In het kader van de Algemene Verordening Persoonsgegevens (AVG) willen wij graag een aantal zaken met u overeenkomen en aan u bevestigen. Dit betreft een aanvulling op de al met u aangegane raamovereenkomst van samenwerking en eventuele deelovereenkomsten. In dit schrijven wordt u, opdrachtnemer in de raamovereenkomst van opdracht, aangemerkt als verwerker van persoonsgegevens. Opdrachtgever The House of Growth wordt aangemerkt als verwerkingsverantwoordelijke. Beide hierna gezamenlijk aan te duiden als partijen. In het kader van de AVG bent u (mede) verantwoordelijk voor de geheimhouding en zorgvuldige verwerking en bewaring van de persoonsgegevens. Daarom komen wij – in aanvulling op de raamovereenkomst van samenwerking – graag als volgt met u overeen:

  1. Specificatie van verwerkingsactiviteiten en te verwerken persoonsgegevens

1.1 Voor de volgende werkzaamheden wordt u, als opdrachtnemer, aangemerkt als verwerker van persoonsgegevens:

  • Het opslaan en aanpassen van persoonsgegevens;
  • Het corresponderen met klanten, via schrijven, e-mail, telefoon en in persoon;
  • Het bijhouden van uren en eventueel locatie(s) waar de dienst heeft plaatsgevonden;
  • Het schrijven van (offerte)voorstellen voor klanten;

1.2 In het kader van de overeenkomst zal verwerker de volgende persoonsgegevens van klanten verwerken:

  • Voornamen, achternaam;
  • Geslacht;
  • Functietitel;
  • Telefoonnummer(s);
  • E-mail adres(sen);
  • Geboortedatum;
  • Adres, postcode, woonplaats, land;
  • Opleidingsniveau;
  • Eventueel CV.
  1. Doeleinden van verwerking

2.1 Verwerker zal persoonsgegevens verwerken ten behoeve van het verlenen van de dienst, zoals omschreven in de raamovereenkomst van opdracht en eventuele deelovereenkomsten.

2.2 Verwerker zal onder de voorwaarden van deze verwerkersovereenkomst in opdracht van verwerkingsverantwoordelijke persoonsgegevens verwerken, overeenkomstig diens schriftelijke instructies.

2.3 Verwerking zal uitsluitend plaatsvinden in het kader van het leveren van de dienst, het corresponderen met klanten, het up-to-date houden van klantgegevens en het registreren van uren teneinde een sluitende urenverantwoording vast te leggen.

  1. Duur van de overeenkomst

3.1 De looptijd van deze overeenkomst is gelijk aan de looptijd van de raamovereenkomst van opdracht en eventuele deelovereenkomsten.

3.2 Alle bepalingen in deze brief gelden tijdens, maar ook (voor zover relevant) na eventuele afloop van de onderliggende raamovereenkomst van opdracht.

  1. Verplichtingen verwerker

4.1 Ten aanzien van de in 1 en 2 genoemde verwerkingen en doeleinden van verwerking zal verwerker zorgdragen voor de naleving van de toepasselijke wet- en regelgeving, waaronder in ieder geval begrepen de wet- en regelgeving op het gebied van de bescherming van persoonsgegevens, zoals de AVG.

4.2 Verwerker zal ons als verwerkingsverantwoordelijke, op ons eerste verzoek, informeren over de door haar genomen maatregelen aangaande haar verplichtingen onder deze verwerkersovereenkomst.

4.3 Verwerker zal, voor zover dat binnen zijn macht ligt, bijstand verlenen aan verwerkingsverantwoordelijke ten behoeve van het uitvoeren van een data protection impact assessment (DPIA).

  1. Beveiliging en verdeling van verantwoordelijkheid

Verwerker treft passende en organisatorische maatregelen die in redelijkheid van verwerker kunnen worden verlangd, rekening houdend met het te beschermen belang, de stand van de techniek en kosten van de relevante beveiligingsmaatregelen. Hieronder vallen tenminste de volgende maatregelen:

  • –  Strikte geheimhouding van verstrekte wachtwoorden voor de ICT-systemen die in bruikleen van verwerkingsverantwoordelijke worden gebruikt;
  • –  Sterke wachtwoorden op computer, tablet en telefoon;
  • –  Het altijd vergrendelen van computer, tablet en telefoon als deze worden afgesloten of 
(tijdelijk) onbeheerd worden achtergelaten;
  • –  Het gebruiken van een up-to-date virusscanner op de computer;
  • –  Het up-to-date houden van het besturingssysteem van computer, tablet en telefoon, inclusief het installeren van de meest recente beveiligingsupdates;
  • –  Het gebruiken van beveiligde mobiele- en WIFI-netwerken;
  • –  Het anonimiseren van alle aantekeningen met betrekking tot gesprekken en eventuele dienstverlening en/of begeleidingstrajecten;
  • –  Het zorgvuldig en definitief vernietigen van alle papieren met persoonsgegevens, waaronder maar niet beperkt tot offertes, opdrachtbevestigingen, intake- en evaluatieformulieren na afloop van de betreffende samenwerking;
  1. Geheimhouding en vertrouwelijkheid

Ten aanzien van geheimhouding en vertrouwelijkheid geldt hetgeen hierover in de raamovereenkomst van opdracht is vastgelegd.

  1. Inschakelen van derden of onderaannemers

7.1 De verplichtingen van verwerker die uit deze overeenkomst voortvloeien, gelden ook voor degenen die persoonsgegevens verwerken onder het gezag van verwerker, dan wel derden die door verwerker zijn ingeschakeld of waarvoor verwerker anderszins verantwoordelijk is.

7.2 Verwerker zorgt er in ieder geval voor dat deze derden schriftelijk tenminste dezelfde plichten op zich nemen als tussen verwerkingsverantwoordelijke en verwerker zijn overeengekomen. Verwerkingsverantwoordelijke heeft het recht de hierbij betrokken overeenkomsten in te zien.

7.3 Verwerker staat in voor de correcte naleving van de verplichtingen uit deze verwerkingsovereenkomst door deze derden en is bij schending hiervan als verwerker zelf volledig aansprakelijk voor de schade.

  1. Afhandeling verzoeken van betrokkenen

In het geval dat een betrokkene een verzoek tot uitoefening van zijn wettelijke rechten richt aan verwerker, zal verwerker het verzoek doorsturen aan verwerkingsverantwoordelijke en zal verwerkingsverantwoordelijke verder de leiding nemen in het afhandelen van het verzoek. Verwerker mag de betrokkene daarvan op de hoogte stellen.

  1. Doorgifte van persoonsgegevens

Verwerker verwerkt de persoonsgegevens binnen de Europese Economische Ruimte (EER). Doorgifte naar landen buiten de EER is niet toegestaan, tenzij hierover andere schriftelijke afspraken zijn gemaakt tussen verwerker en verwerkingsverantwoordelijke.

  1. Meldplicht

Als er sprake is van een datalek aangaande de betreffende persoonsgegevens, dan stelt verwerker verwerkingsverantwoordelijke onverwijld schriftelijk op de hoogte, in de regel binnen 24 uur na constatering van het datalek. Verwerker zal verwerkingsverantwoordelijke daarbij voorzien van de informatie die redelijkerwijs nodig is om een juiste en volledige melding te doen aan de Autoriteit Persoonsgegevens en eventueel de betrokkene(n) in het kader van de Meldplicht Datalekken. Ook zal verwerker verwerkingsverantwoordelijke op de hoogte houden van de naar aanleiding van het datalek genomen maatregelen. 

  1. Audit

11.1 Verwerkingsverantwoordelijke heeft het recht om audits uit te laten voeren ter controle van de naleving van alle afspraken uit deze verwerkersovereenkomst en alles wat daar direct verband mee houdt.
11.2 Deze audit mag eens per jaar plaatsvinden.

11.3 Verwerker zal aan de audit meewerken en alle voor de audit redelijkerwijs relevante informatie zo spoedig mogelijk ter beschikking stellen.

  1. Aansprakelijkheid

Ten aanzien van aansprakelijkheid geldt hetgeen hierover in de raamovereenkomst van opdracht is vastgelegd.

  1. Overmacht

Ten aanzien van overmacht geldt hetgeen hierover in de raamovereenkomst van opdracht is vastgelegd.

  1. Overige bepalingen

14.1 Wijzigingen van en/of aanvullingen op deze overeenkomst zijn slechts mogelijk voor zover zij door partijen zijn overeengekomen en nader schriftelijk zijn vastgelegd.

14.2 Mochten één of meer bepalingen van deze overeenkomst vervallen wegens nietigheid, dan blijven de overige bepalingen van kracht. In een dergelijk geval gaan partijen met elkaar in overleg over nieuwe bepalingen die de vervallen bepalingen vervangen, waarbij de strekking van de overeenkomst en de nietige bepalingen zoveel mogelijk behouden blijft.

14.3 Indien en voor zover zich een situatie voordoet, waarin deze overeenkomst niet voorziet doch waarvoor een voorziening noodzakelijk is, zullen partijen in overleg treden om tot een adequate oplossing te komen.

14.4 Op deze overeenkomst is Nederlands recht van toepassing. Over elk – blijvend – geschil over de totstandkoming, de uitleg en/of de uitvoering van de overeenkomst en/of daarop gebaseerde opdrachten beslist de bevoegde rechter te Amsterdam. Geschillen worden via een aangetekende brief aan de wederpartij kenbaar gemaakt.

14.5 Bij eventuele strijd tussen deze verwerkersovereenkomst, eventuele deelovereenkomsten en de raamovereenkomst prevaleert hetgeen in de raamovereenkomst is bepaald.