Verwerkingsverantwoordelijke
[Bedrijfsnaam Opdrachtgever]
Adres: [Adres]
KvK: [KvK-nummer]
Contactpersoon: [Naam contactpersoon]
E-mail: [E-mailadres]
hierna: "Verwerkingsverantwoordelijke"
Verwerker
Lake Project
Handelsnaam: Lake-Project
KvK: 29816688 · Rotterdam, Nederland
Vertegenwoordigd door: Alexander van der Plas
E-mail:
[email protected]
hierna: "Verwerker"
Samen hierna ook aangeduid als "Partijen". Gesloten te [Plaats], op [Datum].
Overwegingen
Verwerkingsverantwoordelijke heeft Verwerker opdracht gegeven tot het verrichten van de volgende dienstverlening: [beschrijving dienstverlening, bijv. "advisering inzake contractstructurering en de bijbehorende toegang tot het klantportaal van Lake-Project"] (hierna: de "Diensten"), zoals nader omschreven in de tussen Partijen gesloten opdracht/overeenkomst van [datum overeenkomst] (de "Hoofdovereenkomst").
In het kader van de uitvoering van de Diensten verwerkt Verwerker persoonsgegevens namens Verwerkingsverantwoordelijke. Partijen wensen de voorwaarden voor deze verwerking in de onderhavige verwerkersovereenkomst (de "VOK") vast te leggen, overeenkomstig art. 28 lid 3 van de Algemene Verordening Gegevensbescherming (EU) 2016/679 ("AVG").
Artikelen
Artikel 1 — Definities
In deze VOK hebben de begrippen die in de AVG zijn gedefinieerd dezelfde betekenis als in de AVG. Voorts gelden de volgende definities:
- Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon, zoals nader omschreven in Bijlage A.
- Betrokkene: de natuurlijke persoon op wie de persoonsgegevens betrekking hebben.
- Datalek: een inbreuk in verband met persoonsgegevens als bedoeld in art. 4 lid 12 AVG.
- Sub-verwerker: een derde partij die door Verwerker wordt ingeschakeld voor de verwerking van persoonsgegevens namens Verwerkingsverantwoordelijke, zoals vermeld in Bijlage B.
Artikel 2 — Reikwijdte en doel van de verwerking
- Verwerker verwerkt persoonsgegevens uitsluitend ten behoeve van de uitvoering van de Diensten en conform de in Bijlage A opgenomen specificatie.
- Verwerker verwerkt de persoonsgegevens niet voor eigen doeleinden of andere doeleinden dan zoals door Verwerkingsverantwoordelijke schriftelijk is opgedragen.
- Verwerker verwerkt de persoonsgegevens in de Europese Economische Ruimte (EER), tenzij Verwerkingsverantwoordelijke schriftelijk toestemming geeft voor verwerking buiten de EER. Voor gebruik van sub-verwerkers buiten de EER zijn passende waarborgen van kracht conform artikel 46 AVG (standaardcontractbepalingen).
Artikel 3 — Instructies van Verwerkingsverantwoordelijke
- Verwerker verwerkt persoonsgegevens uitsluitend op basis van gedocumenteerde instructies van Verwerkingsverantwoordelijke, tenzij een Unierechtelijke of lidstaatrechtelijke bepaling Verwerker verplicht tot verdere verwerking. In dat geval stelt Verwerker Verwerkingsverantwoordelijke vóór de verwerking in kennis van die wettelijke verplichting, tenzij dat wettelijk verboden is.
- De Hoofdovereenkomst en deze VOK gelden als gedocumenteerde instructie.
- Verwerker deelt Verwerkingsverantwoordelijke onverwijld mede als naar zijn oordeel een instructie inbreuk maakt op de AVG of andere toepasselijke privacywetgeving.
Artikel 4 — Vertrouwelijkheid
- Verwerker waarborgt dat personen die gemachtigd zijn de persoonsgegevens te verwerken, deze vertrouwelijk behandelen en daartoe gebonden zijn door een wettelijke of contractuele geheimhoudingsplicht.
- Verwerker beperkt de toegang tot persoonsgegevens tot die personen voor wie toegang noodzakelijk is voor de uitvoering van de Diensten.
Artikel 5 — Beveiliging (technische en organisatorische maatregelen)
- Verwerker treft passende technische en organisatorische maatregelen om een beveiligingsniveau te waarborgen dat is afgestemd op het risico, waaronder:
- versleuteling van persoonsgegevens in rust en tijdens transport (TLS 1.2+);
- toegangsbeveiliging op basis van het principe van minimale rechten;
- gebruik van meertrapsauthenticatie (passkeys / MFA) voor systemen die persoonsgegevens bevatten;
- patchbeheer: kritieke beveiligingsupdates worden binnen 30 dagen toegepast;
- periodieke back-ups en gedocumenteerde herstelprocedures.
- Een overzicht van de genomen maatregelen is op verzoek beschikbaar. Verwerker voert op verzoek en ten minste eenmaal per jaar een interne beoordeling uit van de effectiviteit van de maatregelen.
Artikel 6 — Sub-verwerkers
- Verwerkingsverantwoordelijke verleent Verwerker hierbij algemene toestemming om de in Bijlage B genoemde sub-verwerkers in te schakelen.
- Verwerker legt aan sub-verwerkers gelijkwaardige verplichtingen op als die welke in deze VOK zijn neergelegd. Verwerker blijft jegens Verwerkingsverantwoordelijke volledig aansprakelijk voor de naleving door sub-verwerkers.
- Verwerker stelt Verwerkingsverantwoordelijke minimaal 30 dagen vóór het inschakelen van een nieuwe sub-verwerker schriftelijk op de hoogte. Verwerkingsverantwoordelijke kan binnen 14 dagen na kennisgeving schriftelijk bezwaar maken; in dat geval treden Partijen in overleg over een passende oplossing.
Artikel 7 — Rechten van betrokkenen
- Verwerker assisteert Verwerkingsverantwoordelijke door passende technische en organisatorische maatregelen bij het vervullen van de plicht om verzoeken om uitoefening van de rechten van betrokkenen (art. 15–22 AVG) te beantwoorden.
- Verwerker stuurt verzoeken van betrokkenen die rechtstreeks bij Verwerker worden ingediend, onverwijld door naar Verwerkingsverantwoordelijke.
- Verwerker beantwoordt dergelijke verzoeken niet zelfstandig zonder voorafgaande instructie van Verwerkingsverantwoordelijke, tenzij wettelijk verplicht.
Artikel 8 — Meldplicht datalekken
- Verwerker stelt Verwerkingsverantwoordelijke onverwijld en uiterlijk 24 uur na ontdekking op de hoogte van een (vermoedelijk) datalek dat betrekking heeft op de verwerkte persoonsgegevens.
- De melding bevat ten minste: de aard van het datalek, de categorieën en het (geschatte) aantal betrokkenen en persoonsgegevensrecords, de waarschijnlijke gevolgen, en de genomen of voorgestelde maatregelen.
- Verwerker verleent Verwerkingsverantwoordelijke alle medewerking die nodig is voor eventuele melding bij de Autoriteit Persoonsgegevens (art. 33 AVG) en kennisgeving aan betrokkenen (art. 34 AVG).
- Verwerker houdt een intern register bij van alle datalekken.
Artikel 9 — Audit en aantoonbaarheid
- Verwerker stelt aan Verwerkingsverantwoordelijke alle informatie beschikbaar die nodig is om de nakoming van de verplichtingen in deze VOK aan te tonen.
- Verwerkingsverantwoordelijke of een door hem aangestelde auditor heeft het recht om, na minimaal 30 dagen schriftelijke vooraankondiging en op kosten van Verwerkingsverantwoordelijke, audits of inspecties uit te voeren. Partijen kunnen overeenkomen dat een audit via schriftelijke vragenlijst plaatsvindt.
Artikel 10 — Teruggave en verwijdering van persoonsgegevens
- Na beëindiging van de Diensten verwijdert of retourneert Verwerker — naar keuze van Verwerkingsverantwoordelijke — alle persoonsgegevens en verwijdert bestaande kopieën, tenzij een wettelijke bewaarplicht anders vereist.
- Verwerker bevestigt schriftelijk de verwijdering binnen 30 dagen na beëindiging van de Diensten.
Artikel 11 — Duur en beëindiging
- Deze VOK treedt in werking op de datum van ondertekening en loopt parallel met de Hoofdovereenkomst.
- Bij beëindiging van de Hoofdovereenkomst eindigt ook deze VOK, onverminderd artikel 10 (teruggave en verwijdering) en enige bepaling waarvan de strekking meebrengt dat zij voortduurt na beëindiging.
Artikel 12 — Aansprakelijkheid
- De aansprakelijkheidsregeling in de Hoofdovereenkomst is van overeenkomstige toepassing op schade die voortvloeit uit een schending van deze VOK, voor zover de AVG dit toestaat.
- Iedere Partij is aansprakelijk voor schade die zij veroorzaakt door schending van de op haar rustende AVG-verplichtingen. Partijen kunnen hun onderlinge aansprakelijkheid beperken overeenkomstig de Hoofdovereenkomst, met dien verstande dat de aansprakelijkheid jegens betrokkenen niet wordt beperkt.
Artikel 13 — Toepasselijk recht en bevoegde rechter
- Op deze VOK is Nederlands recht van toepassing.
- Geschillen die voortvloeien uit of verband houden met deze VOK worden voorgelegd aan de bevoegde rechter te Rotterdam, Nederland, tenzij dwingende wettelijke bepalingen anders voorschrijven.
Ondertekening
Aldus overeengekomen en in tweevoud ondertekend te [Plaats] op [Datum].
Verwerkingsverantwoordelijke
[Bedrijfsnaam Opdrachtgever]
Handtekening
Naam
Functie
Datum
Verwerker
Lake Project (Lake-Project)
Handtekening
Naam
Alexander van der Plas
Functie
Eigenaar / Verwerkingsverantwoordelijke
Datum
Bijlage A — Specificatie verwerking
Onderstaande tabel beschrijft de persoonsgegevens die in het kader van de Diensten worden verwerkt.
Verwerkingsspecificatie
| Categorie persoonsgegevens |
Doel |
Betrokkenen |
Bewaartermijn |
| Naam, e-mailadres, telefoonnummer contactpersoon |
Portaaltoegang, communicatie, facturering |
Contactpersonen Verwerkingsverantwoordelijke |
Duur overeenkomst + 7 jaar (AWR) |
| Bedrijfsgegevens (naam, adres, KvK, BTW-nr) |
Facturering en administratie |
Rechtspersoon Verwerkingsverantwoordelijke |
7 jaar na boekjaar (AWR art. 52) |
| [Eventuele aanvullende categorieën] |
[Doel] |
[Betrokkenen] |
[Termijn] |
Bijlage B — Sub-verwerkers
De volgende sub-verwerkers worden ingeschakeld bij de uitvoering van de Diensten. Met alle sub-verwerkers zijn passende verwerkersovereenkomsten gesloten en zijn EU Standard Contractual Clauses (SCCs) van kracht.
Lijst sub-verwerkers (per )
| Sub-verwerker |
Land |
Rol / dienst |
Waarborg buiten EER |
| Cloudflare, Inc. |
VS (EER-routing) |
Hosting (Pages), database (D1), bestandsopslag (R2), DDoS-bescherming, Turnstile spambeveiliging |
EU SCCs + Cloudflare DPA |
| Resend (WorkOS, Inc.) |
VS |
Transactionele e-mailbezorging |
EU SCCs + Resend DPA |