEnv omtrent de schade/aansprakelijkheid te laat heeft geïnformeerd, vervalt het recht op enige remedie. De bewijslast dat de schade aan CloudEnv is toe te rekenen, ligt bij Verwerkingsverantwoordelijke.
8. Beëindiging
8.1 De Overeenkomst is voor onbepaalde tijd aangegaan en eindigt op het moment dat de Hoofdovereenkomst eindigt.
8.2 Tenzij partijen schriftelijk anders overeenkomen, zal CloudEnv in geval van beëindiging van de Overeenkomst – voor zover mogelijk – alle aan haar ter beschikking gestelde Persoonsgegevens binnen een termijn van 4 weken aan Verwerkingsverantwoordelijke retourneren en alle digitale kopieën van Persoonsgegevens vernietigen. Indien naar het oordeel van CloudEnv een wettelijke verplichting het geheel of gedeeltelijk retourneren of vernietigen van de Persoonsgegevens door CloudEnv verbiedt of beperkt, zal zij Verwerkingsverantwoordelijke schriftelijk informeren over de toepasselijke wet- en regelgeving.
9. Overdracht rechten en plichten
9.1 Vanwege de vertrouwelijke aard van de dienstverlening zullen partijen de rechten en verplichtingen uit deze overeenkomst niet zonder schriftelijke toestemming van de andere partij aan derden overdragen.
10. Deelbaarheid
10.1 Indien één of meer bepalingen van deze Overeenkomst niet rechtsgeldig blijkt te zijn, zal de Overeenkomst voor het overige van kracht blijven. Partijen zullen over de bepalingen die niet rechtsgeldig blijken te zijn overleg plegen, teneinde een vervangende regeling te treffen die wel rechtsgeldig is en zoveel mogelijk aansluit bij de strekking van de te vervangen regeling.
10.2 Indien de Europese Commissie en/of de Autoriteit Persoonsgegevens, of diens rechtsopvolgers, zou besluiten om standaardcontractbepalingen vast te stellen als bedoeld in artikel 28 lid 7 en 8 AVG, zullen deze standaardcontractbepalingen tussen partijen gelden vanaf het moment dat ze in werking treden. Indien de bepalingen afwijken van de relevante bepalingen uit de Overeenkomst, dan zullen ze daarvoor in de plaats treden.
11. Toepasselijk recht en geschillen
11.1 Nederlands recht is van toepassing op deze Overeenkomst.
11.2 Alle geschillen voortvloeiende uit of samenhangende met deze Overeenkomst zullen uitsluitend worden voorgelegd aan de bevoegde rechter van het arrondissement waarin CloudEnv haar hoofdvestigingsplaats heeft.