Partijen:
Overwegingen:
A De Verwerkingsverantwoordelijke en de Verwerker zijn een overeenkomst aangegaan voor de uitvoering van de volgende dienst: het aanbieden van een trainings- en analysemodule voor verschillende sportdisciplines. Deze overeenkomst leidt ertoe dat de Verwerker Persoonsgegevens verwerkt in opdracht van de Verwerkingsverantwoordelijke.
B De Verwerkingsverantwoordelijke en de Verwerker wensen de wederzijdse rechten en verplichtingen voor de Verwerking van Persoonsgegevens door de Verwerker in deze overeenkomst vast te leggen, in overeenstemming met de toepasselijke Privacywetgeving.
Verklaren als volgt te zijn overeengekomen:
1. Definities:
1.1. De in deze overeenkomst gebruikte termen of uitdrukkingen hebben de volgende betekenis:
(a) Betrokkene: de persoon op wie de persoonsgegevens betrekking hebben;
(b) Onderliggende overeenkomst: de overeenkomst waarmee de verantwoordelijke de Verwerker heeft opgedragen de Verwerking uit te voeren;
(c) Overeenkomst: deze gegevensverwerkingsovereenkomst met inbegrip van de aanhangsels;
(d) Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon, die de Verwerker verwerkt of moet verwerken op basis van de Onderliggende Overeenkomst;
(e) Privacywetgeving: alle toepasselijke wetgeving betreffende de Verwerking en bescherming van persoonsgegevens, met inbegrip van, maar niet beperkt tot de GDPR en de GDPR-uitvoeringswet;
(f) Verwerking/verwerking: elke bewerking of elk geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd met behulp van geautomatiseerde procédés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op enigerlei andere wijze ter beschikking stellen, samenbrengen, met elkaar in verband brengen, alsmede het beperken, uitwissen of vernietigen van gegevens;`
2. Toepasselijkheid
2.1. Tenzij Partijen schriftelijk anders zijn overeengekomen, zijn de bepalingen van deze Overeenkomst van toepassing op elke Verwerking door de Verwerker op grond van de Onderliggende Overeenkomst.
3. Verwerking door de verwerker
3.1. De Verwerker verwerkt Persoonsgegevens voor de Verwerkingsverantwoordelijke, overeenkomstig diens schriftelijke instructies en onder zijn verantwoordelijkheid en op de wijze zoals vastgelegd in de Onderliggende Overeenkomst.
3.2. De Verwerker verwerkt de Persoonsgegevens uitsluitend namens de Verwerkingsverantwoordelijke, tenzij er sprake is van afwijkende wettelijke verplichtingen.
3.3. De Verwerker heeft geen zeggenschap over het doel van en de middelen voor de Verwerking van Persoonsgegevens en neemt geen beslissingen over het gebruik van de Persoonsgegevens, de verstrekking aan derden en de duur van de opslag van Persoonsgegevens.
3.4. De Verwerker moet toezien op de naleving van de voorwaarden die op grond van de toepasselijke Privacywetgeving aan de Verwerking van Persoonsgegevens worden gesteld.
3.5. De Verwerker verschaft alleen toegang tot de Persoonsgegevens aan haar werknemers voor zover dit noodzakelijk is voor de uitvoering van de diensten onder de Onderliggende Overeenkomst.
3.6. De Verwerker mag Persoonsgegevens alleen buiten Nederland verwerken met voorafgaande schriftelijke toestemming van de Gegevensverwerker.
3.7. De Verwerker zal de Persoonsgegevens niet langer dan 24 maanden verwerken, tenzij de Verwerkingsverantwoordelijke daartoe uitdrukkelijk schriftelijk opdracht heeft gegeven.
4. Verstrekking van Persoonsgegevens aan derden
4.1. De Verwerker zal geen Persoonsgegevens aan een derde verstrekken of ter beschikking stellen, tenzij op grond van een uitdrukkelijk schriftelijk bevel van de Verwerkingsverantwoordelijke of op bevel van een gerechtelijke of administratieve autoriteit, mits de Verwerker in dat geval de Verwerkingsverantwoordelijke hiervan binnen 24 uur na ontvangst van een dergelijk bevel in kennis stelt, zodat de Verwerkingsverantwoordelijke een hem ter beschikking staand rechtsmiddel kan aanwenden.
4.2. Indien de Verwerker van mening is dat hij Persoonsgegevens op grond van een wettelijke verplichting aan een bevoegde autoriteit ter beschikking moet stellen, zal hij daartoe pas overgaan na overleg met en goedkeuring van de Verwerkingsverantwoordelijke.
5. Verzoeken van betrokkenen
5.1. De Verwerker dient de Verwerkingsverantwoordelijke op de hoogte te stellen van alle verzoeken die rechtstreeks van Betrokkenen worden ontvangen in verband met de rechten van Betrokkenen op grond van de toepasselijke Privacywetgeving, met inbegrip van, maar niet beperkt tot verzoeken om toegang, rectificatie, wissing, beperking van de verwerking of overdracht van de Persoonsgegevens. De Verwerker zal alleen op een dergelijk verzoek ingaan als de Gegevensverwerkingsverantwoordelijke de Verwerker daartoe schriftelijk opdracht heeft gegeven.
5.2. De Verwerker behandelt alle verzoeken om informatie van de Verwerkingsverantwoordelijke met betrekking tot de Verwerking van de Persoonsgegevens onverwijld en naar behoren.
6. Samenwerking tussen processoren
6.1. De Verwerker zal de Gegevensverantwoordelijke bijstand verlenen bij het nakomen van de verplichtingen om: (i) te reageren op verzoeken van Betrokkenen met betrekking tot de uitoefening van de rechten van Betrokkenen op grond van de toepasselijke Privacywetgeving; (ii) passende technische en organisatorische maatregelen te nemen om een risicogecorrigeerd beveiligingsniveau te waarborgen; (iii) datalekken te melden aan het toezichthoudend orgaan en de betrokken partijen; (iv) een gegevensbeschermingseffectbeoordeling uit te voeren; (v) het toezichthoudend orgaan te raadplegen voorafgaand aan Verwerkingen die een hoog risico met zich meebrengen.
7. Inschakeling van derden door de Verwerker
7.1. De Verwerker kan voor de uitvoering van deze Overeenkomst slechts een derde inschakelen na voorafgaande schriftelijke toestemming van de Verwerkingsverantwoordelijke, onder de voorwaarden die de Verwerkingsverantwoordelijke daarbij stelt. De Verwerker heeft bij het aangaan van de Overeenkomst toestemming gekregen voor het inschakelen van de derden zoals genoemd in Bijlage 1.
8. Vertrouwelijkheid
8.1. De Verwerker zal de Persoonsgegevens en andere van de Verwerkingsverantwoordelijke verkregen informatie strikt vertrouwelijk behandelen, waarbij hij ten minste dezelfde zorgvuldigheid in acht zal nemen als die welke hij in acht neemt ten aanzien van de bescherming van zijn eigen informatie van zeer vertrouwelijke aard.
9. Kennisgeving van inbreuken op gegevens
9.1. De Verwerker dient de Verwerkingsverantwoordelijke onverwijld en in ieder geval niet later dan binnen 24 uur nadat de Verwerker kennis heeft genomen van een inbreuk op de beveiliging (van welke aard dan ook) die (mede) betrekking heeft of zou kunnen hebben op de Verwerking van Persoonsgegevens, daarvan in kennis te stellen.
9.2. De Verwerker moet de Verwerkingsverantwoordelijke in ieder geval informatie verstrekken over het volgende: (i) de aard van de inbreuk, zo mogelijk met inbegrip van de betrokken categorieën en het geschatte aantal Betrokkenen; (ii) de (mogelijk) getroffen Persoonsgegevens en, bij benadering, de hoeveelheid getroffen Persoonsgegevens in kwestie; (iii) de vastgestelde en verwachte gevolgen van de inbreuk voor de Verwerking van Persoonsgegevens en de betrokken personen; en (iv) de maatregelen die de Verwerker heeft genomen of voornemens is te nemen om de inbreuk aan te pakken, in voorkomend geval met inbegrip van maatregelen om de eventuele nadelige gevolgen ervan te beperken.
9.3. De Verwerker zal alle maatregelen nemen die redelijkerwijs van hem verwacht kunnen worden om de (mogelijke) schade van een inbreuk op de beveiliging te beperken en zal de Verwerkingsverantwoordelijke ondersteunen bij meldingen aan Betrokkenen en/of autoriteiten.
10. Veiligheidsmaatregelen en inspectie
10.1. De Verwerker zal alle passende technische en organisatorische maatregelen nemen om Persoonsgegevens te beschermen tegen verlies of tegen enige vorm van onrechtmatige verwerking, in overeenstemming met artikel 32 van de GDPR.
10.2. De verwerker overlegt een overzicht van de genomen beveiligingsmaatregelen, waarbij de verantwoordelijke voor de verwerking heeft aangegeven dat de verwerker aan de wettelijke vereisten heeft voldaan (bijlage 2).
11. Verplichtingen van de verantwoordelijke voor de verwerking
11.1. De Gegevensverwerker stemt ermee in en garandeert (vrijwaring) dat de Verwerking van de Persoonsgegevens op grond van deze Overeenkomst in overeenstemming is met de toepasselijke Privacywetgeving, en dat hij een geldige grondslag heeft voor elke verwerking waartoe hij de Verwerker opdracht geeft.
12. Beëindiging
12.1. De Overeenkomst wordt aangegaan voor onbepaalde tijd en eindigt op het moment dat de Onderliggende Overeenkomst eindigt.
12.2. In geval van beëindiging van de Overeenkomst zal de Verwerker, onverminderd een schriftelijke instructie van de Data Controller, alle aan hem ter beschikking gestelde Persoonsgegevens onverwijld aan de Data Controller retourneren en alle digitale kopieën van Persoonsgegevens vernietigen en aan de Data Controller verklaren dat hij dit heeft gedaan.
13. Overdracht van rechten en verplichtingen
13.1. Deze overeenkomst en de rechten en plichten die uit deze overeenkomst voortvloeien, kunnen door de verwerker niet aan derden worden overgedragen zonder voorafgaande schriftelijke toestemming van de verantwoordelijke voor de verwerking.
14. Deelbaarheid
14.1. Indien een of meer bepalingen van deze Overeenkomst ongeldig blijken te zijn, blijft de Overeenkomst voor het overige van kracht. De partijen zullen overleg plegen over de bepalingen die niet rechtsgeldig zijn, teneinde een vervangende regeling te treffen die wel rechtsgeldig is en zoveel mogelijk in overeenstemming is met de werkingssfeer van de te vervangen regeling.
15. Toepasselijk recht en geschillen
15.1. Op deze Overeenkomst is Nederlands recht van toepassing.
15.2. Alle geschillen uit hoofde van of in verband met deze Overeenkomst zullen bij uitsluiting worden voorgelegd aan de bevoegde rechter van het arrondissement Zeeland-West-Brabant.