VERWERKERSOVEREENKOMST
Ondergetekenden:
R.H.P. van Bussel h.o.d.n. CRAFT Education B.V. tevens h.o.d.n. BSPBookstore, gevestigd te (571PW) Deurne aan de Dukaat 17,
hierna te noemen ‘verwerker’;
en
1. De onderwijsinstelling waar u ingeschreven bent, organisatie of onderneming waar u werkzaam bent hierna te noemen: “verwerkingsverantwoordelijke”;
zullen hierna gezamenlijk als “partijen” worden aangeduid.
Overwegende dat:
A. Partijen zijn op datum van inschrijving in de CRAFT Education Learning app een overeenkomst aangegaan vanwege het verrichten van de volgende diensten in de vorm van e-learning modules behorende bij leeractiviteiten behorende bij boeken van BSPBookstore of leeractiviteiten bij CRAFT Education die ertoe leidt dat verwerker in opdracht van verwerkingsverantwoordelijke persoonsgegevens verwerkt, namelijk de naam, e-mail adres en gegenereerde leeractiviteiten;
B. In deze verwerkersovereenkomst leggen partijen de wederzijdse rechten en verplichtingen voor het verwerken van deze persoonsgegevens door verwerker vast overeenkomstig de Algemene Verordening Gegevensbescherming (hierna: AVG).
Partijen zijn het volgende overeengekomen:
Artikel 1. Totstandkoming, duur en beëindiging
1.1 Deze verwerkersovereenkomst is van toepassing op iedere verwerking die door verwerker wordt gedaan vanwege het verrichten van de diensten, gegeven door de verwerkingsverantwoordelijke.
1.2 Deze verwerkersovereenkomst treedt in werking op het moment van ondertekening.
1.3 Deze overeenkomst is aangegaan voor de duur van <duur> en zal na het verstrijken van die duur automatisch en stilzwijgend worden verlengd met dezelfde duur, tenzij één van de partijen deze overeenkomst heeft opgezegd. Hierbij dient een opzegtermijn van twee maanden in acht te worden genomen.
1.4 Verwerker verwerkt de gegevens ten behoeve van verwerkingsverantwoordelijke, overeenkomstig de door haar gegeven schriftelijke instructies en onder haar verantwoordelijkheid.
1.5 De in opdracht van verwerkingsverantwoordelijke te verwerken persoonsgegevens blijven eigendom van verwerkingsverantwoordelijke en/of de betreffende betrokkenen.
1.6 Artikel 5 en 6 van deze verwerkersovereenkomst blijven gelden, ook nadat de verwerkersovereenkomst of de diensten zijn geëindigd.
Artikel 2. Verwerking van de persoonsgegevens
2.1 De persoonsgegevens worden door verwerker zorgvuldig verwerkt, maar niet voor een ander doel dan is overeengekomen en niet langer of uitgebreider dan noodzakelijk. De verwerking vindt plaats onder de verantwoordelijkheid van de verwerkingsverantwoordelijke.
2.2 Verzoeken voor inzage, wijziging of verwijdering van persoonsgegevens komen voor rekening van de verwerkingsverantwoordelijke. De verwerker stelt zich in de gelegenheid om de benodigde gegevens voor een juiste afhandeling van het verzoek door te zenden aan de verwerkingsverantwoordelijke. Komt er een verzoek bij de verwerker binnen, dan wordt dit op de kortst mogelijke termijn schriftelijk doorgegeven aan de verwerkingsverantwoordelijke.
2.3 Partijen zullen de persoonsgegevens alleen verwerken binnen de Europese Economische Ruimte, tenzij partijen hierover andere schriftelijke afspraken hebben gemaakt.
Artikel 3. Medewerkers en sub-verwerkers
3.1 Verwerker geeft haar werknemers alleen toegang tot de persoonsgegevens voor zover dit nodig is voor het verrichten van de diensten op grond van de hierboven vermelde overeenkomst.
3.2 Verwerker kan andere verwerkers (sub-verwerkers) inschakelen voor het uitvoeren van bepaalde werkzaamheden die voortvloeien uit de te verrichte diensten. Deze sub-verwerkers worden genoemd in de bijlage van deze overeenkomst. Met ondertekening van deze overeenkomst geeft de verwerkingsverantwoordelijke hiervoor toestemming.
3.3 Voor het inschakelen van overige sub-verwerkers is de verwerker verplicht om eerst schriftelijk toestemming te vragen aan de verwerkingsverantwoordelijke. Verwerkingsverantwoordelijke mag deze toestemming alleen weigeren als dit niet ten nadele komt van de uitvoering van de te verrichte diensten.
Artikel 4. Beveiligingsmaatregelen
4.1 De verwerker houdt zich aan de beveiligingsmaatregelen die genoemd zijn in de bijlage van deze verwerkersovereenkomst.
4.2 De verwerker informeert de verwerkingsverantwoordelijke als een van de beveiligingsmaatregelen substantieel wijzigt.
4.3 Met ondertekening van deze verwerkersovereenkomst is de verwerkingsverantwoordelijke van mening dat de verwerker een beveiligingsniveau heeft dat past bij de aard van de persoonsgegevens en de omvang, context, doeleinden en risico’s van de verwerking.
Artikel 5. Datalekken
5.1 Als er sprake is van een (vermoedelijk) datalek, alsmede andere incidenten die op grond van wetgeving moeten worden gemeld aan de toezichthouder of betrokkene, dan stelt de verwerker de verwerkingsverantwoordelijke daarvan op de hoogte. De verwerker streeft erna om dit zo snel mogelijk zonder onredelijke vertraging bij de verwerkingsverantwoordelijke door te geven óf zo snel mogelijk nadat de verwerker daarover door zijn sub-verwerkers is geïnformeerd.
5.2 De verwerker voorziet de verwerkingsverantwoordelijke van de informatie die redelijkerwijs nodig is om - indien nodig - een juiste en volledige melding te doen aan de Autoriteit Persoonsgegevens en eventueel aan de betrokkene(n).
5.3 Alleen de verwerkingsverantwoordelijke is bevoegd tot het doen van meldingen aan de Autoriteit Persoonsgegevens.
5.4 De verwerkingsverantwoordelijke documenteert alle vermoedelijke inbreuken in verband met persoonsgegevens.
Artikel 6. Geheimhoudingsplicht
6.1 Op alle persoonsgegevens die verwerker van verwerkingsverantwoordelijke ontvangt of zelf verzamelt in het kader van deze overeenkomst, rust een geheimhoudingsplicht jegens derden. Verwerker zal deze informatie niet voor een ander doel gebruiken dan waarvoor zij de informatie heeft gekregen.
6.2 Deze geheimhoudingsplicht is niet van toepassing voor zover verwerkingsverantwoordelijke uitdrukkelijke toestemming heeft gegeven om de informatie aan derden te verschaffen, indien het verstekken van de informatie aan derden logischerwijs noodzakelijk is gezien de aard van de verstrekte opdracht en de uitvoering van deze overeenkomst of indien er een wettelijke verplichting bestaat om de informatie aan een derde te verstrekken.
Artikel 7. Aansprakelijkheid
7.1 De verwerkingsverantwoordelijke blijft verantwoordelijk voor eventuele onrechtmatigheden in de verwerking van persoonsgegevens, alsmede een inbreuk op de rechten van betrokkene(n).
7.2 De verwerker kan niet aansprakelijk worden gesteld voor schade. Ook niet indien deze schade direct of indirect verband houdt met vertraging of opschorting. De verwerker is enkel aansprakelijk indien de schade te wijten is aan opzet of bewuste roekeloosheid.
7.3 Schade zoals gevolgschade en omzet/winstderving zijn van vergoeding uitgesloten.
7.4 Indien de verwerkingsverantwoordelijke tekortschiet in de nakoming van een overeengekomen verplichting is de verwerkingsverantwoordelijke direct in verzuim zonder dat hier een ingebrekestelling voor nodig is.
Artikel 8. Audits
8.1 Audits zijn slechts toegestaan indien de verwerker hier vooraf toestemming voor heeft gegeven.
8.2 Een audit mag door een onderzoeksinstantie worden uitgevoerd, die naar het oordeel van verwerker neutraal en deskundig is.
8.3 De kosten van de audits zijn voor de verwerkingsverantwoordelijke.
8.4 Een exemplaar van het rapport van de onderzoeksinstantie zal door verwerkingsverantwoordelijke aan de verwerker worden verstrekt.
Artikel 9. Overdraagbaarheid overeenkomst
9.1 Het is voor partijen, behalve als partijen gezamenlijk schriftelijk anders afspreken, niet toegestaan om deze verwerkersovereenkomst en de rechten en de plichten die samenhangen met deze verwerkersovereenkomst over te dragen aan een ander.
Artikel 10. Teruggave persoonsgegevens
10.1 Bij beëindiging van de te verrichte diensten door de verwerker moeten de verstrekte persoonsgegevens binnen nader overeen te komen redelijke termijn, aan de verwerkingsverantwoordelijke worden overgedragen of – als de verwerkingsverantwoordelijke daar om verzoekt – worden vernietigd.
10.2 De kosten van het verzamelen, overdragen of vernietigen van persoonsgegevens bij het eindigen van de te verrichte diensten zijn voor rekening van de verwerkingsverantwoordelijke. De eventuele kosten kunnen worden verrekend met de openstaande vorderingen van de verwerker.
Artikel 11. Boetebeding
11.1 Voor elke gehele of gedeeltelijke inbreuk of overtreding van enige bepaling van de artikelen 5, 6, 7 en 10 van deze verwerkersovereenkomst is verwerkingsverantwoordelijke aan verwerker een boete verschuldigd van €20.000,- (zegge: twintigduizend euro) voor iedere overtreding, en ook een direct opeisbare boete van €5.000,- (zegge: twintigduizend euro) voor iedere dag dat deze inbreuk voortduurt, zonder dat enige sommatie, aanmaning of ingebrekestelling is vereist en onverminderd de overige rechten van verwerker krachtens de wet of de verwerkersovereenkomst. De boete komt ten gunste van verwerker. In plaats van de hiervoor genoemde boete te vorderen, heeft verwerker het recht om ter zake van enige inbreuk of overtreding vergoeding van de volledige schade en/of nakoming te vorderen.
Artikel 12. Overige
12.1 De bepalingen uit deze verwerkersovereenkomst kunnen worden gewijzigd en/of aangevuld wanneer partijen daartoe schriftelijk toestemming hebben gegeven.
12.2 Als één of meerdere bepalingen in deze verwerkersovereenkomst niet geldig blijken te zijn, dan heeft dit geen gevolgen voor de geldigheid van de andere bepalingen in deze verwerkersovereenkomst.
12.3 Deze verwerkersovereenkomst gaat voor de andere gesloten overeenkomsten door verwerker met de verwerkingsverantwoordelijke.
12.4 De verwerker is gerechtigd de uitvoering van deze verwerkersovereenkomst door middel van een aangetekend schrijven op te schorten, dan wel zonder rechterlijke tussenkomst met onmiddellijke ingang geheel of gedeeltelijk te ontbinden, nadat verwerker constateert dat:
* Verwerkingsverantwoordelijke (voorlopige) surseance van betaling aanvraagt; of
* Verwerkingsverantwoordelijke zijn faillissement aanvraagt of in staat van faillissement wordt verklaard; of
* De onderneming van verwerkingsverantwoordelijke wordt ontbonden; of
* Verwerkingsverantwoordelijke zijn onderneming staakt; of
* Sprake is van een ingrijpende wijziging in de zeggenschap over de activiteiten van de onderneming van verwerkingsverantwoordelijke die maakt dat het in alle redelijkheid niet van de verwerker kan worden verwacht dat zij de verwerkersovereenkomst in stand houdt; of
* De andere partij aantoonbaar tekortschiet in de nakoming van de verplichtingen die voortvloeien uit deze verwerkersovereenkomst en die ernstige toerekenbare tekortkoming niet binnen 30 dagen is hersteld na een daartoe strekkende schriftelijke ingebrekestelling.
Artikel 13. Slotbepalingen
13.1 Op deze verwerkersovereenkomst is Nederlands recht van toepassing.
13.2 Eventuele geschillen tussen partijen die zijn ontstaan uit of samenhangen met deze overeenkomst worden uitsluitend voorgelegd aan de bevoegde rechter te 's-Hertogenbosch
CRAFT Education B.V. en/of BSPBookstore vertegenwoordigd door R.H.P. van Bussel te Deurne op 25-5-2020