Laatste update: 6 december 2021

Silverfin – Verwerkersovereenkomst

Laatste update: 6 december 2021

Uit hoofde van de Overeenkomst levert Silverfin het Silverfin Platform en de Dienst (beide zoals hieronder gedefinieerd) aan de Klant (zoals hieronder gedefinieerd). De levering van het Silverfin Platform en de Dienst leidt tot het verzamelen en verwerken van Persoonsgegevens (zoals hieronder gedefinieerd) door Xxxxxxxx, in haar hoedanigheid van verwerker, ten behoeve van de Klant. Daarom biedt Silverfin de Klant deze Verwerkersovereenkomst ("Verwerkersovereenkomst") aan, waarin wordt uiteengezet (i) hoe Silverfin de Persoonsgegevens zal beheren, verwerken en beveiligen; alsmede (ii) de verplichtingen van alle partijen om te voldoen aan de Privacywetgeving (zoals hieronder gedefinieerd).

Door het sluiten van de Overeenkomst met Xxxxxxxx, heeft de Klant aangegeven dat hij de voorwaarden van deze Verwerkersovereenkomst, die integraal onderdeel uitmaakt van genoemde Overeenkomst, heeft gelezen, begrepen en geaccepteerd.

Deze Verwerkersovereenkomst kan van tijd tot tijd door Silverfin worden bijgewerkt, in welk geval Silverfin de Klant daarvan op de hoogte zal stellen via haar Website (zoals hieronder gedefinieerd) of het Silverfin Platform. In ieder geval kan de meest recente versie van deze Verwerkersovereenkomst altijd geraadpleegd worden op de Website, alsmede op het Silverfin Platform.

U kunt onze gearchiveerde Silverfin Verwerkersovereenkomst hier vinden. De huidige Silverfin Verwerkersovereenkomst kunt u in pdf formaat hier vinden.

De Verwerkersovereenkomst is in diverse talen beschikbaar. In geval van een verschil in interpretatie tussen verscheidene versies heeft de Engelse versie voorrang.

1 DEFINITIES

1.1 Termen met een hoofdletter hebben de betekenis als hieronder omschreven:.

Verbonden Onderneming:

tenzij anders gedefinieerd in de Overeenkomst, een rechtspersoon die (in)direct zeggenschap uitoefent over, onder zeggenschap staat van of onder gezamenlijke zeggenschap staat (d.w.z. het rechtstreeks bezitten van meer dan 50% van het stemgerechtigde aandelenkapitaal van een rechtspersoon) met een dergelijke partij;

Overeenkomst: de overeenkomst gesloten met Klant bestaande uit de (i) Silverfin gebruiksvoorwaarden; (ii) de Silverfin proposal; (iii) bijkomende orderbevestigingen; en (iv) alle documenten waarnaar in de gebruiksvoorwaarden wordt verwezen;

Geregistreerde Gebruikers:

de gebruikers die geautoriseerd zijn de Dienst te gebruiken door middel van een account aangemaakt door Silverfin of de Klant;

Klant: de partij met wie Silverfin de Overeenkomst heeft gesloten, met inbegrip van Deelnemende Verbonden Onderneming(en);

Betrokkene: de natuurlijke persoon op wie de Persoonsgegevens betrekking hebben, zoals omschreven in Bijlage I

Eindklant: de eindklanten van de Klant en hun filialen, adviseurs, vertegenwoordigers, kaderleden, bestuurders, directeurs, werknemers, agenten en consultants die door de Klant via de Dienst kunnen worden bediend of verwerkt;

Deelnemende Verbonden Onderneming:

1.1 Verbonden Onderneming van Klant die geen aparte Overeenkomst met Silverfin is aangegaan en bevoegd is tot toegang en gebruik van de Dienst onder een bestaande Overeenkomst tussen Silverfin en de Klant;

Persoonsgegevens persoonsgegevens (in de zin van de Privacywetgeving), zoals beschreven in Bijlage I;

Silverffin Platform: het Silverfin platform zoals beschreven en weergegeven via xxx.xxxxxxxx.xxx;

Dienst: ;de online dienst van Silverfin inclusief de integraties, features en modules, zoals uiteengezet in de Overeenkomst

Privacywetgeving: de (supra)nationale privacywetgeving die van toepassing is op de verwerking van persoonsgegevens door Klant of Silverfin binnen de reikwijdte van de Overeenkomst, zoals, maar niet beperkt tot: (i) de Algemene Verordening Gegevensbescherming 2016/679 van 27 april 2016 ("AVG"); (ii) de Data Protection Act 2018 van het Verenigd Koninkrijk (VK); (iii) de Belgische Privacywet van 30 juli 2018; (iv) de ePrivacy Richtlijn 2002/58/EG van 12 juli 2002, met inbegrip van toekomstige wijzigingen en herzieningen daarvan; en/of (v) (toekomstige) nationale wetgeving met betrekking tot de implementatie van de AVG;

Silverffin: Silverfin NV, een naamloze vennootschap met maatschappelijke zetel te Xxxxxx Xxxxxxxxxxx 00, 0000 Xxxx, ingeschreven in de Kruispuntbank voor Ondernemingen onder nummer 0524.802.662;

Sub-verwerker Verbonden Ondernemingen van Silverfin en andere derden die door Silverfin zijn ingeschakeld om de Persoonsgegevens namens de Klant en in overeenstemming met de instructies van de Klant te verwerken, zoals geïdentificeerd in Bijlage III;

Website: de Silverfin website, namelijk: xxxxx://xxx.xxxxxxxx.xxx.

1.2 De begrippen "verwerkingsverantwoordelijke", "persoonsgegevens", "inbreuk in verband met persoonsgegevens", "verwerking", "verwerken", "verwerker" hebben de betekenis die daaraan in de Privacywetgeving wordt gegeven.

2 ROL VAN DE PARTIJEN

2.1 De partijen erkennen dat met betrekking tot de verwerking van Persoonsgegevens op grond van de Overeenkomst, de Klant zal worden beschouwd als de "verwerkingsverantwoordelijke" en Silverfin als "verwerker" in overeenstemming met de Privacywetgeving. Voorts kan Silverfin (een) Sub-verwerker(s) inschakelen overeenkomstig de bepalingen van Artikel 7.

2.2 Elke partij komt haar respectieve verplichtingen krachtens de Privacywetgeving met betrekking tot de verwerking van de Persoonsgegevens na.

3 ONDERWERP

3.1 Klant erkent dat hij door gebruik te maken van het Silverfin Platform en/of de Dienst, op grond van de Overeenkomst, (bepaalde sets van) Persoonsgegevens aan Silverfin kan verstrekken voor verwerking. De aard en het doel van deze verwerking, alsmede een beschrijving van de Persoonsgegevens en categorieën van Betrokkenen die op grond van de Overeenkomst worden verwerkt, worden nader gespecificeerd in Bijlage I.

3.2 Silverfin zal de Persoonsgegevens op behoorlijke en zorgvuldige wijze verwerken en in overeenstemming met de Privacywetgeving en andere toepasselijke regels/best-practices betreffende de verwerking van persoonsgegevens.

3.3 Meer in het bijzonder zal Silverfin

❑ tijdens de uitvoering van de Dienst al haar knowhow ter beschikking stellen om de

Overeenkomst volgens de regels van de kunst uit te voeren, zoals het een gespecialiseerde en "goede" verwerker past; en

❑ zal naar beste vermogen de nodige veiligheidsmaatregelen treffen (cfr. Bijlage II) en al zijn

know-how ter beschikking stellen om de Dienst uit te voeren in overeenstemming met de regels van art.

3.4 De Klant behoudt volledige controle over het volgende: (i) de wijze waarop de Persoonsgegevens door Silverfin moeten worden verwerkt; (ii) de soorten Persoonsgegevens die worden verwerkt; (iii) de categorieën van Betrokkenen wier Persoonsgegevens aan de verwerking worden onderworpen; (iv) het doel van de verwerking; en (v) het feit of deze verwerking proportioneel is.

3.5 Deze Verwerkersovereenkomst doet geen afbreuk aan de bepalingen van de Silverfin gebruiksvoorwaarden met betrekking tot "Gegevensbescherming".

4 INSTRUCTIES VAN / VERANTWOORDELIJKHEID VAN DE KLANT

4.1 Instructies. Silverfin zal de Persoonsgegevens slechts verwerken op verzoek van de Klant en in overeenstemming met de rechtmatige instructies van de Klant in Bijlage I, tenzij enige wettelijke verplichting anders bepaalt. Silverfin zal de Klant informeren, indien de instructies naar haar mening in strijd zijn met de Privacywetgeving. Indien de Xxxxx vervolgens niet kan instaan voor de geldigheid of rechtmatigheid van de instructie, dan wel nalaat of weigert de onrechtmatige instructie zodanig te wijzigen dat deze niet langer in strijd is met de Privacywetgeving, is Silverfin gerechtigd om (i) de uitvoering van genoemde instructie op te schorten/te weigeren en (ii) naar haar keuze, ofwel de Persoonsgegevens te blijven verwerken in overeenstemming met eerder gegeven instructies, ofwel de verwerking geheel te staken, totdat de Klant zijn instructie zodanig heeft herzien dat deze niet langer in strijd is met de Privacywetgeving.

4.2 Verantwoordelijkheden. Voorts erkent de Klant dat hij verantwoordelijk is voor:

❑ de juistheid, kwaliteit en rechtmatigheid van (de verzameling en overdracht van) de Persoonsgegevens;

❑ het naleven van alle transparantie- en rechtmatigheidsvereisten onder de Privacywetgeving

voor het verzamelen en verwerken van de Persoonsgegevens en de doorgifte daarvan aan Silverfin; en,

❑ de naleving van haar instructies (cfr. Bijlage I) met de Privacywetgeving.

❑ Klant zal Xxxxxxxx zonder onnodige vertraging informeren indien zij niet in staat is te voldoen aan haar verantwoordelijkheden onder dit Artikel of de Privacywetgeving.

5 GEBRUIK VAN HET SILVERFIN PLATFORM EN DE DIENST

5.1 Met betrekking tot (de verwerking van) de Persoonsgegevens erkent de Klant dat:

❑ Silverfin optreedt als facilitator van de Dienst. Derhalve is de Klant verantwoordelijk voor de wijze waarop en de mate waarin hij daarvan gebruik maakt;

❑ hij verantwoordelijk is voor al het handelen en nalaten van Geregistreerde Gebruikers (d.w.z. in

het geval de Geregistreerde Gebruikers (niet) voldoende maatregelen neemt om zijn account op het Silverfin Platform te beschermen);

❑ Silverfin de Klant in staat stelt aanpassingen en/of wijzigingen aan te brengen in de

Persoonsgegevens en deze Persoonsgegevens nooit zelf zal raadplegen of aanpassen, tenzij de Klant Silverfin daarom verzoekt;

❑ zij verantwoordelijk is voor het materiaal en/of de gegevens (waaronder Persoonsgegevens)

die door de Betrokkene zijn verstrekt. De Klant is als verwerkingsverantwoordelijke aldus verantwoordelijk voor de naleving van de Privacywetgeving en/of enige andere regelgeving met betrekking tot voornoemd materiaal en/of gegevens;

❑ hij zich zal houden aan alle wet- en regelgeving (zoals, maar niet beperkt tot: met betrekking

tot de bewaartermijn of rechten van de Betrokkene) die aan hem wordt opgelegd door gebruik te maken van de Dienst.

5.2 In geval van misbruik van de Dienst of het Silverfin Platform door de Klant of diens Geautoriseerde Xxxxxxxxxx met betrekking tot de Persoonsgegevens en/of op grond van deze Verwerkersovereenkomst of de Privacywetgeving, kan Silverfin nooit aansprakelijk worden gesteld in dit opzicht, noch voor enige schade die zou ontstaan.

5.3 De Klant zal elk misbruik van de Dienst en het Silverfin Platform met betrekking tot de Persoonsgegevens en/of op grond van deze Verwerkersovereenkomst of de Privacywetgeving voorkomen. Derhalve zal de Klant Silverfin vrijwaren wanneer dergelijk misbruik zich voordoet, alsmede voor elke vordering van een Betrokkene en/of derde als gevolg van dergelijk misbruik.

6 BEVEILIGING

6.1 Silverfin neemt de beveiliging van de verwerkingsactiviteiten zeer serieus. Silverfin heeft passende technische en organisatorische maatregelen geïmplementeerd, zoals uiteengezet in Bijlage II, om naar beste vermogen de bescherming te waarborgen van (i) de Persoonsgegevens - waaronder bescherming tegen onzorgvuldig, oneigenlijk, ongeoorloofd of onrechtmatig gebruik en/of verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging; en (ii) de vertrouwelijkheid en integriteit van de Persoonsgegevens. Bij de uitvoering van deze maatregelen heeft Silverfin rekening gehouden met de stand van de techniek, de kosten van de uitvoering en de aard, omvang, context en doeleinden van de verwerking, alsmede met het risico van uiteenlopende waarschijnlijkheid en ernst voor de rechten en vrijheden van natuurlijke personen.

7 SUB-VERWERKERS

7.1 Goedkeuring van Sub-verwerkers

7.1.1 Klant erkent en stemt ermee in dat Silverfin Sub-verwerkers kan inschakelen in verband met de levering van de Dienst (en de uitvoering van de Overeenkomst). In een dergelijk geval draagt Xxxxxxxx er zorg voor dat de Sub-verwerkers ten minste aan dezelfde verplichtingen zijn gebonden als waaraan Xxxxxxxx onder deze Verwerkersovereenkomst is gebonden.

7.1.2 Silverfin heeft momenteel haar Verbonden Ondernemingen en andere derde partijen zoals vermeld in Bijlage III aangesteld als Sub-verwerkers.

7.1.3 Silverfin is aansprakelijk voor het handelen en nalaten van haar Sub-verwerkers in dezelfde mate als wanneer zij de Dienst/verwerking van de Persoonsgegevens zelf zou uitvoeren, rechtstreeks onder de voorwaarden van deze Verwerkersovereenkomst.

7.2 Update van de Sub-verwerker lijst

7.2.1 Silverfin zal:

❑ de lijst bijwerken telkens wanneer een subverwerker wordt gewijzigd (bv. een nieuwe Sub-verwerker is toegevoegd, een Sub-verwerker is vervangen, enz;)

❑ de wijzigingen in de lijst duidelijk aangeven; en

❑ een tijdstempel toevoegen (i) wanneer de lijst is bijgewerkt, en (ii) wanneer de wijziging van de Sub-verwerker van kracht is geworden of zal worden

7.2.2 Silverfin zal de Klant op de hoogte stellen (bijv. op de Website of via het Silverfin Platform) wanneer wijzigingen in de lijst worden aangebracht.

7.3 Bezwaar

7.3.1 Indien de Klant gebruik wenst te maken van zijn recht om bezwaar te maken tegen een nieuwe Sub-verwerker, dient hij Silverfin daarvan schriftelijk (cfr. Artikel 15) en op redelijke gronden uiterlijk binnen dertig (30) dagen na de kennisgeving in kennis te stellen. Indien Klant geen bezwaar maakt binnen voornoemde termijn, wordt hij geacht afstand te hebben gedaan van zijn recht op bezwaar en Silverfin toestemming te hebben gegeven de nieuwe Sub-verwerker in te schakelen.

7.3.2 In het geval voornoemd bezwaar door Xxxxxxxx niet onredelijk wordt geacht, zullen partijen de bezwaren van Klant bespreken met het oog op het bereiken van een redelijke oplossing. Een dergelijke oplossing kan, naar keuze van Silverfin, inhouden (i) het aan Klant ter beschikking stellen van een wijziging in de Dienst; of (ii) het aanbevelen van een commercieel redelijke wijziging in het gebruik van de Dienst door Klant om de verwerking van de Persoonsgegevens door de gewraakte nieuwe Sub-verwerker te voorkomen zonder Klant onredelijk te belasten.

7.3.3 Indien partijen er echter niet in slagen om binnen een redelijke termijn (die niet langer zal zijn dan dertig (30) dagen na het bezwaar van de Klant) tot een oplossing te komen, kan de Klant de Dienst (geheel of gedeeltelijk) beëindigen indien:

❑ de Dienst/het Silverfin Platform niet kan worden gebruikt door de Klant zonder een beroep te doen op de gewraakte nieuwe Sub-verwerker; of,

❑ deze beëindiging uitsluitend betrekking heeft op dat deel van de Dienst dat niet door Silverfin kan worden geleverd zonder een beroep te doen op de gewraakte nieuwe Sub-verwerker;

1.1.2 en wel door Silverfin hiervan binnen een redelijke termijn schriftelijk in kennis te stellen (cfr. Artikel 15).

7.3.4 Beëindiging van de Dienst in de zin van artikel 7.3.3 geschiedt zonder aansprakelijkheid jegens een der partijen (doch onverminderd eventuele door Klant vóór de opschorting of beëindiging van de Dienst gemaakte kosten).

8 DOORGIFTE VAN PERSOONSGEGEVENS AAN DERDE LANDEN

8.1 De Persoonsgegevens zullen hoofdzakelijk worden verwerkt binnen de Europese Economische Ruimte ("EER") en in Noord-Amerika (in welk geval artikel 8.2 van toepassing is).

8.2 Klant erkent dat Silverfin gerechtigd is de Persoonsgegevens over te dragen aan en op te slaan in landen buiten de EER ten behoeve van het verlenen van de Dienst en het nakomen van haar verplichtingen onder de Overeenkomst, en op voorwaarde dat deze overdracht/opslag geschiedt in overeenstemming met de Privacywetgeving betreffende aanvullende waarborgen. In het bijzonder zal elke doorgifte van Persoonsgegevens buiten de EER door Silverfin aan een derde partij waarvan de woonplaats of statutaire zetel zich in een land bevindt dat niet valt onder een adequaatheidsbesluit van de Europese Commissie, aanvullend onderworpen zijn aan één of meer van de opgesomde door de EU goedgekeurde waarborgen:

❑ het sluiten van een overeenkomst inzake gegevensoverdracht met de ontvanger in het derde

land, die de modelcontractbepalingen bevat, zoals bedoeld in het "Uitvoeringsbesluit van de Europese Commissie van 4 juni 2021 (Besluit (EU) 2021/914) betreffende modelcontractbepalingen voor de doorgifte van persoonsgegevens naar derde landen krachtens Verordening (EU) 2016/679 van het Europees Parlement en de Raad", met inbegrip van het uitvoeren van een effectbeoordeling van de gegevensdoorgifte. Voordat de doorgifte plaatsvindt, moet de ontvanger van de Persoonsgegevens/Subverwerker van Silverfin in het derde land Silverfin garanderen dat in dit derde land een adequaat niveau van privacy compliance is gewaarborgd; en/of

❑ bindende bedrijfsvoorschriften. Zoals het geval is voor standaard contractuele clausules, moet

de ontvanger van de Persoonsgegevens/Sub-verwerker van Silverfin in het derde land Silverfin garanderen dat een adequaat niveau van privacy compliance is gewaarborgd in het land van de derde partij; en/of,

❑ certificeringsmechanismen.

8.3 In het geval de doorgifte (of openbaarmaking) van de Persoonsgegevens aan een derde land verplicht is op grond van EU-wetgeving, EU-lidstaat wetgeving of wetgeving van het Verenigd Koninkrijk waaraan Silverfin is onderworpen, zal Silverfin de Klant op de hoogte stellen van die wettelijke verplichting vóór de doorgifte/openbaarmaking, tenzij die wet dergelijke informatie verbiedt op grond van zwaarwichtige redenen van algemeen belang.

9 VERTROUWELIJKHEID

9.1 Silverfin zal de Persoonsgegevens vertrouwelijk behandelen en dus niet openbaar maken of overdragen aan derden, zonder toestemming van de Klant, tenzij deze openbaarmaking en/of overdracht wordt vereist door de wet of door een rechterlijke of andere overheidsbeslissing (van welke aard dan ook). In dat geval zal Silverfin, voorafgaand aan enige openbaarmaking en/of mededeling, de Klant in volledige transparantie informeren over de omvang en wijze daarvan.

9.2 Silverfin verzekert de Klant dat personen die betrokken zijn bij de uitvoering van de Dienst (zoals, personeel, vertegenwoordigers, functionarissen, directeuren, agenten, adviseurs, verbonden ondernemingen en adviseurs) (i) op de hoogte zijn van het vertrouwelijke karakter van de Persoonsgegevens; (ii) zich terdege bewust zijn van hun verantwoordelijkheden; en (iii) gebonden zijn aan schriftelijke geheimhoudingsverklaringen. Xxxxxxxx zorgt ervoor dat deze geheimhoudingsverplichtingen ook na beëindiging van hun arbeids- of dienstenovereenkomst blijven bestaan.

9.3 Silverfin verzekert Klant dat de toegang van haar personeel tot de Persoonsgegevens beperkt is tot dat personeel dat de Dienst uitvoert in overeenstemming met deze Verwerkersovereenkomst.

10 KENNISGEVINGSVERPLICHTINGEN EN BIJSTAND

10.1 Kennisgeving. Xxxxxxxx zal zich naar best vermogen inspannen om de Klant zo spoedig als redelijkerwijs mogelijk te informeren wanneer zij:

❑ een verzoek om informatie, een dagvaarding of een verzoek om inspectie of controle ontvangt

van een bevoegde overheidsinstantie (met inbegrip van een toezichthoudende autoriteit) in verband met de verwerking van de Persoonsgegevens;

❑ een verzoek ontvangt van een Betrokkene die zich beroept op zijn privacy rechten krachtens de Privacywetgeving (cfr. Artikel 10.3);

❑ het voornemen heeft Persoonsgegevens bekend te maken aan een bevoegde overheidsinstantie (incl. toezichthoudende autoriteit); of

❑ vaststelt of redelijkerwijs vermoedt dat zich een inbreuk in verband met persoonsgegevens

heeft voorgedaan met betrekking tot de Persoonsgegevens.

10.2 Inbreuk in verband met persoonsgegevens. In het geval van een inbreuk in verband met persoonsgegevens, zal Silverfin:

❑ de Klant zonder onnodige vertraging nadat hij kennis heeft genomen van deze inbreuk in

verband met persoonsgegevens hiervan op de hoogte stellen en, voor zover mogelijk, de informatie verstrekken zoals vereist door de Privacywetgeving (bijv. artikel 33.3 AVG). Xxxxxxxx zal op verzoek van Klant - voor zover mogelijk - bijstand verlenen met betrekking tot de meldingsplicht van Klant op grond van de Privacywetgeving;

❑ zich verplichten om - zo spoedig als redelijkerwijs mogelijk is - passende herstelmaatregelen

te ondernemen om een einde te maken aan de inbreuk in verband met persoonsgegevens (indien deze onder haar verantwoordelijkheid heeft plaatsgevonden) en om eventuele toekomstige inbreuken in verband met persoonsgegevens te voorkomen en/of te beperken.

10.3 Rechten van Betrokkenen

10.3.1 Silverfin zal Klant onverwijld op de hoogte stellen indien zij een verzoek ontvangt van een Betrokkene die zich beroept op zijn privacy rechten onder de Privacywetgeving. Xxxxxxxx zal niet reageren op een dergelijk verzoek van een Betrokkene zonder voorafgaande schriftelijke toestemming van de Klant, behalve om te bevestigen dat het verzoek betrekking heeft op de Klant, waartoe de Klant bij deze instemt.

10.3.2 Indien een Betrokkene verzoekt om zijn/haar/hun rechten uit te oefenen, is het de verantwoordelijkheid van de Klant om de Betrokkene bij te staan in zijn/haar/hun verzoek. Alleen als de Klant niet de mogelijkheid heeft om de Persoonsgegevens te corrigeren, aan te passen, te blokkeren of te verwijderen (zoals vereist door de Privacywetgeving), zal Silverfin de Klant bijstaan (zolang als commercieel redelijk is).

10.3.3 Niettegenstaande het voorgaande, blijft de Klant verantwoordelijk voor de naleving van dergelijke verzoeken van Betrokkenen.

10.4 Gegevensbeschermingseffectbeoordeling. Rekening houdend met de aard van de verwerking en voor zover (i) een gegevensbeschermingseffectbeoordeling vereist is op grond van de Privacywetgeving en (ii) de vereiste informatie redelijkerwijs beschikbaar is voor Silverfin en de Klant niet anderszins toegang heeft tot deze informatie, zal Silverfin - op verzoek van de Klant - redelijke bijstand verlenen aan de Klant bij het uitvoeren van een gegevensbeschermingseffectbeoordeling en eventueel voorafgaand overleg met de bevoegde toezichthoudende autoriteiten. Voor zover de Privacywetgeving dit toelaat, zal Klant verantwoordelijk zijn voor alle kosten die voortvloeien uit het verlenen van dergelijke bijstand door Silverfin.

11 AANSPRAKELIJKHEID

11.1 Beide partijen zijn als enige aansprakelijk voor alle schade en/of vorderingen van de andere partij of Betrokkenen en boetes van bevoegde toezichthoudende autoriteiten die het gevolg zijn van een eigen inbreuk op of niet-naleving van (i) de bepalingen van deze Verwerkersovereenkomst, en (ii) de Privacywetgeving of andere toepasselijke regels inzake Persoonsgegevens. Elke partij vrijwaart de andere partij in dit verband.

11.2 In geval van een bewezen schending door Xxxxxxxx van haar verplichtingen onder deze Verwerkersovereenkomst of onder de Privacy Wetgeving, zal Silverfin:

❑ aansprakelijk zijn voor de bewezen directe schade die de Klant lijdt;

❑ niet aansprakelijk te zijn voor indirecte, immateriële en/of gevolgschade, waaronder (maar niet

beperkt tot: gederfde winst, gemiste kansen, verlies van en/of schade aan gegevens, reputatieschade, sancties, en niet voorzienbare schade).

❑ De aansprakelijkheid van Silverfin jegens Klant is in ieder geval beperkt tot het totale

bedrag dat Xxxxx in de laatste twaalf (12) maanden uit hoofde van de Overeenkomst aan Xxxxxxxx heeft betaald.

12 TERM

12.1 De totale looptijd van deze Verwerkersovereenkomst is gelijk aan de looptijd van de Overeenkomst. Indien geen looptijd is bepaald, blijft deze Verwerkersovereenkomst van kracht zolang de Dienst niet is geëindigd.

13 BEWARING, TERUGGAVE EN VERWIJDERING VAN PERSOONSGEGEVENS

13.1 Silverfin zal de Persoonsgegevens slechts zo lang bewaren als nodig is om de Dienst te verlenen of voor de duur van de Overeenkomst (cfr. Artikel 12). Klant aanvaardt dat Silverfin back-ups kan maken van de Persoonsgegevens die zijn opgeslagen op het Silverfin Platform.

13.2 Bij beëindiging van de Dienst of de Overeenkomst is het volgende van toepassing:

❑ de Dienst en het Silverfin Platform worden gedeactiveerd. Eventuele Persoonsgegevens,

opgeslagen op het Silverfin Platform zullen vanaf dat moment niet langer beschikbaar zijn voor de Klant;

❑ de Klant kan binnen twee (2) maanden na het einde van de Overeenkomst of de Dienst

verzoeken om teruggave van de Persoonsgegevens ('export'), waarop Silverfin zal beoordelen of deze export technisch mogelijk is. In ieder geval kan Silverfin naar eigen goeddunken het formaat van de export bepalen. Silverfin behoudt zich het recht voor om eventuele kosten in verband met dergelijke exporten aan de Klant in rekening te brengen.

❑ na genoemde periode van twee (2) maanden zullen de Persoonsgegevens op het Silverfin

Platform binnen één (1) maand worden verwijderd, tenzij het op grond van toepasselijk recht verplicht is de Persoonsgegevens te bewaren.

❑ de Persoonsgegevens kunnen aanwezig zijn op back-ups. De Persoonsgegevens zullen worden verwijderd zodra de laatste back-up die de Persoonsgegevens bevat is geroteerd.

13.3 Gegevens of materiaal die door de Klant tijdens het gebruik van de Dienst aan Silverfin zijn verstrekt of aan Silverfin zijn verstrekt en die geen Persoonsgegevens bevatten, kunnen door Silverfin verder worden opgeslagen na beëindiging van de Overeenkomst of de Dienst.

14 COMPLIANCE / INSPECTIES

14.1 Compliance. Xxxxxxxx zal op verzoek van Xxxxx aan Klant alle informatie ter beschikking stellen die nodig is en in de mate als door de wet wordt vereist om aan te tonen dat zij haar verplichtingen uit hoofde van deze Verwerkersovereenkomst nakomt.

14.2 Inspecties

14.2.1 Silverfin zal de Klant (of een derde namens haar) toestaan inspecties uit te voeren - zoals bijvoorbeeld, maar niet beperkt tot: een audit - en zal daarbij de nodige assistentie verlenen.

14.2.2 De Klant zal zijn initiatieven tot het uitvoeren van een inspectie echter beperken tot maximaal eenmaal per jaar. Klant dient Silverfin ten minste dertig (30) werkdagen van tevoren op de hoogte te stellen. Het uitvoeren van inspecties mag in ieder geval niet leiden tot vertraging in de uitvoering van de Dienst door Xxxxxxxx.

14.2.3 Klant zal voldoende geheimhoudingsverplichtingen opleggen aan haar (interne/externe) controleurs. Ter waarborging van de geheimhouding van andere Silverfin Klanten, heeft Silverfin het recht van de Klant en haar accountants te verlangen dat zij voor aanvang van de inspectie een geheimhoudingsverklaring ondertekenen en de reikwijdte van de inspectie of de toegang van de Klant tot bepaalde panden te beperken.

14.2.4 Alle inspectiekosten zijn uitsluitend voor rekening van de Klant, behalve indien (en voor zover) tijdens de inspectie een ernstig beveiligingsincident/inbreuk in verband met persoonsgegevens

(bij Silverfin/onder verantwoordelijkheid van Silverfin) of een overtreding van deze Verwerkersovereenkomst wordt vastgesteld.

15 KENNISGEVING / CONTACT SILVERFIN

15.1 Kennisgevingen door de Klant in het kader van deze Verwerkersovereenkomst en/of vragen of opmerkingen met betrekking tot de bepalingen van deze Verwerkersovereenkomst dienen te worden gericht aan xxxxx.xxxxxxx@xxxxxxxx.xxx.

16 TOEPASSELIJK RECHT EN JURISDICTIE

16.1 Deze Verwerkersovereenkomst, met inbegrip van de Bijlagen, wordt beheerst door het recht en is onderworpen aan de bevoegdheidsclausule zoals bepaald in de Overeenkomst.

Bijlage I – Verwerking

2 OVERZICHT VAN DE PERSOONSGEGEVENS Betrokkenen – Categorie 1

❑ Naam ❑ Onderneming

❑ Voornaam ❑ Financiële gegevens (b.v. boekhoudgegevens)

❑ Adres ❑ E-mail adres

❑ Telefoonnummer ❑ Alle andere persoonsgegevens die door de Klant of Geregistreerde Gebruikers van het Silverfin Platform worden ingevuld in een vrij formulierveld

Betrokkenen – Categorie 2

❑ Naam ❑ Onderneming

❑ Voornaam ❑ Financiële gegevens (b.v. boekhoudgegevens)

❑ Adres ❑ E-mail adres

❑ Telefoonnummer ❑ Alle andere persoonsgegevens die door de Klant of Geregistreerde Gebruikers van het Silverfin Platform worden ingevuld in een vrij formulierveld

Betrokkenen – Categorie 3

❑ E-mail adres ❑ Elektronische identificatiegegevens (IP-adres; inloggegevens, gebruiksgegevens, browsergegevens, cookies, geolocatiegegevens, wachtwoorden, analytische gegevens )

3 OVERZICHT VAN DE BETROKKENEN Categorie 1

❑ Eindklanten ❑ Bestuurders van Eindklanten

❑ Medewerkers van Eindklanten ❑ Aandeelhouders van Eindklanten

❑ Leveranciers van Eindklanten (of hun medewerkers /vertegenwoordigers)

Categorie 2

❑ Klanten van Eindklanten (of hun medewerkers

/vertegenwoordigers)

❑ Aandeelhouders van Klant ❑ Bestuurders van Klant

❑ Leveranciers van Klant (of haar medewerkers /vertegenwoordigers)

Categorie 3

❑ Geregistreerde Gebruikers ❑ Medewerkers van Klant

4 AARD VAN DE VERWERKING

❑ Verzamelen ❑ Raadplegen

❑ Sorteren ❑ Vergelijken

❑ Structureren ❑ Onderling verbinden

❑ Wijzigen ❑ Communiceren

❑ Opslaan ❑ Beperken

❑ Overdragen ❑ Verwijderen

5 MIDDELEN VOOR VERWERKING

❑ Via het Silverfin Platform ❑ Elektronische communicatie

5.1

6 DOEL VAN DE VERWERKING

Het verlenen van de Dienst en toegang tot/gebruik van het Silverfin Platform op grond van de Overeenkomst.

7 DURATION

Gedurende de looptijd van de Overeenkomst (cfr. Silverfin's gebruiksvoorwaarden van toepassing op de Klant). Bij beëindiging van de Overeenkomst (om welke reden dan ook), zal de toegang tot het Silverfin

Platform worden gedeactiveerd en zullen de Persoonsgegevens worden verwijderd of worden teruggegeven aan de Klant zoals bepaald in Artikel 13.

Bijlage II – Beveiliging

1. MANAGEMENT RICHTLIJNEN VOOR INFORMATIEBEVEILIGING

(i) Silverfin heeft een passend informatiebeveiligingsbeleid ingevoerd.

(ii) Silverfin beschikt over voldoende gekwalificeerde specialisten inzake informatiebeveiliging, die worden ondersteund door de bedrijfsleiding van Silverfin.

(iii) Het management van Xxxxxxxx legt aan werknemers en externe onderaannemers die toegang hebben tot Klantgegevens middels een schriftelijke overeenkomst een vertrouwelijkheids- en privacyverplichting op wat deze gegevens betreft. Deze verplichting blijft bestaan na wijziging of beëindiging van de tewerkstelling of de verbintenis.

2. PERSONEELSVEILIGHEID

(i) Xxxxxxxx maakt haar werknemers en betrokken externe onderaannemers bewust op het vlak van informatiebeveiliging.

3. TOEGANGSCONTROLE

3.1. Beheer gebruikerstoegang

(i) Silverfin implementeert beleidslijnen inzake toegangscontrole die het aanmaken, wijzigen en verwijderen ondersteunen van gebruikersaccounts voor systemen of applicaties die Klantgegevens bevatten of die de toegang tot Klantgegevens mogelijk maken.

(ii) Silverfin implementeert een procedure voor het toekennen van gebruikersaccounts en toegang om toegangsrechten tot systemen en applicaties te geven en in te trekken.

(iii) Het gebruik van "generieke" of "gedeelde" accounts is verboden indien er geen systeemcontroles zijn ingeschakeld waarmee de toegang van specifieke gebruikers kan worden opgevolgd en het delen van wachtwoorden kan worden voorkomen.

(iv) Silverfin controleert en beperkt de toegang tot hulpprogramma's die kunnen worden gebruikt om beveiligingscontroles op het niveau van het systeem of van applicaties, te omzeilen.

(v) De toegang van gebruikers tot systemen en applicaties die Klantgegevens bevatten of toegang tot Klantgegevens mogelijk maken, wordt beheerst door middel van een veilige inlogprocedure.

3.2. Beheer fysieke toegang

(i) De fysieke toegang tot plaatsen waar Klantgegevens worden opgeslagen of verwerkt, wordt beveiligd overeenkomstig de praktijken die in de sector de norm zijn.

4. COMMUNICATIEBEVEILIGING

4.1. Netwerkbeveiliging

(i) Klantgegevens worden door Silverfin logisch gescheiden binnen een shared-serviceomgeving.

(ii) Silverfin beveiligt netwerksegmenten tegen externe toegangspunten waar Klantgegevens toegankelijk zijn.

(iii) Externe netwerkperimeters zijn beveiligd en geconfigureerd om niet-geautoriseerd verkeer te voorkomen.

(iv) In- en uitgaande punten worden beveiligd door firewalls en inbraakbeveiligingsystemen (IDS). Poorten en protocollen worden gelimiteerd tot deze waarvoor specifieke zakelijke doeleinden bestaan.

(v) Silverfin synchroniseert systeemklokken op netwerkservers met een universele tijdsbron (bijv. UTC) of een NTP-server (Network Time Protocol).

4.2. Cryptograffische controlemaatregelen

(i) Klantgegevens, waaronder Persoonsgegevens, worden in rust versleuteld.

4.3. Controlemaatregelen cloudopslag

(i) Silverfin versleutelt gegevens tijdens de transmissie tussen elke applicatielaag en tussen gekoppelde applicaties.

5. OPERATIONELE BEVEILIGING

5.1. Servicemanagement

(i) Silverfin heeft formele operationele procedures uitgevoerd voor systeemprocessen die van invloed zijn op Klantgegevens. Kennisgeving kan plaatsvinden via algemene wijzigingslogboeken. Procedures moeten de auteur, de revisiedatum en het versienummer bijhouden, en moeten worden goedgekeurd door het management.

(ii) Silverfin houdt toezicht op de beschikbaarheid van de dienst.

5.2. Vulnerabilitymanagement

(i) Silverfin voert jaarlijks penetratietesten uit op systemen en applicaties die gegevens van de Klant (inclusief persoonsgegevens) opslaan of de toegang tot deze gegevens mogelijk maken. Geïdentificeerde problemen moeten binnen een redelijke termijn worden verholpen.

(ii) Silverfin heeft een proces geïmplementeerd voor het beheer van patches en beveiligingsproblemen, om kwetsbaarheden te identificeren, te rapporteren en te verhelpen door::

❑ regelmatige uitvoering van een veiligheidsbeoordeling van de applicatie en de onderliggende infrastructuur;

❑ patches of oplossingen van leveranciers te implementeren; en

❑ een herstelplan voor kritieke beveiligingsproblemen te ontwikkelen.

(iii) Silverfin heeft controles geïmplementeerd om malware, kwaadaardige code en niet-geautoriseerde uitvoering van code te detecteren en te voorkomen. De controles moeten regelmatig worden bijgewerkt met gebruik van de meest recente beschikbare technologie (bijv. door de meest recente handtekeningen en definities te gebruiken).

5.3. Logboekregistratie en opvolging

(i) Silverfin genereert beheerlogbestanden en gebeurtenislogbestanden voor systemen en applicaties die gegevens van de Klant opslaan of de toegang tot deze gegevens mogelijk maken.

(ii) Silverfin controleert systeemlogbestanden regelmatig om systeemfouten, storingen of potentiële beveiligingsincidenten die van invloed zijn op Klantgegevens, te identificeren.

6. BEHEER EXTERNE LEVERANCIERS

(i) De contractuele overeenkomsten van Silverfin met externe partijen die omgaan met Klantgegevens moeten passende eisen bevatten inzake informatiebeveiliging, vertrouwelijkheid, en gegevensbescherming, zoals beschreven in de Overeenkomst. Overeenkomsten met dergelijke partijen worden regelmatig herzien om te bevestigen dat de eisen inzake informatiebeveiliging en gegevensbescherming nog voldoen.

(ii) Silverfin evalueert regelmatig de controles inzake informatiebeveiliging van de externe partijen waarmee zij samenwerkt, en gaat na of deze controles afdoende zijn in het licht van de risico's die voortkomen uit het behandelen van Klantgegevens door de derde partij, rekening houdend met de stand van de techniek en de kosten van implementatie.

(iii) Silverfin beperkt de toegang van externe partijen tot Klantgegevens, waaronder persoonsgegevens.

(iv) Silverfin verstrekt de Klant op diens verzoek een lijst van externe partijen die toegang moeten hebben tot Klantgegevens, waaronder persoonsgegevens.

(v) Silverfin staat toegang tot Klantgegevens (waaronder persoonsgegevens) alleen toe voor zover dat noodzakelijk is voor het uitvoeren van de prestaties waartoe de externe partij contractueel gehouden is.

7. WEERBAARHEID

(i) Silverfin voert risicobeoordelingen inzake bedrijfscontinuïteit uit om relevante risico's, bedreigingen, gevolgen, waarschijnlijkheid en vereiste controles en procedures te bepalen.

(ii) Op basis van de resultaten van risicobeoordelingen documenteert, implementeert, test en evalueert Silverfin jaarlijks haar "Business Continuity and Disaster Recovery" -plannen (BC/DR) om het vermogen te beoordelen om bij een fysiek of technisch incident dat resulteert in het verlies of de beschadiging van Klantgegevens, de beschikbaarheid van en de toegang tot de Klantgegevens tijdig te herstellen.

8. AUDIT EN COMPLIANCE

(i) Silverfin evalueert regelmatig of haar systemen en apparatuur die Klantgegevens (met inbegrip van persoonsgegevens) opslaan of de toegang tot deze gegevens mogelijk maken, voldoen aan de wet- en regelgeving en aan de contractuele verplichtingen tegenover de Klant.

(ii) Silverfin houdt een actuele onafhankelijke verificatie aan van de doeltreffendheid van haar technische en organisatorische beveiligingsmaatregelen (bijv. ISO certificering). De onafhankelijke toetsing van de informatiebeveiliging wordt minstens jaarlijks uitgevoerd.

Bijlage III – Sub-verwerkers

Xxxxxxxx schakelt de volgende Sub-verwerkers in om te helpen bij het verlenen van de Dienst zoals beschreven in de Overeenkomst:

1. Verbonden Ondernemingen

Naam Aard van de verwerking Territorium

Silverffin Software Ltd. Ondersteunende diensten Verenigde Koninkrijk (London)

Silverffin Software B.V. Ondersteunende diensten Nederland (Amsterdam)

Silverffin Software ApS Boltzmann B.V.

Ondersteunende diensten Mapping automatisering en outlier opsporing

Denemarken (Kopenhagen) EEA

2. OTHER SUB-PROCESSORS – SILVERFIN PLATFORM

Naam Aard van de verwerking Territorium

Amazon AWS S3 Back-up van opslagdatabase EEA

Atlassian Pty Ltd (JIRA PST Ticket) Product en techniek Asia Pacific / EEA / Verenigde Staten

ClientSuccess, Inc. Klantenbeheer Verenigde Staten

Datadog Inc. Monitoring infrastructuur Verenigde Staten

DealHub Ltd. Orders-goedkeuring ondertekening Israel

Delighted LLC Klantenfeedback (NPS) Verenigde Staten

Dogwood Labs, Inc. (Statuspage) Product en techniek Verenigde Staten

Fivetran, Inc. Gegevensoverdracht en integratie van gegevensbronnen

Functional Software Inc. (Sentry) Registratie foutmeldingen in verband met

de diensten van het Silverfin Platform

Verenigde Staten Verenigde Staten

GitLab Inc. (DEV Tickets) Product en techniek EEA

Google Ltd. Hosten van cloud infrastructuur;

Gecentraliseerde registratie in verband met de diensten van het Silverfin Platform

EEA

Headway App Inc. Changelog en communicatie Verenigde Staten

Heap Inc. Het verzenden, verzamelen, opslaan en analyseren van gegevens (inclusief van cookies en lokale opslag op het apparaat) om de Klant te voorzien van analytische

Verenigde Staten

informatie over het gebruik van zijn website, mobiele applicaties en andere online diensten door zijn bezoekers en gebruikers

Help Scout Klant onboarding Verenigde Staten

HubSpot Inc. Klantenbeheer Verenigde Staten

InsightSquared Verkoopprognose & analyse / pijplijn gegevens

Looker Data Sciences, Inc. Analyse/metriek van bedrijfs- en financiële

gegevens

Verenigde Staten Verenigde Staten

Microsoft (Power BI) Analyse/metriek van bedrijfs- en financiële gegevens

EEA

Outreach Xxxxxxxxxxx.xx SDR uitgaand Verenigde Staten

Productboard, Inc. Accountbeheer & ondersteuning Verenigde Staten /

Verenigde Koninkrijk

/ EEA

Report-URI Ltd. Rapportering beveiliging EEA

Salesforce Klantenbeheer Verenigde Staten

Sqreen Inc. Beheer beveiliging Verenigde Staten

Userlane GmbH Klant onboarding EEA

VictorOps Inc. Incidentbestrijding Verenigde Staten

Wildbit, LLC. (Postmarkapp) E-mails verzenden in verband met het

aanbieden van het Silverfin Platform

Verenigde Staten