OVEREENKOMST VOOR DE VERWERKING VAN PERSOONSGEGEVENS IN OPDRACHT
OVEREENKOMST VOOR DE VERWERKING VAN PERSOONSGEGEVENS IN OPDRACHT
Gegevensverwerking conform artikel 28 AVG)
tussen
de opdrachtgever
en
reev GmbH
Xxxxxxxxxx 0
80335 München
hierna: opdrachtnemer
1 Onderwerp en duur van de opdracht
1.1 Het onderwerp van de opdracht volgt uit de prestatieovereenkomst voor het leveren van diensten, vanaf de ondertekening hiervan, waarnaar hier wordt verwezen (hierna: prestatieovereenkomst), alsmede de nog te sluiten overeenkomsten.
1.2 De duur van deze opdracht komt overeen met de looptijd van de prestatieovereenkomst.
2 Concretisering van de inhoud van de opdracht
2.1 Aard en doel van de verwerking van persoonsgegevens door de opdrachtnemer voor de opdrachtgever zijn concreet beschreven in de prestatieovereenkomst van de dienstverleningsovereenkomst en in de daarop gebaseerde aanbiedingen/overeenkomsten.
2.2 De levering van de in de overeenkomst vastgelegde gegevensverwerking vindt uitsluitend plaats in de lidstaten van de Europese Unie, of in een andere verdragsstaat die valt binnen het EER-akkoord.
Elke overdracht naar een derde land mag slechts geschieden indien aan de bijzondere bepalingen van artikel 44 en verder van de AVG is voldaan.
Het adequate beschermingsniveau kan als volgt worden verkregen:
• door een adequaatheidsbesluit van de Commissie (artikel 45, lid 3 AVG);
• door bindende interne voorschriften op het gebied van gegevensbescherming (artikel 46, lid 2, sub b in combinatie met 47 AVG);
• door standaard gegevensbeschermingsbepalingen (artikel 46, lid 2, sub c en d van de AVG);
• door goedgekeurde gedragscodes (artikel 46, lid 2, sub e in combinatie met 40 AVG);
• door een goedgekeurd certificeringsmechanisme (artikel 46, lid 2, sub f in combinatie met 42 AVG).
• door andere maatregelen:
De opdrachtnemer werkt uitsluitend op de door opdrachtgever ter beschikking gestelde systemen en slaat geen gegevens op. (Artikel 46, lid 2, sub a, lid 3, sub a en b van de AVG).
3 Type gegevens en betrokken groepen van personen
Onderwerp van de verwerking van persoonsgegevens zijn de volgende gegevenstypen/-categorieën
Gegevenstypen | Doel van het verzamelen van gegevens, -verwerking of -gebruik | Groep van betrokkenen |
Naam (voornaam, achternaam) E-mailadres, Telefoonnummer (zakelijk) – optioneel | Ter naleving van de overeenkomst: Bijlage gebruikersaccount en identificatie bij de overdracht van het wachtwoord | • Medewerker met toegang tot de beheerinterface |
E-mailadres RFID tagnummer, eventueel laadkaartnummer en naam van de kaart Voor afrekening ook Naam, voornaam Adres (straat, huisnummer, postcode, woonplaats) | Ter naleving van de overeenkomst: Bijlage gebruikersaccount en identificatie bij de overdracht van het wachtwoord Voor het afrekenen van de uitgevoerde laadprocedures | • Medewerker als bestuurder van EV • andere personen (gasten, sub- opdrachtnemers) als bestuurder van EV die regelmatig gebruik mogen maken van de laadinfrastructuur |
Voertuiggegevens van bedrijfsvoertuigen: Kenteken, RFID tagnummer, optioneel: Producent, fabricaat | Ter naleving van de overeenkomst: Autorisatie en toewijzing van laadprocedures | • Voertuigbezitter van bedrijfsvoertuigen van de opdrachtnemer |
Gegevens met betrekking tot laadprocedures: • Laadstation en aansluiting, • RFID tagnummer van de bestuurder of het kenteken • Begin en einde, • Geladen hoeveelheid energie, status van de laadprocedure en laadprestatie in verloop elke 5 minuten • Tarief | Ter naleving van de overeenkomst: Autorisatie, toewijzing en afrekening van laadprocedures | • Medewerker als bestuurder van EV • andere personen (gasten, sub- opdrachtnemers) als bestuurder van EV die regelmatig gebruik mogen maken van de laadinfrastructuur • Voertuigbezitter van bedrijfsvoertuigen van de opdrachtnemer |
Statistische gegevens met betrekking tot het gebruikersgedrag (geanonimiseerd): • Gebruik van de laadinfrastructuur – frequentie, hoeveelheid energie en plaats per gebruiker | • Medewerker met toegang tot de beheerinterface • Medewerker als bestuurder van EV • andere personen (gasten, sub- opdrachtnemers) als bestuurder van EV die regelmatig gebruik mogen maken van de laadinfrastructuur |
4 Technisch organisatorische maatregelen
4.1 De opdrachtnemer dient de veiligheid conform artikel 28, lid 3, sub c, 32 AVG, met name in combinatie met artikel 5, lid 1, sub 2 AVG te bewerkstelligen. In zijn totaliteit gaat het bij de te nemen maatregelen om maatregelen op het gebied van gegevensbescherming en om een beschermingsniveau te waarborgen dat adequaat is voor het risico met betrekking tot vertrouwelijkheid, integriteit, beschikbaarheid en belastbaarheid van de systemen. Daarbij dienen de stand van de techniek, de implementatiekosten en het type, de omvang en het doel van de verwerking en de waarschijnlijkheid van optreden van een gebeurtenis en de zwaarte van het risico voor de rechten en vrijheden van natuurlijke personen in de zin van artikel 32, lid 1 AVG in acht te worden genomen.
4.2 De technische en organisatorische maatregelen zijn onderworpen aan de technische vooruitgang en ontwikkeling. In zoverre is het de opdrachtgever toegestaan om alternatieve adequate maatregelen te nemen. Daarbij mag niet worden ondergedaan voor het veiligheidsniveau van de vastgelegde maatregelen. Wezenlijke veranderingen dienen gedocumenteerd te worden.
5 Correctie, beperking en verwijdering van gegevens
5.1 De opdrachtnemer mag de gegevens die in opdracht worden verwerkt niet eigenhandig, maar slechts na gedocumenteerde instructie van de opdrachtgever, corrigeren, verwijderen of hun verwerking beperken. Bij een uitwisseling van apparaten geschiedt een verwijdering van gegevens op het betreffende eindapparaat direct en zonder verder overleg. Voor zover een betrokkene zich direct tot de opdrachtnemer xxxxx, zal de opdrachtnemer dit verzoek direct aan de opdrachtgever overdragen. Voor zover technisch en voor het doel van de prestatieovereenkomst noodzakelijk is, mag de opdrachtnemer gegevens van apparaten ook zonder betreffende instructie verwijderen (bij een snel noodzakelijke, technisch noodzakelijke omwisseling van een apparaat). Indien er voor de opdrachtnemer kosten ontstaan bij de verwijdering van de gegevens dan dient de opdrachtgever deze te dragen, tenzij anders geregeld in de prestatieovereenkomst.
5.2 Voor zover opgenomen in de omvang van de dienstverlening, zijn het verwijderconcept, recht om vergeten te worden, correctie, dataportabiliteit en informatie na gedocumenteerde instructie van de opdrachtgever direct door de opdrachtnemer zeker te stellen. In principe is deze prestatie echter zonder afzonderlijke overeenkomst niet inbegrepen.
6 Kwaliteitsbewaking en andere plichten van de opdrachtnemer
De opdrachtnemer heeft in aanvulling op de naleving van de bepalingen van deze opdracht wettelijke verplichtingen conform artikel 28 tot 33 van de AVG, in zoverre garandeert hij met name de naleving van de volgende voorschriften:
6.1 De opdrachtnemer garandeert de beschikbaarstelling van een functionaris voor gegevensbescherming:
Functionaris voor gegevensbescherming bij de opdrachtnemer is: SiDIT GmbH, xxxx@xxxxx.xx, Telefoon: x00 000 00 00 00 0. Een verandering van functionaris voor gegevensbescherming wordt via de privacyverklaring kenbaar gemaakt.
6.2 Waarborg van vertrouwelijkheid conform artikel 28, lid 3, sub 2, 29, 32 lid 4 AVG. De opdrachtnemer zet bij uitvoering van de werkzaamheden alleen personeel in dat verplicht is tot vertrouwelijkheid en van tevoren met de voor hen relevante bepalingen met betrekking tot gegevensbescherming vertrouwd gemaakt zijn. De opdrachtnemer, en elke aan de opdrachtnemer ondergeschikte persoon die toegang heeft tot persoonsgegevens, mag deze gegevens uitsluitend
conform de prestatieovereenkomst met de opdrachtgever verwerken, inclusief de in deze overeenkomst verstrekte bevoegdheden, tenzij zij wettelijk verplicht zijn tot verwerking.
6.3 Uitvoering en naleving van alle voor deze opdracht noodzakelijke technische en organisatorische maatregelen vindt plaats conform artikel 28, lid 3, sub 2, sub c, 32 AVG
6.4 De opdrachtgever en opdrachtnemer werken desgevraagd samen met de toezichthoudende autoriteit bij het vervullen van haar taken.
6.5 De opdrachtgever wordt direct geïnformeerd over controlehandelingen en maatregelen van toezichthoudende autoriteiten, voor zover deze betrekking hebben op deze opdracht. Dit geldt ook indien een bevoegde autoriteit in het kader van een onderzoek naar een strafbaar feit of strafproces met betrekking tot de verwerking van persoonsgegevens bij de opdrachtverwerking onderzoek doet bij de opdrachtnemer.
6.6 Indien de opdrachtgever onderworpen is aan controle door een toezichthoudende autoriteit, onderdeel uitmaakt van een onderzoek naar een strafbaar feit of een strafproces, of onderworpen is aan een vordering op aansprakelijkheid van een betrokken persoon en een derde, of een andere vordering die verband houdt met de verwerking van de opdracht, dient de opdrachtnemer deze naar beste vermogen te ondersteunen. Voor ondersteunende diensten die niet bij de opdracht zijn inbegrepen, of die niet terug te voeren zijn op falen van de opdrachtnemer, kan de opdrachtnemer een vergoeding vorderen.
6.7 De opdrachtnemer controleert regelmatig de interne processen en de technische en organisatorische maatregelen om te waarborgen dat de verwerking onder zijn verantwoordelijkheid voldoet aan de vereisten van het geldende recht op het gebied van gegevensbescherming en dat de bescherming van de rechten van de betrokkene worden gewaarborgd.
6.8 Aantoonbaarheid van de getroffen technische en organisatorische maatregelen ten opzichte van de opdrachtgever in het kader van zijn controlebevoegdheden is conform paragraaf 8 van deze overeenkomst.
7 Uitbestedingsverhoudingen
7.1 Als uitbestedingsverhoudingen in de zin van deze bepaling worden diensten gekwalificeerd die direct betrekking hebben op het leveren van de hoofdprestatie. Hiertoe behoren niet nevenprestaties waarvan de opdrachtnemer gebruik maakt, zoals bijvoorbeeld telecommunicatiediensten, post-/transportdiensten, onderhoud en gebruikersservice of het verwijderen van gegevensdragers en dergelijke maatregelen voor het garanderen van de vertrouwelijkheid, beschikbaarheid, integriteit en belastbaarheid van de hard- en software van gegevensverwerkingsinstallaties. De opdrachtnemer is echter verplicht om ter waarborging van de gegevensbescherming en gegevensbeveiliging van de gegevens van de opdrachtgever ook bij uitbesteding van nevendiensten adequate en wettelijk conforme overeenkomsten en controlemaatregelen te nemen.
7.2 Het uitbesteden aan onderaannemers, of het vervangen van een bestaande onderaannemer, is toegestaan voor zover de opdrachtnemer een dergelijke uitbesteding aan onderaannemers twee weken van tevoren per e-mail aan de opdrachtgever kenbaar maakt en de opdrachtgever tot aan het tijdstip van de overdracht van gegevens tegenover de opdrachtnemer geen schriftelijk bezwaar heeft aangetekend tegen de geplande uitbesteding en deze is gebaseerd op een overeenkomst conform artikel 28, lid 2 tot 4 AVG. De opdrachtgever stemt in met het uitbesteden aan de navolgende onderaannemers op voorwaarde dat er een overeenkomst wordt gesloten conform artikel 28, lid 2 tot 4 AVG.
Naam en adres van de onderaannemer | Beschrijving van de deelprestaties |
MCON GmbH Xxxxxxxxxx Xxxxxx 0, 00000 Xxxxxxx, Xxxxxxxxx | Beheer van de serverinfrastructuur |
SiDIT GmbH Xxxxxxxx 00, 00000 Xxxxxxxxxxxx, Xxxxxxxxx | Xxxxxxxxxxxxxxxxxxx |
Hubspot Inc. 00 Xxxxx Xxxxxx, Xxxxxxxxx, XX | Customer Relationship Management |
Freshworks Inc. 2950 X. Xxxxxxxx Street, San Mateo, CA | Customer Support Management |
Easybill GmbH Xxxxxxxx 00, 00000 Xxxxxx, Xxxxxxxxx | Facturering |
Stripe Payments Europe C/O A&L Goodbody, Ifsc, North Wall Quay, Dublin 1 | Betalingsdienstverlener |
Xxxxxxxxxx.xxx Germany GmbH, Xxxxx-Xxxx-Str. 31, 80636 München, Duitsland | Customer Relationship Management, Customer Support Management |
7.3 De overdracht van persoonsgegevens van de klanten aan de onderaannemer, en diens eerste handeling, is pas toegestaan zodra is voldaan aan alle voorwaarden voor een uitbesteding.
7.4 Indien de opdrachtnemer de overeengekomen prestatie buiten de EU/EER levert, dan waarborgt de opdrachtnemer de rechten met betrekking tot gegevensbescherming door het nemen van maatregelen. Ditzelfde geldt indien dienstverleners in de zin van paragraaf 1, lid 2 worden ingezet.
8 Recht op controle door de opdrachtgever
8.1 De opdrachtgever heeft het recht en de plicht om zich voor aanvang van de gegevensverwerking en vervolgens regelmatig ervan te vergewissen dat de technische en organisatorische maatregelen van de opdrachtnemer in acht worden genomen.
• Hiervoor kan hij bijvoorbeeld informatie van de opdrachtnemer verkrijgen,
• zich eventueel een getuigschrift van een deskundige voor laten leggen,
• of dit na voorafgaande aanmelding, tijdige afstemming tijdens de gebruikelijke kantoortijden en zonder storing van de bedrijfsactiviteiten persoonlijk controleren.
8.2 De opdrachtnemer verplicht zich om de opdrachtgever na een schriftelijk verzoek hiertoe binnen een redelijke termijn alle informatie en bewijzen ter beschikking te stellen die noodzakelijk zijn voor het uitvoeren van een controle.
8.3 Voor het mogelijk maken van controles door de opdrachtgever kan de opdrachtnemer aanspraak maken op een vergoeding.
9 Mededeling bij overtredingen van de opdrachtnemer
9.1 De opdrachtnemer ondersteunt de opdrachtgever bij de naleving van de in de artikelen 32 tot 36 AVG genoemde plichten met betrekking tot de beveiliging van persoonsgegevens, meldplicht in geval van een datalek, gegevensbeschermingseffectbeoordeling en voorafgaande raadpleging. Hiertoe behoren o.a.
a) Zorgen voor een passend beschermingsniveau door middel van technische en organisatorische maatregelen die rekening houden met de omstandigheden en doeleinden van de verwerking, evenals de voorspelde waarschijnlijkheid en de ernst van een mogelijke schending van het recht door beveiligingslacunes en waarmee relevante schendingen direct kunnen worden geïdentificeerd;
b) de verplichting om inbreuken in verband met persoonsgegevens direct aan de opdrachtgever te melden;
c) de verplichting om de opdrachtgever in het kader van zijn informatieplicht tegenover de betrokkenen te ondersteunen en hem in dit verband alle relevante informatie direct ter beschikking te stellen;
d) de ondersteuning van de opdrachtgever bij diens gegevensbeschermingseffectbeoordeling; en
e) de ondersteuning van de opdrachtgever in het kader van voorafgaande raadpleging.
9.2 Voor ondersteunende diensten die niet bij de opdracht zijn inbegrepen of die niet terug te voeren zijn op falen van de opdrachtnemer, kan de opdrachtnemer een vergoeding vorderen.
10 Bevoegdheid van de opdrachtgever
10.1 Mondelinge instructies worden door de opdrachtgever direct schriftelijk bevestigd.
10.2 De opdrachtnemer dient de opdrachtgever direct te informeren als hij van mening is dat een instructie in strijd is met de voorschriften op het gebied van gegevensbescherming. De opdrachtnemer heeft het recht de uitvoering van de betreffende instructie net zolang uit te stellen tot deze door de opdrachtgever wordt bevestigd of veranderd.
11 Verwijdering en teruggave van persoonsgegevens
11.1 Kopieën of duplicaten van gegevens worden niet zonder medeweten van de opdrachtgever ter beschikking gesteld. Hiervan uitgezonderd zijn veiligheidskopieën voor zover deze noodzakelijk zijn om gegevensverwerking volgens voorschrift te waarborgen en gegevens die met het oog op naleving van de wettelijke bewaarplichten noodzakelijk zijn.
11.2 Na beëindiging van de in de overeenkomst overeengekomen werkzaamheden, of eerder op verzoek van de opdrachtgever, – maar uiterlijk met beëindiging van de prestatieovereenkomst – dient de opdrachtnemer alle in zijn bezit geraakte documenten, geproduceerde verwerkings- en gebruiksresultaten en databestanden die verband houden met de werkafspraak te verwijderen in overeenstemming met de voorschriften voor gegevensbescherming. Ditzelfde geldt voor test- en afvalmateriaal. Het protocol van verwijdering dient op verzoek te worden overhandigd. Indien voor de opdrachtnemer kosten ontstaan bij de uitgifte of verwijdering van gegevens die in de prestatieovereenkomst niet zijn geregeld dan draagt de opdrachtgever deze.
11.3 Documentatie die dient als bewijs van een gegevensverwerking conform opdracht en regelgeving dienen door de opdrachtnemer overeenkomstig de betreffende bewaartermijnen na afloop van de overeenkomst bewaard te worden. Deze kan hij, ter ontlasting, na afloop van de overeenkomst aan de opdrachtgever overhandigen.
12 Bescherming van de rechten van gedupeerden in de zin van § 203 StGB (Strafgesetzbuch, Duits wetboek van strafrecht)
12.1 De opdrachtgever is voor de bescherming van de rechten van de gedupeerden in de zin van § 203 StGB (Strafgesetzbuch, Duits wetboek van strafrecht) als enige verantwoordelijk. Voor het geval de opdrachtgevers is onderworpen aan een beroepsgeheim in de zin van § 203 StGB (Strafgesetzbuch, Duits wetboek van strafrecht) dient deze er zorg voor te dragen dat een onbevoegde openbaarmaking in de zin van § 203 StGB (Strafgesetzbuch, Duits wetboek van strafrecht) door de opdrachtnemer niet geschiedt.
13 Aansprakelijkheid en schadevergoeding
13.1 De opdrachtgever waarborgt binnen zijn verantwoordelijkheid de uitvoering van alle betreffende geldende juridische bepalingen met betrekking tot de verwerking van persoonsgegevens.
13.2 Hierbij gelden in principe de aansprakelijkheidsbeperkingen uit de hoofdovereenkomst. De opdrachtgever vrijwaart de opdrachtnemer van alle vorderingen die derden geldend maken vanwege inbreuk op hun rechten ten opzichte van de opdrachtnemer op grond van de door de opdrachtgever gelaste verwerking van persoonsgegevens, voor zover de vordering van de derde niet berust op een verwerking van de persoonsgegevens door de opdrachtnemer die in strijd is met de wet. Artikel 82 AVG blijft onverlet.
14 Overig, algemeen
14.1 Indien de persoonsgegevens van de opdrachtgever bij de opdrachtnemer gevaar lopen door beslaglegging, door een faillissementsprocedure of surseance van betaling of door andere gebeurtenissen of maatregelen, dan dient de opdrachtnemer de opdrachtgever hierover direct te informeren. De opdrachtnemer zal alle in verband hiermee verantwoordelijken direct erover informeren dat de soevereiniteit van de persoonsgegevens van de opdrachtgever bij de opdrachtgever ligt.
14.2 Onverlet de zeggenschap van de opdrachtgever conform paragraaf 11 van deze overeenkomst, behoeven veranderingen en aanvullingen van deze overeenkomst en haar bestanddelen een schriftelijke overeenkomst en de uitdrukkelijke verwijzing dat het gaat om een verandering of aanvulling van deze bepalingen. Dit geldt ook voor het afstand doen van de schriftelijke vormvereisten.
14.3 De bepalingen van deze overeenkomst gelden ook na beëindiging van de primaire prestatierelatie tot aan de volledige vernietiging of teruggave van alle persoonsgegevens van de opdrachtnemer aan de opdrachtgever.
14.4 Indien enkele onderdelen van de voorliggende overeenkomst ongeldig zijn, tast dit de geldigheid van de rest van de overeenkomst niet aan. Partijen verbinden zich ertoe de ongeldige regeling te vervangen door een wettelijk toelaatbare regeling die het doel van de ongeldige regeling het dichtst benadert.
Plaats, datum handtekening opdrachtgever
Plaats, datum handtekening opdrachtnemer