Dataverwerkingsovereenkomst
- INLEIDING
- 1.1 Deze Bijlage 1 is van toepassing op Verwerkingen (zoals hierin gedefinieerd) van Persoonsgegevens (zoals hierin gedefinieerd) door Visma Bouwsoft als Verwerker namens Klant als Verwerkingsverantwoordelijke onder de Overeenkomst.
- 1.1 Deze Bijlage 1 is van toepassing op Verwerkingen (zoals hierin gedefinieerd) van Persoonsgegevens (zoals hierin gedefinieerd) door Visma Bouwsoft als Verwerker namens Klant als Verwerkingsverantwoordelijke onder de Overeenkomst.
- DEFINITIES
- 2.1 De definities Verwerkingsverantwoordelijke, Betrokkene, Persoonsgegevens, Inbreuk in verband met Persoonsgegevens, Verwerking, Verwerker en Gevoelige Gegevens (Bijzondere Persoonsgegevens categorieën) in deze Bijlage 1 hebben dezelfde betekenis zoals gebruikt in EU 2016/679 Algemene Verordening Gegevensbescherming (de ‘AVG’).
- 2.1 De definities Verwerkingsverantwoordelijke, Betrokkene, Persoonsgegevens, Inbreuk in verband met Persoonsgegevens, Verwerking, Verwerker en Gevoelige Gegevens (Bijzondere Persoonsgegevens categorieën) in deze Bijlage 1 hebben dezelfde betekenis zoals gebruikt in EU 2016/679 Algemene Verordening Gegevensbescherming (de ‘AVG’).
- TOEPASSELIJKHEID
- 3.1 Bijlage 1 regelt de Verwerking van Persoonsgegevens door de Verwerker namens de Verwerkingsverantwoordelijke, en schetst hoe de Verwerker zal bijdragen aan het waarborgen van de privacy namens de Verwerkingsverantwoordelijke en zijn geregistreerde Betrokkenen, door middel van technische en organisatorische maatregelen in overeenstemming met de toepasselijke privacywetgeving, waaronder de AVG.
- 3.2 Het doel van de Verwerking van Persoonsgegevens door de Verwerker namens de Verwerkingsverantwoordelijke is de uitvoering van de Overeenkomst.
- 3.3 Bijlage 1 heeft voorrang op tegenstrijdige bepalingen met betrekking tot de Verwerking van Persoonsgegevens in de Overeenkomst of in andere eerdere overeenkomsten of schriftelijke communicatie tussen de Partijen.
- 3.1 Bijlage 1 regelt de Verwerking van Persoonsgegevens door de Verwerker namens de Verwerkingsverantwoordelijke, en schetst hoe de Verwerker zal bijdragen aan het waarborgen van de privacy namens de Verwerkingsverantwoordelijke en zijn geregistreerde Betrokkenen, door middel van technische en organisatorische maatregelen in overeenstemming met de toepasselijke privacywetgeving, waaronder de AVG.
- RECHTEN EN PLICHTEN VAN DE VERWERKER
- 4.1 De Verwerker zal Persoonsgegevens slechts Verwerken namens en in overeenstemming met de schriftelijke instructies van de Verwerkingsverantwoordelijke. Door het aangaan van de Overeenkomst draagt de Verwerkingsverantwoordelijke de Verwerker op om Persoonsgegevens op de volgende wijze te verwerken; i) uitsluitend in overeenstemming met de toepasselijke wetgeving, ii) om te voldoen aan alle verplichtingen volgens de Overeenkomst, iii) zoals nader gespecificeerd via het gewone gebruik door de Verwerkingsverantwoordelijke van de Diensten van de Verwerker en iv) zoals gespecificeerd in deze Bijlage 1.
- 4.2 De Verwerker heeft geen reden om aan te nemen dat wetgeving die op hem van toepassing is, de Verwerker verhindert om de hierboven genoemde instructies uit te voeren. De Verwerker zal, zodra hij daarvan op de hoogte is, de Verwerkingsverantwoordelijke in kennis stellen van instructies of andere Verwerkingsactiviteiten door de Verwerkingsverantwoordelijke die naar het oordeel van de Verwerker in strijd zijn met de toepasselijke privacywetgeving.
- 4.3 De categorieën van Betrokkenen en Persoonsgegevens die op grond van deze Bijlage 1 aan Verwerking worden onderworpen, zijn vastgelegd in Appendix A en kunnen in de Overeenkomst nader zijn gespecificeerd.
- 4.4 De Verwerker zal de vertrouwelijkheid, integriteit en beschikbaarheid van Persoonsgegevens waarborgen overeenkomstig de op de Verwerker van toepassing zijnde privacywetgeving. De Verwerker zal systematische, organisatorische en technische maatregelen treffen om een passend beveiligingsniveau te waarborgen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging in verhouding tot het risico dat de Verwerking vertegenwoordigt, en de aard van de te beschermen Persoonsgegevens.
- 4.5 De Verwerker zal de Verwerkingsverantwoordelijke met passende technische en organisatorische maatregelen bijstaan, voor zover mogelijk en rekening houdend met de aard van de Verwerking en de informatie waarover de Verwerker beschikt, bij het nakomen van de verplichtingen van de Verwerkingsverantwoordelijke op grond van de toepasselijke privacywetgeving met betrekking tot het verzoek van Betrokkenen, en de algemene naleving van de privacywetgeving op grond van de artikelen 32 t/m 36 van de AVG.
- 4.6 Indien de Verwerkingsverantwoordelijke informatie of bijstand nodig heeft met betrekking tot beveiligingsmaatregelen, documentatie of andere vormen van informatie over de wijze waarop de Verwerker Persoonsgegevens verwerkt, en dergelijke verzoeken verder gaan dan de standaardinformatie die de Verwerker verstrekt om als Verwerker te voldoen aan de toepasselijke privacywetgeving, kan de Verwerker de Verwerkingsverantwoordelijke voor dit verzoek om aanvullende diensten redelijke kosten in rekening brengen.
- 4.7 De Verwerker en zijn personeel dragen zorg voor geheimhouding met betrekking tot de Persoonsgegevens die onderwerp zijn van Verwerking in overeenstemming met de Overeenkomst. Deze bepaling is ook van toepassing na beëindiging van de Overeenkomst.
- 4.8 De Verwerker zal, door de Verwerkingsverantwoordelijke zonder onnodige vertraging in kennis te stellen, de Verwerkingsverantwoordelijke in staat stellen te voldoen aan de wettelijke vereisten inzake kennisgeving aan Autoriteit Persoonsgegevens of Betrokkenen over privacy-incidenten.
- 4.9 Voorts zal de Verwerker, voor zover dit passend en rechtmatig is, de Verwerkingsverantwoordelijke in kennis stellen van;
- van een Betrokkene ontvangen verzoeken om verstrekking van Persoonsgegevens,
- verzoeken tot openbaarmaking van Persoonsgegevens door overheidsinstanties, zoals maar niet beperkt tot, de politie.
- 4.10 De Verwerker zal niet rechtstreeks reageren op verzoeken van Betrokkenen, tenzij hij daartoe schriftelijk is gemachtigd door de Verwerkingsverantwoordelijke. De Verwerker zal geen aan deze Bijlage 1 verbonden informatie verstrekken aan overheidsinstanties, zoals de politie, waaronder Persoonsgegevens, tenzij daartoe verplicht door de wet, zoals via een gerechtelijk bevel of een soortgelijk bevel.
- 4.11 De Verwerker heeft geen zeggenschap of en hoe de Verwerkingsverantwoordelijke gebruik maakt van integraties van derden via de API (of vergelijkbaar) van de Verwerker, en de Verwerker aanvaardt in verband dus geen aansprakelijkheid. De Verwerkingsverantwoordelijke is als enige verantwoordelijk voor integraties van derden.
- 4.12 De Verwerker kan Persoonsgegevens over gebruikers en het gebruik van de dienst door de Verwerkingsverantwoordelijke verwerken wanneer dit noodzakelijk is om feedback te verkrijgen en de dienst te verbeteren. De Verwerkingsverantwoordelijke verleent de Verwerker het recht om geaggregeerde gegevens over systeemactiviteiten in verband met het gebruik van de Diensten te gebruiken en te analyseren met het oog op optimalisering, verbetering of uitbreiden van de wijze waarop wij onze Diensten verlenen en om ons in staat te stellen nieuwe functies en functionaliteit in verband met de Diensten te creëren. De Verwerker wordt beschouwd als de verwerkingsverantwoordelijke voor dergelijke verwerking en de verwerking is derhalve niet onderworpen aan deze Bijlage 1.
- 4.13 Bij het gebruik van de dienst zal de Verwerkingsverantwoordelijke gegevens toevoegen aan de Software ("Klantgegevens"). De Verwerkingsverantwoordelijke erkent en heeft er geen bezwaar tegen dat de Verwerker de Klantgegevens in een geaggregeerd en geanonimiseerd formaat gebruikt voor het verbeteren van de aan klanten geleverde diensten, onderzoek, opleiding, educatieve en/of statistische doeleinden.
- 4.1 De Verwerker zal Persoonsgegevens slechts Verwerken namens en in overeenstemming met de schriftelijke instructies van de Verwerkingsverantwoordelijke. Door het aangaan van de Overeenkomst draagt de Verwerkingsverantwoordelijke de Verwerker op om Persoonsgegevens op de volgende wijze te verwerken; i) uitsluitend in overeenstemming met de toepasselijke wetgeving, ii) om te voldoen aan alle verplichtingen volgens de Overeenkomst, iii) zoals nader gespecificeerd via het gewone gebruik door de Verwerkingsverantwoordelijke van de Diensten van de Verwerker en iv) zoals gespecificeerd in deze Bijlage 1.
- RECHTEN EN PLICHTEN VAN VERWERKINGSVERANTWOORDELIJKE
- 5.1 De Verwerkingsverantwoordelijke bevestigt door het aangaan van de Overeenkomst dat:
- zij wettelijk bevoegd is tot het Verwerken en bekendmaken van de Persoonsgegevens in kwestie aan Verwerker (met inbegrip van door Verwerker ingeschakelde subverwerkers).
- zij verantwoordelijkheid draagt voor de accuraatheid, integriteit, inhoud, betrouwbaarheid en rechtmatigheid van de Verwerkte Persoonsgegevens zoals bekendgemaakt aan Verwerker.
- zij heeft voldaan aan haar verplichtingen om relevante informatie te verstrekken aan Betrokkenen en toezichthoudende autoriteiten omtrent de Verwerkingen van Persoonsgegevens conform dwingend gegevensbeschermingswetgeving.
- zij zal, bij het ontvangen en gebruik van de diensten van Verwerker onder de Overeenkomst, geen Bijzondere Categorieën van Persoonsgegevens aan Verwerker bekendmaken/verstrekken, tenzij expliciet overeengekomen in de Overeenkomst.
- 5.1 De Verwerkingsverantwoordelijke bevestigt door het aangaan van de Overeenkomst dat:
- INSCHAKELEN DERDEN VOOR VERWERKER EN DATA-OVERDRACHT
- 6.1 Als onderdeel van het leveren van de Diensten aan Verwerkingsverantwoordelijke conform de Overeenkomst en de Algemene Voorwaarden, zal Verwerker derden (subverwerkers) inschakelen bij de uitvoering van de Overeenkomst en Verwerkingsverantwoordelijke geeft algemene toestemming voor het mogen inschakelen van voornoemde subverwerkers door Verwerker. Deze subverwerkers kunnen bedrijven binnen de Visma-groep zijn of externe derde partijen. Verwerker ziet erop toe dat subverwerkers akkoord gaan met het accepteren van de verantwoordelijkheden en daarmee corresponderende verplichtingen zoals neergelegd in deze Bijlage 1.
- 6.2 Een overzicht van de huidige subverwerkers met toegang tot Persoonsgegevens is beschikbaar in het Visma Trust Centre en raadpleegbaar via: https://www.visma.com/trust-centre/product-search/ . De Verwerker kan andere in de EU/EER gevestigde bedrijven van de Visma-groep als subverwerker inschakelen zonder dat het Visma-bedrijf is opgenomen in de lijst van Trust Center en zonder voorafgaande goedkeuring of kennisgeving aan de Verwerkingsverantwoordelijke. Dit gebeurt gewoonlijk ten behoeve van o.a. ontwikkeling en ondersteuningsactiviteiten. Verwerkingsverantwoordelijke mag gedetailleerdere informatie over subverwerkers bij Verwerker opvragen.
- 6.3 Indien de subverwerkers buiten de EU of de EER zijn gevestigd, is Visma Bouwsoft gerechtigd tot doorgifte van persoonsgegevens buiten de EU/EER, deze overdracht voldoet aan de relevante bepalingen van hoofdstuk V van de AVG (bijvoorbeeld dat de overdracht is gebaseerd op een adequaatheidsbesluit (artikel 45 AVG) of de overdracht is onderworpen aan passende waarborgen (artikel 46 AVG)).
- 6.4 De Verwerkingsverantwoordelijke wordt vooraf in kennis gesteld van elke wijziging van subverwerkers die Persoonsgegevens verwerken. Indien de Verwerkingsverantwoordelijke bezwaar maakt tegen een nieuwe subverwerker binnen 30 dagen na de kennisgeving, beoordelen de Verwerker en de Verwerkingsverantwoordelijke de documentatie over de beveiligingsmaatregelen van de subverwerker, teneinde de naleving van de toepasselijke privacywetgeving te waarborgen. Indien de Verwerkingsverantwoordelijke blijvend bezwaren heeft en daarvoor redelijke gronden heeft, kan de Verwerkingsverantwoordelijke zich niet tegen het gebruik van een dergelijke subverwerker verzetten (met name gezien de aard van online standaard Software), maar kan de Verwerkingsverantwoordelijke de Overeenkomst opzeggen.
- 6.1 Als onderdeel van het leveren van de Diensten aan Verwerkingsverantwoordelijke conform de Overeenkomst en de Algemene Voorwaarden, zal Verwerker derden (subverwerkers) inschakelen bij de uitvoering van de Overeenkomst en Verwerkingsverantwoordelijke geeft algemene toestemming voor het mogen inschakelen van voornoemde subverwerkers door Verwerker. Deze subverwerkers kunnen bedrijven binnen de Visma-groep zijn of externe derde partijen. Verwerker ziet erop toe dat subverwerkers akkoord gaan met het accepteren van de verantwoordelijkheden en daarmee corresponderende verplichtingen zoals neergelegd in deze Bijlage 1.
- BEVEILIGING
- 7.1 De Verwerker verbindt zich ertoe een hoog niveau van beveiliging te bieden in zijn producten en diensten. De Verwerker voorziet in zijn beveiligingsniveau door middel van organisatorische, technische en fysieke beveiligingsmaatregelen, overeenkomstig de vereisten inzake informatiebeveiligingsmaatregelen zoals uiteengezet in de AVG, artikel 32.
- 7.2 De Verwerkingsverantwoordelijke is verantwoordelijk voor de passende en adequate beveiliging van de apparatuur en de IT-omgeving die onder zijn verantwoordelijkheid valt.
- 7.1 De Verwerker verbindt zich ertoe een hoog niveau van beveiliging te bieden in zijn producten en diensten. De Verwerker voorziet in zijn beveiligingsniveau door middel van organisatorische, technische en fysieke beveiligingsmaatregelen, overeenkomstig de vereisten inzake informatiebeveiligingsmaatregelen zoals uiteengezet in de AVG, artikel 32.
- INSPECTIERECHTEN
- 8.1 De Verwerkingsverantwoordelijke kan maximaal eenmaal per jaar controleren of de Verwerker zich aan deze Bijlage 1 houdt. Indien de op de Verwerkingsverantwoordelijke van toepassing zijnde wetgeving zulks vereist, kan de Verwerkingsverantwoordelijke om frequentere audits verzoeken. Om een audit aan te vragen, dient de Verwerkingsverantwoordelijke de Verwerker ten minste vier weken voor de voorgestelde auditdatum een gedetailleerd auditplan voor te leggen, met een beschrijving van de voorgestelde omvang, duur en aanvangsdatum van de audit. Audits zullen altijd worden uitgevoerd door een neutrale derde-auditor naar keuze van Visma Bouwsoft.
- 8.2 Indien de gevraagde reikwijdte van de audit wordt behandeld in een ISAE-, ISO- of vergelijkbaar assurance-rapport dat binnen de voorafgaande twaalf maanden door een gekwalificeerde derde auditor is uitgevoerd, en de Verwerker bevestigt dat er geen bekende materiële wijzigingen zijn in de gecontroleerde maatregelen, stemt Verwerkingsverantwoordelijke ermee in die bevindingen te aanvaarden in plaats van een nieuwe audit aan te vragen van de maatregelen waarop het rapport betrekking heeft.
- 8.3 In elk geval moeten de audits worden uitgevoerd tijdens de gewone kantooruren in de desbetreffende vestiging, met inachtneming van het beleid van de Verwerker, en mogen zij de bedrijfsactiviteiten van de Verwerker niet op onredelijke wijze hinderen.
- 8.4 Verwerkingsverantwoordelijke is verantwoordelijk voor alle kosten die voortvloeien uit de door de Verwerkingsverantwoordelijke gevraagde controles. Voor verzoeken om bijstand van de Verwerker kunnen kosten in rekening worden gebracht.
- 8.1 De Verwerkingsverantwoordelijke kan maximaal eenmaal per jaar controleren of de Verwerker zich aan deze Bijlage 1 houdt. Indien de op de Verwerkingsverantwoordelijke van toepassing zijnde wetgeving zulks vereist, kan de Verwerkingsverantwoordelijke om frequentere audits verzoeken. Om een audit aan te vragen, dient de Verwerkingsverantwoordelijke de Verwerker ten minste vier weken voor de voorgestelde auditdatum een gedetailleerd auditplan voor te leggen, met een beschrijving van de voorgestelde omvang, duur en aanvangsdatum van de audit. Audits zullen altijd worden uitgevoerd door een neutrale derde-auditor naar keuze van Visma Bouwsoft.
- DUUR EN BEËINDIGING
- 9.1 Bijlage 1 is geldig zolang de Verwerker Persoonsgegevens verwerkt namens de Verwerkingsverantwoordelijke in het kader van de Overeenkomst(en).
- 9.2 Bij beëindiging van de Overeenkomst zal de Verwerker Persoonsgegevens die namens de Verwerkingsverantwoordelijke zijn verwerkt, wissen of retourneren, in overeenstemming met de toepasselijke clausules in de Overeenkomst en/of de Algemene Voorwaarden. Deze verwijdering zal zo spoedig als redelijkerwijs mogelijk is plaatsvinden, tenzij EU- of lokale wetgeving verdere opslag vereist. Tenzij schriftelijk anders overeengekomen, zullen de kosten van dergelijke handelingen gebaseerd zijn op i) uurtarieven voor de door de Verwerker bestede tijd en ii) de complexiteit van het gevraagde proces.
- 9.1 Bijlage 1 is geldig zolang de Verwerker Persoonsgegevens verwerkt namens de Verwerkingsverantwoordelijke in het kader van de Overeenkomst(en).
- AANSPRAKELIJKHEID
- 10.1 Ter voorkoming van misverstanden, Partijen komen hierbij overeen en erkennen dat iedere Partij aansprakelijk zal zijn en verantwoordelijk is voor de betaling van administratieve boetes en schadevergoedingen aan Betrokkenen indien deze betalingsplicht aan deze Partij is opgelegd door de relevante autoriteit persoonsgegevens of een bevoegde rechtbank in overeenstemming met toepasselijke wetgeving. Aansprakelijkheidskwesties tussen de Partijen zullen worden beheerst door de relevante bepalingen aangaande aansprakelijkheid zoals opgenomen in de Algemene Voorwaarden.
- 10.1 Ter voorkoming van misverstanden, Partijen komen hierbij overeen en erkennen dat iedere Partij aansprakelijk zal zijn en verantwoordelijk is voor de betaling van administratieve boetes en schadevergoedingen aan Betrokkenen indien deze betalingsplicht aan deze Partij is opgelegd door de relevante autoriteit persoonsgegevens of een bevoegde rechtbank in overeenstemming met toepasselijke wetgeving. Aansprakelijkheidskwesties tussen de Partijen zullen worden beheerst door de relevante bepalingen aangaande aansprakelijkheid zoals opgenomen in de Algemene Voorwaarden.