Verwerkersovereenkomst SportIT

Deze Verwerkersovereenkomst maakt integraal en onlosmakelijk onderdeel uit van de  Overeenkomst. Op deze Verwerkersovereenkomst zijn derhalve ook de Algemene Voorwaarden en  de Privacyverklaring van SportIT van toepassing. De Verwerkingsverantwoordelijke wordt de  mogelijkheid gegeven om onderstaande overeenkomst met betrekking tot de verwerking van  persoonsgegevens aan te gaan met SportIT tijdens de start van de samenwerking. Bij een reeds  lopende Overeenkomst gaat SportIT ervan uit dat Verwerkingsverantwoordelijke akkoord is met de  Verwerkersovereenkomst.

De Partijen:

- Opdrachtgever

- SportIT V.O.F., gevestigd te Almelo aan de Rijstvogel 4, bij de Kamer van Koophandel ingeschreven  onder nummer 81303289

Overwegen het volgende: 

a) Partijen zijn een overeenkomst aangegaan op grond waarvan SportIT diensten uitvoert voor De Overeenkomst leidt ertoe dat SportIT in opdracht van Opdrachtgever Persoonsgegevens verwerkt.

b) Partijen wensen, mede gelet op het bepaalde in artikel 28 lid 3 Algemene Verordening Gegevensbescherming, in deze Verwerkersovereenkomst hun wederzijdse rechten en verplichtingen voor de Verwerking van Persoonsgegevens vast te leggen.

Komen het volgende overeen: 

Artikel 1. Definities 

1. AVG: de Algemene Verordening Gegevensbescherming ((Verordening 2016/679 van het Europees  Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in  verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens  en tot intrekking van Richtlijn 95/46/EG);
2. Betrokkene, Verwerker, Derde, Persoonsgegevens, Verwerking van Persoonsgegevens en  Verwerkingsverantwoordelijke: de begrippen zoals gedefinieerd in de AVG;
3. Datalek: een inbreuk in verband met Persoonsgegevens, zoals bedoeld in artikel 4 sub 12 AVG; 4. Overeenkomst: elke wederzijdse acceptatie die schriftelijk dan wel per E-mail is bevestigd en/of  contractuele band tussen Leverancier en Opdrachtgever die gericht is op het verschaffen van  Diensten door Leverancier aan Opdrachtgever;
4. Partijen: Verwerker en Verwerkingsverantwoordelijke;
5. Sub-verwerker: de partij die door Verwerker wordt ingeschakeld als Verwerker ten behoeve van  de Verwerking van de Persoonsgegevens in het kader van de Verwerkersovereenkomst en de  Overeenkomst;
6. Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens: de  toepasselijke (Unierechtelijke en lidstaatrechtelijke) wet- en regelgeving en/of (nadere) verdragen,  verordeningen, richtlijnen, besluiten, beleidsregels, instructies en/of aanbevelingen van een  bevoegde overheidsinstantie betreffende de Verwerking van Persoonsgegevens, tevens omvattende  toekomstige wijziging hiervan en/of aanvulling hierop, inclusief lidstaatrechtelijke uitvoeringswetten  van de AVG en de Telecommunicatiewet;
7. Verwerkersovereenkomst: de onderhavige verwerkersovereenkomst.

Artikel 2. Algemeen 

1. Verwerker verbindt zich onder de voorwaarden uit deze verwerkersovereenkomst in opdracht van  Verwerkersverantwoordelijke Persoonsgegevens te verwerken. Verwerking zal uitsluitend  plaatsvinden in het kader van de uitvoering van de Overeenkomst, plus die doeleinden die daarmee  redelijkerwijs samenhangen of die met nadere instemming worden bepaald, en uitsluitend op basis  van instructies van Verwerkingsverantwoordelijke. Verwerkingsverantwoordelijke zal Verwerker  schriftelijk op de hoogte stellen van de verwerkingsdoeleinden voor zover deze niet reeds in de  Overeenkomst, Privacyverklaring of deze verwerkersovereenkomst zijn genoemd. 2. Verwerker zal in het kader van de Overeenkomst alle Persoonsgegevens verwerken, die bij het  gebruik van de Diensten kunnen worden opgeslagen.
2. Verwerker heeft géén zeggenschap over het doel en de middelen voor de verwerking van  Persoonsgegevens. Verwerker neemt géén zelfstandige beslissingen over ontvangst en gebruik van  de persoonsgegevens, de verstrekking aan derden en de duur van de opslag.

Artikel 3. Rolverdeling 

1. Opdrachtgever is ten aanzien van de in diens opdracht uit te voeren Verwerkingen van  Persoonsgegevens de Verwerkingsverantwoordelijke. SportIT is Verwerker in de zin van de AVG. De  Opdrachtgever heeft en houdt zelfstandige zeggenschap over het (het bepalen van) doel en de  middelen van de Verwerking van de Persoonsgegevens.
2. Partijen verstrekken elkaar over en weer alle benodigde informatie teneinde een goede naleving  van de Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens mogelijk  te maken.
3. Verwerker stelt Verwerkingsverantwoordelijke onmiddellijk op de hoogte indien naar zijn oordeel  door Verwerkersverantwoordelijke gegeven instructies in strijd zijn met de Toepasselijke wet- en  regelgeving met betrekking tot de verwerking van Persoonsgegevens.
4. Voor Partijen zijn de beginselen van gegevensbescherming door ontwerp en gegevensbescherming  door standaardinstellingen bij het gebruik, de levering en de (door)ontwikkeling van de onder de  Overeenkomst aangeboden Diensten.

Artikel 4. Verdeling van verantwoordelijkheid 

1. De toegestane verwerkingen zullen onder controle van Verwerker worden uitgevoerd binnen een (semi)geautomatiseerde omgeving.
2. Verwerker is louter verantwoordelijk voor de verwerking van de persoonsgegevens onder deze verwerkersovereenkomst, overeenkomstig de schriftelijke instructies van Verwerkersverantwoordelijke en onder uitdrukkelijke (eind) verantwoordelijkheid van  Verwerkersverantwoordelijke.
3. Voor de overige verwerking van persoonsgegevens, waaronder in ieder geval begrepen de verzameling van de persoonsgegevens door de Verwerkersverantwoordelijke, verwerkingen voor doeleinden die niet door Verwerkersverantwoordelijke aan Verwerker zijn gemeld en/of  verwerkingen door derden die zijn ingeschakeld door de Verwerkersverantwoordelijke, is Verwerker  uitdrukkelijk niet verantwoordelijk. De verantwoordelijkheid voor deze verwerkingen rust bij de  Verwerkersverantwoordelijke.
4. Verwerkersverantwoordelijke garandeert dat de inhoud, het gebruik en de opdracht tot de verwerkingen van de persoonsgegevens zoals bedoeld in deze verwerkersovereenkomst, niet onrechtmatig zijn en geen inbreuk maken op enig recht van derden, en vrijwaart Verwerker tegen  alle aanspraken en claims die hiermee verband houden.
5. In het geval dat voor een nieuwe verwerking onder deze verwerkersovereenkomst een gegevensbescherming-effectbeoordeling of voorafgaande raadpleging van de toezichthouder verplicht is, zal Verwerker, voor zover dat binnen haar macht ligt, hieraan meewerken. Verwerker  kan hiervoor redelijke kosten in rekening brengen bij Verwerkersverantwoordelijke. 6. Verwerker zal, indien wettelijk verplicht en noodzakelijk, meewerken aan een eventueel  onderzoek door de Autoriteit Persoonsgegevens naar een verwerking onder deze  verwerkersovereenkomst. Verwerker kan hiervoor redelijke kosten in rekening brengen bij  Verwerkersverantwoordelijke.
6. De verplichtingen van Verwerker die uit deze verwerkersovereenkomst voortvloeien, gelden ook voor degenen die persoonsgegevens verwerken onder het gezag van Verwerker, waaronder in ieder geval de werknemers van Verwerker worden verstaan.

Artikel 5. Beveiliging en controle 

1. Verwerker zal, gelijk de Verwerkingsverantwoordelijke, zorg dragen voor passende technische en organisatorische maatregelen als bedoeld in artikel 32 AVG om Persoonsgegevens te beveiligen en beschermen tegen ongeoorloofde of onrechtmatige Verwerkingen en tegen onopzettelijk verlies,  vernietiging of beschadiging.
2. Partijen zullen de door hen getroffen informatiebeveiligingsmaatregelen evalueren en verscherpen, aanvullen of verbeteren door zover de eisen of (technologische) ontwikkelingen daartoe aanleiding geven.
3. Verwerker stelt Verwerkingsverantwoordelijke in staat om te voldoen aan zijn wettelijke verplichting om toezicht te houden op de naleving van de in artikel 6 genoemde verplichtingen ten aanzien van Datalekken.
4. In aanvulling op de voorgaande leden heeft Verwerkingsverantwoordelijke te allen tijde het recht om, in overleg met Verwerker en met inachtneming van een redelijke termijn, de naleving van Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens, de  Overeenkomst en deze Verwerkersovereenkomst, waaronder de door Verwerker genomen  technische en organisatorische beveiligingsmaatregelen, te (doen) controleren. Verwerker zal de hier  bedoelde audit alsmede eventuele inspecties, op kosten van Verwerkingsverantwoordelijke, mogelijk  maken en eraan bijdragen.
5. Verwerkingsverantwoordelijke wordt geïnformeerd over de uitkomst van deze audit.

Artikel 6. Datalekken

1. Partijen hebben een passend beleid voor de omgang met Datalekken.
2. Indien Verwerkingsverantwoordelijke dan wel Verwerker een Datalek vaststelt, dan zal deze de andere Partij daarover zonder onredelijke vertraging (zo mogelijk uiterlijk binnen 72 uur na het vaststellen van het Datalek) informeren zodra hij kennis heeft genomen van dat Datalek. Verwerker  verstrekt ingeval van een Datalek alle relevante informatie aan Opdrachtgever met betrekking tot het  Datalek, waaronder informatie over eventuele ontwikkelingen rond het Datalek, en de maatregelen  die de Verwerker treft om aan zijn kant de gevolgen van het Datalek te beperken en herhaling te  voorkomen.
3. Verwerker informeert Verwerkingsverantwoordelijke indien een vermoeden bestaat dat een Datalek waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen zoals bedoeld in artikel 34 lid 1 AVG.
4. Verwerker stelt bij een Datalek de Verwerkingsverantwoordelijke in staat om passende vervolgstappen te (laten) nemen ten aanzien van het Datalek. Verwerker dient hierbij aansluiting te zoeken bij de bestaande processen die Verwerkingsverantwoordelijke daartoe heeft ingericht. Partijen nemen zo spoedig mogelijk alle redelijkerwijs benodigde maatregelen om (verdere)  schending of inbreuken betreffende de Verwerking de Persoonsgegevens, en meer in het bijzonder  (verdere) schendingen van de Toepasselijke wet- en regelgeving betreffende de Verwerking van  Persoonsgegevens, te voorkomen of te beperken.
5. In geval van een Datalek, voldoet Verwerkingsverantwoordelijke aan eventuele wettelijke meldingsplichten. In geval een Datalek bij Verwerker meerdere van zijn Verwerkingsverantwoordelijke in gelijke mate treft, kan Verwerker ten behoeve van de  Verwerkingsverantwoordelijke na overleg een melding doen van het Datalek aan de Autoriteit  Persoonsgegevens.
6. In geval van het Datalek waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen, zal de Verwerkingsverantwoordelijke de Betrokkenen informeren over het Datalek.
7. Partijen zullen te goeder trouw in onderling overleg afspraken maken over de redelijke verdeling van de eventuele kosten die verbonden zijn aan het voldoen aan de meldingsplichten. 8. Partijen documenteren alle Datalekken in een (incidenten)register, met inbegrip van de feiten omtrent de inbreuk in verband met Persoonsgegevens, de gevolgen daarvan en de genomen  corrigerende maatregelen.

Artikel 7. Bijstand 

1. Verwerker verleent Verwerkingsverantwoordelijke, op kosten van Verwerkingsverantwoordelijke, bijstand bij het doen nakomen van de op Verwerkingsverantwoordelijke rustende verplichtingen op grond van de AVG en andere Toepasselijke wet- en regelgeving betreffende de Verwerking van  Persoonsgegevens, zoals met betrekking - maar niet beperkt - tot:
   a) het - voor zover redelijkerwijs mogelijk- vervullen van de plicht van Verwerkingsverantwoordelijke om aan verzoeken van de in hoofdstuk III van de AVG vastgelegde rechten van de betrokkene binnen de wettelijke termijnen te voldoen, zoals een verzoek om inzage, verbetering, aanvulling,  verwijdering of afscherming van Persoonsgegevens;
   b) het uitvoeren van controles en audits zoals bedoeld in artikel 5 van deze Verwerkersovereenkomst;
   c) het uitvoeren van een gegevensbescherming-effectbeoordeling (DPIA) en een eventuele daaruit voortkomende verplichte voorafgaande raadpleging van de Autoriteit Persoonsgegevens;
   d) het voldoen aan verzoeken van de Autoriteit Persoonsgegevens of een andere overheidsinstantie;
   e) het voorbereiden, beoordelen en melden van Datalekken zoals bedoeld in artikel 6 van deze Verwerkersovereenkomst.
2. Een klacht of verzoek van een Betrokkene of een verzoek of onderzoek van de Autoriteit Persoonsgegevens met betrekking tot de Verwerking van de Persoonsgegevens, wordt door Verwerker, voor zover wettelijk is toegestaan, onverwijld doorgestuurd naar  Verwerkingsverantwoordelijke, die verantwoordelijk is voor de afhandeling van het verzoek.

Artikel 8. Sub verwerker 

1. Verwerkingsverantwoordelijke geeft Verwerker door ondertekening van deze Verwerkersovereenkomst toestemming tot het inschakelen van Sub-verwerkers, met inachtneming van de daarvoor toepasselijke privacywetgeving.
2. Tijdens de duur van de Verwerkersovereenkomst licht Verwerker Verwerkingsverantwoordelijke in over een voorgenomen toevoeging van een nieuwe Sub-verwerker of wijziging in de samenstelling van de bestaande Sub-verwerkers, waarbij Verwerkingsverantwoordelijke de mogelijkheid wordt  geboden tegen deze veranderingen bezwaar te maken.
3. Verwerker zorgt er in ieder geval voor dat sub-verwerkers

Artikel 9. Doorgifte aan derde landen buiten de Europese Economische Ruimte 

1. Verwerker is uitsluitend gerechtigd tot doorgifte van Persoonsgegevens aan een derde land of internationale organisatie indien Verwerkingsverantwoordelijke daarvoor specifieke Schriftelijke toestemming heeft gegeven, tenzij een door Verwerker van toepassing zijnde Unierechterlijke of  lidstaadrechterlijke bepaling Verwerker tot die doorgifte verplicht. In dat geval stelt Verwerker  Verwerkingsverantwoordelijke voorafgaand aan de doorgifte schriftelijk dan wel per e-mail op de  hoogte van deze bepaling, tenzij die wetgeving deze kennisgeving om gewichtige redenen van  algemeen belang verbiedt.
2. Indien na toestemming van Verwerkingsverantwoordelijke Persoonsgegevens worden doorgegeven aan derde landen buiten de Europese Economische Ruimte of aan een internationale organisatie zoals bedoeld in artikel 4 lid 26 AVG, dan zien Partijen erop toe dat dit alleen plaatsvindt  conform wettelijke voorschriften en eventuele verplichtingen die in dit verband op Opdrachtgever  rusten.

Artikel 10. Aansprakelijkheid 

1. Verwerker is aansprakelijk voor schade die Opdrachtgever lijdt als gevolg van een toerekenbare tekortkoming van Verwerker ten aanzien van een specifiek tot een Verwerker gerichte verplichting uit hoofde van deze Verwerkersovereenkomst of de AVG.
2. Verwerkingsverantwoordelijke is aansprakelijk voor alle schade die Verwerker lijdt als gevolg van een toerekenbare tekortkoming van Verwerkingsverantwoordelijke ten aanzien van een specifiek tot een Verwerkingsverantwoordelijke gerichte verplichting uit hoofde van deze  Verwerkersovereenkomst.
3. Wanneer de Verwerkingsverantwoordelijke of Verwerker de schade overeenkomstig in dit artikel heeft vergoed, kan - indien de andere partij (mede) aansprakelijk is voor deze schade - de Verwerkingsverantwoordelijke of Verwerker de schade pro rata (dat wil zeggen in de verhouding van  ieders deels van de aansprakelijkheid voor de schade) verhalen op de andere partij.
4. Iedere partij is verplicht de andere partij zonder onnodige vertraging op de hoogte te stellen van  een (mogelijke) aansprakelijkstelling door een derde of het (mogelijk) opleggen van een boete door  de toezichthouder. Iedere partij is in redelijkheid verplicht de andere partij informatie te verstrekken  en of ondersteuning te verlenen ten behoeve van het voeren van verweer tegen een (mogelijke)  aansprakelijkstelling of boete, zoals bedoeld in de vorige volzin.
5. Enige beperking of uitsluiting van aansprakelijkheid van een partij in de Overeenkomst of de algemene voorwaarden van Verwerker, geldt ook ten aanzien van het bepaalde in dit artikel.

Artikel 11. Tegenstrijdigheid en wijziging Verwerkersovereenkomst 

1. In het geval van tegenstrijdigheid tussen de bepalingen uit deze Verwerkersovereenkomst en de bepalingen van de Overeenkomst, dan zullen de bepaling van deze Verwerkersovereenkomst leidend zijn.
2. Bij belangrijke wijzigingen in het product en/of de (aanvullende) diensten die van invloed zijn op de Verwerking van de Persoonsgegevens wordt de Opdrachtgever in begrijpelijke taal geïnformeerd over de consequenties van deze wijzigingen. Onder belangrijke wijzigingen wordt in ieder geval  verstaan: de toevoeging of wijziging van een functionaliteit die leidt tot een uitbreiding ten aanzien  van de te Verwerken Persoonsgegevens en de doeleinden waaronder de Persoonsgegevens worden  Verwerkt.
3. Wijzigingen in de artikelen van de Verwerkersovereenkomst kunnen uitsluitend in gezamenlijkheid worden overeengekomen.
4. In het geval enige bepaling van deze Verwerkersovereenkomst nietig, vernietigbaar of anderszins niet afdwingbaar is of wordt, blijven de overige bepaling van deze Verwerkersovereenkomst volledig van kracht. Partijen zullen in dat geval met elkaar in overleg treden om nietige, vernietigbare of  anderszins niet afdwingbare bepaling te vervangen door een uitvoerbare alternatieve bepaling.  Daarbij zullen partijen zoveel mogelijk rekening houden met het doel en de strekking van de nietige,  vernietigde of anderszins niet afdwingbare bepaling.

Artikel 12. Duur en beëindiging 

1. De looptijd van deze Verwerkersovereenkomst is gelijk aan de looptijd van de tussen Partijen gesloten Overeenkomst, inclusief eventuele verlenging daarvan.
2. Deze Verwerkersovereenkomst eindigt van rechtswege bij de beëindiging van de Overeenkomst. De beëindiging van deze Verwerkersovereenkomst zal Partijen niet ontslaan van hun verplichtingen die voortvloeien uit deze Verwerkersovereenkomst die naar hun aard worden geacht ook na  beëindiging voort te duren.

Artikel 13. Overig 

1. Op deze overeenkomst is het Nederlandse recht van toepassing
2. De Nederlandse rechter in het arrondissement waar Verwerker is gevestigd / praktijk houdt / kantoor houdt is exclusief bevoegd om kennis te nemen van eventuele geschillen tussen partijen, tenzij de wet dwingend anders voorschrijft.
3. Iedere partij is slecht gerechtigd haar rechten en verplichtingen uit de overeenkomst over te dragen aan een derde met voorafgaande schriftelijke toestemming van de partij.