Verwerkersovereenkomst

Partijen

Deze verwerkersovereenkomst ("Overeenkomst") is aangegaan tussen:

1. De Verwerkingsverantwoordelijke (hierna: "Opdrachtgever"):
   De partij met wie HoevenSolutions een overeenkomst heeft gesloten voor het leveren van diensten waarbij persoonsgegevens worden verwerkt.
2. De Verwerker:
   

   HoevenSolutions

   {{STREET_ADDRESS}}

   {{POSTAL_CODE}} Amsterdam

   KvK-nummer: {{KVK_NUMBER}}

   E-mail: info@hoevensolutions.nl

Hierna gezamenlijk aangeduid als "Partijen" en afzonderlijk als "Partij".

Artikel 1. Definities

In deze Overeenkomst wordt verstaan onder:

• AVG: Algemene Verordening Gegevensbescherming (EU) 2016/679.
• Persoonsgegevens: Alle informatie over een geidentificeerde of identificeerbare natuurlijke persoon zoals bedoeld in artikel 4 AVG.
• Verwerking: Elke bewerking van persoonsgegevens, zoals verzamelen, vastleggen, ordenen, opslaan, wijzigen, opvragen, raadplegen, gebruiken, verstrekken, combineren, afschermen, wissen of vernietigen.
• Datalek: Een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot vernietiging, verlies, wijziging of ongeoorloofde verstrekking van of toegang tot persoonsgegevens.
• Subverwerker: Een derde partij die door de Verwerker wordt ingeschakeld voor (een deel van) de verwerking van persoonsgegevens.

Artikel 2. Onderwerp en duur

1. Deze Overeenkomst regelt de verwerking van persoonsgegevens door de Verwerker ten behoeve van de Opdrachtgever in het kader van de tussen partijen gesloten hoofdovereenkomst.
2. De Overeenkomst vangt aan op het moment dat de Verwerker persoonsgegevens van de Opdrachtgever gaat verwerken en eindigt wanneer de Verwerker geen persoonsgegevens meer verwerkt ten behoeve van de Opdrachtgever.
3. Bij beeindiging van de hoofdovereenkomst eindigt ook deze verwerkersovereenkomst, met inachtneming van de bepalingen over retourneren en verwijderen van gegevens.

Artikel 3. Specificatie van de verwerking

3.1 Aard en doel van de verwerking

De Verwerker verwerkt persoonsgegevens uitsluitend ten behoeve van de uitvoering van de overeengekomen diensten, waaronder:

• Geautomatiseerde verwerking en extractie van gegevens uit documenten (facturen, werkbonnen, e-mails)
• Integratie en koppeling met systemen van de Opdrachtgever (CRM, ERP, e-mail)
• Workflowautomatisering en procesoptimalisatie
• Hosting en beheer van op maat gemaakte portalen en tools

3.2 Soorten persoonsgegevens

De verwerking kan de volgende categorieen persoonsgegevens omvatten:

• Contactgegevens (naam, e-mailadres, telefoonnummer, adres)
• Zakelijke gegevens (functietitel, bedrijfsnaam)
• Financiele gegevens (factuurbedragen, bankrekeningnummers op facturen)
• Correspondentie en berichtinhoud
• Overige gegevens die voorkomen in aangeleverde documenten

3.3 Categorieen betrokkenen

De betrokkenen wier persoonsgegevens worden verwerkt, kunnen zijn:

• Medewerkers van de Opdrachtgever
• Klanten van de Opdrachtgever
• Leveranciers en zakenrelaties van de Opdrachtgever
• Overige personen wier gegevens voorkomen in de verwerkte documenten

Artikel 4. Verplichtingen van de Verwerker

De Verwerker garandeert dat hij:

1. Instructies: Persoonsgegevens uitsluitend verwerkt op basis van schriftelijke instructies van de Opdrachtgever, tenzij een wettelijke verplichting anders vereist. In dat geval stelt de Verwerker de Opdrachtgever vooraf op de hoogte, tenzij dit wettelijk verboden is.
2. Geheimhouding: Ervoor zorgt dat personen die toegang hebben tot de persoonsgegevens zich hebben verbonden aan geheimhouding.
3. Beveiliging: Passende technische en organisatorische maatregelen treft om een op het risico afgestemd beveiligingsniveau te waarborgen, zoals beschreven in Bijlage 1.
4. Subverwerkers: Geen subverwerkers inschakelt zonder voorafgaande schriftelijke toestemming van de Opdrachtgever. De huidige goedgekeurde subverwerkers zijn opgenomen in Bijlage 2.
5. Bijstand rechten betrokkenen: De Opdrachtgever bijstaat bij het beantwoorden van verzoeken van betrokkenen tot uitoefening van hun rechten onder de AVG.
6. Bijstand verplichtingen: De Opdrachtgever bijstaat bij het nakomen van diens verplichtingen ten aanzien van beveiliging, datalekken, DPIA's en voorafgaande raadpleging.
7. Verwijdering/retournering: Na afloop van de verwerkingsdiensten, naar keuze van de Opdrachtgever, alle persoonsgegevens verwijdert of teruggeeft en bestaande kopieen wist, tenzij bewaring wettelijk verplicht is.
8. Audit: De Opdrachtgever alle informatie ter beschikking stelt die nodig is om naleving aan te tonen, en audits en inspecties mogelijk maakt.

Artikel 5. Melding van datalekken

1. De Verwerker stelt de Opdrachtgever zonder onredelijke vertraging, en in ieder geval binnen 48 uur, op de hoogte van een datalek dat betrekking heeft op de verwerkte persoonsgegevens.
2. De melding bevat ten minste:
   • De aard van het datalek
   • De categorieen en bij benadering het aantal betrokkenen
   • De categorieen en bij benadering het aantal persoonsgegevensrecords
   • De waarschijnlijke gevolgen
   • De maatregelen die zijn genomen of voorgesteld om het lek aan te pakken
3. De Verwerker verleent alle medewerking aan de Opdrachtgever bij het onderzoeken en afhandelen van het datalek.

Artikel 6. Subverwerkers

1. De Opdrachtgever geeft hierbij algemene toestemming voor het inschakelen van subverwerkers, onder de voorwaarden dat de Verwerker:
   • De Opdrachtgever vooraf informeert over voorgenomen wijzigingen in subverwerkers
   • De Opdrachtgever de mogelijkheid geeft bezwaar te maken binnen 14 dagen
   • Met elke subverwerker een verwerkersovereenkomst sluit met minimaal dezelfde verplichtingen
2. De actuele lijst van subverwerkers is opgenomen in Bijlage 2 en wordt op de website gepubliceerd.
3. De Verwerker blijft volledig aansprakelijk voor de handelingen van subverwerkers.

Artikel 7. Audit

1. De Opdrachtgever heeft het recht om audits uit te (laten) voeren om de naleving van deze Overeenkomst te verifieren.
2. De Opdrachtgever stelt de Verwerker ten minste 14 dagen van tevoren schriftelijk op de hoogte van een voorgenomen audit.
3. De audit wordt uitgevoerd op een wijze die de bedrijfsvoering zo min mogelijk verstoort.
4. De kosten van de audit komen voor rekening van de Opdrachtgever, tenzij uit de audit blijkt dat de Verwerker tekortschiet in de nakoming van deze Overeenkomst.

Artikel 8. Aansprakelijkheid

1. De aansprakelijkheid van de Verwerker voor schade voortvloeiend uit of verband houdend met deze Overeenkomst is beperkt conform de aansprakelijkheidsbepaling in de hoofdovereenkomst en de Algemene Voorwaarden.
2. Partijen vrijwaren elkaar voor claims van derden in verband met een schending van de AVG, voor zover deze schending aan de vrijwarende partij is toe te rekenen.

Artikel 9. Slotbepalingen

1. Op deze Overeenkomst is Nederlands recht van toepassing.
2. Geschillen worden voorgelegd aan de bevoegde rechter te Amsterdam.
3. Wijzigingen in deze Overeenkomst zijn slechts geldig indien schriftelijk overeengekomen.
4. Indien enige bepaling van deze Overeenkomst nietig of vernietigbaar is, laat dit de geldigheid van de overige bepalingen onverlet.