Verwerkingsovereenkomst met Spin - Glamourstudio

Fotograaf:
Ekko ten Cate
De Glamourstudio
Waddinxveen
0655341264
Ga naar de inhoud
Verwerkersovereenkomst
Versie:  1 Datum: 16-5-2018
Deze verwerkersovereenkomst in het kader van de Algemene Verordening Gegevensbescherming (AVG) is van toepassing op alle vormen van verwerking van persoonsgegevens die Spin in het Web B.V. ten behoeve van een wederpartij aan wie wij diensten leveren (de opdrachtgever) uitvoert.
Deze verwerkersovereenkomst maakt integraal onderdeel uit van de afspraken tussen deze partijen, zoals vastgelegd in een overeenkomst, abonnementsvoorwaarden of op een andere manier. De invoering van de AVG per 25-5-2018 maakt een verwerkersovereenkomst wettelijk noodzakelijk: zonder deze kunnen wij geen verwerkingsdomein ter beschikking stellen.

1.    Definities
1.1. Spin in het Web: Spin in het Web B.V., in zijn hoedanigheid van gegevensverwerker in de zin van de AVG.
1.2. Opdrachtgever: elke wederpartij met wie Spin in het Web een overeenkomst of afspraak tot dienstverlening is aangegaan en die, in de hoedanigheid van verwerkingsverantwoordelijke in de zin van de AVG, Spin in het
      Web gegevens laat verwerken. De opdrachtgever kan gelijkwaardig worden aangeduid met hij of zij.
1.3. Partijen: Spin in het Web en opdrachtgever samen.
1.4. Verwerkingsdomein: een onder één noemer te vangen combinatie van veelal digitale mogelijkheden die door Spin in het Web aan opdrachtgever ter beschikking wordt gesteld en waarin opdrachtgever uit eigen naam
      gegevens kan ontvangen, bewaren, verwerken en/of ter beschikking van derden kan stellen. Voorbeelden van zulke verwerkingsdomeinen zijn webruimte voor websites en (opslag van) e-mail, databases, applicatie-
      backends, exclusieve serverruimte en andere combinaties van communicatie, verwerking en opslag van gegevens, inclusief log-regels en back-ups. Een opdrachtgever kan meerdere verwerkingsdomeinen tot zijn of haar
      beschikking hebben.
1.5. Overeenkomst: elke overeenkomst, werkafspraak, abonnementsafspraak of combinatie van één of meerdere hiervan tussen partijen waarbij Spin in het Web diensten verleent aan opdrachtgever.
1.6. Gegevensverwerking / gegevens verwerken: het opslaan in en verwerken van (persoons)gegevens binnen het verwerkingsdomein, waarbij inbegrepen het tijdelijk opslaan of loggen van transactionele sporen van het
       verwerken van zulke gegevens.

2.    Doeleinden van de verwerking
2.1. De gegevensverwerking vindt plaats in het kader van de in de overeenkomst afgesproken diensten, plus wat daarmee samenhangt of nader wordt afgesproken.
2.2. Voor wat betreft deze gegevensverwerking geldt Spin in het Web in termen van de AVG als Verwerker en opdrachtgever als Verwerkingsverantwoordelijke.
2.3. Opdrachtgever kan binnen zijn verwerkingsdomein gegevens verwerken.
2.4. Spin in het Web is verantwoordelijk voor de technische en andere voorwaarden die het gebruik van het verwerkingsdomein mogelijk maken en beheert afhankelijk van de afspraken ook (delen van) het
      verwerkingsdomein op technisch of inhoudelijk niveau.
2.5. Bepaalde delen van de algemene infrastructuur van Spin in het Web worden tot een verwerkingsdomein gerekend – voor zover (sporen van) gegevens uit dat verwerkingsdomein daarin opgeslagen of verwerkt worden. 2.6. Spin in het Web heeft geen directe invloed op de in een verwerkingsdomein bewaarde persoonsgegevens en de categorieën daarvan.
2.7. Opdrachtgever stelt het doel en de wettelijke gronden van de gegevensverwerking binnen haar verwerkingsdomein vast en is hiervoor verantwoordelijk.
2.8. Tenzij expliciet anders is overeengekomen gaat Spin in het Web ervan uit dat de binnen het verwerkingsdomein bewaarde persoonsgegevens onder de categorie standaard persoonsgegevens vallen. Spin in het Web neemt
      dan ook veiligheidsmaatregelen die bij deze categorie passen.
2.9. Indien opdrachtgever bijzondere persoonsgegevens - in de zin van de AVG – in het verwerkingsdomein wil bewaren maakt zij daarvoor expliciete afspraken met Spin in het Web. Partijen stellen dan gezamenlijk de
      benodigde versleuteling en beveiliging vast.
2.10. Indien de in het vorige lid genoemde afspraken niet zijn gemaakt, zal opdrachtgever zelf (laten) zorgdragen voor een zodanige versleuteling of anonimisering van de betreffende gegevens, dat deze gedurende de tijd dat
        ze in het verwerkingsdomein worden bewaard niet door derden als bijzonder persoonsgegeven te gebruiken zijn, noch daartoe zijn terug te leiden.
2.11. Spin in het Web zal de in het verwerkingsdomein bewaarde gegevens enkel opslaan en niet voor een eigen doel gebruiken, tenzij handelend namens de opdrachtgever of ten behoeve van technische diagnose op basis
         van metagegevens en sporen van de bewaarde gegevens met het doel de operationele systemen van Spin in het Web te beschermen en optimaliseren en de overeenkomst te kunnen uitvoeren.
2.12. Het verwerken van de bewaarde gegevens door Spin in het Web als Verwerker wijzigt het eigendom ervan niet.
2.13. Opdrachtgever staat in voor de rechtmatigheid van de gegevensverwerking.

3.    Verplichtingen van Verwerker
3.1. Dit artikel gaat over de verplichtingen van Spin in het Web met betrekking tot de in artikel 2.1 bedoelde werkzaamheden, naast de verplichtingen die Spin in het Web vanuit de toepasselijke wet- en regelgeving heeft.
     De hier genoemde verplichtingen gelden ook voor diegenen die voor Spin in het Web persoonsgegevens verwerken, waaronder medewerkers in de ruimste zin van het woord.
3.2. Spin in het Web zal opdrachtgever op dienst eerste verzoek daartoe informeren over alle maatregelen die wij hebben genomen met betrekking tot verplichtingen die uit deze verwerkersovereenkomst voortvloeien.
3.3. Spin in het Web zal opdrachtgever onmiddellijk informeren wanneer een opdracht, instructie, of handeling van de opdrachtgever naar de mening van Spin in het Web in strijd is met de wet- en regelgeving op het gebied
      van de gegevensbescherming. Spin in het Web heeft echter geen controlerende rol met betrekking tot de gegevensverwerking van de opdrachtgever.
3.4. Spin in het Web zal voor zover redelijkerwijs mogelijk de opdrachtgever bijstaan ten behoeve van gegevensbeschermingseffectbeoordelingen (DPIA’s). De tijd die Spin in het Web hieraan moet besteden wordt als
      incidentele werkzaamheden in rekening gebracht bij de opdrachtgever.

4.    Algemene verwerking van persoonsgegevens en doorgifte
4.1. Spin in het Web verwerkt door de aard van zijn dienstverlening zelf ook persoonsgegevens die afkomstig zijn van de opdrachtgever, bezoekers, e-mailafzenders en dergelijke. Deze eigen registraties zijn beschreven in
      het gegevensregister van Spin in het Web, dat via onze website of helpdesk is op te vragen.
4.2. Spin in het Web mag de in het vorige lid bedoelde persoonsgegevens, alsmede gegevens binnen het verwerkingsdomein, verwerken in landen binnen de Europese Unie. Verwerking buiten de Europese Unie mag alleen
      na expliciete toestemming van de opdrachtgever.
4.3. Het verwerkingsdomein kan (gedeeltelijk) geplaatst worden in door Spin in het Web bij derden verkregen infrastructuur. In dit geval geldt deze leverancier als subverwerker van Spin in het Web.
4.4. Spin in het Web staat in voor correcte naleving van de plichten uit deze overeenkomst door zijn subverwerkers.
4.5. De onder lid 4.2 en 4.3 bedoelde leveranciers en hun landen staan vermeld in het gegevensregister.

5.    Beveiliging
5.1. Spin in het Web spant zich in om haar systemen en organisatie te beveiligen tegen verlies of onrechtmatige verwerking van de gegevens in de gegevensverwerking, zoals onbevoegde kennisname, aantasting,
      wijziging of verstrekking van persoonsgegevens.
5.2. Deze beveiliging houdt in elk geval, maar niet uitsluitend in: bewustzijn, kennis en competentie van medewerkers met betrekking tot gegevensbescherming, VOG van medewerkers, fysieke beveiliging van ruimtes,
      digitale beveiliging, tijdige updates, firewalls, anti-virusmaatregelen, anti-aanvalmaatregelen, logging, autorisatiebeleid, sterke wachtwoorden en sterk wachtwoordbeheer, veilige back-ups, data-encryptie en versleutelde
      verbindingen, expliciete veiligheidscommunicatie met leveranciers.
5.3. Spin in het Web staat er niet voor in dat de in dit artikel bedoelde maatregelen altijd doeltreffend zijn. Wel spant Spin in het Web zich in om de beveiliging te laten voldoen aan een niveau dat redelijk is, gezien de stand
      van de techniek, de aard van de algemene persoonsgegevens of specifieke afspraken over bijzondere persoonsgegevens, en de bijbehorende kosten.
5.4. Opdrachtgever voert alleen dan gegevensverwerking in het verwerkingsdomein uit, wanneer hij zich ervan heeft vergewist dat de beveiliging ervan in orde is.
5.5. Opdrachtgever is verantwoordelijk voor het deel van de beveiliging waarop hij invloed heeft, zoals de wijze van verbinden met het verwerkingsdomein, het publiceren of niet publiceren van broncode en inloggegevens
     en de inhoud en sterkte van wachtwoorden.
5.6. Opdrachtgever is verantwoordelijk voor naleving van de door partijen afgesproken maatregelen.

6.     Meldplicht
6.1. Spin in het Web brengt de opdrachtgever binnen redelijke termijn en op een volgens Spin in het Web passende manier op de hoogte van een aangetroffen beveiligings- of datalek, voor zover deze betrekking heeft op het
     verwerkingsdomein, zodat de opdrachtgever – als verwerkingsverantwoordelijke – aan zijn meldingsplicht richting betrokkenen of toezichthouder kan voldoen.
6.2. Spin in het Web geeft de opdrachtgever in voorkomende gevallen desgevraagd alle informatie die nodig is voor een formele melding: aard van de inbreuk, waarschijnlijke gevolgen van de inbreuk met betrekking tot
      gegevens in het verwerkingsdomein, voorgestelde maatregelen ter beperking en voorkoming van de inbreuk.
6.3. Omdat de gegevensverwerking tot op bepaalde hoogte buiten het zicht van Spin in het Web plaatsvindt kan Spin in het Web mogelijk niet alle informatie leveren die de opdrachtgever volgens de meldplicht moet leveren,
      zoals aard en categorie van de betrokken persoonsgegevens.

7.     Verzoeken
7.1. Verzoeken tot uitoefening van zijn of haar wettelijke rechten van een betrokkene worden door de opdrachtgever afgehandeld.
7.2. Afhankelijk van de overeenkomst kan de opdrachtgever Spin in het Web inschakelen voor de uitvoering van de werkzaamheden die nodig zijn om aan het verzoek te voldoen.
7.3. Indien een betrokkene een verzoek bij Spin in het Web neerlegt en dit verzoek naar het oordeel van Spin in het Web (mede) betrekking heeft op een verwerkingsdomein van de opdrachtgever, dan zal Spin in het Web het
      verzoek aan hem doorsturen. Spin in het Web mag de betrokkene in dat geval daarvan op de hoogte stellen en de naam- en contactgegevens van de opdrachtgever aan de betrokken doorgeven. Afhandeling vindt dan
     vervolgens plaats alsof het verzoek bij de opdrachtgever was neergelegd.
7.4. In het geval dat een verzoek als bedoeld in het eerste lid van dit artikel inhoudt dat onderdelen van het verwerkingsdomein waartoe de klant zelf geen directe toegang heeft moeten worden doorzocht of gewijzigd – zoals
      back-ups of logbestanden – dan voert Spin in het Web dit in opdracht van de opdrachtgever uit. Deze werkzaamheden vallen onder de noemer algemeen systeembeheer en zullen als incidenteel werk worden
     doorberekend.

8.     Audit
8.1. Opdrachtgever mag ten hoogste eenmaal per jaar om een onderzoek vragen naar naleving van de bepalingen van deze overeenkomst. Dit wordt in dit artikel een audit genoemd. Indien er sprake is van een concreet
      vermoeden van misbruik van persoonsgegevens geldt het maximum van eens per jaar niet.
8.2. De audit wordt uitgevoerd door een onafhankelijke derde die gebonden is aan geheimhouding tegenover eenieder met uitzondering van de partijen.
8.3. Spin in het Web zal aan de audit meewerken en alle voor de audit redelijkerwijs relevante informatie, en arbeidstijd van medewerkers ter beschikking stellen.
8.4. In plaats van het toestaan van audits kan Spin in het Web ook op eigen kosten een onafhankelijk onderzoek laten doen naar algemene naleving door Spin in het Web van de bepalingen uit de verwerkersovereenkomsten.
     Spin in het Web levert dan op verzoek van de opdrachtgever binnen 3 maanden na een auditverzoek een afschrift van het onderzoeksrapport. De opdrachtgever neemt bij voorbaat genoegen met deze vorm van auditing,
     en mag alleen alsnog een eigen audit uitvoeren wanneer het onderzoeksrapport bij levering ouder is dan 12 maanden, of in het geval van een concreet vermoeden van misbruik van persoonsgegevens.
8.5. Alle rapportages en verslagen van de auditor, schriftelijk, digitaal of mondeling, en alle overhandigde onderzoeksrapporten worden door de opdrachtgever geheimgehouden.
8.6. Spin in het Web zal de bevindingen uit audit en onderzoek ter harte nemen en naar eigen goeddunken en voor eigen rekening toepassen.
8.7. De kosten van de audit komen voor rekening van de opdrachtgever. Hieronder vallen ook de kosten die Spin in het Web moet maken voor het meewerken aan de audit, waaronder arbeidsloon.

9.     Aansprakelijkheid
9.1. De algemene afspraken over beperkte aansprakelijkheid uit de overeenkomst zijn ook geldig voor wat betreft de rol van Spin in het Web als verwerker, met de aanvullingen uit dit artikel specifiek van toepassing
      op deze rol.
9.2. Spin in het Web is niet aansprakelijk voor indirecte schade als gevolg van  de gegevensverwerking of problemen daarmee. Onder indirecte schade wordt verstaan alle schade die geen directe schade is en daarmee in ieder
      geval, maar niet beperkt tot, gevolgschade, gederfde winst, gemiste besparingen, verminderde goodwill, schade door bedrijfsstagnatie, schade door het niet behalen van marketingdoeleinden, schade verband houdende
      met het gebruik van door opdrachtgever voorgeschreven gegevens of databestanden, of verlies, verminking of vernietiging van gegevens of databestanden.
9.3. De uitsluitingen en beperkingen uit dit artikel worden op hun beurt beperkt door wettelijke grenzen, zoals in het geval van opzet of bewuste roekeloosheid van medewerkers van Spin in het Web.

10.     Duur, toepasselijkheid en beëindiging
10.1. Bij alle overeenkomsten die op of na 25 mei 2018 worden afgesloten treedt deze verwerkersovereenkomst integraal in werking, tenzij in de overeenkomst anders is bepaald, en voor zover deze betrekking hebben
        op het leveren van een verwerkingsdomein door Spin in het Web aan opdrachtgever.
10.2. Voor overeenkomsten als bedoeld in het vorige lid, maar die voor 25 mei 2018 zijn ingegaan, geldt dat deze verwerkersovereenkomst – versie 1 - wordt geacht per 25 mei 2018 te zijn toegevoegd aan de voorwaarden
       van die overeenkomst, tenzij opdrachtgever hiervan afziet. In het geval dat de opdrachtgever deze verwerkersovereenkomst niet toe wil passen is het aan hem – als verwerkingsverantwoordelijke – om andere afspraken
       te maken met Spin in het Web of af te zien van gegevensverwerking in het verwerkingsdomein.
10.3. Vanwege de nieuwe wettelijke eisen die aan opdrachtgever worden gesteld, is het al dan niet toepassen van deze verwerkersovereenkomst geen grond voor tussentijdse opzegging van de overeenkomst.
10.4. De verwerkersovereenkomst is aangegaan voor de duur van de overeenkomst. Indien deze duur niet helder is vast te stellen geldt deze overeenkomst in elk geval voor de duur van de samenwerking tussen de partijen. 10.5. Bij beëindiging of niet tijdig in werking treden van deze verwerkersovereenkomst (of een door partijen bedongen alternatieve verwerkersovereenkomst), ligt de verantwoordelijkheid voor het staken van de verwerking
        bij de opdrachtgever als verwerkingsverantwoordelijke. Bij beëindiging van de overeenkomst zal Spin in het Web alle gegevens in het verwerkingsdomein verwijderen, met uitzondering van de gegevens die Spin in het
        Web vanwege wettelijke bepalingen moet bewaren. Opdrachtgever krijgt de gelegenheid om vóór de beëindiging alle gegevens te kopiëren. Bij tussentijdse opzegging van de verwerkersovereenkomst, of het niet in
        werking treden ervan, terwijl de overeenkomst nog doorloopt, dient opdrachtgever zelf zorg te dragen voor het (laten) verwijderen van de gegevens.
10.6. Spin in het Web kan deze verwerkersovereenkomst van tijd tot tijd herzien. De gewijzigde versie wordt steeds gepubliceerd op onze website en gaat drie maanden na publicatie in. Indien de nieuwe versie concrete
        wijzingen bevat, die niet alleen wijzigingen in formulering zijn en die niet vanuit een gewijzigde wettelijkeverplichting moeten worden opgenomen, kan de opdrachtgever per ingangsdatum van de nieuwe versie, de
        onderliggende overeenkomst opzeggen. Anders wordt de opdrachtgever geacht akkoord te zijn met de nieuwe versie.

11.    Toepasselijk recht
11.1. Deze verwerkersovereenkomst en de uitvoering ervan worden beheerst door Nederlands recht.
11.2. Alle geschillen die tussen partijen mochten ontstaan in verband met deze verwerkersovereenkomst, en die niet door onderling goed overleg en/of mediation kunnen worden opgelost, zullen worden voorgelegd aan de
         bevoegde rechter in het arrondissement waarin Spin in het Web is gevestigd.
11.3. Wanneer een bepaling uit deze verwerkersovereenkomst vanwege een gerechtelijke uitspraak ongeldig wordt verklaard, blijft de rest van de verwerkersovereenkomst gelden en wordt deze geacht te zijn aangevuld met
        een bepaling die de geest van de geschrapte bepaling benadert en wel voldoet aan de eisen der wet.
Terug naar de inhoud