Persoonsgegevens (eenzijdige verwerkingsovereenkomst)

Wij verwerken de persoonsgegevens uitsluitend op een manier die wij met onze opdrachtgevers hebben afgesproken in de onderliggende opdracht. Dit verwerken doen wij niet langer of uitgebreider dan noodzakelijk voor de uitvoering van de onderliggende opdracht. De verwerking vindt plaats volgens schriftelijke instructies, tenzij wij op grond van de wet- of regelgeving verplicht zijn om anders te handelen (bijvoorbeeld bij het maken van een afweging of een melding van een “ongebruikelijke transactie” moet worden gedaan in het kader van de Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft)).

Indien een instructie, naar onze mening, een inbreuk maakt op de AVG stellen wij onze opdrachtgevers daarvan onmiddellijk in kennis.

De verwerking vindt plaats onder de verantwoordelijkheid van opdrachtgever. Wij hebben geen zeggenschap over het doel en de middelen van de verwerking en nemen geen beslissingen over zaken als het gebruik van persoonsgegevens, de bewaartermijn van de voor opdrachtgevers verwerkte persoonsgegevens en het verstrekken van persoonsgegevens aan derden. Opdrachtgever moet er voor zorgen dat opdrachtgever het doel en de middelen van de verwerking van de persoonsgegevens duidelijk heeft vastgesteld. De zeggenschap over de persoonsgegevens berust nooit bij ons. Als wij een zelfstandige verplichting mochten hebben op basis van wettelijke voorschriften, dan leven wij deze verplichtingen na.

Opdrachtgever is wettelijk verplicht de vigerende wet- en regelgeving op het gebied van privacy na te leven. In het bijzonder dient opdrachtgever vast te stellen of er sprake is van een rechtmatige grondslag voor het verwerken van de persoonsgegevens. Wij zorgen ervoor dat wij voldoen aan de op ons als verwerker van toepassing zijnde regelgeving op het gebied van de verwerking van persoonsgegevens en de afspraken die we hebben gemaakt in onze overeenkomst.

Wij dragen zorg dat alleen onze medewerkers toegang hebben tot de persoonsgegevens. De uitzondering hierop is opgenomen in de volgende alinea. Wij beperken de toegang tot medewerkers voor wie de toegang noodzakelijk is voor hun werkzaamheden, waarbij de toegang beperkt is tot persoonsgegevens die deze medewerkers nodig hebben voor hun werkzaamheden. Wij zorgen er bovendien voor dat de medewerkers die toegang hebben tot de persoonsgegevens een juiste en volledige instructie hebben gekregen over de omgang met persoonsgegevens en dat zij bekend zijn met de verantwoordelijkheden en wettelijke verplichtingen.

Wij kunnen andere verwerkers (sub-verwerkers) inschakelen voor het uitvoeren van bepaalde werkzaamheden die voortvloeien uit de onderliggende opdracht, bijvoorbeeld als deze sub-verwerkers over specialistische kennis of middelen beschikken waarover wij niet beschikken. Als het inschakelen van sub-verwerkers tot gevolg heeft dat deze persoonsgegevens gaan verwerken dan zullen wij die sub-verwerkers (schriftelijk) de verplichtingen uit onze overeenkomst opleggen. Voor het inschakelen van overige sub-verwerkers vragen wij eerst toestemming aan de opdrachtgevers. Opdrachtgevers kunnen toestemming weigeren maar dit kan in sommige gevallen betekenen dat wij de onderliggende opdracht moeten beëindigen. Of een opdracht om deze reden moet worden beëindigd, is ter uitsluitende beoordeling aan ons.

Voor zover mogelijk verlenen wij opdrachtgever bijstand bij het vervullen van verplichtingen van de opdrachtgever om verzoeken om uitoefening van rechten van betrokkenen af te handelen. Als wij (rechtstreeks) verzoeken ontvangen van betrokkene(n) om uitoefening van hun rechten (bijvoorbeeld inzage, wijziging of verwijdering van persoonsgegevens), dan zenden wij deze verzoeken door naar opdrachtgever. Opdrachtgever handelt deze verzoeken zelf af, waarbij wij opdrachtgever natuurlijk behulpzaam kunnen zijn als wij in het kader van de onderliggende opdracht toegang hebben tot deze persoonsgegevens. Hiervoor kunnen wij kosten in rekening brengen.

Wij zullen de persoonsgegevens alleen verwerken binnen de Europese Economische Ruimte, tenzij wij hierover met opdrachtgever andere afspraken hebben gemaakt. Deze afspraken leggen wij gezamenlijk schriftelijk vast, of per e-mail.

Als wij een verzoek krijgen om persoonsgegevens ter beschikking te stellen dan doen wij dit alleen als het verzoek is gedaan door een daartoe bevoegde instantie. Bovendien beoordelen wij eerst of wij van mening zijn dat het verzoek bindend is. Als er geen strafrechtelijke of andere juridische belemmeringen zijn, dan stellen wij opdrachtgever op de hoogte van het verzoek. Wij proberen dat op zodanig korte termijn te doen, dat het voor opdrachtgever mogelijk is om eventuele rechtsmiddelen tegen de verstrekking van de persoonsgegevens in te stellen. Als wij opdrachtgever op de hoogte mogen stellen dan zullen wij ook met opdrachtgever overleggen over de wijze waarop en welke gegevens wij ter beschikking zullen stellen.

Beveiligingsmaatregelen

Wij hebben toereikende beveiligingsmaatregelen genomen. Bij het nemen van de beveiligingsmaatregelen is rekening gehouden met de te mitigeren risico’s, de stand van de techniek en de kosten van de beveiligingsmaatregelen.

Opdrachtgever heeft zich goed geïnformeerd over de beveiligingsmaatregelen die wij hebben genomen en is van mening dat deze maatregelen een beveiligingsniveau hebben dat past bij de aard van de persoonsgegevens en de omvang, context, doeleinden en risico’s van de verwerking.

Wij informeren opdrachtgever als een van de beveiligingsmaatregelen substantieel wijzigt.

Wij bieden passende waarborgen voor de toepassing van de technische en organisatorische beveiligingsmaatregelen met betrekking tot de te verrichten verwerkingen. Als opdrachtgever de wijze waarop wij de beveiligingsmaatregelen naleven wil laten inspecteren, dan kan opdrachtgever hiertoe een verzoek aan ons doen. Wij zullen hierover gezamenlijk met opdrachtgever afspraken maken. De kosten van een inspectie zijn voor rekening van de opdrachtgever. Opdrachtgever stelt aan ons een kopie van het inspectierapport ter beschikking.

Datalekken

Als er sprake is van een datalek dan stellen wij opdrachtgever daarvan op de hoogte. Wij streven ernaar dit te doen binnen 48 uur nadat wij dit datalek hebben ontdekt, of zo snel mogelijk nadat wij daarover door onze sub-verwerker(s) zijn geïnformeerd. Wij zullen opdrachtgever daarbij voorzien van de informatie die opdrachtgever redelijkerwijs nodig heeft om - indien nodig - een juiste en volledige melding te doen aan de Autoriteit Persoonsgegevens en eventueel de betrokkene(n) in het kader van de Meldplicht Datalekken c.q. wij zenden de melding van onze sub-verwerker aan u door. Ook van de door ons, of onze sub-verwerker, naar aanleiding van het datalek genomen maatregelen houden wij opdrachtgever op de hoogte.

De melding van datalekken aan de Autoriteit Persoonsgegevens en (eventueel) betrokkene(n) is altijd de verantwoordelijkheid van de opdrachtgever.

Het (bij)houden van een register van datalekken is altijd de verantwoordelijkheid van de opdrachtgever.

Geheimhoudingsplicht

Wij houden de van opdrachtgever verkregen persoonsgegevens geheim en verplichten onze medewerkers en eventuele sub-verwerkers ook tot geheimhouding.

Aansprakelijkheid

Opdrachtgever staat er voor in dat de verwerking van persoonsgegevens op basis van onze overeenkomst niet onrechtmatig is en geen inbreuk maakt op de rechten van betrokkene(n).

Wij zijn niet aansprakelijk voor schade die het gevolg is van het door opdrachtgever niet naleven van de AVG of andere wet- of regelgeving. Opdrachtgever vrijwaart ons ook voor aanspraken van derden op grond van zulke schade. De vrijwaring geldt niet alleen voor de schade die derden hebben geleden (materieel maar ook immaterieel), maar ook voor de kosten die wij in verband daarmee moeten maken, bijvoorbeeld in een eventuele juridische procedure, en de kosten van eventuele boetes die aan ons worden opgelegd ten gevolge van het handelen van opdrachtgever.

De in de onderliggende opdracht en daarbij behorende algemene voorwaarden overeengekomen beperking van onze aansprakelijkheid is van kracht op de verplichtingen zoals opgenomen in onze overeenkomst, met dien verstande dat een of meerdere schadevorderingen uit hoofde van onze overeenkomst en /of de onderliggende opdracht nimmer tot overschrijding van de beperking kan leiden.

Beëindiging en teruggave / vernietiging persoonsgegevens

Als de onderliggende opdracht wordt beëindigd dan zullen wij de door opdrachtgever aan ons verstrekte persoonsgegevens aan opdrachtgever terug overdragen of – als opdrachtgever ons daarom verzoekt – vernietigen. Wij zullen uitsluitend een kopie van de persoonsgegevens bewaren als wij hiertoe op grond van wet- of regelgeving verplicht zijn.

De kosten van het verzamelen en overdragen van persoonsgegevens bij het eindigen van de onderliggende opdracht zijn voor rekening van opdrachtgever. Datzelfde geldt voor de kosten van de vernietiging van de persoonsgegevens. Als opdrachtgever daarom vraagt dan geven wij opdrachtgever vooraf een kosteninschatting.