Verwerkersovereenkomst Buckaroo

Verwerkersovereenkomst
Buckaroo B.V. | Postbus 8257, 3503 RG UTRECHT | Zonnebaan 9, 3542 EA UTRECHT, Nederland | Tel: +31 (0)30- 711 5000 | Fax: +31 (0)30 711 5001 KvK 04060983 | BTW NL808888614.B01| www.buckaroo.nl | E-mail: info@buckaroo.nl              1 van 4
 
Ondergetekenden: 
 
1. Buckaroo B.V. hierna te noemen: “Verwerker” 
 
en 
 
2. Charity Support Foundation International hierna te noemen: “Verantwoordelijke” 
 
Nemen het volgende in overweging: 1. De Verwerker en de Verantwoordelijke hebben een Aansluitovereenkomst (de “Overeenkomst”) met betrekking tot het verwerken van betalingen van Verantwoordelijke voor de duur van de overeenkomst zoals is aangegeven in de Aansluitovereenkomst en de Algemene Voorwaarden van Buckaroo gesloten, in het kader waarvan door Verantwoordelijke en de Verwerker persoonsgegevens kunnen worden verwerkt in de zin van de Algemene Verordening Gegevensbescherming ("AVG");  2. De Verwerker verwerkt in het kader van deze overeenkomst de ten behoeve van de Verantwoordelijke en naar de instructies en onder verantwoordelijkheid van de Verantwoordelijke persoonsgegevens; 3. De Verantwoordelijke is op grond van de AVG verplicht een Verwerkersovereenkomst aan te gaan met de Verwerker, waarin onder meer de technische en organisatorische beveiliging van persoonsgegevens door de Verwerker is geregeld;
 
Artikel 1. Gegevens en beveiliging 1.1 De Verwerker zal in het kader van de uitvoering van de werkzaamheden voor de Verantwoordelijke volgens de instructie en onder verantwoordelijkheid van de Verantwoordelijke persoonsgegevens verwerken, waaronder  naam van de consument, rekening en/of card gegevens, e-,mail adressen zijnde klanten van Merchant van Buckaroo, doch neemt geen beslissing over de te verwerken persoonsgegevens, enig gebruik daarvan, de verstrekking aan derden en de duur van de opslag van de persoonsgegevens. Enkel ten aanzien van de (technische en organisatorische) inrichting  van haar betaaldiensten en de naleving van de relevante wetgeving in dat kader, bepaalt Verwerker de doeleinden en de middelen van de verwerking en geldt Verwerker hiervoor als verwerkingsverantwoordelijke  in de zin van art 28.10 van de AVG. 1.2 De door de Verwerker te verwerken persoonsgegevens, op welke wijze dan ook verkregen, zijn en blijven eigendom van de Verantwoordelijke. 1.3 De Verwerker zal bij de verwerking van persoonsgegevens handelen in overeenstemming met de toepasselijke wet- en regelgeving inzake de bescherming van persoonsgegevens, waaronder de AVG, en zal de Verantwoordelijke onmiddellijk schriftelijk op de hoogte stellen indien de Verwerker van mening is dat een door de Verantwoordelijke gegeven instructie in strijd is met de AVG en/of overige wet- en regelgeving. 1.4 De Verwerker zal, en zal ervoor instaan dat een ieder die handelt onder zijn gezag:  a) de persoonsgegevens en overige vertrouwelijke informatie waarvan zij kennis nemen geheimhouden, behoudens voor zover enig Nederlands of EU wettelijk voorschrift of wettelijk voorschrift van een EU lidstaat hen tot mededeling verplicht - in welk geval de Verwerker de Verantwoordelijke hierover onmiddellijk schriftelijk zal informeren, tenzij die wetgeving deze kennisgeving om gewichtige redenen van algemeen belang verbiedt - of uit hun taak de noodzaak tot mededeling voortvloeit; b) de persoonsgegevens slechts verwerken in opdracht van en ten behoeve van Verantwoordelijke en voor zover noodzakelijk in het kader van de overeengekomen dienstverlening, behoudens voor zover enig Nederlands of EU wettelijk voorschrift of wettelijk voorschrift van een EU lidstaat hen tot verwerking verplicht - in welk geval de Verwerker de Verantwoordelijke hierover onmiddellijk schriftelijk zal informeren tenzij die wetgeving deze kennisgeving om gewichtige redenen van algemeen belang verbiedt, en alle schriftelijke instructies van de Verantwoordelijke opvolgen; en  c) onverminderd hetgeen is bepaald onder 1.4 (b), de persoonsgegevens niet (laten) verwerken voor enig ander doel en geen andere handelingen met persoonsgegevens uitvoeren dan overeengekomen in het kader van de dienstverlening. 1.5 De Verwerker zal passende technische en organisatorische maatregelen nemen in de zin van de AVG en deze maatregelen in stand houden en indien nodig aanpassen om de persoonsgegevens te beveiligen tegen vernietiging, hetzij per ongeluk hetzij onrechtmatig, tegen verlies, vervalsing, niet toegelaten verspreiding of toegang, dan wel enige andere vorm van onrechtmatige verwerking, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, teneinde een passend beveiligingsniveau te bieden gelet op de risico's die de verwerking en de aard van de persoonsgegevens met zich meebrengen. De Verwerker neemt in dit kader in ieder geval de in artikel 8 genoemde maatregelen, die voldoen aan de richtlijnen van de Autoriteit Persoonsgegevens van februari 2013. Verwerker zal specifieke instructies van Verantwoordelijke ten aanzien van de te nemen beveiligingsmaatregelen zo veel mogelijk opvolgen. 1.6 De Verantwoordelijke is zonder voorafgaande aankondiging gerechtigd die maatregelen te treffen die noodzakelijk zijn teneinde te onderzoeken of de Verwerker adequate technische en organisatorische maatregelen heeft getroffen. De kosten die gemoeid zullen zijn met dit onderzoek zijn voor rekening van de Verantwoordelijke, tenzij Verantwoordelijke naar aanleiding van dit onderzoek heeft geconstateerd dat Verwerker nagelaten heeft (voldoende) adequate technische en organisatorische maatregelen te nemen.  
Verwerkersovereenkomst
Buckaroo B.V. | Postbus 8257, 3503 RG UTRECHT | Zonnebaan 9, 3542 EA UTRECHT, Nederland | Tel: +31 (0)30- 711 5000 | Fax: +31 (0)30 711 5001 KvK 04060983 | BTW NL808888614.B01| www.buckaroo.nl | E-mail: info@buckaroo.nl              2 van 4
 
1.7 De Verantwoordelijke heeft het recht om op kosten van de Verwerker de benodigde beveiligingsmaatregelen uit te (laten) voeren indien de Verwerker verzaakt om beveiligingsmaatregelen te nemen zoals bepaald in deze overeenkomst, echter niet eerder dan dat de Verantwoordelijke de Verwerker in gebreke heeft gesteld, stellende een termijn van minimaal 30 dagen om alsnog aan zijn verplichting tot het nemen van beveiligingsmaatregelen te voldoen. Indien het spoedeisende belang dit met zich brengt, is de Verantwoordelijke gerechtigd de hiervoor bedoelde beveiligingsmaatregelen terstond, zonder nader ingebrekestelling, uit te (laten) voeren. 1.8 De Verwerker zal de hiervoor genoemde persoonsgegevens slechts verwerken in Nederland  en geen toegang geven tot deze persoonsgegevens aan, en/of deze persoonsgegevens niet verstrekken aan, een ontvanger buiten Nederland, tenzij de Verantwoordelijke hier uitdrukkelijk vooraf schriftelijk mee heeft ingestemd, behoudens voor zover enig Nederlands of EU wettelijk voorschrift of wettelijk voorschrift van een EU lidstaat hen tot mededeling verplicht - in welk geval de Verwerker de Verantwoordelijke hierover onmiddellijk schriftelijk zal informeren, tenzij die wetgeving deze kennisgeving om gewichtige redenen van algemeen belang verbiedt. Het is uitsluitend ter keuze van de Verantwoordelijke of hij deze toestemming verleent en/of welke eventuele voorwaarden hij verbindt aan deze toestemming.
 
Artikel 2. Geheimhouding 2.1 Op alle informatie die de Verwerker van de Verantwoordelijke ontvangt, rust een geheimhoudingsplicht jegens derden die onverminderd blijft voort bestaan na het beëindigen van de overeenkomst.  2.2 De Verwerker zal de informatie op zodanige wijze opslaan, dat onbevoegden hiertoe geen toegang hebben.  2.3 De Verwerker zal deze informatie niet voor een ander doel gebruiken dan waarvoor hij deze heeft verkregen, zelfs niet wanneer deze in een zodanige vorm is gebracht dat deze niet meer tot de Verantwoordelijke of natuurlijke personen herleidbaar is.  2.4 Deze geheimhoudingsplicht is niet van toepassing voor zover de Verantwoordelijke voorafgaand zijn schriftelijke toestemming heeft gegeven om informatie aan derden te verschaffen of indien het verstrekken van informatie aan derden logischerwijs noodzakelijk is gezien de aard van de door de Verantwoordelijke aan de Verwerker verstrekte opdracht. De geheimhoudingsplicht is niet van toepassing indien de Verwerker op grond van een wettelijke verplichting de informatie aan een derde dient te verstrekken.  2.5 Indien de Verwerker twijfelt of het hem is toegestaan informatie aan derden te verschaffen, zal hij met de Verantwoordelijke hierover in overleg treden. 
 
Artikel 3. Inschakeling derden of onderaannemers ( subverwerkers ) 3.1 Het is de Verwerker toegestaan om in het kader van deze Verwerkersovereenkomst gebruik te maken van een derde indien en voor zover de Verantwoordelijke hiertoe zijn voorafgaande uitdrukkelijke schriftelijke toestemming heeft gegeven, welke toestemming niet op onredelijke gronden zal worden onthouden. De Verantwoordelijke is gerechtigd aan de toestemming nadere voorwaarden te verbinden.  3.2 De Verwerker is volledig verantwoordelijk voor deze derde en zal deze derde dezelfde verplichtingen opleggen die voor hem uit deze overeenkomst voortvloeien. Voorts zal de Verwerker ten opzichte van voornoemde derde contractueel bepalen dat eventuele onderaannemers niet kunnen worden ingeschakeld zonder voorafgaande schriftelijke toestemming van de Verantwoordelijke. De Verantwoordelijke is gerechtigd aan de toestemming voorwaarden te verbinden. Voorts zal de Verwerker voornoemde derde de verplichting opleggen dat diens onderaannemers, waarvoor de Verantwoordelijke toestemming heeft verleend, ook op hun beurt dezelfde verplichtingen, zoals bepaald in deze overeenkomst, krijgen opgelegd. In geval van inschakeling van derden (of diens onderaannemers) door de Verwerker blijft de Verwerker hoofdelijk aansprakelijk.  3.3 De Verwerker zal de Verantwoordelijke steeds opgave doen van de derden die hij daadwerkelijk inschakelt bij de uitvoering van deze Verwerkersovereenkomst.
 
Artikel 4. Audits in het kader van de AVG 4.1 Verantwoordelijke zal toezicht houden op de wijze waarop de Verwerker invulling geeft aan de werkzaamheden van Verwerker. In dat kader heeft de Verantwoordelijke procedures opgesteld en is zij gerechtigd maatregelen te treffen, teneinde de prestaties van de Verwerker op betrouwbare wijze te controleren en te beoordelen, welke controle en beoordeling namens Verantwoordelijke kunnen worden uitgevoerd door een derde, en de Verwerker zal de daartoe benodigde ruimte en gegevens toegankelijk maken en ter beschikking stellen en alle medewerking verlenen die redelijkerwijs kan worden gevraagd. Tevens is de Verantwoordelijke bevoegd periodiek te onderzoeken, al dan niet ter plaatse, of er zich ten opzichte van de initiële beoordeling van de Verwerker geen belangrijke wijzigingen van de feiten of omstandigheden hebben voorgedaan, die van invloed kunnen zijn op (de continuering van) de werkzaamheden.  4.2 In het kader van het in lid 1 van dit artikel bepaalde is de Verwerker verplicht de Verantwoordelijke omtrent belangrijke problemen met betrekking tot haar organisatie of haar prestaties zo spoedig mogelijk na het ontstaan van het betreffende probleem, te informeren.  4.3 De Verantwoordelijke heeft het recht audits uit te laten voeren, met als doel na te gaan of de door de Verwerker getroffen maatregelen en voorzieningen overeenkomen met het in deze overeenkomst bepaalde.  4.4 De redelijke kosten voor het inzetten van de auditors en eigen personeel van Verantwoordelijke en/of een toezichthouder als bedoeld in lid 3 van dit artikel zijn voor rekening van Verantwoordelijke. Verwerker is in verband daarmee verantwoordelijk voor zijn eigen kosten.
Verwerkersovereenkomst
Buckaroo B.V. | Postbus 8257, 3503 RG UTRECHT | Zonnebaan 9, 3542 EA UTRECHT, Nederland | Tel: +31 (0)30- 711 5000 | Fax: +31 (0)30 711 5001 KvK 04060983 | BTW NL808888614.B01| www.buckaroo.nl | E-mail: info@buckaroo.nl              3 van 4
4.5 Wanneer substantiële onregelmatigheden worden aangetroffen bij een eerste audit, kan Verantwoordelijke en/of een toezichthouder, of een door Verantwoordelijke en/of een toezichthouder ingeschakelde derde, een tweede audit verrichten. Wanneer tijdens deze tweede audit blijkt dat de eerder geconstateerde onregelmatigheden nog steeds voorkomen, zullen alle kosten van de tweede audit en eventuele nadere audits in afwijking van lid 7 in dit artikel voor rekening van Verwerker zijn.
 
 
Artikel 5. Medewerking en informatie 5.1 De Verwerker zal de Verantwoordelijke zo spoedig mogelijk en in ieder geval binnen [36 uur] op de hoogte stellen van: a) Een beveiligingsincident of datalek waaronder een inbreuk op de beveiliging, of een schending van één van  de andere verplichtingen als opgenomen in deze Verwerkersovereenkomst; b) Een klacht of verzoek  (tot bijvoorbeeld inzage, correctie, aanvulling, verwijdering of afscherming) van een betrokkene waarvan persoonsgegevens worden verwerkt, en/of c) Een verzoek of bevel van, of onderzoek door, een toezichthouder of andere bevoegde autoriteit, voor zover dit is toegestaan ingevolge toepasselijke wet- en regelgeving.  5.2 De Verwerker zal de Verantwoordelijke zo spoedig mogelijk alle informatie verstrekken en medewerking verlenen waarom Verantwoordelijke verzoekt in het kader van de hierboven in artikel 5.1. onder a tot en met c genoemde situaties. De Verwerker zal aan de Verantwoordelijke alle medewerking verlenen om de Verantwoordelijke in staat te stellen toepasselijke privacy wet- en regelgeving na te leven, waaronder inzake het uitvoeren van een gegevensbeschermingseffectbeoordeling (data protection impact assessment) en/of naar aanleiding van (voorafgaande) raadpleging van een toezichthouder of andere bevoegde autoriteit.  5.3 Indien deze Verwerkersovereenkomst en/of de Overeenkomst op welke wijze dan ook eindigt en/of op eerste schriftelijk verzoek van de Verantwoordelijke binnen 30 dagen na beëindiging, zal de Verwerker:  a) Onmiddellijk ieder gebruik of andere verwerking staken; en  b) In ieder geval binnen [vijf (5) werkdagen] ervoor zorg dragen dat alle documenten en/of andere informatiedragers die persoonsgegevens bevatten en/of daarop betrekking hebben (waaronder alle kopieën in welke vorm dan ook) ter keuze van de Verantwoordelijke (i) worden teruggeven aan de Verantwoordelijke en/of (ii) op schriftelijk verzoek van de Verantwoordelijke worden vernietigd, behoudens het bepaalde in artikel 5.4 en voor zover enig Nederlands of EU wettelijk voorschrift of wettelijk voorschrift van een EU lidstaat hen verplicht de persoonsgegevens te bewaren - in welk geval de Verwerker de Verantwoordelijke hierover onmiddellijk schriftelijk zal informeren, tenzij die wetgeving deze kennisgeving om gewichtige redenen van algemeen belang verbiedt. 5.4 Gelet op de specifieke wettelijke bepalingen van financieel recht die op de dienstverlening van Verwerker van toepassing zijn, zal Verwerker bij beëindiging van de Overeenkomst ofwel op basis van een wettelijke verplichting ofwel op grond van haar gerechtvaardigd belang (dat opweegt tegen de belangen op privacy van de betrokkenen) steeds een kopie van de documenten en/of andere informatiedragers die persoonsgegevens bevatten en/of daarop betrekking hebben ten aanzien van de beëindigde Overeenkomst moeten bewaren. Dit zal zij doen op een wijze waarbij technische en organisatorische maatregelen worden genomen om te waarborgen dat deze informatie slechts kan worden verwerkt voor de betreffende doelen van de van toepassing zijnde wettelijke verplichting of het betreffende gerechtvaardigd belang van Verwerker. Deze kopie zal Verwerker volgens de maximaal wettelijke termijn(en) bewaren.  5.5 De Verwerker zal de Verantwoordelijke schriftelijk informeren over relevante veranderingen met betrekking tot de dienstverlening.  5.6 De Verantwoordelijke dient ervoor zorg te dragen dat de algemene voorwaarden en het privacy statement  van de Verwerker (aan deze overeenkomst gehecht als respectievelijk Annex I en II ), steeds voorafgaand aan enige verwerking van persoonsgegevens door Verwerker, rechtsgeldig van toepassing zijn jegens de betrokkenen wiens persoonsgegevens door Verwerker worden verwerkt (zoals onder andere consumenten en personeelsleden, afnemers en leveranciers van de Verantwoordelijke). In dat kader dient de Verantwoordelijke de algemene voorwaarden en het privacy statement van Verwerker vóórafgaande aan het betalings- of orderproces van Verantwoordelijke, via een link of (PDF-)download vanaf de website van de Verwerker toegankelijk te maken voor de betrokkenen wiens persoonsgegevens worden verwerkt. Nakoming van de verplichtingen in dit sub-artikel is van essentieel belang voor Verwerker en vormt daarom een fundamentele verplichting van Verantwoordelijke onder deze Verwerkersovereenkomst.
 
Artikel 6. Aansprakelijkheid en vrijwaring  6.1 De Verwerker is aansprakelijk voor schade die het gevolg is van niet, niet tijdige of niet behoorlijke nakoming van haar verplichtingen onder deze Verwerkersovereenkomst.  6.2 De aansprakelijkheid van Verwerker ten aanzien van verwerking van de persoonsgegevens onder de Overeenkomst, is gelijk aan de aansprakelijkheidsbepalingen in de Overeenkomst.  6.3 De Verwerker vrijwaart de Verantwoordelijke voor eventuele aanspraken van derden die in verband met de uitvoering van de werkzaamheden voor de Verantwoordelijke, jegens de Verwerker mochten worden ingesteld en die ook redelijkerwijs aan Verwerker toe te rekenen zijn wegens schending van de wet- en regelgeving en in het bijzonder de AVG. De verplichting tot vrijwaring is gelijk aan de vrijwaringsbepalingen in de Overeenkomst.  
Verwerkersovereenkomst
Buckaroo B.V. | Postbus 8257, 3503 RG UTRECHT | Zonnebaan 9, 3542 EA UTRECHT, Nederland | Tel: +31 (0)30- 711 5000 | Fax: +31 (0)30 711 5001 KvK 04060983 | BTW NL808888614.B01| www.buckaroo.nl | E-mail: info@buckaroo.nl              4 van 4
 
Artikel 7. Beëindiging van de overeenkomst  7.1 De Verwerkersovereenkomst zal automatisch van rechtswege eindigen op hetzelfde moment dat de Overeenkomst om welke reden dan ook is geëindigd.  7.2 De Verwerkersovereenkomst kan door de Verantwoordelijke met onmiddellijke ingang en zonder rechterlijke tussenkomst worden opgezegd indien dit naar het oordeel van de Verantwoordelijke op basis van de AVG of toezichtwetgeving in redelijkheid wenselijk en/of noodzakelijk is. 7.3 Opzegging van deze Verwerkersovereenkomst zal door middel van een aangetekend schrijven plaatsvinden. 
 
Artikel 8. Beveiligingsmaatregelen  8.1 Conform artikel 1 lid 5 van deze Verwerkersovereenkomst dient de Verwerker in ieder geval de volgende maatregelen te nemen ten aanzien van alle verwerkte of te verwerken persoonsgegevens, behoudens indien er naar de laatste stand der techniek een betere beveiligingsmaatregel is:  a) Van de persoonsgegevens wordt dagelijks een back-up gemaakt om te verzekeren dat het eventuele verlies van persoonsgegevens niet meer dan één (1) dag bedraagt;  b) De back-ups worden op een (brand)veilige plaats bewaard;  c) De Verwerker treft voorzieningen voor een adequate (fysieke en softwarematige) toegangsbeveiliging tot de voor de werkzaamheden relevante persoonsgegevens en de ruimtes waarin deze gegevens zijn opgeslagen of worden bewerkt, zodat alleen geautoriseerd personeel toegang kan verkrijgen. De Verwerker houdt een lijst bij van geautoriseerd personeel. Deze lijst wordt op eerste verzoek van de Verantwoordelijke getoond;  d) Er wordt alleen personeel geautoriseerd voor wier werkzaamheden toegang tot persoonsgegevens noodzakelijk is; e) Met het geautoriseerde personeel wordt een geheimhoudingsovereenkomst afgesloten; f) De Verwerker heeft een adequaat en actueel mechanisme in werking om kwaadaardige software, waaronder computervirussen, op te sporen en af te handelen.
 
 
Aldus overeengekomen op 27-3-2018,
 
Verantwoordelijke, rechtsgeldig vertegenwoordigd door: 


J.LC. van Geel en G.P. Weide
 
 
 
 
 
 
 
Indien gezamenlijk bevoegd volgens de KvK inschrijving, Tevens rechtsgeldig vertegen