Verwerkingsovereenkomst

1 Definities
1.1 Onder ‘Verwerker’ wordt verstaan: de onder de naam Avio Hagen handelende (rechtsvorm), inclusief de medewerkers, apparatuur en software van Avio Hagen.
1.2 Onder ‘Overeenkomst’ wordt verstaan: de overeenkomst tussen Verwerker en Wederpartij ten behoeve van de dienstverlening van Verwerker aan Wederpartij, waarvan deze Verwerkersovereenkomst een bijlage vormt.
1.3 Onder ‘Verwerkingsverantwoordelijke’ wordt verstaan: de Wederpartij, op die de Persoonsgegevens betrekking heeft.
1.4 Onder ‘Persoonsgegevens’ wordt verstaan: alle informatie over een geïdentificeerde of identificeerbare natuurlijk persoon, die Verwerker in het kader van de Overeenkomst ten behoeve van Wederpartij verwerkt.
1.5 Onder ‘Verwerking’ wordt verstaan: een bewerking of een geheel van bewerkingen in het kader van de Overeenkomst met betrekking tot Persoonsgegevens, of een geheel van Persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen.
1.6 Onder ‘Datalek(ken)’ wordt verstaan: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens.
1.7 Onder ‘Verwerkersovereenkomst’ wordt verstaan: deze overeenkomst inclusief overwegingen en bijhorende bijlagen.
1.8 Onder ‘Sub-verwerker’ wordt verstaan: de (rechts)persoon die Persoonsgegevens van Verwerkingsverantwoordelijke verwerkt, ten behoeve van Verwerker.
1.9 Onder ‘Verordening’ wordt verstaan: Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van Persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van de Richtlijn 95/46/EG (algemene verordening gegevensbescherming).

2 Voorwerp van deze Verwerkersovereenkomst

2.1 Deze Verwerkersovereenkomst regels de Verwerking van Persoonsgegevens door Verwerker in het kader van de Overeenkomst.
2.2 De aard en het doel van de Verwerking, het soort Persoonsgegevens en de categorieën van Persoonsgegevens, Sub-verwerker en Verwerkingsverantwoordelijke zijn beschikbaar gesteld op https://www.avio-hagen.nl/privacy-policy/.
3 Inwerkingtreding, duur en beëindiging
3.1 Deze Verwerkersovereenkomst treedt in werking op alle bestaande Overeenkomsten tussen Verwerker en Verwerkingsverantwoordelijke vanaf de invoering van Verordening op 25 mei 2018.
3.2 Verwerkingsverantwoordelijke wordt door Verwerker op de hoogte gesteld van de inwerktreding van Verwerkingsovereenkomst.
3.3 Voor nieuwe Overeenkomsten treedt deze Verwerkingsovereenkomst in werking op het moment waarop Verwerker een akkoord geeft tijdens het afsluiten van Overeenkomst met Verwerker.
3.4 Het is voor zowel Verwerker als Verwerkingsverantwoordelijke niet mogelijk om deze Verwerkersovereenkomst tussentijds op te zeggen, tenzij Verwerker of Verwerkingsverantwoordelijke de Overeenkomst heeft ontbonden en Verwerker alle Persoonsgegevens overeenkomstig artikel 3.6 heeft gewist of terugbezorgd.
3.5 De verplichtingen van Verwerker uit hoofde van deze Verwerkersovereenkomst duren ook ná de beëindiging van Overeenkomst onverminderd voort, indien en voor zover Verwerker nog toegang heeft tot Persoonsgegevens.
3.6 Bij beëindiging van Overeenkomst is Verwerker zelf verantwoordelijk voor het exporteren van Persoonsgegevens. Dit kan binnen dertig (30) dagen worden gedaan door contact op te nemen met Verwerker. Na dertig (30) dagen na het beëindigen of de ontbinding van Overeenkomst zal Verwerker de aanwezige Persoonsgegevens verwijderen.
3.7 Verwerker kan afwijken voor zover ten aanzien van bepaalde Persoonsgegevens sprake is van een voor Verwerker geldende wettelijke bewaartermijn (waaronder de Wet Bewaarplicht Telecommunicatiegegevens) of voor over dat noodzakelijk is om tegenover Verwerkingsverantwoordelijke de nakoming van haar verbintenissen te bewijzen.

4 Verplichtingen
4.1 Verwerker garandeert de toepassing van passende technische en organisatorische maatregelen, opdat de Verwerking aan de vereisten van de Verordening voldoet en de bescherming van de rechten en Persoonsgegevens van Verwerkingsverantwoordelijke is gewaarborgd.
4.2 Op basis van Verordening wordt Wederpartij in deze hoedanigheid aangemerkt als Verwerkingsverantwoordelijke van de Verwerking van Persoonsgegevens en Avio Hagen als Verwerker. Deze Verwerkingsovereenkomst bevat de voorwaarden en condities van deze Verwerking van Persoonsgegevens door Verwerker
4.3 Verwerker verwerkt Persoonsgegevens uitsluitend voor zover nodig bij of in verband met de uitvoering van de tussen Verwerker en Verwerkingsverantwoordelijke gesloten Overeenkomst. De Verwerking van Persoonsgegevens door Verwerker gebeurt op een behoorlijke en zorgvuldige wijze, conform Verordening en conform de instructies van Verwerkingsverantwoordelijke.
4.4 Indien Verwerker tekortschiet in de nakomingen van de verplichtingen uit deze Verwerkersovereenkomst kan Verwerkingsverantwoordelijke Verwerker in gebreke stellen. Ingebrekestelling geschiedt schriftelijk of per e-mail, waarbij aan Verwerker een redelijke termijn wordt gegund om alsnog haar verplichtingen na te komen.

5 Beveiliging
5.1 Verwerker zal zich inspannen om voldoende passende technische en organisatorische maatregelen te nemen om de servers en de daarop opgeslagen Persoonsgegevens te beveiligen tegen verlies en tegen enige vorm van onrechtmatige Verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek, de uitvoeringskosten, een passend beveiligingsniveau gelet op de risico’s van de Verwerking en de aard, omvang en context van de te beschermen Persoonsgegevens.
5.2 Indien en voor zover Verwerkingsverantwoordelijk daarom uitdrukkelijk schriftelijk of per e-mail verzoekt, zal Verwerker aanvullende maatregelen treffen met het oog op de beveiliging van de Persoonsgegevens.
5.3 Verwerker verwerkt Persoonsgegevens niet buiten de Europese Unie, tenzij Verwerker daarvoor uitdrukkelijk toestemming heeft verkregen van Verwerker en behoudens afwijkende wettelijke verplichtingen.

6 Meldplicht
6.1 Verwerker informeert Verwerkersverantwoordelijke zonder onredelijke vertraging zodra Verwerker kennis heeft genomen van onrechtmatige Verwerkingen van Persoonsgegevens of inbreuken op beveiligingsmaatregelen zoals genoemd in artikel 5 van deze Verwerkingsovereenkomst.
6.2 Verwerker kan op basis van de Telecommunicatiewet de verplichting hebben om (beveiligings)incidenten en Datalekken zelfstandig te melden bij het Loket Meldplicht Telecomwet.
6.3 Verwerker verstrekt op verzoek van Verwerkingsverantwoordelijke nadere informatie over het Datalek, voor zover noodzakelijk voor Verwerkingsverantwoordelijke om aan haar wettelijke verplichtingen inzake melding aan de Autoriteit Persoonsgegevens en Betrokkenen te voldoen.

7 Sub-verwerker
7.1 Verwerker schakelt Sub-verwerker in om de facturatie van Overeenkomst tot stand te kunnen brengen.
7.2 Verwerker zal zich voortdurend inspannen voor een veilige en verantwoorde Verwerking van Persoonsgevens van Verwerkingsverantwoordelijke.
7.3 Verwerker legt Sub-verwerker bij Verwerking van Persoonsgegevens van Verwerkingsverantwoordelijke dezelfde verplichtingen op als die welke in deze Verwerkingsovereenkomst zijn opgenomen.
7.4 Sub-verwerker ontvangt van Verwerker enkel Persoonsgegevens die noodzakelijk zijn voor het realiseren van diensten volgens de Overeenkomst die is gesloten tussen Verwerker en Verwerkingsverantwoordelijke.
7.5 Voor aanmaken, registreren, verzenden en beheren van facturen wordt door Sub-verwerker de volgende Persoonsgegevens Verwerkt: naam, e-mailadres, telefoonnummer, correspondentieadres, bankgegevens.
7.6 Voor aanmaken van een betaallink en het aanbieden van een iDeal-betaaldienst voor Verwerkingsverantwoordelijke wordt door Sub-verwerker de volgende Persoonsgegevens Verwerkt: naam, bankgegevens, adresgegevens.
7.7 Verwerker blijft in deze verhouding aanspreekpunt van Verwerkingsverantwoordelijke.

8 Audits

8.1 Indien de door Verwerker beschikbaar gestelde informatie en documentatie de naleving van deze Verwerkingsovereenkomst conform Verordening onvoldoende aantonen, heeft Verwerkingsverantwoordelijke het recht om een audit uit te laten voeren.
8.2 De kosten voor de audit worden door de Verwerkingsverantwoordelijke gedragen.
8.3 Een door de Verwerkingsverantwoordelijke geïnitieerde audit vindt uiterlijk twee weken na voorafgaande aankondiging, voorzien van een omschrijving van de onderdelen waarop de audit ziet en het proces, eens per jaar plaats.
8.4 Verwerker zal aan de audit meewerken en alle voor de audit redelijkerwijs relevante informatie, inclusief ondersteunende gegevens zo tijdig mogelijk en binnen een redelijke termijn ter beschikking stellen.

9 Geheimhouding
9.1 Verwerker is onvoorwaardelijk en onherroepelijk verplicht tot geheimhouding tijdens en na beëindiging van Overeenkomst van alle Persoonsgegevens waarvan zij het vertrouwelijke karakter kent of redelijkerwijs kan vermoeden.
9.2 Verwerker verplicht personen die in dienst zijn van of werkzaam zijn voor Verwerker tot geheimhouding en onthouding van het kopiëren, doorgeven, overdragen of anderszins verspreiden van Persoonsgegevens aan derden.
9.3 Deze verplichting geldt niet indien en voor zover openbaarmaking is geboden op grond van de wet en/of rechterlijke uitspraak, in welk geval de te openbaren informatie zo beperkt mogelijk zal worden gehouden.