Vanaf 1 januari 2016 wijzigt de wet bescherming persoonsgegevens. Hierdoor is het nog belangrijker geworden om goede afspraken te maken met uw ZOHO Specialist over het beheer en beveiliging van uw DATA. Deze afspraken worden vastgelegd in een bewerkersovereenkomt. In bijlage 1 en 2 worden deze afspraken concreet gemaakt. Op deze pagina vindt u een voorbeeld van deze overeenkomst.
BEWERKERSOVEREENKOMST MET UW ZOHO SPECIALIST
DE ONDERGETEKENDEN:
(i) De besloten/naamloze vennootschap/stichting/vereniging [statutaire naam], statutair gevestigd te [plaats] en kantoorhoudende te (postcode) [plaats] aan [adres], hierna te noemen “Verantwoordelijke”, in deze vertegenwoordigd door [naam];
en
(ii) ZOHO Management by Marvin, statutair gevestigd te Amsterdam en kantoorhoudende te 1018RL Amsterdam aan Kraijenhoffstraat, hierna te noemen “ZOHO Specialist” of “BEWERKER”, in deze vertegenwoordigd door Marvin Martens
OVERWEGINGEN:
- A. De ZOHO Specialist levert (onder meer) diensten aan Verantwoordelijke of zal die leveren.
- Het gaat om de volgende diensten: Beheer van ZOHO CRM en het inlezen en bewerken van databestanden ten behoeve van het optimaliseren van klantcontacten.
- De ZOHO Specialist zal daarbij persoonsgegevens verwerken waarvoor Verantwoordelijke verantwoordelijk is in de zin van de Wet Bescherming Persoonsgegevens (Wbp);
- Verantwoordelijke zal deze persoonsgegevens aan De ZOHO Specialist verstrekken, althans De ZOHO Specialist zal deze persoonsgegevens onder verantwoordelijkheid van Verantwoordelijke verkrijgen;
- E. Partijen willen, gelet op het bepaalde in artikel 14 Wbp, de voorwaarden van de verwerking van deze persoonsgegevens vastleggen.
KOMEN OVEREEN ALS VOLGT:
Artikel 1 Definities en bijlagen
1.1 In deze overeenkomst betekenen de volgende begrippen hetgeen daarbij hieronder is vermeld wanneer zij met een hoofdletter worden geschreven:
Opdracht: alle dienstverlening van De ZOHO Specialist aan Verantwoordelijke en iedere andere vorm van samenwerking waarbij De ZOHO Specialist persoonsgegevens verwerk waarvoor Verantwoordelijke verantwoordelijk is in de zin van de Wbp, ongeacht het rechtskarakter van de overeenkomst waaronder dat geschiedt;
Persoonsgegevens: elk gegeven betreffende een geïdentificeerd of identificeerbare natuurlijke persoon, dat De ZOHO Specialist bij of in verband met het uitvoeren van de Opdracht verkrijgt;
Betrokkene: degene op wie een persoonsgegeven betrekking heeft.
1.2 Tot deze overeenkomst behoren de volgende bijlagen:
Bijlage 1: overzicht van de Persoonsgegevens die partijen verwachten te verwerken, het gebruik (= de wijze(n) van verwerking) van die gegevens, de doeleinden en de middelen van de verwerking(en) en de gebruiks- en bewaartermijn(en) van de (verschillende soorten) Persoonsgegevens;
Bijlage 2: beschrijving van de door De ZOHO Specialist getroffen beveiligingsmaatregelen.
Artikel 2 Onderwerp
2.1 De ZOHO Specialist en Verantwoordelijke zullen handelen conform de Wet bescherming persoonsgegevens, de Telecommunicatiewet, de Nederlandse Reclame Code en alle overige privacyregelgeving, waaronder, maar niet beperkt tot, al dan niet universeel toegepaste gedragscodes van de DDMA en FEDMA.
2.2 Verantwoordelijke heeft en houdt volledige zeggenschap over de Persoonsgegevens.
2.3 De ZOHO Specialist verwerkt de Persoonsgegevens op behoorlijke en zorgvuldige wijze.
2.4 De ZOHO Specialist verwerkt de Persoonsgegevens uitsluitend voor de Opdracht conform de instructies van Verantwoordelijke , in overeenstemming met de door Verantwoordelijke bepaalde doeleinden en middelen en met inachtneming van de door Verantwoordelijke vastgestelde bewaartermijnen, zoals beschreven in bijlage 1.
2.5 De ZOHO Specialist zal onder geen omstandigheid de Persoonsgegevens verder verwerken dan hiervoor bepaald.
De ZOHO Specialist zal, bijvoorbeeld, de Persoonsgegevens niet voor eigen doeleinden of die van derden verwerken noch de Persoonsgegevens aan derden verstrekken.
2.6 Verantwoordelijke garandeert dat zijn instructies aan De ZOHO Specialist leiden tot een verwerking door De ZOHO Specialist die in overeenstemming zal zijn met de in artikel 2.1 genoemde regelgeving.
Artikel 3 Beveiligingsmaatregelen
3.1 De ZOHO Specialist neemt alle passende technische en organisatorische maatregelen om de Persoonsgegevens adequaat te beveiligen en beveiligd te houden tegen verlies of enige vorm van onzorgvuldig, ondeskundig of onrechtmatige gebruik of verwerking, waarbij rekening wordt gehouden met de stand van de techniek.
3.2 De ZOHO Specialist zorgt ervoor dat het personeel dat betrokken is bij de verwerking van Persoonsgegevens, de in deze overeenkomst opgenomen verplichtingen van De ZOHO Specialist kent en verplicht is die na te komen. Dat kan, bijvoorbeeld, door het ondertekenen van de DDMA model integriteits- en geheimhoudingsverklaring.
3.3 Indien De ZOHO Specialist tekortschiet in het nemen van passende technische en organisatorische beveiligingsmaatregelen en vervolgens nalaat binnen een door Verantwoordelijke gestelde redelijke termijn passende maatregelen te treffen, is Verantwoordelijke gerechtigd, onverminderd diens overige rechten uit deze overeenkomst en/of uit de wet, indien mogelijk deze maatregelen op kosten van De ZOHO Specialist uit te voeren of te laten voeren.
3.4 De ZOHO Specialist zal Verantwoordelijke onmiddellijk – doch uiterlijk binnen 24 uur – gedetailleerd op de hoogte stellen van iedere doorbraak van de beveiliging van de Persoonsgegevens.
Artikel 4 Inschakeling derden
4.1 De ZOHO Specialist is niet gerechtigd bij de verwerking van de Persoonsgegevens een derde in te schakelen zonder voorafgaande schriftelijke toestemming van Verantwoordelijke. Indien verantwoordelijke zijn toestemming geeft, draagt De ZOHO Specialist ervoor zorg dat de betreffende derde tenminste dezelfde verplichtingen op zich neemt als opgenomen voor De ZOHO Specialist in deze overeenkomst.
4.2 Indien de derde die De ZOHO Specialist wil inschakelen buiten de EU is gevestigd, garandeert De ZOHO Specialist, onverminderd het voorgaande lid, dat deze derde een passend niveau van bescherming en veiligheid van persoonsgegevens waarborgt in de zin van de Wet bescherming persoonsgegevens en overlegt De ZOHO Specialist daarvan bewijs aan Verantwoordelijke.
4.3 Toestemming als bedoeld in artikel 4.1 zal niet zonder redelijke grond worden geweigerd.
Verantwoordelijke kan aan die toestemming nadere voorwaarden verbinden die door De ZOHO Specialist aan de derde moeten worden opgelegd.
4.4 De ZOHO Specialist blijft in de verhouding tussen partijen altijd aanspreekpunt en volledig verantwoordelijk en aansprakelijk voor de naleving van de bepalingen uit deze overeenkomst, inclusief de naleving van de nadere voorwaarden als bedoeld in het voorgaande lid.
Artikel 5 Geheimhoudingsplicht
5.1 De ZOHO Specialist houdt de Persoonsgegevens geheim. De ZOHO Specialists draagt ervoor zorg dat de Persoonsgegevens niet direct of indirect ter beschikking komen van derden. Onder derden wordt ook het personeel van De ZOHO Specialist begrepen voor zover het niet noodzakelijk is dat zij bij de Opdracht en/of deze overeenkomst kennis hoeft te nemen van de Persoonsgegevens. Dit gebod geldt niet indien in deze overeenkomst anders is bepaald en/of voor zover een wettelijk voorschrift of vonnis tot enige bekendmaking verplicht.
5.2 De ZOHO Specialist zorgt dat zijn personeel gebonden is aan de in dit artikel opgenomen geheimhoudingsplicht en dat De ZOHO Specialist van die gebondenheid schriftelijk bewijs bezit. Op eerste verzoek van Verantwoordelijke verstrekt De ZOHO Specialist dat bewijs. De DDMA model integriteits- en geheimhoudingsverklaring levert daarvan bewijs mits ondertekend ofwel bepalingen van soortgelijke strekking die onderdeel uitmaken van het met de personeelsleden afgesloten arbeidscontract.
5.3 De ZOHO Specialist zal Verantwoordelijke onmiddellijk op de hoogte stellen van ieder verzoek tot kennisneming, verstrekking of andere vorm van opvragen en mededeling van de Persoonsgegevens in strijd met de in dit artikel opgenomen geheimhoudingsplicht.
Artikel 6 Vernietiging en back-up
6.1 De ZOHO Specialist stelt alle Persoonsgegevens op eerste verzoek van Verantwoordelijke, doch uiterlijk binnen tien werkdagen na het einde van deze overeenkomst of het einde van de Opdracht, ter beschikking aan Verantwoordelijke.
6.2 De ZOHO Specialist is verplicht alle Persoonsgegevens op eerste verzoek van Verantwoordelijke volledig en onherroepelijk te verwijderen.
6.3 Indien na het einde van deze overeenkomst vaststaat dat Verantwoordelijke alle Persoonsgegevens in een door Verantwoordelijke schriftelijk geaccepteerd technisch formaat bezit, verwijdert De ZOHO Specialist alle Persoonsgegevens volledig en onherroepelijk binnen veertien dagen nadat is vastgesteld dat Verantwoordelijke de Persoonsgegevens bezit.
6.4 De ZOHO Specialist kan afwijken van het in beide voorgaande leden bepaalde, voor zover ten aanzien van Persoonsgegevens een wettelijke bewaartermijn zou gelden of voor zover dat noodzakelijk is om tegenover Verantwoordelijke nakoming van zijn verbintenissen te bewijzen.
6.5 De ZOHO Specialist maakt minimaal [x] keer per [maand/week], volgens een door partijen overeengekomen procedure die tenminste voldoet aan de eisen van professionele toewijding, reservekopieën van de Persoonsgegevens.
Artikel 7 Recht van inzage, correctie en verzet van Betrokkene
7.1 De ZOHO Specialist draagt ervoor zorg dat Betrokkene al zijn rechten uit de in artikel 2.1 opgenomen regelgeving kan uitoefenen.
7.2 De ZOHO Specialist zal verder op eerste verzoek van Verantwoordelijke zo spoedig mogelijk, doch uiterlijk binnen vijf werkdagen nadat daartoe een verzoek is gedaan, overgaan tot:
- het schriftelijk verstrekken van alle benodigde informatie die Verantwoordelijke nodig mocht hebben;
- het verbeteren, aanvullen, verwijderen of afschermen van Persoonsgegevens.
Artikel 8 Aansprakelijkheid
8.1 De bewerker is aansprakelijk voor en vrijwaart Verantwoordelijke voor alle schade veroorzaakt door de bewerker voortvloeiende uit het niet nakomen van deze overeenkomst alsmede verband houdende met overtreding door bewerker van de Wet bescherming persoonsgegevens.
Artikel 9 Controle
9.1 Verantwoordelijke heeft het recht de naleving van de bepalingen van deze overeenkomst ten hoogste enmaal per jaar te controleren. Verantwoordelijke kan dat na toestemming van De ZOHO Specialist daartoe zelf doen of hij kan dat laten doen door een onafhankelijke registeraccountant, registerinformaticus of andere daartoe gecertificeerde auditor.
9.2 Verantwoordelijke draagt de kosten van controle met uitzondering van de kosten van het personeel van De ZOHO Specialist dat de controle begeleidt. Deze laatste kosten zijn voor De ZOHO Specialist. Indien uit de controle blijkt dat De ZOHO Specialist materieel tekortschiet in de nakoming van deze overeenkomst, komen alle kosten voor rekening van De ZOHO Specialist, onverminderd de overige rechten van Verantwoordelijke. Indien De ZOHO Specialist tekortschiet doch de tekortkomingen zijn niet materieel, zal De ZOHO Specialist die tekortkomingen op zo kort mogelijke termijn herstellen.
9.3 Een controle mag de bedrijfsactiviteiten van De ZOHO Specialist niet onnodig verstoren.
9.4 Verantwoordelijke zal de controle minimaal tien dagen voor aanvang schriftelijk aankondigen aan de bewerker, voorzien van een omschrijving op welke onderdelen de controle ziet en het controleproces.
Artikel 10 Overig
10.1 Wijzigingen van deze overeenkomst zijn uitsluitend geldig indien deze tussen partijen schriftelijk zijn overeengekomen.
10.2 Deze overeenkomst duurt zolang de Opdracht duurt. De bepalingen van deze overeenkomst blijven gelden voor zover nodig voor de afwikkeling van deze overeenkomst en voor zover die bedoeld zijn het einde van deze overeenkomst te overleven. Tot die laatste categorie bepalingen behoren onder meer, zonder daartoe te zijn beperkt, de bepalingen omtrent geheimhouding en geschillen.
10.3 De bewerker is niet gerechtigd de nakoming van zijn verplichtingen uit deze overeenkomst op te schorten, te verrekenen of afhankelijk te stellen van enige actie of verklaring van Verantwoordelijke. Verzuim van Verantwoordelijke bij de Opdracht of vernietiging van de overeenkomst op basis waarvan de opdracht wordt uitgevoerd, kan op geen enkele manier leiden tot het niet nakomen van de verplichtingen van De ZOHO Specialist onder deze overeenkomst.
10.4 Deze overeenkomst prevaleert boven alle overige overeenkomsten tussen Verantwoordelijke en De ZOHO Specialist.
10.5 Op deze overeenkomst is uitsluitend Nederlands recht van toepassing.
10.6 Partijen zullen hun geschillen verband houdende met deze overeenkomst uitsluitend voorleggen aan de Nederlandse rechter. De bevoegde Nederlandse rechter is de rechter van het arrondissement waarin Verantwoordelijke is gevestigd.
Aldus overeengekomen en in tweevoud opgemaakt te [plaats] op [datum] (Verantwoordelijke) (De ZOHO Specialist)
………………………………………… …………………………………………
[bedrijfsnaam] [bedrijfsnaam] Namens deze: [naam] Namens deze: [naam]
Bijlage 1
Deze bijlage is onderdeel van de De ZOHO Specialistsovereenkomst tussen [Verantwoordelijke] en [De ZOHO Specialist] van
[datum] en moet door partijen geparafeerd worden.
- De Persoonsgegevens die partijen verwachten te verwerken:
o Naam, adres, woonplaats
o Telefoonnummer
o E-mailadres
o Geboortedatum
o Geslacht
o Beroep
o Lifestylekenmerken (o.a. gezinssamenstelling, woonsituatie, interesses, demografische kenmerken)
o Gegevens met betrekking tot transacties/donaties/aankoopgeschiedenis/betalingen
o Data verkregen uit sociale profielen (Facebook-, twitteraccount etc.)
o Gegevens met betrekking tot de nationaliteit, gezondheid, seksuele geaardheid godsdienst of levensovertuiging, politieke voorkeuren, lidmaatschappen van vakverenigingen of BSN-nummers.
o Financiële data (bankrekeningnummer, creditcardnummer)
o Afgeleide financiële data (inkomenscategorie, huizenbezit, autobezit)
o Credit scoring
o Anders, namelijk…
- Het gebruik (= wijze(n) van verwerking) van de Persoonsgegevens en de doeleinden van en de middelen voor de verwerking:
[Beschrijving van wat er met de Persoonsgegevens wordt gedaan (bijvoorbeeld opslag in een bestand, e – mailing etc.), wat het doel van de verwerking is (bijvoorbeeld marketing, klantenwerving, uitvoering overeenkomst) en van welke middelen gebruik wordt gemaakt (bijvoorbeeld CRM-software).]
III. De gebruiks- en bewaartermijnen van de (verschillende soorten) Persoonsgegevens:
[* De Wet bescherming persoonsgegevens (Wbp) regelt dat persoonsgegevens niet langer bewaard mogen worden dan noodzakelijk is voor de doeleinden waarvoor zij zijn verzameld of worden gebruikt. Bepaal aan de hand van de doeleinden van de verwerking hoelang de gegevens bewaard mogen blijven. Houd rekening met eventuele andere wettelijke verplichtingen (de fiscus kent bijv. een bewaartermijn van 8 jaar) of als bewijsmateriaal bij klachten.]
Bijlage 2
Deze bijlage maakt deel uit van de De ZOHO Specialistsovereenkomst tussen [Verantwoordelijke] en [De ZOHO Specialist] van
[datum] en moet door partijen geparafeerd worden.
- Beschrijving van de technische en organisatorische beveiligingsmaatregelen die door De ZOHO Specialist zijn getroffen.
[Indien sprake is van een gedocumenteerd Informatiebeveiligingsbeleid kan (ook) worden volstaan met een kopie van dit beleid.]
[Beschrijving van het informatiebeveiligingsbeleid, de beveiliging van online formulieren (websites, landingspages, enquêtes), het gebruik van versleutelde bestanden, een beveiligd draadloos netwerk, eventuele controle op ongeautoriseerde toegang, regels omtrent de opslag van data, het bestaan van een applicatieregister, een reserve-infrastructuur, eventuele logbestanden en rapportages, het toegangs- en autorisatiebeleid, een protocol datalekken etc.
* De beveiligingsmaatregelen die een organisatie dient te treffen, zijn mede afhankelijk van de mate van gevoeligheid van de data. Logischerwijs geldt voor het vastleggen van naam, adres, telefoonnummer en e-mailadres een milder beveiligingsregime dan wanneer gevoelige(re) gegevens worden verwerkt.]