Gegevensverwerkersovereenkomst TechNet B.V.
Het is mogelijk dat TechNet persoonlijke gegevens namens de Opdrachtgever verwerkt in de loop van de uitvoering van de Algemene Overeenkomst. TechNet treedt daarmee op als een gegevensverwerker en de Opdrachtgever treedt op als gegevensbeheerder in de zin van Algemene Verordening Gegevensbescherming (AVG).
Artikel 1 Strekking
1.1 Deze Gegevensverwerkersovereenkomst is van toepassing op alle verwerkingsactiviteiten van persoonsgegevens die toebehoren aan de Opdrachtgever of die door TechNet worden uitgevoerd namens de Opdrachtgever in het kader van de Overeenkomst of anderszins. Verwerkingsactiviteiten omvatten elke bewerking of verzameling handelingen die wordt uitgevoerd op persoonsgegevens of op verzamelingen persoonlijke gegevens, al dan niet met geautomatiseerde middelen, zoals verzameling, registratie, organisatie, structurering, opslag, aanpassing of wijziging, opvraging, raadpleging, gebruik, openbaarmaking door verzending, verspreiding of anderszins beschikbaar stellen, uitlijning of combinatie, beperking, verwijdering, of vernietiging. Persoonlijke gegevens omvatten alle informatie met betrekking tot een geïdentificeerde of identificeerbare natuurlijke persoon die tot de Opdrachtgever behoort, inclusief maar niet beperkt tot persoonlijke gegevens met betrekking tot de werknemers, leveranciers en/of klanten van de Opdrachtgever.
1.2 Deze overeenkomst vormt een integraal onderdeel van de tussen de partijen gesloten overeenkomst. In geval van discrepanties tussen de bepalingen van deze overeenkomst en de bepalingen van de Algemene Overeenkomst, hebben de bepalingen van deze Gegevensverwerkersovereenkomst voorrang.
Artikel 2 Verwerking van persoonlijke gegevens
2.1 Alle verwerkingsactiviteiten die door TechNet ten behoeve van de Opdrachtgever worden uitgevoerd op persoonsgegevens die toebehoren aan de Opdrachtgever, moeten volledig in overeenstemming zijn met alle relevante nationale en internationale wetten en regels inzake gegevensbescherming.
2.2 De controle over en eigendom van de persoonsgegevens die toebehoren aan de Opdrachtgever blijven te allen tijde bij de Opdrachtgever en tussen Opdrachtgever en TechNet, de Opdrachtgever blijft de gegevensbeheerder voor de doeleinden van elke gegevensverwerking door TechNet namens de Opdrachtgever in het kader van de dienstverlening onder de Overeenkomst. Ten behoeve van enige gegevensverwerking door TechNet namens de Opdrachtgever in het kader van de dienstverlening krachtens de Overeenkomst, zal TechNet alleen optreden als gegevensverwerker.
2.3 TechNet verwerkt persoonsgegevens namens de Opdrachtgever alleen met het oog op de dienstverlening onder de Overeenkomst en de gedocumenteerde instructies van de Opdrachtgever. TechNet zal niet meer persoonsgegevens verwerken dan noodzakelijk voor de aangegeven doeleinden.
Artikel 3 Rechten
3.1 TechNet zal de Opdrachtgever alle nodige assistentie verlenen om de Opdrachtgever in staat te stellen tijdig te reageren op verzoeken van de betrokkenen om hun recht op toegang, rectificatie of verwijdering uit te oefenen.
3.2 TechNet moet de instructies van de Opdrachtgever volgen om de persoonlijke gegevens die TechNet namens de Opdrachtgever in bezit heeft, te corrigeren of te verwijderen.
3.3 TechNet geeft de Opdrachtgever alle verzoeken van betrokkenen door om toegang te verkrijgen tot, rectificatie of verwijdering van persoonsgegevens die door TechNet worden bewaard namens de Opdrachtgever.
Artikel 4 Technische en organisatorische maatregelen
4.1 TechNet staat garant voor het implementeren van passende technische en organisatorische maatregelen om de persoonsgegevens die TechNet namens de Opdrachtgever verwerkt te beschermen tegen ongeautoriseerde openbaarmaking van of toegang tot dergelijke gegevens en tegen onbedoelde of onwettige vernietiging, verlies of wijziging. Deze maatregelen hebben betrekking op fysieke toegangscontrole, systeemtoegangscontrole, toegangscontrole van gegevens, transmissiecontrole, invoercontrole, back-up en gegevenssegregatie.
4.2 De persoonsgegevens die door TechNet namens de Opdrachtgever worden verwerkt, zullen te allen tijde strikt vertrouwelijk blijven en mogen niet door TechNet aan derden worden bekendgemaakt en mogen ook niet worden gekopieerd of voor niet-geautoriseerde doeleinden worden gebruikt, zonder voorafgaande toestemming van de Opdrachtgever.
4.3 TechNet zal de toegang tot de persoonsgegevens die in het bezit zijn van TechNet ten behoeve van de Opdrachtgever strikt beperken tot zijn personeel en/of geautoriseerde onderaannemers, op basis van noodzakelijkheid in het kader van de uitvoering van de services onder de Overeenkomst. Alle personeel en/of geautoriseerde onderaannemers die toegang hebben tot de persoonsgegevens zijn gebonden door een vertrouwelijkheidsverbintenis.
4.4 In het geval van een beveiligingsincident of datalek, zal TechNet de Opdrachtgever daarvan onmiddellijk schriftelijk op de hoogte brengen en zal hij alle nodige maatregelen nemen om de gevolgen van een dergelijk veiligheidsincident te onderzoeken en te verhelpen. TechNet zal de Opdrachtgever voorzien van alle nodige informatie.
4.5 TechNet zal persoonsgegevens die namens de Opdrachtgever worden bewaard, niet langer verwerken dan noodzakelijk is voor de doeleinden van de dienstverlening krachtens de Overeenkomst. Aan het einde van de gegevensverwerking zijn de verplichtingen van artikel 8.2 van toepassing.
Artikel 5 Doorgifte van persoonsgegevens
5.1 TechNet draagt geen persoonsgegevens, die namens de Opdrachtgever zijn verwerkt, over aan een derde land buiten de EU zonder de voorafgaande schriftelijke toestemming van de Opdrachtgever.
5.2 Voor overdracht van persoonsgegevens die namens de controleur zijn verwerkt naar een derde land buiten de EU, zorgt TechNet ervoor dat passende overdrachtsmechanismen met een passend beschermingsniveau worden ingesteld. Bij voorkeur zorgt TechNet voor de uitvoering van de EU-standaardcontractbepalingen tussen de partijen om een dergelijke gegevensoverdracht te begeleiden.
Artikel 6 Onderaannemers
6.1 TechNet zal geen onderaannemer inschakelen om persoonsgegevens namens de Opdrachtgever te verwerken zonder voorafgaande schriftelijke toestemming van de Opdrachtgever.
6.2 Alle overeengekomen activiteiten door onderaannemers zijn gebonden aan TechNet door middel van een overeenkomst die niet minder strenge verplichtingen voor de onderaannemer ten opzichte van TechNet bevat dan de verplichtingen vervat in dit Artikel van TechNet ten opzichte van de Opdrachtgever.
6.3 TechNet blijft te allen tijde verantwoordelijk voor de naleving van de voorwaarden van deze Gegevensverwerkersovereenkomst door Onderaannemers.
Artikel 7 Auditrechten
7.1 De Opdrachtgever heeft het recht om periodiek toegang te krijgen tot de gebouwen van TechNet om te controleren of TechNet de bepalingen van deze Gegevensverwerkersovereenkomst naleeft, tijdens normale kantooruren en na voorafgaande schriftelijke kennisgeving. Als een derde partij een dergelijke audit moet uitvoeren, moet de derde partij onderling worden overeengekomen tussen de partijen.
7.2 Tenminste 5 werkdagen voorafgaand aan de start van de geplande audit, dient de Opdrachtgever een gedetailleerd auditplan in bij TechNet. TechNet werkt volledig samen met de Opdrachtgever en/of de aangewezen derde partij en verstrekt de Opdrachtgever en/of de derde alle toegang, informatie en documenten die redelijkerwijs worden gevraagd.
7.3 Indien de audit aantoont dat TechNet zich niet houdt aan de bepalingen van deze gegevensbeschermingsovereenkomst of enige nationale of internationale wetten en regels inzake gegevensbescherming, zal TechNet zonder onnodige vertraging de nodige corrigerende maatregelen uitvoeren, op eigen kosten.
Artikel 8 Beëindiging
8.1 Deze Gegevensverwerkersovereenkomst wordt automatisch beëindigd bij beëindiging van de Overeenkomst, om welke reden dan ook, of, als andere verwerkingsactiviteiten nog steeds worden uitgevoerd door TechNet namens de Opdrachtgever, bij beëindiging van deze activiteiten.
8.2 Na het einde van de verwerkingsactiviteiten namens de Opdrachtgever zal TechNet, op schriftelijk verzoek van de Opdrachtgever, alle persoonlijke gegevens en alle kopieën daarvan terugsturen naar de Opdrachtgever of deze gegevens uit zijn systemen verwijderen en een dergelijke verwijdering schriftelijk bevestigen aan de Opdrachtgever.
Artikel 9 Diverse bepalingen
9.1 Deze gegevensverwerkingsovereenkomst bevat de volledige overeenkomst en overeenstemming tussen de partijen met betrekking tot het onderwerp hiervan en vervangt alle eerdere overeenkomsten of afspraken, schriftelijk of mondeling, met betrekking tot hetzelfde onderwerp dat nog steeds van kracht is tussen de partijen.
9.2 Waar mogelijk, zullen de bepalingen van deze Gegevensverwerkersovereenkomst op zodanige wijze worden geïnterpreteerd dat ze geldig en afdwingbaar zijn volgens de toepasselijke wetgeving. Als één of meer bepalingen van deze Gegevensverwerkersovereenkomst ongeldig, onwettig of niet-afdwingbaar, geheel of gedeeltelijk blijken te zijn, wordt het resterende deel van een dergelijke bepaling en van deze Gegevensverwerkersovereenkomst niet aangetast en blijft deze volledig van kracht en effect alsof hierin nooit de ongeldige, onwettige of niet afdwingbare bepaling was vervat.
9.3 Indien een partij geen recht heeft op of uitoefent in het kader van deze Gegevensverwerkersovereenkomst of indien een partij reageert of niet reageert in geval van schending door de andere partij van een of meer bepalingen van deze Gegevensverwerkersovereenkomst, zal dit door geen van beide partijen worden geïnterpreteerd als een afstand (expliciet of impliciet, geheel of gedeeltelijk) van enige van zijn rechten onder deze Gegevensverwerkersovereenkomst of onder genoemde bepaling (en), noch zal het de verdere uitoefening van dergelijke rechten uitsluiten. Elke verklaring van afstand van een recht moet uitdrukkelijk en schriftelijk zijn.
9.4 Op alle kwesties, vragen en geschillen met betrekking tot de geldigheid, interpretatie, handhaving, uitvoering of beëindiging van deze gegevensverwerkingsovereenkomst, alsmede alle onrechtmatige aangelegenheden tussen de partijen, is uitsluitend Nederlands recht van toepassing.
9.5 Elk geschil met betrekking tot de geldigheid, interpretatie, handhaving, uitvoering of beëindiging van deze gegevensverwerkingsovereenkomst, evenals enig geschil over een onrechtmatige daad, valt onder de exclusieve bevoegdheid van de bevoegde rechtbank in het district ‘s-Hertogenbosch.