Loading...

VERWERKERSOVEREENKOMST (Artikel 28 AVG)

Gegevensverwerking voor hosting en softwareontwikkeling

Partijen

PARTIJ A – VERWERKINGSVERANTWOORDELIJKE

Naam:

Vertegenwoordigd door:

Contactgegevens:

PARTIJ B – VERWERKER

Rimote Media

Pioenstraat 194
9713 XX Groningen
Nederland

Vertegenwoordigd door: Richard Landsman

E-mail: vragen@rimote.nl

Telefoonnummer: +31 50 763 04 07

Artikel 1 – Definities

Voor deze overeenkomst gelden de volgende definities:

  1. Persoonsgegevens: Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon, zoals bepaald in artikel 4(1) AVG.
  2. Verwerking: Elke bewerking van persoonsgegevens, zoals verzameling, vastlegging, organisatie, structurering, opslag, aanpassing, wijziging, raadpleging, gebruik, vernietiging of vernietigen van gegevens, zoals bepaald in artikel 4(2) AVG.
  3. Verwerkingsverantwoordelijke: De natuurlijke of rechtspersoon, overheidsinstelling of enig ander orgaan die alleen of samen met anderen bepaalt voor welke doeleinden en met welke middelen persoonsgegevens worden verwerkt (Partij A).
  4. Verwerker: De natuurlijke of rechtspersoon, overheidsinstelling of enig ander orgaan die persoonsgegevens verwerkt onder gezag van de verwerkingsverantwoordelijke (Rimote Media – Partij B).
  5. Betrokkene: De natuurlijke persoon op wie persoonsgegevens betrekking hebben.
  6. AVG: De Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrij verkeer van die gegevens (General Data Protection Regulation).
  7. Datalek: Een schending van beveiliging die leidt tot onopzettelijke of onwettige vernietiging, verlies, wijziging, onbevoegde verspreiding of toegang tot persoonsgegevens die worden verzonden, opgeslagen of anderszins verwerkt.
  8. Subverwerker: Een natuurlijke of rechtspersoon die persoonsgegevens verwerkt onder gezag van de verwerker.
  9. Toezichthouder: De Autoriteit Persoonsgegevens (AP), de onafhankelijke autoriteit belast met toezicht op naleving van de AVG in Nederland.

Artikel 2 – Onderwerp en duur

  1. Deze overeenkomst is van toepassing op alle verwerkingen van persoonsgegevens die Rimote Media als Verwerker uitvoert in opdracht van de Verwerkingsverantwoordelijke.
  2. Deze overeenkomst treedt in werking op de datum van ondertekening en geldt voor de duur van de hoofdovereenkomst tussen partijen, tenzij eerder schriftelijk is beëindigd door een van de partijen.
  3. De verwerking omvat: hosting van websites en applicaties, softwareontwikkeling, IT-dienstverlening, en alle hiermee samenhangende diensten die Rimote Media aanbiedt.

Artikel 3 – Categorieën persoonsgegevens en betrokkenen

  1. Soort persoonsgegevens waarvan verwerking plaatsvindt:
    • Identificatiegegevens (naam, voornaam)
    • Contactgegevens (e-mailadres, telefoonnummer, adres)
    • IP-adressen en browsergegevens
    • Gebruikersactiviteiten en logbestanden
    • Cookies en tracking-informatie
    • Overige persoonsgegevens die de Verwerkingsverantwoordelijke via de hosting en software uploadt of verwerkt
  2. Categorieën betrokkenen:
    • Klanten van de Verwerkingsverantwoordelijke
    • Bezoekers van websites van de Verwerkingsverantwoordelijke
    • Gebruikers van applicaties van de Verwerkingsverantwoordelijke
    • Werknemers en partners van de Verwerkingsverantwoordelijke (voor contactgegevens)

Artikel 4 – Verplichtingen van de Verwerker

Rimote Media verbindt zich tot het volgende:

  1. Verwerking op basis van instructies: Rimote Media verwerkt persoonsgegevens uitsluitend op basis van schriftelijke instructies van de Verwerkingsverantwoordelijke en mag de gegevens niet voor eigen doeleinden gebruiken.
  2. Geheimhoudingsplicht: Alle medewerkers van Rimote Media zijn verplicht de geheimhouding van persoonsgegevens na te leven, zowel tijdens als na beëindiging van de arbeidsrelatie.
  3. Beveiligingsmaatregelen: Rimote Media implementeert passende technische en organisatorische beveiligingsmaatregelen, zoals beschreven in Artikel 8 van deze overeenkomst.
  4. Subverwerkers: Rimote Media schakelt geen subverwerkers in zonder voorafgaande schriftelijke toestemming van de Verwerkingsverantwoordelijke. Bij inschakeling van subverwerkers leggen wij dezelfde gegevensbeschermingsverplichtingen op als in deze overeenkomst.
  5. Medewerking aan rechten van betrokkenen: Rimote Media werkt in alle redelijkheid mee aan het vervullen van rechten van betrokkenen, waaronder:
    • Recht op inzage (artikel 15 AVG)
    • Recht op rectificatie (artikel 16 AVG)
    • Recht op vergetelheid (artikel 17 AVG)
    • Recht op beperking van verwerking (artikel 18 AVG)
    • Recht op dataportabiliteit (artikel 20 AVG)
    • Recht van bezwaar (artikel 21 AVG)
  6. Datalekken: Rimote Media meldt datalekken onverwijld, doch uiterlijk binnen 24 uur nadat het is ontdekt, aan de Verwerkingsverantwoordelijke, conform Artikel 9 van deze overeenkomst.
  7. DPIA en vervolgonderzoeken: Rimote Media werkt mee aan Data Protection Impact Assessments (DPIA) en andere onderzoeken die nodig zijn conform artikel 35 AVG en volgende.
  8. Omgang met gegevens na beëindiging: Na beëindiging van deze overeenkomst verwijdert of retourneert Rimote Media alle persoonsgegevens van de Verwerkingsverantwoordelijke binnen vier weken, tenzij wettelijk vereist om deze langer op te slaan.
  9. Audits en inspecties: Rimote Media werkt volledig mee aan audits, inspecties en verzoeken om informatie van de Verwerkingsverantwoordelijke en van toezichthouders.

Artikel 5 – Verplichtingen van de Verwerkingsverantwoordelijke

De Verwerkingsverantwoordelijke verbindt zich tot het volgende:

  1. Rechtmatigheid van de verwerking: De Verwerkingsverantwoordelijke garandeert dat de verwerking van persoonsgegevens waartoe opdracht wordt gegeven aan Rimote Media berust op een geldige rechtsgrondslag (zoals toestemming, uitvoering van een overeenkomst of gerechtvaardigd belang) conform artikel 6 AVG.
  2. Schriftelijke instructies: De Verwerkingsverantwoordelijke verstrekt duidelijke, schriftelijke en gedocumenteerde instructies aan Rimote Media met betrekking tot de verwerking van persoonsgegevens. De Verwerkingsverantwoordelijke informeert Rimote Media onverwijld over wijzigingen in verwerkingsdoeleinden of -instructies.
  3. Informatieplicht jegens betrokkenen: De Verwerkingsverantwoordelijke is verantwoordelijk voor het informeren van betrokkenen over de verwerking van hun persoonsgegevens conform artikelen 13 en 14 AVG, inclusief de inschakeling van Rimote Media als verwerker.
  4. Rechten van betrokkenen: De Verwerkingsverantwoordelijke is primair verantwoordelijk voor het afhandelen van verzoeken van betrokkenen (inzage, rectificatie, verwijdering, etc.). Rimote Media verleent hierbij medewerking conform artikel 4.5 van deze overeenkomst.
  5. Verwerkingsregister: De Verwerkingsverantwoordelijke houdt een register bij van verwerkingsactiviteiten conform artikel 30 AVG, waarin de verwerking door Rimote Media is opgenomen.
  6. Melding datalekken aan toezichthouder: De Verwerkingsverantwoordelijke is verantwoordelijk voor het melden van datalekken aan de Autoriteit Persoonsgegevens (AP) conform artikel 33 AVG en, waar vereist, aan betrokkenen conform artikel 34 AVG. Rimote Media levert de benodigde informatie aan conform artikel 9 van deze overeenkomst.
  7. Data Protection Impact Assessment: De Verwerkingsverantwoordelijke is verantwoordelijk voor het uitvoeren van een DPIA wanneer dit vereist is conform artikel 35 AVG. Rimote Media verleent hierbij medewerking.
  8. Kwaliteit en juistheid van gegevens: De Verwerkingsverantwoordelijke draagt zorg voor de juistheid en actualiteit van de persoonsgegevens die door Rimote Media worden verwerkt.
  9. Naleving wet- en regelgeving: De Verwerkingsverantwoordelijke garandeert dat het gebruik van de diensten van Rimote Media in overeenstemming is met alle toepasselijke wet- en regelgeving op het gebied van gegevensbescherming.
  10. Tijdige medewerking: De Verwerkingsverantwoordelijke reageert tijdig op meldingen en verzoeken van Rimote Media, waaronder meldingen van datalekken, verzoeken om instructies en vragen over de verwerking.

Artikel 6 – Verantwoordelijkheden hosting en onderhoud

6.1 Gedeelde hosting (Shared Hosting)

Bij gedeelde hosting is Rimote Media volledig verantwoordelijk voor het up-to-date houden van het besturingssysteem (OS) en de middleware (webserver, database, PHP/runtime-omgevingen) waarop de applicaties van de Verwerkingsverantwoordelijke draaien.

6.2 VPS-hosting met Service Level Agreement (SLA)

Bij Virtual Private Server (VPS)-hosting met een gesloten Service Level Agreement (SLA) is Rimote Media verantwoordelijk voor het up-to-date houden van het besturingssysteem en de middleware conform de afspraken en schema's vastgelegd in de SLA.

6.3 VPS-hosting zonder SLA

Bij Virtual Private Server (VPS)-hosting zonder Service Level Agreement (SLA) is de Verwerkingsverantwoordelijke volledig en alleen zelf verantwoordelijk voor het up-to-date houden van het besturingssysteem, de middleware en alle overige software op de server. Rimote Media verleent hierbij alleen infrastructuur- en internetverbindingsdiensten.

6.4 Applicatiebeheer (End-ware)

De Verwerkingsverantwoordelijke is te allen tijde zelf verantwoordelijk voor het up-to-date houden en correct configureren van alle applicaties (end-ware) die op de hosting draaien. Dit omvat het voorkomen van beveiligingslekken in de applicatie die kunnen leiden tot datalekken of onbevoegde toegang tot persoonsgegevens.

Op verzoek van de Verwerkingsverantwoordelijke kan Rimote Media het volledige updatebeheer van een specifieke applicatie overnemen. De afspraken hierover, waaronder de scope, frequentie en verantwoordelijkheden, worden vastgelegd in een separate serviceovereenkomst.

6.5 Back-ups

Rimote Media maakt regelmatig back-ups van de gehoste gegevens en content van de Verwerkingsverantwoordelijke. Offsite back-ups worden altijd versleuteld (encrypted) opgeslagen en zijn alleen toegankelijk voor geautoriseerde medewerkers van Rimote Media.

6.6 Bijdrage aan veilige opslag en verwerking

Rimote Media draagt naar beste vermogen en volgens industriestandaarden bij aan een veilige opslag en verwerking van persoonsgegevens, conform de beveiligingsmaatregelen beschreven in Artikel 8 van deze overeenkomst.

6.7 Beperking van gebruik van persoonsgegevens

Rimote Media zal persoonsgegevens nooit verkopen, verhandelen, verhuren of anderszins verwerken voor doeleinden die niet redelijkerwijs noodzakelijk zijn voor een goede bedrijfsvoering en uitvoering van de dienstverlening aan de Verwerkingsverantwoordelijke. Rimote Media zal persoonsgegevens niet gebruiken voor profilering, marketing, advertenties of enig ander doel dan hetgeen in deze overeenkomst is bepaald.

Artikel 7 – Subverwerkers

  1. Huidige subverwerkers: Indien Rimote Media subverwerkers inschakelt, wordt een actueel overzicht van deze subverwerkers vastgelegd in een apart document dat op verzoek beschikbaar is.
  2. Voorwaarde voor inschakeling nieuwe subverwerkers: Rimote Media mag nieuwe subverwerkers inschakelen alleen na voorafgaande schriftelijke toestemming van de Verwerkingsverantwoordelijke. De Verwerkingsverantwoordelijke kan bezwaar maken tegen de inschakeling van nieuwe subverwerkers.
  3. Dezelfde verplichtingen: Rimote Media legt aan elke subverwerker minimaal dezelfde gegevensbeschermingsverplichtingen op als opgenomen in deze overeenkomst via een contract.
  4. Voortdurende aansprakelijkheid: Rimote Media blijft volledig aansprakelijk jegens de Verwerkingsverantwoordelijke voor de nakoming van verplichtingen door subverwerkers. Rimote Media garandeert dat subverwerkers dezelfde garanties bieden als Rimote Media zelf.

Artikel 8 – Beveiligingsmaatregelen

Rimote Media implementeert en onderhoudt de volgende technische en organisatorische beveiligingsmaatregelen:

  1. Versleuteling:
    • Gegevens in transit: Alle gegevenstransfers tussen gebruikers en servers gebruiken TLS/SSL-versleuteling (minimaal TLS 1.2).
    • Gegevens in opslag: Offsite back-ups worden versleuteld opgeslagen met sterke encryptiestandaarden.
  2. Toegangscontrole: Rimote Media beperkt toegang tot persoonsgegevens tot gemachtigde medewerkers. Multi-factor authenticatie wordt gebruikt waar mogelijk.
  3. Netwerkbeveiliging: Firewalls, intrusion detection- en intrusion prevention-systemen beschermen tegen onbevoegde toegang.
  4. Beveiligingsupdates: Beveiligingsupdates voor besturingssystemen, middleware en applicaties worden regelmatig uitgevoerd conform de verantwoordelijkheden in Artikel 6.
  5. Monitoring en logging: Systemen worden gemonitord op veiligheidsincidenten. Logbestanden van kritieke gebeurtenissen worden bijgehouden.
  6. Scheiding van gegevens: Waar mogelijk worden persoonsgegevens van verschillende klanten gescheiden opgeslagen.
  7. Fysieke beveiliging: Waar Rimote Media gebruik maakt van externe datacenterfaciliteiten, garanderen wij dat deze voorzien zijn van passende fysieke beveiliging (beveiligde toegang, camerabewaking, etc.).
  8. Incidentrespons: Rimote Media beschikt over procedures voor respons op beveiligingsincidenten en datalekken.

Artikel 9 – Datalekken

  1. Meldingsplicht: Rimote Media meldt de Verwerkingsverantwoordelijke onverwijld, doch uiterlijk binnen 24 uur nadat een datalek is ontdekt, over het datalek.
  2. Inhoud melding: De melding bevat minimaal:
    • De aard van het datalek en de betrokken persoonsgegevens
    • Het geschatte aantal betrokken betrokkenen
    • De waarschijnlijke gevolgen van het datalek
    • De maatregelen die Rimote Media heeft genomen of voorstelt te nemen om het lek aan te pakken
    • De contactpersoon voor meer informatie
  3. Meldingsverplichting AP: Rimote Media meldt datalekken NIET rechtstreeks aan de Autoriteit Persoonsgegevens (AP). Dit is de verantwoordelijkheid van de Verwerkingsverantwoordelijke. Rimote Media verleent volledige medewerking aan de Verwerkingsverantwoordelijke bij het voldoen aan deze verplichting.
  4. Onderzoek en afhandeling: Rimote Media werkt volledig samen met de Verwerkingsverantwoordelijke bij het onderzoeken en afhandelen van het datalek.
  5. Kostenregelingen: Kosten die door Rimote Media ontstaan als gevolg van het onderzoeken en afhandelen van datalekken worden niet doorberekend aan de Verwerkingsverantwoordelijke, tenzij het datalek is veroorzaakt door niet-naleving van instructies van de Verwerkingsverantwoordelijke.

Artikel 10 – Gegevensoverdracht buiten de EER

  1. Verwerking binnen de EER: Rimote Media verwerkt persoonsgegevens uitsluitend binnen de Europese Economische Ruimte (EER) of in landen waarvoor de Europese Commissie een adequaatheidsbesluit heeft genomen.
  2. Overdracht buiten de EER: Mocht overdracht van persoonsgegevens naar landen buiten de EER nodig zijn, dan zijn de EU-standaardcontractbepalingen van toepassing conform Uitvoeringsbesluit (EU) 2021/915 van 4 juni 2021. De Verwerkingsverantwoordelijke dient hiervoor uitdrukkelijke schriftelijke toestemming te geven.
  3. Mechanismen voor gegevensoverdracht: Bij gegevensoverdracht buiten de EER past Rimote Media geschikte waarborgen toe, waaronder:
    • EU-standaardcontractbepalingen
    • Bindende bedrijfsregels (Binding Corporate Rules)
    • Aanvullende maatregelen ter waarborging van voldoende beschermingsniveau

Artikel 11 – Aansprakelijkheid

  1. Aansprakelijkheid voor niet-naleving: Iedere partij draagt volledige aansprakelijkheid voor schade veroorzaakt door niet-naleving van deze overeenkomst in overeenstemming met artikel 82 AVG.
  2. Beperking Rimote aansprakelijkheid: De aansprakelijkheid van Rimote Media voor schade voortvloeiend uit deze overeenkomst is beperkt conform de bepalingen in de Algemene Voorwaarden van Rimote Media.
  3. Vrijstelling: Rimote Media is niet aansprakelijk voor schade voortvloeiend uit:
    • Niet-naleving van instructies van de Verwerkingsverantwoordelijke
    • Verplichtingen van de Verwerkingsverantwoordelijke zelf onder artikelen 5 en 6 van deze overeenkomst
    • Gebruik van de diensten door de Verwerkingsverantwoordelijke in strijd met deze overeenkomst of de wet
    • Acties of nalatigheden van derden, waaronder subverwerkers, voor zover de schuld niet te wijten is aan Rimote Media
  4. Verdere bepalingen: Voor verdere aansprakelijkheidsbepalingen, maximale schadebedragen en uitsluitingen verwijzen wij naar de Algemene Voorwaarden van Rimote Media.

Artikel 12 – Duur en beëindiging

  1. Ingangsdatum en looptijd: Deze overeenkomst gaat in op de ondertekeningsdatum en loopt gelijk met de hoofdovereenkomst tussen partijen.
  2. Beëindiging: Deze overeenkomst kan door beide partijen schriftelijk worden beëindigd conform de bepalingen in de hoofdovereenkomst.
  3. Gevolgen beëindiging: Bij beëindiging van deze overeenkomst verwijdert of retourneert Rimote Media alle persoonsgegevens van de Verwerkingsverantwoordelijke binnen vier weken, tenzij wettelijke verplichtingen het behoud van die gegevens vereisen.
  4. Voortbestaande bepalingen: Bepalingen van deze overeenkomst die naar hun aard bestemd zijn om voort te duren ook na beëindiging (zoals geheimhoudingsplicht, aansprakelijkheid en indemniteitsbepaling) blijven van kracht.

Artikel 13 – Toepasselijk recht en geschillen

  1. Toepasselijk recht: Deze overeenkomst wordt beheerst door Nederlands recht.
  2. Geschillenbeslechting: Alle geschillen voortvloeiend uit deze overeenkomst worden voorgelegd aan de bevoegde rechter in Groningen, Nederland.

Ondertekening

De partijen geven hierbij hun goedkeuring aan de inhoud van deze overeenkomst:

VERWERKINGSVERANTWOORDELIJKE (Partij A)

Naam:

Functie:

Datum:

RIMOTE MEDIA – VERWERKER (Partij B)

Naam:

Richard Landsman

Functie:

Vennoot

Datum:

10-02-2026

BIJLAGE 1 – Beschrijving van de Verwerking(en)

Onderstaande tabel beschrijft de verwerkingen van persoonsgegevens door Rimote Media:

Aspect Details
Onderwerp verwerking Hosting van websites en applicaties, softwareontwikkeling, IT-ondersteuning
Duur verwerking Gedurende de duur van het contract; backup gegevens conform bewaartermijnen
Aard en doel Opslag, beheer, onderhoud en levering van hosting- en softwareontwikkelingsdiensten
Soort persoonsgegevens Identificatiegegevens, contactgegevens, IP-adressen, browsergegevens, gebruikersactiviteiten, en andere persoonsgegevens opgeslagen door klanten
Categorieën betrokkenen Klanten van de Verwerkingsverantwoordelijke, bezoekers en gebruikers van websites/applicaties, medewerkers
Ontvangers Medewerkers van Rimote Media; eventuele subverwerkers conform Artikel 7; geautoriseerd onderhoudspersoneel
Overdrachtsmechanismen Verwerking vindt plaats in de EER. Bij overdracht buiten de EER: EU-standaardcontractbepalingen

Aanvullende opmerkingen:

  • De Verwerkingsverantwoordelijke kan aanvullende verwerkingsinstructies verstrekken in de vorm van schriftelijke overeenkomsten of service level agreements.
  • Rimote Media verwerkt persoonsgegevens alleen conform de schriftelijke instructies van de Verwerkingsverantwoordelijke.
  • Wijzigingen in deze verwerkingsbeschrijving worden schriftelijk afgesproken en gedocumenteerd.

Pioenstraat 194 | 9713 XX Groningen | +31 50 763 04 07 | vragen@rimote.nl | www.rimote.nl

Rimote Media – Verwerkersovereenkomst conform artikel 28 AVG