Verwerkersovereenkomst

De ondergetekenden:

De besloten vennootschap met beperkte aansprakelijkheid SideShow Media B.V., handelend onder de naam “AdBrains”, gevestigd aan de Scheepmakershaven 2, 3261 KN in Oud-Beijerland, ingeschreven bij de Kamer van Koophandel onder KvK-nummer 24331830 en rechtsgeldig vertegenwoordigd door Peter van der Harg, in de functie van Directeur, hierna te noemen “AdBrains”,

en

{client_name}, gevestigd te {client_address}, {client_zip_code} in {client_city} rechtsgeldig vertegenwoordigd door {client_contact_first} {client_contact_last} in de functie van {client_title}, hierna te noemen “Klant”,

tezamen genoemd “Partijen”, 

In aanmerking nemende dat:

  • AdBrains internet marketing activiteiten uitvoert voor de Klant in het kader waarvan AdBrains Persoonsgegevens verwerkt; 
  • de Persoonsgegevens vertrouwelijk zijn en vertrouwelijk behandeld dienen te worden; 
  • de Klant aangemerkt kan worden als verwerkingsverantwoordelijke in de zin van artikel 4.7 van de Algemene Verordening Gegevensbescherming (AVG);
  • AdBrains aangemerkt kan worden als verwerker in de zin van artikel 4.8 AVG;
  • AdBrains en de Klant in het kader van de beveiliging van de Persoonsgegevens en de verplichting opgenomen in artikel 28.1 AVG de onderhavige verwerkers-overeenkomst met elkaar wensen aan te gaan.

Verklaren het volgende te zijn overeengekomen:

1 Definities

1.1 In deze overeenkomst hebben de volgende met een beginhoofdletter geschreven begrippen de volgende betekenis:

  1. Betrokkene: de natuurlijke persoon op wie de Persoonsgegevens betrekking hebben;
  2. Hoofdovereenkomst: de overeenkomst waarbij AdBrains in opdracht van de Klant werkzaamheden voor de Klant uitvoert; 
  3. Persoonsgegevens: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon dat AdBrains op grond van de Hoofdovereenkomst verwerkt of dient te verwerken.

2 Toepasselijkheid

2.1 Tenzij Partijen anders schriftelijk zijn overeengekomen, zijn de bepalingen van deze overeenkomst van toepassing op iedere verwerking van Persoonsgegevens door AdBrains op grond van de Hoofdovereenkomst.

3 Verwerking      

3.1 AdBrains verwerkt in opdracht van de Klant Persoonsgegevens. De verwerking zal enkel geschieden voor de doeleinden genoemd in de Hoofdovereenkomst. 

3.2 De Persoonsgegevens die in het kader van de Hoofdovereenkomst door AdBrains worden verwerkt en de categorieën van Betrokkenen zijn omschreven in Bijlage “Specificatie persoonsgegevens” van deze overeenkomst. De Klant staat ervoor in dat de in deze bijlage ingevulde gegevens volledig en correct zijn en vrijwaart AdBrains voor aanspraken die voortvloeien uit de onvolledigheid en/of incorrectheid van de ingevulde gegevens.

3.3 Indien het soort Persoonsgegevens, de categorieën van Betrokkenen en/of de verwerkingsdoeleinden wijzigen, dan dient de Klant AdBrains daarvan schriftelijk of via de e-mail op de hoogte te stellen. AdBrains is niet verantwoordelijk voor verwerkingsdoeleinden die niet door de Klant aan AdBrains kenbaar gemaakt zijn.

3.4 AdBrains verwerkt de Persoonsgegevens in opdracht van de Klant. De verwerking vindt enkel plaats in het kader van de werkzaamheden die voortvloeien uit de Hoofdovereenkomst. 

3.5 AdBrains zal de Persoonsgegevens gedurende de Hoofdovereenkomst verwerken.

3.6 AdBrains zal de Persoonsgegevens uitsluitend opslaan en verwerken binnen de Europese Economische Ruimte (EER). AdBrains draagt er zorg voor dat de Persoonsgegevens op geen enkele wijze buiten de EER worden verwerkt, niet via opslag in de cloud, noch door verwerking door ingeschakelde derden vanuit een locatie buiten de Europese Unie, tenzij Partijen anders schriftelijk zijn overeengekomen.  

3.7 AdBrains zal de Persoonsgegevens niet voor een ander doel verwerken dan zoals door de Klant is vastgesteld. Het is AdBrains niet toegestaan de Persoonsgegevens voor eigen doeleinden en/of voor commerciële doeleinden te verwerken. Voor zover de doeleinden van de verwerking niet in deze overeenkomst genoemd zijn, zal de Klant AdBrains op de hoogte stellen van deze doeleinden.

3.8 AdBrains verwerkt Persoonsgegevens ten behoeve van de Klant, overeenkomstig diens schriftelijke instructies en onder de verantwoordelijkheid van de Klant. AdBrains is niet verantwoordelijk voor de verzameling van de Persoonsgegevens door de Klant.

3.9 AdBrains heeft geen zeggenschap over het doel en de middelen voor de verwerking van Persoonsgegevens en neemt geen beslissingen over het gebruik van de Persoonsgegevens, de verstrekking aan derden en de duur van de opslag van Persoonsgegevens. De zeggenschap over de Persoonsgegevens komt nimmer bij AdBrains te berusten. De Klant is de verantwoordelijke voor de verwerking van de Persoonsgegevens. De Klant heeft en houdt volledige zeggenschap over de Persoonsgegevens. 

3.10 In het geval dat een Betrokkene een verzoek omtrent inzage, correctie of verwijdering van Persoonsgegevens richt aan AdBrains, of enig ander recht wenst uit te oefenen, dan stelt AdBrains de Klant daarvan op de hoogte. De Klant dient het verzoek van de Betrokkene zelf in behandeling te nemen.

4 Wet- en regelgeving

4.1 Partijen verplichten zich over en weer conform de AVG te handelen. Dit betekent o.a. dat de Klant ervoor instaat dat:

  1. de Klant een wettelijke grondslag heeft om de Persoonsgegevens te verwerken;
  2. ten aanzien van de Betrokkenen de verwerking behoorlijk en transparant is;
  3. de inhoud, het gebruik en de opdracht tot de verwerkingen van de Persoonsgegevens, niet onrechtmatig zijn en geen inbreuk maken op enig recht van derden;
  4. de Klant de Betrokkenen alle wettelijke verplichte informatie verstrekt omtrent het verwerken van Persoonsgegevens, bijvoorbeeld middels een duidelijk omschreven privacy beleid;
  5. de Klant, indien de Klant daartoe ingevolge de AVG verplicht is, vanaf de inwerkingtreding van de AVG een register bijhoudt met de verwerkingsactiviteiten.


De Klant vrijwaart AdBrains voor aanspraken en claims die voortvloeien uit het niet nakomen van de bovengenoemde verplichtingen.

4.2 Handelt de Klant in strijd met de AVG, dan is de Klant aansprakelijk voor alle schade die AdBrains daardoor lijdt. Onder schade dient o.a. te worden verstaan opgelegde boetes en de schadevergoeding die AdBrains aan een Betrokkene dient te betalen.

4.3 De Klant garandeert dat hij de Persoonsgegevens verkregen heeft in overeenstemming met de relevante wetgeving, althans, dat er geen wettelijk beletsel voor de verkrijging van de Persoonsgegevens bestaat.

4.4 Indien AdBrains in opdracht van de Klant bijzondere Persoonsgegevens verwerkt, dan garandeert de Klant dat hij van de Betrokkene van wie hij de bijzondere Persoonsgegevens verwerkt uitdrukkelijk toestemming heeft verkregen voor de verwerking van zijn bijzondere Persoonsgegevens voor een of meer welbepaalde doeleinden of dat er sprake is van een wettelijke uitzondering waarbij het verwerken van bijzondere Persoonsgegevens is toegestaan. 

5 Verplichtingen van AdBrains

5.1 AdBrains zal de Persoonsgegevens alleen verwerken in overeenstemming met het bepaalde in deze overeenkomst, de Hoofdovereenkomst en eventuele andere schriftelijke instructies van de Klant met betrekking tot de verwerking van de Persoonsgegevens. 

5.2 AdBrains verleent de Klant volledige medewerking om te voldoen aan de verplichtingen op grond van de AVG, meer in het bijzonder met betrekking tot de rechten van Betrokkenen, zoals, maar niet beperkt tot, een verzoek om inzage, verbetering, aanvulling, verwijdering of afscherming van Persoonsgegevens.

6 Nieuwsbrieven

6.1 Indien AdBrains namens de Klant nieuwsbrieven naar Betrokkenen stuurt en een Betrokkene zich afmeldt voor de nieuwsbrieven, dan zorgt de Klant ervoor dat dit (voor zover dit niet automatisch gebeurt) in het systeem wordt doorgevoerd en doorgevoerd blijft (totdat de Betrokkene zich weer aanmeldt), zodat deze Betrokkene geen ongewenste nieuwsbrieven ontvangt via het systeem van AdBrains.

7 Beveiliging

7.1 AdBrains neemt alle benodigde technische en organisatorische maatregelen om de Persoonsgegevens te beveiligen tegen verlies of enige andere vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico’s die de verwerking en de aard van de Persoonsgegevens met zich meebrengen.

7.2 AdBrains neemt de volgende beveiligingsmaatregelen:

  1. het gebruiken van systemen met sterke wachtwoorden om toegang door onbevoegden tot informatiesystemen te voorkomen; 
  2. het versleuteld opslaan van de gegevens in de database;
  3. het gebruiken van beveiligde netwerkverbindingen;
  4. fysieke bescherming van zijn IT-voorzieningen en apparatuur tegen toegang door onbevoegden en tegen schade en storingen;

7.3 AdBrains test periodiek de beveiliging van zijn systemen.


7.4 Indien beveiligingsmaatregelen wijzigingen ondergaan, dan stelt AdBrains de Klant in kennis van deze wijzigingen.

7.5 De Klant stelt enkel persoonsgegevens aan AdBrains ter beschikking voor verwerking, indien hij zich ervan heeft verzekerd dat passende beveiligingsmaatregelen zijn getroffen.

7.6 AdBrains verschaft de Klant alle informatie die voor de Klant nodig is om vast te stellen dat AdBrains zijn verplichtingen die volgen uit deze overeenkomst nakomt. AdBrains handelt alle verzoeken om inlichtingen van de Klant met betrekking tot de verwerking van de Persoonsgegevens vlot en behoorlijk af. 

7.7 Indien in het kader van de verwerking van de Persoonsgegevens een gegevensbeschermingseffectbeoordeling noodzakelijk is, dan zal AdBrains daaraan zijn medewerking verlenen.

8 Sub-verwerker 

8.1 Middels het ondertekenen van deze overeenkomst gaat de Klant ermee akkoord dat AdBrains een derde partij kan inschakelen bij het uitvoeren van de Hoofdovereenkomst, deze derde partij in opdracht van AdBrains Persoonsgegevens verwerkt en deze derde partij derhalve dient te worden aangemerkt als een sub-verwerker.

8.2 AdBrains zal met zijn sub-verwerker een overeenkomst aangaan waarin de sub-verwerker wordt gebonden aan minimaal dezelfde plichten die AdBrains overeenkomstig deze overeenkomst jegens de Klant heeft.

9 Controle

9.1 De Klant is gerechtigd om gedurende deze overeenkomst de hiervoor genoemde maatregelen door een onafhankelijke ICT-deskundige te laten toetsen door middel van een audit. De Klant stelt AdBrains schriftelijk of via de e-mail minimaal 2 weken voorafgaand aan de audit ervan op de hoogte dat een audit uitgevoerd gaat worden en van de partij die de audit uitvoert. De onafhankelijke ICT-deskundige dient door de Klant middels een geheimhoudingsverklaring worden verplicht vertrouwelijke informatie en Persoonsgegevens waarvan hij tijdens de audit toegang tot krijgt geheim te houden.

9.2 De kosten voor de audit zijn voor rekening van de Klant. 

9.3 AdBrains garandeert zijn medewerking te verlenen aan de audit. De uitkomst van de audit wordt door Partijen gezamenlijk besproken om te komen tot een eventueel verbeterplan als daar aanleiding toe zou zijn. Indien de deskundige een lek constateert en/of constateert dat de door AdBrains genomen beveiligingsmaatregelen niet afdoende zijn, dan geeft dat de Klant niet het recht de Hoofdovereenkomst tussentijds te ontbinden, tenzij AdBrains zich niet maximaal inspant om het lek te verhelpen dan wel om de beveiligingsmaatregelen te verbeteren.

10 Datalek

10.1 AdBrains tracht er alles aan te doen dat binnen zijn macht ligt om datalekken te voorkomen. Ondanks alle genomen beveiligingsmaatregelen kan AdBrains niet garanderen dat er geen datalek ontstaat.

10.2 Indien zich i.v.m. het verwerken van Persoonsgegevens een beveiligingsincident heeft voorgedaan waarbij Persoonsgegevens van gevoelige aard zijn gelekt of waardoor om een andere reden sprake is van een ernstig nadelig gevolg voor de bescherming van de verwerkte Persoonsgegevens, dan zal AdBrains de Klant daarvan zo spoedig mogelijk en uiterlijk binnen 48 uur in kennis stellen. De Klant dient zelf te beoordelen of er sprake is van een dermate ernstig datalek dat melding aan de Autoriteit Persoonsgegevens verplicht is en is zelf verantwoordelijk voor het tijdig melden van een ernstig datalek. AdBrains verstrekt op verzoek van de Klant alle informatie die voor de Klant benodigd is om de melding te maken bij de Autoriteit Persoonsgegevens.

10.3 Indien er sprake is van een datalek dat ongunstige gevolgen heeft voor de persoonlijke levenssfeer van de Betrokkenen, dan dienen de Betrokkenen daarvan op de hoogte te worden gesteld, tenzij er sprake is van een wettelijke uitzondering. De Klant is verantwoordelijk voor het beoordelen of er sprake is van een datalek zoals hierboven omschreven en voor het melden van een dergelijk datalek aan de Betrokkenen. Indien AdBrains daartoe op basis van wet- en regelgeving verplicht is, zal hij zijn medewerking verlenen aan het informeren van de Betrokkenen.

11 Geheimhouding en medewerkers van AdBrains

11.1 De Persoonsgegevens zullen door AdBrains niet aan derden worden verstrekt. Een medewerker van AdBrains heeft enkel toegang tot die Persoonsgegevens die voor de betreffende medewerker strikt noodzakelijk zijn om de opgedragen werkzaamheden in de Hoofdovereenkomst uit te kunnen voeren. Toegangsrechten van een medewerker van AdBrains worden direct geblokkeerd als toegang tot de Persoonsgegevens in het kader van de uitvoering van de Hoofdovereenkomst niet meer noodzakelijk is dan wel als een medewerker niet meer werkzaam is bij/voor AdBrains.

11.2 AdBrains is verplicht de van de Klant toegankelijke Persoonsgegevens geheim te houden en van zijn medewerkers hetzelfde te bedingen. Deze verplichting geldt niet voor zover een wettelijk voorschrift of vonnis AdBrains tot enige bekendmaking verplicht. De medewerkers van AdBrains tekenen een geheimhoudingsverklaring of de plicht tot geheimhouding is verwerkt in de arbeidsovereenkomst, een personeelshandboek of beveiligingsprotocol waaraan de medewerkers gebonden zijn of in de (opdracht)overeenkomst die medewerkers met AdBrains zijn aangegaan. De medewerkers van AdBrains hebben kennisgenomen van de inhoud van deze overeenkomst.

12 Informatieverstrekking

12.1 AdBrains zal de Klant onverwijld informeren indien een daartoe bevoegde (overheids)instantie een op de wet gebaseerd verzoek tot verstrekking van Persoonsgegevens heeft gedaan. Indien AdBrains op grond van een wettelijke verplichting Persoonsgegevens dient te verstrekken, verifieert AdBrains de grondslag van het verzoek en de identiteit van de verzoeker en informeert hij onmiddellijk, zo mogelijk voorafgaand aan de verstrekking, de Klant ter zake.

13 Terbeschikkingstelling en verwijdering van Persoonsgegevens

13.1 AdBrains stelt alle Persoonsgegevens op eerste verzoek van de Klant ter beschikking aan de Klant.  

13.2 AdBrains is verplicht alle Persoonsgegevens op eerste verzoek van de Klant volledig en onherroepelijk te verwijderen. 

13.3 Na beëindiging van de Hoofdovereenkomst worden de persoonsgegevens door AdBrains gewist.

14 Inwerkingtreding en looptijd

14.1 Deze overeenkomst treedt in werking op het moment dat beide partijen deze overeenkomst hebben ondertekend en eindigt op het moment dat de Hoofdovereenkomst eindigt, zonder dat daartoe opzegging dan wel een andere handeling is vereist. Deze overeenkomst kan niet apart opgezegd worden.

14.2 Na beëindiging van deze overeenkomst zullen de geheimhoudingsplichten die voortvloeien uit deze overeenkomst blijven voortduren.

15 Aansprakelijkheid

15.1 AdBrains kan nimmer verantwoordelijk worden gesteld voor boetes die aan de Klant worden opgelegd i.v.m. de verwerking van Persoonsgegevens.

15.2 Indien AdBrains gehouden is een schadevergoeding aan een of meerdere Betrokkenen te betalen wegens inbreuk op de AVG, dan heeft AdBrains een verhaalsrecht op de Klant en is de Klant verplicht deze schade aan AdBrains te vergoeden, met uitzondering van de schade ontstaan doordat AdBrains niet heeft voldaan aan de specifiek tot verwerkers gerichte verplichtingen van de AVG of doordat AdBrains buiten of in strijd met de instructies van de Klant heeft gehandeld, met dien verstande dat de aansprakelijkheid van AdBrains te allen tijde beperkt is tot het bedrag dat in de algemene voorwaarden van AdBrains is opgenomen.

15.3 Aansprakelijkheid aan de zijde van AdBrains wegens een toerekenbare tekortkoming in de nakoming van deze overeenkomst ontstaat pas op het moment dat de Klant AdBrains een schriftelijke ingebrekestelling heeft gestuurd waarin duidelijk de tekortkoming van AdBrains wordt omschreven en AdBrains een redelijke termijn wordt gegeven alsnog na te komen en AdBrains aan deze ingebrekestelling geen gehoor heeft gegeven. Een ingebrekestelling kan achterwege blijven indien nakoming blijvend onmogelijk is.  

16 Nietigheid

16.1 Indien de onderhavige overeenkomst bepalingen bevat die ten gevolge van (gewijzigde) wettelijke bepalingen en/of een in kracht van gewijsde gegane rechterlijke uitspraak nietig blijken te zijn, dan wel onverbindend worden verklaard, verbinden Partijen zich reeds nu voor alsdan om in onderling overleg een zodanige regeling overeen te komen, dat daardoor zoveel mogelijk recht wordt gedaan en tegemoet wordt gekomen aan de bedoeling welke Partijen hebben gehad bij het aangaan van de overeenkomst.

17 Wijzigingen

17.1 Wijzigingen op deze overeenkomst zullen alleen geldig zijn en alleen van kracht worden indien deze schriftelijk zijn overeengekomen en door beide Partijen zijn ondertekend. Partijen zien erop toe dat wijzigingen op deze overeenkomst niet in strijd zijn met de AVG.

18 Toepasselijk recht en bevoegde rechter

18.1 Op deze overeenkomst is Nederlands recht van toepassing.

18.2 Geschillen met betrekking tot deze overeenkomst zullen worden voorgelegd aan de bevoegde rechter in het arrondissement waar AdBrains gevestigd is.