VERWERKERSOVEREENKOMST                                                   

DE ONDERGETEKENDEN:

1. Stichting Charity Support Foundation International, statutair gevestigd te Best, ingeschreven in het handelsregister van de Kamer van Koophandel onder nummer 17137550, hierbij rechtsgeldig vertegenwoordigd door J.L.C. van Geel, hierna aangeduid als “Verwerkingsverantwoordelijke”;

en

2. Lotify, statutair gevestigd te Leiden, ingeschreven in het handelsregister van de Kamer van Koophandel onder nummer 73668710, hierbij rechtsgeldig vertegenwoordigd door …………, hierna aangeduid als “Verwerker”;

Verwerkingsverantwoordelijke en Verwerker tevens afzonderlijk aangeduid als “Partij” en

gezamenlijk als “Partijen”,

NEMEN IN OVERWEGING DAT:

1. Verwerker en Verwerkingsverantwoordelijke een overeenkomst hebben gesloten (de “Hoofdovereenkomst”) op grond waarvan Verwerker bepaalde diensten aan Verwerkingsverantwoordelijke levert en in dat kader (mede) persoonsgegevens verwerkt waarvoor Verwerkingsverantwoordelijke ‘verwerkingsverantwoordelijke’ in de zin van de Algemene Verordening Gegevensbescherming (“AVG”) is;
2. Partijen, gelet op het bepaalde in artikel 28 lid 3 AVG de voorwaarden van de verwerking van de persoonsgegevens door Verwerker, wensen vast te leggen in de onderhavige overeenkomst (de “Verwerkersovereenkomst”).

VERKLAREN TE ZIJN OVEREENGEKOMEN ALS VOLGT:

1. ONDERWERP EN TOEPASSINGSGEBIED

1.1. Deze Verwerkersovereenkomst is van toepassing op de verwerking van de persoonsgegevens* door Verwerker in het kader van de uitvoering van de Hoofdovereenkomst. In geval van tegenstrijdigheid tussen de bepalingen uit deze Verwerkersovereenkomst en de bepalingen van de Hoofdovereenkomst, prevaleren de bepalingen van deze Verwerkersovereenkomst.

1.2. Alle begrippen, zoals ‘persoonsgegeven’ en ‘verwerking’, die in deze Verwerkersovereenkomst worden gebruikt, hebben de betekenis die daar in de AVG aan is aangeven.

1.3. De Bijlage  bij deze Verwerkersovereenkomst bevat een initieel overzicht van de persoonsgegevens, de categorieën betrokkenen zijn en de doeleinden van de verwerking(en).

1.4. Daar waar in deze Verwerkersovereenkomst ‘schriftelijk’ staat vermeld, is tevens  bedoeld ‘via elektronische weg’ (bijv. e-mail).

2. VERPLICHTINGEN VERWERKER

2.1 Verwerker verwerkt de persoonsgegevens uitsluitend in opdracht en ten behoeve van Verwerkingsverantwoordelijke. De verwerking geschiedt in overeenstemming met de schriftelijke instructies van Verwerkingsverantwoordelijke en in overeenstemming met de AVG en eventuele overige toepasselijke wet- en regelgeving.

2.2 In geen geval verwerkt Verwerker de persoonsgegevens voor andere, eigen doeleinden.

2.3 Verwerker zal alle passende technische en organisatorische maatregelen treffen om de persoonsgegevens te beveiligen tegen vernietiging, verlies, vervalsing, niet toegelaten verspreiding of toegang, dan wel enige andere vorm van onrechtmatige verwerking, welke maatregelen een passend beveiligingsniveau dienen te garanderen gelet op de risico’s die de verwerking en de aard van de persoonsgegevens met zich meebrengen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging.

2.4 Verwerker erkent dat het waarborgen van een passend beveiligingsniveau voortdurend kan dwingen tot het treffen van aanvullende beveiligingsmaatregelen. Verwerker zal onverwijld voldoen aan alle redelijke verzoeken van Verwerkingsverantwoordelijke tot het treffen van aanvullende beveiligingsmaatregelen.

2.5 Het is Verwerker niet toegestaan de persoonsgegevens buiten de Europese Economische Ruimte (EER) te verwerken zonder voorafgaande, schriftelijke toestemming van Verwerkingsverantwoordelijke.

3. DUUR EN BEËINDIGING

3.1 Deze Verwerkersovereenkomst treedt in werking op het moment dat deze door Partijen is ondertekend en duurt voort voor dezelfde termijn als aangegeven in de Hoofdovereenkomst.

3.2 Geen van Partijen kan de Verwerkersovereenkomst tussentijds opzeggen.

3.3 In geval van beëindiging van de Hoofdovereenkomst en/of op eerste schriftelijke verzoek van Verwerkingsverantwoordelijke, zal Verwerker onmiddellijk (alle of een deel van) de persoonsgegevens vernietigen, dan wel aan Verwerkingsverantwoordelijke retourneren, zulks naar uitsluitende keuze van Verwerkingsverantwoordelijke, zonder kopieën daarvan achter te houden. Tevens zal Verwerker werknemers en/of sub-verwerkers instrueren om hetzelfde te doen.

3.4 Verwerker zal op eerste verzoek van Verwerkingsverantwoordelijke tevens verklaren dat de vernietiging als bedoeld in het voorgaande artikellid heeft plaatsgevonden.

4. INSCHAKELEN DERDEN/SUB-VERWERKERS

4.1 Het is Verwerker niet toegestaan om bij de verwerking van de persoonsgegevens een derde als sub-verwerker in te schakelen zonder voorafgaande, schriftelijke toestemming van Verwerkingsverantwoordelijke. Verwerkingsverantwoordelijke is gerechtigd om aan een eventuele toestemming voorwaarden te verbinden. In ieder geval worden aan dergelijke derden bij overeenkomst minstens dezelfde verplichtingen inzake gegevensbescherming opgelegd als die deze Verwerkersovereenkomst aan Verwerker oplegt.

4.2 Indien en voor zover de inschakeling van derden door Verwerker is toegestaan door Verwerkingsverantwoordelijke, blijft Verwerker hoofdelijk aansprakelijk voor de eventuele gevolgen van de verwerking door deze derden.

5. GEHEIMHOUDING

5.1 Verwerker houdt de persoonsgegevens geheim en draagt er zorg voor dat de persoonsgegevens niet direct of indirect ter beschikking komen van derden anders dan zoals expliciet toegestaan in deze Verwerkersovereenkomst.

5.2 Verwerker garandeert dat zij al haar werknemers, vertegenwoordigers en/of goedgekeurde sub-verwerkers die betrokken zijn bij de verwerking van de persoonsgegevens op de hoogte stelt van de vertrouwelijke aard van de persoonsgegevens. Verwerker waarborgt dat dergelijke personen en partijen gebonden zijn aan een adequate geheimhoudingsovereenkomst/-verklaring.

5.3 De in dit artikel beschreven geheimhoudingsbepalingen zijn niet van toepassing indien:

1. Verwerkersverantwoordelijke voorafgaand zijn schriftelijke toestemming heeft gegeven om persoonsgegevens aan derden te verschaffen; of
2. Verwerker op grond van een wettelijke verplichting de persoonsgegevens aan een derde dient te verstrekken, in welk geval Verwerker Verwerkingsverantwoordelijke hierover onmiddellijk zal informeren.
3. DATALEKKEN

6.1 Verwerker stelt Verwerkingsverantwoordelijke onmiddellijk – uiterlijk binnen 24 uur – na ontdekking van een mogelijk datalek schriftelijk op de hoogte waarbij Verwerker de volgende informatie vermeldt:

1. aard van het datalek, inclusief de betrokken persoonsgegevens, de categorieën van betrokkenen;
2. dag en tijdstip waarop het datalek is geconstateerd:
3. de mogelijke gevolgen van het datalek;
4. de maatregelen die zijn getroffen of voorgesteld om het datalek aan te pakken en/of de eventuele nadelige gevolgen daarvan te beperken;
5. de contactpersoon bij Verwerker en diens contactgegevens voor verdere correspondentie omtrent het datalek.

6.2 Onder ‘datalek’ wordt verstaan: een inbreuk op de beveiliging van de persoonsgegevens, die leidt tot (de mogelijke) onopzettelijke of onrechtmatige vernietiging, verlies, wijziging, onbevoegde openbaarmaking van – of toegang tot – de persoonsgegevens, of enige aanwijzing dat een dergelijke inbreuk zal plaatsvinden of heeft plaatsgevonden.

6.3 Het is uitsluitend aan de Verwerkingsverantwoordelijke te bepalen of een bij Verwerker geconstateerd datalek wordt gemeld aan de toezichthoudende autoriteit en/of aan de betreffende betrokkenen.

6.4 Verwerker zal aan Verwerkingsverantwoordelijke te allen tijde volledige medewerking verlenen teneinde Verwerkingsverantwoordelijke in staat te stellen om onderzoek naar het (mogelijke) datalek uit te voeren en/of tijdig melding te maken van het datalek bij de toezichthoudende autoriteit en, waar van toepassing, bij de betrokkenen.

7. RECHTEN VAN BETROKKENEN

7.1 Verwerker biedt Verwerkingsverantwoordelijke alle redelijke medewerking om Verwerkingsverantwoordelijke in staat te stellen binnen de wettelijke termijnen te voldoen aan verzoeken van betrokkenen die zijn gebaseerd op aan betrokkene toegekende rechten op grond van de AVG, meer in het bijzonder, verzoeken om inzage van en rectificatie of verwijdering van de persoonsgegevens of beperking van de hem betreffende verwerking (daaronder begrepen het intrekken van eerder gegeven toestemming), alsmede verzoeken die zijn gebaseerd op het recht op gegevensoverdraagbaarheid.

8. AUDIT

8.1 Verwerkingsverantwoordelijke heeft het recht om steeds wanneer daar aanleiding toe is de naleving van deze Verwerkersovereenkomst en de wettelijke bepalingen die op de verwerking van de persoonsgegevens van toepassing zijn, te laten controleren door middel van een audituit te voeren door een IT auditor.

8.2 In het kader van het in lid 1 van dit artikel bepaalde zal Verwerker onder meer:

1. a) de benodigde ruimte(s) en gegevens toegankelijk maken en/of ter beschikking stellen alsmede alle medewerking te verlenen opdat de controle kan worden uitgevoerd;
2. b) Verwerkingsverantwoordelijke proactief informeren over relevante wijzigingen in haar organisatie of prestaties;
3. c) in geval van de goedgekeurde inschakeling van derde(n), met deze derde(n) overeenkomen dat Verwerkingsverantwoordelijke gerechtigd is de in het eerste lid van dit artikel bedoelde controle ook uit te oefenen bij deze derde(n).

8.3 Verwerkingsverantwoordelijke en/of de door haar ingeschakelde auditor zal de bij de controle gevonden informatie geheim houden en alleen gebruiken om naleving door Verwerker van de verplichtingen uit deze Verwerkersovereenkomst en de AVG te controleren.

8.4 De kosten voor het inzetten van een eventuele auditor en/of eigen personeel van Verwerkingsverantwoordelijke zijn voor rekening van Verwerkingsverantwoordelijke, tenzij uit de audit volgt dat Verwerker een of meerdere verplichtingen onder deze Verwerkersovereenkomst of de AVG niet nakomt. Verwerker draagt zelf de eventuele eigen kosten die verband houden met de audit.

8.5 Wanneer bij de controle onregelmatigheden worden aangetroffen zal Verwerker binnen redelijke termijn een verbeterplan opstellen en afstemmen met Verwerkingsverantwoordelijke. Voor zover Verwerkingsverantwoordelijke direct aanbevelingen doet aan Verwerker voortvloeiende uit de controle, garandeert Verwerker deze binnen de door verwerkingsverantwoordelijke te bepalen redelijke termijn uit te voeren.

9. AANSPRAKELIJKHEID EN VRIJWARING

9.1 Onafhankelijk van de tussen Partijen in de Hoofdovereenkomst bepaalde aansprakelijkheidsverdeling, is Verwerker aansprakelijk voor de schade of nadeel die Verwerkingsverantwoordelijke leidt als gevolg van een aan Verwerker toerekenbare tekortkoming onder deze Verwerkersovereenkomst en/of het in strijd handelen met de bij of krachtens de AVG gegeven voorschriften, waaronder uitdrukkelijk begrepen schade als gevolg van aan Verwerkingsverantwoordelijke opgelegde boetes van toezichthoudende autoriteiten.De totale aansprakelijkheid van Partijen is, tenzij er sprake is van opzet of bewuste roekeloosheid, beperkt tot het in de Hoofdovereenkomst overeengekomen bedrag.

9.2 Verwerker vrijwaart Verwerkingsverantwoordelijke tegen en stelt Verwerkingsverantwoordelijke schadeloos voor alle aanspraken van derden (waaronderbetrokkenen) die, direct of indirect, verband houden met het niet, niet tijdig of niet behoorlijk nakomen van de op Verwerker en/of haar sub-verwerkers rustende verplichtingen uit hoofde van deze Verwerkersovereenkomst en/of het in strijd handelen met de bij of krachtens de AVG gegeven voorschriften.

10. TOEPASSELIJK RECHT EN BEVOEGDHEID

10.1 Op deze Verwerkersovereenkomst is uitsluitend Nederlands recht van toepassing.

10.2 Geschillen tussen Verwerker en Verwerkingsverantwoordelijke naar aanleiding van of verbandhoudende met deze Verwerkersovereenkomst zullbij uitsluiting worden voorgelegd aan de daartoe bevoegde rechter in het arrondissement waar Verwerkingsverantwoordelijke is gevestigd.

ALDUS OVEREENGEKOMEN EN ONDERTEKEND NAMENS,

Stichting Charity Support Foundation International          Lotify bv

Naam: J.l.c. van Geel                                   Naam:

Datum:                                             Datum:

*Overzicht type persoonsgegevens en categorieën van betrokkenen

1. Typen persoonsgegevens

– Naam;

– E-mailadres;

– Geboortedatum;

– BSN-

– IP-adres

– Pasfoto

– Birthdaylotnummer

2. Categorieën van betrokkenen

– Klanten;

– Werknemers;

– Websitebezoekers

-Deelnemers Birthdayloterij

3. Aard en doeleinden van de verwerking / omschrijving van de dienst:

Webdesign en  ontwikkeleing  opertioneel proces Birthdayloterij