VERWERKERSOVEREENKOMST

tussen

Voorbeeld Restaurant

als verwerkingsverantwoordelijke

en

Foodticket B.V.

als verwerker


GDPR Verwerkersovereenkomst versie 1.0 (23 april 2018)

 

PARTIJEN:

  1. Voorbeeld Restaurant, gevestigd te 1234 AB Plaats, Straat Huisnummer, hierna te noemen "Verwerkingsverantwoordelijke";
  2. en
  3. de besloten vennootschap Foodticket B.V., statutair gevestigd te Nijkerk en kantoorhoudende te Bestevaer 44A, 1271 XZ Huizen, hierna te noemen "Verwerker".

OVERWEGINGEN:

  1. Verwerkingsverantwoordelijke heeft met Verwerker één of meer overeenkomsten gesloten tot het leveren van diverse diensten door Verwerker aan Verwerkingsverantwoordelijke of zal een dergelijke overeenkomst sluiten. Deze overeenkomst of deze overeenkomsten gezamenlijk wordt of worden hierna als "de Hoofdovereenkomst" aangeduid.
  2. Verwerker zal bij het uitvoeren van de Hoofdovereenkomst gegevens verwerken waarvoor Verwerkingsverantwoordelijke verantwoordelijk is en blijft. Tot die gegevens behoren persoonsgegevens in de zin van de Algemene Verordening Gegevensbescherming (EU 2016/679), hierna de "GDPR".
  3. Partijen willen, gelet op het bepaalde in artikel 28 lid 3 GDPR, de voorwaarden van de verwerking van deze persoonsgegevens in deze overeenkomst vastleggen.

OVEREENKOMST

  1. Toepassingsgebied
    1. Deze overeenkomst is van toepassing voor zover bij het leveren van de diensten onder de Hoofdovereenkomst een of meer verwerkingen plaatsvinden die zijn opgenomen in Bijlage 1.
    2. De verwerkingen van Bijlage 1 die bij het leveren van de diensten plaatsvinden worden hierna: "de Verwerkingen" genoemd. De persoonsgegevens die daarbij worden verwerkt: "de Persoonsgegevens".
    3. Met betrekking tot de Verwerkingen is Verwerkingsverantwoordelijke de verwerkingsverantwoordelijke en Verwerker de verwerker. De natuurlijke personen die onder de Hoofdovereenkomst feitelijk gebruik maken van de diensten van Verwerker en, eventueel, hun vertegenwoordigers, worden hierna ook als "de Eindgebruikers" aangeduid.
    4. Alle begrippen in deze overeenkomst hebben de betekenis die daar in de GDPR aan wordt gegeven.
    5. Indien meer en andere persoonsgegevens in opdracht van Verwerkingsverantwoordelijke worden verwerkt of indien anders wordt verwerkt dan in dit artikel omschreven, geldt deze overeenkomst zoveel mogelijk ook voor die verwerkingen.
    6. Met betrekking tot de verwerking van bepaalde gegevens van de Eindgebruikers, is Verwerker zelf (mede)verantwoordelijke. Het gaat met name om de contactgegevens en andere gegevens van de Eindgebruiker die Verwerker nodig heeft om de Hoofdovereenkomst uit te voeren.
    7. De bijlagen maken onderdeel uit van deze overeenkomst. Het gaat om:
      Bijlage 1de Verwerkingen, de Persoonsgegevens en de bewaartermijnen;
      Bijlage 2de subverwerkers en/of categorieën subverwerkers die Verwerkingsverantwoordelijke goedkeurt.
  2. Onderwerp
    1. Verwerkingsverantwoordelijke heeft en houdt volledige zeggenschap over de Persoonsgegevens. Indien de Verwerkingsverantwoordelijke de Persoonsgegevens niet zelf verwerkt met gebruikmaking van de systemen van Verwerker, verwerkt Verwerker uitsluitend op basis van schriftelijke instructies van Verwerkingsverantwoordelijke, onder meer met betrekking tot de eventuele doorgifte van Persoonsgegevens naar derde partijen buiten de Europese Unie. De Hoofdovereenkomst geldt als een generieke instructie ter zake.
    2. De Verwerkingen geschieden uitsluitend in het kader van de Hoofdovereenkomst. Verwerker verwerkt Persoonsgegevens niet anders dan in de Hoofdovereenkomst voorzien. Met name gebruikt de Verwerker de Persoonsgegevens niet voor eigen doeleinden.
    3. Verwerker verricht de Verwerkingen op behoorlijke en zorgvuldige wijze.
  3. Beveiligingsmaatregelen
    1. Verwerker neemt alle technische en organisatorische beveiligingsmaatregelen die op grond van de GDPR en in het bijzonder op grond van artikel 32 GDPR van haar worden geëist.
    2. Verwerker draagt ervoor zorg dat personen, niet beperkt tot werknemers, die bij Verwerker deelnemen aan de Verwerkingen zijn gebonden aan een geheimhoudingsverplichting ter zake van de Persoonsgegevens.
  4. Datalekken & Privacy Impact Assessment
    1. Verwerker zal Verwerkingsverantwoordelijke op de hoogte stellen van iedere "inbreuk in verband met persoonsgegevens" als bedoeld in artikel 4 sub 12 GDPR. Zo'n inbreuk wordt hierna: "Datalek" genoemd.
    2. Verwerker verschaft Verwerkingsverantwoordelijke tijdig alle informatie die zij bezit en die nodig is om aan de verplichtingen uit artikel 33 GDPR te voldoen. Verwerker verschaft de betreffende informatie overigens zo snel mogelijk in een door Verwerker te bepalen gangbaar formaat.

      Dit houdt in dat Verwerker de Verwerkingsverantwoordelijke over een Datalek onverwijld op de hoogte brengt indien het duidelijk is dat dat Datalek waarschijnlijk een risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Datalekken waarbij duidelijk is dat die geen risico inhouden voor de rechten en vrijheden van natuurlijke personen kan Verwerker ook onverwijld melden maar ook op een later tijdstip mits dit zonder onredelijke vertraging geschiedt. Indien er ruimte is voor twijfel omtrent de vraag of het al dan niet waarschijnlijk is dat een Datalek een risico inhoudt voor de rechten en vrijheden van natuurlijke personen, meldt Verwerker het Datalek altijd onverwijld aan de Verwerkingsverantwoordelijke.
    3. Het is uitsluitend aan Verwerkingsverantwoordelijke te bepalen of een bij Verwerker geconstateerd Datalek wordt gemeld aan de Autoriteit Persoonsgegevens en/of aan betreffende betrokkenen.
    4. Verwerker verleent de Verwerkingsverantwoordelijke, voor zover redelijkerwijs mogelijk en rekening houdend met de aard van de verwerkingen en de stand van de techniek, bijstand bij het voldoen aan de verplichtingen uit artikel 35 en 36 GDPR.
  5. Inschakeling subverwerkers
    1. Verwerker is niet gerechtigd bij de Verwerking een derde als subverwerker in te schakelen zonder voorafgaande toestemming van de Verwerkersverantwoordelijke. Die toestemming kan ook betrekking hebben op categorieën van subverwerkers. In dat geval informeert de Verwerker de Verwerkingsverantwoordelijke schriftelijk over toevoegingen of vervangingen van door hem ingeschakelde subverwerkers. De Verwerkingsverantwoordelijke kan binnen 30 dagen daarna bezwaar maken tegen een specifieke subverwerker die Verwerker inschakelt. In dat geval kan Verwerker eventuele hogere kosten van de oorspronkelijke subverwerker bij Verwerkersverantwoordelijke in rekening brengen.
    2. Indien Verwerkingsverantwoordelijke zijn toestemming geeft, draagt Verwerker ervoor zorg dat de betreffende derde een overeenkomst sluit waarin hij zich tenminste houdt aan dezelfde wettelijke verplichtingen en de eventuele aanvullende verplichtingen uit deze overeenkomst als die Verwerker heeft. Indien een subverwerker de aanvullende verplichtingen uit deze overeenkomst niet wenst te accepteren, kan Verwerkingsverantwoordelijke beslissen om voor de betreffende verwerkingen Verwerker van die aanvullende verplichtingen ontheffen opdat Verwerker toch de subverwerkingsovereenkomst kan sluiten. Deze bepaling geldt niet voor verplichtingen die tegen de wettelijke vereisten van de subverwerker in gaan.
    3. Ingeval de toestemming betrekking heeft op een bepaalde soort derden, licht Verwerker Verwerkingsverantwoordelijke in over de door hem ingeschakelde subverwerkers. Verwerkingsverantwoordelijke kan dan bezwaar maken tegen toevoegingen of vervangingen met betrekking tot de subverwerkers van Verwerker.
    4. Verwerkingsverantwoordelijke geeft hierbij toestemming voor het inschakelen van de in Bijlage 2 opgenomen subverwerkers en/of categorieën van subverwerkers.
  6. Geheimhoudingsplicht
    1. Verwerker houdt de Persoonsgegevens geheim. Verwerker draagt ervoor zorg dat de Persoonsgegevens niet direct of indirect ter beschikking komen van derden. Onder derden wordt ook het personeel van Verwerker begrepen voor zover het niet noodzakelijk is dat zij kennis nemen van de Persoonsgegevens. Dit gebod geldt niet indien in deze overeenkomst anders is bepaald en/of voor zover een wettelijk voorschrift of vonnis tot enige bekendmaking verplicht.
    2. Verwerker zal Verwerkingsverantwoordelijke op de hoogte stellen van ieder verzoek van een ander dan de betrokkenen tot kennisneming, verstrekking of andere vorm van opvragen en mededeling van de Persoonsgegevens, in strijd met de in dit artikel opgenomen geheimhoudingsplicht tenzij de wet dat verbiedt. Verzoeken van betrokkenen geeft Verwerker door aan Verwerkingsverantwoordelijke of Verwerker verwijst betrokkenen naar Verwerkersverantwoordelijke.
  7. Bewaartermijnen en wissen
    1. Verwerkingsverantwoordelijke is verantwoordelijk voor het bepalen van de bewaartermijnen met betrekking tot de Persoonsgegevens. Voor zover Persoonsgegevens onder controle van de Verwerkingsverantwoordelijke zijn wist hij die zelf tijdig. Onder wissen kan ook anonimiseren worden verstaan.
    2. Verwerker zal de Persoonsgegevens binnen dertig dagen na het einde van de Hoofdovereenkomst wissen of, naar keuze van de Verwerkingsverantwoordelijke, aan deze overdragen, tenzij de Persoonsgegevens langer bewaard moeten worden, zoals in het kader van (wettelijke) verplichtingen van Verwerker, dan wel indien Verwerkingsverantwoordelijke verzoekt Persoonsgegevens langer te bewaren en Verwerker en Verwerkingsverantwoordelijke over de kosten en overige voorwaarden van dat langere bewaren overeenstemming bereiken, dit laatste onverminderd de verantwoordelijkheid van Verwerkingsverantwoordelijke de wettelijke bewaartermijnen in acht te nemen. Een eventuele overdracht aan de Verwerkingsverantwoordelijke geschiedt op kosten van de Verwerkingsverantwoordelijke.
    3. Verwerker zal op verzoek van Verwerkingsverantwoordelijke verklaren dat het wissen in het voorgaande lid bedoeld heeft plaatsgevonden. Verwerkingsverantwoordelijke kan op eigen kosten een controle laten uitvoeren of dat inderdaad is gebeurd. Artikel 10 van deze overeenkomst is van toepassing op die controle. Verwerker zal voor zover nodig alle subverwerkers die betrokken zijn bij de verwerking van de Persoonsgegevens op de hoogte stellen van een beëindiging van de Hoofdovereenkomst en zal hen instrueren te handelen zoals hierin bepaald is.
    4. Tenzij partijen anders afspreken, draagt Verwerkingsverantwoordelijke zelf zorg voor een back up van de Persoonsgegevens.
  8. Rechten van betrokkenen
    1. Indien Verwerkingsverantwoordelijke zelf toegang heeft tot de Persoonsgegevens voldoet hij zelf aan alle verzoeken van de betrokkenen met betrekking tot de Persoonsgegevens. Verwerker zal eventueel door Verwerker ontvangen verzoeken onverwijld aan Verwerkingsverantwoordelijke doorgeven.
    2. Alleen voor zover het in het voorgaande lid bedoelde niet mogelijk is, zal Verwerker zijn volledige en tijdige medewerking verlenen aan Verwerkingsverantwoordelijke om:
      1. na goedkeuring van en in opdracht van Verwerkingsverantwoordelijke betrokkenen toegang te laten krijgen tot de hun betreffende Persoonsgegevens,
      2. Persoonsgegevens te verwijderen of te corrigeren,
      3. aan te tonen dat Persoonsgegevens verwijderd of gecorrigeerd zijn indien zij incorrect zijn (of, ingeval Verwerkingsverantwoordelijke het er niet mee eens is dat de Persoonsgegevens incorrect zijn, het feit vast te leggen dat de betrokkene zijn Persoonsgegevens als incorrect beschouwt)
      4. de betreffende Persoonsgegevens aan Verwerkingsverantwoordelijke dan wel aan een door de Verwerkingsverantwoordelijke aangewezen derde te verstrekken in een gestructureerde, gangbare en machineleesbare vorm en
      5. Verwerkingsverantwoordelijke anderszins in de gelegenheid te stellen om aan zijn verplichtingen onder de GDPR of aan andere toepasselijke wetgeving op het gebied van verwerking van de Persoonsgegevens te voldoen.
    3. De kosten van en eisen aan de in het voorgaande lid genoemde medewerking stellen partijen gezamenlijk vast. Zonder een afspraak daaromtrent zijn de kosten voor de Verwerkingsverantwoordelijke.
  9. Aansprakelijkheid
    1. Verwerkingsverantwoordelijke draagt, onder meer, de verantwoordelijkheid en is uit dien hoofde volledig aansprakelijk voor (het gestelde doel van) de Verwerkingen, het gebruik en de inhoud van de Persoonsgegevens, de verstrekking aan derden, de duur van de opslag van de Persoonsgegevens, de wijze van verwerking en de daartoe gehanteerde middelen.
    2. Verwerkingsverantwoordelijke vrijwaart Verwerker voor alle aanspraken van derden die samenhangen met de uitvoering van de Overeenkomst. Dit betekent dat Verwerkingsverantwoordelijke de Verwerker vrijwaart van alle vorderingen, procedures of aanspraken die tegen de Verwerker zijn of worden ingesteld door een toezichthoudende autoriteit, Betrokkene of een derde, en die verband houden met de Overeenkomst, de verwerking van de Persoonsgegevens en/of het onderzoek en/of een door Verwerkingsverantwoordelijke veroorzaakte of toe te rekenen inbreuk in verband met Persoonsgegevens, en Verwerkingsverantwoordelijke zal alle daarmee verband houdende en daaruit voortvloeiende kosten – waaronder mede begrepen alle kosten van juridische bijstand – en volledige schade van de Verwerker vergoeden.
    3. Verwerker is jegens Verwerkingsverantwoordelijke voorts aansprakelijk zoals bepaald in de Hoofdovereenkomst.
  10. Controle
    1. Verwerkingsverantwoordelijke heeft het recht de naleving van de bepalingen van deze overeenkomst eenmaal per jaar op eigen kosten te controleren of deze te laten controleren door een onafhankelijke registeraccountant of registerinformaticus.
    2. Verwerker stelt de Verwerkingsverantwoordelijke alle informatie ter beschikking die nodig is om aan te tonen dat wordt voldaan aan de verplichtingen in artikel 28 GDPR. Indien de door de Verantwoordelijke ingeschakelde derde een instructie geeft die naar mening van de Verwerker inbreuk oplevert op de GDPR dan stelt de Verwerker de Verantwoordelijke daarvan onmiddellijk in kennis.
    3. Het onderzoek van Verwerkingsverantwoordelijke zal zich altijd beperken tot de systemen van Verwerker die voor de Verwerkingen worden gebruikt. Verwerkingsverantwoordelijke zal de bij de controle gevonden informatie geheim houden en alleen gebruiken om de naleving door Verwerker van de verplichtingen uit deze overeenkomst te controleren en de informatie of delen daarvan zo snel als kan wissen. Verwerkingsverantwoordelijke staat er voor in dat eventuele ingeschakelde derden deze verplichtingen ook op zich nemen.
  11. Overige bepalingen
    1. Wijzigingen van deze overeenkomst zijn uitsluitend geldig indien deze tussen partijen schriftelijk zijn overeengekomen. Onder schriftelijk moet ook worden verstaan via elektronische weg.
    2. Partijen zullen deze overeenkomst aanpassen aan gewijzigde of aangevulde regelgeving, aanvullende instructies van de relevante autoriteiten en voortschrijdend inzicht in de toepassing van de GDPR (bijvoorbeeld door, maar niet beperkt tot, jurisprudentie of rapporten), de introductie van standaardbepalingen en/of andere gebeurtenissen of inzichten die een dergelijke aanpassing nodig maken
    3. Deze overeenkomst duurt zolang de Hoofdovereenkomst duurt. De bepalingen van deze overeenkomst blijven gelden voor zover nodig voor de afwikkeling van deze overeenkomst en voor zover die bedoeld zijn het einde van deze overeenkomst te overleven. Tot die laatste categorie bepalingen behoren onder meer, zonder daartoe te zijn beperkt, de bepalingen omtrent geheimhouding en geschillen.
    4. Deze overeenkomst prevaleert boven alle overige overeenkomsten tussen Verwerkingsverantwoordelijke en Verwerker.
    5. Op deze overeenkomst is uitsluitend Nederlands recht van toepassing.
    6. Partijen zullen hun geschillen verband houdende met deze overeenkomst uitsluitend voorleggen aan de Rechtbank Amsterdam.
 

Bijlage 1

Persoonsgegevens, wijze(n) van verwerking/doel van de Persoonsgegevens en bewaartermijnen.

De persoonsgegevens worden in het algemeen verwerkt:
- voor de levering van de (online) dienst;
- verwerken van de transactie(s) van de betrokkene voor/door restaurant;
- de controle en verwerking van transactie(s) van de betrokkene op het platform;
- het reageren op incidenten/vragen van de betrokkene.

Persoonsgegeven Verwerking/Doel Bewaartermijn
Aanhef - Voor persoonlijke aanhef
Onbepaald*
Voornaam / Achternaam - Identificatie Afnemer
- Reviews (alleen Voornaam, na toestemming)
Onbepaald*
Bezorg/Afleveradres - Identificatie Afnemer
- Bezorgadres
Onbepaald*
E-mailadres - Identificatie Afnemer
- Loginnaam Account
- Kennisgeving
- Mailings (na toestemming)
Onbepaald*
Telefoonnummer - Identificatie Afnemer
- Kennisgeving
- Mailings (na toestemming)
Onbepaald*
Wachtwoord - Toegang Account
Tot Account wordt verwijderd
Geboortedatum - Leeftijdscontrole bij bestellen alcohol en tabak
Onbepaald*
Taalvoorkeur - Weergave website / webshop en communicatie met Gebruiker/Afnemer in gewenste taal
(Lokale cookie)
Device token (voor push notification) - Kennisgeving
- Mailings (na toestemming)
Onbepaald*
IP-adres - Fraudepreventie
7 dagen
Gegevens met betrekking tot transacties / betalingen / aankoopgeschiedenis - Financiële administratie
Onbepaald*
Gegevens met betrekking tot gezondheid, godsdienst of levensovertuiging - Bereiden gerechten (opmerkingen bij bestelling over allergiën of kosher/halal bereiding)
7 dagen
Financiële data (bijv. bank, bankrekeningnummer, creditcardnummer) - Afhandeling (online) betalingen
- Fraudepreventie
0 dagen (worden niet opgeslagen)**

* De Verwerkingsverantwoordelijke bepaalt zelf de gewenste bewaartermijn. Deze kan worden ingesteld via software die Verwerker ter beschikking stelt. Als de bewaartermijn is verlopen zullen de persoonsgegevens (van privépersonen) worden gewist of geanonimiseerd. In sommige gevallen, bijv. creditcardbetalingen, kunnen gegevens langer worden bewaard in kader van bewijsvoering (denk aan charge-back opdrachten creditcardbetalingen die tot 100 dagen na transactie uitgevoerd kunnen worden).

** Betalingen worden direct bij een Payment Service Provider (PSP) verricht. Er worden geen persoonsgegevens gestuurd aan PSP, eventuele ontvangen persoonsgegevens worden direct verwijderd. Een PSP is een zelfstandig verwerkingsverantwoordelijke als bedoeld in de Algemene Verordening Gegevensbescherming en voldoet aan die wetgeving en andere wetgevingen toepasselijk.

 

Bijlage 2

Subverwerkers/categorieën van subverwerkers (zoals genoemd in art. 5.4 van deze overeenkomst).

Categorie
Payment Service Providers
Hosting Providers
SMS Service Providers
Fax Service Providers
Telecom Providers