AVG/GDPR

DPA (Data processing amendment)
Ziaja & Dorst addendum voor gegevensverwerking

Ziaja & Dorst en de Klant hebben een overeenkomst voor het verlenen ICT diensten (de “Overeenkomst”, zoals van tijd tot tijd gewijzigd, aangevuld of vernieuwd).

Dit addendum wordt aangegaan door Ziaja & Dorst en de Klant en bevat de Voorwaarden voor Gegevensverwerking die van toepassing zijn op de Diensten en maken deel uit van en zijn onderworpen aan de Overeenkomst, met inbegrip van de algemene voorwaarden.

  1. DEFINITIES

In deze Voorwaarden voor Gegevensverwerking geldt dat:

“Gelieerde partij” verwijst naar een entiteit die direct of indirect zeggenschap heeft over, wordt bestuurd door, of onder gezamenlijke zeggenschap staat van een partij bij de Overeenkomst;

“Persoonlijke Gegevens van de Klant” verwijst naar persoonlijke gegevens in de bestanden, mappen en databases van de klant waarvan via de Diensten mutaties en back-ups gemaakt moeten worden;

“Klantvertegenwoordiger” verwijst naar de persoon die van tijd tot tijd door de Klant wordt aangewezen en die zal optreden als primaire contactpersoon met betrekking tot de uitvoering van de Overeenkomst;

“Voorwaarden voor Gegevensverwerking” verwijst naar de voorwaarden uiteengezet in dit Addendum;

“Wetgeving inzake Gegevensbescherming” verwijst, indien van toepassing, naar: (a) de AVG (vanaf 25 mei 2018); en/of (b) de Wetgevaing inzake Gegevensbescherming die van toepassing is in het rechtsgebied van Ziaja & Dorst , in elk geval zoals van tijd tot tijd mogelijk gewijzigd of aangevuld;

“Ziaja & Dorst ” verwijst naar v.o.f. Ziaja & Dorst, de partij bij de Overeenkomst.

“AVG” verwijst naar de Algemene Verordening Gegevensbescherming 2016/679;

“Diensten” verwijst naar de ICT diensten, zoals onderhoud van computernetwerken, telefonie en multimediadiensten die door Ziaja & Dorst worden geleverd, waarbij een ook online back-ups worden gemaakt met versleutelde kopieën van de Persoonlijke Gegevens van de Klant die wordt opgeslagen op een externe locatie (datacenter) via software die wordt aangeboden door Ziaja & Dorst en geïnstalleerd op de personal computers en/of servers van de Klant waarop de Diensten van toepassing zijn, met inbegrip van hiermee verband houdende technische ondersteuningsdiensten.

 “Subverwerkers” verwijst naar derden die op grond van deze Voorwaarden voor Gegevensverwerking bevoegd zijn om Persoonlijke Gegevens van de Klant te verwerken ter levering van onderdelen van de Diensten en de hiermee verband houdende technische ondersteuning.

De termen “controller”, “gegevenssubject”, “persoonlijke gegevens”, “verwerking”, “verwerker” en “toezichthoudende autoriteit” zoals gebruikt in deze Voorwaarden voor Gegevensverwerking hebben de betekenis die wordt aangegeven in de AVG.

  1. INGANGSDATUM EN DUUR

Deze Voorwaarden voor Gegevensverwerking worden van kracht op 25 mei 2018 (de “Ingangsdatum”) en tot die datum blijven alle bestaande bepalingen in de Overeenkomst met betrekking tot gegevensbescherming en privacy van kracht tussen de partijen. Op de Ingangsdatum vervangen de bepalingen van deze Voorwaarden voor Gegevensverwerking de eerder bestaande bepalingen van de Overeenkomst met betrekking tot gegevensbescherming en privacy (zonder verdere actie van de kant van de partijen).

  1. AARD EN DOEL VAN DE VERWERKING

3.1
De Klant erkent uitdrukkelijk en stemt ermee in dat Ziaja & Dorst geen controle over of invloed heeft op de inhoud van de Persoonlijke Gegevens van de Klant, die onder meer persoonlijke gegevens en gevoelige persoonlijke gegevens (zoals gedefinieerd in de AVG) met betrekking tot de Klant of zijn eigen klanten, leveranciers, werknemers, ander personeel of andere gegevenssubjecten in de zin van de AVG kunnen betreffen). Indien de Klant de gegevenssubjecten of soorten persoonlijke gegevens verder wenst te categoriseren om in deze voorwaarden op te nemen, kan hij dergelijke informatie aan Ziaja & Dorst verstrekken.

3.2
De levering van de Diensten omvat het verzamelen, vastleggen, organiseren, structureren, opslaan in versleutelde vorm, ophalen, wissen en vernietigen van Persoonlijke Gegevens van de Klant ter levering van de Diensten en de hiermee verband houdende technische ondersteuning.

3.3
Met betrekking tot de levering van de Diensten door Ziaja & Dorst is de Klant, of zijn klant, een Gegevenscontroller en is Ziaja & Dorst een Gegevensverwerker. In gevallen waarin de Klant wordt aangemerkt als een Gegevensverwerker, zal Ziaja & Dorst optreden als zijn subgegevensverwerker en garandeert de Klant aan Ziaja & Dorst dat de instructies en acties van de Klant met betrekking tot Persoonlijke Gegevens van de Klant, met inbegrip van de benoeming van Ziaja & Dorst als andere verwerker, geautoriseerd zijn door de relevante Controller.

3.4
Niettegenstaande Artikel 3.3, kan Ziaja & Dorst optreden als Controller met betrekking tot de activiteiten uiteengezet in zijn privacybeleid dat beschikbaar is op zijn website – www.ziaja-dorst.nl

3.5
Ziaja & Dorst verwerkt de persoonlijke gegevens van de klant alleen in overeenstemming met de instructies van de Klant. De Klant instrueert Ziaja & Dorst om de Persoonlijke Gegevens van de Klant te verwerken, en Ziaja & Dorst zal alleen verwerken, ter levering van de Diensten, in overeenstemming met de Overeenkomst en anderszins op instructie van de Klantvertegenwoordiger of een derde die door de Klant schriftelijk (daaronder begrepen per e-mail) is bevestigd als zijnde bevoegd om dergelijke instructies te geven (een “Gevolmachtigde agent”) en voor de Ziaja & Dorst zal de klant onmiddellijk op de hoogte brengen als een instructie naar zijn mening inbreuk maakt op de wetgeving inzake gegevensbescherming. Ziaja & Dorst zal de klant onmiddellijk op de hoogte brengen als volgens haar een instructie in strijd is met de wetgeving inzake gegevensbescherming. De Klant blijft te allen tijde volledig aansprakelijk voor instructies gegeven door zijn contactpersonen of Gevolmachtigde agent.

3.6
De partijen erkennen en stemmen ermee in dat instructies per e-mail of mondeling kunnen worden verstrekt wanneer de Klant of Gevolmachtigde agent gebruik maakt van het technische ondersteuningsteam van Ziaja & Dorst , op voorwaarde dat Ziaja & Dorst deze mondelinge instructies vastlegt.

3.7
De Klant erkent en gaat ermee akkoord dat hij (en/of zijn klant als zijn klant (ook) in aanmerking komt als de Controller) verantwoordelijk is voor het bepalen van de doeleinden waarvoor en de manier waarop de Persoonlijke Gegevens van de Klant worden verwerkt en garandeert hierbij dat, voor zover van toepassing, zijn klant gedurende de duur van de Overeenkomst alle maatregelen heeft genomen met betrekking tot de Persoonlijke Gegevens van de Klant en zal blijven nemen om te verzekeren dat de verplichtingen krachtens de Wetgeving inzake Gegevensbescherming worden nagekomen, met inbegrip van de verwerkingsactiviteiten die door de Diensten worden uitgevoerd en alle vereiste autorisaties met betrekking tot de levering van dergelijke Diensten door Ziaja & Dorst onder deze Voorwaarden voor Gegevensverwerking.

  1. PERSONEEL VAN ZIAJA & DORST

4.1
Ziaja & Dorst zal aan alle personeelsleden aan wie toegang tot de Persoonlijke Gegevens van de Klant wordt verleend passende contractuele verplichtingen inzake vertrouwelijkheid opleggen en handhaven.

4.2
Ziaja & Dorst zal toegangscontroles en toegangsbeleid implementeren en handhaven om personeel van Ziaja & Dorst dat Persoonlijke Gegevens van de Klant verwerkt, te beperken tot die personeelsleden van Ziaja & Dorst die Persoonlijke Gegevens van de Klant moeten verwerken om de Diensten aan de Klant te leveren.

  1. BEVEILIGINGSMAATREGELEN

5.1
Ziaja & Dorst heeft passende technische en organisatorische beveiligingsmaatregelen genomen en zal deze handhaven conform ISO 27001 ter voorkoming van onbevoegde toegang tot de Persoonlijke Gegevens van de Klant, onbevoegde of onwettige wijziging, openbaarmaking, vernietiging of onwettige verwerking van de Persoonlijke Gegevens van de Klant of onbedoeld verlies of vernietiging van of schade aan de Persoonlijke Gegevens van de Klant, steeds rekening houdend met de laatste stand van de techniek, de kosten van implementatie en de aard, omvang, context en doeleinden van de verwerking ingevolge de Diensten.

5.2
De Klant is volledig verantwoordelijk voor het gebruik van de Diensten, met inbegrip van het beveiligen van de accountauthenticatiegegevens, systemen en apparaten (met inbegrip van de Beschermde Apparatuur) die de Klant gebruikt om toegang te krijgen tot de Diensten.

  1. OPSLAG EN OVERDRACHT VAN PERSOONLIJKE GEGEVENS

6.1
Ziaja & Dorst zal de Persoonlijke Gegevens van de Klant opslaan in datacenters in de EER of in een derde land dat valt onder Artikel 45, subparagraaf 1 van de AVG.

6.2
Technische ondersteuningsdiensten buiten de normale kantooruren kunnen worden geleverd door een aan Ziaja & Dorst gelieerde partij die zich buiten de landen bevindt die worden vermeld in Artikel 6.1, en de Klant machtigt een dergelijke aan Ziaja & Dorst gelieerde partij om dergelijke gegevens op zijn instructie te verwerken. Tenzij er een ander geldig overdrachtsmechanisme beschikbaar is op grond van de AVG (bijvoorbeeld het EU-VS privacyschild), kan de Klant verzoeken dat de aan Ziaja & Dorst gelieerde partij de EU-standaardcontractbepalingen aanvaardt.

  1. SUBVERWERKING

7.1
De Klant geeft hierbij uitdrukkelijk toestemming voor de inschakeling van een aan Ziaja & Dorst gelieerde partij als subverwerker.

7.2
De Klant autoriseert eveneens in algemene zin het gebruik van externe subverwerkers door Ziaja & Dorst , op voorwaarde dat:

  1. Ziaja & Dorst de verwerking van de Persoonlijke Gegevens van de Klant door de subverwerker zal beperken tot de verwerking die nodig is om de Diensten te leveren of te onderhouden;
  2. Ziaja & Dorst dergelijke subverwerkers contractueel zal opleggen dat zij een vergelijkbaar niveau van naleving van gegevensbescherming en informatiebeveiliging moeten garanderen als wat hierin is bepaald, voor zover van toepassing op de verwerkingsactiviteiten die door de subverwerker worden geleverd; en
  3. als een subverwerker zich niet houdt aan zijn verplichtingen inzake gegevensbescherming, blijft Ziaja & Dorst volledig aansprakelijk jegens de Klant.

7.3
Ziaja & Dorst houdt een actueel overzicht bij van alle subverwerkers die betrokken zijn bij de Diensten. Ziaja & Dorst verstrekt dit overzicht aan de Klant op diens schriftelijke verzoek.

7.4
Ziaja & Dorst zal de Klant in kennis stellen als er gedurende de looptijd een nieuwe subverwerker wordt aangesteld en de Klant heeft de mogelijkheid om bezwaar te maken tegen het gebruik van een dergelijke subverwerker. Als de Klant:

  1. niet (schriftelijk) binnen 30 dagen na de datum van de kennisgeving reageert, wordt hij geacht toestemming te hebben gegeven voor het gebruik van een dergelijke subverwerker;
  2. reageert door (schriftelijk) zijn toestemming te weigeren en een wederzijds aanvaardbare oplossing voor een dergelijke weigering niet kan worden overeengekomen, kan het de dienst of het deel van de dienst dat door Ziaja & Dorst wordt geleverd met behulp van de relevante subverwerker beëindigen. Dit recht tot beëindiging is het enige en exclusieve rechtsmiddel van de Klant indien de Klant bezwaar maakt tegen een nieuwe externe subverwerker en er kan in het bijzonder geen aanspraak worden gemaakt op terugbetaling van vergoedingen in geval van een dergelijke beëindiging.

7.5
Niettegenstaande de bovenstaande subparagrafen 7.1 tot en met 7.4, en conform de geldende wetgeving, kan Ziaja & Dorst vrij gebruik maken van onderaannemers of leveranciers die niet als verwerkers worden aangemerkt op grond van de Wetgeving inzake Gegevensbescherming, met inbegrip van maar niet beperkt tot leveranciers van energie, apparatuur en vervoersdiensten, technische dienstverleners, hardwareleveranciers etc.) zonder dat de Klant vooraf hoeft te worden geïnformeerd of om toestemming moet worden gevraagd.

7.6
Ziaja & Dorst zal aan alle subverwerkers aan wie toegang tot de Persoonlijke Gegevens van de Klant wordt verleend passende contractuele verplichtingen inzake vertrouwelijkheid opleggen en handhaven.

  1. HULP BIJ VERZOEKEN?VAN GEGEVENSSUBJECTEN

8.1
De Klant erkent en gaat ermee akkoord dat hij ervoor verantwoordelijk is om aan alle verzoeken van gegevenssubjecten uit hoofde van Wetgeving inzake Gegevensbescherming te voldoen.

8.2
Ziaja & Dorst gaat ermee akkoord om de Klant redelijke hulp te bieden zonder onnodige vertraging, rekening houdend met de aard en de functionaliteit van de Diensten, bij het nakomen van de verplichtingen van de Klant of zijn klanten met betrekking tot:

  1. verzoeken van gegevenssubjecten met betrekking tot toegang tot of de rectificatie, uitwissing, beperking, blokkering of verwijdering van Persoonlijke Gegevens van de Klant, op voorwaarde dat de Klant erkent dat Ziaja & Dorst de Persoonlijke Gegevens van de Klant uitsluitend in versleutelde vorm bewaart, en dergelijke handelingen zullen daarom worden uitgevoerd door de Klant of namens hem door een Gevolmachtigde agent en niet door Ziaja & Dorst ;
  2. het onderzoeken van een incident dat het risico met zich meebrengt van onbevoegde openbaarmaking, verlies, vernietiging of wijziging van Persoonlijke Gegevens van de Klant en de kennisgeving aan de toezichthoudende autoriteit en gegevenssubjecten met betrekking tot dergelijke incidenten;
  3. het voor rekening en kosten van de Klant voorbereiden van effectbeoordelingen van gegevensbescherming en, voor zover van toepassing, het voeren van overleg met de toezichthoudende autoriteit.

 

  1. HET?AANTONEN VAN NALEVING

9.1
Ziaja & Dorst kan onafhankelijke externe auditors inzetten om periodiek de beveiligingsmaatregelen voor de Diensten door te lichten.

9.2
De Klant heeft het recht om de naleving door Ziaja & Dorst van deze Voorwaarden voor Gegevensverwerking te controleren door:

  1. een kopie aan te vragen van enig certificaat dat beschikbaar is gesteld ingevolge Artikel 9.1; en
  2. indien de Klant redelijkerwijs kan aantonen dat het certificaat dat wordt verstrekt op grond van Artikel 9.2 (a) niet voldoende aannemelijk maakt dat Ziaja & Dorst voldoet aan deze Voorwaarden voor Gegevensverwerking of een dergelijk certificaat ontoereikende beveiligingsmaatregelen bevat/niet beschikbaar is, gaat Ziaja & Dorst er op verzoek en op kosten van de Klant (met inbegrip van alle redelijke kosten en vergoedingen van Ziaja & Dorst ) mee akkoord om informatie en documenten beschikbaar te stellen en bij te dragen aan audits waar de Klant of zijn gemachtigde in alle redelijkheid om vraagt, teneinde de naleving van de verplichtingen uit hoofde van deze Voorwaarden voor Gegevensverwerking te controleren, mits een dergelijke audit plaatsvindt tijdens normale kantooruren, met een redelijke kennisgeving vooraf aan Ziaja & Dorst en onder voorbehoud van redelijke geheimhoudingsprocedures. Voor aanvang van een dergelijke audit zullen partijen onderlinge afspraken maken over de reikwijdte, het tijdstip en de duur van de audit. De Klant mag Ziaja & Dorst maximaal eens per jaar aan een dergelijke audit onderwerpen.

9.3
Ziaja & Dorst is geenszins verplicht om bedrijfsgeheimen of commercieel gevoelige gegevens, gegevens van andere klanten of gegevens waarvan redelijkerwijs kan worden aangenomen dat deze de veiligheid of integriteit van zijn systemen in gevaar kan brengen, openbaar te maken.

 

  1. GEGEVENSINBREUK

10.1
Als Ziaja & Dorst kennis krijgt van een inbreuk op de beveiliging met betrekking tot de persoonlijke gegevens van de klant, die resulteert in accidentele of onwettige vernietiging, verlies, wijziging, ongeautoriseerde openbaarmaking of toegang tot persoonlijke gegevens van de klant, zal Ziaja & Dorst de Klant hiervan onverwijld in kennis stellen en voldoende informatie verstrekken om de Klant in staat te stellen de inbreuk en zijn verplichtingen met betrekking tot het inlichten van toezichthoudende autoriteiten of gegevenssubjecten krachtens de Wetgeving inzake Gegevensbescherming te beoordelen. Een dergelijke kennisgeving zal worden verstrekt aan de Klantvertegenwoordiger. Voor alle duidelijkheid, Ziaja & Dorst is niet verplicht om de Klant in kennis te stellen van mislukte pogingen of activiteiten die de veiligheid van de Persoonlijke Gegevens van de Klant niet in gevaar brengen, waaronder onsuccesvolle inlogpogingen, pings, poortscans, denial-of-service-aanvallen en andere netwerkaanvallen op firewalls of netwerksystemen.

10.2
De Klant is volledig verantwoordelijk voor het naleven van de wetten voor het melden van incidenten die krachtens de Wetgeving inzake Gegevensbescherming op de Klant van toepassing zijn. Niettegenstaande het voorgaande, zullen de partijen samenwerken en alle redelijke hulp bieden met betrekking tot het voldoen aan de meldingsverplichtingen jegens derden krachtens de Wetgeving inzake Gegevensbescherming.

10.3
Een kennisgeving van Ziaja & Dorst over of een reactie op een geval van gegevensinbreuk op grond van dit Artikel 10 dient niet te worden opgevat als een erkenning door Ziaja & Dorst of een gelieerde partij van enige fout of aansprakelijkheid met betrekking tot de gegevensinbreuk.

  1. VERWIJDERING VAN GEGEVENS VAN DE KLANT

De Klant draagt Ziaja & Dorst en eventuele subverwerkers hierbij op om, binnen drie maanden na de datum van beëindiging van de Overeenkomst, alle Persoonlijke Gegevens van de Klant te verwijderen en op verzoek schriftelijk (daaronder begrepen per e-mail) aan de Klant te bevestigen dat dit is uitgevoerd.

Behoudens zoals hierin uiteengezet, blijven alle andere voorwaarden van de Overeenkomst van kracht. In het geval van een discrepantie tussen deze Voorwaarden voor Gegevensverwerking en de overige bepalingen van de Overeenkomst, prevaleren deze Voorwaarden voor Gegevensverwerking. Eventuele claims op grond van dit Addendum zijn onderworpen aan dezelfde voorwaarden en bepalingen als de Overeenkomst, met inbegrip van maar niet beperkt tot de uitsluitingen en beperkingen uiteengezet in de Overeenkomst.

Download: AVG-gegevensverwerking 

Leiderdorp, 25 mei 2018