Verwerkersovereenkomst
als Wij/Onze/Ons en u, de klant, wordt aangeduid als U/Uw, gezamenlijk de Partijen en elk afzonderlijk een Partij.
1 Definities
1.1 De in deze Gegevensverwerkingsovereenkomst gedefinieerde termen hebben de betekenis zoals gegeven in de Algemene Voorwaarden en dezelfde interpretatieregels zijn van toepassing. Daarnaast hebben de volgende definities in deze Gegevensverwerkingsovereenkomst de hieronder vermelde betekenis:
Betrokkene heeft de betekenis zoals gegeven in de wetgeving inzake gegevensbescherming;
Gebruiksvoorwaarden betekent de meest recente versie van de gebruiksvoorwaarden die beschikbaar zijn via het platform;
Inbreuk op persoonsgegevens betekent elke inbreuk op de beveiliging die leidt tot de accidentele of onrechtmatige vernietiging, het verlies, de wijziging, de ongeoorloofde openbaarmaking van of de toegang tot persoonsgegevens;
Overdracht heeft dezelfde betekenis als het woord ‘overdracht’ in artikel 44 van de AVG. Verwante uitdrukkingen zoals Overdrachten en Overdragen dienen dienovereenkomstig te worden uitgelegd;
Passende waarborgen betekent de wettelijk afdwingbare mechanismen voor de overdracht van persoonsgegevens zoals toegestaan onder de van tijd tot tijd geldende wetgeving inzake gegevensbescherming;
Persoonsgegevens betekent persoonsgegevens (in de betekenis zoals gegeven in de wetgeving inzake gegevensbescherming) die in uw gegevens zijn opgenomen;
Subverwerker betekent een andere verwerker die door ons is ingeschakeld om namens u verwerkingsactiviteiten met betrekking tot de persoonsgegevens uit te voeren;
Toezichthoudende autoriteit betekent elk lokaal, nationaal of multinationaal agentschap, departement, ambtenaar, parlement, publiek of wettelijk persoon of elke overheids- of beroepsorganisatie, regelgevende of toezichthoudende autoriteit, raad of ander orgaan dat verantwoordelijk is voor de handhaving van de wetgeving inzake gegevensbescherming;
Verantwoordelijke voor de verwerking heeft de betekenis zoals gegeven in de wetgeving inzake gegevensbescherming;
Verlies door gegevensbescherming betekent alle aansprakelijkheden, inclusief alle:
- kosten (waaronder juridische kosten), vorderingen, eisen, acties, schikkingen, rente, lasten, procedures, uitgaven, verliezen en schade (inclusief materiële of immateriële schade); en
- voor zover toegestaan door de wetgeving inzake gegevensbescherming:
(i) administratieve boetes, straffen, sancties, aansprakelijkheden of andere rechtsmiddelen opgelegd door een toezichthoudende autoriteit;
(ii) schadevergoeding die door een toezichthoudende autoriteit aan een betrokkene moet worden betaald; en
(iii) de redelijke kosten van het meewerken aan onderzoeken door een toezichthoudende autoriteit;
Verwerker heeft de betekenis zoals gegeven in de wetgeving inzake gegevensbescherming;
Verwerking heeft de betekenis zoals gegeven in de wetgeving inzake gegevensbescherming (en verwante termen zoals ‘verwerken’ hebben overeenkomstige betekenissen);
Verwerkingsinstructies heeft de betekenis zoals gegeven in paragraaf 3.1.1;
Verzoek van een betrokkene betekent een verzoek van een betrokkene om rechten van betrokkenen uit te oefenen op grond van de wetgeving inzake gegevensbescherming; en
Wetgeving inzake gegevensbescherming betekent alle wetten met betrekking tot de verwerking, privacy en/of het gebruik van persoonsgegevens, voor zover van toepassing op een van de Partijen of de Diensten, inclusief de volgende wetten voor zover van toepassing in de omstandigheden:
- de Algemene Verordening Gegevensbescherming “AVG”;
- de Uitvoeringswet Algemene Verordening Gegevensbescherming “UAVG”; en
(c) alle wetten die dergelijke wetten implementeren.
2. Verwerker en Verantwoordelijke
2.1 De partijen komen overeen dat u, voor de persoonsgegevens, de Verantwoordelijke bent en wij de Verwerker. Niets in deze Overeenkomst ontslaat u van enige verantwoordelijkheden of aansprakelijkheden onder de Wetgeving inzake Gegevensbescherming.
2.2 Wij zullen persoonsgegevens verwerken in overeenstemming met de Wetgeving inzake Gegevensbescherming en de voorwaarden van onze Overeenkomst.
2.3 U garandeert, verklaart en verbindt zich ertoe dat u te allen tijde:
2.3.1 de Wetgeving inzake Gegevensbescherming naleeft, inclusief met betrekking tot het verzamelen, opslaan en verwerken van de persoonsgegevens;
2.3.2 de betrokkenen bij de verwerking van persoonsgegevens eerlijke verwerkings- en andere informatiekennisgevingen hebt ontvangen (en alle noodzakelijke toestemmingen van deze betrokkenen hebt verkregen en te allen tijde hebt bewaard) voor zover vereist door de Wetgeving inzake Gegevensbescherming in verband met alle verwerkingsactiviteiten met betrekking tot de persoonsgegevens die door ons kunnen worden uitgevoerd in overeenstemming met onze Overeenkomst; en
2.3.3 alle instructies die u ons geeft met betrekking tot persoonsgegevens te allen tijde in overeenstemming zijn met de Wetgeving inzake Gegevensbescherming.
3. Instructies en details van de verwerking
3.1 Voor zover wij persoonsgegevens namens u verwerken, zullen wij:
3.1.1 de persoonsgegevens alleen verwerken op basis van uw instructies (Verwerkingsinstructies) en zullen wij ervoor zorgen dat elke persoon die onder onze bevoegdheid handelt, dit ook doet;
3.1.2 indien de wetgeving inzake gegevensbescherming vereist dat wij persoonsgegevens anders verwerken dan in overeenstemming met de Verwerkingsinstructies, zullen wij u hiervan op de hoogte stellen voordat wij de persoonsgegevens verwerken (tenzij de wetgeving inzake gegevensbescherming dergelijke informatie verbiedt op grond van belangrijke redenen van algemeen belang); en
3.1.3 u onmiddellijk informeren indien wij kennisnemen van een Verwerkingsinstructie die naar onze mening in strijd is met de wetgeving inzake gegevensbescherming, en voor zover wettelijk toegestaan, zijn wij niet aansprakelijk, ongeacht de oorzaak (hetzij contractueel, onrechtmatig (inclusief nalatigheid) of anderszins), voor verliezen, kosten, uitgaven of aansprakelijkheden (inclusief eventuele verliezen in verband met gegevensbescherming) die voortvloeien uit of verband houden met verwerkingen in overeenstemming met uw Verwerkingsinstructies.
3.2 U erkent en stemt ermee in dat het uitvoeren van een computeropdracht voor de verwerking (inclusief verwijdering) van Persoonsgegevens door een Geautoriseerde Gebruiker bij het gebruik van de Diensten een Verwerkingsinstructie is. U dient ervoor te zorgen dat Geautoriseerde Gebruikers dergelijke opdrachten niet uitvoeren, tenzij u (en alle andere relevante Verwerkingsverantwoordelijken) daartoe toestemming hebben gegeven, en u erkent dat als Persoonsgegevens worden verwijderd naar aanleiding van een dergelijke opdracht, wij niet verplicht zijn deze te herstellen.
3.3 De verwerking van de Persoonsgegevens door ons onder onze Overeenkomst zal plaatsvinden met betrekking tot het onderwerp, de duur, de aard en de doeleinden en zal betrekking hebben op de soorten Persoonsgegevens en categorieën van Betrokkenen zoals uiteengezet in Bijlage 1.
4. Technische en organisatorische maatregelen
4.1 Rekening houdend met de aard van de verwerking, zullen wij passende technische en organisatorische maatregelen implementeren en handhaven (zoals beschreven in Bijlage 2) ter bescherming tegen ongeoorloofde of onrechtmatige verwerking van Persoonsgegevens en tegen onopzettelijk verlies, vernietiging of beschadiging van Persoonsgegevens. Deze maatregelen zullen passend zijn in verhouding tot de schade die zou kunnen voortvloeien uit de ongeoorloofde of onrechtmatige verwerking of het onopzettelijke verlies, de vernietiging of beschadiging, en de aard van de te beschermen Persoonsgegevens, rekening houdend met de stand van de technologische ontwikkeling.
5. Gebruik van personeel en andere verwerkers
5.1 U geeft ons hierbij een algemene machtiging om de subverwerkers aan te stellen die vermeld staan op de webpagina op [link] (Website). We kunnen de Website van tijd tot tijd bijwerken en zullen u per e-mail op de hoogte stellen van elke update, mits u een e-mailadres op de Website registreert. U heeft de mogelijkheid om binnen 20 dagen na een wijziging schriftelijk bezwaar te maken tegen een toevoeging of vervanging. In geval van bezwaar hebben wij het recht deze Overeenkomst te beëindigen indien de Diensten onmogelijk worden zonder de toevoeging of vervanging van de betreffende subverwerker.
5.2 Wij zullen:
5.2.1 voordat de betreffende subverwerker verwerkingsactiviteiten uitvoert met betrekking tot de Persoonsgegevens, elke subverwerker aanstellen middels een schriftelijk contract dat in wezen dezelfde verplichtingen bevat als onder de paragrafen 2 tot en met 12 (inclusief) en dat door ons afdwingbaar is (inclusief die met betrekking tot voldoende garanties voor de implementatie van passende technische en organisatorische maatregelen);
5.2.2 ervoor zorgen dat elke subverwerker aan al deze verplichtingen voldoet; en
5.2.3 blijven volledig aansprakelijk voor alle handelingen en nalatigheden van elke subverwerker alsof het onze eigen handelingen en nalatigheden waren.
5.3 Wij zullen ervoor zorgen dat alle personen die door ons (of door een subverwerker) gemachtigd zijn om persoonsgegevens te verwerken, gebonden zijn aan een bindende schriftelijke contractuele verplichting om de persoonsgegevens vertrouwelijk te behandelen (behalve wanneer openbaarmaking vereist is in overeenstemming met de wetgeving inzake gegevensbescherming, in welk geval wij u, waar mogelijk en niet verboden door de wetgeving inzake gegevensbescherming, van een dergelijke vereiste op de hoogte zullen stellen vóór een dergelijke openbaarmaking).
6. Assistentie bij naleving en rechten van betrokkenen
6.1 Wij zullen alle verzoeken van betrokkenen die wij ontvangen, zonder onnodige vertraging aan u doorverwijzen.
6.2 Wij zullen u de redelijke assistentie bieden die u redelijkerwijs nodig heeft (rekening houdend met de aard van de verwerking en de informatie waarover wij beschikken) om ervoor te zorgen dat u voldoet aan uw verplichtingen onder de wetgeving inzake gegevensbescherming met betrekking tot:
6.2.1 beveiliging van de verwerking;
6.2.2 effectbeoordelingen inzake gegevensbescherming (zoals gedefinieerd in de wetgeving inzake gegevensbescherming);
6.2.3 voorafgaande raadpleging van een toezichthoudende autoriteit met betrekking tot verwerkingen met een hoog risico; en
6.2.4 meldingen aan de toezichthoudende autoriteit en/of communicatie met betrokkenen door u naar aanleiding van een inbreuk op persoonsgegevens.
7. Internationale Gegevensoverdracht
7.1 Wij zullen geen persoonsgegevens overdragen aan een land of internationale organisatie buiten de EU of de EER, tenzij:
7.1.1 een dergelijke overdracht uitsluitend plaatsvindt voor het doel zoals uiteengezet in Bijlage 1;
7.1.2 de minister van Binnenlandse Zaken of de Europese Commissie heeft bevestigd dat dat land of die internationale organisatie een adequaat beschermingsniveau kan bieden (een adequaatheidsverordening of -besluit). Dit omvat het gebruik van goedgekeurde kaders voor het delen van persoonsgegevens, zoals het EU-VS-kader voor gegevensbescherming, of de overdracht is onderworpen aan passende waarborgen;
7.1.3 de betrokkene afdwingbare rechten en effectieve rechtsmiddelen heeft; en
7.1.4 een dergelijke overdracht in overeenstemming is met de wetgeving inzake gegevensbescherming en onze overeenkomst.
8. Informatie en audit
8.1 Wij zullen, in overeenstemming met de voor ons geldende wetgeving inzake gegevensbescherming, schriftelijke registraties bijhouden van alle categorieën verwerkingsactiviteiten die namens u worden uitgevoerd.
8.2 Op uw verzoek zullen wij, in overeenstemming met de wetgeving inzake gegevensbescherming, u de informatie verstrekken die redelijkerwijs noodzakelijk is om aan te tonen dat wij voldoen aan onze verplichtingen onder deze gegevensverwerkingsovereenkomst en artikel 28 van de AVG, en zullen wij audits, inclusief inspecties, door u (of een andere door u aangewezen auditor) toestaan, mits:
8.2.1 een dergelijke audit, inspectie of informatieverzoek redelijk is, beperkt blijft tot informatie die in ons bezit of onder onze controle is en u ons tijdig op de hoogte stelt van een dergelijke audit, inspectie of informatieverzoek;
8.2.2 u ons de redelijke kosten betaalt voor het toestaan van een audit of inspectie (tenzij een dergelijke audit of inspectie vereist is door een toezichthoudende autoriteit of vanwege een schending door ons van deze gegevensverwerkingsovereenkomst);
8.2.3 De partijen (die elk redelijk handelen en ermee instemmen dat hun toestemming niet onredelijk wordt geweigerd of vertraagd) komen overeen over de timing, de omvang en de duur van de audit, inspectie of informatieverstrekking, evenals over eventuele specifieke beleidsmaatregelen of andere stappen waaraan u of de externe auditor zich dient te houden (waaronder het beschermen van de veiligheid en vertrouwelijkheid van andere klanten, het waarborgen dat wij geen inbreuk maken op andere overeenkomsten met andere klanten en het naleven van de rest van paragraaf 8.2);
8.2.4 Uw rechten onder paragraaf 8.2 kunnen slechts eenmaal per aaneengesloten periode van 12 maanden worden uitgeoefend, tenzij anders vereist door een toezichthoudende autoriteit of indien u (redelijkerwijs handelend) van mening bent dat wij deze gegevensverwerkingsovereenkomst schenden;
8.2.5 U dient ons onmiddellijk op de hoogte te stellen van elke niet-naleving die tijdens de audit, inspectie of informatieverstrekking wordt vastgesteld;
8.2.6 U dient ervoor te zorgen dat alle informatie die door u of uw auditor(s) wordt verkregen of gegenereerd in verband met dergelijke informatieverzoeken, inspecties en audits strikt vertrouwelijk wordt behandeld (met uitzondering van openbaarmaking die vereist is door de wetgeving inzake gegevensbescherming);
8.2.7 U dient ervoor te zorgen dat een dergelijke audit of inspectie plaatsvindt tijdens normale kantooruren, met minimale verstoring van onze bedrijfsvoering; en
8.2.8 U dient ervoor te zorgen dat elke persoon die namens u optreedt in verband met een dergelijke audit of inspectie (inclusief het personeel van een externe auditor) door geen enkele handeling of nalatigheid schade, vernietiging, verlies of corruptie van onze systemen, apparatuur of gegevens veroorzaakt of daaraan bijdraagt.
9. Melding van datalek
9.1 In geval van een datalek met betrekking tot persoonsgegevens zullen wij, zonder onnodige vertraging:
9.1.1 u op de hoogte stellen van het datalek; en
9.1.2 u details verstrekken over het datalek.
10. Verwijdering van persoonsgegevens en kopieën
10.1 Na beëindiging van de dienstverlening (of een deel daarvan) met betrekking tot de verwerking van persoonsgegevens, zullen wij persoonsgegevens verwijderen in overeenstemming met onze verplichtingen onder deze overeenkomst. Wij zijn niet aansprakelijk (hoe dan ook ontstaan, inclusief nalatigheid) voor de verwijdering of vernietiging van dergelijke persoonsgegevens die in overeenstemming met onze overeenkomst wordt uitgevoerd.
11. Schadevergoeding en vorderingen
11.1 Onder voorbehoud van de aansprakelijkheidsbeperking zoals uiteengezet in de Algemene Voorwaarden, zijn Wij aansprakelijk voor gegevensbeschermingsverliezen (ongeacht de oorzaak, hetzij contractueel, onrechtmatig (inclusief nalatigheid) of anderszins) onder of in verband met onze Overeenkomst:
11.1.1 uitsluitend voor zover deze zijn veroorzaakt door de verwerking van Persoonsgegevens onder onze Overeenkomst en rechtstreeks voortvloeien uit onze schending van onze Overeenkomst; en
11.1.2 in geen geval voor zover gegevensbeschermingsverliezen (of de omstandigheden die daartoe aanleiding geven) mede zijn veroorzaakt door een schending van onze Overeenkomst of de Wetgeving inzake Gegevensbescherming door U.
11.2 Indien een Partij een schadeclaim ontvangt van een persoon met betrekking tot de verwerking van Persoonsgegevens in verband met onze Overeenkomst of de Diensten, zal zij de andere Partij onmiddellijk op de hoogte stellen van en volledige details verstrekken over een dergelijke claim. De Partij die de procedure voert, zal:
11.2.1 geen aansprakelijkheid erkennen, noch instemmen met een schikking of compromis met betrekking tot de betreffende claim zonder de voorafgaande schriftelijke toestemming van de andere Partij (welke toestemming niet onredelijk zal worden geweigerd of vertraagd); en
11.2.2 volledig overleg plegen met de andere partij met betrekking tot een dergelijke actie, maar de voorwaarden van een schikking of compromis van de vordering zullen uitsluitend worden bepaald door de partij die krachtens onze overeenkomst verantwoordelijk is voor de betaling van de schadevergoeding.
11.3 Deze paragraaf 11 is bedoeld om van toepassing te zijn op de verdeling van de aansprakelijkheid voor gegevensbeschermingsverliezen tussen de partijen, behalve:
11.3.1 voor zover niet toegestaan door de wetgeving inzake gegevensbescherming; en
11.3.2 het heeft geen invloed op de aansprakelijkheid van een van beide partijen jegens een betrokkene.
12. Voortbestaan
Deze gegevensverwerkingsovereenkomst blijft van kracht na beëindiging (om welke reden dan ook) of na afloop van onze overeenkomst en blijft van kracht totdat er geen persoonsgegevens meer in ons bezit of onder onze controle of die van een subverwerker zijn, met uitzondering van de paragrafen 10 tot en met 13, die onbeperkt van kracht blijven.
13. Algemeen
13.1 Deze gegevensverwerkingsovereenkomst vormt de volledige overeenkomst tussen de partijen met betrekking tot het onderwerp ervan en vervangt en beëindigt alle eerdere overeenkomsten, beloften, toezeggingen, garanties, verklaringen en afspraken tussen hen, zowel schriftelijk als mondeling, met betrekking tot het onderwerp ervan.
13.2 Het niet of te laat uitoefenen door een partij van een recht of rechtsmiddel dat is voorzien in deze gegevensverwerkingsovereenkomst of de wet, vormt geen afstand van dat of enig ander recht of rechtsmiddel, noch verhindert of beperkt het de verdere uitoefening van dat of enig ander recht of rechtsmiddel. Een enkele of gedeeltelijke uitoefening van een dergelijk recht of rechtsmiddel verhindert of beperkt de verdere uitoefening van dat of enig ander recht of rechtsmiddel niet.
13.3 Indien een bepaling of gedeelte van een bepaling van deze Gegevensverwerkingsovereenkomst ongeldig, onwettig of niet-afdwingbaar is of wordt, wordt deze geacht te zijn gewijzigd in de minimaal noodzakelijke mate om deze geldig, wettig en afdwingbaar te maken. Indien een dergelijke wijziging niet mogelijk is, wordt de betreffende bepaling of het betreffende gedeelte van de bepaling geacht te zijn verwijderd. Een wijziging van of verwijdering van een bepaling of gedeelte van een bepaling krachtens dit artikel heeft geen invloed op de geldigheid en afdwingbaarheid van de rest van deze Gegevensverwerkingsovereenkomst.
13.4 Elke kennisgeving of andere mededeling aan een partij krachtens of in verband met deze Gegevensverwerkingsovereenkomst dient schriftelijk te geschieden, gericht aan die partij op haar statutaire zetel en dient persoonlijk te worden overhandigd, of te worden verzonden per aangetekende post of andere bezorgdienst voor de volgende werkdag, commerciële koerier of e-mail.
13.5 Een kennisgeving of andere mededeling wordt geacht te zijn ontvangen: (i) indien persoonlijk overhandigd, wanneer deze is achtergelaten op het adres bedoeld in artikel 13.4; (ii) indien verzonden per aangetekende post of andere bezorgdienst voor de volgende werkdag, om 9.00 uur op de tweede werkdag na verzending; (iii) indien bezorgd door een commerciële koerier, op de datum en het tijdstip waarop de ontvangstbevestiging van de koerier wordt ondertekend; of (iv) indien verzonden per e-mail, één werkdag na verzending.
13.6 Niemand anders dan een partij bij deze overeenkomst inzake gegevensverwerking heeft het recht om enige van de bepalingen ervan af te dwingen.
13.7 Deze gegevensverwerkingsovereenkomst en elk geschil of elke vordering (inclusief niet-contractuele geschillen of vorderingen) die voortvloeit uit of verband houdt met deze overeenkomst, het onderwerp ervan of de totstandkoming ervan, worden beheerst door en uitgelegd in overeenstemming met het recht van Engeland en Wales.
13.8 Elke partij stemt er onherroepelijk mee in dat de rechtbanken van Engeland en Wales exclusieve bevoegdheid hebben om elk geschil of elke vordering (inclusief niet-contractuele geschillen of vorderingen) die voortvloeit uit of verband houdt met deze gegevensverwerkingsovereenkomst, het onderwerp ervan of de totstandkoming ervan, te beslechten.
Bijlage 1
Details over de gegevensverwerking
Onderwerp van de verwerking:
Het verzenden van zakelijke communicatie
Duur van de verwerking:
Totdat onze Overeenkomst definitief wordt beëindigd of afloopt, tenzij uitdrukkelijk anders is bepaald in onze Overeenkomst
Aard en doel van de verwerking:
Verwerking in overeenstemming met de rechten en verplichtingen van de Partijen onder onze Overeenkomst;
Verwerking voor zover redelijkerwijs noodzakelijk voor het leveren van de Diensten;
Verwerking zoals geïnitieerd, aangevraagd of opgedragen door Geautoriseerde Gebruikers in verband met hun gebruik van de Diensten, of door U, in elk geval op een wijze die in overeenstemming is met onze Overeenkomst.
Verwerking om frauduleuze activiteiten op te sporen en te voorkomen.
Soort Persoonsgegevens:
Naam;
Adres;
Mobiel nummer;
En zoals verder door U ingevoerd op ons platform.
Categorieën van Betrokkenen:
Uw klanten, potentiële klanten en/of werknemers.