Verwerkersovereenkomst

Deze overeenkomst regelt de verwerkingen van Persoonsgegevens door Verwerker voor
Verwerkingsverantwoordelijke conform artikel 28 lid 3 van de Algemene Verordening
Gegevensbescherming (AVG).

Partijen:
1. [gegevens Verwerkingsverantwoordelijke], die statutair gevestigd is aan [adres] te [(postcode)
plaats] en is ingeschreven in het handelsregister onder nummer [nummer], hierbij rechtsgeldig
vertegenwoordigd door haar bestuurder [de heer/mevrouw naam], hierna te noemen
‘Verwerkingsverantwoordelijke’;
en
2. De besloten vennootschap AttachingIT BV, statutair gevestigd te Amsterdam en
kantoorhoudende te ( 1066 EP) Amsterdam aan de John M. Keynesplein 12-46, ingeschreven in het
handelsregister onder nummer 61781614, hierna te noemen “Verwerker”, rechtsgeldig
vertegenwoordigd door haar bevoegde bestuurder;
Overwegen als volgt:
– Verwerker zal aan Verwerkingsverantwoordelijke op basis van een separate overeenkomst
(“dienstverleningsovereenkomst”) diensten leveren, die ertoe leiden dat Verwerker in opdracht
van Verwerkingsverantwoordelijke Persoonsgegevens verwerkt.
– Deze overeenkomst regelt de verwerkingen van Persoonsgegevens door Verwerker voor
Verwerkingsverantwoordelijke conform artikel 28 lid 3 van de Algemene Verordening
Gegevensbescherming (AVG).
– Partijen willen, gelet op de voorschriften uit de privacyregelgeving, de voorwaarden van de
verwerking van Persoonsgegevens vastleggen in deze verwerkingsovereenkomst.
En komen daarom het volgende overeen:
1. Kader
1.1 Verwerkingsverantwoordelijke is de ‘verwerkingsverantwoordelijke’ en Verwerker is de
‘verwerker’ in de zin van artikel 4 onder 7 AVG respectievelijk artikel 4 onder 8 AVG.
1.2 De met hoofdletter aangeduide begrippen uit deze overeenkomst hebben dezelfde betekenis
als de definities uit de AVG:
a. Persoonsgegevens: ‘persoonsgegevens’ uit artikel 4 onder 1 AVG, waarmee wordt
bedoeld alle informatie over een geïdentificeerde of identificeerbare natuurlijke
persoon;
b. Verwerking: ‘verwerking’ uit artikel 4 onder 2 AVG, waarmee wordt bedoeld een
bewerking of een geheel van bewerkingen met betrekking tot de Persoonsgegevens;
c. Betrokkene: ‘de betrokkene’ uit artikel 4 lid 1 AVG, oftewel geïdentificeerde of
identificeerbare natuurlijke persoon op wie de Persoonsgegevens betrekking hebben;
d. Autoriteit: ‘toezichthoudende autoriteit’ uit artikel 4 lid 21 AVG, oftewel de Autoriteit
Persoonsgegevens in Nederland;
e. Privacy Impact Assessment: ‘gegevensbeschermingseffectbeoordeling’ uit artikel 35
AVG;
f. Inbreuk: ‘inbreuk in verband met persoonsgegevens’ uit artikel 4 lid 12 AVG, oftewel een
inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de
vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de
ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte
gegevens.
1.3 Bij de uitleg van de overige terminologie in deze overeenkomst dient aansluiting te worden
gezocht bij de definities van artikel 4 AVG.
1.4 De overwegingen en bijlagen bij deze overeenkomsten vormen een integraal onderdeel
daarvan.

2. Onderwerp
2.1 Het onderwerp, de aard en het doel van de Verwerking zijn: Het vervullen van de
verplichtingen die volgen uit de onderliggende dienstverleningsovereenkomst die tussen
partijen is gesloten. Kort samengevat, komen die neer op het beveiligd verzenden van
bijlagen via e-mail en het beveiligd opslaan van bestanden op het internet.
2.2 De duur van de Verwerking is: Zolang de onderliggende dienstverleningsovereenkomst
tussen partijen loopt. Meer in het bijzonder geldt dat voor verzendingen van informatie via
de dienst van Verwerker kortere bewaartermijnen gelden en dat deze informatie niet wordt
opgeslagen of verder wordt verwerkt door Verwerker na het verstrijken van deze
bewaartermijnen. Het een en ander staat onder bepaling van de
Verwerkingsverantwoordelijke en diens contactpersonen.
2.3. Na het beëindigen van de dienstverleningsovereenkomst zullen de verwerkingsdiensten van
Verwerker nog maximaal veertien (14) kalenderdagen voortduren om de
Verwerkingsverantwoordelijke in de gelegenheid te stellen om de Persoonsgegevens terug te
ontvangen, in welk geval de duur van de Verwerking met deze termijn zal worden verlengd.
Na het uitvoeren van de verwerkingsdiensten of op verzoek van de
Verwerkingsverantwoordelijke zal Verwerker de Persoonsgegevens verwijderen zonder
daarvan een kopie achter te houden, tenzij Nederlands of Europees recht Verwerker tot
opslag van de Persoonsgegevens verplicht.
2.4 Omdat de dienst van Verwerker in hoofdzaak een verzendingsdienst betreft, worden in elk
geval Persoonsgegevens zijn van het volgende soort: namen van personen, e-mailadressen,
gegevens met betrekking tot verzendingen/transacties via de diensten van Bewerker (om
bijvoorbeeld het traceren van berichten mogelijk te maken gedurende de retentietermijn van
de te verzenden gegevens) en overige Persoonsgegevens die Verantwoordelijke of op haar
verzoek haar contactpersonen toevertrouwen aan Verwerker in de documenten die
Verantwoordelijke of diens contactpersonen verzenden buiten end-to-end-encryptie om.
Deze Persoonsgegevens vallen in de categorieën van Persoonsgegevens: gebruikersgegevens
en gegevens van geadresseerden.

3. Algemene plichten van Verwerker
3.1 Verwerker verwerkt Persoonsgegevens uitsluitend op basis van schriftelijke instructies van
Verwerkingsverantwoordelijke.
3.2 Verwerker zal de Persoonsgegevens van Verwerkingsverantwoordelijke strikt geheim houden
en ten aanzien daarvan minimaal dezelfde zorgplichten en waarborgen in acht nemen als die
gelden ten aanzien van eigen vertrouwelijke informatie. Verwerker zal ook op zorgvuldige en
passende wijze omgaan met gegevens die geen Persoonsgegevens betreffen. Verwerker
waarborgt dat deze geheimhouding zich ook uitstrekt tot de personen die gemachtigd zijn
om de Persoonsgegevens te verwerken.
3.3 Verwerker zal de aan haar beschikbaar gestelde Persoonsgegevens niet langer bewaren of
verwerken dan noodzakelijk is voor de uitvoering van de dienstverleningsovereenkomst.
Verwerker stelt alle Persoonsgegevens op eerste verzoek van Verwerkingsverantwoordelijke,
doch uiterlijk binnen een nader overeen te komen termijn na het einde van deze
overeenkomst of het einde van de dienstverleningsovereenkomst, ter beschikking aan
Verantwoordelijke. Deze terbeschikkingstelling kan ook plaatsvinden via het portaal waarop
Verwerkingsverantwoordelijke kan inloggen. Meer in het bijzonder geldt dat voor
verzendingen van informatie via de dienst van Verwerker kortere bewaartermijnen als
genoemd in artikel 2.2 van deze overeenkomst.
3.4 Verwerker zal de Verwerkingsverantwoordelijke, voor zover mogelijk, bijstand verlenen bij
het vervullen van diens plicht om verzoeken van Betrokkenen gebaseerd op artikelen 14 t/m
22 AVG af te handelen die – kort gezegd – strekken om transparantie en inzage te verkrijgen,
om rectificatie en wissing van Persoonsgegevens of beperking van de verwerking te
bewerkstellingen en om de Persoonsgegevens over te dragen. Verwerker zal
Verwerkingsverantwoordelijke in dit kader ook bijstand verlenen bij de kennisgevingsplicht
van de laatste naar aanleiding van dergelijke verzoeken en de afhandeling van eventuele
bezwaren door Betrokkenen en passende maatregelen te nemen bij eventuele
geautomatiseerde besluitvorming en/of profilering van Betrokkenen. Verwerker zal in ieder
geval binnen één (1) maand aan Verwerkingsverantwoordelijke informatie verstrekken over
het gevolg dat gegeven is aan verzoeken van Betrokkenen.
3.5 Verwerker zal de Verwerkingsverantwoordelijke, voor zover mogelijk, bijstand verlenen bij
het vervullen van de plicht van de laatste om in gevallen waarbij de verwerking waarschijnlijk
een hoog risico voor de privacy van Betrokkenen inhoudt, in het bijzonder bij gevallen
waarbij nieuwe technologieën worden gebruikt, een Privacy Impact Assessment (PIA) te doen
en bij de voorafgaande raadpleging van de Autoriteit.

4. Inschakelen van andere verwerkers en doorgifte door Verwerker
4.1 Verwerker is gerechtigd om andere verwerkers (“sub-verwerkers”) in te schakelen voor de
Verwerking. Verwerker zal Verwerkingsverantwoordelijke inlichten over beoogde
veranderingen inzake de toevoeging of vervanging van andere verwerkers.
Verwerkingsverantwoordelijke kan op redelijke gronden bezwaar maken tegen dergelijke
veranderingen.
4.2 Bij het inschakelen van een andere verwerker door Verwerker, worden aan deze andere
verwerker bij overeenkomst dezelfde verplichtingen opgelegd als die ook voortvloeien uit
deze overeenkomst, opdat er voldoende garanties zijn met betrekking tot het toepassen van
passende technische en organisatorische maatregelen. Verwerker blijft verantwoordelijk
jegens Verwerkeringsverantwoordelijke voor het nakomen van de verplichtingen van die
andere verwerker, wanneer de laatste haar verplichtingen niet nakomt.
4.3 Verwerker zal nimmer zonder schriftelijke instructie van de Verwerkersverantwoordelijke
Persoonsgegevens doorgeven aan landen buiten de Europese Unie of aan een internationale
organisatie, tenzij Europees of Nederlands recht Verwerker daartoe verplicht. In dat geval
stelt Verwerker de Verwerkingsverantwoordelijke voorafgaand aan de doorgifte hiervan op
de hoogte, tenzij de betreffende wet- of regelgeving deze kennisgeving verbiedt.

5. Beveiliging
5.1 Verwerker zal, rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook
met de aard, de omvang, de context, het doel van de Verwerking en de waarschijnlijkheid en
ernst van de uiteenlopende risico’s voor de rechten en vrijheden van Betrokkenen, passende
technische en organisatorische maatregelen nemen om verwerking in overeenstemming met
de AVG te waarborgen en om een passend beveiligingsniveau te waarborgen.
5.2 Verwerker zorgt ervoor dat iedere natuurlijke persoon (zoals een werknemer) die handelt
onder haar gezag en toegang heeft tot de Persoonsgegevens, deze slechts in opdracht van
Verwerkingsverantwoordelijke verwerkt, tenzij Verwerker daartoe Unierechtelijk of
lidstaatrechtelijk gehouden is, en dat deze personen adequaat worden geïnstrueerd.
5.3 Verwerker zal in ieder geval de maatregelen nemen zoals omschreven in bijlage 1.
5.4 Verwerkingsverantwoordelijke dient echter zelf ook aanwijzingen van Verwerker op te
volgen en de onder haar gezag staande personen deze aanwijzingen verder op te leggen
wanneer dit de beveiliging van Persoonsgegevens ten goede komt. Verwerker kan deze
aanwijzingen onder meer geven via elektronische berichten, via haar diensten of via haar
algemene voorwaarden. Verwerker is niet aansprakelijk voor doorbraken in de beveiliging die
zijn gelegen aan het niet opvolgen van aanwijzingen door Verwerkingsverantwoordelijke.

6. Controle
6.1 Verwerker zal, rekening houdend met de aard, de omvang, de context en het doel van de
verwerking, alsook met de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de
rechten en vrijheden van Betrokkenen, passende technische en organisatorische
maatregelen treffen om te kunnen aantonen dat de verwerking in overeenstemming met de
AVG wordt uitgevoerd.
6.2 Verwerker, en in voorkomend geval de vertegenwoordiger van Verwerker, houdt schriftelijk
of elektronisch een register van alle categorieën van verwerkingsactiviteiten die zij ten
behoeve van Verwerkingsverantwoordelijke verricht. Dit register bevat de volgende
gegevens:
a. de naam en de contactgegevens van eventuele andere verwerkers en van
Verwerkingsverantwoordelijke, en, in voorkomend geval, van de vertegenwoordiger van
Verwerkingsverantwoordelijke of de andere verwerker en van de eventuele functionaris
voor gegevensbescherming;
b. de categorieën van verwerkingen voor rekening van Verwerkingsverantwoordelijke;
c. indien van toepassing, doorgiften van Persoonsgegevens aan een derde land of een
internationale organisatie, onder vermelding van dat derde land of die internationale
organisatie en de eventuele documenten inzake de passende waarborgen als bedoeld in
artikel 49 lid 1 tweede alinea AVG;
d. een algemene beschrijving van de technische en organisatorische
beveiligingsmaatregelen als bedoeld in artikel 5.3 en bijlage 2 van deze overeenkomst.
6.3 Verwerker zal Verwerkingsverantwoordelijke alle informatie ter beschikking stellen die nodig
is om de verplichtingen uit deze overeenkomst aan te tonen en om audits, waaronder
inspecties, mogelijk te maken. Verwerker zal Verwerkingsverantwoordelijke onmiddellijk in
kennis stellen indien naar de mening van Verwerker een instructie van
Verwerkingsverantwoordelijke in strijd is met de AVG of andere Nederlandse of Europese
wet- en regelgeving inzake gegevensbescherming.
6.4 Verwerkingsverantwoordelijke heeft het recht om de naleving van deze overeenkomst
eenmaal per jaar te controleren door middel van een audit of inspectie, wanneer die
uitgevoerd wordt door een gecertificeerde auditor. Een controle mag de bedrijfsactiviteiten
van Verwerker niet onnodig verstoren en de auditor mag geen tegenstrijdige belangen
hebben of in concurrentie staan met Verwerker. Verwerkingsverantwoordelijke zal de
controle minimaal dertig (30) dagen voor aanvang schriftelijk aankondigen bij Verwerker
onder opgave van de naam en de certificaten van auditor. Verwerker mag – in overleg met de
Verwerkingsverantwoordelijke – een eventuele aanvraag voor een audit combineren met
aanvragen van andere verwerkingsverantwoordelijken bundelen, opdat slechts één
gezamenlijke audit zal worden uitgevoerd en de dienstverlening van de betreffende
verwerker niet onnodig zal worden belast.
6.5 Verwerkingsverantwoordelijke draagt de kosten van controles met uitzondering van de
kosten van het personeel van Verwerker dat de controle begeleidt. Deze laatste kosten zijn
voor Verwerker. Indien uit de controle blijkt dat Verwerker tekortschiet in de nakoming van
deze overeenkomst of de naleving van de AVG, dan zal Verwerker onverwijld overgaan tot
het herstellen van de geconstateerde tekortkomingen.

7. Melden van datalekken
7.1 Indien een Inbreuk heeft plaatsgevonden, meldt Verwerker deze zonder onredelijke
vertraging zodra hij kennis daarvan heeft genomen, maar uiterlijk binnen 48 uur na
kennisname, aan Verwerkingsverantwoordelijke, tenzij het niet waarschijnlijk is dat de
Inbreuk een risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Indien het
niet mogelijk is om alle informatie gelijktijdig te verstrekken, kan Verwerker de informatie in
stappen aanleveren mits dit zonder onredelijke vertraging gebeurt.
7.2 De melding bevat in ieder geval:
a. de aard van de Inbreuk, waar mogelijk onder vermelding van de categorieën van
Betrokkenen en persoonsgegevensregisters in kwestie en, bij benadering, het aantal
Betrokkenen en persoonsgegevensregisters in kwestie;
b. de naam en de contactgegevens van de functionaris voor gegevensbescherming of een
ander contactpunt waar meer informatie kan worden verkregen door
Verwerkingsverantwoordelijke;
c. de waarschijnlijke gevolgen van de Inbreuk;
d. de maatregelen die de Verwerker voorstelt of reeds heeft genomen om Inbreuk aan te
pakken, waaronder de eventuele maatregelen ter beperking van de eventuele nadelige
gevolgen daarvan.
7.3 Verwerker zal Verwerkingsverantwoordelijke bijstand verlenen bij het documenteren van alle
Inbreuken.
7.4 Verwerker zal Verwerkingsverantwoordelijke bijstand verlenen bij het doen van eventuele
mededelingen aan Betrokkenen wanneer de Inbreuk waarschijnlijk een hoog risico inhoudt
voor de rechten en vrijheden van Betrokkenen.

8. Slotbepalingen
8.1 Op deze overeenkomst is Nederlands recht van toepassing. De forumkeuze bij eventuele
geschillen voortvloeiend uit of samenhangend met deze overeenkomst is bepaald in de
onderliggende dienstverleningsovereenkomst. Als geen forumkeuze is bepaald dan geldt dat
de bevoegde rechter in het arrondissement van Verwerker bij uitsluiting bevoegd is om
kennis te nemen van geschillen tussen partijen.
8.2 Beide partijen zijn ieder verantwoordelijk en aansprakelijk voor hun eigen handelen. Indien
Verwerker toerekenbaar tekortkomt in het naleven van deze overeenkomst of toerekenbaar
in strijd handelt met hetgeen bepaald is in de AVG, dan vrijwaart zij
Verwerkingsverantwoordelijke tegen daaruit voortvloeiende aanspraken van derden,
waaronder Betrokkenen, en alle daarmee verband houdende kosten en schades. Door de
Autoriteit aan Verwerkingsverantwoordelijke gegeven boetes vallen nadrukkelijk buiten de
aansprakelijkheid en de vrijwaring van Verwerker.
8.3 Waar het de verwerking van Persoonsgegevens betreft, gaan bij strijdigheid met andere
contractuele bedingen tussen partijen de bepalingen van deze overeenkomst voor, tenzij
partijen bij een nadere schriftelijke overeenkomst uitdrukkelijk van bepalingen uit deze
overeenkomst afwijken. Deze verwerkersovereenkomst vervangt eventuele voorgaande
tussen partijen geldende bewerkersovereenkomsten.
8.4 Het staat Verwerker vrij om de Persoonsgegevens met betrekking tot het gebruik van haar
diensten, zoals logins, activiteit, gebruik en dergelijke, ook anoniem en statistisch te
verwerken in het kader van het verbeteren van haar diensten en om onderzoek te doen,
bijvoorbeeld voor benchmarking.
8.5 Indien één of meerdere bepalingen van deze overeenkomst niet rechtsgeldig blijken te zijn,
dan zal de overeenkomst voor het overige van kracht blijven terwijl partijen in overleg gaan
om een vervangende regeling te treffen die zowel rechtsgeldig is als zoveel mogelijk aansluit
bij de te vervangen regeling.