Verwerkersovereenkomst

Verwerkersovereenkomst

Versie april 2024

Deze Verwerkersovereenkomst maakt integraal onderdeel uit van de afspraken tussen Partijen overeengekomen op dag van ondertekening (hierna: “de Overeenkomst”).

Algemeen

In deze Verwerkersovereenkomst wordt verstaan onder:

● Algemene Voorwaarden: de Algemene voorwaarden van Verwerker, die onverkort van toepassing zijn op iedere afspraak tussen Verwerker en Verantwoordelijke.

● Verwerker: Prindustry BV, gevestigd aan de Xxxxxxx Xxxxxxxx 0X-0 xx Xxxxxxx, ingeschreven bij de Kamer van Koophandel onder nummer 53 55 12 30 en rechtsgeldig vertegenwoordigd door de xxxx Xxxxx xxx Xxxxxxxxx.

De Verwerker kwalificeert zich bij de uitvoering van de Overeenkomst als Verwerker in de zin van artikel 4 lid 8 van de Algemene Verordening Gegevensbescherming (hierna: “AVG”);

● Verwerkingsverantwoordelijke: De natuurlijk persoon of rechtspersoon die aan Verwerker opdracht heeft gegeven tot het verrichten van Werkzaamheden, eveneens Verantwoordelijke. De Verwerkingsverantwoordelijke wordt aangemerkt als Verwerkingsverantwoordelijke in de zin van artikel 4 lid 7 AVG;

● Gegevens: de persoonsgegevens zoals omschreven in Bijlage 1.

● Overeenkomst: elke afspraak tussen Verwerkingsverantwoordelijke en Verwerker tot het verrichten van Werkzaamheden door Verwerker ten behoeve van de Opdrachtgever.

● Werkzaamheden: alle werkzaamheden waartoe opdracht is gegeven, of die door Verwerker uit anderen hoofde worden verricht. Het voorgaande geldt in de ruimste zin van het woord en omvat in ieder geval de werkzaamheden zoals vermeld in de opdrachtbevestiging.

Partijen

De Opdrachtnemer, hierna: “Verwerker”

en

De Opdrachtgever, hierna: “Verwerkingsverantwoordelijke”

in aanmerking nemende dat

● Verwerkingsverantwoordelijke en Verwerker een Overeenkomst hebben gesloten op dag van ondertekening (hierna: ‘’de Overeenkomst’’), voor de verwerking van persoonsgegevens door Verwerker zoals afgesproken in de Overeenkomst, hoofdzakelijk teneinde het softwareplatform en de webportal te onderhouden en (door) te ontwikkelen voor Verwerkingsverantwoordelijke;

● Waar in deze Verwerkersovereenkomst gesproken wordt over persoonsgegevens, hiermee persoonsgegevens in de zin van artikel 4 lid 1 AVG worden bedoeld;

● Verwerkingsverantwoordelijke de doeleinden en middelen bepaalt voor de verwerking zoals bedoeld in artikel 4 lid 7 AVG;

● Partijen, mede gelet op het vereiste uit artikel 28 lid 3 AVG, hun rechten en plichten schriftelijk wensen vast te leggen middels deze verwerkersovereenkomst (hierna: “Verwerkersovereenkomst”);

zijn als volgt overeengekomen

Artikel 1. Doeleinden van verwerking

1.1 Verwerker verbindt zich onder de voorwaarden van deze Verwerkersovereenkomst in opdracht van Verwerkingsverantwoordelijke persoonsgegevens te verwerken. Verwerking zal plaatsvinden in het kader van de afspraken zoals bepaald in de Overeenkomst. Prindustry zal alleen op basis van die afspraken handelen en uitsluitend in opdracht en onder instructie van de Verwerkingsverantwoordelijke werken.

1.2 De persoonsgegevens die door Verwerker in het kader van de Overeenkomst (zullen) worden verwerkt, en de categorieën Betrokkenen van wie deze afkomstig zijn, zijn opgenomen in Bijlage 1.

1.3 Verwerker zal de Verwerkingsverantwoordelijke onmiddellijk in kennis stellen als naar zijn mening een instructie van de Verwerkingsverantwoordelijke in strijd is met de in lid 1 bedoelde wetgeving.

Artikel 2. Doorgifte van persoonsgegevens

2.1 Verwerker mag de persoonsgegevens verwerken in landen binnen de Europese Economische Ruimte (hierna: “EER”). Doorgifte naar landen buiten de EER is enkel toegestaan wanneer dit op basis van de voorafgaande schriftelijke opdracht/toestemming van de Verwerkingsverantwoordelijke plaatsvindt, of er sprake is van een van de passende waarborgen in de zin van de AVG.

Artikel 3. Verdeling van verantwoordelijkheid

3.1 De toegestane verwerkingen zullen door Verwerker worden uitgevoerd binnen een (semi-)geautomatiseerde omgeving.

3.2 Voor alle verwerkingen die plaatsvinden in het systeem dat door Verwerker wordt aangeboden is de Verantwoordelijke verantwoordelijk, en deze moet als zodanig ervoor instaan dat de gegevens die zij aldaar verwerken op rechtmatige wijze - gelet op alle relevante wet- en regelgeving - wordt verwerkt.

3.3 Verwerkingsverantwoordelijke staat ervoor in dat de inhoud, het gebruik en de opdracht tot de verwerkingen van de persoonsgegevens zoals bedoeld in deze Verwerkersovereenkomst, niet onrechtmatig is en geen inbreuk maken op enig recht van derden.

Artikel 4. Aansprakelijkheid

4.1 In de Algemene Voorwaarden van Prindustry staat in artikel A.8 de aansprakelijkheid beschreven van Xxxxxxxxx voor directe schade geleden door Verwerkingsverantwoordelijke als gevolg van een toerekenbare tekortkoming door Verwerker van zijn verplichtingen onder de Overeenkomst.

Artikel 5. Inschakelen van derden of onderaannemers

5.1 Verwerkingsverantwoordelijke geeft Verwerker hierbij toestemming om bij de verwerking van persoonsgegevens, op grond van deze Verwerkersovereenkomst, gebruik te maken van

een derde met inachtneming van de toepasselijke privacywetgeving. Prindustry heeft hiervoor Sub- Verwerkersovereenkomsten gesloten met deze derde partijen. Door een Sub- Verwerkersovereenkomst te ondertekenen, geven deze partners aan dat zij gepaste maatregelen nemen om persoonsgegevens te beschermen.

5.2 Op verzoek van Verwerkingsverantwoordelijke zal Verwerker de Verwerkingsverantwoordelijke zo spoedig mogelijk informeren over de door haar ingeschakelde derden. Verwerkingsverantwoordelijke heeft het recht om tegen enige, door Verwerker ingeschakelde derden, bezwaar te maken. Wanneer Verwerkingsverantwoordelijke bezwaar maakt tegen door de Verwerker ingeschakelde derden, zullen Partijen onderling in overleg treden om hiertoe tot een oplossing te komen.

5.3 Verwerker zorgt er in ieder geval voor dat deze derden schriftelijk dezelfde plichten op zich nemen als tussen Verwerkingsverantwoordelijke en Verwerker zijn overeengekomen.

Artikel 6. Beveiliging

6.1 Verwerker zal zich inspannen passende technische en organisatorische maatregelen te nemen met betrekking tot de te verrichten verwerkingen van persoonsgegevens, tegen verlies of tegen enige vorm van onrechtmatige verwerking. Zie bijlage 2.

6.2 Verwerker zal zich inspannen de beveiliging te laten voldoen aan een niveau dat, gelet op de stand van de techniek, de gevoeligheid van de persoonsgegevens en de aan het treffen van de beveiliging verbonden kosten, niet onredelijk is.

6.3 Indien blijkt dat een noodzakelijke beveiligingsmaatregel ontbreekt, zal Verwerker ervoor zorgdragen dat de beveiliging voldoet aan een niveau dat, gelet op de stand van de techniek, de gevoeligheid van de persoonsgegevens en de aan het treffen van de beveiliging verbonden kosten, niet onredelijk is.

Artikel 7. Meldplicht

7.1 In het geval van een datalek (waaronder wordt verstaan: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens) zal Verwerker Verwerkingsverantwoordelijke daarover onverwijld dan wel uiterlijk binnen achtenveertig (48) uur infomeren, naar aanleiding waarvan Verwerkingsverantwoordelijke beoordeelt of zij de toezichthoudende autoriteiten en/of betrokkenen zal informeren of niet. Verwerker spant zich naar beste kunnen in om de verstrekte informatie volledig, correct en accuraat te maken.

7.2 Verwerkingsverantwoordelijke zal zorgdragen voor het voldoen aan eventuele (wettelijke) meldplichten. Indien de wet- en/of regelgeving dit vereist zal Verwerker meewerken aan het informeren van de ter zake relevante autoriteiten en eventueel betrokkenen.

7.3 De meldplicht behelst in ieder geval het melden van het feit dat er een lek is geweest, alsmede voor zover bekend bij Verwerker:

● de datum waarop het lek heeft plaatsgevonden (indien geen exacte datum bekend is: de periode waarbinnen het lek heeft plaatsgevonden);

● wat de (vermeende) oorzaak is van het lek;

● de datum en het tijdstip waarop het lek bekend is geworden bij Verwerker of bij een door hem ingeschakelde derde of onderaannemer;

● het aantal personen waarvan gegevens zijn gelekt (indien geen exact aantal bekend is: het minimale en maximale aantal personen waarvan gegevens zijn gelekt);

● de waarschijnlijke gevolgen van de inbreuk in verband met persoonsgegevens (e.e.a. cf. art. 33 lid 3 sub c AVG).

● een omschrijving van de groep personen van wie gegevens zijn gelekt, inclusief het soort of de soorten persoonsgegevens die gelekt zijn;

● of de gegevens versleuteld, gehasht of op een andere manier onbegrijpelijk of ontoegankelijk zijn gemaakt voor onbevoegden;

● wat de voorgenomen en/of reeds ondernomen maatregelen zijn om het lek te dichten en om de gevolgen van het lek te beperken;

● contactgegevens voor de opvolging van de melding.

Artikel 8. Rechten van Betrokkenen

8.1 In het geval dat een Betrokkene een verzoek tot uitoefening van zijn/haar wettelijke rechten richt aan Verwerker, zal Verwerker het verzoek doorsturen aan Verwerkingsverantwoordelijke en de Betrokkene hiervan op de hoogte stellen. Verwerkingsverantwoordelijke zal het verzoek vervolgens verder zelfstandig afhandelen.

Artikel 9. Geheimhoudingsplicht

9.1 Op alle persoonsgegevens die Verwerker van Verwerkingsverantwoordelijke ontvangt en/of zelf verzamelt in het kader van deze Verwerkersovereenkomst, rust een geheimhoudingsplicht jegens derden. Verwerker zal deze informatie niet voor een ander doel gebruiken dan waarvoor hij deze heeft verkregen, tenzij deze in een zodanige vorm is gebracht dat deze niet tot betrokkenen herleidbaar is.

9.2 Deze geheimhoudingsplicht is niet van toepassing voor zover Verwerkingsverantwoordelijke uitdrukkelijke toestemming heeft gegeven om de informatie aan derden te verschaffen, indien het verstrekken van de informatie aan derden logischerwijs noodzakelijk is gezien de aard van de verstrekte opdracht en de uitvoering van deze Verwerkersovereenkomst, of indien er een wettelijke verplichting bestaat om de informatie aan een derde te verstrekken.

Artikel 10. Audit

10.1 Verwerkingsverantwoordelijke heeft het recht om audits uit te (laten) voeren door een onafhankelijke ICT-deskundige die aan geheimhouding is gebonden ter controle van naleving van alle punten uit deze Verwerkersovereenkomst.

10.2 Deze audit vindt uitsluitend plaatst nadat Verwerkingsverantwoordelijke de bij Verwerker aanwezige soortgelijke auditrapportages heeft opgevraagd, beoordeeld en redelijke argumenten aanbrengt die een door Verwerkingsverantwoordelijke geïnitieerde audit alsnog rechtvaardigen. Een dergelijke audit wordt gerechtvaardigd wanneer de bij Verwerker aanwezige soortgelijke auditrapportages geen of onvoldoende uitsluitsel geven over het naleven van deze Verwerkersovereenkomst door Verwerker. De door Verwerkingsverantwoordelijke geïnitieerde audit vindt twee weken na voorafgaande aankondiging door Verwerkingsverantwoordelijke, en maximaal eens per jaar plaats.

10.3 Verwerker zal aan de audit meewerken en alle voor de audit redelijkerwijs relevante informatie, inclusief ondersteunende gegevens zoals systeemlogs, en medewerkers zo tijdig mogelijk en binnen een redelijke termijn, waarbij een termijn van maximaal twee weken redelijk is tenzij een spoedeisend belang zich hiertegen verzet, ter beschikking stellen. Verwerkingsverantwoordelijke zal er zorg voor dragen dat de audit een zo min mogelijk bedrijfsverstorend effect op de overige werkzaamheden van Verwerker veroorzaakt.

10.4 De bevindingen naar aanleiding van de uitgevoerde audit zullen door Partijen in onderling overleg worden beoordeeld en, naar aanleiding daarvan, al dan niet worden doorgevoerd door één van de Partijen of door beide Partijen gezamenlijk.

10.5 De redelijke kosten voor de audit worden door de Verwerkingsverantwoordelijke gedragen, tenzij uit de audit blijkt dat de Verwerker niet heeft voldaan of voldoet aan de verplichtingen die in de Verwerkersovereenkomst zijn opgelegd.

10.6 Verwerker zal Verwerkingsverantwoordelijke ondersteunen bij de uitvoering van een Data Protection Impact Assessment (hierna: ‘DPIA’) wanneer Xxxxxxxxx dit op grond van de AVG verplicht is. Deze ondersteuning kan zich onder andere uiten in het ter beschikking stellen van de benodigde informatie door Verwerker aan Verwerkingsverantwoordelijke, voor het correct uitvoeren van de DPIA.

Artikel 11. Duur en beëindiging

11.1 Deze Verwerkersovereenkomst is aangegaan voor de duur zoals bepaald in de Overeenkomst tussen Partijen en bij gebreke daarvan in ieder geval voor de duur van de samenwerking.

11.2 De Verwerkersovereenkomst kan tussentijds niet worden opgezegd.

11.3 Partijen mogen deze Verwerkersovereenkomst alleen wijzigen met wederzijdse schriftelijke instemming.

11.4 Na beëindiging van de Verwerkersovereenkomst vernietigt Verwerker de van Verwerkingsverantwoordelijke ontvangen persoonsgegevens volgens art. 28 lid 3 sub g, waar wordt bepaald dat het de keuze van de Verantwoordelijke is wat er met de gegevens moet gebeuren, tenzij partijen anders overeenkomen.

Artikel 12. Overige bepalingen

12.1 De Verwerkersovereenkomst en de uitvoering daarvan worden beheerst door Nederlands recht.

12.2 Alle geschillen, die tussen Partijen mochten ontstaan in verband met de Verwerkersovereenkomst, zullen worden voorgelegd aan de bevoegde rechter in het arrondissement van de rechtbank die ook bevoegd is in het kader van de Overeenkomst te oordelen.

12.3 Indien één of meer bepalingen van de Verwerkersovereenkomst niet rechtsgeldig blijken te zijn, zal de Verwerkersovereenkomst voor het overige van kracht blijven. Partijen overleggen alsdan over de bepalingen welke niet rechtsgeldig zijn, teneinde een vervangende regeling te treffen die wel rechtsgeldig is en zoveel mogelijk aansluit bij de strekking van de te vervangen regeling.

12.4 Indien de privacywetgeving wijzigt, zullen partijen meewerken deze Verwerkersovereenkomst aan te passen teneinde aan deze wetgeving te kunnen (blijven) voldoen.

Aldus (digitaal) overeengekomen door beide partijen vanaf hun vestigingsadres.

Dit document maakt integraal onderdeel uit van een overkoepelende overeenkomst en is derhalve niet ondertekend.

Bijlage 1: Specificatie persoonsgegevens en betrokkenen

Rollen dataverwerking Prindustry

Betrokkene

De bedoelde Betrokkenen van wie de Verwerkingsverantwoordelijke, Verwerker en Sub-Verwerker persoonsgegevens kunnen verwerken, zijn de (eind)klanten en/of medewerkers van de WhiteLabelShop of Brandportal eigenaar. Het gaat om hun persoonsgegevens die via het platform van Verwerker Prindustry verwerkt worden.

Verwerkingsverantwoordelijke

Persoonsgegevens worden in opdracht van de Verwerkingsverantwoordelijke verwerkt. De WhiteLabelShop of Brandportal (webportal) eigenaar, de Prindustry klant, is de Verwerkingsverantwoordelijke, omdat deze eigenaar de persoonsgegevens invoert en het doel en de middelen bepaalt.

Verwerker

Prindustry is voor haar klanten, de webportal eigenaren, als softwareontwikkelaar de Verwerker. Prindustry bepaalt het doel en de middelen van het verwerken van de persoonsgegevens niet. Prindustry slaat louter de gegevens op en verzendt deze via het platform.

Sub-Verwerker

Wanneer een webportal klant van Prindustry gebruikmaakt van de koppelingen naar producenten voor het vervaardigen van de webshop producten, zijn deze producenten de Sub-Verwerkers, omdat zij de persoonsgegevens voor een specifiek doel ontvangen, namelijk het produceren en verzenden van een opdracht.

Door een Sub-Verwerkersovereenkomst te ondertekenen, geven deze producenten aan dat zij gepaste maatregelen nemen om persoonsgegevens te beschermen. Dit geeft de Prindustry klanten de zekerheid dat zij zorgvuldig omgaan met de persoonsgegevens die ze ontvangen voor een opdracht via het Prindustry platform.

De Verwerkingsverantwoordelijken kunnen in de backend achter hun webportal in de Prindustry Marktplaats zien welke Sub-Verwerkers de AVG Sub-Verwerkersovereenkomst hebben getekend via het groene GDPR-vinkje.

Persoonsgegevens Betrokkenen

De Verwerkingsverantwoordelijke, Verwerker en Sub-Verwerker verwerken in het kader van de Overeenkomst persoonsgegevens van Betrokkenen van Verwerkingsverantwoordelijke via het platform van Prindustry. Alle categorieën van betrokkenen staan in het Verwerkingsregister van Prindustry.

Eindklanten van webportal eigenaar

De volgende persoonsgegevens van eindklanten kunnen voor verwerking door het platform gaan:

● Voornaam

● Achternaam

● Geslacht

● Straatnaam

● Huisnummer

● Postcode

● Woonplaats

● Telefoonnummer

● E-mailadres

Webportal eigenaar

● Voornaam

● Achternaam

● Bedrijfsnaam

● Geslacht

● Straatnaam

● Huisnummer

● Postcode

● Woonplaats

● Telefoonnummer

● E-mailadres

● IP-adres van webshop

Sub-Verwerkers

De volgende Sub-Verwerkers kunnen persoonsgegevens van eindklanten ontvangen via het Prindustry platform voor het verwerken van orders:

● Probo

● Control Media

● Xxxxx.xxx

● Inpromo

● Oblé

● Drukwerkdeal

● Xxxxxxxx Vlaggen

● Eurovlag

● Ballondrukkerij

● Hofprint Etiketten

● Digi Promotions

● PF Concept

● Van As

● Kantoorstempels

● EPS Amsterdam

● De Prest

● Postermen

● Ecoprint

Prindustry biedt al deze partners Sub-Verwerkersovereenkomsten ter ondertekening aan om de beveiliging van de persoonsgegevens te waarborgen.

Bijlage 2: Specificatie beveiligingsmaatregelen

Prindustry neemt diverse technische en organisatorische maatregelen met betrekking tot de te verrichten verwerkingen van persoonsgegevens, tegen verlies of tegen enige vorm van onrechtmatige verwerking (Artikel 6).

Technische maatregelen

De belangrijkste technische maatregelen zijn servers binnen de EU en SSL-certificaten (ook wel: TLS- certificaten). Alle servers van Prindustry staan binnen de EU grenzen en voldoen aan de AVG wetgeving. Alle webshops en brandportals hebben een geldig SSL-certificaat. Door gebruik te maken van een SSL-certificaat worden alle gegevens versleuteld verzonden. De SSL-certificaten worden op periodieke basis gevalideerd.

De SSL/TLS-certificaten kennen allen een verloopdatum. Voor ieder SSL-certificaat wordt bijgehouden door Prindustry tot wanneer dit certificaat geldig is (in de “Masterlijst”, beschikbaar op Google Drive). Support houdt in een agenda bij wanneer welk certificaat vervangen moet worden (om te voorkomen dat een verlopen certificaat in gebruik is) en voert de vervanging van de certificaten uit. Wanneer een certificaat vervangen is, legt de support medewerker de nieuwe verloopdatum vast in de Masterlijst en neemt de nieuwe vervangdatum op in genoemde agenda. Dit valt onder cryptografische beheersmaatregelen.

Authenticatiegegevens worden opgeslagen in de database en in back-ups. Back-ups worden opgeslagen in een beschermde omgeving in het datacenter.

Alle interne processen bij Prindustry zijn gestandaardiseerd, zodat er een beheersbare organisatie, betrouwbaarheid en efficiëntie is.

Organisatorische maatregelen

Tot organisatorische maatregelen behoort bijvoorbeeld het bijhouden van een Verwerkingsregister. In dit register staan welke persoonsgegevens er verwerkt worden, voor welke doeleinden en hoe deze gegevens beveiligd worden.

Prindustry is aangesloten bij brancheorganisatie ICTWaarborg. De ICTWaarborg certificering wordt elk jaar gemonitord en vernieuwd. Het staat voor betrouwbare ICT-bedrijven en geeft partners duidelijkheid en zekerheid.

Verder is het informatiebeveiligingsmanagementsysteem (ISMS) van Prindustry vanaf 2021 ISO 27001 gecertificeerd. De ISO27001 norm geeft aan het ISMS van Prindustry voldoet aan alle eisen in relatie tot de continue (door-)ontwikkeling en veilige uitbating van het Prindustry SaaS platform voor webshops en brandportals. Het ISMS van Prindustry wordt op jaarlijkse basis door een onafhankelijke derde partij getoetst binnen het kader van deze certificering.