Verwerkersovereenkomst

Laatste update: januari 2025

Deze verwerkersovereenkomst (VOW) is van toepassing op alle verwerkingen van persoonsgegevens die Binadit B.V. ("Verwerker") uitvoert in opdracht van de Opdrachtgever ("Verwerkingsverantwoordelijke") in het kader van de tussen partijen gesloten overeenkomst voor managed cloud- en infrastructuurdiensten. Deze VOW vormt een integraal onderdeel van die overeenkomst en is opgesteld conform artikel 28 van de Algemene Verordening Gegevensbescherming (AVG).

Artikel 1 – Onderwerp en duur

De Verwerker verwerkt persoonsgegevens uitsluitend ten behoeve van de dienstverlening aan de Verwerkingsverantwoordelijke, zoals beschreven in de hoofdovereenkomst. De verwerking vindt uitsluitend plaats gedurende de looptijd van de hoofdovereenkomst, tenzij partijen schriftelijk anders overeenkomen of een wettelijke verplichting langere bewaring vereist.

Artikel 2 – Aard en doel van de verwerking

De verwerking omvat alle handelingen die nodig zijn voor het verlenen van managed cloud-, hosting-, infrastructuur- en DevOps-diensten. Persoonsgegevens worden uitsluitend verwerkt op schriftelijke instructie van de Verwerkingsverantwoordelijke, tenzij een wettelijke verplichting anders vereist. In dat geval stelt de Verwerker de Verwerkingsverantwoordelijke hiervan onverwijld op de hoogte, voor zover de wet dit toestaat.

Artikel 3 – Categorieën van persoonsgegevens en betrokkenen

De verwerking heeft betrekking op de categorieën persoonsgegevens en betrokkenen die zijn gespecificeerd in de bijlage bij de hoofdovereenkomst of het servicecontract. Doorgaans betreft dit contactgegevens van medewerkers van de Verwerkingsverantwoordelijke en eindgebruikers van haar applicaties.

Artikel 4 – Verplichtingen van de Verwerker

De Verwerker verbindt zich tot:

  • verwerking uitsluitend op gedocumenteerde instructie van de Verwerkingsverantwoordelijke;
  • waarborging van de vertrouwelijkheid: personen die toegang hebben tot persoonsgegevens zijn gebonden aan geheimhouding;
  • treffen van passende technische en organisatorische beveiligingsmaatregelen (zie artikel 6);
  • ondersteuning bij het uitoefenen van rechten van betrokkenen;
  • ondersteuning bij het naleven van de verplichtingen uit de AVG, waaronder gegevensbeveiliging, datalekmelding en DPIA's;
  • verwijdering of teruggave van alle persoonsgegevens na beëindiging van de dienstverlening, naar keuze van de Verwerkingsverantwoordelijke;
  • verstrekking van alle informatie die nodig is om de naleving van de verplichtingen uit dit artikel aan te tonen.

Artikel 5 – Sub-verwerkers

De Verwerker mag sub-verwerkers inschakelen voor de uitvoering van de diensten. De Verwerkingsverantwoordelijke verleent hierbij een algemene toestemming voor het inschakelen van sub-verwerkers, mits de Verwerker:

  • de Verwerkingsverantwoordelijke vooraf informeert over wijzigingen in de lijst van sub-verwerkers;
  • aan sub-verwerkers gelijkwaardige verplichtingen oplegt als opgenomen in deze VOW;
  • volledig aansprakelijk blijft jegens de Verwerkingsverantwoordelijke voor de nakoming van verplichtingen door sub-verwerkers.

Actuele sub-verwerkers: Hetzner Online GmbH (infrastructuur), TransIP B.V. (infrastructuur), Google LLC (analysetools).

Artikel 6 – Technische en organisatorische maatregelen

De Verwerker treft passende maatregelen ter waarborging van een beveiligingsniveau dat is afgestemd op het risico, waaronder:

  • versleuteling van gegevens in transport (TLS 1.2+) en, waar van toepassing, in opslag;
  • pseudonimisering van persoonsgegevens waar mogelijk;
  • toegangscontrole op basis van het principe van minimale rechten (least privilege);
  • periodieke beveiligingsaudits en kwetsbaarheidsbeheer;
  • procedures voor back-up en herstel;
  • personeelstraining op het gebied van gegevensbeveiliging.

Artikel 7 – Datalekken

De Verwerker meldt een inbreuk in verband met persoonsgegevens onverwijld, doch uiterlijk binnen 72 uur na ontdekking, aan de Verwerkingsverantwoordelijke. De melding bevat minimaal: de aard van de inbreuk, de betrokken categorieën en het geschatte aantal betrokkenen, de waarschijnlijke gevolgen en de getroffen maatregelen. De Verwerker documenteert alle inbreuken conform artikel 33 lid 5 AVG.

Artikel 8 – Doorgifte buiten de EER

Persoonsgegevens worden niet doorgegeven aan landen buiten de Europese Economische Ruimte, tenzij sprake is van een adequaatheidsbesluit of passende waarborgen conform hoofdstuk V van de AVG (standaardcontractbepalingen). De Verwerker informeert de Verwerkingsverantwoordelijke over voorgenomen doorgifte buiten de EER.

Artikel 9 – Auditrechten

De Verwerkingsverantwoordelijke heeft het recht de naleving van deze VOW te controleren door middel van een audit, uit te voeren door een onafhankelijke derde partij, na schriftelijke kennisgeving met een termijn van minimaal 30 dagen. Auditkosten komen voor rekening van de Verwerkingsverantwoordelijke. De Verwerker verstrekt alle redelijkerwijs gevraagde informatie ter ondersteuning van de audit.

Artikel 10 – Beëindiging

Bij beëindiging van de hoofdovereenkomst verwijdert of retourneert de Verwerker, naar keuze van de Verwerkingsverantwoordelijke, alle persoonsgegevens. Kopieën worden verwijderd, tenzij een wettelijke verplichting bewaring vereist. De Verwerker bevestigt de verwijdering schriftelijk.

Artikel 11 – Toepasselijk recht

Op deze VOW is uitsluitend Nederlands recht van toepassing. De bepalingen van artikel 11 van de Algemene Voorwaarden van Binadit zijn van overeenkomstige toepassing.