Verwerkersovereenkomst

Deze overeenkomst maakt deel uit van de Hoofdovereenkomst, als genoemd in overweging (A). De bepalingen van de Hoofdovereenkomst zijn van toepassing op deze overeenkomst, voor zover daar bij deze overeenkomst niet uitdrukkelijk van afgeweken wordt.

Partijen/ondergetekenden

- 1. De partijen waarmee Verwerker een samenwerkingsverband heeft voor het verwerken van bestellingen, hierna te noemen: ‘Verantwoordelijke’;
- 2. De Specialist, statutair gevestigd te Haarlem, ingeschreven bij de Kamer van Koophandel onder dossiernummer 56103824, hierna te noemen: ‘Verwerker’.

- 3. Elk afzonderlijk, dan wel gezamenlijk nader te noemen ‘Partij’ respectievelijk ‘Partijen

Overwegende dat:

- A. Verwerker voor Verantwoordelijke diensten verleent, welke separaat zijn overeengekomen middels één of meerdere bestellingen en waarop de algemene voorwaarden van Verwerker van toepassing zijn (hierna te noemen: ‘Hoofdovereenkomst’).
- B. Verantwoordelijke beschikt over persoonsgegevens van diverse betrokkenen. Verwerker zal de betreffende gegevens uitsluitend in opdracht van Verantwoordelijke verwerken en niet voor eigen doeleinden. Verantwoordelijke is in dat kader aan te merken als Verantwoordelijke in de zin van de Wbp en AVG.
- C. De Verantwoordelijke bepaalde vormen van verwerking wil laten verrichten door de Verwerker, waarbij de Verantwoordelijke doel en middelen aanwijst.
- D. Verantwoordelijke heeft ten behoeve van de diensten en de daarmee te verwerken persoonsgegevens geen privacy impact assessment gedaan.
- E. Partijen hun afspraken omtrent de verwerking van persoonsgegevens nader wensen vast te leggen in deze overeenkomst, zijnde een verwerkersovereenkomst.
- F. Per 25 mei 2018 is van toepassing Verordening (EU) 2016/679 (Algemene verordening gegevensbescherming).

Komen overeen:
Artikel 1: Begrippen
Begrippen uit de Wet bescherming persoonsgegevens (Wbp) en Algemene Verordening Gegevensbescherming (AVG), zoals “verwerken”, “persoonsgegevens”, “verantwoordelijke” en “verwerker” hebben de betekenis die daaraan is gegeven in de Wbp / AVG.

In deze Verwerkersovereenkomst wordt een aantal begrippen met een beginhoofdletter gebruikt. Aan deze begrippen komt de betekenis toe die hieraan wordt gegeven in artikel 1 van de Algemene Rijksvoorwaarden bij IT-overeenkomsten 2016 (ARBIT-2016). In afwijking daarvan of aanvulling daarop wordt onder de volgende begrippen in deze Verwerkersovereenkomst verstaan:

1.1 Betrokkene: degene op wie een Persoonsgegeven betrekking heeft.
1.2 Inbreuk in verband met Persoonsgegevens: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens.
1.3 Overeenkomst: de overeenkomst tussen Opdrachtgever en Wederpartij.
1.4 Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon, die Wederpartij in het kader van de Overeenkomst ten behoeve van Opdrachtgever verwerkt.
1.5 Verordening: Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van de Richtlijn 95/46/EG (algemene verordening gegevensbescherming).
1.6 Verwerkersovereenkomst: deze overeenkomst inclusief overwegingen en bijbehorende bijlagen.
1.7 Verwerking: een bewerking of een geheel van bewerkingen in het kader van de Overeenkomst met betrekking tot Persoonsgegevens, of een geheel van Persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen.

Artikel 2: Voorwerp van deze Verwerkersovereenkomst
2.1 Deze Verwerkersovereenkomst regelt de Verwerking van Persoonsgegevens door Wederpartij in het kader van de Overeenkomst.
2.2 De aard en het doel van de Verwerking, het soort Persoonsgegevens en de categorieën van Betrokkenen zijn in Bijlage 1 omschreven.
2.3 Wederpartij garandeert de toepassing van passende technische en organisatorische maatregelen, opdat de Verwerking aan de vereisten van de Verordening voldoet en de bescherming van de rechten van de Betrokkene is gewaarborgd.
2.4 Wederpartij garandeert te voldoen aan de vereisten van de toepasselijke wet- en regelgeving betreffende de verwerking van Persoonsgegevens.

Artikel 3: Inwerkingtreding en duur
3.1 Deze Verwerkersovereenkomst treedt in werking op het moment waarop deze door Partijen is ondertekend.
3.2 Deze Verwerkersovereenkomst eindigt nadat en voor zover Wederpartij alle Persoonsgegevens overeenkomstig artikel 10 heeft gewist of terugbezorgd.
3.3 Geen van Partijen kan deze Verwerkersovereenkomst tussentijds opzeggen.

Artikel 4: Omvang Verwerkingsbevoegdheid Wederpartij
4.1 Wederpartij Verwerkt de Persoonsgegevens uitsluitend in opdracht van en op basis van schriftelijke instructies van Opdrachtgever behoudens afwijkende wettelijke voorschriften die op Wederpartij van toepassing zijn.
4.2 Indien een instructie als bedoeld in het eerste lid naar het oordeel van Wederpartij in strijd is met een wettelijk voorschrift inzake gegevensbescherming, stelt hij Opdrachtgever daarvan voorafgaand aan de verwerking in kennis, tenzij een wettelijk voorschrift deze kennisgeving verbiedt.
4.3 Indien Wederpartij op grond van een wettelijke verplichting Persoonsgegevens dient te verstrekken, informeert hij Opdrachtgever onmiddellijk, en zo mogelijk voorafgaand aan de verstrekking.
4.4 Wederpartij heeft geen zeggenschap over het doel van en de middelen voor de Verwerking van Persoonsgegevens.

Artikel 5: Beveiliging van de Verwerking
5.1 In aanvulling op artikel 19 van de ARBIT-2016 en onverminderd artikel 2.3 treft Wederpartij de technische en organisatorische beveiligingsmaatregelen zoals beschreven in Bijlage 2.
5.2 Partijen erkennen dat het waarborgen van een passend beveiligingsniveau voortdurend kan dwingen tot het treffen van aanvullende beveiligingsmaatregelen. Wederpartij waarborgt een op het risico afgestemd beveiligingsniveau.
5.3 Indien en voor zover Opdrachtgever daarom uitdrukkelijk schriftelijk verzoekt, zal Wederpartij aanvullende maatregelen treffen met het oog op de beveiliging van de Persoonsgegevens.
5.4 Wederpartij Verwerkt Persoonsgegevens niet buiten de Europese Unie, tenzij hij daarvoor uitdrukkelijk schriftelijk toestemming heeft verkregen van Opdrachtgever en behoudens afwijkende wettelijke verplichtingen.
5.5 Wederpartij informeert Opdrachtgever zonder onredelijke vertraging zodra hij kennis heeft genomen van onrechtmatige Verwerkingen van Persoonsgegevens of inbreuken op beveiligingsmaatregelen zoals genoemd in het eerste en tweede lid.
5.6 Wederpartij verleent Opdrachtgever bijstand bij het doen nakomen van de verplichtingen uit hoofde van de artikelen 32 tot en met 36 van de Verordening.

Artikel 6: Geheimhouding door Personeel van Wederpartij
6.1 De Persoonsgegevens hebben een vertrouwelijk karakter als bedoeld in artikel 17.1 van de ARBIT-2016.
6.2 Wederpartij toont op verzoek van Opdrachtgever aan dat zijn Personeel zich ertoe heeft verbonden vertrouwelijkheid in acht te nemen als bedoeld in artikel 17.2 van de ARBIT-2016.

Artikel 7: Subverwerker
Wanneer Wederpartij, met inachtneming van het bepaalde in artikel 23 van de ARBIT-2016, een andere verwerker inschakelt om ten behoeve van Opdrachtgever verwerkingsactiviteiten te verrichten, worden aan deze andere verwerker bij een overeenkomst dezelfde verplichtingen inzake gegevensbescherming opgelegd als die welke in deze Verwerkersovereenkomst zijn opgenomen.

Artikel 8: Bijstand vanwege rechten van Betrokkene
Wederpartij verleent Opdrachtgever bijstand bij het vervullen van diens plicht om verzoeken om uitoefening van de in hoofdstuk III van de Verordening vastgestelde rechten van de Betrokkene te beantwoorden.

Artikel 9: Inbreuk in verband met Persoonsgegevens
9.1 Wederpartij informeert Opdrachtgever zonder onredelijke vertraging, zodra hij kennis heeft genomen van een Inbreuk in verband met Persoonsgegevens, overeenkomstig de afspraken zoals vastgelegd in Bijlage 3.
9.2 Wederpartij informeert Opdrachtgever ook na een melding op grond van het eerste lid over ontwikkelingen betreffende de Inbreuk in verband met Persoonsgegevens.
9.3 Partijen dragen de door henzelf in verband met de melding aan de bevoegde toezichthoudende autoriteit en Betrokkene te maken kosten.
9.4 In aanvulling op artikel 26.4 ARBIT-2016 komen de in de artikelen 26.2 en 26.3 ARBIT-2016 opgenomen beperkingen van aansprakelijkheid ook te vervallen ten aanzien van aanspraken op schadevergoeding, waaronder mede begrepen de door de toezichthoudende autoriteit opgelegde boetes, in verband met tekortschieten in de nakoming van de Verwerkersovereenkomst.

Artikel 10: Teruggave Persoonsgegevens
10.1 Na afloop van de Overeenkomst draagt Wederpartij, naar gelang de keuze van Opdrachtgever, zorg voor het terugbezorgen aan Opdrachtgever of het wissen van alle Persoonsgegevens. Wederpartij verwijdert kopieën, behoudens afwijkende wettelijke voorschriften.
10.2 De Persoonsgegevens worden als volgt terugbezorgd: in pdf-formaat via de e-mail of op papier via de post.

Artikel 11: Informatieverplichting en audit
11.1 Wederpartij stelt alle informatie ter beschikking die nodig is om aan te tonen dat de verplichtingen uit deze Verwerkersovereenkomst zijn en worden nagekomen.
11.2 Wederpartij verleent alle benodigde medewerking aan audits.
11.3 Opdrachtgever laat eenmaal per jaar een audit uitvoeren door een onafhankelijke partij.

Artikel 12: Toepasselijk recht en geschillen
12.1 Op deze overeenkomst is Nederlands recht van toepassing.
12.2 Partijen streven er naar eventuele geschillen, welke tussen Partijen mochten ontstaan naar aanleiding van deze overeenkomst, dan wel van nadere overeenkomsten die daarvan het gevolg mochten zijn, in onderling overleg op te lossen. Indien naar het oordeel van één der Partijen nog geschillen mochten resteren, zullen dergelijke geschillen in eerste aanleg worden beslecht door de bevoegde rechter in het arrondissement van de Verantwoordelijke.

Artikel 13: Slotbepalingen
13.1 In het geval van strijdigheid tussen de bepalingen uit deze Verwerkersovereenkomst en bepalingen uit de in artikel 1 genoemde Hoofdovereenkomst zullen de bepalingen van de Verwerkersovereenkomst leidend zijn.
13.2 In geval van nietigheid c.q. vernietigbaarheid van een of meer bepalingen uit deze Verwerkersovereenkomst, blijven de overige bepalingen onverkort van kracht.

Artikel 14: Bijlagen
Bijlage 1. De Verwerking van Persoonsgegevens
Bijlage 2. Passende technische en organisatorische maatregelen
Bijlage 3: Afspraken betreffende Inbreuken in verband met Persoonsgegevens

Bijlage 1: De Verwerking van Persoonsgegevens

Het onderwerp/aard en doel van de Verwerking

- Verwerken van de bestelling voor de klant (van bestellen tot bezorging)
- Aanmaken van een klantaccount
- Bij recht op garantie (bv. reparatie) of retouren
- Voor contact met onze klantenservice (chat, e-mail, telefoon).
- Voor een e-mail aan de klant met daarin een beoordelingsverzoek (na ontvangst bestelling)

Het soort Persoonsgegevens

Voor het verwerken van de bestelling verzamelen wij de volgende gegevens:
- Voor- en achternaam (indien van toepassing ook bedrijfsnaam)
- Adres
- Postcode
- Woonplaats
- Provincie
- Land
- E-mailadres
- Telefoonummer
- IP-adres
- Bankrekeningnummer

Voor intern gebruik verzamelen wij de volgende gegevens:
- Internetbrowser en apparaat type
- Gegevens over activiteiten (surfgedrag) op onze website

Beschrijving categorieën Betrokkenen

- Betaalpartner (Mollie); voor verwerken van betalingen
- Bezorgpartners (DHL, DPD, GLS, Parcelforce, PostNL); voor verzenden van bestellingen
- Leveranciers; voor inkoop producten
- Reviews (Kiyoh); voor beoordelingsverzoek


Bijlage 2: Passende technische en organisatorische maatregelen
1. Wettelijke vereisten
De Verwerker zal ten aanzien van de verwerking van persoonsgegevens de instructies van de Verantwoordelijke volgen ten aanzien van toepasselijke wet- en regelgeving en daaraan voldoen door op verzoek maatregelen te treffen.

2. Praktische veiligheidsmaatregelen
Met inachtneming van zijn verplichtingen uit hoofde van artikel 3 van deze Overeenkomst met betrekking tot de verwerking van persoonsgegevens namens de Verantwoordelijke implementeert de Verwerker enkele veiligheidsmaatregelen (gebaseerd op ISO 27001/2). Op basis van een analyse dient door Verantwoordelijke vastgesteld te worden welke aanvullende maatregelen getroffen dienen te worden zodat voldaan wordt aan onder meer het beveiligingsbeleid van Verantwoordelijke. De getroffen maatregelen zijn:

- 1. Computer en netwerkbeheer
De Verwerker dient maatregelen te treffen om te voorkomen dat persoonsgegevens door onbevoegden worden benaderd en dat bv. malware of virussen niet de integriteit van de persoonsgegevens aantasten.

- 2. Onafhankelijk onderzoek
Verwerker dient mee te werken aan audits door of namens de Verantwoordelijke.

- 3. Personeel
Het personeel is op de hoogte van recente ontwikkelingen en nieuwste kennis m.b.t. gegevensbescherming en privacy.

- 4. Rapporteren van beveiligingsincidenten
Verwerker dient alle beveiligingsincidenten te registreren en bij belangrijke incidenten direct de Verantwoordelijke te informeren. Overige incidenten dienen jaarlijks inzichtelijk te worden gemaakt.

- 5. Toegangsbeveiliging
Toegang tot systemen waarin persoonsgegevens zijn opgeslagen is alleen mogelijk voor bevoegd personeel middels minimaal een gebruikersnaam en wachtwoord.

Bijlage 3: Afspraken betreffende Inbreuken in verband met Persoonsgegevens
Verwerker heeft de volgende specifieke maatregelen ingesteld:
- Alle relevante programma’s (software, virusscanner) up to date houden
- Het gebruik van HTTPS en SSL (versleutelde internetverbinding)
- Verwerker voert elk jaar meerdere keren eigen interne audits uit om de benodigde bewijzen van conformiteit aan normen en eisen te controleren