Laatst bijgewerkt: 25 augustus 2019

 

In&Uit, statutair gevestigd te Vaassen en ingeschreven bij de Kamer van Koophandel onder nummer 57378789, hierbij

vertegenwoordigd door Leo Haas (hierna: In&Uit),

en

MyOnlineStore B.V., statutair gevestigd te Oss en ingeschreven bij de Kamer van Koophandel onder nummer 17149100,

hierbij rechtsgeldig vertegenwoordigd door A. Pansier (hierna: Verwerker),

hierna afzonderlijk te noemen als “Partij” en gezamenlijk te noemen als “Partijen”,

overwegende dat:

In&Uit beschikt over persoonsgegevens van diverse klanten (hierna: betrokkenen);

In&Uit gebruik maakt van de diensten van Verwerker om hun eigen webwinkel te beheren. Verwerker deze dienst

aanbiedt in de vorm van een website die In&Uit kan gebruiken om zijn producten te verkopen;

Betrokkenen door gebruik te maken van de diensten van Verwerker persoonsgegevens, waaronder NA-gegevens, betaalgegevens, loggegevens en bestellinggegevens, achterlaten en deze geautomatiseerd worden verwerkt;

In&Uit door middel van het gebruik van de diensten van Verwerker persoonsgegevens laat verwerken door Verwerker;

waarbij In&Uit het doel en de middelen aanwijst. Dit in het kader van de overeenkomst van 2013-03-28 tussen Partijen

(hierna te noemen: Overeenkomst);

Verwerker bereid is de verplichtingen omtrent beveiliging en andere aspecten van de Wet bescherming

persoonsgegevens (Wbp) na te komen, voor zover dit binnen zijn macht ligt;

Partijen, mede gelet op het vereiste uit artikel 14 lid 5 van de Wbp, hun rechten en plichten door middel van deze verwerkersovereenkomst (hierna: Verwerkersovereenkomst) schriftelijk wensen vast te leggen;

Verwerker bij de uitvoering van de Overeenkomst aangemerkt kan worden als Bewerker in de zin van artikel 1 sub ev an de Wbp;

In&Uit aangemerkt wordt als verantwoordelijke in de zin van artikel 1 sub d van de Wbp; waar in deze verwerkersovereenkomst gesproken wordt over persoonsgegevens, hierna persoonsgegevens in de zin van artikel 1 sub a van de Wbp worden bedoeld;

waar in deze Verwerkersovereenkomst termen uit de Wbp of Algemene Verordening Gegevensbescherming (AVG) worden genoemd, hiermee de corresponderende termen uit de Wbp of AVG worden bedoeld;

waar in deze Verwerkersovereenkomst wordt verwezen naar de Wbp, vanaf 25 mei 2018 gedoeld wordt op (de corresponderende bepalingen uit) de AVG.

komen overeen:

Artikel 1. Doeleinden van verwerking

1.1. Verwerker verbindt zich onder de voorwaarden van deze Verwerkersovereenkomst in opdracht van In&Uit persoonsgegevens te verwerken. Verwerking zal uitsluitend plaatsvinden in het kader van deze

Verwerkersovereenkomst en de doeleinden vastgelegd in de Overeenkomst. In&Uit zal Verwerker schriftelijk op de hoogte stellen van de verwerkingsdoelen voor zover deze niet reeds in deze Verwerkersovereenkomst zijn genoemd.

1.2. Verwerker heeft geen zeggenschap over het doel en de middelen voor verwerking van persoonsgegevens.

Verwerker neemt geen zelfstandige beslissingen over de ontvangst en het gebruik van de persoonsgegevens, de verstrekking aan derden en de duur van de opslag van persoonsgegevens.

1.3. De in opdracht van In&Uit te verwerken persoonsgegevens blijven eigendom van In&Uit en/of de betreffende betrokkenen.

1.4. Voor zover wettelijk verplicht zal In&Uit ervoor instaan dat zij, vanaf 25 mei 2018 op het moment dat de AVG van toepassing wordt, een register zal bijhouden van de onder deze Verwerkersovereenkomst geregelde verwerkingen.

In&Uit vrijwaart verwerker tegen alle aanspraken en claims die verband houden met het niet juist naleven van deze registerplicht.

Artikel 2. Verdeling van verantwoordelijkheid

2.1. Partijen zullen zorg dragen voor de naleving van toepasselijke privacywet- en regelgeving.

2.2. De toegestane verwerkingen zullen door Verwerker worden uitgevoerd binnen een (semi-) geautomatiseerde

omgeving.

2.3. Verwerker is louter verantwoordelijk voor de verwerking van de persoonsgegevens onder deze

Verwerkersovereenkomst, overeenkomstig de instructies van In&Uit en onder de uitdrukkelijke

(eind)verantwoordelijkheid van In&Uit. Voor alle overige verwerkingen van persoonsgegevens, waaronder in ieder

geval begrepen maar niet beperkt tot de verzameling van de persoonsgegevens door In&Uit, verwerkingen voor

doeleinden die niet door In&Uit aan Verwerker zijn gemeld, verwerkingen door derden en/of andere doeleinden, is

Verwerker niet verantwoordelijk. De verantwoordelijkheid voor deze verwerkingen rust uitsluitend bij In&Uit.

2.4. In&Uit staat ervoor in dat de inhoud, het gebruik en de opdracht tot verwerkingen van persoonsgegevens, zoals

bedoeld in deze Verwerkersovereenkomst, niet onrechtmatig is en geen inbreuk maakt op enig recht van derden.

Artikel 3. Verplichtingen Verwerker

3.1. Ten aanzien van de in artikel 1 genoemde verwerkingen, zal Verwerker zorg dragen voor de naleving van de

voorwaarden die, op grond van de Wbp en AVG, worden gesteld aan het verwerken van persoonsgegevens door

Verwerker vanuit diens rol.

3.2. Verwerker zal In&Uit, op diens verzoek en binnen een redelijke termijn, informeren over de door hem genomen

maatregelen aangaande zijn verplichtingen onder deze Verwerkersovereenkomst.

3.3. Verwerker zal In&Uit in kennis stellen indien naar zijn mening een instructie van In&Uit in strijd is met relevante

privacywet- en regelgeving.

3.4. Verwerker zal In&Uit de noodzakelijke, en redelijkerwijs mogelijke, medewerking verlenen wanneer er in het kader

van de verwerking een gegevensbeschermingseffectbeoordeling, of voorafgaande raadpleging van de

toezichthouder, noodzakelijk mocht zijn.

3.5. De verplichtingen van Verwerker die uit deze Verwerkersovereenkomst voortvloeien, gelden ook voor degenen die

persoonsgegevens verwerken onder het gezag van Verwerker, waaronder begrepen maar niet beperkt tot

werknemers, in de ruimste zin van het woord.

Artikel 4. Doorgifte van persoonsgegevens

4.1. Verwerker verwerkt persoonsgegevens in landen binnen de Europese Unie (EU). Indien Verwerker

persoonsgegevens verwerkt in landen buiten de EU, kan dit alleen mits dat land een passend beschermingsniveau

waarborgt en ze voldoet aan de overige verplichtingen die op haar rusten op grond van deze

Verwerkersovereenkomst en de Wbp.

4.2. Verwerker zal In&Uit, op diens verzoek daartoe, zo spoedig mogelijk melden om welk land of welke landen het gaat.

Artikel 5. Inschakelen van derden of subverwerkers

5.1. In&Uit verleent Verwerker hierbij toestemming om bij de verwerking derden (subverwerkers) in te schakelen. De

door In&Uit verleende toestemming ziet eveneens op de aanstelling van nieuwe subverwerkers.

5.2. Een actuele lijst van de subverwerkers kan worden gevonden op www.mijnwebwinkel.nl/subverwerkers. In&Uit zorgt

voor periodieke raadpleging van de lijst met subverwerkers. Indien In&Uit, redelijke grond heeft om bezwaar te

maken tegen het gebruik van nieuwe subverwerkers, dient verwerker daarvan onmiddellijk schriftelijk en door

argumenten ondersteund in kennis gesteld te worden.

5.3. Verwerker legt dezelfde gegevensbeschermingsverplichting als genoemd in deze verwerkersovereenkomst op aan

alle Subverwerkers. Verwerker staat in voor een correcte naleving van de plichten door deze subverwerkers en is bij

nalatigheid van deze subverwerkers zelf jegens In&Uit aansprakelijk voor directe schade alsof hij zelf de fout(en)

heeft begaan.

Artikel 6. Beveiliging

6.1. Verwerker zal zich inspannen passende technische en organisatorische maatregelen te nemen om de

persoonsgegevens te beschermen tegen verlies of tegen enige vorm van onrechtmatige verwerking.

6.2. Verwerker zal zich inspannen de beveiliging te laten voldoen aan een niveau dat, gelet op de stand van de

techniek, de gevoeligheid van de persoonsgegevens en de aan het treffen van de beveiliging verbonden kosten,

niet onredelijk is.

6.3. In&Uit stelt enkel persoonsgegevens aan Verwerker ter beschikking voor verwerking, indien hij zich ervan heeft

verzekerd dat de vereiste beveiligingsmaatregelen zijn getroffen.

Artikel 7. Meldplicht datalekken

7.1. In het geval van een beveiligingslek en/of datalek (waaronder wordt verstaan: een inbreuk op de beveiliging van

persoonsgegevens die leidt tot een aanzienlijke kans op ernstige gevolgen, dan wel ernstige nadelige gevolgen

heeft, voor de bescherming van persoonsgegevens, zoals bedoeld in artikel 34a Wbp) zal Verwerker, zich naar

beste kunnen inspannen om In&Uit daarover onverwijld dan wel uiterlijk binnen 36 uur te informeren naar

aanleiding waarvan In&Uit beoordeelt of zij de toezichthoudende autoriteiten en/of betrokkenen zal informeren of

niet. Verwerker spant zich naar beste kunnen in om de verstrekte informatie volledig, correct en accuraat te maken.

De meldplicht geldt enkel indien het lek daadwerkelijk heeft plaatsgevonden.

7.2. In&Uit zal zorgdragen voor het voldoen aan eventuele (wettelijke) meldplichten. Indien de wet- en/of regelgeving dit

vereist zal Verwerker meewerken aan het informeren van de ter zake relevante autoriteiten en eventueel

betrokkenen.

7.3. De meldplicht behelst in ieder geval het melden van het feit dat er een lek is geweest, alsmede:

wat de (vermeende) oorzaak is van het datalek;

wat het (vooralsnog bekende en/of te verwachten) gevolg is;

wat de (voorgestelde) oplossing is;

contactgegevens voor de opvolging van de melding;

wie geïnformeerd is (zoals betrokkene zelf, In&Uit, toezichthouder).

Artikel 8. Afhandeling verzoeken van betrokkenen

8.1. In het geval dat een betrokkene een verzoek over zijn persoonsgegevens richt aan Verwerker, zal Verwerker het

verzoek doorsturen aan In&Uit. Verwerker mag de betrokkene daarvan op de hoogte stellen. Verwerker zal In&Uit

de, redelijkerwijs mogelijke, noodzakelijke medewerking verlenen bij het afhandelen van het verzoek.

Artikel 9. Geheimhouding en vertrouwelijkheid

9.1. Op alle persoonsgegevens die Verwerker van In&Uit ontvangt en/of zelf verzamelt in het kader van deze

Verwerkersovereenkomst, rust een geheimhoudingsplicht jegens derden. Verwerker zal deze informatie niet voor

een ander doel gebruiken dan waarvoor hij deze heeft verkregen, tenzij deze in een zodanige vorm is gebracht dat

deze niet tot betrokkenen herleidbaar is.

9.2. Deze geheimhoudingsplicht is niet van toepassing:

voor zover In&Uit uitdrukkelijke toestemming heeft gegeven om de informatie aan derden te verschaffen; of

indien het verstrekken van de informatie aan derden logischerwijs noodzakelijk is voor de uitvoering van de

Overeenkomst of deze Verwerkersovereenkomst; en

indien er een wettelijke verplichting bestaat om de informatie aan een derde te verstrekken.

Artikel 10. Audit

10.1. In&Uit heeft enkel het recht een audit uit te voeren wanneer hij een concreet vermoeden heeft dat er sprake is van

een toerekenbare tekortkoming aan de zijde van Verwerker ter uitvoering van deze Verwerkersovereenkomst.

10.2. De kosten van de audit worden door In&Uit gedragen.

Artikel 11. Aansprakelijkheid

11.1. De aansprakelijkheid van Partijen voor schade als gevolg van een toerekenbare tekortkoming in de nakoming van

deze Verwerkersovereenkomst, dan wel uit onrechtmatige daad of anderszins, wordt beperkt tot de hoogte van de

laatste factuur die door In&Uit is voldaan.

11.2. Voorwaarde voor het ontstaan van enig recht op schadevergoeding is steeds dat In&Uit de schade zo spoedig

mogelijk na het bekend worden daarmee schriftelijk en aangetekend bij Verwerker meldt. Iedere vordering tot

schadevergoeding door In&Uit vervalt door het enkele verloop van drie maanden nadat In&Uit bekend is geworden

met het feit dat hij schade heeft geleden.

11.3. Verwerker is uitdrukkelijk niet aansprakelijk voor schade van In&Uit als gevolg van een boete opgelegd door een

van de nationale toezichthouders, waaronder de Autoriteit Persoonsgegevens, onder andere in het kader van

wettelijke meldplichten.

11.4. Voor zover er sprake is van strijdige bepalingen in de Algemene Voorwaarden van MyOnlineStore, zullen de

bepalingen zoals deze zijn opgenomen in de Verwerkersovereenkomst leidend zijn.

11.5. De in de voorgaande leden genoemde beperkingen van aansprakelijkheid gelden niet in gevallen van opzet of grove

nalatigheid aan de kant van Verwerker.

Artikel 12. Duur en beëindiging

12.1. Deze Verwerkersovereenkomst komt tot stand door instemming aan de kant van In&Uit.

12.2. Deze Verwerkersovereenkomst is aangegaan voor de duur zoals bepaald in de Overeenkomst tussen Partijen, en bij

gebreke daarvan in ieder geval voor de duur van de samenwerking.

12.3. Zodra de Verwerkersovereenkomst, om welke reden en op welke wijze dan ook, is beëindigd, zal Verwerker aan

In&Uit toegang verlenen tot de persoonsgegevens voor de duur van één maand. Na afloop van het hiervoor

genoemde termijn zullen de persoonsgegevens van In&Uit nog twee maanden in quarantaine worden gehouden

onder toezicht van Verwerker zonder dat In&Uit hiertoe toegang heeft. Na afloop van de drie maanden zal

Verwerker de persoonsgegevens van In&Uit en eventuele kopieën daarvan verwijderen en/of vernietigen.

12.4. Partijen mogen deze Verwerkersovereenkomst alleen wijzigen met wederzijds schriftelijke instemming.

Artikel 13. Toepasselijk recht en geschillenbeslechting

13.1. De Verwerkersovereenkomst en de uitvoering daarvan worden beheerst door Nederlands recht.

13.2. Alle geschillen, die tussen Partijen mochten ontstaan in verband met de Verwerkersovereenkomst, zullen worden

voorgelegd aan de bevoegde rechter in het arrondissement waarin Verwerker is gevestigd.

Aldus overeengekomen en geaccordeerd door In&Uit en MyOnlineStore op 2018-05-05