Verwerkersovereenkomst (VWO)

Preambule

Deze verwerkersovereenkomst (“VWO”) wordt gesloten tussen de klant (“Verwerkingsverantwoordelijke”) zoals genoemd in de overeenkomst inzake het gebruik van de software “HERO” (“Software”), en HERO Software GmbH, Göttinger Hof 9, 30453 Hannover (“Verwerker” of “HERO” of “wij” / “ons”). Beide partijen worden afzonderlijk aangeduid als “Partij” en gezamenlijk als “Partijen”.
In het kader van de uitvoering van de hoofdovereenkomst kan het noodzakelijk zijn dat de Verwerker persoonsgegevens verwerkt in opdracht van de Verwerkingsverantwoordelijke.
Ter concretisering van de wederzijdse rechten en plichten op grond van de Algemene Verordening Gegevensbescherming (AVG) sluiten de Partijen deze verwerkersovereenkomst.

1.1 Deze VWO geldt voor de verwerking van alle persoonsgegevens (“Gegevens”) die door de Verwerker worden verwerkt in opdracht van de Verwerkingsverantwoordelijke voor de levering van de diensten volgens de overeenkomst inzake het gebruik van de Software (“Hoofdovereenkomst”). De omvang, aard en het doel van de verwerking worden bepaald door de Hoofdovereenkomst en zijn opgenomen in Bijlage 1 (Doel, aard en omvang van de gegevensverwerking; soort gegevens en categorieën van betrokkenen).

1.2 Tenzij in deze VWO anders is bepaald, gelden voor de looptijd en beëindiging van deze VWO de bepalingen van de Hoofdovereenkomst. Deze VWO blijft gedurende de looptijd van de Hoofdovereenkomst van kracht, tenzij vervangen door een opvolgende regeling. Beëindiging van de Hoofdovereenkomst leidt automatisch tot beëindiging van deze VWO. Een afzonderlijke beëindiging van deze VWO is uitgesloten.

1.3 De verwerking vindt in beginsel plaats binnen de Europese Unie (EU) / Europese Economische Ruimte (EER). Indien verwerking buiten de EU/EER plaatsvindt, zorgen de Partijen ervoor dat wordt voldaan aan de bijzondere voorwaarden van art. 44 e.v. AVG.

1.4 Voor zover in deze VWO niet anders bepaald, gelden de definities van de Hoofdovereenkomst ook voor deze VWO.

2.1 Beide Partijen zijn verantwoordelijk voor naleving van de toepasselijke privacywetgeving. De Verwerkingsverantwoordelijke kan de Verwerker te allen tijde instrueren om de gegevens vrij te geven, te corrigeren, aan te passen, te verwijderen of de verwerking te beperken.

2.2 De Verwerker verwerkt de gegevens uitsluitend in opdracht en volgens de instructies van de Verwerkingsverantwoordelijke in de zin van art. 28 AVG. De Verwerkingsverantwoordelijke blijft de verantwoordelijke in de zin van art. 4 lid 7 AVG.

2.3 De Verwerker mag gegevens alleen verwerken volgens de instructies van de Verwerkingsverantwoordelijke, tenzij Unierecht of lidstaatrecht waaraan de Verwerker is onderworpen hem hiertoe verplicht (bijv. strafrechtelijke onderzoeken). In dat geval stelt de Verwerker de Verwerkingsverantwoordelijke vooraf in kennis, tenzij die kennisgeving verboden is op grond van een belangrijk openbaar belang (art. 28 lid 3 sub a AVG).

2.4 De instructies van de Verwerkingsverantwoordelijke zijn in deze VWO vastgelegd. Aanvullende of afwijkende instructies vereisen instemming van de Verwerker en moeten schriftelijk of per e-mail worden verstrekt. Mondelinge instructies worden door de Verwerker onverwijld schriftelijk bevestigd. Extra kosten voortvloeiend uit dergelijke aanvullende instructies zijn voor rekening van de Verwerkingsverantwoordelijke.

2.5 Wijzigingen in het onderwerp van de verwerking worden gezamenlijk overeengekomen en gedocumenteerd. De Verwerker mag de gegevens niet voor andere doeleinden gebruiken of aan derden doorgeven, noch kopiëren of dupliceren zonder medeweten van de Verwerkingsverantwoordelijke.

2.6 Indien de Verwerker van mening is dat een instructie van de Verwerkingsverantwoordelijke in strijd is met de AVG, stelt hij de Verwerkingsverantwoordelijke daarvan onmiddellijk op de hoogte en mag hij de uitvoering opschorten tot de instructie is bevestigd of gewijzigd.

3.1 De Partijen ondersteunen elkaar bij het aantonen en documenteren van hun verantwoordingsplicht en bij het uitvoeren van passende technische en organisatorische maatregelen (art. 5 lid 2 en art. 24 AVG). De Verwerker verstrekt daartoe relevante informatie.

3.2 De specifieke technische en organisatorische maatregelen zijn opgenomen in Bijlage 3 (“Technische en organisatorische maatregelen overeenkomstig art. 32 AVG”), die integraal onderdeel uitmaakt van deze VWO.

3.3 Technische en organisatorische maatregelen kunnen evolueren met de stand van de techniek. De Verwerker mag alternatieve, maar passende maatregelen nemen mits deze gelijkwaardig zijn. Belangrijke wijzigingen worden gedocumenteerd.

3.4 Op verzoek van de Verwerkingsverantwoordelijke legt de Verwerker passende bewijzen over van naleving van de in Bijlage 3 vastgelegde maatregelen.

3.5 De Verwerker zorgt ervoor dat alle medewerkers die met gegevens van de Verwerkingsverantwoordelijke werken, vóór aanvang van hun werkzaamheden schriftelijk of elektronisch tot geheimhouding zijn verplicht conform art. 28 lid 3 sub b AVG.

4.1 De Verwerkingsverantwoordelijke is als enige verantwoordelijk voor de rechtmatigheid van de gegevensverwerking en voor de uitoefening van de rechten van betrokkenen. Indien derden claims indienen jegens de Verwerker wegens verwerking onder deze VWO, vrijwaart de Verwerkingsverantwoordelijke de Verwerker volledig.

4.2 De Verwerkingsverantwoordelijke zorgt dat de Verwerker tijdig de benodigde gegevens ontvangt en is verantwoordelijk voor de kwaliteit daarvan. Eventuele fouten of onregelmatigheden meldt hij onmiddellijk.

4.3 Op verzoek verstrekt de Verwerkingsverantwoordelijke de Verwerker de informatie bedoeld in art. 30 lid 2 AVG, voor zover deze niet reeds bij de Verwerker aanwezig is.

4.4 Indien de Verwerker wettelijk verplicht is informatie te verstrekken aan een autoriteit, ondersteunt de Verwerkingsverantwoordelijke hem hierbij op eerste verzoek.

5.1 De Verwerker stelt de Verwerkingsverantwoordelijke onverwijld op de hoogte van ernstige verstoringen, vermoedelijke overtredingen van deze VWO of van de AVG, of andere onregelmatigheden bij de verwerking. Dit geldt met name in verband met meldplichten volgens art. 33 en 34 AVG (datalekken). De Verwerker ondersteunt de Verwerkingsverantwoordelijke hierbij en verricht meldingen uitsluitend na voorafgaande instructie.

5.2 De Verwerker informeert de Verwerkingsverantwoordelijke onverwijld over controles of verzoeken van toezichthoudende autoriteiten.

6.1 De Verwerkingsverantwoordelijke is zelf verantwoordelijk voor zijn register van verwerkingsactiviteiten (art. 30 lid 1 AVG). De Verwerker voert eveneens een register van categorieën van verwerkingen in opdracht van de Verwerkingsverantwoordelijke (art. 30 lid 2 AVG).
6.2 De Verwerker ondersteunt de Verwerkingsverantwoordelijke bij het uitvoeren van een gegevensbeschermingseffectbeoordeling (DPIA) en eventuele voorafgaande raadpleging van de toezichthouder (art. 35 en 36 AVG).
6.3 Functionaris voor gegevensbescherming van de Verwerker:
Mevrouw Marion Albrecht, advocaat IT-recht, activeLAW Rechtsanwälte, Hans-Böckler-Allee 26, 30173 Hannover.
Wijzigingen worden onverwijld gemeld.

7.1 De Verwerkingsverantwoordelijke heeft het recht om regelmatig te controleren of de Verwerker de bepalingen van deze VWO naleeft, in het bijzonder de technische en organisatorische maatregelen (art. 3). De Verwerker toont dit aan via rapporten, certificeringen of verklaringen van onafhankelijke instanties (bijv. IT-audits, accountants).

7.2 De Verwerkingsverantwoordelijke kondigt controles tijdig aan (minimaal twee weken vooraf) en voert deze slechts uit voor zover noodzakelijk (één keer per jaar). Extra controles gebeuren in overleg en op kosten van de Verwerkingsverantwoordelijke.

7.3 Indien een derde wordt ingeschakeld voor de controle, verplicht de Verwerkingsverantwoordelijke deze tot geheimhouding en vertrouwelijkheid. Een concurrent van de Verwerker mag niet als auditor optreden.

7.4 De resultaten van de controle worden door de Verwerkingsverantwoordelijke gedocumenteerd en aan de Verwerker meegedeeld.

8.1 De Verwerker ondersteunt de Verwerkingsverantwoordelijke bij het nakomen van verplichtingen uit art. 12-22 en 32-36 AVG.

8.2 Indien betrokkenen rechtstreeks contact opnemen met de Verwerker om hun rechten uit te oefenen, zal deze het verzoek onverwijld doorsturen naar de Verwerkingsverantwoordelijke.

9.1 De huidige subverwerkers zijn vermeld in Bijlage 2.

9.2 Indien de Verwerker nieuwe subverwerkers wil inschakelen, informeert hij de Verwerkingsverantwoordelijke vooraf. Deze kan binnen 14 dagen gemotiveerd bezwaar maken. Zonder bezwaar wordt de subverwerker geacht te zijn goedgekeurd.

9.3 Indien een bezwaar de uitvoering van de Hoofdovereenkomst onmogelijk of economisch onredelijk maakt, heeft de Verwerker het recht om de overeenkomst buitengewoon te beëindigen.

9.4 De Verwerker kiest subverwerkers zorgvuldig en verplicht hen tot dezelfde waarborgen als opgenomen in deze VWO. Bij verwerking in derde landen zorgt de Verwerker voor naleving van art. 44 e.v. AVG.

9.5 Geen subverwerking in de zin van deze bepaling is het inschakelen van diensten van derden die slechts nevendiensten verrichten (zoals post- of transportdiensten, telecommunicatie zonder directe gegevensverwerking, bewaking, schoonmaak).

10.1 Alle gegevensdragers en datasets blijven eigendom van de Verwerkingsverantwoordelijke.

10.2 Na beëindiging van de overeenkomst of op verzoek verwijdert of retourneert de Verwerker alle ontvangen gegevens en kopieën daarvan, tenzij anders overeengekomen. Dit geldt ook voor test- en restmateriaal. Op verzoek wordt een verwijderingsprotocol verstrekt.

10.3 De Verwerker mag documenten die dienen als bewijs van naleving bewaren zolang wettelijke bewaartermijnen dit vereisen. Daarna geldt eveneens de verwijderingsplicht.

10.4 De geheimhoudingsplicht blijft van kracht na afloop van de Hoofdovereenkomst.

10.5 Een retentierecht is uitgesloten.

11.1 Voor aansprakelijkheid gelden de bepalingen van de Hoofdovereenkomst. Indien derden aanspraken maken als gevolg van een fout van de Verwerkingsverantwoordelijke, vrijwaart deze de Verwerker volledig.

11.2 De Verwerker is aansprakelijk voor fouten van zijn subverwerkers.

11.3 De Verwerkingsverantwoordelijke vrijwaart de Verwerker voor boetes die evenredig verband houden met diens aandeel in een overtreding.

12.1 Op deze VWO is het recht van de Bondsrepubliek Duitsland van toepassing.

12.2 Indien de Verwerkingsverantwoordelijke een ondernemer of publiekrechtelijke rechtspersoon is, is de rechtbank van de Verwerker exclusief bevoegd. De Verwerker mag ook dagvaarden op de zetel van de Verwerkingsverantwoordelijke.

12.3 Indien een bepaling van deze VWO ongeldig of onuitvoerbaar blijkt, blijft de rest onverminderd van kracht.

• VWO van 14-10-2025 (meest recente versie)