VERWERKERSOVEREENKOMST
VERWERKERSOVEREENKOMST
Deze Verwerkersovereenkomst wordt gesloten tussen Salonized B.V., een besloten vennootschap met beperkte aansprakelijkheid, kantoorhoudende en gevestigd te (1017 CD) Amsterdam, aan Herengracht 575, ingeschreven in het Handelsregister van de Kamer van Koophandel onder 64876233, (hierna te noemen “Salonized”), en de Klant, zoals gedefinieerd in de Overeenkomst
Salonized en de Klant zullen hierna gezamenlijk ook genoemd worden: “Partijen”,
Partijen nemen het volgende in overweging:
● Salonized biedt voor Klant software ten behoeve van onder meer boekhouding, agenda-, klanten- en afsprakenbeheer, en kan in die hoedanigheid (bijzondere) persoonsgegevens voor Klant verwerken;
● Klant en Salonized hebben een overeenkomst gesloten op basis waarvan Klant gebruik kan maken van de diensten van Salonized, waar deze Verwerkersovereenkomst deel van uitmaakt;
● Klant is ten aanzien van de verwerking van persoonsgegevens als verantwoordelijke in de zin van artikel 4 aanhef en onder 7 van de Algemene verordening gegevensbescherming (“AVG”) aan te merken;
● Salonized is ten aanzien van het voor Klant opslaan en verwerken van de persoonsgegevens als verwerker in de zin van artikel 4 aanhef en onder 8 AVG aan te merken;
● Partijen wensen – mede ter uitvoering van het bepaalde in artikel 28, derde lid van de AVG – in de onderhavige overeenkomst een aantal voorwaarden vast te leggen die van toepassing zijn op hun relatie in verband met de (verwerking van persoonsgegevens in het kader van) genoemde activiteiten voor en in opdracht van Klant.
En komen het volgende overeen:
Artikel 1 Definities
1. In deze Verwerkersovereenkomst hebben de volgende begrippen, steeds met een hoofdletter geschreven, de volgende betekenis ongeacht of deze in meervoud of enkelvoud worden gebruikt:
Algemene Voorwaarden: de algemene voorwaarden van Salonized, die onlosmakelijk deel
uitmaken van de Overeenkomst;
Annex: aanhangsel bij de Verwerkersovereenkomst, dat onlosmakelijk deel uitmaakt van de Verwerkersovereenkomst;
Overeenkomst: de tussen Klant en Salonized gesloten overeenkomst voor het
gebruik van de diensten van Salonized, inclusief eventuele nadere overeenkomsten;
Persoonsgegevens: alle gegevens die direct of indirect herleidbaar zijn tot een
natuurlijk persoon als bedoeld in artikel 4 aanhef en onder 1 AVG;
Subverwerker: de door Salonized ingeschakelde onderaannemer, die in het kader
van deze Verwerkersovereenkomst Persoonsgegevens Verwerkt voor rekening van Xxxxx als bedoeld in artikel 28 lid 4 AVG;
Verwerken: het verwerken van Persoonsgegevens als bedoeld in artikel 4
aanhef en onder 2 AVG;
Verwerkersovereenkomst: de onderhavige overeenkomst welke deel uitmaakt van de
Overeenkomst.
1.2 De bepalingen uit de Overeenkomst zijn onverkort van toepassing op de Verwerkersovereenkomst. Voor zover er in de Overeenkomst bepalingen omtrent de verwerking van persoonsgegevens zijn opgenomen, prevaleren de bepalingen uit deze Verwerkersovereenkomst.
Artikel 2 Klant voor en Salonized van de gegevens
1. Salonized verbindt zich in het kader van deze Verwerkersovereenkomst in opdracht van Klant Persoonsgegevens te Verwerken. Een overzicht van het soort Persoonsgegevens, de categorieën van betrokkenen en de doelen waarvoor de Verwerking van Persoonsgegevens plaatsvindt, is opgenomen in Annex 1. Klant staat ervoor in dat de in deze Annex 1 omschreven persoonsgegevens, categorieën betrokkenen en doeleinden volledig en correct zijn, en vrijwaart Salonized voor enige gebreken en aanspraken die resulteren uit een incorrecte weergave door Klant.
2. Salonized is louter verantwoordelijk voor de Verwerking van Persoonsgegevens onder deze Verwerkersovereenkomst, overeenkomstig de rechtmatige instructies van Klant en onder de uitdrukkelijke (eind)verantwoordelijkheid van Klant. Voor alle overige Verwerkingen van Persoonsgegevens, waaronder in ieder geval begrepen maar niet beperkt tot de verzameling van de Persoonsgegevens door Klant, Verwerkingen voor doeleinden die niet door Klant aan Salonized zijn gemeld, Verwerkingen door derden en/of voor andere doeleinden, is Salonized niet verantwoordelijk. De verantwoordelijkheid voor deze Verwerkingen rust uitsluitend bij Klant.
3. Klant is aansprakelijk voor de Verwerking van Persoonsgegevens in het kader van de Overeenkomst en garandeert dat de inhoud, het gebruik en de opdracht tot Verwerking van die Persoonsgegevens in overeenstemming is met alle toepasselijke wet- en regelgeving en geen inbreuk maken op enig recht van derden. Klant vrijwaart Salonized tegen alle aanspraken van derden, in het bijzonder van de toezichthouder, welke op enigerlei wijze voortvloeien uit het niet naleven van deze garantie.
4. Salonized verbindt zich uitsluitend persoonsgegevens te Verwerken ten behoeve van de in deze Verwerkersovereenkomst en/of de Overeenkomst genoemde activiteiten. Salonized garandeert dat zij, zonder uitdrukkelijke en schriftelijke toestemming van Klant, geen gebruik zal maken van de Persoonsgegevens die in het kader van deze Verwerkersovereenkomst worden Verwerkt, tenzij een op de Salonized van toepassing zijnde wettelijke bepaling hem tot verwerking verplicht. In dat geval stelt Salonized de Klant, voorafgaand aan de Verwerking, in kennis van dat wettelijk voorschrift, tenzij die wetgeving deze kennisgeving om gewichtige redenen van algemeen belang verbiedt.
Artikel 3 Technische en organisatorische voorzieningen
3.1 Salonized zal passende technische en organisatorische maatregelen ten uitvoer (laten) leggen om Persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige Verwerking van Persoonsgegevens en zo een op het risico afgestemd beveiligingsniveau te waarborgen. Deze maatregelen zullen, rekening houdend met de stand der techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau garanderen, gelet op de risico’s die de Verwerking en de aard van de te beschermen gegevens met zich meebrengen. Salonized zal in ieder geval maatregelen nemen om Persoonsgegevens te beveiligen tegen vernietiging, hetzij per ongeluk hetzij onrechtmatig, tegen toevallig en opzettelijk verlies, vervalsing, niet toegelaten verspreiding of toegang, dan wel tegen enige andere vorm van onrechtmatige Verwerking.
3.2 De door Salonized genomen technische en organisatorische maatregelen staan beschreven in Annex 2. Klant erkent kennis te hebben genomen van de betreffende maatregelen en door ondertekening van deze Verwerkersovereenkomst gaat Klant akkoord met de door Salonized genomen maatregelen.
Artikel 4 Vertrouwelijkheid
4.1. Salonized zal al haar medewerkers, die betrokken zijn bij de uitvoering van de Overeenkomst, een geheimhoudingsverklaring – al dan niet opgenomen in de arbeidsovereenkomst met die medewerkers – laten tekenen waarin in ieder geval is opgenomen dat deze medewerkers geheimhouding moeten betrachten ten aanzien van de Persoonsgegevens.
Artikel 5 Doorgifte
5.1 Het overbrengen van Persoonsgegevens door Salonized buiten de Europese Economische Ruimte is alleen toegestaan met inachtneming van de daarvoor geldende wettelijke verplichtingen.
Artikel 6 Derden en onderaannemers
6.1 Het is Salonized toegestaan om in het kader van deze Verwerkersovereenkomst en de Overeenkomst gebruik te maken van Sub Verwerkers, zoals opgenomen in Annex 3. Indien
Salonized een andere Subverwerker wenst in te schakelen, zal Salonized de Klant inlichten over de beoogde veranderingen. Klant dient binnen vijf (5) werkdagen bezwaar te maken tegen deze veranderingen. Salonized zal binnen vijf (5) werkdagen reageren op het bezwaar van Klant.
6.2 Wanneer Salonized een Subverwerker in dienst neemt om voor rekening van Klant specifieke verwerkingsactiviteiten te verrichten, worden aan Subverwerker dezelfde verplichtingen inzake gegevensbescherming opgelegd als die welke in deze Verwerkersovereenkomst zijn opgenomen.
Artikel 7 Aansprakelijkheid
7.1 Ten aanzien van de aansprakelijkheid van Salonized onder de Verwerkersovereenkomst alsmede ten aanzien van de in de Verwerkersovereenkomst opgenomen vrijwaringsverplichtingen voor Salonized, geldt onverkort de in artikel 10 van de Algemene Voorwaarden opgenomen regeling inzake de beperking van aansprakelijkheid.
Artikel 8 Incidenten
8.1 Indien Salonized kennis krijgt van een incident dat een (wezenlijke) impact kan hebben op de beveiliging van Persoonsgegevens, zal zij i) Klant daarvan zonder onredelijke vertraging op de hoogte stellen en ii) alle redelijke maatregelen nemen om (verdere) schending van de AVG te voorkomen of te beperken.
8.2 Salonized zal, voor zover redelijk, haar medewerking verlenen aan Klant en Klant ondersteunen in het uitvoeren van haar wettelijke verplichtingen ten aanzien van het geconstateerde incident.
8.3 Salonized zal, voor zover redelijk, Klant ondersteunen bij de op Klant rustende meldplicht ten aanzien van de inbreuk in verband met persoonsgegevens bij de Autoriteit Persoonsgegevens (“AP”) en/of de betrokkene, zoals bedoeld in artikel 33, lid 3 en 34, lid 1 AVG. Salonized is nimmer gehouden tot het zelfstandig verrichten van een melding van een inbreuk in verband met persoonsgegevens bij de AP en/of de betrokkene.
8.4 Salonized is nimmer aansprakelijk voor de (correcte en/of tijdige uitvoering van de) op Klant rustende meldplicht zoals bedoeld in artikel 33 en 34 AVG.
Artikel 9 Bijstand aan Klant
9.1 Salonized zal Klant, voor zover redelijkerwijs mogelijk, bijstand verlenen bij het vervullen van diens plicht onder de AVG om verzoeken om uitoefening van de rechten van een betrokkene te beantwoorden, in het bijzonder het recht op inzage (art. 15 AVG), rectificatie (art. 16 AVG), gegevenswissing (art. 17 AVG), beperking (art. 18 AVG), overdraagbaarheid (art. 20 AVG) en het recht van bezwaar (art. 21 en 22 AVG). Salonized zal een klacht of een verzoek van een betrokkene met betrekking tot de Verwerking van Persoonsgegevens zo snel mogelijk doorsturen naar de Klant, die verantwoordelijk is voor de afhandeling van het verzoek. Salonized is gerechtigd de eventuele kosten die gemoeid zijn met de medewerking, in rekening te brengen bij Klant.
9.2. Salonized zal Klant, voor zover redelijkerwijs mogelijk, bijstand verlenen bij het doen nakomen van diens plicht onder de AVG om een gegevensbeschermingseffectbeoordeling (art. 35 en 36 AVG) uit te voeren. Partijen zullen in dat geval nadere (schriftelijke) afspraken maken.
9.3. Salonized zal de Klant alle informatie ter beschikking stellen die redelijkerwijs nodig is om aan te tonen dat Salonized voldoet aan haar verplichtingen onder de AVG.
9.4. Salonized stelt Klant in staat om maximaal eens per kalenderjaar, onder aanzegging van een redelijke termijn en met toestemming van Salonized, de naleving van de Verwerkersovereenkomst en met name de door Salonized getroffen beveiligingsmaatregelen te controleren. Een dergelijke controle zal te allen tijde worden uitgevoerd op een wijze die zo min mogelijk effect heeft op de normale bedrijfsvoering van Salonized en is voor rekening van Klant. Salonized is gerechtigd de eventuele kosten die met het bepaalde uit dit artikel gemoeid zijn, in rekening te brengen bij Klant. Indien de Salonized van mening is dat een instructie in verband met het bepaalde in dit artikellid een inbreuk oplevert op de AVG of op andere op haar van toepassing zijnde privacywetgeving, stelt de Salonized de Klant daarvan onmiddellijk in kennis.
9.5. De audit in artikel 9.4 vindt uitsluitend plaats nadat Klant de bij Salonized aanwezige soortgelijke auditrapportages heeft opgevraagd, beoordeeld en redelijke argumenten aanbrengt die een door Klant geïnitieerde audit alsnog rechtvaardigen. Een dergelijke audit wordt gerechtvaardigd wanneer de bij Salonized aanwezige soortgelijke auditrapportages geen of onvoldoende uitsluitsel geven over het naleven van deze Verwerkersovereenkomst.
Artikel 10 Beëindiging & Varia
10.1. Ten aanzien van opzegging en/of ontbinding van deze Verwerkersovereenkomst, gelden de specifieke bepalingen uit de Overeenkomst. Onverminderd de specifieke bepalingen uit de Overeenkomst, zal de Salonized op eerste verzoek van de Klant alle Persoonsgegevens wissen of deze aan hem terugbezorgen, en bestaande kopieën verwijderen, tenzij Salonized wettelijk verplicht is (delen van) de Persoonsgegevens op te blijven slaan.
10.2. Klant zal Salonized adequaat informeren over (wettelijke) bewaartermijnen die van toepassing zijn op de Verwerking van Persoonsgegevens voor Salonized.
10.3. De verplichtingen uit deze Verwerkersovereenkomst die naar hun aard bestemd zijn om beëindiging te overleven, blijven ook na beëindiging van deze Verwerkersovereenkomst van kracht.
10.4. De rechtskeuze en bevoegde rechter komen overeen met het bepaalde te dien aanzien in de Overeenkomst.
Ondertekening
Klant Salonized B.V.
Naam:Xxxxxx xxx xxxx
naam:
Plaats en datum: 29-10-2018 29-10-2018 01:25:17plaPaDtTs en datum:
29-10-2018 01:25:17 PDT
ANNEX 1 OVERZICHT PERSOONSGEGEVENS
Soort persoonsgegevens
● NAW-gegevens
● Klant-/patiëntgegevens
● Financiële gegevens
● Administratie
● Medische gegevens
● Behandelgegevens
● Foto’s
● Agenda-items
● Berichten
Wijzigingen ten aanzien van de Persoonsgegevens zal enkel in overleg tussen Salonized en Klant plaatsvinden.
Categorieën van betrokkenen
● Klanten/patiënten van Klant.
● Medewerkers van Klant.
Doelen waarvoor de verwerking van persoonsgegevens plaatsvindt
● Het door Salonized aan Klant bieden van toegang tot en gebruik van de software van Salonized ten behoeve van de dagelijkse praktijk van Verwerkersverantwoordelijke, waaronder beheer van agenda, klantenbestand, behandelingen, kassa, boekhouding en inventarisatie.
ANNEX 2 _ SPECIFICATIE VAN BEVEILIGING
● Medewerkers Salonized hebben alleen toegang tot klantgegevens van klant indien klant hier nadrukkelijk toestemming voor gegeven heeft in het systeem
● Versleutelde SSL verbinding
● Reguliere interne audits / code reviews
● Wachtwoorden worden versleuteld opgeslagen
● Meerdere mogelijkheden voor de klant om ongewenste toegang te voorkomen, bijvoorbeeld door middel van automatisch uitloggen na inactiviteit en IP beveiliging
● Uitgebreide technische maatregelen om toegang tot de servers van Salonized te beveiligen
● Diverse maatregelen tegen SQL-injections, cookie / session hijacking en Cross-site scripting (XSS)
ANNEX 3 SPECIFICATIE SUB-VERWERKERS
● Sentry: melden van errors in de applicatie
● Papertrail: logboek
● Intercom: support en marketing
● Amazon AWS: hosting en bestand uploads
● Google Cloud: hosting
● Cloudinary: file uploads zoals klantfoto’s
● Mailgun; e-mail
● Appsignal: melden van errors in de applicatie
● Nexmo: sms
● Messagebird: sms