| CONTRACT | VERSIE | Datum |
| VERWERKERSOVEREENKOMST | 1.1 | 25-4-2018 |
Deze Verwerkersovereenkomst is van toepassing op alle vormen van Verwerking van
Persoonsgegevens die Jeroen Strack Fotografie ingeschreven bij de Kamer van Koophandel onder
nummer 243 736 29, (hierna: Verwerker) uitvoert ten behoeve van een wederpartij aan wie zij
diensten levert (hierna: Verwerkings-verantwoordelijke). Verwerkingsverantwoordelijke en Verwerker
worden hieronder gezamenlijk aangeduid als Partijen.
ARTIKEL 1. DEFINITIES
In deze Verwerkersovereenkomst wordt verstaan onder:
1. Persoonsgegeven: Elk gegeven betreffende een geïdentificeerde of identificeerbare
natuurlijke persoon;
2. Verwerken of Verwerking: elke handeling of elk geheel van handelingen met betrekking tot
persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren,
bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van
doorzending, verspreiding of enige andere vorm van ter beschikkingstelling, samenbrengen,
met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van
gegevens;
3. Datalek: een inbreuk op de beveiliging van Persoonsgegevens die per ongeluk of op
onrechtmatige wijze leidt tot – of waarbij redelijkerwijs niet uit te sluiten valt dat die kan leiden
tot – de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de
ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte
Persoonsgegevens, en die waarschijnlijk een risico inhoudt voor de rechten en vrijheden van
Betrokkene(n);
4. Betrokkene: degene op wie een Persoonsgegeven betrekking heeft;
5. AP: de Autoriteit Persoonsgegevens, het zelfstandig bestuursorgaan dat in Nederland bij wet
als toezichthouder is aangesteld voor het toezicht op de Verwerking van Persoonsgegevens;
6. AVG: de Algemene Verordening Gegevensbescherming;
7. Verwerkersovereenkomst: deze verwerkersovereenkomst.
ARTIKEL 2. TOEPASSINGSBEREIK VERWERKERSOVEREENKOMST
1. 2.1 Deze Verwerkersovereenkomst is van toepassing op de Verwerking van
Persoonsgegevens door Verwerker ten behoeve van Verwerkingsverantwoordelijke die
plaatsvindt in het kader van de dienstverlening van Verwerker aan
Verwerkingsverantwoordelijke, zoals nader geregeld in de tussen Partijen gesloten
overeenkomst van dienstverlening en/of de Algemene Voorwaarden Jeroen Strack Fotografie
2. 2.2 De Verantwoordelijke bepaalt welke Persoonsgegevens onder de overeengekomen
voorwaarden bij Verwerker worden verwerkt. Een nadere beschrijving van de te verwerken
Persoonsgegevens is, opgesteld door Verwerkingsverantwoordelijke, opgenomen in Bijlage A.
3. 2.3 Partijen erkennen dat Verwerker ook Persoonsgegevens Verwerkt in het kader van de
dienstverlening waarvoor zij zelf het doel en de middelen bepaalt. Dit geldt bijvoorbeeld voor
Persoonsgegevens over contactpersonen bij de Verwerkingsverantwoordelijke. Op de
Verwerking van deze Persoons- gegevens, die aan de AVG moet voldoen, is de
Verwerkersovereenkomst niet van toepassing.
4. 2.4 De Verwerking van Persoonsgegevens onder deze Verwerkersovereenkomst heeft niet
tot gevolg dat Verwerkingsverantwoordelijke enige intellectuele eigendomsrechten of andere
aanspraken op de Persoonsgegevens overdraagt aan Verwerker, en is evenmin bedoeld om
op enigerlei wijze afbreuk te doen aan de rechten van Betrokkenen.
ARTIKEL 3. VERPLICHTINGEN VERWERKER
1. 3.1. Verwerker zal de Persoonsgegevens uitsluitend ten behoeve van de
Verwerkingsverantwoordelijke Verwerken, en slechts voor zover noodzakelijk voor de
dienstverlening van Verwerker aan Verwerkingsverantwoordelijke, alsmede voor die
doeleinden die daarmee redelijkerwijs samenhangen of die tussen Partijen nader schriftelijk
worden bepaald. Verwerker zal de Persoonsgegevens niet voor enig ander doel verwerken
dan zoals door Verwerkingsverantwoordelijke is vastgesteld.
2. 3.2. De Verwerker zal de Verwerkingsverantwoordelijke onmiddellijk in kennis stellen indien
naar zijn mening een instructie van de Verwerkingsverantwoordelijke in strijd is met de AVG of
andere relevante wet- en regelgeving.
3. 3.3. Verwerker zal ervoor zorgen dat haar verplichtingen uit deze Verwerkersovereenkomst
worden opgelegd aan degenen die Persoonsgegevens verwerken onder het gezag van
Verwerker, waaronder begrepen maar niet beperkt tot werknemers.
4. 3.4. Verwerker zal, voor zover dat binnen haar macht ligt, bijstand verlenen aan Verwerkingsverantwoordelijke in het nakomen van zijn verplichtingen:
1. i) om verzoeken te beantwoorden van Betrokkenen die hun rechten uitoefenen onder
de AVG;
2. ii) met betrekking tot de beveiliging van de Verwerking van de Persoonsgegevens, de
melding van Datalekken aan de AP en de Betrokkenen;
3. iii) een mogelijk vereiste gegevensbeschermingseffectbeoordeling (‘Privacy Impact
Assessment’) en voorafgaande raadpleging van de AP.
Eventuele kosten verbonden aan deze bijstand zijn niet in de overeengekomen prijzen en
vergoedingen van Verwerker begrepen. Verwerker is gerechtigd redelijke kosten voor het
verlenen van deze bijstand aan Verwerkingsverantwoordelijke door te belasten. Indien sprake
is van dergelijke kosten, zal Verwerker dit zo mogelijk tevoren aangeven.
5. 3.5. In het geval dat een Betrokkene een verzoek tot uitoefening van zijn/haar wettelijke
rechten richt aan Verwerker, zal Verwerker het verzoek doorsturen aan
Verwerkingsverantwoordelijke, en zal Verwerkingsverantwoordelijke het verzoek verder
afhandelen, onverminderd het bepaalde in artikel 3.4.i). Verwerker mag de betrokkene
daarvan op de hoogte stellen.
ARTIKEL 4. VERPLICHTINGEN VERANTWOORDELIJKE
1. 4.1. Verwerkingsverantwoordelijke zal Verwerker op de hoogte stellen van de identiteit van
haar functionaris voor de gegevensbescherming en/of vertegenwoordiger, voor zover zij die
heeft aangesteld. Wijzigingen dienen onverwijld te worden doorgegeven aan Verwerker.
Indien Verwerkingsverantwoordelijke geen functionaris of vertegenwoordiger opgeeft, zal
Verwerker ervan uitgaan dat Verwerkingsverantwoordelijke die niet heeft aangesteld.
2. 4.2. Verwerkingsverantwoordelijke garandeert dat de inhoud, het gebruik van en de opdracht
tot de Verwerkingen van de Persoonsgegevens zoals bedoeld in deze
Verwerkersovereenkomst niet onrechtmatig zijn en geen inbreuk maken op enig recht van
derden.
ARTIKEL 5. INSCHAKELEN VAN ONDERAANNEMERS
1. 5.1. Verwerker mag in het kader van deze Verwerkersovereenkomst gebruik maken van
derden. Verwerker blijft voor Verwerkingsverantwoordelijke te allen tijde aanspreekpunt en
verantwoordelijk voor de naleving van de bepalingen uit deze Verwerkersovereenkomst.
2. 5.2. Verwerker zal ervoor zorgen dat onderaannemers schriftelijk ten minste dezelfde plichten
op zich nemen jegens Verwerker als tussen Verwerkingsverantwoordelijke en Verwerker zijn
overeengekomen in deze Verwerkersovereenkomst. Verwerker staat jegens
Verwerkingsverantwoordelijke in voor een correcte naleving van deze plichten door haar
onderaannemers en is bij fouten van deze onderaannemers jegens
Verwerkingsverantwoordelijke aansprakelijk voor alle schade alsof zij zelf de fout(en) heeft
begaan.
ARTIKEL 7. BEVEILIGING
1. 7.1 Verwerkingsverantwoordelijke en Verwerker treffen passende technische en
organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te
waarborgen, opdat de Verwerking aan de vereisten van de AVG en andere Toepasselijke weten regelgeving betreffende de Verwerking van Persoonsgegevens voldoet en de bescherming
van de rechten van Betrokkenen is gewaarborgd. De beveiligingsmaatregelen die Verwerker
treft zijn opgenomen in Bijlage A.
2. 7.2 Verwerkingsverantwoordelijke en Verwerker zullen zich maximaal inspannen om de
Persoonsgegevens te beveiligen en beveiligd te houden tegen indringers en tegen van buiten
komend onheil alsmede tegen onzorgvuldige verwerking, onrechtmatige verstrekking of
ongeoorloofde verstrekking en tegen verlies, vernietiging of beschadiging. Beide partijen
zorgen ervoor dat hun IT- voorzieningen en apparatuur fysiek beschermd zijn tegen toegang
door onbevoegden en tegen schade en storingen en nemen maatregelen om onbevoegde
toegang tot informatiesystemen te voorkomen.
3. 7.3 Verwerkingsverantwoordelijke en Verwerker zullen continue bewaken of de gebruikte
verwerkingssystemen (blijven) voldoen aan adequate eisen van vertrouwelijkheid, integriteit,
beschikbaarheid en veerkracht (snel herstel na tijdelijke onbeschikbaarheid).
4. 7.4 Indien Verwerkingsverantwoordelijke daarom schriftelijk verzoekt, zal Verwerker ten
aanzien van de daarbij aangeduide (categorieën van) Persoonsgegevens bijzondere
maatregelen treffen voor de beveiliging en/of de geheimhouding daarvan. Indien dit leidt tot
hogere kosten voor Verwerker, zal Verwerkingsverantwoordelijke deze kosten vergoeden.
ARTIKEL 8. MELDPLICHT
8.1. Wanneer zich een Datalek voordoet bij Verwerker, meldt Verwerker dit onmiddellijk, maar in ieder
geval binnen 24 uur, aan Verwerkingsverantwoordelijke onder opgave van de aard van het Datalek,
de (vermoedelijke) gevolgen daarvan en de maatregelen die zijn getroffen om de gevolgen te
verhelpen of te beperken.
ARTIKEL 9. GEHEIMHOUDING EN VERTROUWELIJKHEID
1. 9.1 Alle gegevens van Verwerkingsverantwoordelijke en haar klanten zijn vertrouwelijk en
zullen door Verwerker als zodanig worden behandeld. Verwerker is gehouden tot
geheimhouding van alle Persoonsgegevens en informatie die zij verwerkt, of waarvan zij in het
kader van de Overeenkomst of deze Verwerkersovereenkomst kennis krijgt.
2. 9.2 De geheimhouding is niet van toepassing op informatie:
• • Die openbaar bekend is zonder dat deze openbaarmaking een gevolg is van een
ongeoorloofde daad;
• • Waarvan vrijgave is vereist op grond van enige wettelijke bepaling of Rechterlijk bevel, een
en ander op voorwaarde van voorafgaande schriftelijke kennisgeving van de openbarende
partij, aan de partij wiens informatie het betreft;
• • Die een Partij onafhankelijk ontwikkeld heeft;
• • Die een Partij reeds in haar bezit heeft zonder verplichting tot vertrouwelijkheid.
• • Na het beëindigen van deze Verwerkersovereenkomst zal dit artikel en de hierin
vastgelegde
geheimhoudingsplicht van kracht blijven.
ARTIKEL 11. AANSPRAKELIJKHEID
1. 11.1. De aansprakelijkheid van Verwerker jegens Verwerkingsverantwoordelijke voor schade
(waaronder schade als gevolg van eventuele aanspraken van de AP en/of Betrokkenen, en
alle daarmee verband houdende kosten) als gevolg van een toerekenbare tekortkoming door
Verwerker in de nakoming van zijn verplichtingen onder deze Verwerkersovereenkomst, de
AVG, dan wel uit onrechtmatige daad of anderszins, is per gebeurtenis (waarbij een reeks van
opeenvolgende gebeurtenissen geldt als één gebeurtenis) beperkt tot € 1000 per gebeurtenis.
Deze beperking van de aansprakelijkheid komt te vervallen, indien en voor zover de schade
het gevolg is van opzet of grove schuld (bewuste roekeloosheid) van Verwerker.
2. 11.2. Verwerkingsverantwoordelijke vrijwaart Verwerker voor schade (waaronder schade als
gevolg van eventuele aanspraken van de AP en/of Betrokkenen, en alle daarmee verband
houdende kosten), indien deze aanspraak een toerekenbare tekortkoming betreft van
Verwerkingsverantwoordelijke van zijn verplichtingen onder deze Verwerkersovereenkomst of
de AVG.
ARTIKEL 12. DUUR EN BEËINDIGING
1. 12.1. Deze Verwerkersovereenkomst komt tot stand ofwel door ondertekening van Partijen en
op de datum van de laatste ondertekening, ofwel door actieve en ondubbelzinnige
toestemming op digitale wijze verkregen van Verwerker en op de datum dat deze
toestemming gegeven is.
2. 12.2. Deze Verwerkersovereenkomst is aangegaan voor de duur zoals bepaald in de
hoofdovereenkomst tussen Partijen en bij gebreke daarvan in ieder geval voor de duur van de
samenwerking, dat wil zeggen: zo lang als Verwerkingsverantwoordelijke gebruik maakt van
dienstverlening van Verwerker waarbij Verwerker ten behoeve van
Verwerkingsverantwoordelijke Persoonsgegevens Verwerkt.
3. 12.3. Bij beëindiging van de Verwerkersovereenkomst, om welke reden en op welke wijze
dan ook, zal Verwerker Verwerkingsverantwoordelijke een redelijke gelegenheid bieden om
een elektronische kopie te maken van alle persoonsgegevens die bij haar aanwezig zijn, en
zal zij zo spoedig mogelijk na het einde van de Verwerkersovereenkomst eventuele
resterende kopieën daarvan wissen.
ARTIKEL 13. OVERIGE BEPALINGEN
1. 13.1. Deze Verwerkersovereenkomst verwoordt de enige geldende afspraken tussen
Verwerkings- verantwoordelijke en Verwerker betreffende de verwerking van
Persoonsgegevens door Verwerker en vervangt alle voorgaande bewerkersovereenkomsten
en andere schriftelijke dan wel mondelinge afspraken en correspondentie over dat onderwerp.
2. 13.2. Ingeval van strijdigheid van de bepalingen van deze Verwerkersovereenkomst met de
Algemene Voorwaarden van FotoProTools, prevaleert deze Verwerkersovereenkomst.
3. 13.3. Mededelingen betrekking hebbend op deze Verwerkersovereenkomst dienen schriftelijk
te worden gedaan.
4. 13.4. Deze Verwerkersovereenkomst is aangegaan met het doel te voldoen aan de vereisten
gesteld door de AVG aan de Verwerking van Persoonsgegevens door Verwerker ten behoeve
van Verwerkings- verantwoordelijke. Indien de wettelijke vereisten vergen dat deze
Verwerkersovereenkomst wordt gewijzigd, mag elke Partij een wijzigingsvoorstel doen,
waarna de Partijen in goed vertrouwen onderhandelingen zullen aangaan om
overeenstemming te bereiken, om de voortdurende naleving van de toepasselijke wetgeving
te verzekeren.
5. 13.5. Verwerker is daarnaast gerechtigd deze Verwerkersovereenkomst van tijd tot tijd
eenzijdig te herzien. Zij zal minimaal één maand van tevoren mededeling doen van de
wijzigingen aan Verwerkingsverantwoordelijke. Verwerkingsverantwoordelijke mag opzeggen
tegen het einde van deze maand indien zij niet akkoord kan gaan met de wijzigingen. Een
akkoord met de gewijzigde voorwaarden kan elektronisch worden gegeven. Indien de
Verwerkingsverantwoordelijke een maand na aankondiging van de gewijzigde voorwaarden
gebruik maakt van de dienstverlening van Verwerker waarop de Verwerkersovereenkomst
betrekking heeft, geldt dit ook als een akkoord met de gewijzigde voorwaarden.
ARTIKEL 14. TOEPASSELIJK RECHT EN GESCHILLENBESLECHTING
14.1. De Verwerkersovereenkomst en de uitvoering daarvan worden beheerst door Nederlands recht.
14.2. Alle geschillen, welke tussen Partijen mochten ontstaan in verband met de
Verwerkersovereenkomst, zullen worden voorgelegd aan de bevoegde rechter voor het
arrondissement waarin Verwerker gevestigd is.
BIJLAGE A. OVERZICHT VAN DE VERWERKINGEN
In deze bijlage worden de verwerkingen die door de Verwerker namens de
Verwerkingsverantwoordelijke worden uitgevoerd nader beschreven.
BIJLAGE B. BEVEILIGINGSPROTOCOL
In deze Bijlage worden de technische en organisatorische maatregelen ter beveiliging van de
Verwerking van Persoonsgegevens nader beschreven.
Jeroen Strack Fotografie heeft de server in Beheer bij Fotoprotools en hieronder wordt het
beveiligingsprotocol van Fotoprotools beschreven.
FotoProTools heeft met proserve ook een verwerkersovereenkomst afgesloten.
1. Standaarden met betrekking tot informatiebeveiliging
Fotoprotools werkt conform ISO 27001 en NEN 7510, welke standaarden geacht worden te voldoen
aan de beveiligingseisen rekening houdend met de stand van de techniek.
2. Toegangscontrole tot bedrijfsterreinen en –gebouwen (fysiek)
o • Fotoprotools hanteert fysieke beveiligingssystemen bij alle datacenterlocaties van
Fotoprotools die worden gebruikt ten behoeve van de Verwerking;
o • Fysieke toegangscontrole is geïmplementeerd voor alle datacenters.
Ongeautoriseerde toegang wordt verhinderd met behulp van beveiligingspersoneel ter
plaatse en de inzet van onder meer beveiligingscamera’s (24 uur per dag, zeven
dagen per week);
o • Fotoprotools hanteert procedures voor het verstrekken van identificatiebadges om
personeel te autoriseren en om fysieke toegang tot systemen te beheren;
o • Toegangspoorten zijn met kaartlezers uitgerust en werknemers moeten een geldig
identiteitsbewijs presenteren voordat zij een datacenterlocatie van Fotoprotools
mogen betreden;
o • Bezoekers moeten voordat zij een datacenter kunnen bezoeken goedkeuring
hebben ontvangen van Fotoprotools medewerkers. Bezoekers dienen bij aanmelding
identificatie te tonen, een gastenboek te tekenen en worden te allen tijde begeleid
wanneer zij zich in het datacenter bevinden.
3. Toegangscontrole tot systemen (digitaal)
o • Toegang wordt aan medewerkers verleend door middel van gedocumenteerde
procedures voor toegangsverzoeken. Hun operationeel managers moeten deze
verzoeken goedkeuren voordat de aanvullende toegang wordt verleend;
o • Toegang tot (klant)systemen die persoonlijk identificeerbare informatie verwerken
staat in relatie tot de taak die de medewerker vervult;
o • Toegangscontrole is ingeschakeld op besturingssystemen, databases en
applicaties;
o • Aan iedere unieke eindgebruiker wordt een enkel account verstrekt zodat altijd
traceerbaar en aantoonbaar is wie een specifieke handeling heeft uitgevoerd. Het is
niet toegestaan om accounts te delen.
4. Toegangscontrole tot de Persoonsgegevens
o • Gebruikers worden, zodra zij zijn geauthentiseerd, uitsluitend geautoriseerd voor de
toegangs- niveaus die bij hun functies horen;
o • Fotoprotools zal per direct toegang van medewerkers of derden intrekken als
gevolg van beëindiging van de arbeidsrelatie of het contract en na waarneming van
inactiviteit van de gebruikers of langdurige afwezigheid.
5. Invoer controle
o • Fotoprotools houdt logs bij met betrekking van toegang tot Persoonsgegevens die
onder de beheerdersverantwoordelijkheid van Fotoprotools vallen. Deze
logbestanden worden, waar mogelijk, op een gecentraliseerde locatie opgeslagen om
ongeautoriseerde aanpassingen van derden tegen te gaan.
o • De systemen van Fotoprotools zijn geconfigureerd om event logging bij te houden
zodat een inbreuk op de beveiliging achteraf kan worden vastgesteld. Fotoprotools
treft maatregelen om deze logbestanden te beschermen tegen ongeautoriseerde
toegang of wijziging;
o • De Klant zorgt ervoor dat invoer-controlemaatregelen worden toegepast op de
eigen systemen en, waar relevant, die van haar klanten voor zover deze worden
ingezet voor toegang tot en verwerking van Persoonsgegevens.
o
6. Maatregelen ten aanzien van personeel
o • Relevant personeel is opgeleid om systemen en applicaties die worden ingezet voor
de Verwerking van Persoonsgegevens op een adequate wijze in te richten en te
beheren;
o • Met alle medewerkers is schriftelijk geheimhouding overeengekomen als vast
onderdeel van het arbeidscontract;
o • Waar van toepassing is functiescheiding aangebracht om toegang tot ontwikkel, test
en productie omgevingen te scheiden en alleen de juiste medewerkers toegang te
verschaffen tot de juiste systemen en informatie.
7. Maatregelen ten aanzien van beschikbaarheid
o • Computers en laptops zijn beschermd door anti-malware oplossingen die met grote
regelmaat updates ontvangen van nieuwe definities;
o • Indien malware wordt ontdekt zal Fotoprotools direct stappen ondernemen om de
verspreiding en mogelijke impact van de malware te minimaliseren door de dreiging
uit te schakelen;
o • Beschikbaarheid van kritieke infrastructuurcomponenten die door Fotoprotools voor
beheerdoeleinden worden ingezet is door de inzet van beschikbaarheidsmaatregelen
als redundantie, high availability en geografische spreiding van datacentra geborgd;
o • Door Fotoprotools is een Computer Emergency Response Team ingesteld dat
optreedt bij eventuele informatiebeveiligingsincidenten. Dit team bestaat uit een
medewerkers met verschillende specialisaties om zo adequaat optreden te borgen.
N.B. De in deze bijlage beschreven maatregelen bieden geen garantie of zekerheid
dat elke vorm van ongeautoriseerde toegang, gebruik, of ongewenst verlies van
persoonsgegevens zal worden voorkomen.