Deze Verwerkersovereenkomst is van toepassing op alle vormen van verwerking van persoonsgegevens die “Gallery Schoolfoto”, gevestigd te Losplaatsweg 22, 2201 CV te Noordwijk en ingeschreven bij de Kamer van Koophandel onder nummer 57895686, als Verwerker uitvoert ten behoeve en in opdracht van een Verwerkingsverantwoordelijke; een middelbare- of basisschool, peuterspeelzaal of kinderdagverblijf (hierna te noemen: “Opdrachtgever”), aan wie zij diensten verleent. Hierna gezamenlijk te noemen “Partijen”.

In aanmerking nemende:

1. Op grond van de Algemene Verordening Gegevensbescherming (hierna te noemen: de AVG) is Opdrachtgever verantwoordelijk voor de verwerking van persoonsgegevens van leerlingen, hun ouders en/of verzorgers en leerkrachten. Zij moet ervoor waken dat er met de grootst mogelijke zorgvuldigheid wordt omgegaan met die persoonsgegevens;

2. Partijen sluiten een overeenkomst met betrekking tot het verzorgen van fotografie (hierna te noemen: “Opdracht”), waarbij Gallery Schoolfoto, als Verwerker, ten behoeve en in opdracht van Opdrachtgever, als Verwerkingsverantwoordelijke, persoonsgegevens verwerkt;

3. Bij de totstandkoming, de inhoud en de nakoming van alle tussen Gallery Schoolfoto en Opdrachtgever gesloten Opdrachten zijn de “Algemene Voorwaarden” van Gallery Schoolfoto van toepassing;

4. Partijen wensen zorgvuldig en in overeenstemming met de AVG en andere toepasselijke wet- en regelgeving betreffende de verwerking van persoonsgegevens om te gaan met de persoonsgegevens die ter uitvoering van de Opdracht verwerkt (zullen) worden en leggen op grond van artikel 28, lid 3 van de AVG, gezamenlijk bindende bepalingen vast in deze Verwerkersovereenkomst;

5. In geval van tegenstrijdigheid tussen de Algemene Voorwaarden van Gallery Schoolfoto en de bepalingen van deze Verwerkersovereenkomst, prevaleren de bepalingen van deze Verwerkersovereenkomst.

Opdrachtgever en Gallery Schoolfoto komen het volgende overeen:

Artikel 1. Definities

De in deze overeenkomst gebruikte begrippen volgen uit de AVG en hebben de volgende betekenis:

1. Bestand: elk gestructureerd geheel van persoonsgegevens die volgens bepaalde criteria toegankelijk zijn, ongeacht of dit geheel gecentraliseerd of gedecentraliseerd is, dan wel op functionele of geografische gronden is verspreid;
2. Betrokkene: de geïdentificeerde of identificeerbare natuurlijke persoon op wie een persoonsgegeven betrekking heeft;
3. Datalek: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens;
4. Derde: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan, niet zijnde de betrokkene, noch de verwerkingsverantwoordelijke, noch de verwerker, noch de personen die onder rechtstreeks gezag van de verwerker of verwerkingsverantwoordelijke gemachtigd zijn om persoonsgegevens te verwerken;
5. Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (de betrokkene);
6. Verwerker: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt;
7. Sub-verwerker: een andere verwerker die in dienst van een eerste verwerker in rekening van een verwerkingsverantwoordelijke specifieke verwerkingsactiviteiten verricht en op grond van artikel 28 lid 3 van de AVG, dezelfde verplichtingen inzake gegevensbescherming krijgt opgelegd, als die zijn opgenomen in een verwerkingsovereenkomst tussen een verwerkingsverantwoordelijke en verwerker;
8. Verwerkingsverantwoordelijke: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt;
9. Verwerking: een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.

Artikel 2. Onderwerp, aard en doel van verwerking 

1. Gallery Schoolfoto verzorgt fotografie van leerlingen en leerkrachten ten behoeve en in opdracht van Opdrachtgever;
2. Om de Opdracht zo zorgvuldig mogelijk te kunnen uitvoeren is het noodzakelijk dat Gallery Schoolfoto persoonsgegevens kan koppelen met desbetreffende leerling en leerkracht, waarvan de foto’s worden gemaakt;
3. Opdrachtgever verstrekt Gallery Schoolfoto persoonsgegevens aan de hand van een Excelbestand. Deze persoonsgegevens zijn gebaseerd op het doel en de middelen die Opdrachtgever bepaalt;
4. De volgende categorieën van persoonsgegevens kunnen door Gallery Schoolfoto in opdracht van Opdrachtgever worden verwerkt. Hierbij wordt door Gallery Schoolfoto uitsluitend gebruik gemaakt van persoonsgegevens die noodzakelijk zijn voor de uitvoering van de Opdracht:

1. Leerling- en klasnummer;
2. Naam van leerling;
3. Geboortedatum van leerling;
4. Contactgegevens van leerling en de ouder en/of verzorger van leerling, indien leerling jonger is dan 16 jaar;
5. Naam van ouder en/of verzorger van leerling, indien leerling jonger is dan 16 jaar;
6. Naam en klasnummer van leerkracht;
7. (Digitale) individuele portret-, klassen- en groepsfoto’s;

5. Gallery Schoolfoto heeft geen zeggenschap over de persoonsgegevens die Opdrachtgever verstrekt en verwerkt deze uitsluitend op basis van (schriftelijke) instructies van Opdrachtgever;

6. De verwerking van persoonsgegevens vindt plaats voor één of meer van de volgende doeleinden:
   1. Het koppelen van persoonsgegevens met desbetreffende leerling en leerkracht, waarvan de foto’s worden gemaakt;
   2. Het verzorgen van individuele portret-, klassen- en groepsfoto’s van leerlingen en leerkrachten;
   3. Het verzorgen van digitale fotobestanden voor onderwijsdoeleinden en –middelen zoals het schooladministratiepakket, leerlingvolgsysteem en schoolpassen;
   4. Het verzorgen van smoelenboeken, teamfoto’s, megaposters;
   5. Het via Opdrachtgever aanbieden van fotosets aan mogelijke klanten, zoals leerlingen, hun ouders en/of verzorgers en leerkrachten;
7. De in opdracht van Opdrachtgever te verwerken persoonsgegevens blijven te allen tijde eigendom van Opdrachtgever en/of de desbetreffende betrokkene.
8. Nadere doeleinden van verwerking kunnen worden vastgesteld door instemming van beide Partijen.

Artikel 3. Totstandkoming, wijziging en duur

1. De Verwerkersovereenkomst komt tot stand op het moment wanneer Opdrachtgever en Gallery Schoolfoto een Opdracht overeenkomen middels een overeenkomst voor het verrichten van de Opdracht;
2. De Verwerkersovereenkomst kan te allen tijde worden gewijzigd door middel van een schriftelijk akkoord op deze wijziging van beide partijen;
3. De duur van deze Verwerkersovereenkomst is gelijk aan de duur van de Opdracht die aangegaan is tussen Opdrachtgever en Gallery Schoolfoto;

Artikel 4. Geheimhouding en vertrouwelijkheid

1. Op alle persoonsgegevens die Gallery Schoolfoto van Opdrachtgever ontvangt en/of zelf verzamelt in het kader van deze Verwerkersovereenkomst, rust een geheimhoudingsplicht jegens derden;
2. Gallery Schoolfoto zorgt ervoor dat een ieder, waaronder haar werknemers en eventuele Sub-verwerkers, die betrokken zijn bij de verwerking van persoonsgegevens deze gegevens als vertrouwelijk behandelt. Gallery Schoolfoto bewerkstelligt dat voor een ieder die betrokken is bij de verwerking van persoonsgegevens een geheimhoudingsovereenkomst of –beding is gesloten;
3. Deze geheimhoudingsplicht is niet van toepassing voor zover Opdrachtgever uitdrukkelijke toestemming heeft gegeven om de informatie aan derden te verschaffen, indien het verstrekken van de informatie aan derden logischerwijs noodzakelijk is gezien de aard van de verstrekte Opdracht en de uitvoering van deze Verwerkersovereenkomst, of indien er een wettelijke verplichting bestaat om de informatie aan een derde te verstrekken.

Artikel 5. Beveiliging

4. Gallery Schoolfoto draagt continue zorg voor passende technische en organisatorische maatregelen op grond van artikel 32 van de AVG om persoonsgegevens tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging te beveiligen en beschermen. Deze maatregelen zijn afgestemd op het risico van de verwerking en omvatten;
   1. De pseudonimisering en versleuteling van persoonsgegevens;
   2. Het vermogen om op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen en diensten te garanderen;
   3. Het vermogen om bij een fysiek of technisch incident de beschikbaarheid van en de toegang tot de persoonsgegevens tijdig te herstellen;
   4. Een procedure voor het op gezette tijdstippen testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging van de verwerking;
5. Gallery Schoolfoto dient in de bijlage van deze Verwerkersovereenkomst vast te leggen welke technische en organisatorische beveiligingsmaatregelen zij neemt. Deze dienen aan te sluiten op de in lid 2 van deze overeenkomst genoemde maatregelen;
6. Gallery Schoolfoto zal de door haar getroffen informatiebeveiligingsmaatregelen evalueren en verscherpen, aanvullen of verbeteren voor zover de eisen of (technologische) ontwikkelingen daartoe aanleiding geven.

Artikel 6. Inschakeling Subverwerker

1. Gallery Schoolfoto is vrij om bij de uitvoering van deze Verwerkersovereenkomst werkzaamheden door een Subverwerker, zoals een professionele fotograaf, te laten uitvoeren zonder voorafgaande schriftelijke toestemming van Opdrachtgever;
2. Gallery Schoolfoto verplicht zich hierbij om op elke contractuele verhouding met de door haar in te schakelen Subverwerker de verplichtingen die Gallery Schoolfoto heeft op grond van deze Verwerkersovereenkomst onverkort van toepassing te verklaren;
3. Gallery Schoolfoto verplicht iedere Subverwerker contractueel om persoonsgegevens niet verder te verwerken dan in het kader van deze Verwerkersovereenkomst is bepaald;
4. Opdrachtgever kan te allen tijde Gallery Schoolfoto verzoeken om haar mede te delen of zij een Subverwerker heeft ingeschakeld, en zo ja, om welke persoon dan wel organisatie het gaat. Gallery Schoolfoto is verplicht om daaraan medewerking te verlenen en zal zo spoedig mogelijk antwoorden op dat verzoek.

Artikel 7. Audit

1. Gallery Schoolfoto stelt Opdrachtgever in staat om te kunnen voldoen aan zijn wettelijke verplichting om toezicht te houden op de naleving van Gallery Schoolfoto van de technische en organisatorische beveiligingsmaatregelen, door op verzoek daartoe van Opdrachtgever te rapporteren over de genomen beveiligingsmaatregelen;
2. Opdrachtgever heeft het recht om eens per jaar, in overleg met Gallery Schoolfoto en met inachtneming van een redelijke termijn, op eigen kosten een audit uit te laten voeren door een gecertificeerde en onafhankelijke auditor die een derden-verklaring afgeeft. Opdrachtgever wordt daarbij, naast Gallery Schoolfoto, geïnformeerd over de uitkomst van de audit. In een voorkomend geval is het Gallery Schoolfoto toegestaan om de derden-verklaring op haar website te publiceren;
3. Als tijdens een controle wordt vastgesteld dat Gallery Schoolfoto niet voldoet aan het bepaalde in deze Verwerkersovereenkomst en de AVG neemt Gallery Schoolfoto binnen

4 weken alle noodzakelijke stappen om ervoor te zorgen dat hieraan alsnog wordt voldaan. De kosten komen dan voor rekening van Gallery Schoolfoto.

Artikel 8. Afhandeling verzoeken van betrokkenen

1. Gallery Schoolfoto neemt redelijke maatregelen om ervoor te zorgen dat betrokkene zijn rechten kan uitoefenen, zoals een verzoek om inzage, verbetering, aanvulling of verwijdering van persoonsgegevens, het maken van bezwaar tegen of het beperken van de verwerking en een verzoek tot het overdraagbaar maken van de persoonsgegevens;
2. In het geval dat een betrokkene een verzoek met betrekking tot diens persoonsgegevens (bijvoorbeeld een verzoek tot inzage, correctie of verwijdering van diens persoonsgegevens) richt aan verwerker, zal Gallery Schoolfoto het verzoek doorverwijzen aan Opdrachtgever en zal Opdrachtgever dit behandelen. Gallery Schoolfoto mag betrokkene van de verwijzing op de hoogte stellen;
3. Wanneer Opdrachtgever een verzoek krijgt van een betrokkene die zijn of haar rechten wenst uit te oefenen, spant Gallery Schoolfoto zich in om daaraan binnen een termijn van 14 dagen haar medewerking te verlenen. Gallery Schoolfoto stelt Opdrachtgever in staat om binnen de wettelijke termijnen te voldoen aan bovengenoemde verzoeken.

Artikel 9. Datalek

1. Gallery Schoolfoto is verplicht om onverwijld, doch uiterlijk binnen 24 uur nadat Gallery Schoolfoto een datalek heeft geconstateerd, Opdrachtgever hiervan schriftelijk in kennis te stellen;
2. De kennisgeving als bedoeld in het vorige lid omvat in elk geval:

1. de aard en omvang van de inbreuk op de beveiliging;
2. de naam en contactgegevens van degene bij wie meer informatie over de inbreuk kan worden verkregen;
3. de geconstateerde en vermoedelijke gevolgen van de inbreuk voor de verwerking van persoonsgegevens en de betrokkenen;
4. De maatregelen die Gallery Schoolfoto heeft getroffen of voorstelt te treffen om de (negatieve) gevolgen van de inbreuk te beperken en te verhelpen;

3. Gallery Schoolfoto verplicht zich om bij constatering van een datalek voor eigen rekening en risico alle noodzakelijke maatregelen te nemen om het datalek te dichten en de (mogelijke) schade te beperken. Gallery Schoolfoto zal Opdrachtgever ondersteunen bij meldingen aan betrokkenen en/of autoriteiten;
4. Na de melding van een datalek aan Opdrachtgever, houdt Gallery Schoolfoto Opdrachtgever op de hoogte van nieuwe ontwikkelingen met betrekking tot het datalek en de maatregelen getroffen door Gallery Schoolfoto om het datalek te beperken en te beëindigen en om een soortgelijk incident in de toekomst te voorkomen;
5. Opdrachtgever besluit conform artikel 33 en 34 van de AVG of zij het datalek onmiddellijk aan de Toezichthouder meldt en/of de betrokkene(n) onmiddellijk informeert. Gallery Schoolfoto laat het doen van meldingen aan de Toezichthouder en het informeren van betrokkene(n) over aan Opdrachtgever.   

Artikel 10. Verwerking van persoonsgegevens buiten Nederland en buiten de Europese Unie

1. Partijen zien erop toe dat, voor zover persoonsgegevens buiten de Europese Unie worden verwerkt, dit slechts gebeurt op grond van de wetgeving van de desbetreffende landen, waaronder doch niet uitsluitend op grond van de privacywetgeving;
2. Indien gegevens buiten de Europese Unie worden verwerkt, wordt dit aan Opdrachtgever gemeld, en wordt er een aparte bijlage aan deze Verwerkersovereenkomst gehecht waarin inzichtelijk wordt gemaakt in welke landen de persoonsgegevens worden verwerkt.

Artikel 11. Verdeling van verantwoordelijkheid en aansprakelijkheid

1. Gallery Schoolfoto is alleen aansprakelijk voor de schade die voortvloeit uit het niet nakomen van de AVG of andere toepasselijke wet- en regelgeving en de bepalingen uit deze Verwerkersovereenkomst voor zover deze schade is ontstaan door de uitvoering van werkzaamheden door Gallery Schoolfoto, maar nimmer voor een bedrag hoger dan de door Opdrachtgever verschuldigde tarieven voor de overeengekomen Opdracht. Deze beperking van de aansprakelijkheid komt te vervallen indien en voor zover de schade het gevolg is van opzet of grove schuld van Gallery Schoolfoto;
2. Opdrachtgever garandeert dat de inhoud, het gebruik en de Opdracht tot de verwerkingen van de persoonsgegevens zoals bedoeld in deze Verwerkersovereenkomst, niet onrechtmatig is en dat deze geen inbreuk maken op enig recht van derden en vrijwaart Gallery Schoolfoto tegen alle aanspraken en claims die hiermee verband houden;
3. Indien Gallery Schoolfoto tekortschiet in de nakoming van de verplichting uit deze Verwerkersovereenkomst kan Opdrachtgever Gallery Schoolfoto in gebreke stellen;
4. Gallery Schoolfoto is niet aansprakelijk voor schade die het gevolg is van het door Opdrachtgever niet naleven van de AVG of andere wet- of regelgeving. Opdrachtgever vrijwaart Gallery Schoolfoto voor aanspraken op grond van zulke schade. De vrijwaring geldt niet alleen voor de schade die betrokkene(n) of andere derden hebben geleden, maar ook voor de kosten die verwerker in verband daarmee heeft moeten maken, bijvoorbeeld in een eventuele juridische procedure, en de kosten van eventuele boetes die aan Gallery Schoolfoto worden opgelegd ten gevolge van het handelen of nalaten van Opdrachtgever;  
5. Ingebrekestelling geschiedt schriftelijk, waarbij aan Gallery Schoolfoto een redelijke termijn wordt gegund om alsnog de verplichtingen na te komen.

Artikel 12. Einde en afwikkeling overeenkomst

1. De Verwerkersovereenkomst eindigt van rechtswege op het moment dat de Opdracht die is overeengekomen tussen Opdrachtgever en Gallery Schoolfoto is uitgevoerd;
2. De Verwerkersovereenkomst kan niet tussentijds worden opgezegd;
3. Na de beëindiging van deze Verwerkersovereenkomst zullen lopende verplichtingen, zoals het melden van datalekken en de geheimhoudingsplicht blijven voortduren;
4. Zodra deze Verwerkersovereenkomst, om welke reden en op welke wijze dan ook, is beëindigd of geëindigd, zal Gallery Schoolfoto alle persoonsgegevens die bij haar aanwezig zijn en eventuele kopieën daarvan (doen) verwijderen en/of (doen) vernietigen, na verstrijken van door Gallery Schoolfoto beoogde bewaartermijnen. De bewaartermijn van aangeleverde leerlingbestanden is 4 weken na het einde van de Opdracht. Digitale fotobestanden die zijn verwerkt ten behoeve en in opdracht van Opdrachtgever worden

2 jaar bewaard;

5. Gallery Schoolfoto zal Opdrachtgever schriftelijk dan wel elektronisch bevestigen dat de vernietiging van de persoonsgegevens heeft plaatsgevonden;
6. Gallery Schoolfoto zal Subverwerker(s) op de hoogte stellen van de beëindiging van de Verwerkersovereenkomst en zal ervoor zorgdragen dat de persoonsgegevens eveneens door Subverwerker(s) worden vernietigd.

Artikel 13. Slotbepalingen

1. Indien een bepaling uit deze Verwerkersovereenkomst nietig blijkt te zijn of door een van de partijen rechtsgeldig wordt vernietigd, blijven de overige bepalingen uit deze Verwerkersovereenkomst onverminderd van kracht. Een dergelijke nietige of vernietigde bepaling zal, voor zover bij wet toegestaan, worden geacht te zijn vervangen door een rechtsgeldige bepaling waarvan de strekking en werking die van de vervangen bepaling het dichtst benaderd;
2. Op deze Verwerkersovereenkomst is Nederlands recht van toepassing. Geschillen over de uitvoering daarvan zullen worden voorgelegd aan de bevoegde rechter in het arrondissement Den-Haag.

Bijlage Technische en organisatorische maatregelen

Gallery Schoolfoto neemt de volgende technische en organisatorische maatregelen ter bescherming van de verwerking van persoonsgegevens:

Contactgegevens
Gallery Schoolfoto
Losplaatsweg 22
2201 CV Noordwijk
info@galleryschoolfoto.nl
071 36 19237