Verwerkersovereenkomst van de besloten vennootschappen met beperkte aansprakelijkheid KNNS B.V., ingeschreven in het Handelsregister van de Kamer van Koophandel onder nummer 10032736.
1.1 Apparatuur: De door Verwerker aan Verwerkingsverantwoordelijke te verhuren, te leveren, te verkopen of anderszins ter beschikking te stellen hardware.
1.2 Algemene verordening gegevensbescherming (AVG): Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van Persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG.
1.3 Betrokkene: Geïdentificeerde of identificeerbare natuurlijke persoon op wie de verwerkte Persoonsgegevens betrekking hebben (artikel 4 lid 1 AVG).
1.4 Diensten: Alle door Verwerker ten behoeve van Verwerkingsverantwoordelijke te verrichten werkzaamheden waaronder begrepen consultancy, advies, beheer- en onderhoudsservices en te leveren producten, niet zijnde Apparatuur of Programmatuur.
1.5 Klant: De partij met wie KNNS een Overeenkomst sluit of aan wie KNNS een aanbieding doet.
1.6 KNNS: De besloten vennootschap met beperkte aansprakelijkheid KNNS B.V., ingeschreven in het Handelsregister van de Kamer van Koophandel onder nummer 10032736.
1.7 Overeenkomst: De tussen Verwerker en Verwerkingsverantwoordelijke afgesloten overeenkomst ten behoeve van de verhuur, levering, verkoop of anderszins ter beschikking gestelde Diensten en/of Apparatuur en/of Programmatuur, waarvan deze Verwerkersovereenkomst onderdeel uitmaken.
1.8 Partijen: KNNS (Verwerker) en Klant (Verwerkingsverantwoordelijke) gezamenlijk.
1.9 Persoonsgegevens: Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (“de Betrokkene”) in de zin van artikel 4 lid 1 AVG.
1.10 Programmatuur: Een verzameling van geïntegreerde digitale instructies (met inbegrip van licenties, databases en documentatie), ontworpen om specifieke taken uit te voeren die bijdragen aan de functionaliteit van een IT-infrastructuur. Dit omvat niet alleen de software die nodig is voor de dagelijkse operaties, maar ook de creatieve processen van ontwerp en ontwikkeling die leiden tot de uiteindelijke oplevering van een IT-oplossing.
1.11 Schriftelijk: Onder “schriftelijk” valt in deze Verwerkersovereenkomst ook elektronisch, waaronder communicatie via e-mail, mits de identiteit en integriteit van de e-mail voldoende vaststaat.
1.12 Subverwerker: Een entiteit die door de Verwerker wordt ingeschakeld om namens de Verwerkingsverantwoordelijke bepaalde taken met betrekking tot de Verwerking van Persoonsgegevens uit te voeren. De Subverwerker handelt onder directe verantwoordelijkheid van de Verwerker en moet voldoen aan alle voorwaarden en verplichtingen die de Verwerker met de Verwerkingsverantwoordelijke is overeengekomen, zoals vastgelegd in een Verwerkersovereenkomst.
1.13 Verwerker: Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de Verwerkingsverantwoordelijke Persoonsgegevens Verwerkt als bedoeld in artikel 4 lid 8 AVG.
1.14 Verwerkersovereenkomst: Deze Verwerkersovereenkomst, inclusief alle bijlagen en eventuele aanvullingen, waarin de afspraken zijn vastgelegd tussen de Verwerkingsverantwoordelijke en de Verwerker met betrekking tot de Verwerking van Persoonsgegevens, in overeenstemming met de toepasselijke wet- en regelgeving inzake gegevensbescherming, waaronder maar niet beperkt tot de Algemene Verordening Gegevensbescherming (AVG).
1.15 Verwerking: Een bewerking of een geheel van bewerkingen met betrekking tot Persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.
1.16 Verwerkingsverantwoordelijke: Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de Verwerking van Persoonsgegevens vaststelt; wanneer de doelstellingen van en de middelen voor deze Verwerking in het Unierecht of het lidstatelijke recht worden vastgesteld, kan daarin worden bepaald wie de Verwerkingsverantwoordelijke is of volgens welke criteria deze wordt aangewezen als bedoeld in artikel 4 lid 7 AVG.
2.1 Deze Verwerkersovereenkomst is opgesteld door KNNS B.V, hierna te noemen “Verwerker”, voor haar Klant, hierna te noemen “Verwerkingsverantwoordelijke”.
2.2 Deze Verwerkersovereenkomst wordt regelmatig geactualiseerd. Verwerker informeert Betrokkenen over wijzigingen via haar normale kanalen.
2.3 Voor vragen over deze Verwerkersovereenkomst kan contact opgenomen worden met info@KNNS.nl.
2.4 Partijen zijn in het verleden een opdracht aangegaan vanwege het leveren van Diensten en/of Apparatuur en/of Programmatuur door Verwerker voor Verwerkingsverantwoordelijke. In deze Verwerkersovereenkomst noemen Partijen deze de “Overeenkomst”. Verwerker Verwerkt daarbij Persoonsgegevens die vermeld staan op de website van KNNS onder Privacyverklaring: https://www.knns.nl/privacyverklaring.
2.5 KNNS is – vanwege het uitvoeren van de Overeenkomst én met betrekking tot de persoonsgegevens die KNNS hierbij zal Verwerken – aan te merken als “Verwerker” en Klant als “Verwerkingsverantwoordelijke”.
2.6 Bij de Overeenkomst is verder niet rekening gehouden met de verwerking van bijzondere persoonsgegevens, of gegevens betreffende strafrechtelijke veroordelingen en strafbare feiten mee te Verwerken. Verwerken van deze gegevens met het hiervoor omschreven product of Dienst door Verwerkingsverantwoordelijke is ter eigen beoordeling door Verwerkingsverantwoordelijke.
3.1 Deze Verwerkersovereenkomst is van toepassing op iedere Verwerking die door Verwerker wordt gedaan op basis van de Overeenkomst, gegeven door Verwerkingsverantwoordelijke.
3.2 Deze Verwerkersovereenkomst treedt in werking op de datum waarop de Overeenkomst van kracht wordt en eindigt op het moment dat Verwerker geen persoonsgegevens meer bezit die in het kader van de Overeenkomst wordt verwerkt. Het is niet mogelijk on de Verwerkersovereenkomst tussentijds op te zeggen.
3.3 Artikel 8 en artikel 9 van deze Verwerkersovereenkomst blijven gelden, ook nadat de Overeenkomst is geëindigd.
3.4 Deze Verwerkersovereenkomst is niet van toepassing op Diensten en/of Apparatuur en/of Programmatuur van derden. Op deze Diensten zijn de voorwaarden van toepassing van de desbetreffende leverancier. Deze voorwaarden zijn terug te vinden via de website van de leverancier of op verzoek op te vragen bij KNNS. Dit geldt voor onder andere voor leveranciers genoemd in Bijlage 2 van deze Verwerkersovereenkomst.
4.1 De Verwerker zal alleen Persoonsgegevens Verwerken in opdracht van de Verwerkingsverantwoordelijke en heeft geen zeggenschap over de Persoonsgegevens. De Verwerker volgt instructies hierover op van de Verwerkingsverantwoordelijke en mag de Persoonsgegevens niet op een andere manier Verwerken, tenzij de Verwerkingsverantwoordelijke daar van tevoren toestemming of opdracht voor geeft aan de Verwerker.
4.2 Verwerkingsverantwoordelijke vrijwaart Verwerker voor aanspraken van personen van wie Persoonsgegevens zijn geregistreerd of worden Verwerkt in het kader van een persoonsregistratie die door Verwerkingsverantwoordelijke wordt gehouden of waarvoor Verwerkingsverantwoordelijke op grond van de wet anderszins verantwoordelijk is, tenzij Verwerkingsverantwoordelijke bewijst dat de feiten die aan de aanspraak ten grondslag liggen uitsluitend aan Verwerker toegerekend moeten worden.
4.3 De Verwerker voldoet aan de toepasselijke privacywetgeving en Verwerkt de Persoonsgegevens op een behoorlijke, zorgvuldige en transparante wijze.
4.4 Wanneer de Verwerker met toestemming van de Verwerkingsverantwoordelijke andere organisaties als sub-Verwerkers inschakelt, moeten zij minimaal voldoen aan de eisen die zijn opgenomen in deze Verwerkersovereenkomst.
4.5 Verwerker zal de Persoonsgegevens aantoonbaar, op behoorlijke en zorgvuldige wijze Verwerken en in overeenstemming met de op hem als Verwerker rustende verplichtingen op grond van de AVG en overige wet- en regelgeving. Verwerker zal in dat kader ten minste een register van Verwerkingen aanleggen als bedoeld in artikel 30 AVG en Verwerkingsverantwoordelijke op eerste verzoek inzage in dat register verstrekken, uitsluitend in dat deel van het register dat verband houdt met de Verwerking(en) voor de Verwerkingsverantwoordelijke.
4.6 Wanneer de Verwerkingsverantwoordelijke een verzoek krijgt van een Betrokkene die zijn of haar privacy rechten wil uitoefenen, werkt de Verwerker daar aan mee binnen een termijn van veertien dagen. Deze rechten bestaan uit een verzoek om inzage, verbetering, aanvulling, verwijdering of afscherming, bezwaar maken tegen de Verwerking van de Persoonsgegevens en een verzoek tot overdraagbaarheid van de eigen Persoonsgegevens.
4.7 Wanneer de Verwerkingsverantwoordelijke de Verwerker verzoekt om informatie te geven, dan zal de Verwerker informatie verstrekken die nodig is voor het uitvoeren van een gegevensbeschermingseffectbeoordeling in de zin van artikel 35 AVG, voor zover dit in redelijkheid van Verwerker kan worden verwacht.
4.8 Een door Verwerker ontvangen klacht of een verzoek van een Betrokkene met betrekking tot Verwerking van Persoonsgegevens wordt door Verwerker zonder uitstel doorgestuurd naar Verwerkingsverantwoordelijke.
5.1 Verwerker neemt passende technische en organisatorische maatregelen om Persoonsgegevens te beveiligen tegen verlies of enige andere vorm van onrechtmatige Verwerking. Deze maatregelen dragen te allen tijde bij aan een passend beveiligingsniveau waarbij rekening gehouden wordt met de stand van de techniek, de kosten gemoeid met de implementatie en de uitvoering van de maatregelen afgezet tegen de risico’s en de aard van de Persoonsgegevens die de Verwerker Verwerkt.
5.2 Verwerker kan de nakoming van de in deze Verwerkersovereenkomst vastgelegde afspraken aantonen door middel van een certificaat vergelijkbaar met het ISO27001 certificaat van een onafhankelijke deskundige. Verwerkingsverantwoordelijke kan maximaal éénmaal per jaar een audit door een onafhankelijke, gecertificeerde externe deskundige die aantoonbaar ervaring heeft met de onderhavige Verwerking(en) van Persoonsgegevens laten uitvoeren indien Verwerker geen certificaat of rapport, zoals bedoeld in de 1e zin van dit artikel kan overleggen. De met de audit verband houdende kosten komen voor rekening van Verwerkingsverantwoordelijke. Hierbij verleent de Verwerker medewerking, waaronder het toegang verlenen tot gebouwen en databases en het ter beschikking stellen van alle relevante informatie voor zover dat noodzakelijk is om de audit gericht op de Verwerking(en) voor Verwerkingsverantwoordelijke mogelijk te maken.
5.3 Wanneer een van beide Partijen vindt dat een wijziging in de te nemen beveiligingsmaatregelen noodzakelijk is, treden Partijen in overleg over de wijziging daarvan. Partijen zullen voorafgaand aan de uitvoering van de wijzigingen van de beveiligingsmaatregelen afspraken maken over de verdeling van de kosten.
6.1 Verwerker brengt Verwerkingsverantwoordelijke zonder onredelijke vertraging op de hoogte, en in elk geval niet later dan 48 uur na de ontdekking van een (vermoedelijk) datalek in de zin van artikel 1 lid 12 van de AVG, als Verwerker weet of redelijkerwijs niet kan worden uitgesloten dat een datalek heeft plaatsgevonden, waaraan de Persoonsgegevens van Verwerkingsverantwoordelijke zijn blootgesteld.
6.2 De kennisgeving genoemd in het vorige artikel bevat in ieder geval:
6.3 In het geval van een datalek, dient Verwerker Verwerkingsverantwoordelijke, op diens verzoek, onverwijld alle redelijkerwijs noodzakelijke informatie en medewerking te verlenen om de Verwerkingsverantwoordelijke in staat te stellen zo spoedig mogelijk de oorzaak, de omvang en de gevolgen van de inbreuk vast te stellen. Daarnaast treft Verwerker onverwijld maatregelen ten behoeve van beperking van mogelijke schade ten gevolge van het datalek. Verder werkt Verwerker op verzoek van Verwerkingsverantwoordelijke redelijkerwijs mee aan het adequaat informeren van Betrokkenen.
7.1 De Verwerker mag geen Persoonsgegevens Verwerken of laten Verwerken door andere personen of organisaties buiten de Europese Economische Ruimte (EER), zonder daarvoor voorafgaande schriftelijke toestemming te hebben verkregen van de Verwerkingsverantwoordelijke.
7.2 Het is Verwerker niet toegestaan informatie te verstrekken over incidenten aan Betrokkenen of andere partijen, behoudens voor zover Verwerker daartoe wettelijk verplicht is of Partijen anderszins zijn overeengekomen.
7.3 Indien en voor zover Partijen zijn overeengekomen dat Verwerker in relatie tot een incident rechtstreeks contact onderhoudt met autoriteiten of andere derde partijen, dan houdt de Verwerker de Verwerkingsverantwoordelijke daarvan voortdurend op de hoogte.
8.1 De Verwerker houdt de verstrekte Persoonsgegevens geheim, tenzij dit op basis van een wettelijke verplichting niet mogelijk is.
8.2 De Verwerker zorgt ervoor dat ook het personeel en ingeschakelde hulppersonen zich aan deze geheimhouding houden, door een geheimhoudingsplicht in de (arbeids-)contracten op te nemen.
9.1 In het geval Verwerker aansprakelijk is, dan is deze aansprakelijkheid, ongeacht de grondslag van aansprakelijkheid, in alle gevallen beperkt tot directe schade. Voorts is de aansprakelijkheid van Verwerker beperkt tot maximaal het bedrag dat in voorkomend geval daadwerkelijk door de verzekeringsmaatschappij van Verwerker wordt uitgekeerd.
9.2 Verwerker is in geen geval aansprakelijk voor indirecte schade, zoals gederfde winst, gederfde omzet of reputatieschade.
9.3 Verwerkingsverantwoordelijke zal zich houden aan de toepasselijke privacywetgeving.
10.1 Als de Overeenkomst wordt beëindigd dan zal de Verwerker de door Verwerkingsverantwoordelijke verstrekte Persoonsgegevens aan Verwerkingsverantwoordelijke terug overdragen of – als Verwerkingsverantwoordelijke daarom verzoekt – vernietigen. Verwerker zal uitslijtend een kopie van de Persoonsgegevens bewaren indien Verwerker hiertoe op grond van wet- of regelgeving verplicht zijn.
10.2 De kosten van het verzamelen en overdragen van Persoonsgegevens bij het eindigen van de Overeenkomst zijn van rekening voor Verwerkingsverantwoordelijke. Datzelfde geldt voor de kosten van de vernietiging van Persoonsgegevens. Als Verwerkingsverantwoordelijke daarom vraagt geeft Verwerker vooraf een kosteninschatting.
11.1 KNNS Subverwerkers inschakelen voor de uitvoering van verwerkingsactiviteiten namens de Klant. Een actuele lijst van Subverwerkers is beschikbaar op de website van KNNS onder Privacyverklaring: https://www.knns.nl/privacyverklaring.
11.2 De verwerkingsverantwoordelijke zal ten minste veertien dagen van tevoren schriftelijk op de hoogte worden gesteld van wijzigingen in de lijst van Subverwerkers.
11.3 Klant heeft het recht om binnen veertien dagen na ontvangst van deze melding schriftelijk bezwaar te maken tegen de voorgestelde wijziging. Bij bezwaar zullen Partijen in goed overleg treden om een passende oplossing te vinden.
11.4 Indien geen bezwaar wordt gemaakt binnen de gestelde termijn, wordt de nieuwe Subverwerker als goedgekeurd beschouwd.