Gegevensverwerkingsovereenkomst

Data Processing Agreement (DPA)

Tussen SOEQ als een verwerker en de Gebruiker als een verwerkingsverantwoordelijke in overeenstemming met artikel 28 uit de AVG.

Deze overeenkomst is geldig vanaf 1 juni 2018.

1. Doel & Definities

Het doel van deze Gegevensverwerkingsovereenkomst is om de verwerking van persoonsgegevens door de Verwerker namens de Verwerkingsverantwoordelijke te regelen en tegelijkertijd de Service (“de Service”) te leveren zoals nader beschreven in de SOEQ gebruikersovereenkomst.

Deze Gegevensverwerkingsovereenkomst regelt de rechten en plichten van de Verwerker, om ervoor te zorgen dat alle Verwerking van Persoonsgegevens wordt uitgevoerd in overeenstemming met de toepasselijke wetgeving inzake gegevensbescherming.

De Verwerking van Persoonsgegevens (zoals hieronder gedefinieerd) is onderworpen aan vereisten en verplichtingen op grond van het toepasselijke recht. Indien de Verwerkingsverantwoordelijke een in de Europese Economische Ruimte (de “EER”) gevestigde rechtspersoon is, omvat de relevante wetgeving inzake gegevensbescherming de Nederlandse wetgeving inzake gegevensbescherming en de huidige verordening EU-2016/679 van 27 april 2016.

Partijen komen overeen om deze Gegevensverwerkingsovereenkomst te wijzigen, voor zover dit noodzakelijk is als gevolg van verplichte nieuwe vereisten ten gevolge van de EU-verordening 2016/679 en de herziene Elektronische-communicatieregelgeving (“e-privacy”) overeenkomstig de Nederlandse implementatie.

Persoonsgegevens” betekent alle informatie met betrekking tot een geïdentificeerde of identificeerbare natuurlijke persoon, zoals nader gedefinieerd in het toepasselijke recht en EU-verordening 2016/679.

Verwerking” van Persoonsgegevens betekent elk gebruik, elke handeling of reeks van handelingen die wordt uitgevoerd op persoonsgegevens, al dan niet met geautomatiseerde middelen, zoals verzameling, overdracht, opslag, wijziging, bekendmaking, zoals nader gedefinieerd in het toepasselijke recht en EU- Verordening 2016/679.

Derde Landen” landen buiten de EU/EER die niet worden erkend als landen die passende bescherming van persoonsgegevens bieden.

2. Verantwoordelijkheden van de Verwerkingsverantwoordelijke

Om toegang te krijgen tot de Service, moet de Klant bepaalde gegevens aan de Verwerker verstrekken, waaronder de juiste naam, contactgegevens en het e-mailadres van de gebruikers. Bovendien moeten de gebruikers van de Service de Verwerker in staat stellen om sessie-informatie op te slaan en op te halen middels het gebruik van “cookies” die nodig zijn om de inlog-/logout-procedures die in de Service worden gebruikt mogelijk te maken en om ervoor te zorgen dat onbevoegde personen geen toegang krijgen tot de Services.

De Verwerkingsverantwoordelijke erkent en aanvaardt dat alle Persoonsgegevens die de Verwerkingsverantwoordelijke naar de Service uploadt, zoals geüploade Persoonsgegevens die betrekking hebben op de eigen klanten van de Verwerkingsverantwoordelijke, mogen worden overgedragen aan een derde (sub-verwerker) in de Europese Economische Ruimte (EER) die zorgt voor de hosting van de Service, inclusief de levering van alle hardware, infrastructuur, gegevensopslag en communicatielijnen. De verplichtingen van de derde met betrekking tot Persoonsgegevens worden uiteengezet in een afzonderlijke gegevensverwerkingsovereenkomst tussen de Verwerker en de derde in het kader van deze Gegevensverwerkingsovereenkomst. Alle gegevens in de Service worden op servers in Europa opgeslagen.

De Verwerkingsverantwoordelijke bevestigt dat de Verwerkingsverantwoordelijke:

  • Voldoende wettelijke basis heeft voor de Verwerking van Persoonsgegevens;
  • Het recht heeft om de Verwerker te gebruiken voor de Verwerking van de Persoonsgegevens;
  • De verantwoordelijkheid heeft voor de juistheid, integriteit, inhoud, betrouwbaarheid en wettigheid van de Persoonsgegevens;
  • Voldoet aan de toepasselijke wetgeving inzake kennisgeving aan en machtigingen van relevante autoriteiten;
  • De Betrokkene in overeenstemming met het toepasselijke recht heeft geïnformeerd.

De Verwerkingsverantwoordelijke zal:

  • Verzoeken beantwoorden van de Betrokkenen met betrekking tot de Verwerking van Persoonsgegevens op grond van deze Gegevensverwerkingsovereenkomst;
  • De noodzaak van specifieke maatregelen beoordelen zoals uiteengezet in 3.3.2 en 3.3.4 van deze Gegevensverwerkingsovereenkomst, en de Verwerker opdragen om dergelijke maatregelen te nemen.

De Verwerkingsverantwoordelijke dient voldoende technische en organisatorische maatregelen te nemen om de naleving van de EU-verordening 2016/679 te waarborgen en dit aan te tonen vanaf het moment dat deze in Nederland in werking treedt.

De Verwerkingsverantwoordelijke heeft de plicht om eventuele inbreuken op persoonsgegevens aan de desbetreffende autoriteiten te melden en, indien nodig, de Betrokkenen daarvan zonder onnodige vertraging in kennis te stellen, in overeenstemming met het toepasselijke recht.

3. Verantwoordelijkheden van de Verwerker

3.1 Naleving

De Verwerker dient te voldoen aan alle bepalingen voor de bescherming van Persoonsgegevens uiteengezet in deze Gegevensverwerkingsovereenkomst en in toepasselijke wetgeving inzake gegevensbescherming die relevant zijn voor de Verwerking van Persoonsgegevens. De Verwerker zal de Verwerkingsverantwoordelijke assistentie verlenen om te zorgen en te documenteren dat de Verwerkingsverantwoordelijke voldoet aan de vereisten op grond van de toepasselijke wetgeving inzake gegevensbescherming.

De Verwerker dient zich te houden aan de instructies en procedures die door de Verwerkingsverantwoordelijke worden gegeven met betrekking tot de Verwerking van Persoonsgegevens.

3.2 Beperkingen op gebruik

De Verwerker zal uitsluitend Persoonsgegevens Verwerken op aanwijzing en in overeenstemming met de schriftelijke instructies van de Verwerkingsverantwoordelijke. De Verwerker zal Persoonsgegevens niet verwerken zonder voorafgaande schriftelijke overeenkomst met de Verwerkingsverantwoordelijke of zonder schriftelijke instructies van de Verwerkingsverantwoordelijke, op een manier die verder gaat dan nodig is om aan zijn verplichtingen jegens de Verwerkingsverantwoordelijke uit hoofde van de SOEQ Gebruikersvereenkomst te voldoen.

3.3 Informatiebeveiliging

3.3.1. Plicht om informatiebeveiliging te waarborgen

De Verwerker zal door middel van geplande, systematische, organisatorische en technische maatregelen zorgen voor passende informatiebeveiliging met betrekking tot de vertrouwelijkheid, integriteit en toegankelijkheid in verband met de Verwerking van Persoonsgegevens in overeenstemming met de informatiebeveiligingsbepalingen in de toepasselijke wetgeving inzake gegevensbescherming.

De maatregelen en documentatie met betrekking tot de interne controle zullen op verzoek aan de Verwerkingsverantwoordelijke beschikbaar worden gesteld.

3.3.2 Beoordeling van maatregelen

Bij de beslissing welke technische en organisatorische maatregelen moeten worden geïmplementeerd, dient de Verwerker, in overleg met de Verwerkingsverantwoordelijke, rekening te houden met:

  • De stand van de techniek;
  • De kosten van implementatie;
  • De aard en omvang van de verwerking;
  • De context en het doel van de verwerking;
  • De ernst van de risico’s die de Verwerking van Persoonsgegevens heeft voor de rechten en vrijheden van de betrokkene.

De Verwerker zal in overleg met de Verwerkingsverantwoordelijke overwegen:

  • pseudonimisering en versleuteling van Persoonsgegevens;
  • het vermogen om de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van verwerkingssystemen en -diensten doorlopend te garanderen;
  • het vermogen om de beschikbaarheid en toegang tot persoonsgegevens tijdig te kunnen herstellen in geval van een fysiek of technisch incident;
  • het instellen van een procedure voor het doorlopend testen, beoordelen en regelmatig evalueren van de doeltreffendheid van technische en organisatorische maatregelen om de beveiliging van de Verwerking te waarborgen.

3.3.3 Verzoeken van de betrokkenen

Gezien de aard van de Verwerking, zullen de Verwerkers passende technische en organisatorische maatregelen nemen om de verplichting van de Verwerkingsverantwoordelijke te ondersteunen om te reageren op verzoeken met betrekking tot de uitoefening van de rechten van de betrokkenen zoals bedoeld in hoofdstuk III van de EU-Verordening 2016/679.

3.3.4 Assistentie verleend aan de verwerkingsverantwoordelijke

De Verwerker zal de Verwerkingsverantwoordelijke assistentie verlenen bij het waarborgen van naleving van toepasselijke wetgeving, inclusief het assisteren van de Verwerkingsverantwoordelijke bij het doen nakomen van de verplichtingen uit hoofde van artikel 32 tot en met 36 van de EU-Verordening 2016/679, te weten:

  • Het implementeren van technische en organisatorische maatregelen zoals hierboven vermeld;
  • Naleving van de meldingsplicht aan toezichthoudende autoriteiten en betrokkenen in het geval van een inbreuk in verband met persoonsgegevens;
  • Uitvoering van gegevensbeschermingseffectbeoordeling;
  • Uitvoering van vooraf overleg met toezichthoudende autoriteiten wanneer een gegevensbeschermingseffectbeoordeling dit noodzakelijk maakt;
  • Kennisgeving aan de Verwerkingsverantwoordelijke als de Verwerker van mening is dat een instructie van de Verwerkingsverantwoordelijke niet voldoet aan de toepasselijke voorschriften voor gegevensbescherming.

Assistentie zoals hierboven uiteengezet, zal voor zover nodig worden uitgevoerd rekening houdend met de behoefte van de Verwerkingsverantwoordelijke, de aard van de verwerking en de informatie die beschikbaar is voor de Verwerker.

3.3.5 Vergoeding

Assistentie van de Verwerker zoals vastgelegd in deze Gegevensverwerkingsovereenkomst, alsmede assistentie met betrekking tot specifieke procedures en instructies opgelegd door de Verwerkingsverantwoordelijke, zal door de Verwerkingsverantwoordelijke worden vergoed in overeenstemming met de normale voorwaarden en prijzen van de Verwerker.

3.4 Afwijkingen en melding van inbreuk op gegevens

  • Elk gebruik van de informatiesystemen en de Persoonsgegevens dat niet voldoet aan de vastgestelde procedures, instructies van de Verwerkingsverantwoordelijke of toepasselijke wetgeving inzake gegevensbescherming, alsmede beveiligingsinbreuken, zal als een afwijking worden beschouwd.

De Verwerker dient te beschikken over procedures en systematische processen om te reageren op afwijkingen, waaronder het herstellen van de normale stand van zaken, het elimineren van de oorzaak van de afwijking en het voorkomen van herhaling ervan.

De Verwerker zal de Verwerkingsverantwoordelijke onmiddellijk in kennis stellen van elke schending van deze Gegevensverwerkingsovereenkomst of van onopzettelijke, onwettige of ongeoorloofde toegang tot, gebruik of bekendmaking van Persoonsgegevens, of dat de Persoonsgegevens mogelijk zijn aangetast of een inbreuk op de integriteit van de Persoonsgegevens. De Verwerker zal alle informatie aan de Verwerkingsverantwoordelijke verstrekken die nodig is om de Verwerkingsverantwoordelijke in staat te stellen om aan de toepasselijke wetgeving inzake gegevensbescherming te voldoen en om de Verwerkingsverantwoordelijke in staat te stellen om eventuele vragen van de desbetreffende gegevensbeschermingsautoriteiten te beantwoorden. Het is de verantwoordelijkheid van de Verwerkingsverantwoordelijke om afwijkingen in overeenstemming met het toepasselijke recht aan de desbetreffende Gegevensbeschermingsautoriteit te melden.

3.5 Vertrouwelijkheid

De Verwerker zal alle Persoonsgegevens en andere vertrouwelijke informatie vertrouwelijk behandelen. De Verwerker zal ervoor zorgen dat elk personeelslid van de Verwerker, ongeacht of hij in loondienst is of wordt ingehuurd, toegang heeft tot of betrokken is bij de Verwerking van Persoonsgegevens krachtens de MSA (i) een geheimhoudingsplicht heeft en (ii) op de hoogte is van en voldoet aan de verplichtingen van deze Gegevensverwerkingsovereenkomst. De geheimhoudingsplicht blijft ook na beëindiging van de MSA of deze Gegevensverwerkingsovereenkomst van kracht.

3.6 Beveiligingsaudits

De Verwerker zal regelmatig beveiligingsaudits uitvoeren op systemen en dergelijke die relevant zijn voor de Verwerking van Persoonsgegevens waarop deze Gegevensverwerkingsovereenkomst van toepassing is. Rapporten waarin de beveiligingsaudits zijn gedocumenteerd dienen beschikbaar te zijn voor de Verwerkingsverantwoordelijke.

De Verwerkingsverantwoordelijke heeft het recht om te verlangen dat beveiligingsaudits door een onafhankelijke derde naar keuze van de Verwerker worden uitgevoerd. De derde zal op verzoek een rapport voorleggen aan de Verwerkingsverantwoordelijke. De Verwerkingsverantwoordelijke aanvaardt dat de Verwerker een vergoeding voor de uitvoering van de audit kan verlangen.

3.7 Gebruik van onderaannemers (sub-verwerkers)

De Verwerker heeft het recht om onderaannemers te gebruiken en de Verwerkingsverantwoordelijke aanvaardt het gebruik van onderaannemers. Een lijst met vooraf goedgekeurde sub-verwerkers is beschikbaar en opvraagbaar bij SOEQ. De Verwerker zorgt er middels een schriftelijke overeenkomst met elke onderaannemer voor dat elke Verwerking van Persoonsgegevens door onderaannemers onderworpen is aan dezelfde verplichtingen en beperkingen als die welke volgens deze Gegevensverwerkingsovereenkomst aan de Verwerker worden opgelegd.

3.8 Overdracht van Persoonsgegevens aan Derden

Indien de Verwerker subleveranciers buiten het EU/EER-gebied gebruikt voor de verwerking van Persoonsgegevens, moet deze verwerking in overeenstemming zijn met het EU-U.S. Privacy Shield Framework, met de standaard contractbepalingen van de EU voor overdracht aan Derde Landen of met een andere specifiek vermelde wettelijke basis voor de overdracht van persoonsgegevens aan een derde land. Ter voorkoming van twijfel geldt hetzelfde als de gegevens worden bewaard in de EU/EER, maar toegankelijk zijn vanaf locaties buiten de EU/EER.

Indien de Verwerkingsverantwoordelijke een dergelijke overdracht van Persoonsgegevens goedkeurt, is de Verwerker verplicht om samen te werken met de Verwerkingsverantwoordelijke om te zorgen voor een conforme overdracht.

4. Aansprakelijkheid, schending

In geval van schending van deze Gegevensbeschermingsovereenkomst of niet-nakoming van verplichtingen volgens de toepasselijke wetgeving inzake de Verwerking van Persoonsgegevens, zijn de relevante bepalingen met betrekking tot inbreuk van de MSA van toepassing.

Vorderingen van de ene partij vanwege de niet-naleving van de Gegevensverwerkingsovereenkomst door de andere partij zijn onderworpen aan dezelfde beperkingen als in de MSA. Bij de beoordeling of de grens van de beperking in de MSA is bereikt, moeten vorderingen op grond van deze Gegevensverwerkingsovereenkomst en de MSA samen worden bekeken en de beperking in de MSA als een totale beperking.

De Verwerker zal de Verwerkingsverantwoordelijke onverwijld in kennis stellen als hij reden heeft om te denken dat hij enige van zijn verplichtingen op grond van deze Gegevensbeschermingsovereenkomst niet zal kunnen nakomen.

5. Duur en beëindiging van de Gegevensverwerkingsovereenkomst, wijzigingen

Deze Gegevensverwerkingsovereenkomst treedt in werking op de datum waarop zij door beide partijen digitaal is geaccepteerd en zal voortduren totdat de verplichtingen van de Verwerker met betrekking tot de uitvoering van services in overeenstemming met de MSA zijn beëindigd, met uitzondering van de bepalingen van de MSA en de Gegevensverwerkingsovereenkomst die na een dergelijke beëindiging van kracht blijven.

Bij beëindiging van deze Gegevensverwerkingsovereenkomst zullen de Persoonsgegevens/gegevens beschikbaar worden gesteld in een gestandaardiseerd formaat en medium, samen met de noodzakelijke instructies om het verdere gebruik van de Persoonsgegevens/gegevens door de Verwerkingsverantwoordelijke te faciliteren. De Verwerker zal eerst alle Persoonsgegevens en andere gegevens beschikbaar stellen en vervolgens verwijderen. De Verwerker (en diens onderaannemers) zullen de Verwerking van Persoonsgegevens onmiddellijk stopzetten vanaf de datum bepaald door de Verwerkingsverantwoordelijke.

Als alternatief voor het retourneren van de Persoonsgegevens (of andere gegevens), kan de Verwerkingsverantwoordelijke, geheel naar eigen goeddunken, de Verwerker schriftelijk opdragen om alle of delen van de Persoonsgegevens (of andere gegevens) te verwijderen, tenzij de Verwerker door de wet wordt verhinderd om de Persoonsgegevens te verwijderen.

De Verwerker heeft niet het recht om een kopie te bewaren van gegevens die door de Verwerkingsverantwoordelijke met betrekking tot de MSA of deze Gegevensbeschermingsovereenkomst zijn verstrekt, in welk formaat dan ook, en alle fysieke en logische toegang tot dergelijke Persoonsgegevens of andere gegevens zal worden verwijderd, tenzij opslag door Verwerker verplicht is volgens toepasselijk recht.

De verplichtingen op grond van artikel 3.5 en 4 blijven na beëindiging van kracht. Voorts zijn de bepalingen van de Gegevensverwerkingsovereenkomst volledig van toepassing op Persoonsgegevens die door de Verwerker in strijd met dit artikel 5 worden bewaard.

Partijen zullen deze Gegevensbeschermingsovereenkomst wijzigen naar aanleiding van relevante wijzigingen in het toepasselijke recht.

6. Geschillen en jurisdictie

Op deze Gegevensverwerkingsovereenkomst is het recht van toepassing waarmee de Klant het contract sluit. SOEQ, gevestigd op: Bredaseweg 204-14, 5038 NK Tilburg te Nederland. KvK nummer: 68050755.

Het toepasselijke recht vermeld in de bovenstaande tabel vormt geen uitzondering op de regels inzake de territoriale werkingssfeer in artikel 3 van de AVG of andere toepasselijke wetgeving en is ook niet zo bedoeld.