Raaf & Wolf bv
A. Raaf & Wolf bv laat klantdata optimaal renderen, met verstand van data, gevoel voor marketingen respect voor privacy van de betrokkene. Raaf & Wolf bv biedt diensten op het gebied van datakwaliteit, klantinzicht en doelgroepbereik. Raaf & Wolf bv is daarmee de partner voor (middel)grote en data-gedreven organisaties om het rendement uit hun data te maximaliseren door het zo goed mogelijk ontsluiten, analyseren en toepassen van die data.
B. Opdrachtgever wenst in dat kader data ter beschikking te stellen voor verwerking door Raaf & Wolf bv, waarin mogelijk Persoonsgegevens – gegevens herleidbaar tot een individuele natuurlijke persoon zoals bedoeld in de Wet Bescherming Persoonsgegevens – zijn opgenomen (hierna: de “Persoonsgegevens”). Partijen zullen daartoe steeds een aparte overeenkomst van opdracht aangaan.
C. Raaf & Wolf bv zal de in de data opgenomen Persoonsgegevens uitsluitend in opdracht van Opdrachtgever verwerken en deze beveiligen door technische en organisatorische
maatregelen, één en ander zoals hierna bepaald in deze verwerkersovereenkomst en
eventuele bijbehorende bijlagen.
D. Deze verwerkersovereenkomst geldt als aanvulling op de tussen partijen als dan
geldende overeenkomst van opdracht waarbij Raaf & Wolf bv de in die overeenkomst
omschreven diensten levert aan Opdrachtgever. Deze verwerkersovereenkomst laat
het bepaalde in die overeenkomst van opdracht onverlet.
E. Deze verwerkersovereenkomst geldt tussen partijen voor het lopende kalenderjaar
2019. Opdrachtgever kan gedurende het kalenderjaar 2019 één of meerdere opdrachten verlenen aan Raaf & Wolf bv, maar is daartoe niet verplicht. Deze
verwerkersovereenkomst is van toepassing op iedere opdracht die Opdrachtnemer
gedurende deze periode aan Raaf & Wolf bv verleent waarbij Persoonsgegevens worden
verwerkt waarvoor Opdrachtgever verantwoordelijke is.
F. Onderliggend aan deze verwerkersovereenkomst zijn de Algemene Voorwaarden van Raaf & Wolf BV van kracht.
1. Wet Bescherming Persoonsgegevens
1.1. Opdrachtgever is ‘verantwoordelijke’ in de zin van de Wet Bescherming
Persoonsgegevens (WBP) voor verwerking van Persoonsgegevens. Opdrachtgever blijft
volledige zeggenschap houden over, en is verantwoordelijk voor, de (verwerking van)
Persoonsgegevens die Opdrachtgever aan Raaf & Wolf bv ter beschikking stelt.
1.2. Raaf & Wolf bv verwerkt de door Opdrachtgever verstrekte Persoonsgegevens uitsluitend in opdracht van Opdrachtgever om de tussen partijen geldende overeenkomst uit te kunnen voeren.
2. Geheimhouding en beveiliging
2.1. Raaf & Wolf bv behandelt alle Persoonsgegevens vertrouwelijk en houdt deze geheim. Deze verplichting geldt ook voor de werknemers en medewerkers van Raaf & Wolf bv met toegang tot Persoonsgegevens; allen hebben een geheimhoudingsverklaring ondertekend.
2.2. De door Opdrachtgever verstrekte Persoonsgegevens worden door Raaf & Wolf bv uitsluitend in Europa verwerkt.
2.3. Raaf & Wolf bv hanteert de grootst mogelijke zorg met betrekking tot de genomen
beveiligingsmaatregelen. Raaf & Wolf bv handelt conform de verplichtingen die gelden voor verwerker in de WBP en spant zich in te handelen conform de door de Autoriteit
Persoonsgegevens opgestelde richtsnoeren Beveiliging van Persoonsgegevens en
Meldplicht datalekken.
2.4. Diensten ten aanzien van de Persoonsgegevens waarvoor Opdrachtgever
verantwoordelijke is, worden uitgevoerd door Raaf & Wolf bv. Eventuele onderaannemers zijn door Raaf & Wolf bv gehouden aan de geheimhoudingsverplichtingen en strenge beveiligingsmaatregelen zoals deze ook voor Raaf & Wolf bv gelden en zijn opgenomen in deze verwerkingsovereenkomst.
2.5. Onderaannemers of sub verwerker die in het kader van hun dienstverlening aan Raaf & Wolf bv noodzakelijkerwijs toegang hebben tot Persoonsgegevens waarvoor Opdrachtgever verantwoordelijke is, worden alleen ingezet met kennisgeving aan Opdrachtgever. Opdrachtgever kan de toestemming om derden in te schakelen aan nadere voorwaarden verbinden, hetgeen partijen alsdan nader schriftelijk overeenkomen in een bijlage bij deze verwerkersovereenkomst.
2.6 In deze campagne gaan wij niet uit van samenwerking met sub-verwerker. Mocht er een sub verwerker nodig zijn dan wordt deze er tussen opdrachtgever en sub-verwerker een verwerkersovereenkomst worden overeengekomen.
3. Passende beveiligingsmaatregelen – security info
3.1. Raaf & Wolf bv heeft passende technische en organisatorische maatregelen genomen om Persoonsgegevens te beveiligen tegen verlies of een vorm van onrechtmatige verwerking. Deze maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van Persoonsgegevens te voorkomen.
3.3. Raaf & Wolf bv maakt gebruik van technieken zoals cryptografische technieken, encryptie (versleuteling) en hashing. Daarbij zorgt Raaf & Wolf bv voor goed ingericht sleutelbeheer, het gebruik van sleutellengten en versleutelingstechnieken. De sleutels worden door Raaf & Wolf bv geheim gehouden.
4. Aanlevering Persoonsgegevens via Raaf & Wolf bv Transfer
4.1. Opdrachtgever zal de Persoonsgegevens en eventuele overige data aan Raaf & Wolf bv aanleveren op de wijze en in het formaat als nader overeengekomen tussen partijen.
Raaf & Wolf bv verstuurt en ontvangt geen Persoonsgegevens via onbeveiligde email. Data mag alleen via beveiligde verbindingen aan Raaf & Wolf bv worden toegezonden.
4.2. Voor toegang tot een beveiligde online transfer omgeving kan Opdrachtgever voor de door hem geautoriseerde werknemers persoonlijke accounts en login gegevens
ontvangen van Raaf & Wolf bv. Opdrachtgever en zijn werknemers zullen deze inloggegevens geheim houden en niet delen met derden. Opdrachtgever is en blijft altijd aansprakelijk voor de activiteiten via zijn account of die van zijn werknemers.
4.3. Raaf & Wolf bv kan te allen tijde de toegang tot de beveiligde online transfer omgeving vanaf een specifiek account opschorten, blokkeren of beëindigen. Toegang wordt in ieder geval beëindigd indien een werknemer uit dienst treedt bij Opdrachtgever. Opdrachtgever zal Raaf & Wolf bv’s privacy officer op de hoogte stellen van uit dienst treden van werknemers met toegang tot de beveiligde online transfer omgeving van Raaf & Wolf bv.
4.4. Gevoelige gegevens, zoals bankgegevens of andere gegevens die toegang geven tot
financiële accounts van betrokkenen en/of bijzondere Persoonsgegevens als bedoeld
in de WBP, zoals ziektebeelden, politieke voorkeur of seksuele geaardheid van
betrokkenen, worden door Raaf & Wolf bv niet verwerkt, tenzij op uitdrukkelijk verzoek van Opdrachtgever. Raaf & Wolf bv kan in die gevallen van Opdrachtgever verlangen nadere beveiligingsmaatregelen te nemen, of Raaf & Wolf bv kan deze namens Opdrachtgever nemen op kosten van Opdrachtgever.
4.5. Fouten of vertragingen die (mede) ontstaan omdat de door of namens Opdrachtgever aangeleverde Persoonsgegevens of overige data (gegevens of bestanden) niet juist of onvolledig zijn, kunnen niet tot enige aansprakelijkheid van Raaf & Wolf bv leiden.
4.6. Opdrachtgever is jegens Raaf & Wolf bv aansprakelijk voor de eventuele schade die Raaf & Wolf bv lijdt als gevolg van fouten of onvolkomenheden in de door hem aangeleverde Persoonsgegevens of overige data. Hieronder dienen mede te worden verstaan eventuele virussen, wormen of andere elektronische elementen. Opdrachtgever vrijwaart Raaf & Wolf bv voor eventuele aanspraken van derden als gevolg van dergelijke fouten of onvolkomenheden in de door hem aangeleverde data.
4.7. Opdrachtgever garandeert ten aanzien van door hem aan Raaf & Wolf bv te leveren
Persoonsgegevens of overige data, dat hij gerechtigd is deze aan Raaf & Wolf bv ter beschikking te stellen en dat Raaf & Wolf bv gerechtigd is de ten aanzien daarvan overeengekomen werkzaamheden te verrichten. Opdrachtgever vrijwaart Raaf & Wolf bv voor eventuele aanspraken van derden.
5. Datalek
5.1. Indien Raaf & Wolf bv een inbreuk op de door haar genomen beveiligingsmaatregelen constateert, waarbij de Persoonsgegevens waarvoor Opdrachtgever verantwoordelijke is, toegankelijk zijn of zijn geweest voor onbevoegde derden en daarmee zijn blootgesteld aan verlies of onrechtmatige verwerking (een “datalek”), zal Raaf & Wolf bv al het redelijk mogelijke doen om het incident te verhelpen dan wel het datalek te herstellen en eventuele schade zoveel mogelijk te beperken en herhaling in de toekomst te voorkomen.
5.2. Raaf & Wolf bv zal Opdrachtgever onverwijld en adequaat informeren over ieder (mogelijk) datalek betreffende Persoonsgegevens van Opdrachtgever, zodat Opdrachtgever naar behoren en tijdig wordt betrokken. ‘Onverwijld’ betekent zo snel mogelijk na ontdekking van het datalek door Raaf & Wolf bv, waarbij Raaf & Wolf bv zich tot het uiterste zal inspannen al binnen enkele uren te informeren voor zover redelijkerwijs mogelijk en uiterlijk binnen 24 uur. Eén en ander zodat Opdrachtgever aan zijn wettelijke meldplicht kan voldoen te melden binnen de daarvoor gestelde wettelijke termijn van 72 uur na ontdekking van het datalek.
5.3. In geval van een hiervoor bedoeld datalek, zal Raaf & Wolf bv contact opnemen met de privacy officer of verantwoordelijke contactpersoon van Opdrachtgever. Raaf & Wolf bv zal deze persoon steeds op de hoogte houden van nieuwe ontwikkelingen en de genomen maatregelen rondom het (mogelijke) datalek.
5.4. Melden van een datalek aan de Autoriteit Persoonsgegevens of aan betrokkenen is en blijft de verantwoordelijkheid van de Opdrachtgever die verantwoordelijke is. In geval van een melding zullen partijen niettemin afspraken maken over de eventuele externe communicatie met betrekking tot het datalek in de media en aan betrokkenen.
5.5. Raaf & Wolf bv verleent aan Opdrachtgever volledige medewerking bij de melding, zodat binnen de daarvoor gestelde termijn van 72 uur na ontdekking van het datalek de melding door Opdrachtgever kan worden gedaan aan de Autoriteit Persoonsgegevens en/of betrokkenen.
5.6. Op verzoek van Opdrachtgever kan Raaf & Wolf bv Opdrachtgever ondersteunen bij de beoordeling of een (mogelijk) datalek moet worden gemeld aan de Autoriteit
Persoonsgegevens en/of aan betrokkenen aan de hand van de ‘beleidsregels
meldplicht datalekken’ van de Autoriteit Persoonsgegevens.
5.7. Opdrachtgever kan Raaf & Wolf bv verzoeken om Opdrachtgever te ondersteunen in de externe communicatie in de media en aan betrokkenen, indien Opdrachtgever oordeelt dat een melding van een datalek aan betrokkenen dient plaats te vinden.
5.8. Opdrachtgever zal Raaf & Wolf bv steeds op de hoogte houden van eventuele wijzigingen in de gegevens van zijn contactpersoon of privacy officer.
6. Controle beveiliging
6.1. Raaf & Wolf bv zal de door haar genomen beveiligingsmaatregelen ten aanzien van
Persoonsgegevens regelmatig (laten) controleren. Op eerste verzoek van
Opdrachtgever, zal Raaf & Wolf bv aantonen dat zij voldoet aan de normen die gelden op het gebied van informatiebeveiliging aan de hand van een rapportage van die controle, een geldige certificering ten aanzien van informatiebeveiliging of een gelijkwaardig bewijsmiddel.
6.2. Verkregen informatie of inzicht in de door Raaf & Wolf bv genomen beveiligingsmaatregelen, zal Opdrachtgever vertrouwelijk behandelen en geheim houden en op geen enkele wijze delen met derden. Indien en voor zover inzage in de beveiligingsmaatregelen van Raaf & Wolf bv naar oordeel van Raaf & Wolf bv een onaanvaardbaar risico oplevert voor die beveiliging, kan Raaf & Wolf bv volstaan met een meer algemene beschrijving van de genomen beveiligingsmaatregelen.
6.3. Opdrachtgever is daarnaast bevoegd om op eigen kosten een audit met betrekking tot de overeengekomen werkzaamheden en door Raaf & Wolf bv getroffen organisatorische en technische beveiligingsmaatregelen uit te (laten) voeren door een onafhankelijke Register EDP-IT auditor (RE). Raaf & Wolf bv zal daartoe de benodigde medewerking verlenen en inzicht verlenen in beveiligingsprocedures en protocollen.
6.4. Opdrachtgever zal Raaf & Wolf bv 4 (vier) weken voorafgaand aan de audit schriftelijk (of per email) informeren via Raaf & Wolf bv’s privacy officer en aangeven in welke informatie Opdrachtgever graag inzicht wil. Raaf & Wolf bv zal eventuele aanbevelingen en/of verbeteringen die naar aanleiding van de bevindingen uit de audit moeten worden doorgevoerd, binnen haar eigen organisatie op eigen kosten doorvoeren voor zover redelijkerwijs van Raaf & Wolf bv mag worden verwacht.
7. Informatieverplichtingen en rechten betrokkene
7.1. Opdrachtgever erkent dat met betrekking tot verwerking van de Persoonsgegevens
waarvoor Opdrachtgever verantwoordelijke is, de informatieverplichtingen richting de
betrokkenen – de natuurlijke personen – uitsluitend voor rekening komen van
Opdrachtgever.
7.2. Opdrachtgever garandeert dat hij aan zijn informatieverplichtingen heeft voldaan aan de betrokkenen en hen onder meer heeft geïnformeerd over de doeleinden van de
verwerking waarvoor Opdrachtgever gebruik maakt van de diensten van Raaf & Wolf bv, met name, maar niet beperkt tot, dataverrijking, profilering, reclame en direct marketing. Opdrachtgever garandeert dat hij zijn betrokkenen heeft gewezen op hun recht vanverzet, hun recht op inzage, correctie en/of verwijdering.
7.3. Opdrachtgever staat er voor in dat het gebruik en verwerking van de
Persoonsgegevens niet onrechtmatig is of een inbreuk oplevert op de rechten van
derden en vrijwaart Raaf & Wolf bv voor eventuele aanspraken van toezichthouders of derden terzake.
7.4. Raaf & Wolf bv past zo veel mogelijk filters toe waarin betrokkenen hebben aangegeven niet direct te willen worden benaderd, zoals het bel-me-niet register en postfilter. Niettemin blijven de verplichtingen tot ontdubbeling, al dan niet op basis van toepasselijke wetgeving, te allen tijde rusten op Opdrachtgever.
7.5. De rechten van betrokkenen op inzage, correctie en verzet zijn door Raaf & Wolf bv geborgd in procedures. Betrokkenen kunnen altijd via Opdrachtgever die de verantwoordelijke is, inzage vragen naar de herkomst van hun Persoonsgegevens, deze corrigeren of deze laten verwijderen voor verder gebruik. Opdrachtgever kan dit verzoek doorzenden naar Raaf & Wolf bv’s privacy officer. Op verzoek en naar keuze van de verantwoordelijke Opdrachtgever, wordt (i) de Opdrachtgever geïnformeerd, zodat hij betrokkene kan informeren; ofwel (ii) Raaf & Wolf bv informeert de betrokkene namens Opdrachtgever.
7.6. Verzoeken van betrokkenen aan Raaf & Wolf bv’s privacy officer, worden zo snel mogelijk beantwoord, uiterlijk binnen 4 werkdagen. Een verzet van betrokkene, en daarmee verzoek om zijn Persoonsgegevens te verwijderen voor verder gebruik door
Opdrachtgever en/of Raaf & Wolf bv voor reclame en direct marketing, wordt door Raaf & Wolf bv altijd direct uitgevoerd. De betrokkene wordt dan opgenomen in Raaf & Wolf bv’s eigen supressielijst.
7.7. Raaf & Wolf bv kan verdere informatie verlangen ter nadere identificatie van betrokkene om te voorkomen dat iemand anders dan de betrokkene zijn Persoonsgegevens opvraagt, inziet of laat verwijderen. Een betrokkene heeft alleen inzage in zijn eigen Persoonsgegevens.
8. Einde opdracht en bewaartermijn
8.1. Raaf & Wolf bv zal (verdere) aanwijzingen van Opdrachtgever rondom verwerking van de Persoonsgegevens waarvoor Opdrachtgever verantwoordelijke is, strikt opvolgen. Opdrachtgever kan nadere voorwaarden stellen met betrekking tot bewaartermijnen en retournering van Persoonsgegevens na beëindiging of voltooiing van de opdracht of overeenkomst, hetgeen partijen als dan zullen opnemen in bijlage bij deze overeenkomst.
8.2. Na voltooiing van een opdracht of na (tussentijdse) beëindiging van de samenwerking en deze verwerkersovereenkomst, zal Raaf & Wolf bv de Persoonsgegevens waarvoor Opdrachtgever verantwoordelijke is, verwijderen uit haar actieve systemen en daaruit verwijderd houden.
9. Toepassing en duur verwerkersovereenkomst
9.1. Deze verwerkersovereenkomst geldt tussen partijen voor het kalenderjaar 2019.
9.2. Deze verwerkersovereenkomst is van toepassing op iedere opdracht die
Opdrachtnemer gedurende deze periode aan Raaf & Wolf bv verleent waarbij Persoonsgegevens worden verwerkt waarvoor Opdrachtgever verantwoordelijke is. Opdrachtgever kan gedurende deze periode één of meerdere opdrachten verlenen aan Raaf & Wolf bv; Opdrachtgever is daartoe niet verplicht.
9.3. Deze verwerkersovereenkomst wordt steeds stilzwijgend verlengd met de duur van één kalenderjaar, tenzij één van beide partijen de overeenkomst beëindigt door
schriftelijke kennisgeving aan de ander met een opzegtermijn van één kalendermaand.
9.4. Raaf & Wolf bv kan aan Opdrachtgever steeds voor het nieuwe kalenderjaar een nieuwe verwerkersovereenkomst voorleggen voor het dan komende kalenderjaar. Die nieuwe verwerkersovereenkomst zal als dan deze vervangen. Raaf & Wolf bv zal Opdrachtgever altijd vooraf informeren over eventuele materiële wijzigingen.
10. Overig
10.1. Wijzigingen op deze verwerkersovereenkomst gelden alleen indien schriftelijk
overeengekomen en ondertekend door beide partijen.
10.2. Algemene voorwaarden van Opdrachtgever zijn niet van toepassing en worden door Raaf & Wolf bv uitdrukkelijk van de hand gewezen.
10.3. Deze verwerkersovereenkomst en eventuele bijlagen, vormt een aanvulling op de door Opdrachtgever van tijd tot tijd te verlenen opdracht aan Raaf & Wolf bv en de dan daarbij behorende overeenkomst van opdracht. Bij strijdigheid tussen bepalingen uit deze verwerkersovereenkomsten de overeenkomst van opdracht en eventueel Raaf & Wolf bv’s toepasselijke algemene voorwaarden, prevaleren de bepalingen uit de overeenkomst van opdracht en vervolgens de bepalingen in deze verwerkersovereenkomst.