Deze verwerkersovereenkomst is van toepassing op de verwerking van persoonsgegevens door VobeSoft B.V., gevestigd te 's-Hertogenbosch en geregistreerd bij de Kamer van Koophandel onder nummer 76416429 (hierna: “Verwerker”), ten behoeve van zijn klant, specifiek de Gebruiker van het cloud-platform zoals geleverd door Verwerker (hierna: “Verantwoordelijke”) aan wie de Verwerker diensten verleent op basis van de tussen deze partijen gesloten overeenkomst.
1.1 Met “AVG” wordt in deze verwerkersovereenkomst de Algemene Verordening Gegevensbescherming bedoeld, dat is Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de Verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG.
1.2 De hiervoor en hierna gebruikte begrippen welke ook worden gedefinieerd in de AVG, zoals ‘persoonsgegevens’ en ‘verwerking’ in welke vervoeging dan ook, hebben dezelfde betekenis als in de AVG.
1.3 Met “Overeenkomst” wordt bedoeld de overeenkomst, inclusief de algemene voorwaarden van Verwerker, welke de Verantwoordelijke en Verwerker al dan niet digitaal via de website van Verwerker zijn overeengekomen inzake de toegang tot en het gebruik van het cloud-platform van Verwerker.
1.4 Deze verwerkersovereenkomst vormt een integraal onderdeel van de Overeenkomst. Bepalingen in de Overeenkomst, bijvoorbeeld over het toepasselijke recht, zijn tevens van toepassing op deze verwerkersovereenkomst. Deze verwerkersovereenkomst wordt aangegaan voor de duur van de Overeenkomst en wordt automatisch beëindigd wanneer de Overeenkomst wordt beëindigd. Deze verwerkersovereenkomst kan niet los van de Overeenkomst tussentijds worden beëindigd door Verwerker of Verantwoordelijke. In het geval van tegenstrijdigheid tussen afspraken in de Overeenkomst en deze verwerkersovereenkomst, gaan de afspraken in deze verwerkersovereenkomst voor op de Overeenkomst.
2.1 Verwerker verwerkt de persoonsgegevens alleen in opdracht van Verantwoordelijke en op basis van de redelijke instructies van Verantwoordelijke. Het doel van de verwerking bestaat uit het door Verwerker leveren van de diensten zoals overeengekomen tussen Verwerker en Verantwoordelijke en kan nader omschreven worden door de Partijen in Bijlage 1.
2.2 De categorieën van persoonsgegevens en de categorieën van betrokkenen van wie deze persoonsgegevens afkomstig zijn, zijn opgenomen in Bijlage 1.
2.3 Verwerker verkrijgt geen zeggenschap over de persoonsgegevens. De persoonsgegevens blijven eigendom van Verantwoordelijke, dan wel de betreffende betrokkenen.
2.4 De Partijen zullen zich houden aan de AVG en andere toepasselijke wet- en regelgeving op het gebied van de bescherming van persoonsgegevens. De Verantwoordelijke staat er jegens Verwerker voor in dat Verantwoordelijke de persoonsgegevens mag verwerken en mag laten verwerken door Verwerker, zoals bedoeld in de Overeenkomst. Indien Verwerker redelijkerwijs van mening is dat een instructie van de Verantwoordelijke in strijd is met de wet- en regelgeving, dan stelt Verwerker de Verantwoordelijke daarvan op de hoogte.
2.5 Op verzoek van de Verantwoordelijke verleent de Verwerker aan de Verantwoordelijke alle redelijke medewerking bij het doen nakomen van de verplichtingen die voortvloeien uit de artikelen 32 tot en met 36 van de AVG. Onder deze medewerking wordt in ieder geval verstaan het delen van de door Verantwoordelijke benodigde informatie. Wanneer om ondersteuning wordt verzocht welke niet kosteloos van Verwerker mag worden verwacht, treden de Partijen in overleg over een vergoeding gebaseerd op het standaard uurtarief zoals gehanteerd door Verwerker.
3.1 Behoudens andersluidende instructies van de Verantwoordelijke of wettelijke verplichtingen, zal Verwerker de persoonsgegevens vertrouwelijk behandelen en zal Verwerker ervoor zorgdragen dat medewerkers van de Verwerker ook gehouden zijn om vertrouwelijkheid in acht te nemen.
3.2 Rekening houdend met de stand van de techniek en de kosten van de uitvoering, zal Verwerker passende technische en organisatorische beveiligingsmaatregelen implementeren om de persoonsgegevens te beschermen tegen verlies of tegen enige andere vorm van onrechtmatige verwerking.
3.3 Op verzoek van Verantwoordelijke, zal Verwerker de Verantwoordelijke nader informeren over de getroffen beveiligingsmaatregelen. Gezien de algemene aard van de diensten van Verwerker, staat de Verantwoordelijke ervoor in dat de getroffen beveiligingsmaatregelen aansluiten bij aard van de te verwerken persoonsgegevens en het risico van de verwerkingen die de Verantwoordelijke wenst uit te voeren binnen de diensten van Verwerker.
3.4 Verwerker zal de getroffen beveiligingsmaatregelen periodiek herzien en updaten om de getroffen beveiligingsmaatregelen in lijn te houden met de stand van de techniek en om de persoonsgegevens te beschermen tegen nieuwe bedreigingen.
3.5 Indien Verantwoordelijke van mening is dat aanvullende beveiligingsmaatregelen geïmplementeerd moeten worden, dan treden Partijen hierover in goed overleg.
4.1 In het geval van een inbreuk in verband met de persoonsgegevens, ook wel een “Datalek” genoemd, zal Verwerker de Verantwoordelijke daarover zonder onredelijke vertraging informeren, maar uiterlijk binnen 48 uur na ontdekking daarvan. Uitsluitend de Verantwoordelijke beoordeelt of een melding bij de toezichthoudende autoriteit nodig is en of betrokkenen moeten worden geïnformeerd.
4.2 Bij het melden van een Datalek aan de Verantwoordelijke, zal Verwerker alle relevante informatie verstrekken die op dat moment beschikbaar is. Tevens zal Verwerker nader onderzoek verrichten om de Verantwoordelijke op korte termijn te voorzien van de informatie die nodig is om het Datalek te melden bij de toezichthoudende autoriteit of om vast te stellen dat een dergelijke melding bij de toezichthoudende autoriteit niet nodig is.
4.3 Bij ontdekking van een Datalek, zal Verwerker zich inspannen maatregelen te treffen om de impact van het Datalek te minimaliseren en om het Datalek zo spoedig mogelijk te verhelpen. Indien mogelijk, zal Verwerker tevens maatregelen treffen om gelijksoortige Datalekken in de toekomst te voorkomen.
5.1 Verantwoordelijke zal verzoeken van betrokkenen afhandelen. Verwerker verleent hiervoor zijn redelijke medewerking zodat Verantwoordelijke het verzoek van de betrokkene tijdig kan afhandelen.
5.2 Indien Verwerker een verzoek van een betrokkene ontvangt, zal Verwerker het verzoek doorsturen naar Verantwoordelijke, en zal Verantwoordelijke het verzoek verder afhandelen. Verwerker mag de betrokkene hiervan op de hoogte stellen.
6.1 In het kader van de dienstverlening aan Verantwoordelijke en de daaruit voortvloeiende verwerkingen van persoonsgegevens, mag Verwerker de subverwerkers inschakelen zoals genoemd op de website van Verwerker.
6.2 De subverwerkers die Verwerker inschakelt, kunnen van tijd tot tijd wijzigen. Wanneer Verwerker voornemens is om een nieuwe subverwerker in te schakelen, zal Verwerker de Verantwoordelijke hiervan op de hoogte stellen per e-mail. Na deze kennisgeving heeft Verantwoordelijke 14 dagen de tijd om bezwaar te maken tegen de voorgestelde nieuwe subverwerker. Verantwoordelijke stemt in met de nieuwe subverwerker wanneer Verantwoordelijke binnen de genoemde termijn van 14 dagen geen bezwaar maakt. Indien Verantwoordelijk wel bezwaar maakt binnen de genoemde termijn, dan treden de Partijen in goed overleg om tot een oplossing te komen. Indien geen oplossing wordt gevonden en Verwerker het inschakelen van de subverwerker doorzet, is Verantwoordelijke gerechtigd de Overeenkomst te beëindigen.
6.3 Subverwerkers die door Verwerker, na schriftelijke toestemming van Verantwoordelijke, worden ingeschakeld zullen aan dezelfde verplichtingen inzake gegevensbescherming onderhavig zijn zoals deze ook zijn opgenomen in deze verwerkersovereenkomst voor Verwerker.
7.1 De verwerking van persoonsgegevens door Verwerker zal plaatsvinden binnen de Europese Economische Ruimte (EER). De verwerking van persoonsgegevens buiten de EER is enkel toegestaan indien er gebruik wordt gemaakt van een passend doorgiftemechanisme conform de AVG, zoals een adequaatheidsbesluit of het sluiten van de zogenoemde Standard Contractual Clauses.
7.2 In het geval Verwerker of een sub-verwerker persoonsgegevens verwerkt buiten de EER, zal Verwerker de Verantwoordelijke van informatie voorzien over deze doorgifte op de website van Verwerker. Hier zal Verwerker in ieder geval aangeven naar welk land de doorgifte plaatsvindt en welk doorgiftemechanisme van toepassing is.
8.1 Verantwoordelijke is gerechtigd om periodiek de naleving van de privacy wet- en regelgeving te controleren. Indien Verantwoordelijke een dergelijke controle wenst uit te voeren, dan zal Verantwoordelijk eerst bij Verwerker bestaande documentatie en auditrapporten opvragen en deze bestuderen.
8.2 Indien de bestaande documentatie en/of auditrapporten niet de eventuele zorgen van Verantwoordelijke wegnemen, mag Verantwoordelijke verzoeken om een (nadere) audit bij Verwerker. Verantwoordelijke zal dit verzoek onderbouwen en vervolgens stemmen de Partijen af wanneer een dergelijke audit uitgevoerd kan worden en welke scope deze audit zal hebben. Hierbij nemen de Partijen het volgende in acht: (i) een dergelijke audit op verzoek van Verantwoordelijk mag éénmaal per jaar plaatsvinden, (ii) de audit dient uitgevoerd te worden door een onafhankelijke deskundige, die wordt ingeschakeld door Verantwoordelijke en die aan strikte geheimhouding is gebonden, (iii) de kosten van de audit zijn voor rekening van de Verantwoordelijke, en (iv) de audit wordt op een manier gepland en georganiseerd, waarbij de normale bedrijfsvoering van Verwerker zo min mogelijk hinder ondervindt.
8.3 Verwerker zal zijn medewerking verlenen aan de audit en alle redelijkerwijs relevante informatie voor de audit verstrekken. De resultaten van de audit zullen worden besproken door Verwerker en Verantwoordelijke. Indien uit de audit blijkt dat Verwerker niet voldoet aan deze verwerkersovereenkomst of de privacywetgeving, zal Verwerker maatregelen nemen om ervoor te zorgen dat Verwerker wel aan deze verwerkersovereenkomst en de privacywetgeving voldoet. De kosten van dergelijke maatregelen zijn voor Verwerker. Informatie dat wordt gedeeld in het kader van de audit, alsmede enige resultaten, is vertrouwelijk en zal als zodanig door Partijen behandeld worden.
9.1 Indien Verwerker jegens Verantwoordelijke aansprakelijk voor schade als gevolg van het niet nakomen van deze verwerkersovereenkomst of de toepasselijke wet- en regelgeving, dan is de aansprakelijkheid van Verwerker beperkt tot het bedrag dat de verzekeraar van Verwerker in dat geval uitkeert. Indien de verzekeraar niets uitkeert, dan is de aansprakelijkheid van Verwerker beperkt tot het bedrag dat Verantwoordelijke in de twaalf (12) maanden voorafgaand aan het ontstaan van de schade aan Verwerker heeft betaald onder de Overeenkomst.
9.2 Deze beperking van de aansprakelijkheid is niet van toepassing voor zover de schade voortvloeit uit opzettelijk of bewust roekeloos handelen door Verwerker, of in andere gevallen waarin de aansprakelijkheid van Verwerker dwingendrechtelijk niet beperkt kan worden.
10.1 Zodra deze verwerkersovereenkomst om welke reden en wijze dan ook eindigt, zal Verwerker de gegevens die door Verwerker in opdracht voor Verantwoordelijke verwerkt, verwijderen na verloop van 30 dagen. Dit geldt tenzij op Verwerker een wettelijke of lidstaatrechtelijke verplichting van toepassing is waaruit blijkt dat de persoonsgegevens bewaard moeten worden. Gedurende deze periode van 30 dagen kan Verantwoordelijke de gegevens exporteren. In goed overleg is Verwerker bereid om met Verantwoordelijke nadere afspraken te maken over het leveren van eventuele ondersteuning bij het migreren van de gegevens van Verantwoordelijke op de systemen van Verwerker.
10.2 Op verzoek van Verantwoordelijke stuurt Verwerker een bevestiging dat de gegevens zijn verwijderd.
11.1 Verwerker is gerechtigd om deze verwerkersovereenkomst te wijzigen door de voorgenomen wijzigingen 30 dagen van tevoren per e-mail aan te kondigen bij Verantwoordelijke. De Verantwoordelijke kan gedurende deze periode bezwaar maken tegen de wijzigingen, waarna de partijen in goed overleg zullen treden over de voorgenomen wijzigingen. Indien de partijen hier onderling niet uitkomen en Verwerker de voorgenomen wijzigingen doorzet, is Verantwoordelijke gerechtigd om de Overeenkomst en deze verwerkersovereenkomst op te zeggen tegen de datum waarop de wijzigingen in werking treden.
11.2 Op deze verwerkersovereenkomst en de uitvoering daarvan is Nederlands recht van toepassing. Als de partijen een geschil hebben, dan zullen Verantwoordelijke en Verwerker hun best doen om hier gezamenlijk en in goed overleg uit te komen. Kunnen de partijen het geschil niet onderling oplossen, dan kan het geschil uitsluitend worden voorgelegd aan de bevoegde rechter van het arrondissement waarin Verwerker gevestigd is.
De aard van het cloud-platform VobeSoft brengt met zich mee dat Verantwoordelijke zelf in controle is van welke gegevens van welke categorieën van betrokkenen verwerkt worden. Dit kan ook van tijd tot tijd veranderen in het geval Verantwoordelijke zijn omgeving en gebruik van VobeSoft aanpast. Verwerker is hier niet van op de hoogte.
Verantwoordelijke voorziet bij ondertekening van de verwerkersovereenkomst dat gegevens van de volgende categorieën van betrokkenen worden verwerkt:
Verantwoordelijke voorziet bij ondertekening van de verwerkersovereenkomst dat de volgende gegevens worden verwerkt:
De bewaartermijn van gegevens in het cloud-platform VobeSoft wordt beheerd door Verantwoordelijke. Bij het einde van de Overeenkomst zullen de gegevens na 30 dagen verwijderd worden.