De in deze Verwerkersovereenkomst gebruikte definities zullen dezelfde betekenis hebben als de in de Voorwaarden qputer gebruikte definities dan wel de in deze Verwerkersovereenkomst bepaalde betekenis. De overige definities hebben de betekenis als bepaald in artikel 4 van de Algemene Verordening Gegevensbescherming (“AVG”). Deze Verwerkersovereenkomst is een overeenkomst als bedoeld in artikel 28 lid 3 AVG.
Artikel 1 – Onderwerp
1.1 Deze Verwerkersovereenkomst is van toepassing op de verwerking van de persoonsgegevens waarvoor de klant van qputer (hierna: “Klant”) als Verwerkingsverantwoordelijke is te beschouwen, in het kader van de afgenomen service van de Klant op de dienst van qputer (hierna: “Persoonsgegevens”).
1.2 In geval van een tegenstrijdigheid tussen de qputer algemene voorwaarden en de bepalingen van deze Verwerkersovereenkomst prevaleren de bepalingen van deze Verwerkersovereenkomst, voor zover niet uit deze Verwerkersovereenkomst het tegendeel blijkt.
1.3 De Persoonsgegevens als bedoeld in artikel 1.1 zijn alle persoonsgegevens die door de Klant geüpload worden in en ter beschikking worden gesteld aan qputer, zoals bijvoorbeeld persoonsgegevens van klanten of leveranciers van de Klant. qputer heeft geen invloed op en beperkt toegang tot de Persoonsgegevens die verwerkt worden.
Artikel 2 – Rolverdeling en instructies
2.1 De Klant is ten aanzien van de door qputer als onderdeel van de service uit te voeren verwerkingen (hierna: “Verwerkingen”) de Verwerkingsverantwoordelijke en qputer de Verwerker. Aan derden die qputer inschakelt om delen van de Verwerking(en) uit te voeren wordt in deze Verwerkersovereenkomst gerefereerd als Sub verwerkers.
2.2 Verwerking zal uitsluitend plaatsvinden in het kader van het verlenen van de afgenomen service. Uitsluitend de Klant heeft en houdt zeggenschap over het doel en de middelen van de Verwerking(en).
2.3 qputer en de Klant verplichten zich om de voorwaarden die op grond van de AVG en andere toepasselijke regelgeving op het gebied van de bescherming van persoonsgegevens (hierna: “Privacy recht”) na te leven en zullen deze naleving tevens aan door hen ingeschakelde derden opleggen.
2.4 qputer zal ten aanzien van de Verwerkingen uitsluitend instructies van de Klant of de door de Klant aangewezen contactpersonen opvolgen. Instructies zullen per e-mail door de Klant aan qputer worden doorgegeven. De Klant garandeert dat opvolging van zijn/haar instructies door qputer niet leidt tot een schending van Privacy recht. Als qputer betwijfelt of het opvolgen van een instructie tot schending van Privacy recht leidt zal zij de Klant hiervan onmiddellijk op de hoogte stellen en heeft zij het recht de Verwerkingen op te schorten in afwachting van duidelijkheid op dit punt.
2.5 qputer zal de Persoonsgegevens niet doorgeven aan een land dat gelegen is buiten de EER zonder voorafgaande instemming van de Klant en uitsluitend in overeenstemming met Hoofdstuk V van de AVG.
Artikel 3 – Geheimhouding en delen persoonsgegevens
3.1 qputer verplicht eenieder die in het kader van het verlenen van de service toegang heeft tot de Persoonsgegevens (waaronder maar niet beperkt tot haar werknemers, externe medewerkers, vertegenwoordigers en Sub verwerkers) tot strikte geheimhouding van de Persoonsgegevens.
3.2 De in dit artikel bedoelde geheimhoudingsplicht geldt niet voor zover er een wettelijke verplichting voor qputer bestaat om de Persoonsgegevens aan een derde te verstrekken. In het geval qputer een verzoek ontvangt om op grond van een wettelijke verplichting Persoonsgegevens te verstrekken, verifieert qputer voorafgaande aan de verstrekking de grondslag van het verzoek en de identiteit van de verzoeker. Daarnaast informeert qputer de Klant – voor zover wettelijk toegestaan – onmiddellijk over het verzoek en de daarop volgende verstrekking, zo mogelijk voorafgaand aan de verstrekking.
Artikel 4 – Beveiliging
4.1 qputer treft passende technische en organisatorische maatregelen om de Persoonsgegevens te beveiligen tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging. Deze maatregelen waarborgen een op het risico afgestemd beschermingsniveau, met inachtneming van de stand van de techniek, de uitvoeringskosten, de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van personen.
4.2 De maatregelen zoals genoemd in artikel 4.1 zijn vermeld in het document “Beveiliging Service Klant”. Deze worden bij aanvang de afgenomen dienst samen opgesteld en bewaakt. En indien nodig bijgesteld. qputer heeft de Klant hiervan voorafgaand aan het sluiten van deze Verwerkersovereenkomst op de hoogte gesteld. De klant stemt ermee in dat deze maatregelen voldoen aan de eisen als genoemd in artikel 4.1, zo nodig door het inschakelen van een ter zake deskundige. Om de veiligheid te waarborgen is qputer beperkt in de informatie die zij daarover kan prijsgeven.
4.3 qputer zal in samenspraak en ook op verzoek van de Klant de in artikel 4.1 genoemde maatregelen evalueren en aanpassen of verbeteren voor zover de wettelijke eisen of technologische ontwikkelingen daartoe aanleiding geven. Klant realiseert zich dat de service een mogelijk een gestandaardiseerde dienst is en stemt op voorhand in met deze aanpassingen of verbeteringen op voorwaarde dat het geheel van maatregelen aan het in artikel 4.1 genoemde beveiligingsniveau blijft voldoen. In geval van een aanpassing of verbetering als bedoeld in dit artikel zal qputer het document “Beveiliging Service Klant” op verzoek van de Klant per e-mail toesturen. De gewijzigde versie zal de oorspronkelijke versie vervangen.
Artikel 5 – Informatie en audit
5.1 Om de Klant in staat te stellen om toezicht te houden op de naleving door qputer van de in artikel 4.1 genoemde verplichting zal qputer de Klant op diens verzoek de informatie toesturen waaruit de Klant kan opmaken dat qputer deze verplichting nakomt, in de vorm van de relevante rapportages en eventuele aanvullende zaken.
5.2 Mocht op grond van de in artikel 5.1 genoemde of andere informatie blijken dat qputer de in artikel 4.1 genoemde verplichting heeft geschonden of dreigt te schenden, dan heeft de Klant het recht om een audit uit te laten voeren door een onafhankelijke Register EDP/IT auditor die aan geheimhouding is gebonden ter controle van naleving van de verplichtingen van qputer op grond van artikel 4.1 van deze Verwerkersovereenkomst (“Audit”).
5.3 Indien de Klant een Audit wenst uit te voeren zal hij/zij qputer tenminste 30 dagen voorafgaand aan de gewenste datum van de Audit schriftelijk informeren, waarbij hij/zij zoveel mogelijk informatie verschaft over de voorgenomen Audit waaronder in elk geval over de wijze waarop zij de Audit wenst uit te voeren, door wie zij deze wenst te laten uitvoeren, tot welke informatie de Klant toegang wil en op welke locaties zij de Audit wenst uit te voeren.
5.5 De Audit zal in goed overleg over de procedure worden uitgevoerd waarbij de Klant zich verplicht de bedrijfsvoering/operatie van qputer zo min mogelijk te hinderen, zich in het kader van de Audit te houden aan de bij qputer geldende informatiebeveiligingsrichtlijnen en de geheimhoudingsverplichtingen van qputer jegens derde partijen strikt te respecteren.
5.6 De bevindingen naar aanleiding van de uitgevoerde Audit zullen door partijen in onderling overleg worden beoordeeld en voorgestelde maatregelen, naar aanleiding van deze bevindingen, zullen worden doorgevoerd door één van de partijen of door beide partijen gezamenlijk.
5.7 De kosten van de Audit worden door de Klant gedragen.
5.8 Alle door qputer aan de Klant in het kader van deze Verwerkingsovereenkomst te verstrekken informatie, met inbegrip maar niet beperkt tot audit) rapporten, informatie over beveiligingsmaatregelen en datalekken zullen door de Klant vertrouwelijk worden behandeld en uitsluitend gebruikt worden om ten opzichte van eigen auditors en/of de Autoriteit Persoonsgegevens tot bewijs te dienen van het al dan niet naleven van het in deze Verwerkersovereenkomst bepaalde dan wel van Privacy recht.
Artikel 6 – Datalekken
6.1 qputer informeert de Klant zonder onredelijke vertraging zodra hij kennis heeft genomen van een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte Persoonsgegevens (hierna: “Datalek”).
6.2 Voor zover bekend bij qputer zal zij de Klant in geval van een Datalek tevens informeren over:
6.2.1 de aard van de inbreuk, waar mogelijk onder vermelding van de categorieën van betrokkenen en persoonsgegevensregisters in kwestie en, bij benadering, het aantal betrokkenen en persoonsgegevensregisters in kwestie;6.2.2 de waarschijnlijke gevolgen van het Datalek in verband met de Persoonsgegevens;6.2.3 de maatregelen die qputer voorstelt of heeft genomen om het Datalek aan te pakken, waaronder, in voorkomend geval, de maatregelen ter beperking van de eventuele nadelige gevolgen daarvan.
Artikel 7 – Bijstand bij verzoeken van derden
7.1 qputer verleent de Klant, voor zover redelijkerwijze van qputer verwacht kan worden, bijstand bij:
– het vervullen van diens plicht om verzoeken van Betrokkenen tot inzage in en rectificatie, wissing en overdracht van hun Persoonsgegevens dan wel beperking van de Verwerking(en) voor zover betrekking hebbend op hun Persoonsgegevens te beantwoorden; – het vervullen van diens plicht om medewerking te verlenen aan verzoeken en onderzoeken van de Autoriteit Persoonsgegevens voor zover deze verzoeken en onderzoeken betrekking hebben op de Verwerkingen in het kader van de services.
7.2 De Klant draagt de redelijke kosten van de uitvoering door qputer van de bijstand, genoemd in artikel 7.1.
7.3 Onmiddellijk nadat de Klant op de hoogte is van een klacht of vordering van een Betrokkene die gerelateerd is aan de service zal de Klant qputer schriftelijk en zo gedetailleerd mogelijk informeren over deze klacht of vordering en de behandeling van deze klacht of vordering aan qputer overlaten, wanneer qputer dit wenst. Niet-nakoming van dit artikel 7.3 door de Klant leidt tot verval van rechten van de Klant op grond van deze Verwerkersovereenkomst jegens qputer.
Artikel 8 – Inschakeling Subbewerker
8.1 qputer kan alleen met toestemming van de Klant een Sub verwerker inschakelen. De toestemming zal met de ondertekening van deze Verwerkersovereenkomst geacht worden te zijn verleend.
8.2 Vóór qputer een Sub verwerker toevoegt of vervangt licht zij de Klant in over de identiteit van de Sub verwerker, de aard van de door de Sub verwerker te verrichten verwerkingsactiviteiten en de beoogde datum van de aanvang van die activiteiten. De Klant kan bezwaar maken tegen de toevoeging of vervanging. Indien de Klant bezwaar maakt zal hij/zij qputer hiervan binnen 14 dagen na de datum van de kennisgeving van qputer schriftelijk op de hoogte stellen.
Indien:8.2.1 de Klant qputer niet binnen 14 dagen schriftelijk op de hoogte stelt zal de toestemming van de Klant geacht worden te zijn verleend;8.2.2 de Klant qputer binnen 14 dagen schriftelijk op de hoogte stelt van de onthouding van toestemming heeft qputer het recht de service/dienst inclusief, deze Verwerkersovereenkomst en alle gerelateerde overeenkomsten te beëindigen per de beoogde datum van de start van de verwerkingsactiviteiten door de nieuwe Sub verwerker.
8.3 qputer verplicht iedere Sub verwerker contractueel de geheimhoudingsverplichtingen, meldingsverplichtingen en beveiligingsmaatregelen na te leven met betrekking tot de Verwerkingen welke verplichtingen en maatregelen minimaal dienen te voldoen aan het bepaalde in deze Verwerkersovereenkomst.
Artikel 9 – Aansprakelijkheid
De aansprakelijkheid van partijen zal zijn beperkt zoals in de qputer algemene voorwaarden is bepaald. Indien die aansprakelijkheidsbeperkingen om welke reden ook nietig, vernietigbaar of anderszins niet afdwingbaar zijn of worden zal de aansprakelijkheid van qputer voor tekortkomingen in de nakoming van verplichtingen uit deze Verwerkersovereenkomst zijn beperkt tot een maximumbedrag van EUR 1.000,00 per jaar.
Artikel 10 – Looptijd en wijziging Verwerkersovereenkomst
10.1 Deze Verwerkersovereenkomst is van toepassing zo lang de service verleend wordt en er Persoonsgegevens verwerkt worden. Verplichtingen die voortvloeien uit deze Verwerkersovereenkomst die naar hun aard worden geacht ook na beëindiging van deze Verwerkersovereenkomst voort te duren zullen in stand blijven.
10.2 Deze Verwerkersovereenkomst behelst alle afspraken tussen partijen ten aanzien van verwerkingen van Persoonsgegevens als onderdeel van de service/dienst en kan niet worden gewijzigd zonder voorafgaande schriftelijke toestemming van qputer en de Klant, tenzij qputer zich op het standpunt stelt dat wijzigingen noodzakelijk zijn om deze Verwerkersovereenkomst aan het Privacy recht te laten voldoen, in welk geval de volgens qputer noodzakelijke wijzigingen zullen worden doorgevoerd.
10.3 In het geval enige bepaling van deze Verwerkersovereenkomst nietig, vernietigbaar of anderszins niet afdwingbaar is of wordt, blijven de overige bepalingen van deze Verwerkersovereenkomst volledig van kracht. Partijen zullen in dat geval met elkaar in overleg treden om de nietige, vernietigbare of anderszins niet afdwingbare bepaling te vervangen door een uitvoerbare alternatieve bepaling. Daarbij zullen partijen zoveel mogelijk rekening houden met het doel en de strekking van de nietige, vernietigde of anderszins niet afdwingbare bepaling.
10.4 De Persoonsgegevens worden na beëindiging van de service/dienst gewist. Dan wel, indien de Klant dit wenst en de kosten hiervan voor haar rekening neemt, aan de Klant overdragen, tenzij een langere opslag van de Persoonsgegevens wettelijk verplicht is voor qputer. Indien de Klant overdracht in plaats van vernietiging van de Persoonsgegevens wenst zal zij tijdig en uiterlijk bij het einde van deze Verwerkersovereenkomst schriftelijk aan qputer melden welke Persoonsgegevens zij wenst te ontvangen.
Mei 2018