Voorwaarden voor de Verwerking van Persoonsgegevens

Voorwaarden ex artikel 28 Algemene Verordening Gegevensbescherming (AVG) van het Nederlands Rekencentrum Letselschade B.V. voor de Verwerkingen van Persoonsgegevens die zij in opdracht, namens en ten behoeve van een Verwerkingsverantwoordelijke verricht.

NRL

Nederlands Rekencentrum Letselschade B.V. (NRL) is een besloten vennootschap met beperkte aansprakelijkheid, statutair gevestigd te Den Haag, aan de Kettingstraat 2 te ’s-Gravenhage, ingeschreven in het handelsregister onder nummer 30105250.

OVERWEGENDE DAT:

  • NRL levert aan haar opdrachtgevers de navolgende diensten (Diensten):
    • NRL berekent personenschade als gevolg van letsel of overlijden van een Benadeelde uitsluitend na een verstrekte opdracht door een Opdrachtgever.
      Onder Opdrachtgever wordt onder meer verstaan: advocaat, rechtsbijstandverlener, letselschadebehartiger, WA-verzekeraar, WA-expertisebureau, overheid;
    • NRL berekent personenschades als gevolg van letsel of overlijden in het kader van een deskundigenopdracht op verzoek van een Gerechtelijke Instantie;
    • NRL gebruikt voor de berekening de door de Opdrachtgever aangeleverde Persoonsgegevens;
    • NRL stelt rekentools ter beschikking;
    • NRL geeft voorlichting in de vorm van “Rekencijfers” (met “RekenWijzer”), ”Rechtspraak” en cursussen;
    • NRL heeft een voor het publiek toegankelijke (in Nederland gevestigde) website waarop zij haar diensten kenbaar maakt.
  • NRL levert haar Diensten op basis van een overeenkomst (de Overeenkomst) met haar opdrachtgever (de Opdrachtgever);
  • Bij de uitvoering van de Overeenkomst zal NRL ten behoeve van Opdrachtgever Persoonsgegevens verwerken in de zin van de Algemene Verordening Gegevensbescherming;
  • Opdrachtgever is de Verwerkingsverantwoordelijke voor deze Persoonsgegevens en wordt hierna ook aangeduid als Verwerkingsverantwoordelijke;
  • De Persoonsgegevens omvatten mede bijzondere categorieën van Persoonsgegevens, waaronder doch niet uitsluitend, gezondheidsgegevens;
  • Opdrachtgever heeft NRL opdracht verleend om in het kader van de Overeenkomst, namens en ten behoeve van Opdrachtgever, Persoonsgegevens te verwerken voor door Opdrachtgever vastgestelde doelen en met door Opdrachtgever bepaalde middelen en uitsluitend conform de schriftelijke instructies van Opdrachtgever;
  • NRL aanvaardt deze opdracht onder de hierin vervatte voorwaarden;
  • Krachtens de AVG moet de Verwerking van Persoonsgegevens door een Verwerker worden geregeld in een overeenkomst tussen de Verwerkingsverantwoordelijke en de Verwerker of een andere rechtshandeling die de Verwerker ten aanzien van de Verwerkingsverantwoordelijke bindt (Verwerkingsvoorwaarden).

NRL stelt hierbij de Verwerkingsvoorwaarden als volgt vast, waarbij de Verwerkingsvoorwaarden zijn aan te merken als rechtshandeling in de zin van artikel 28 van de AVG.

VERWERKINGSVOORWAARDEN:

1. Begrippen

De hierna en hiervoor in deze Verwerkingsvoorwaarden vermelde, met een hoofdletter geschreven, begrippen hebben de volgende betekenis:

1.1          Persoonsgegevens: alle informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon zoals bedoeld in artikel 4 sub 1 AVG.

1.2          Verwerker: het Nederlands Rekencentrum Letselschade B.V.

1.3          Verwerking: een bewerking of een geheel van bewerkingen met betrekking tot Persoonsgegevens of een geheel van Persoonsgegevens, al dan niet uitgevoerd via automatische procedés,   zoals bedoeld in artikel 4 sub 2 AVG.

1.4          Verwerkingsverantwoordelijke: Opdrachtgever is de Verwerkingsverantwoordelijke.

1.5          Overeenkomst: de Overeenkomst met betrekking tot het uitvoeren van werkzaamheden tussen Verwerkingsverantwoordelijke en NRL.

1.6          Verwerkingsvoorwaarden: deze voorwaarden voor de Verwerking van Persoonsgegevens inclusief overwegingen en bijbehorende bijlagen.

1.7          Betrokkene: degene op wie Persoonsgegevens betrekking hebben.

1.8          Datalek: een inbreuk in verband met Persoonsgegevens in de zin van artikel 4 sub 12 AVG.

Overige begrippen die in deze voorwaarden met een Hoofdletter worden aangeduid hebben de betekenis die daaraan in de AVG wordt gegeven, tenzij anders bepaald.

2. Voorwerp van de Verwerkingsvoorwaarden; maatregelen en instructies

2.1           NRL Verwerkt namens en ten behoeve van de Verwerkingsverantwoordelijke de in Bijlage 1 beschreven Verwerking(en) (hierna: de Verwerkingen) met betrekking tot de daarin beschreven Persoonsgegevens (hierna: de Persoonsgegevens) voor de daarin beschreven, door de Verwerkingsverantwoordelijke bepaalde doelen op basis van in deze Verwerkingsvoorwaarden beschreven instructies.

2.2           De Verwerkingsverantwoordelijke garandeert jegens de Verwerker dat hij voldoet aan alle beginselen inzake de Verwerking van de Persoonsgegevens, waaronder doch niet beperkt tot, alle verplichtingen uit hoofde van de AVG en de Uitvoeringswet AVG.

2.3          NRL voldoet aan alle toepasselijke wet- en regelgeving. NRL zal de Persoonsgegevens op behoorlijke en zorgvuldige wijze en in overeenstemming met de AVG en andere toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens verwerken.

2.4           NRL garandeert dat NRL passende technische en organisatorische maatregelen heeft genomen, zodat de Verwerkingen door NRL aan de vereisten van de AVG en overige toepasselijke wet- en regelgeving voldoen en de bescherming van de rechten van Betrokkenen is gewaarborgd.

2.5          NRL Verwerkt Persoonsgegevens slechts in opdracht van de Verwerkingsverantwoordelijke en volgt alle instructies van de Verwerkingsverantwoordelijke dienaangaande op, behoudens afwijkende wettelijke verplichtingen.

2.6          NRL zal de Persoonsgegevens van de Verwerkingsverantwoordelijke gescheiden verwerken van de Persoonsgegevens die zij voor zichzelf of namens derde partijen verwerkt.

2.7          Verwerkingsverantwoordelijke bepaalt het doel en de middelen voor de Verwerking van de Persoonsgegevens. NRL zal de Persoonsgegevens niet voor enig ander doel of met enig ander middel verwerken. Voor zover niet anders is bepaald in deze Verwerkingsvoorwaarden, neemt NRL geen beslissingen over het gebruik van de Persoonsgegevens, de verstrekking aan derden, doorgiften naar derde landen en de duur van de opslag van Persoonsgegevens. De zeggenschap over de Persoonsgegevens verstrekt onder deze Verwerkingsvoorwaarden komt nimmer bij NRL te berusten.

2.8          NRL mag de Persoonsgegevens uitsluitend verwerken of door andere Verwerkers doen verwerken in Nederland.

2.9          NRL geeft de Verwerkingsverantwoordelijke op eerste verzoek inzage in het register van verwerkingsactiviteiten zoals bedoeld in artikel 30 lid 2 AVG met betrekking tot de Persoonsgegevens waarop deze Verwerkingsvoorwaarden betrekking hebben.

2.10       Indien NRL SubVerwerkers inschakelt, verzekert NRL dat inschakeling van deze SubVerwerkers niet in de weg staat aan de nakoming van deze Verwerkingsvoorwaarden. NRL verzekert in ieder geval dat de SubVerwerker zich richt naar de instructies van de Verwerkingsverantwoordelijke, tot geheimhouding verplicht is en de nodige beveiligingsmaatregelen ten opzichte van de Verwerking neemt.

2.11       NRL zal geen Persoonsgegevens, waarvoor de Verwerkingsverantwoordelijke de Verwerkingsverantwoordelijke is, aan Derden verstrekken, tenzij op schriftelijk verzoek van de Verwerkingsverantwoordelijke, of met diens toestemming.

2.12       Indien NRL op grond van een wettelijke verplichting wordt verzocht Persoonsgegevens te verstrekken, informeert NRL onmiddellijk de Verwerkingsverantwoordelijke.

De Verwerkingsverantwoordelijke zal de grondslag van het verzoek en de identiteit van de verzoeker verifiëren en beoordelen of NRL aan het verzoek mag voldoen.

2.13       NRL verleent de Verwerkingsverantwoordelijke volledige medewerking om binnen de wettelijke termijnen te voldoen aan de verplichtingen op grond van de AVG, meer in het bijzonder de rechten van Betrokkenen, zoals, maar niet beperkt tot, een verzoek om inzage, verbetering, aanvulling, verwijdering of afscherming van Persoonsgegevens en het uitvoeren van een gehonoreerd aangetekend bezwaar.

2.14       Indien NRL onrechtmatige Verwerkingen of inbreuken op de in artikel 3 bedoelde beveiligingsmaatregelen signaleert, zal NRL de Verwerkingsverantwoordelijke hierover onmiddellijk inlichten en alle redelijkerwijs benodigde maatregelen treffen om deze en verdere onrechtmatige Verwerkingen of inbreuken te beëindigen, te voorkomen of te beperken.

2.15       NRL informeert de Verwerkingsverantwoordelijke zo spoedig mogelijk en adequaat over een Datalek of een vermoeden daarvan. Hierna houdt NRL de Verwerkingsverantwoordelijke op de hoogte van nieuwe ontwikkelingen rond het Datalek en van de maatregelen die NRL treft om de gevolgen van het Datalek te beperken en herhaling te voorkomen. NRL stelt de Verwerkingsverantwoordelijke desgevraagd in de gelegenheid op de naleving van deze maatregelen toe te zien.

2.16       De Verwerkingsverantwoordelijke beoordeelt of hij verplicht is het Datalek te melden aan de Toezichthoudende Autoriteit op grond van Artikel 33 AVG of aan een andere bevoegde autoriteit en of hij verplicht is het Datalek mee te delen aan de Betrokkenen op grond van Artikel 34 AVG.

2.17       NRL verleent de Verwerkingsverantwoordelijke desgevraagd medewerking aan het voldoen aan de meldplicht aan de Autoriteit Persoonsgegevens of een andere bevoegde autoriteit en aan Betrokkenen.

2.18       Indien de Verwerkingsverantwoordelijke bij het nemen van herstelmaatregelen voor Betrokkene de assistentie behoeft van NRL, zal NRL die assistentie desgevraagd verlenen.

2.19       NRL is bereid om, desgevraagd door de Verwerkingsverantwoordelijke, het Datalek namens de Verwerkingsverantwoordelijke mee te delen aan de Autoriteit Persoonsgegevens of een andere bevoegde autoriteit en/of aan Betrokkenen, waarbij het tijdstip, de wijze en de inhoud van de mededeling de voorafgaande goedkeuring van de Verwerkingsverantwoordelijke behoeven. De mededeling omvat ten minste de wettelijk vereiste gegevens.

2.20       NRL documenteert alle Datalekken, met inbegrip van de feiten omtrent het Datalek, de gevolgen daarvan en de genomen corrigerende maatregelen, op een wijze die de Toezichthoudende Autoriteit of een andere bevoegde autoriteit in staat stelt de naleving van Artikel 33 AVG te controleren en verstrekt de Verwerkingsverantwoordelijke een copie van deze documentatie.

2.21       Rekening houdend met de aard van de verwerking en de NRL ter beschikking staande informatie, zal NRL de Verwerkingsverantwoordelijke bijstand verlenen bij het verrichten van gegevensbeschermingseffectbeoordeling, indien de Verwerkingsverantwoordelijke daartoe verplicht is.

2.22       De door NRL bij de nakoming van artikel 2.13 tot en met 2.21 te maken kosten zijn voor rekening van de Verwerkingsverantwoordelijke.

3. Beveiliging

3.1          NRL neemt alle overeenkomstig artikel 32 AVG (Beveiliging van de Verwerking) vereiste maatregelen om beveiliging van de Persoonsgegevens tegen verlies of tegen enige vorm van onrechtmatige Verwerking(en) te waarborgen, waaronder:

  • de pseudonimisering en versleuteling van de Persoonsgegevens; en
  • het vermogen om op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de Verwerkingssystemen en diensten te garanderen; en
  • het vermogen om bij een fysiek of technisch incident de beschikbaarheid van en de toegang tot de Persoonsgegevens tijdig te herstellen; en
  • een procedure voor het op gezette tijdstippen testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging van de Verwerkingen.

Deze maatregelen zullen, rekening houdend met de stand der techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau garanderen, gelet op de risico’s die de Verwerking en de aard van de te beschermen gegevens met zich meebrengen, in het bijzonder in het licht van het feit dat de gegevens bijzondere categorieën van persoonsgegevens in de zin van de AVG bevatten en het feit dat de gegevens vallen onder de geheimhoudingsplicht van de Verwerkingsverantwoordelijke.

3.2          NRL hanteert bij de genomen en te nemen maatregelen toepasselijke algemene, verwerkings-, technologie- en sectorspecifieke beveiligingsstandaarden.

3.3          NRL draagt er zorg voor dat deze maatregelen onderdeel zijn van de dagelijkse praktijk van de organisatie van NRL.

3.4          NRL stelt regelmatig vast of de maatregelen daadwerkelijk getroffen zijn en worden nageleefd en of NRL door het treffen van deze maatregelen aan de betrouwbaarheidseisen voldoet. Waar dit niet gebeurt, treft NRL corrigerende maatregelen.

4. Geheimhouding

4.1          NRL betracht geheimhouding van alle Persoonsgegevens en informatie die NRL als uitvloeisel van de Overeenkomst en deze Verwerkingsvoorwaarden verwerkt.

4.2          NRL bedingt in overeenkomsten met personeel geheimhouding ten aanzien van alle Persoonsgegevens en informatie die zij in het kader van hun werkzaamheden voor NRL verwerken. NRL staat er jegens de Verwerkingsverantwoordelijke voor in dat de bedoelde bedingen rechtsgeldig van toepassing zijn verklaard en door de betrokken personen zullen worden nageleefd.

5. Controle

5.1          De Verwerkingsverantwoordelijke is te allen tijde gerechtigd de naleving door NRL van de verplichtingen uit deze Verwerkingsvoorwaarden of toepasselijke wet- en regelgeving te (doen) controleren. NRL is verplicht de Verwerkingsverantwoordelijke of een tot geheimhouding verplichte, in opdracht van de Verwerkingsverantwoordelijke controlerende derde toe te laten tot de Persoonsgegevens en de locaties en systemen van NRL en verplicht medewerking te verlenen zodat de controle daadwerkelijk uitgevoerd kan worden.

5.2          NRL zal alle redelijkerwijs benodigde medewerking verlenen aan de controle en er voor zorg dragen dat ook de door NRL ingeschakelde SubVerwerkers of Derden hiertoe de redelijkerwijs benodigde medewerking zullen verlenen. NRL zal, binnen een door de Verwerkingsverantwoordelijke te bepalen termijn, de Verwerkingsverantwoordelijke, of de door de Verwerkingsverantwoordelijke ingeschakelde Derden, voorzien van de door hen in het kader van de controle verlangde informatie.

6.  Ingebrekestelling, aansprakelijkheid, en vrijwaring

6.1       Ingebrekestelling

Indien NRL tekortkomt in de nakoming van een of meer van de verbintenissen uit deze Verwerkingsvoorwaarden, kan de Verwerkingsverantwoordelijke NRL in gebreke stellen. NRL is onmiddellijk, zonder ingebrekestelling, in gebreke als de nakoming van de desbetreffende verbintenis anders dan door overmacht binnen de overeengekomen termijn, reeds blijvend onmogelijk is. Ingebrekestelling geschiedt schriftelijk, waarbij aan NRL een redelijke termijn wordt gegund om alsnog de verplichtingen na te komen. Indien nakoming binnen deze termijn uitblijft, is NRL in verzuim.

6.2       Aansprakelijkheid

6.2.1  De totale aansprakelijkheid van NRL wegens toerekenbare tekortkoming in de verplichtingen jegens de Verwerkingsverantwoordelijke is beperkt tot het bedrag, dat onder de door NRL in het kader van de AVG afgesloten verzekering wordt vergoed. (NB: De toepasselijke polisvoorwaarden vermelden: “Het is verzekerde niet toegestaan om het verzekerde bedrag of de omvang van de verzekeringsdekking van deze polis aan anderen kenbaar te maken; …..”)

6.3       Vrijwaring

NRL vrijwaart en stelt de Verwerkingsverantwoordelijke binnen het kader van artikel 6.2.1 schadeloos voor alle vorderingen, klachten en aanspraken op schadevergoeding van Betrokkenen of Derden jegens de Verwerkingsverantwoordelijke uit hoofde van toerekenbare tekortkomingen van NRL en/of één of meer SubVerwerker(s) in de nakoming van zijn en/of hun verbintenissen uit deze Verwerkingsvoorwaarden respectievelijk SubVerwerkingsvoorwaarden.

6.4       Boetes

Indien een tekortkoming van de Verwerkingsverantwoordelijke in de nakoming van een of meer van zijn verbintenissen uit deze overeenkomst of een handelen of nalaten van NRL leidt tot een bestuurlijke boete of een dwangsom, kan de Verwerkingsverantwoordelijke binnen het kader van artikel 6.2.1 deze boete verhalen op NRL.

7.  Duur en einde van de Verwerkingsvoorwaarden

7.1       Deze Verwerkingsvoorwaarden zijn van kracht voor de duur van de Overeenkomst. Indien de Overeenkomst eindigt, eindigen ook deze Verwerkingsvoorwaarden, met inachtneming van de bepaling inzake Voortdurende Verplichtingen.

7.2       De Verwerkingsverantwoordelijke behoudt zich het recht voor om, indien er sprake is wijzigingen in wet- en regelgeving, of de uitleg daarvan als gevolg van gerechtelijke uitspraken, waaronder begrepen wijzigingen in beleidsregels van de Toezichthoudende Autoriteit, die noodzakelijk zijn voor de uitvoering van deze Verwerkingsvoorwaarden, deze wijzigingen door te voeren in de Verwerkingsvoorwaarden.

8.  Teruggave Persoonsgegevens

8.1       Na afloop van de Overeenkomst en de Verwerkingsvoorwaarden zal NRL alle Persoonsgegevens, kopieën en bewerkingen daarvan, alsmede alle gegevensdragers waarop de Persoonsgegevens, kopieën of bewerkingen daarvan zijn of zullen worden vastgelegd, onmiddellijk op eerste verzoek van de Verwerkingsverantwoordelijke retourneren c.q. verstrekken aan de Verwerkingsverantwoordelijke (of een door Verwerkingsverantwoordelijke aan te wijzen derde), dan wel vernietigen een en ander naar keuze van de Verwerkingsverantwoordelijke.

8.2       Indien nodig voor de afwikkeling van lopende zaken door NRL kunnen de Verwerkingsverantwoordelijke en NRL een later tijdstip overeenkomen voor de hiervoor genoemde retournering, verstrekking of vernietiging.

8.3       Op het moment dat deze Verwerkingsvoorwaarden zijn beëindigd, zal NRL medewerking verlenen ter zake van de overdracht van de werkzaamheden inzake de Verwerking van de Persoonsgegevens aan de Verwerkingsverantwoordelijke of een opvolger van NRL en wel op een zodanige wijze dat vanaf het moment dat de overdracht plaatsvindt de continuïteit van de dienstverlening maximaal gewaarborgd blijft, althans niet door handelen of nalaten van NRL wordt belemmerd.

9.  Slotbepalingen

9.1       Algemene inkoopvoorwaarden dan wel andere algemene of bijzondere voorwaarden van de Verwerkingsverantwoordelijke, die afwijken van het bepaalde in deze Verwerkingsvoorwaarden, zijn niet van toepassing en worden door NRL uitdrukkelijk uitgesloten.

9.2       Deze Verwerkingsvoorwaarden vormen een onderdeel van de Overeenkomst. Bij strijdigheid tussen bepalingen uit deze Verwerkingsvoorwaarden en de Overeenkomst prevaleren de bepalingen uit deze Verwerkingsvoorwaarden.

Bijlage 1. De Verwerking van Persoonsgegevens (artikel 2.1)

Ten behoeve van de Opdracht verwerkt NRL onder meer de volgende categorieën Persoonsgegevens:

  • Naam
  • Adres
  • Woonplaats
  • Telefoonnummer
  • E-mailadres
  • Geslacht
  • Nationaliteit
  • Geboortedatum
  • Overlijdensdatum
  • Burgerlijk staat
  • BTW-nummer ZZP’er
  • Handtekening
  • BSN
  • Financiële gegevens
    • IBAN
    • Financiële positie
    • Verzekeringen
    • Betalingen
    • Ontvangsten
    • Bezittingen
    • Vermogen
    • Schulden
    • Uitkeringen
    • Subsidies
  • Lidmaatschap vakbond
  • Gegevens over gezondheid
  • Kadastrale gegevens
  • WOZ waarde
  • Kenteken
  • Dienstbetrekkingen / Functies / CV
  • Arbeidsrelatie(s)
  • Opleidingen / Diploma’s / Certificaten
  • Persoonsgegevens partner
  • Persoonsgegevens kind(eren)
  • Persoonsgegevens ouders
  • Derde belanghebbenden
  • Gemachtigden

Bovengenoemde opsomming is niet limitatief.

Juni 2018